Ular turli maqsadlarda qo'llaniladi va bugungi kunda nafaqat korporativ tarmoqlarni qurish yoki jamoat ulanishlaridan foydalanishda himoya qilish, balki Internetga kirishni ham ta'minlaydi. Bundan tashqari, VPN tufayli maxfiylikni saqlagan holda veb-resurslarga blokirovka qilishni chetlab o'tish mumkin. Yaqinda foydalanuvchilarni eng ko'p tashvishlantiradi. Har bir tizim uchun VPN o'rnatish jarayoni o'ziga xos xususiyatlarga ega va turli xil variantlarda amalga oshirilishi mumkin. Ko'pgina omillarga, jumladan, mo'ljallangan maqsad va tarmoq qurilishining turiga qarab, texnologiyani amalga oshirishning bir necha usullari mavjud. Linux-da VPN-ni qanday o'rnatishni ko'rib chiqamiz, shuningdek, ushbu ulanish nima uchun ishlatilishini aniqlaymiz.

Linuxda VPN ulanishini o'rnatish usuli.

Birinchidan, virtual xususiy tarmoq nima ekanligini va uni qanday qo'llashni ko'rib chiqamiz bu tur texnologiyalar. VPN tufayli siz istalgan sonli qurilmalarni shaxsiy tarmoqqa ulashingiz va ma'lumotlarni uzatish uchun xavfsiz kanalni taqdim etishingiz mumkin. Shunday qilib, ushbu turdagi ulanishdan foydalangan holda, foydalanuvchilar Internetda maxfiylikni saqlab qolishlari va ma'lumotlarning xavfsizligi haqida tashvishlanmasliklari mumkin, shu jumladan tarmoqlarda ishlashda. umumiy kirish. VPN-ga ulanish sizga tajovuzkorlar tomonidan ma'lumotlarni ushlab qolishning oldini olishga imkon beradi, chunki paketlarni almashish marshruti shifrlash va foydalanuvchi autentifikatsiyasi bilan ishonchli himoyalangan. Ma'lumotlar jo'natuvchi tomonida shifrlangan va shifrlangan shaklda aloqa kanali bo'ylab harakatlanadi va qabul qiluvchining qurilmasida shifrlangan, ikkalasi ham umumiy kirish kalitiga ega. VPN-dan foydalanib, ishonchsiz tarmoq (odatda Internet) ustiga ishonchli tarmoq yaratish mumkin. Foydalanuvchi ulanishi to'g'ridan-to'g'ri emas, balki ichki yoki tashqi tarmoqqa ulangan server orqali amalga oshiriladi. Bu Internetda maxfiylikni ta'minlaydi, chunki bu holda veb-resurslar mijoz ulangan serverning IP-manzilini ko'radi. Server identifikatsiyalash protsedurasini, shuningdek autentifikatsiyani talab qiladi va foydalanuvchi avtorizatsiya qilingandan so'ng tarmoq bilan ishlash mumkin bo'ladi. VPN-lar ko'pincha quyidagi hollarda qo'llaniladi:

• VPN orqali Internetga ulanish ko'pincha shahar tarmoq provayderlari tomonidan, shuningdek korxonalarda qo'llaniladi. Ushbu amalga oshirish usulining afzalligi aloqa kanalining xavfsizligidir, chunki turli xil xavfsizlik darajalarini sozlash mumkin. Bunga bir tarmoqni ikkinchisining ustiga o'rnatish va ikki xil tarmoq orqali Internetga kirish orqali erishiladi.
• Ichkarida korporativ tarmoq. Bitta tarmoqqa integratsiyalashuv sizga tarmoqqa istalgan sondagi xodimlarning kompyuterlariga, ularning joylashuvi va serverdan masofasidan qat'iy nazar xavfsiz kirish imkonini beradi.
• Korporativ tarmoq komponentlarini birlashtirish. Korxonaning turli bo'limlari o'rtasidagi o'zaro aloqani ta'minlash uchun VPN-dan foydalanib, ular uchun umumiy tarmoqning alohida resurslariga kirishni tashkil qilish mumkin.

Texnologiyani amalga oshirish uchun mavjud turli qurilmalar, uning operatsion tizimi variantni qo'llab-quvvatlaydi yoki TCP/IP yordamida portlarni virtual tarmoqqa yo'naltira oladigan VPN mijoziga ega. Foydalanuvchi barcha konfiguratsiya bosqichlarini mustaqil ravishda bajarishi mumkin. Bunga ehtiyoj hatto mintaqaviy bloklashni chetlab o'tish uchun ham paydo bo'lmaydi, chunki buning uchun kompyuteringizda VPN-ni sozlashingiz shart emas (bloklangan resurslarga tashrif buyurish uchun o'rnatish kifoya. uchinchi tomon ilovasi, o'rnatish maxsus kengaytma brauzerlar uchun yoki o'rnatilgan brauzer funksiyasidan foydalanish). Internetga kirishni sozlash uchun provayderlarni o'zgartirsangiz, ko'pincha kompyuter yoki noutbukda VPN o'rnatish talab qilinadi. Linux ostida VPN-ni o'rnatish OSning ko'p qirraliligini hisobga olgan holda o'ziga xos xususiyatlarga ega, ammo printsip bir xil bo'lib qoladi.

