Fametrahana mpizara VPN amin'ny Linux: PPTP sa OpenVPN?

Amin'izao fotoana izao, lasa malaza kokoa ny teknolojia VPN. Ny mpampiasa tsotra dia mampiasa VPN mba hidirana soa aman-tsara amin'ny Internet. Manampy amin'ny fandehanana amin'ny tranokala sy serivisy voasakana eo an-toerana ihany koa izy io ary miaro amin'ny fitondran-tena ratsy ivelany. Rehefa mifandray amin'ny mpizara VPN ianao dia misy tonelina azo antoka eo anelanelan'ny solosainao sy ny mpizara izay tsy azo idirana avy any ivelany, ka ny mpizara VPN no lasa toerana fidirana amin'ny Internet anao. Betsaka ny serivisy VPN any, na maimaim-poana na karama, fa raha tsy mety aminao izy ireo noho ny antony sasany, dia azonao atao ny manamboatra ny mpizara VPN anao manokana.

Mba hampandehanana ny VPN anao dia tokony manofa mpizara VPS. Misy rindrambaiko samihafa ahafahanao mamorona fifandraisana VPN. Izy io dia samy hafa amin'ny rafitra miasa tohana sy ny algorithm ampiasaina. Hojerentsika ny fomba roa mahaleo tena hananganana mpizara VPN. Ny voalohany dia mifototra amin'ny protocole PPTP izay efa heverina ho lany andro sy tsy azo antoka fa tena mora amboarina. Ny iray hafa dia mampiasa rindrambaiko maoderina sy azo antoka OpenVPN saingy mitaky fametrahana rindranasa mpanjifa an'ny antoko fahatelo sy dingana fanamboarana lalina kokoa.

Amin'ny tontolon'ny fitsapana, dia hampiasa mpizara virtoaly ampiasain'ny Ubuntu Server 18.04 izahay. Ny firewall dia ho tapaka amin'ny mpizara satria mendrika lahatsoratra misaraka ny fanamboarana azy. Holazainay ny fizotran'ny fametrahana Windows 10.

fanomanana

Na inona na inona mpizara VPN nofidinao, ny fidirana amin'ny Internet dia hatsangana amin'ny alàlan'ny rafitra fiasana. Mba hanokafana ny fidirana amin'ny Internet amin'ny alàlan'ny serivisy serivisy ivelany dia tsy maintsy mamela ny fandefasana fonosana eo anelanelan'ny interface ianao ary manitsy ny fandikana adiresy tambajotra.

Sokafy ny rakitra raha te hamelona ny fandefasana entana "/etc/sysctl.conf" ary miova "net.ipv4.ip_forward" sandan'ny paramètre 1.

Mba hampiharana ny fanovana nefa tsy rebooting ny solosaina dia araho ny baiko

sudo sysctl -p /etc/sysctl.conf

Ny fandikana ny adiresin'ny tambajotra dia amboarina amin'ny alalan'ny iptables. Voalohany, jereo ny anaran'ny seha-pifaneraseranao ivelany mitantana ny baiko "fampisehoana rohy ip" - mila izany ianao amin'ny dingana manaraka. Ny anaranay dia "ens3".

Alefaso ny fandikana adiresin'ny tambazotra amin'ny seha-pifandraisana ivelany ho an'ny node tambajotra eo an-toerana rehetra.

sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Mariho fa mila mamaritra ny tena anaran'ny interface an'ny servero ianao, mety tsy mitovy amin'ny anay izany.

Amin'ny alàlan'ny default, ny fitsipika rehetra noforonin'ny iptables dia averina aorian'ny fanombohana ny server. Mba hisorohana izany, ampiasao "iptables-persistent" utility. Ampidiro ity fonosana manaraka ity:

sudo apt install iptables-persistent

Amin'ny fotoana iray mandritra ny fizotry ny fametrahana dia hahita varavarankely fanamafisana izay hanoro anao ny fitahirizana ny fitsipika iptables ankehitriny. Satria efa voafaritra ny fitsipika, dia manamafy fotsiny ary tsindrio "Eny" indroa. Hatramin'izao dia hampiharina ho azy ny fitsipika rehefa manomboka ny server.

