Su VPN serveriais susiduriate daugiausia verslo pasaulyje: jie leidžia darbuotojams saugiai prisijungti prie įmonės tinklo kelyje ar iš namų. Nepaisant to, VPN serveris taip pat gali būti naudingas, kai pats esate kelyje ir norite saugiau prisijungti prie interneto arba pasiekti failus savo namų tinkle.
01 patarimas: VPN protokolai
Yra daug VPN paslaugų, o kai kurias galite naudoti nemokamai net be per daug apribojimų, pavyzdžiui, „ProtonVPN“. Tada naudodamiesi kliento programine įranga savo mobiliajame įrenginyje ar kompiuteryje, jūs prisijungiate prie vieno iš siūlomų VPN serverių, o po to galite tęsti internetą per tokį serverį.
Šio straipsnio požiūris yra ambicingesnis: mes ketiname sukurti savo VPN serverį savo namų tinkle. Vpn reiškia virtualų privatų tinklą (olandiškai dar vadinamą virtualiu privačiu tinklu), o tai reiškia, kad jūs jungiate tinklus, kurie yra fiziškai atskirti vienas nuo kito. Toks ryšys paprastai vyksta internetu, o tai nėra visiškai saugiausia aplinka. Štai kodėl visas duomenų srautas yra šifruojamas per tokį VPN ryšį: tarp dviejų tinklų tarsi sukuriamas virtualus tunelis.
Galimi keli VPN protokolai, įskaitant pptp, sstp, ikev2, l2tp / ipsec, OpenVPN ir WireGuard. Pastarasis yra labai perspektyvus, tačiau vis dar tobulinamas ir dar nėra plačiai palaikomas. Čia pasirenkame „OpenVPN“, nes jis yra atviro kodo, turi stiprų šifravimą ir yra prieinamas beveik visose platformose.
Šiuo metu „OpenVPN“ vis dar laikomas geresniu VPN protokoluMaršrutizatorius
Tiesą sakant, jūsų maršrutizatorius yra geriausia vieta VPN serveriui nustatyti jūsų namų tinkle. Galų gale, visas duomenų srautas iš svetainių, kuriose lankotės kelyje, pirmiausia eis per jūsų VPN serverį. Jei tai yra jūsų maršrutizatorius, tas srautas iškart grįš į jūsų mobilųjį įrenginį. Jei jūsų VPN serveris yra NAS ar asmeniniame kompiuteryje, duomenų srautas pirmiausia turi būti nukreiptas iš jūsų maršrutizatoriaus į tą įrenginį ir iš ten atgal į jūsų maršrutizatorių. Papildomas tarpinis žingsnis, tačiau praktiškai jūs labai nepastebėsite šio vėlavimo.
Deja, daugelis įprastų namų maršrutizatorių neturi galimybės nustatyti VPN serverio. Jei jūsų maršrutizatoriuje iš tikrųjų trūksta VPN paslaugos, DD-WRT programinė aparatinė įranga gali pasiūlyti išeitį. Naršykite čia ir įveskite savo maršrutizatoriaus modelį. Šiek tiek pasisekus sakoma taip stulpelyje Palaikomi ir galite atsisiųsti programinės aparatinės įrangos failą, kad galėtumėte su juo mirksėti savo maršrutizatoriuje. Atminkite, kad tokią jautrią operaciją atliekate tik savo pačių rizika! Nurodymų galite rasti čia.
02 patarimas: montavimas ant nas
Pirmiausia parodysime, kaip įdiegti „OpenVPN“ serverį NAS. Žinomi NAS gamintojai, tokie kaip „QNAP“ ir „Synology“, siūlo savo programą VPN serverio pridėjimui. Pažvelkime, kaip tai padaryti naudojant „Synology NAS“ su naujausia „DiskStation Manager“ (DSM) versija. Užmegzkite ryšį su DSM žiniatinklio sąsaja, numatytasis adresas yra: 5000 arba: 5001.