Linuxda server qismini sozlash

Keling, Ubuntu Server platformasida PPTP VPN serverini yaratishni ko'rib chiqaylik. Linux bilan serverni joylashtirish juda oson va buni hatto zaif qurilmada ham qilish mumkin. VPN-ni amalga oshirishning eng oson yo'li PPTP-dir, chunki amalga oshirish mijoz qurilmalariga sertifikatlarni o'rnatishni talab qilmaydi va autentifikatsiya ism va parolni kiritish orqali amalga oshiriladi. Avval paketlarni o'rnatishingiz kerak:

sudo apt-get install pptpd

PPTP VPN funksiyasi uchun paketlar o'rnatilgandan so'ng siz serverni sozlashingiz kerak. Manzil oralig'ini o'rnatish va boshqa asosiy sozlamalarni bajarish uchun /etc/pptpd.conf faylini oching (administrator huquqlari bilan tahrirlangan):

Bir vaqtning o'zida yuzdan ortiq ulanishlarni tarqatish uchun ulanishlarni toping. Ushbu parametr izohsiz bo'lishi kerak, shundan so'ng biz ushbu qatorda ulanishlar soni uchun kerakli qiymatni ko'rsatamiz. Eshittirish paketlarini VPN orqali yuborish uchun siz bcrelay parametrini ham bekor qilishingiz kerak bo'ladi. Keyinchalik faylning oxiriga o'tamiz, u erda biz manzillarni sozlaymiz. VPN tarmog'iga server manzilini qo'shing:

Mijozlarga tarqatish uchun manzillar diapazoni (biz ularni darhol zaxira bilan ajratamiz, chunki pptpd-ni qayta ishga tushirmasdan raqamni ko'paytirish mumkin bo'lmaydi):

Agar sizda bir nechta tashqi IP mavjud bo'lsa, ulardan qaysi biri kiruvchi PPTP interfeyslarini tinglashni belgilashingiz mumkin:

tashqi IP ni tinglang

Tezlik parametri ulanish tezligini (bit/s) o'rnatish imkonini beradi. Faylni saqlang va yoping. Boshqa parametrlarni /etc/ppp/pptpd-options-da sozlash mumkin:

sudo nano /etc/ppp/pptpd-options

Shifrlash uchun mas'ul bo'lgan #Encryption sektorida eskirgan va xavfsiz bo'lmagan autentifikatsiya usullaridan foydalanishni taqiqlovchi qatorlarga izoh berilmasligi kerak:

Qo'llab-quvvatlashni yoqish uchun proksiarp opsiyasi yoqilgan bo'lishi kerak Proksi-server ARP. Qulflash opsiyasi foydalanuvchi uchun bir nechta ulanishlarga ruxsat berish (buning uchun biz izoh beramiz) yoki rad etish (buning uchun biz izohni bekor qilamiz) imkonini beradi. Faylni saqlang va yoping. Serverni sozlash tugallandi, lekin mijozlarni yaratish uchun biz /etc/ppp/chap-secrets-ga tegishli yozuvlarni kiritamiz:

sudo nano /etc/ppp/chap-secrets

Ular shunday ko'rinadi:

foydalanuvchi nomi1 *parol12345*

foydalanuvchi nomi2 10.10.12.11 parol345*

foydalanuvchi nomi3 * parol787 10.10.11.21

Har bir foydalanuvchi uchun ma'lumotlarni bo'sh joy bilan ajratib, uning ismini, parolini, masofaviy va mahalliy IP-ni kiritamiz. Agar mijozda statik IP bo'lsa, biz masofaviy manzilni ro'yxatdan o'tkazamiz va agar u faqat aks holda ishlatilsa, ulanish aniq bajarilishi uchun yulduzcha qo'yish afzaldir; VPN tarmog'idagi foydalanuvchiga bir xil IP-ni taqsimlashda biz mahalliy manzilni ko'rsatamiz. Yuqoridagi misolda, birinchi variantdagi mijoz uchun ulanishlar har qanday tashqi IP-dan amalga oshiriladi, mahalliy birinchi mavjud bo'lganidan tanlanadi. Ikkinchi holda, mahalliy birinchi mavjud bo'lganiga ajratiladi, lekin ulanishlar faqat bilan amalga oshiriladi belgilangan manzil. Uchinchidan, siz tarmoqqa istalgan manzildan ulanishingiz mumkin, ammo biz ro'yxatdan o'tgan mahalliy manzil bo'ladi. VPN PPTP serverining konfiguratsiyasi tugallandi, uni qayta ishga tushiramiz:

sudo xizmati pptpd qayta ishga tushiriladi

Qurilmaning o'zi qayta ishga tushirilishi shart emas.

VPN mijozlarini sozlash

Siz VPN serverining mijoz qismini istalgan OTda o'rnatishingiz mumkin, lekin biz uni Ubuntu-da o'rnatamiz. Umuman olganda, ulanish standart sozlamalar bilan ishlaydi, lekin ulanish turini belgilash va boshqa sozlamalarni qilish yaxshiroqdir. VPN o'rnatilmoqda Ubuntu-da quyidagi bosqichlarni o'z ichiga oladi:

Linux VPN-ni sozlash tugallandi va qurilmalar mahalliy sifatida ulanishi mumkin, lekin VPN orqali internetga kirish uchun biroz koʻproq konfiguratsiya kerak boʻladi.

VPN orqali Internetga kirishni sozlash

Mahalliy tarmoqni tartibga solganimizdan so'ng, biz Internetga ulanishni o'rnatishni boshlaymiz. Ulanish uchun terminalga quyidagi buyruqlarni kiriting:

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.1/24 -j MASQUERAD

iptables -A FORWARD -s 10.0.0.1/24 -j QABUL QILING

iptables -A FORWARD -d 10.0.0.1/24 -j QABUL QILING

10.0.0.1/24 serverning mahalliy IP va tarmoq maskasiga ishora qiladi. Saqlaymiz:

va yangi parametrlarni tasdiqlang:

Endi Linuxda VPN orqali Internetga ulanish mumkin, virtual tarmoq bilan ishlashning boshqa afzalliklari ham mavjud. Siz tashrif buyurgan resurslar serverning tashqi manzilini ko'radi, bu maxfiylikni ta'minlaydi va ulanish ishonchli tarzda himoyalanadi. xakerlik hujumlari va ma'lumotlarni uzatish xavfsizligini ta'minlash.

VPN qisqartmasi endi faqat kompyuter bilan ishlamaganlar tomonidan eshitiladi. Bu nima, nima uchun kerak va uni o'zingiz qanday sozlashingiz kerak?