Mpizara PPTP

Fanofanana mpizara

Apetraho ny fonosana:

sudo apt install pptpd

Rehefa tapitra ny fametrahana dia sokafy ny rakitra "/etc/pptpd.conf" amin'ny tonian-dahatsoratra rehetra ary ovay toy izao:

option /etc/ppp/pptpd-options #path to the settings file
logwtmp #client connections logging mechanism
connections 100 #number of simultaneous connections
localip 172.16.0.1 #the address that will serve as a client gateway
remoteip 172.16.0.2-200 #range of addresses

Aorian'izay dia ovay ny rakitra "/etc/ppp/pptpd-options". Ny ankamaroan'ny masontsivana dia apetraka amin'ny alàlan'ny default.

#name of the service for new client records
name pptpd

#restrict obsolete authentication methods
refuse-pap
refuse-chap
refuse-mschap

#allow a more secure authentication method
require-mschap-v2

#enable encryption
require-mppe-128

#specify dns servers for clients (use any available servers)
ms-dns 8.8.8.8
ms-dns 8.8.4.4

proxyarp
nodefaultroute
lock
nobsdcomp
novj
novjccomp
nologfd

Amin'ny dingana manaraka dia mila mamorona rakitsoratra ho an'ny fifandraisan'ny mpanjifa ianao. Andeha atao hoe te hanampy mpampiasa ianao "vpnuser" miaraka amin'ny teny miafina "1" ary avelao ny adiresy mavitrika ho azy. Sokafy ny rakitra "/etc/ppp/chap-secrets" ary ampio ity andalana manaraka ity miaraka amin'ny mason'ny mpampiasa amin'ny faran'ny rakitra:

vpnuser pptpd 1 *

“pptpd” Ny sanda dia ny anaran'ny serivisy izay nofaritanay tao amin'ny rakitra "pptpd-safidy". Raha tokony ho "*" azonao atao ny mamaritra adiresy IP raikitra. Ho vokany, ny rakitra "tsiambaratelo" tokony ho toy izao:

Mba hampiharana ny fanovana dia avereno ny pptpd service ary ampio amin'ny autoloading.

sudo systemctl restart pptpd
sudo systemctl enable pptpd

Vita ny fanamafisana ny server.

Fanofanana mpanjifa

Open "Atombohy" - "Settings" - Tambajotra & Internet - "VPN" Ary tsindrio "Manampia fifandraisana VPN"

Ampidiro ao amin'ny varavarankely misokatra ny mari-pamantarana fifandraisana ary tsindrio "Mitsitsia"

• Mpanome VPN: "Windows (naorina)"
• Anaran'ny fifandraisana: "vpn_connect" (afaka misafidy anarana ianao)
• Anaran'ny mpizara na adiresy: (farito ny adiresy IP ivelany an'ny mpizara)
• Karazana VPN: “Auto”
• Karazana fampahalalana fidirana: "Anaran'ny mpampiasa sy tenimiafina"
• Anaran'ny mpampiasa: vpnuser (anarana voalaza ao amin'ny rakitra "chap-secrets" ao amin'ny server)
• Password: 1 (toy ny ao amin'ny rakitra "chap-secrets")

Rehefa avy mitahiry masontsivana, dia ho hitanao ny fifandraisana VPN vaovao eo amin'ny varavarankely. Tsindrio havia ny fifandraisana ary mifidiana "Connect". Raha misy fifandraisana mahomby dia ho hitanao "Mifandray" toerana.

Ao amin'ny Options dia hahita ny adiresin'ny mpanjifa sy ny mpizara ianao. SaHa “Adiresy toerana haleha” mampiseho ny adiresy mpizara ivelany.

Rehefa mifandray, ny adiresy IP anatiny an'ny mpizara, 172.16.0.1 Amin'ny tranga misy antsika, dia lasa vavahady default ho an'ny fonosana mivoaka rehetra.

Amin'ny fampiasana serivisy an-tserasera rehetra dia azonao atao ny miantoka fa ny adiresy IP ivelany an'ny solosaina dia mitovy amin'ny adiresy IP an'ny mpizara VPN anao.

Mpizara OpenVPN

Fanofanana mpizara

Andao hampiroborobo ny haavon'ny fahazoan-dàlana ho an'ny mpampiasa amin'izao fotoana izao satria ho an'ny fanamafisana fanampiny dia mila fidirana faka.

sudo -s

Apetraho ny fonosana ilaina rehetra. Mila isika “Easy-RSA” fonosana hitantana ny fanalahidin'ny encryption.

apt install openvpn easy-rsa iptables-persistent

Avelao ny fifandraisana miditra amin'ny seranana 1194 amin'ny alàlan'ny protocol UDP ary ampiharo ny fitsipika iptables.

sudo iptables -I INPUT -p udp --dport 1194 -j ACCEPT

sudo netfilter-persistent save

Mamorona lahatahiry misy rakitra voadika avy amin'ny fonosana "Easy-RSA" ary midira ao.

make-cadir ~/openvpn

cd ~/openvpn

Mamorona fotodrafitrasa fototra ho an'ny daholobe (PKI).

