Socrú freastalaí VPN ar Linux: PPTP nó OpenVPN?

Sa lá atá inniu ann, éiríonn teicneolaíocht VPN níos mó tóir. Úsáideann gnáthúsáideoirí VPN chun rochtain a fháil ar an Idirlíon go sábháilte. Cuidíonn sé freisin le dul timpeall ar shuíomhanna gréasáin agus ar sheirbhísí a bhfuil bac orthu go háitiúil agus cosaint a thabhairt ar iompar mailíseach seachtrach a d’fhéadfadh a bheith ann. Agus tú ag nascadh le freastalaí VPN, tá tollán sábháilte idir do ríomhaire agus an freastalaí nach féidir rochtain a fháil air ón taobh amuigh, agus mar sin is é an freastalaí VPN do phointe rochtana Idirlín. Tá go leor seirbhísí VPN amuigh ansin, idir saor in aisce agus íoctha, ach mura n-oibríonn siad duit ar chúis éigin, is féidir leat do fhreastalaí VPN féin a chumrú i gcónaí.

Chun do oun VPN a rith, ba cheart duit cíos freastalaí VPS. Tá bogearraí éagsúla ann a ligeann duit nasc VPN a chruthú. Tá sé difriúil óna chéile ag córais oibriúcháin a fhaigheann tacaíocht agus halgartaim a úsáidtear. Breathnóimid ar dhá chur chuige neamhspleácha chun freastalaí VPN a bhunú. Tá an chéad cheann bunaithe ar phrótacal PPTP a mheastar cheana féin a bheith imithe i léig agus nach bhfuil slán ach atá éasca i ndáiríre a chumrú. Fostaíonn an ceann eile bogearraí nua-aimseartha agus slán OpenVPN ach éilíonn sé feidhmchlár cliant tríú páirtí agus próiseas socraithe níos críochnúla a shuiteáil.

Inár dtimpeallacht tástála, táimid ag dul a úsáid freastalaí fíorúil faoi thiomáint ag Ubuntu Server 18.04. Tá balla dóiteáin le bheith múchta ar an bhfreastalaí toisc go bhfuil alt ar leith tuillte ag a chumraíocht. Déanfaimid cur síos ar an bpróiseas socraithe ar Windows 10.

Ullmhúchán

Is cuma cén freastalaí VPN a roghnaíonn tú, socrófar an rochtain Idirlín trí mhodhanna comhtháite an chórais oibriúcháin. Chun rochtain Idirlín a oscailt trí chomhéadan seirbhíse seachtrach caithfidh tú cur ar aghaidh paicéid a cheadú idir na comhéadain agus aistriúchán seoltaí líonra a chumrú.

Chun cur ar aghaidh paicéad a chur ar siúl oscail an comhad “/etc/sysctl.conf” agus athrú “net.ipv4.ip_ar aghaidh” luach paraiméadar isteach 1.

Chun athruithe a chur i bhfeidhm gan an ríomhaire a atosú, rith an t-ordú

sudo sysctl -p /etc/sysctl.conf

Déantar aistriúchán seoltaí líonra a chumrú trí bhíthin iptables. Ar dtús, seiceáil ainm do chomhéadain líonra seachtrach a ritheann an t-ordú “Seó nasc ip” - beidh sé de dhíth ort ag an gcéad chéim eile. Is é ár ainm "ens3".

Cumasaigh aistriúchán seoltaí líonra ag do chomhéadan seachtrach do gach nód líonra áitiúil.

sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Tabhair faoi deara gur gá duit a shonrú ar an ainm fíor do fhreastalaí comhéadan, is féidir é a bheith difriúil ó na linne.

De réir réamhshocraithe, athshocraítear na rialacha go léir a chruthaíonn iptables tar éis atosú an fhreastalaí. Chun é sin a chosc, bain úsáid as “iptables-leanúnach” fóntais. Suiteáil an pacáiste seo a leanas:

sudo apt install iptables-persistent

Ag pointe éigin le linn an phróisis suiteála, feicfidh tú fuinneog chumraíochta a thabharfadh le tuiscint duit rialacha reatha iptables a shábháil. Ós rud é go bhfuil na rialacha sainithe cheana féin, ach a dhearbhú agus cliceáil "Is ea" faoi ​​dhó. Ón am seo cuirfear na rialacha i bhfeidhm go huathoibríoch tar éis atosú an fhreastalaí.