VPN nima va u nima uchun kerak?

VPN (Virtual Private Network) - virtual xususiy tarmoq, bir-biridan ma'lum masofada joylashgan bir nechta kompyuterlarni bitta mantiqiy tarmoqqa birlashtirish usuli.

VPN-dan turli maqsadlarda foydalanishingiz mumkin - tarmoqni ish/o'yinlar uchun tashkil qilishdan tortib, Internetga kirishgacha. Shu bilan birga, siz o'zingizning harakatlaringiz uchun mumkin bo'lgan yuridik javobgarlikni tushunishingiz kerak.

Rossiyada VPN-dan foydalanish jazolanmaydi, aniq noqonuniy maqsadlarda foydalanish hollari bundan mustasno. Ya'ni, agar siz qo'shni davlat (masalan, Somali) prezidentining veb-saytiga kirib, IP manzilingizni yashirgan holda uning qanchalik yomon ekanligini yozmoqchi bo'lsangiz, bu o'z-o'zidan qoidabuzarlik emas (agar uning mazmuni bayonot qonunlarni buzmaydi). Ammo Rossiyada taqiqlangan manbalarga kirish uchun ushbu texnologiyadan foydalanish jinoyat hisoblanadi.

Ya'ni, siz do'stlaringiz bilan onlayn o'ynashingiz va VPN-dan foydalangan holda tashkilot tarmog'ida masofadan turib ishlashingiz mumkin, ammo siz har xil yomon saytlarni o'qiy olmaysiz. Bu tartibga solingan. Endi sozlashga o'tamiz.

Ubuntu Linuxda server qismini sozlash

Server tomoni uchun bu borada Linuxdan foydalanish yaxshidir, u bilan ishlash osonroq; Eng oddiy variant - PPTP, mijoz kompyuterlarida sertifikatlarni o'rnatishni talab qilmaydi, autentifikatsiya amalga oshiriladi foydalanuvchi nomi va parol orqali. Biz undan foydalanamiz.

Birinchidan, kerakli paketlarni o'rnatamiz:

Sudo nano /etc/pptpd.conf

Agar bizga bir vaqtning o'zida 100 dan ortiq ulanish kerak bo'lsa, "ulanishlar" parametrini qidiring, izohni olib tashlang va kerakli qiymatni belgilang, masalan:

Ulanishlar 200

Agar biz virtual tarmoq orqali paketlarni uzatishimiz kerak bo'lsa, bcrelay parametri ham izohlanmaganligiga ishonch hosil qilishimiz kerak:

Bcrelay eth1

Shundan so'ng, faylning oxiriga o'ting va manzil sozlamalarini qo'shing:

Localip 10.10.10.1 remoteip 10.10.10.2-254 tinglang 11.22.33.44

Birinchi parametr mahalliy tarmoqdagi serverning IP-manzilini, ikkinchisi - mijozlarga berilgan IP-manzillar diapazonini belgilaydi (diapazon belgilangan ulanishlar sonini ta'minlashi kerak, manzillarni zaxira bilan ajratish yaxshiroqdir). , uchinchisi kiruvchi ulanishlarni qabul qilish uchun interfeyslarni tinglash uchun qaysi tashqi manzilni belgilaydi. Ya'ni, bir nechta tashqi manzillar bo'lsa, faqat bittasini tinglash mumkin. Uchinchi parametr ko'rsatilmagan bo'lsa, barcha mavjud tashqi manzillar tinglanadi.

Faylni saqlang va yoping. Qo'shimcha nozik sozlamalar/etc/ppp/pptpd-options faylida belgilang:

Sudo nano /etc/ppp/pptpd-options

Avvalo, biz eski va xavfli autentifikatsiya usullaridan foydalanishni taqiqlovchi qatorlarni olib tashlaganimizga ishonch hosil qilamiz:

Refuse-pap refuse-chap refuse-mschap

Shuningdek, biz proksiarp opsiyasi yoqilganligini tekshiramiz (tegishli qator izohsiz) va qoʻshimcha ravishda bitta foydalanuvchidan bir nechta ulanishga ruxsat berish yoki rad etish uchun blokirovka opsiyasiga izoh berish (ruxsat berish) yoki izohni olib tashlash (rad etish) uchun.

Biz ham faylni saqlaymiz va uni yopamiz. Qolgan narsa foydalanuvchilarni yaratishdir:

Sudo nano /etc/ppp/chap-secrets

Har bir VPN foydalanuvchisi uchun bitta qator ajratiladi, unda uning nomi, masofaviy manzili, paroli va mahalliy manzili ketma-ket ko'rsatiladi (bo'sh joy bilan).

Agar foydalanuvchi tashqi statik IPga ega bo'lsa va faqat undan foydalanilsa, masofaviy manzilni ko'rsatish mumkin, aks holda ulanishni qabul qilish uchun yulduzcha belgilagan ma'qul. Agar foydalanuvchiga virtual tarmoqda bir xil IP-manzil ajratilishini istasangiz, mahalliy ko'rsatilishi kerak. Masalan:

Foydalanuvchi1 * parol1 * foydalanuvchi2 11.22.33.44 parol2 * foydalanuvchi3 * parol3 10.10.10.10

Foydalanuvchi1 uchun ulanishlar istalgan tashqi manzildan qabul qilinadi, mahalliy birinchi mavjud bo'lgan manzilga ajratiladi. User2 uchun birinchi mavjud mahalliy manzil ajratiladi, lekin ulanishlar faqat 11.22.33.44 manzilidan qabul qilinadi. User3 uchun ulanishlar istalgan joydan qabul qilinadi, lekin mahalliy manzil har doim 10.10.10.10 uchun ajratiladi, biz buning uchun ajratganmiz.