Atidarykite jį Pakuočių centras, prisijungti Visi paketai ieško programos VPN serveris ir spustelėkite jį instaliuoti. Po įdiegimo spustelėkite Atidaryti: serveris gali tvarkyti kai kuriuos VPN protokolus PPTP, L2TP / IPSec ir „OpenVPN“. Iš esmės jie netgi gali būti aktyvūs tuo pačiu metu, tačiau apsiribojame „OpenVPN“ protokolu. spustelėkite „OpenVPN“ ir šalia padėjo varnelę Įgalinti „OpenVPN“ serverį. Nustatykite virtualų vidinį IP adresą savo VPN serveriui. Pagal numatytuosius nustatymus tai nustatyta kaip 10.8.0.1, o tai reiškia, kad VPN klientai iš esmės gaus adresą nuo 10.8.0.1 iki 10.8.0.254. Galite pasirinkti IP diapazoną nuo 10.0.0.1 iki 10.255.255.1, tarp 172.16.0.1 ir 172.31.255.1 bei 192.168.0.1 ir 192.168.255.1. Įsitikinkite, kad diapazonas nesutampa su IP adresais, kurie šiuo metu naudojami jūsų vietiniame tinkle.
Kai kuriuose „nas“ įrenginiuose tuoj pat turite įdiegtą „OpenVPN“ serverį 03 patarimas: Protokolo pasirinkimas
Tame pačiame konfigūracijos lange taip pat nustatote maksimalų vienu metu esančių ryšių skaičių, taip pat prievadą ir protokolą. Numatytasis yra prievadas 1194 ir protokolas UDP ir tai paprastai veikia gerai. Jei tame uoste jau veikia kita paslauga, žinoma, nustatysite kitą prievado numerį.
Be to, galite pasirinkti tcp vietoj udp. TCP turi įmontuotą klaidų taisymą ir tikrina, ar kiekvienas bitas atkeliavo teisingai. Tai užtikrina didesnį ryšio stabilumą, tačiau yra šiek tiek lėtesnis. Kita vertus, „Udp“ yra „be pilietybės protokolas“ be klaidų taisymo, todėl jis labiau tinka srautinio perdavimo paslaugoms, kur dažniausiai prarandama keletas bitų.
Mūsų patarimas: pirmiausia išbandykite udp. Vėliau galite eksperimentuoti ir pasirinkti, pavyzdžiui, TCP prievadą 8080 ar net „https“ prievadą 443, nes juos (įmonės) užkarda paprastai rečiau blokuoja. Atminkite, kad pasirinktą protokolą taip pat turite nustatyti uosto persiuntimo nustatymuose (žr. 5 patarimą).
Paprastai galite palikti kitas konfigūracijos lange esančias parinktis nepaliestas. Patvirtinkite savo pasirinkimą naudodami Taikyti.
04 patarimas: eksportuoti konfigūraciją
Lango apačioje rasite mygtuką Eksportuoti konfigūraciją. Tai eksportuoja ZIP failą, kuris išpakuojamas ir sukuriamas sertifikatas (.crt) ir konfigūracijos profilis (.ovpn). „OpenVPN“ klientams reikia ovpn failo (taip pat žr. 6–8 patarimus). Atidarykite ovpn failą naudodami „Notepad“ programą. (Trečioje) eilutėje pakeiskite nuorodą YOUR_SERVER_IP nuotoliniu būdu „YOUR_SERVER_IP“ 1194 pagal išorinį maršrutizatoriaus IP adresą ir prievadą 1194 pagal prievadą, kurį nustatėte „OpenVPN“ konfigūracijos lange. Greitas būdas sužinoti šį išorinį IP adresą yra tada, kai einate iš savo vidaus tinklo į tokią svetainę kaip www.whatismyip.com (žr. Langelį „Ddns“). Taip pat galite pakeisti šį IP adresą pagrindinio kompiuterio pavadinimu, pvz., „Ddns“ paslaugos adresu (žr. Tą patį langelį).
Šiek tiek toliau ovpn faile pamatysite eilutę # redirect-gateway def1. Čia pašalinsite maišos variantą, todėl nukreipkite šliuzą def1. Ši parinktis užtikrina, kad iš esmės visas tinklo srautas būtų nukreiptas pro VPN. Jei tai sukelia problemų, iš naujo nustatykite pradinę eilutę. Daugiau informacijos apie tai (ir apie kitas „OpenVPN“ technines problemas) rasite čia.
Išsaugokite redaguotą failą su tuo pačiu plėtiniu.
Ddns
Iš išorės jūs paprastai pasiekiate savo namų tinklą naudodami maršrutizatoriaus viešąjį IP adresą. Šį adresą sužinosite naršydami iš savo tinklo į tokią svetainę kaip www.whatismyip.com. Tikėtina, kad jūsų paslaugų teikėjas dinamiškai priskyrė šį IP adresą, todėl negarantuojate, kad šis IP adresas visada išliks tas pats. Tai erzina, jei norite reguliariai pasiekti savo tinklą (ir „OpenVPN“ serverį) iš išorės.