Freastalaí PPTP

Cumraíocht fhreastalaí

Suiteáil an pacáiste:

sudo apt install pptpd

Nuair a chríochnaíonn an tsuiteáil, oscail an comhad “/etc/pptpd.conf” in aon eagarthóir téacs agus cuir in eagar é mar seo:

option /etc/ppp/pptpd-options #path to the settings file
logwtmp #client connections logging mechanism
connections 100 #number of simultaneous connections
localip 172.16.0.1 #the address that will serve as a client gateway
remoteip 172.16.0.2-200 #range of addresses

Tar éis sin, in eagar an comhad “/etc/ppp/pptpd-options”. Tá an chuid is mó de na paraiméadair socraithe de réir réamhshocraithe.

#name of the service for new client records
name pptpd

#restrict obsolete authentication methods
refuse-pap
refuse-chap
refuse-mschap

#allow a more secure authentication method
require-mschap-v2

#enable encryption
require-mppe-128

#specify dns servers for clients (use any available servers)
ms-dns 8.8.8.8
ms-dns 8.8.4.4

proxyarp
nodefaultroute
lock
nobsdcomp
novj
novjccomp
nologfd

Ag an gcéad chéim eile, beidh ort taifead a chruthú do naisc cliant. Ligean le rá gur mhaith leat úsáideoir a chur leis “vpnuser” le focal faire "1" agus aitheasc dinimiciúil a cheadú dó. Oscail an comhad “/etc/ppp/chap-secrets” agus cuir an líne seo a leanas le paraiméadair an úsáideora ag deireadh an chomhaid:

vpnuser pptpd 1 *

“pptpd” luach ainm na seirbhíse a shonraigh muid sa chomhad “roghanna pptpd”. In ionad "*" is féidir leat seoladh IP seasta a shonrú. Sa toradh, an comhad “rún-rún” chóir breathnú mar seo:

Chun na socruithe a chur i bhfeidhm athshocraigh an pptpd seirbhíse agus cuir le uathlódáil é.

sudo systemctl restart pptpd
sudo systemctl enable pptpd

Tá cumraíocht an fhreastalaí críochnaithe.

Cumraíocht an chliaint

Oscail “Tosaigh” - “Socruithe” - Líonra & Idirlíon - "VPN" agus cliceáil “Cuir nasc VPN leis”

Cuir isteach na paraiméadair nasc sa fhuinneog a osclaíodh agus cliceáil “Sábháil”

• Soláthraí VPN: “Windows (tógtha i)”
• Ainm ceangail: “vpn_connect” (is féidir leat aon ainm a roghnú)
• Ainm nó seoladh an fhreastalaí: (sonraigh seoladh IP seachtrach an fhreastalaí)
• Cineál VPN: “Auto”
• Cineál faisnéise síniú isteach: “Ainm úsáideora agus pasfhocal”
• Ainm úsáideora: úsáideoir vpn (ainm sonraithe sa chomhad “chap-secrets” ar an bhfreastalaí)
• Pasfhocal: 1 (mar atá sa chomhad “chap-secrets”)

Tar éis paraiméadair a shábháil, feicfidh tú an nasc VPN nua san fhuinneog. Clé-cliceáil ar an nasc agus roghnaigh "Ceangail". I gcás nasc rathúil, feicfidh tú "Ceangailte" stádas.

Sna Roghanna, gheobhaidh tú seoltaí inmheánacha an chliaint agus an fhreastalaí. Réimse “Seoladh Ceann Scríbe” taispeánann sé seoladh an fhreastalaí seachtrach.

Nuair atá sé ceangailte, seoladh IP inmheánach an fhreastalaí, 172.16.0.1 inár gcás, is é an geata réamhshocraithe do gach paicéad a théann amach.

Ag baint úsáide as aon seirbhís ar líne is féidir leat a chinntiú go bhfuil seoladh IP seachtrach an ríomhaire mar an gcéanna le seoladh IP do fhreastalaí VPN anois.