Bu VPN serverining konfiguratsiyasini tugatadi (Linux ostida kompyuterni qayta ishga tushirish shart emas):

Sudo xizmati pptpd qayta ishga tushirildi

VPN mijozlarini sozlash

Mijoz qismi har qanday narsaga mos ravishda sozlanishi mumkin operatsion tizim, Men misol sifatida foydalanaman Ubuntu Linux 16.04 .

Yoniq mijoz kompyuteri ochiq tarmoq ulanishlari(skrinshotlar Ubuntu + Cinnamon uchun ko'rsatilgan, GNOME uchun ham xuddi shunday qilingan, Kubuntuda bu hech qanday qiyinchilik tug'dirmaydiganga o'xshaydi). "Qo'shish" tugmasini bosing va PPTP ulanishini tanlang:

VPN ulanishining nomi standart qoldirilishi mumkin yoki siz uchun qulay va tushunarli bo'lganini belgilashingiz mumkin - bu sizning didingiz masalasidir. Biz "shlyuz" maydoniga biz ulanayotgan serverning tashqi IP-manzilini kiritamiz ("tinglash" opsiyasida sozlashda ko'rsatilgan), quyida ism va parol. O'ng tarafdagi "Parol" maydonida avval "Ushbu foydalanuvchi uchun parolni saqlash" variantini tanlashingiz kerak:

Shundan so'ng, oynalarni yoping va serverga ulaning. Agar server mahalliy tarmog'ingizdan tashqarida joylashgan bo'lsa, sizga Internetga kirish kerak bo'ladi.

Bu virtual tarmoqni tashkil qilishni tugatadi, lekin u faqat kompyuterlarni ulaydi mahalliy tarmoq. Tarmoq serveri orqali Internetga kirish uchun yana bitta sozlamani o'rnatishingiz kerak.

VPN orqali Internetga kirishni sozlash

VPN serverida quyidagi buyruqlarni kiriting:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -s 10.10.10.1/24 -j IPtables QABUL OLING -A FORWARD -d 10.10.10 -j1/ACPT

bu erda 10.10.10.1/24 - mahalliy server manzili va tarmoq maskasi.

Shundan so'ng, o'zgarishlarni server qayta ishga tushirilgandan keyin ham ishlashi uchun saqlang:

Iptables - saqlang

Va barcha o'zgarishlarni qo'llang:

Iptables - qo'llash

Shundan so'ng siz Internetga kirishingiz mumkin. Agar siz IP-manzilingizni ko'rsatadigan har qanday saytga kirsangiz, sizniki emas, balki tashqi server manzilini ko'rasiz (agar ular mos kelmasa).

Sizga shuni eslatib o'tamanki, harakatlaringizning oqibatlari uchun faqat siz javobgarsiz.

Haqiqiy xususiy virtual tarmoq yoki Virtual Private Network (VPN) bu ikkita ishonchli nuqtani bog'laydigan ikkita tarmoq o'rtasida shifrlangan, ulangan tunneldir. Bu barcha mijozlarni ishonchli deb hisoblaydigan HTTPS veb protokoli emas. VPN-ga faqat maxsus kirish kalitlari bo'lgan mijozlar ulanishi mumkin.

VPN tushunchasi shu kunlarda xususiyning paydo bo'lishi bilan juda bo'sh bo'lib qoldi virtual tarmoqlar hamma tomonidan ishonchli va HTTPSni targ'ib qiladi. Ko'pchilik VPN tarmoqlari ta'minlash uchun minimal miqdordagi sozlamalarga ega tijorat echimlari masofaviy kirish xodimlar. Ammo hamma ham bu qarorlarga ishonmaydi. Xususiy virtual tarmoq ikkita tarmoqni bitta tarmoqqa ulaydi, masalan, ofis tarmog'i va uy tarmog'i xodim. Server va mijoz bir-birlari bilan autentifikatsiya qilishlari uchun VPN serveri talab qilinadi.

Server va mijozning autentifikatsiyasini o'rnatish juda ko'p mehnat talab qiladi va shuning uchun minimal sozlamalarga ega tijorat echimlari bu borada yo'qotadi. Lekin aslida OpenVPN serverini o'rnatish unchalik qiyin emas. Sinov muhitini tashkil qilish uchun sizga turli tarmoqlarda ikkita tugun kerak bo'ladi, masalan, siz bir nechta foydalanishingiz mumkin virtual mashinalar yoki haqiqiy serverlar. Siz allaqachon tushunganingizdek, ushbu maqolada to'liq xususiy virtual tarmoq yaratish uchun Ubuntu-da OpenVPN-ni o'rnatish muhokama qilinadi.

Ikkala mashinada ham OpenVPN o'rnatilgan bo'lishi kerak, bu juda yaxshi mashhur dastur, shuning uchun uni rasmiy omborlardan o'rnatishingiz mumkin. Maxfiy kalitlar bilan ishlash uchun bizga Easy-RSA ham kerak. Ubuntu-da dasturlarni o'rnatish uchun quyidagi buyruqdan foydalaning:

sudo apt install openvpn easy-rsa

Ikkala paket ham serverga, ham mijozga o'rnatilishi kerak. Ular dasturni sozlash uchun kerak bo'ladi. Maqolaning birinchi bosqichi - openvpn-ni o'rnatish va sozlash tugallandi.

Sertifikat organini tashkil etish

Siz qilishingiz kerak bo'lgan birinchi narsa - serverda to'g'ri ochiq kalit infratuzilmasini yaratish. Biz serverni foydalanuvchilar ulanadigan mashina deb hisoblaymiz. O'z CAga ega bo'lishning bir qancha afzalliklari bor, siz o'z CAga ega bo'lasiz, bu esa kalitlarni taqsimlash va boshqarishni osonlashtiradi. Masalan, serverdagi mijoz sertifikatlarini bekor qilishingiz mumkin. Bundan tashqari, endi barcha mijoz sertifikatlarini saqlashning hojati yo'q, bu sertifikat CA tomonidan imzolanganligini bilish uchun etarli bo'ladi. Murakkab kalit tizimiga qo'shimcha ravishda, agar siz faqat bir nechta foydalanuvchilarga kirishni ta'minlashingiz kerak bo'lsa, statik kalitlardan foydalanishingiz mumkin.