Dinaminė dns paslauga (dns) siūlo galimą išeitį. Tai užtikrina, kad fiksuotas domeno vardas yra susietas su tuo IP adresu ir kai tik adresas pasikeičia, susietas „ddns“ įrankis (kuris veikia vietoje jūsų tinkle, pvz., Jūsų maršrutizatoriuje, NAS ar asmeniniame kompiuteryje) praneša apie naują adresą „ddns“ paslauga, kuri nedelsdama atnaujina nuorodą. Vienas iš lankstiausių nemokamų ddns teikėjų yra „Dynu“.
05 patarimas: uosto ekspedijavimas
Pasirodys pranešimas, nurodantis patikrinti prievado persiuntimo ir užkardos parametrus atsižvelgiant į nustatytą prievadą (taigi pagal numatytuosius nustatymus 1194 udp).
Pradedame nuo užkardos. Jūs turėtumėte pasiekti „OpenVPN“ serverį per udp 1194 prievadą ir tada turite būti tikri, kad jūsų ugniasienė neužblokuoja šio prievado. Ugniasienę galite rasti savo nosyje per Skirtukas Valdymo skydas / Sauga / Ugniasienė. Įjungę užkardą, patikrinkite naudodami mygtuką Redaguoti taisykles ar atitinkamas uostas nėra užrakintas. Tai taip pat taikoma jūsų maršrutizatoriaus užkardai, jei ji įgalinta.
Uosto ekspedijavimo sąvoka yra sudėtingesnė. Jei norite pasiekti „OpenVPN“ serverį iš savo vidaus tinklo ribų, turėsite naudoti savo maršrutizatoriaus viešąjį IP adresą. Kai prašote „OpenVPN“ ryšio su UDP prievadu 1194 per šį IP adresą, jūsų maršrutizatorius turi žinoti, į kurią mašiną jis turėtų persiųsti užklausą dėl šio uosto srauto, o mūsų atveju tai yra jūsų „nas“ vidinis IP adresas.
Norėdami sužinoti, kaip tinkamai nustatyti uosto persiuntimą, skaitykite savo maršrutizatoriaus vadovą, jei norite gauti daugiau instrukcijų, apsilankykite http://portforward.com/router.
Apskritai tai vyksta taip: prisijunkite prie savo maršrutizatoriaus žiniatinklio sąsajos, ieškokite panašaus (poskyrio) skyriaus Uosto ekspedijavimas ir pridėkite elementą su šia informacija: programos pavadinimas, „nas ip“ adresas, vidinis prievadas, išorinis prievadas ir protokolas. Tai gali būti, pavyzdžiui: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Patvirtinkite pakeitimus.
Jūsų „OpenVPN“ serveris gali reikalauti, kad užkardoje ir kelvedyje veiktų raktai Atskiras „OpenVPN“ serveris
Jei neturite NAS ir jūsų maršrutizatorius nepalaiko „OpenVPN“, vis tiek galite patys nustatyti tokį „OpenVPN“ serverį kompiuteryje su „Linux“ ar „Windows“.
Tokia procedūra reikalauja tam tikrų veiksmų. Turite atlikti įvairius veiksmus, taip pat „Windows“ operacijose tai daugiausia daroma iš komandų eilutės. Įdiegę „OpenVPN Server“ programinę įrangą (žr. 8 patarimą), turite sukurti CA sertifikatą, po to sukurti sertifikatus serveriui ir būtiniems „OpenVPN“ klientams. Jums taip pat reikia vadinamųjų DH parametrų (Diffie-Hellman), taip pat TLS rakto (transporto sluoksnio sauga). Galiausiai čia taip pat turite sukurti ir modifikuoti ovpn failus ir įsitikinti, kad jūsų serveris leidžia reikiamą srautą.
Per šią nuorodą rasite nuoseklų „Windows 10“, „Ubuntu“ planą, naudodamiesi šia nuoroda.
06 patarimas: mobiliojo kliento profilis
„OpenVPN“ serverio nustatymas yra pirmas žingsnis, tačiau po to turite prisijungti prie serverio iš vieno ar daugiau VPN klientų (pvz., Nešiojamojo kompiuterio, telefono ar planšetinio kompiuterio). Pradedame nuo mobiliojo kliento prijungimo.