Freastalaí OpenVPN

Cumraíocht fhreastalaí

Cuirimis leibhéal ceada an úsáideora reatha chun cinn mar beidh rochtain fréimhe de dhíth orainn le haghaidh tuilleadh cumraíochta.

sudo -s

Suiteáil na paicéid riachtanacha go léir. Beidh orainn “Éasca-RSA” paicéad chun eochracha criptithe a bhainistiú.

apt install openvpn easy-rsa iptables-persistent

Ceadaigh naisc isteach ar phort 1194 trí phrótacal UDP agus cuir rialacha iptables i bhfeidhm.

sudo iptables -I INPUT -p udp --dport 1194 -j ACCEPT

sudo netfilter-persistent save

Cruthaigh eolaire le comhaid chóipeáilte ón bpacáiste “Easy-RSA” agus nascleanúint isteach ann.

make-cadir ~/openvpn

cd ~/openvpn

Bonneagar Eochrach Poiblí (PKI) a Ghiniúint.

./easyrsa init-pki

Ginigh an deimhniú fréimhe ón Údarás Deimhniúcháin (CA).

./easyrsa build-ca

Le linn an phróisis chruthaithe, iarrfar ort pasfhocal a shocrú agus a mheabhrú. Beidh ort ceisteanna a fhreagairt agus faisnéis a iontráil faoi úinéir na heochrach freisin. Is féidir leat na luachanna réamhshocraithe a fhágáil idir lúibíní cearnacha. Brúigh "Iontráil" chun an t-ionchur a chríochnú.

Gin eochair phríobháideach agus iarratas teastais. Mar argóint, sonraigh ainm treallach; inár gcás, is é “vpn-server” é.

./easyrsa gen-req vpn-server nopass

Fág an luach Ainm Coitianta mar an luach réamhshocraithe.

Sínigh an t-iarratas ar theastas freastalaí a gineadh.

./easyrsa sign-req server vpn-server

Ag an gcéim seo, freagair "tá" chun an síniú a dhearbhú, ansin cuir isteach an focal faire a cruthaíodh le linn ghiniúint an deimhnithe fréimhe.

Gin paraiméadair Diffie-Hellman. Úsáidtear na paraiméadair seo le haghaidh malartú eochrach slán idir an freastalaí agus an cliant.

./easyrsa gen-dh

Tá na comhaid riachtanacha go léir ginte. Cruthaímis fillteán "eochracha" in eolaire oibre OpenVPN chun na heochracha a stóráil agus na comhaid cruthaithe a chóipeáil ann.

mkdir /etc/openvpn/keys

sudo cp pki/ca.crt pki/issued/vpn-server.crt pki/private/vpn-server.key pki/dh.pem /etc/openvpn/keys

Cumraigh NAT ag baint úsáide as iptables rialacha. Cruthaigh comhad darb ainm nat agus é a oscailt le haghaidh eagarthóireachta sa /etc/openvpn/ eolaire.

#!/bin/sh

# Reset firewall settings
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Allow OpenVPN connections (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT

# (eth0 in our case, may vary):
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

# (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable masquerading for the local network (eth0 in our case, may vary)
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

# Deny incoming connections from outside
iptables -A INPUT -i eth0 -j DROP

# Deny transit traffic from outside (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -j DROP

sudo netfilter-persistent save

Sábháil an comhad agus déan inrite é.

sudo chmod 755 /etc/openvpn/nat

Cóipeáil an teimpléad cumraíochta freastalaí.

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

Oscail an comhad “/etc/openvpn/server.conf” le haghaidh eagarthóireachta, cinntigh go bhfuil na línte seo a leanas ann, agus cuir in eagar iad más gá:

#Port, protocol, and interface

port 1194

proto udp

dev tun

#Path to the encryption keys

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/vpn-server.crt

key /etc/openvpn/keys/vpn-server.key

dh /etc/openvpn/keys/dh.pem

#SHA256 Hashing Algorithm

auth SHA256

#Switching off additional encryption

#tls-auth ta.key 0

#Network parameters

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

#Ping every 10 seconds to check the connection.

keepalive 10 120

#Set up AES-256 encryption for the tunnel.

cipher AES-256-GCM

#Demoting the service OpenVPN after launch

user nobody

group nogroup

#Switching on parameters saving after reboot

persist-key

persist-tun

#Set log verbosity

verb 3

#Redirecting logs

log-append /var/log/openvpn/openvpn.log

#Script the rule installation launch.

up /etc/openvpn/nat

Cumasaigh atreorú tráchta ar an bhfreastalaí.

sudo sysctl -w net.ipv4.ip_forward=1

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf

Tosaigh OpenVPN chun an chumraíocht a chur i bhfeidhm.

systemctl restart openvpn@server

Tá cumraíocht an fhreastalaí críochnaithe!