Iltimos, barcha shaxsiy kalitlar xavfsiz joyda saqlanishi kerakligini unutmang. OpenVPN-da ochiq kalit sertifikat deb ataladi va .crt kengaytmasiga ega va shaxsiy kalit Bu kalit deb ataladi, uning kengaytmasi .key.

Birinchidan, Easy-RSA sertifikatlarini saqlash uchun papka yarating. Aslida, OpenVPN konfiguratsiyasi qo'lda amalga oshiriladi, shuning uchun papkani istalgan joyga joylashtirish mumkin:

sudo mkdir /etc/openvpn/easy-rsa

Keyin barcha kerakli easy-rsa skriptlarini ushbu jildga nusxalang:

cd /etc/openvpn/easy-rsa/

sudo -i
# manba ./vars
# ./hammasini tozalamoq
# ./build-ca

Birinchi buyruq bilan biz konsolga superuser sifatida o'tamiz, ikkinchisida ./vars faylidan muhit o'zgaruvchilarini yuklaymiz. ./clear-all buyrug'i, agar u mavjud bo'lmasa, kalitlar papkasini yaratadi va uning tarkibini tozalaydi. Va oxirgi buyruq bizning sertifikat vakolatimizni ishga tushiradi. Endi barcha kerakli kalitlar .keys jildida paydo bo'ldi:

Mijoz sertifikatlarini sozlash

sudo cp -R /usr/share/easy-rsa /etc/openvpn/

Endi biz sertifikatni, .crt kengaytmali faylni barcha mijozlardagi /etc/openvpn jildiga nusxalashimiz kerak. Masalan, mijozimiz uchun ushbu faylni scp yordamida yuklab olamiz:

sudo scp user@host:/etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys

Faqat endi siz CA sertifikati asosida shaxsiy kalitingizni yaratishingiz mumkin:

cd /etc/openvpn/easy-rsa/

sudo -i
# manba ./vars
# build-req Sergiy

E'tibor bering, ca.crt kalitlari bo'lgan papkada bo'lishi kerak, aks holda hech narsa ishlamaydi. Endi yordamchi dastur siz OpenVPN serveriga ulanishingiz mumkin bo'lgan kalitni yaratadi, ammo siz hali ham uni serverda imzolashingiz kerak. Olingan .csr faylini bir xil scp yordamida serverga yuboring:

scp /etc/openvpn/easy-rsa/keys/Sergiy.csr user@host:~/

Keyin /etc/openvpn/easy-rsa jildidagi serverda sertifikat imzolash buyrug'ini ishga tushirishingiz kerak:

./sign-req ~/Sergiy

Sertifikat imzosi tasdiqlanishi kerak. Keyin dastur imzolanganligi va ma'lumotlar bazasiga qo'shilganligi haqida xabar beradi. Csr sertifikati bo'lgan papkada .crt fayli paydo bo'ladi, uni mijoz mashinasiga qaytarish kerak:

sudo scp user@host:/home/Sergiy.crt /etc/openvpn/easy-rsa/keys

Shundan keyingina server va mijoz ulanish va aloqa o'rnatish uchun barcha kerakli kalitlarga ega bo'ladi. Hali bir nechta sozlamalar qoldi. Agar siz TLS shifrlashdan foydalanishni rejalashtirmoqchi bo'lsangiz, serverda Diffie-Huffman ma'lumotlar to'plamini yaratishingiz kerak, buning uchun buyruqdan foydalaning:

OpenVPN o'rnatilmoqda

Endi OpenVPN serverini sozlang. Odatiy bo'lib, OpenVPN konfiguratsiya fayllari jildida hech narsa yo'q. Siz sozlashni rejalashtirgan narsangizga, serverga yoki mijozga qarab ularni o'zingiz yaratishingiz kerak. Majburiy fayl OpenVPN konfiguratsiyasini /usr/share/doc/openvpn/examples/sample-config-files/ sahifasida topish mumkin. Birinchidan, server uchun konfiguratsiya faylini yaratamiz:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Bu erda siz bir nechta parametrlarni sozlashingiz kerak:

port Va proto- dastur ishlaydigan port va protokol;

port 1194
proto udp

Barcha yaratilgan kalitlar konfiguratsiya faylida yozilishi kerak. Bizning kalitlarimiz /etc/openvpn/easy-rsa/keys manzilida saqlanadi:

sertifikat /etc/openvpn/easy-rsa/keys/ca.crt
kalit /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem

Biz virtual tarmoq uchun manzillar oralig'ini sozlaymiz, bizning serverimizga ulardan birinchisi orqali kirish mumkin - 10.8.0.1:

server 10.8.0.0 255.255.255.0

Konfiguratsiyani tugatgandan so'ng, o'zgarishlarni faylga saqlang, siz ushbu konfiguratsiyani o'zingizga joylashtirishingiz yoki misol faylini tahrirlashingiz mumkin. Tayyor ishlaydigan server sozlamalari:

port 1194
proto udp
comp-lzo
ishlab ohang
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
topologiya quyi tarmog'i
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf

Turli serverlarga ulanish uchun bir nechta mijoz konfiguratsiya fayllarini yaratishingiz mumkin. Konfiguratsiya faylini oching va undagi quyidagi parametrlarni o'zgartiring:

masofaviy- bu sizning OpenVPN server manzilingiz, manzil va port serverda sozlanganlarga mos kelishi kerak, masalan:

masofaviy 194.67.215.125 1194

taxminan- sertifikatlashtirish markazidan olingan kalit, biz uni /etc/openvpn/ jildida joylashtirdik.

sertifikat va kalit- bu mijozning ochiq va maxfiy kalitlari bo'lib, ular yordamida siz serverga ulanasiz. Esingizda bo'lsa, biz ularni /etc/openvpn/easy-rsa/keys/ papkasida saqlagan edik.