Tiek „iOS“, tiek „Android“ ryšį lengviausia užmegzti naudojant „OpenVPN“ kliento programą, jei ji nemokama „OpenVPN Connect“. Šią programą galite rasti oficialiose „Android“ ir „Apple“ programų parduotuvėse.
Kaip pavyzdį laikome „Android“. Atsisiųskite ir įdiekite programą. Prieš paleisdami programą įsitikinkite, kad „ovpn“ profilio failas yra jūsų mobiliajame įrenginyje (žr. 4 patarimą). Jei reikia, tai galite padaryti aplinkkeliu naudodamiesi tokia paslauga kaip „WeTransfer“ arba debesies saugyklos paslauga, pvz., „Dropbox“ ar „Google Drive“. Pradėti „OpenVPN Connect“ ir pasirinkti OVPN profilis. Patvirtinkite naudodami Leisti, žiūrėkite atsisiųstą VPNconfig.ovpn failą ir pasirinkite Importuoti. Jei vėliau norite pridėti papildomų profilių, galite tiesiog naudoti pliuso mygtuką.
07 patarimas: kliento prijungimas
Įveskite tinkamą VPN ryšio pavadinimą ir įveskite teisingą informaciją Vartotojo vardas ir Slaptažodis. Ši prisijungimo informacija, žinoma, turi turėti prieigą prie jūsų VPN serverio, esančiame „Synology nas“, kurį atidarote VPN serveris kategorija Teisės ir padėkite čekį šalia numatomo (-ų) vartotojo (-ų) „OpenVPN“. Galite pasirinkti, kad slaptažodis būtų prisimintas, jei manote, kad jis yra pakankamai saugus. Patvirtinkite naudodami Papildyti. Profilis pridėtas, palieskite, kad pradėtumėte ryšį.
Programa gali skųstis, kad profilio faile nėra kliento sertifikato (jis turi serverio sertifikatą), nes „Synology NAS“ to negeneruoja. Tai yra šiek tiek mažiau saugu, nes nėra patikrinta, ar tai yra įgaliotas klientas, tačiau, žinoma, jums reikia vartotojo vardo ir slaptažodžio, kad iš tikrųjų galėtumėte pasiekti. Taigi galite čia Nuolatinis pasirinkite. Jei viskas bus gerai, ryšys bus užmegztas šiek tiek vėliau. Tai pastebėsite iš pradinio ekrano viršuje esančios klavišo piktogramos.
08 patarimas: „Windows“ klientas
„Windows“ galite atsisiųsti „Windows 10“ diegimo programą iš „OpenVPN“ GUI, taip pat yra „Windows 7“ ir „8“ versija (.1). Įdiekite įrankį. Jei planuojate įdiegti „OpenVPN“ serverį ir sistemoje „Windows“ (žr. Langelį „Atskiras„ OpenVPN “serveris“), pažymėkite šalia „EasyRSA 2“ sertifikatų valdymo scenarijai. Taip pat leiskite, kai būsite paraginti, įdiegti TAP tvarkyklę.
Vėliau rasite piktogramą „OpenVPN“ GUI darbalaukyje. Jei ne, paleiskite programą iš numatytojo diegimo aplanko C: \ ProgramaFailai \ OpenVPN \ bin. Diegimas turėtų užtikrinti, kad jums nereikės paleisti įrankio kaip administratoriaus. Jei tai dėl kokių nors priežasčių neveikė, dešiniuoju pelės mygtuku spustelėkite programos failą ir pasirinkite vis tiek Vykdyti kaip administratorių.
Parodykite programai kelią į savo ovpn profilio failą (žr. 4 patarimą). Dešiniuoju pelės mygtuku spustelėkite piktogramą „OpenVPN“ GUI „Windows“ sistemos dėkle ir pasirinkite Importuoti failą, tada pasirinkite failą VPNConfig.ovpn. Tada tame pačiame meniu spustelėkite Prisijungti ir užpildykite reikalingus prisijungimo duomenis. Būsenos lange galite sekti VPN ryšio sąranką, taip pat galite perskaityti priskirtą IP adresą apačioje.
Jei kyla problemų, spustelėkite meniu Peržiūrėti žurnalo failą. Pagal numatytuosius nustatymus „OpenVPN“ paslauga paleidžiama kartu su „Windows“: tai galite padaryti per skirtuko Nustatymai skirtuką Generolas. Taip pat patikrinkite, ar užkarda neužblokuoja ryšio.