Cumraíocht an chliaint

Téigh chuig láithreán gréasáin oifigiúil OpenVPN “https://openvpn.net”, téigh go dtí an “POBAL” alt seo.

Scrollaigh síos agus íoslódáil an suiteálaí do leagan do chórais oibriúcháin. Inár gcás, is é Windows 11 ARM64 é.

Suiteáil an t-iarratas ag fágáil na paraiméadair go léir de réir réamhshocraithe.

Ag an gcéad chéim eile beidh ort an comhad seo a leanas a ullmhú ar an bhfreastalaí agus iad a aistriú chuig ríomhaire an chliaint:

• eochracha poiblí agus príobháideacha;
• cóip d'eochair an ionaid deimhnithe;
• teimpléad comhad cumraíochta.

Ceangail leis an bhfreastalaí, ardaigh pribhléidí, agus nascleanúint chuig an eolaire cruthaithe againn "~/openvpn".

sudo -s

cd ~/openvpn

Gin eochair phríobháideach agus iarratas teastais don chliant. Mar argóint, sonraigh ainm treallach; inár gcás, is é “client1” é.

./easyrsa gen-req client1 nopass

Cuir isteach an focal faire a shocraíomar nuair a chruthaíomar an deimhniú fréimhe agus fág an luach Ainm Coiteann mar an luach réamhshocraithe.

Sínigh an t-iarratas ar theastas cliaint a gineadh.

./easyrsa sign-req client client1

Ag an gcéim seo, freagair "tá" chun an síniú a dhearbhú, ansin cuir isteach an focal faire a cruthaíodh le linn ghiniúint an deimhnithe fréimhe.

Ar mhaithe le caoithiúlacht, cruthaímis fillteán darb ainm 'client1' san eolaire baile agus cóipeálaimis na comhaid uile atá beartaithe lena n-aistriú chuig an ríomhaire cliaint isteach ann.

mkdir ~/client1

cp pki/issued/client1.crt pki/private/client1.key pki/ca.crt ~/client1/

Cóipeáil an teimpléad comhaid cumraíochta cliant chuig an eolaire céanna. Athraigh an síneadh comhad go “.ovpn” agus tú ag cóipeáil.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client1/client.ovpn

Athraigh úinéir an eolaire agus na comhaid go léir “~/cliant1/” a bheith in ann iad a dháileadh ar an gcliant. Déanaimis "mihail" an t-úinéir inár gcás.

chown -R mihail:mihail ~/client1

Téigh go dtí an ríomhaire cliant agus cóipeáil ábhar an “~/cliant1/” fillteán. Is féidir leat é sin a dhéanamh le cabhair ó “PSCP” fóntais, a théann le Putty.

PSCP -r mihail@[IP_сервера]:/home/mihail/client1 c:\client1

Is féidir leat eochairchomhaid a stóráil “ca.crt”, “cliant1.crt”, "cliant1.eochair" pé áit is mian leat. Is é ár gcás, tá siad san fhillteán seo “c:\Program Files\OpenVPN\keys”, agus modhnaimid an comhad cumraíochta “cliant.ovpn” isteach sa “c:\Program Files\OpenVPN\config” eolaire.

Anois, déanaimis an cliant a chumrú. Oscail an comhad “c:\Program Files\OpenVPN\config\client.ovpn” in eagarthóir téacs agus cuir na línte seo a leanas in eagar:

#announce that this is the client

client

#interface and protocol just like on the server

dev tun

proto udp

#IP address of the server and port

remote ip_address 1194

#saving parameters after reload

persist-key

persist-tun

#key paths

ca “c:\\Program Files\\OpenVPN\\keys\\ca.cert”

cert “c:\\Program Files\\OpenVPN\\keys\\client1.crt”

key “c:\\Program Files\\OpenVPN\\keys\\client1.key”

#enable server verification

remote-cert-tls server

#disable extra encryption

#tls-auth ta.key 1

cipher AES-256-CBC

auth-nocache

verb 3

Fág an chuid eile gan teagmháil.

Sábháil an comhad agus seoladh an t-iarratas cliant “OpenVPN GUI”.

Deaschliceáil ar dheilbhín na haipe sa tascbharra agus roghnaigh "Ceangail". Má éiríonn leis an nasc casfaidh an deilbhín glas.

Bain úsáid as aon seirbhís ar líne chun a chinntiú go bhfuil do sheoladh IP poiblí athraithe agus go bhfuil sé anois mar an gcéanna le seoladh IP an fhreastalaí.