ca /etc/openvpn/easy-rsa/keys/ca.crt

Qolgan sozlamalar o'z holicha qoldirilishi mumkin. Bu erda siz nusxalashingiz mumkin bo'lgan to'liq konfiguratsiya fayli:

mijoz
ishlab ohang
proto udp
masofaviy 194.67.215.125 1194
resolv-qayta urinish cheksiz
nobind
doimiy kalit
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
kalit /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
fe'l 3

Sozlamalarni saqlang, endi mijoz ulanishga tayyor. E'tibor bering, konfiguratsiya fayllari imkon qadar mos bo'lishi kerak, fayllardan birida ma'lum parametrlarning etishmasligi xatolarga olib kelishi mumkin; Bu fayllar bir xil bo'ladi degani emas, lekin asosiy openvpn parametrlari bir xil bo'lishi kerak. Buning uchun ushbu konfiguratsiya fayli yordamida ushbu mashinada OpenVPN-ni ishga tushirish kifoya:

openvpn /etc/openvpn/client.conf

Bajarildi, endi hamma narsa ishlaydi, agar ifconfig dasturini ishga tushirsangiz, tun0 interfeysi qo'shilganligini ko'rasiz:

10.8.0.1 ping manzillarini ham sinab ko'rishingiz mumkin, bu bizning OpenVPN serverimiz uchun sozlangan manzil, ping paketlari odatdagidek yuboriladi. Agar paketlar kelmasa yoki boshqa biror narsa ishlamasa, ikkala dasturning chiqishiga e'tibor bering, har qanday xato yoki ogohlantirishlar bo'lishi mumkin, shuningdek, server xavfsizlik devori 1194 port uchun udp orqali tashqaridan kirishga ruxsat berishiga ishonch hosil qiling. shuningdek, server yoki mijozni ishga tushirib, konfiguratsiyadagi tafsilotlar darajasini maksimal 9 fe'lga o'rnating. Ko'pincha bu nima uchun biror narsa ishlamayotganini tushunishga yordam beradi. Lekin siz hali tunnel orqali transportni yo'naltira olmaysiz. Buning uchun siz yo'naltirishni yoqishingiz va bir nechta iptables qoidalarini qo'shishingiz kerak. Birinchidan, serverda paketlarning tranzitiga ruxsat beramiz:

sysctl -w net.ipv4.ip_forward=1

Keyin shunga o'xshash qoidalarni qo'shing. Biz hammaga serverimizga ulanishga ruxsat beramiz:

iptables -A INPUT -p udp --dport 1194 -j QABUL QILING

Biz OpenVPN foydalanuvchilariga Internetga kirishga ruxsat beramiz:

iptables -I FORWARD -i tun0 -o eth0 -j QABUL
# iptables -I FORWARD -i eth0 -o tun0 -j QABUL QILAMAN
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERAD

xulosalar

Ushbu maqolada biz OpenVPN Ubuntu-ni qanday o'rnatish va sozlashni, shuningdek, kalit autentifikatsiyasi bilan ishlash uchun openvpn-ni qanday sozlashni ko'rib chiqdik. Shaxsiy virtual tarmoqlarni tashkil qilish nafaqat tashkilotlarda, balki ikkita kompyuteringiz o'rtasida ma'lumot almashish yoki tarmoq xavfsizligini oshirish uchun juda foydali bo'lishi mumkin.

IN oxirgi versiyalari ubuntu-dan foydalanib, endi VPN ulanishini sozlash mumkin GUI. Keling, VPN-ni sozlashni ko'rib chiqaylik.

Bizga 2 ta paket kerak bo'ladi. Bular pptp-linux va network-manager-pptp paketlari. Siz ularni havolalar orqali yuklab olishingiz mumkin:

Esda tutingki, arxitekturangiz uchun paketlar yuklab olinishi kerak (32 yoki 64 bit).

Yuklab olingandan so'ng, paketlarni tegishli tartibda o'rnating. Avval qo'yamiz pptp-linux, Keyin tarmoq menejeri-pptp.

O'rnatishdan keyin tarmoq menejeri-pptp Biz tizimni qayta ishga tushiramiz.

Qayta ishga tushirgandan so'ng, yuqori o'ng burchakda ikkita monitor tasvirlangan belgini toping va ustiga sichqonchaning chap tugmasini bosing.

Punt topish “VPN-ni sozlash...” va ustiga bosing.

Shundan so'ng, boshqa oyna paydo bo'ladi.

Yangi oynada ulanish nomini va VPN server manzilini ko'rsating. Mening vaziyatimda ism "aist" va server manzili (shlyuz). server.avtograd.ru

(Kattalashtirish uchun rasm ustiga bosing)

Ma'lumotlar kiritilgandan so'ng, yorliqlardan o'ting "Autentifikatsiya", "Siqish va shifrlash" va hokazo. va tafsilotlarni to'ldiring. Hali "Keyingi" tugmasini bosmasdan.

Shaxsan menga kelsak, men bu yorliqlarda hech narsani o'zgartirmadim va hamma narsani avvalgidek qoldirdim. Nimani o'zgartirish va nimani o'zgartirmaslik provayderingizga bog'liq.

Barcha sozlamalar o'rnatilgandan so'ng, bosing "Keyingi".

Boshqa oyna paydo bo'ladi.

Tugmasini bosing "Qo'llash". VPN ulanish sozlamalari endi sozlangan.

Endi Internetga ulanamiz. Shunga qaramay, ikkita monitor bilan bir xil belgini sichqonchaning chap tugmasi bilan bosing va yaratgan ulanishni tanlang. Mening holimda shunday "aist".

Ko'rsatilgan oynada tarmoqqa ulanish uchun foydalanuvchi nomi va parolimizni kiriting va bosing "KELISHDIKMI."

Hammasi tayyor. Barqaror internet aloqasiga ega bo'ling =).