./easyrsa init-pki

Mamorona ny Certificate Authority (CA) root certificate.

./easyrsa build-ca

Mandritra ny fizotran'ny famoronana dia hasaina ianao hametraka sy hahatsiaro tenimiafina. Mila mamaly fanontaniana koa ianao ary mampiditra fampahalalana momba ny tompon'ny fanalahidy. Azonao atao ny mamela ireo soatoavina mahazatra omena ao anaty fonon-joro efamira. Tsindrio "Enter" hamaranana ny fampidirana.

Mamorona fanalahidy manokana sy fangatahana fanamarinana. Amin'ny maha tohan-kevitra, manendry anarana tsy misy dikany; Amin'ny tranga misy antsika dia "vpn-server" izany.

./easyrsa gen-req vpn-server nopass

Avelao ho default ny sanda Common Name.

Sonia ny fangatahana certificat server natsangana.

./easyrsa sign-req server vpn-server

Amin'ity dingana ity, valio "eny" hanamafisana ny sonia, avy eo ampidiro ny tenimiafina noforonina nandritra ny famokarana taratasy fanamarinana fototra.

Mamorona paramètre Diffie-Hellman. Ireo mari-pamantarana ireo dia ampiasaina amin'ny fifanakalozana fanalahidy azo antoka eo amin'ny mpizara sy ny mpanjifa.

./easyrsa gen-dh

Noforonina avokoa ny rakitra ilaina rehetra. Andao hamorona lahatahiry "keys" ao amin'ny lahatahiry miasa OpenVPN hitahiry ireo fanalahidy sy handikana ireo rakitra noforonina ao.

mkdir /etc/openvpn/keys

sudo cp pki/ca.crt pki/issued/vpn-server.crt pki/private/vpn-server.key pki/dh.pem /etc/openvpn/keys

Ampifanaraho amin'ny fampiasana NAT iptables fitsipika. Mamorona rakitra iray antsoina hoe nat ary sokafy ho fanitsiana ao amin'ny /etc/openvpn/ lahatahiry.

#!/bin/sh

# Reset firewall settings
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Allow OpenVPN connections (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT

# (eth0 in our case, may vary):
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

# (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable masquerading for the local network (eth0 in our case, may vary)
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

# Deny incoming connections from outside
iptables -A INPUT -i eth0 -j DROP

# Deny transit traffic from outside (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -j DROP

sudo netfilter-persistent save

Tehirizo ny rakitra ary ataovy azo tanterahana.

sudo chmod 755 /etc/openvpn/nat

Adikao ny môdely fanefena ny mpizara.

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

Sokafy ny rakitra "/etc/openvpn/server.conf" ho an'ny fanitsiana, ataovy azo antoka fa misy ireto andalana manaraka ireto, ary ahitsio raha ilaina:

#Port, protocol, and interface

port 1194

proto udp

dev tun

#Path to the encryption keys

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/vpn-server.crt

key /etc/openvpn/keys/vpn-server.key

dh /etc/openvpn/keys/dh.pem

#SHA256 Hashing Algorithm

auth SHA256

#Switching off additional encryption

#tls-auth ta.key 0

#Network parameters

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

#Ping every 10 seconds to check the connection.

keepalive 10 120

#Set up AES-256 encryption for the tunnel.

cipher AES-256-GCM

#Demoting the service OpenVPN after launch

user nobody

group nogroup

#Switching on parameters saving after reboot

persist-key

persist-tun

#Set log verbosity

verb 3

#Redirecting logs

log-append /var/log/openvpn/openvpn.log

#Script the rule installation launch.

up /etc/openvpn/nat

Alefaso ny fandefasana fifamoivoizana amin'ny mpizara.

sudo sysctl -w net.ipv4.ip_forward=1

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf

Atombohy ny OpenVPN hampihatra ny fanitsiana.

systemctl restart openvpn@server

Vita ny fandrindrana ny mpizara!

Fanofanana mpanjifa

Mandehana any amin'ny tranokala ofisialin'ny OpenVPN "https://openvpn.net”, mandehana any amin’ny “COMUNITY” faritra.