Material myubuntu.ru uchun maxsus tayyorlangan.

Ubuntu'da VPN o'rnatilmoqda

Men ushbu maqolani yozishni o'ylamagan edim, lekin Ubuntu 8.04 da ular statik IP manzillari bo'lgan tarmoqda ishlashda Tarmoq menejerini odatdagidek bajarmaganligi sababli, men VPN ulanishimni qanday qilib qo'lda sozlashimni tasvirlab beraman.

bilan sozlanmoqda Tarmoq yordamida Menejer

Qanday bo'lmasin, lekin tarmoq menejeridan foydalangan holda VPN-ni sozlashni tasvirlab bering avtomatik qabul qilish DHCP yordamida IP manzillar.
1. Bizga kerak bo'lgan ikkita paketni o'rnating:

Ushbu paketlar sukut bo'yicha Ubuntu diskida bo'lmagani va VPN ko'pincha boshqa Internetga kirish imkoniga ega bo'lmagan mashinada sozlanishi kerakligi sababli, men ushbu paketlarni rasmiy ombordan oldindan zaxiralashni maslahat beraman. Buning uchun http://packages.ubuntu.com/ veb-saytiga o'ting, u erda biz ushbu ikkita paketni qidiramiz, ularni yuklab olamiz va keyin ularni kerakli mashinaga o'rnatamiz.
2. Agar "VPN ulanishlari" bandi Tarmoq menejeri ilovasida ko'rinmasa yoki u ochilmasa, siz qayta kirishingiz yoki undan ham yaxshiroq, qayta ishga tushirishingiz kerak.
3. Tarmoq menejeri belgisida sichqonchaning chap tugmachasini bosing (o'ng tugma boshqa menyuni ochadi) va ochiladigan menyuda "VPN ulanishlari" -ni tanlang - "VPNni sozlash" yangi ulanishni qo'shing va ushbu ulanish uchun barcha kerakli parametrlarni o'rnating.
4. Shundan so'ng, sizning ulanishingiz "VPN ulanishlari" menyusida paydo bo'lishi kerak, agar u to'satdan paydo bo'lmasa, tizimga kiring yoki qayta yoqing (yaxshi, men nima qila olaman, bu tarmoq menejeri:() hali ham juda qo'pol.
5. Endi siz yaratgan VPN ulanishiga ulanishingiz mumkin (shuningdek, Tarmoq menejerida menyu bandini tanlash orqali uzishingiz mumkin).

Qo'lda sozlash

Keyin ulanishim uchun sozlashni tasvirlab beraman; sizning sozlamalaringiz siz kiritgan ma'lumotlarda farq qilishi va siz kiritgan parametrlarda ham farq qilishi mumkin.
1. Paketni o'rnating pptp-linux:

Yuqorida tarmoq menejeridan foydalangan holda o'rnatish bo'limida aytib o'tganimdek, VPN ko'pincha boshqa Internetga ulanmagan mashinada sozlanishi kerak, shuning uchun sizga ushbu paketni zaxiralashni maslahat beraman. rasmiy ombor http://packages.ubuntu.com/.
2. Faylni tahrirlang options.pptp:

nano /etc/ppp/options.pptp

qulf
noauth
nobsdcomp
nodeflate
davom eting

Men har bir parametrni tasvirlamayman, faqat bir nechtasini tasvirlab beraman:
davom eting- bu parametr yopilganda ulanishni qayta ochishga harakat qiladi;
nodeflate- deflatsiya siqishni ishlatmang (garchi ular tezroq ishlaydi deyishsa-da, men bilmayman - men buni sinab ko'rmadim).
Bundan tashqari, agar ulanishingiz shifrlashdan foydalansa, shifrlash turiga qarab qatorlardan birini qo'shing - talab-mschap-v2, talab-mppe-40, talab-mppe-128, talab-mppe.
3. Ulanish faylini yarating /etc/ppp/peers/vpn(Ism vpn uni boshqasi bilan almashtirishingiz mumkin, lekin agar uni almashtirsangiz, ushbu maqolada keyinroq o'zgartirishni unutmang)

nano /etc/ppp/peers/vpn

U erga quyidagi qatorlarni kiriting:

maxfail 0
lcp-echo-interval 60
lcp-echo-failure 4
standart yo'nalish
pty "pptp vpn.ava.net.ua --nolaunchpppd"
ismi sukochev
masofaviy nom PPTP
+bob
fayl /etc/ppp/options.pptp
ipparam vpn

Diqqat!!! Quyidagi variantlarni o'zingiz bilan almashtirganingizga ishonch hosil qiling:
O'rniga vpn.ava.net.ua VPN serveringiz manzilini kiriting (siz server IP-dan foydalanishingiz mumkin). O'rniga sukochev ulanish loginingizni kiriting.
Men ba'zi parametrlarni tasvirlab beraman:
maxfail 0- aloqa bo'lmaganda doimo ulanishga harakat qiling;
lcp-echo-interval- masofaviy partiya so'rovi o'tkaziladigan vaqt oralig'i;
lcp-echo-muvaffaqiyatsizlik- masofaviy tomonning javobsiz so'rovlari soni, shundan so'ng tizim bizni uzilgan deb hisoblaydi;
standart yo'nalish- standart marshrutni o'rnatish;
+bob- autentifikatsiya turi. +Chapga qo'shimcha ravishda turdan foydalanish mumkin +pap.
fayl- o'qing qo'shimcha sozlamalar berilgan fayldan.
Agar kerak bo'lsa, siz quyidagi parametrlarni qo'shishingiz mumkin:
deflate 15.15- deflate siqishni ishlatish (Options.pptp faylida nodeflate parametri bo'lmasligi kerak);
mtu - maksimal hajmi uzatilgan paket (bu parametr odatda ulanish tez-tez uzilib qolganda yoki ba'zi saytlar ochilmasa o'zgartiriladi);
mru- qabul qilingan paketning maksimal hajmi.
4. Faylni tahrirlang /etc/ppp/chap-secrets(agar PAP autentifikatsiya turi ishlatilsa, /etc/ppp/pap-secrets mos ravishda)

nano /etc/ppp/chap-secrets

U erga quyidagi qatorni kiriting:

sukochev PPTP paroli *

Diqqat!!! O'zgartiring sukochev loginingizga va parol ulanish parolingizga.
5. Agar kerak bo'lsa, uni faylga yozing /etc/network/interfeyslar zarur marshrutlar. Masalan, VPN ulanishi yoqilganda mahalliy mahalliy tarmoqdan foydalanishim uchun menda roʻyxatdan oʻtgan yoʻnalishlar bor. Mana mening marshrutlarimga misol (yuqori yo'nalish bilan boshlanadiganlar), sizniki tabiiyki boshqacha bo'ladi:

avtomatik et1
iface eth1 inet dhcp
yuqoriga marshrut qoʻshish -net 10.1.0.0 tarmoq niqobi 255.255.0.0 gw 10.1.45.1 dev eth1
yuqoriga marshrut qoʻshish -net 10.3.0.0 tarmoq niqobi 255.255.0.0 gw 10.1.45.1 dev eth1

/etc/network/interfaces faylini o'zgartirgandan so'ng tarmoq ulanishlarini qayta ishga tushirishni unutmang:

/etc/init.d/tarmoqni qayta ishga tushiring

6. Endi siz VPN ulanishini quyidagi buyruqlar yordamida yoqishingiz va oʻchirishingiz mumkin:
Inklyuziya

O'chirish; yopish

Avtomatik VPN ulanishi tizim ishga tushganda

Buning uchun faylni tahrirlang /etc/network/interfeyslar

nano /etc/tarmoq/interfeyslar

Va faylning oxiriga quyidagi qatorlarni qo'ying:

avtomatik ppp0
iface ppp0 inet ppp
provayder vpn
oldindan IP havolasini o'rnatish eth1 up
sukut bo'yicha yuqoriga marshrut
yuqoriga marshrutga standart dev ppp0 qo'shing

Qayerda et1- bu interfeys tarmoq qurilmasi, bu orqali VPN ulanishi ulanadi va vpn- /etc/ppp/peers/ jildida yaratgan VPN ulanishining nomi.

1-qadam

Buyruqlar qatorini oching

Eng oson yo'li - Ctrl + Alt + T tugmalarini bir vaqtning o'zida bosish orqali terminalni ochish, lekin siz Terminalni Asosiy menyudan ham ishga tushirishingiz mumkin.

2-qadam

OpenVPN Network Manager plaginini o'rnatish uchun kiriting buyruq qatori tirnoqsiz quyidagi buyruq: "sudo apt-get install network-manager-openvpn-gnome". Enter tugmasini bosing.

3-qadam

OpenVPN Network Manager plaginini o'rnating

Agar kerak bo'lsa, tizim parolini kiriting va Enter tugmasini yana bir marta bosing.

4-qadam

OpenVPN Network Manager plaginini o'rnating

"Y" ni kiriting, ya'ni o'rnatishga rozilik bildirasiz va Enter tugmasini bosing.

5-qadam

Sertifikatni yuklab oling

IN shaxsiy hisob Siz sertifikat yaratdingiz, uni o'rnatish uchun uni yuklab olishingiz kerak. Mening xizmatlarim "VPN->Mening xizmatlarim" bo'limiga o'ting va "VPN mijozlari" ni bosing.

6-qadam

Sertifikatni yuklab oling

Sertifikatni yuklab olish uchun OpenVPN belgisini bosing.

7-qadam

Sertifikatni yuklab oling

"Ushbu faylni saqlamoqchimisiz?" Degan savolga "Faylni saqlash" tugmasini bosing. Fayl yuklab olishni boshlaydi.

8-qadam

Sertifikatni yuklab oling

Sertifikatlarning nomlari uzun bo'lgani uchun, qulaylik uchun avval uni qisqaroq nomga o'zgartirishingiz mumkin.

9-qadam

Import konfiguratsiyasi

Siz OpenVPN konfiguratsiyasini quyidagi buyruq yordamida import qilishingiz mumkin "sudo openvpn --config /home/my/Downloads/client.ovpn". Bu erda "/home/my/Downloads" - bu sertifikat joylashgan papkaga yo'l va client.ovpn - sertifikatning o'zi. Enter tugmasini bosing.

10-qadam

Import konfiguratsiyasi

Agar kerak bo'lsa, tizim parolingizni kiriting va Enter tugmasini yana bir marta bosing. VPN ulangan, endi siz terminalni yopishingiz mumkin, bu VPN ishiga ta'sir qilmaydi.

11-qadam

Tarmoqdan uzilish

Agar siz VPN-ni o'chirib qo'ymoqchi bo'lsangiz, terminalda "sudo killall openvpn" buyrug'ini kiriting. Enter tugmasini bosing.

12-qadam

Tarmoqdan uzilish

Agar kerak bo'lsa, tizim parolini kiriting va Enter tugmasini yana bir marta bosing. Endi VPN o'chirib qo'yiladi.

13-qadam

VPN ning barcha afzalliklaridan foydalanish

Tabriklaymiz! Siz Ubuntu-da VPN-ni o'rnatishga muvaffaq bo'ldingiz! Endi sizda Internetga xavfsiz kirish va yangi IP mavjud!

Nima uchun Linux uchun VPN yuklab olishingiz kerak?

• olasiz ishonchli ulanish, barqaror tezlik va sevimli kontentingizga kirish
• O'rnatish VPN kengaytmalari brauzer uchun faqat veb-sahifalar uchun amal qiladi, ular o'yinlar va torrentlarni yuklab olish uchun mos emas
• Linux uchun VPN haqiqiy IP-ni VPN-serverning IP-manziliga almashtirish orqali foydalanuvchilar uchun maksimal anonimlikni ta'minlashga yordam beradi.