Mihodinkodina midina ary misintona ny installer ho an'ny dikan-ny rafitra fiasanao. Amin'ity tranga ity, Windows 11 ARM64.

Ampidiro ny fampiharana mamela ny masontsivana rehetra amin'ny alàlan'ny default.

Amin'ny dingana manaraka dia mila manomana ity rakitra manaraka ity amin'ny mpizara ianao ary mamindra azy ireo amin'ny solosaina mpanjifa:

• fanalahidy ho an'ny daholobe sy manokana;
• dika mitovy amin'ny fanalahidin'ny foibe fanamarinana;
• config file template.

Mifandraisa amin'ny mpizara, manandratra tombontsoa, ary mandehana mankany amin'ny lahatahiry noforoninay "~/openvpn".

sudo -s

cd ~/openvpn

Mamorona fanalahidy manokana sy fangatahana fanamarinana ho an'ny mpanjifa. Amin'ny maha tohan-kevitra, manendry anarana tsy misy dikany; Amin'ny tranga misy antsika dia "client1" izany.

./easyrsa gen-req client1 nopass

Ampidiro ny tenimiafina napetrakay rehefa mamorona ny taratasy fanamarinana fototra ary avelao ny sanda Common Name ho default.

Sonia ny fangatahana taratasy fanamarinana mpanjifa novokarina.

./easyrsa sign-req client client1

Amin'ity dingana ity, valio "eny" hanamafisana ny sonia, avy eo ampidiro ny tenimiafina noforonina nandritra ny famokarana taratasy fanamarinana fototra.

Ho fanamorana, andao hamorona lahatahiry antsoina hoe 'client1' ao amin'ny lahatahiry an-trano ary handika ny rakitra rehetra natao hamindrana amin'ny solosaina mpanjifa ao anatiny.

mkdir ~/client1

cp pki/issued/client1.crt pki/private/client1.key pki/ca.crt ~/client1/

Adikao amin'ny lahatahiry iray ihany ny môdelin'ny rakitra config mpanjifa. Hanova ny fanitarana rakitra ho “.ovpn” raha manao kopia.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client1/client.ovpn

Ovay ny tompon'ny lahatahiry sy ny rakitra rehetra “~/client1/” mba hahafahana mizara azy ireo amin'ny mpanjifa. Andao hanao "mihail" ny tompony amin’ny raharahanay.

chown -R mihail:mihail ~/client1

Mandehana any amin'ny solosaina mpanjifa ary kopia ny votoatin'ny “~/client1/” lahatahiry. Afaka manao izany ianao miaraka amin'ny fanampian'ny "PSCP" utility, izay miaraka amin'i Putty.

PSCP -r mihail@[IP_сервера]:/home/mihail/client1 c:\client1

Azonao atao ny mitahiry rakitra fototra "ca.crt", "client1.crt", "client1.key" na aiza na aiza tianao. Aminay dia ao anatin'ity lahatahiry ity izy ireo "c:\Program Files\OpenVPN\keys", ary manamboatra ny rakitra config izahay "client.ovpn" ao amin'ny "c:\Program Files\OpenVPN\config" lahatahiry.

Andeha isika izao hanamboatra ny mpanjifa. Sokafy ny rakitra "c:\Program Files\OpenVPN\config\client.ovpn" amin'ny tonian-dahatsoratra ary amboary ireto andalana manaraka ireto:

#announce that this is the client

client

#interface and protocol just like on the server

dev tun

proto udp

#IP address of the server and port

remote ip_address 1194

#saving parameters after reload

persist-key

persist-tun

#key paths

ca “c:\\Program Files\\OpenVPN\\keys\\ca.cert”

cert “c:\\Program Files\\OpenVPN\\keys\\client1.crt”

key “c:\\Program Files\\OpenVPN\\keys\\client1.key”

#enable server verification

remote-cert-tls server

#disable extra encryption

#tls-auth ta.key 1

cipher AES-256-CBC

auth-nocache

verb 3

Avelao tsy ho voakitika ny ambiny.

Tehirizo ny rakitra ary atombohy ny fampiharana mpanjifa "OpenVPN GUI".

Tsindrio havanana eo amin'ny kisary fampiharana ao amin'ny fikandrana ary safidio "Connect". Raha mahomby ny fifandraisana dia hivadika maitso ny kisary.

Ampiasao izay serivisy an-tserasera rehetra mba hahazoana antoka fa niova ny adiresy IP-bahoakanao ary mitovy amin'ny adiresy IP an'ny mpizara izao.