VPN סערווער סעטאַפּ אויף לינוקס: PPTP אָדער OpenVPN?

נאָוואַדייַס, VPN טעכנאָלאָגיע ווערט מער פאָלקס. פּראָסט יוזערז נוצן VPN צו בעשאָלעם אַקסעס די אינטערנעט. עס אויך העלפּס באַקומען אַרום לאָוקאַלי אפגעשטעלט וועבסיטעס און באַדינונגס און באַשיצן קעגן מעגלעך פונדרויסנדיק בייזע נאַטור. ווען איר קאַנעקטינג צו אַ VPN סערווער, עס איז אַ זיכער טונעל צווישן דיין קאָמפּיוטער און די סערווער וואָס קענען ניט זיין אַקסעסט פֿון אַרויס, אַזוי דער VPN סערווער ווערט דיין אינטערנעט אַקסעס פונט. עס זענען אַ פּלאַץ פון וופּן באַדינונגס דאָרט, ביידע פריי און באַצאָלט, אָבער אויב זיי טאָן ניט אַרבעט פֿאַר איר פֿאַר עטלעכע סיבה, איר קענען שטענדיק קאַנפיגיער דיין אייגענע וופּן סערווער.

צו לויפן דיין VPN VPN, איר זאָל דינגען VPS סערווער. עס זענען פאַרשידענע ווייכווארג וואָס אַלאַוז איר צו שאַפֿן אַ VPN פֿאַרבינדונג. עס דיפערז פון יעדער אנדערער דורך אַפּערייטינג סיסטעמס געשטיצט און אַלגערידאַמז געניצט. מיר וועלן נעמען אַ קוק אין צוויי פרייַ אַפּראָוטשיז צו שטעלן אַרויף אַ וופּן סערווער. דער ערשטער איז באזירט אויף PPTP פּראָטאָקאָל וואָס איז שוין געהאלטן פאַרעלטערט און נישט זיכער אָבער איז טאַקע גרינג צו קאַנפיגיער. די אנדערע איינער ימפּלויז מאָדערן און זיכער ווייכווארג OpenVPN אָבער ריקווייערז ינסטאָלינג אַ דריט-פּאַרטיי קליענט אַפּלאַקיישאַן און אַ מער גרונטיק סעטאַפּ פּראָצעס.

אין אונדזער פּראָבע סוויווע, מיר וועלן נוצן אַ ווירטואַל סערווער פּאַוערד דורך Ubuntu Server 18.04. א פיירוואַל וועט זיין סוויטשט אַוועק אויף די סערווער ווייַל זיין קאַנפיגיעריישאַן פארדינט אַ באַזונדער אַרטיקל. מיר וועלן באַשרייַבן די סעטאַפּ פּראָצעס אויף Windows 10.

צוגרייטונג

ניט קיין ענין וואָס וופּן סערווער איר קלייַבן, דער אינטערנעץ אַקסעס וועט זיין שטעלן אַרויף דורך ינאַגרייטיד מיטל פון די אָפּערייטינג סיסטעם. אין סדר צו עפֿענען אינטערנעט אַקסעס דורך אַ פונדרויסנדיק סערוויס צובינד, איר מוזן לאָזן פּאַקאַט פאָרווערדינג צווישן די ינטערפייסיז און קאַנפיגיער נעץ אַדרעס איבערזעצונג.

צו באַשטימען אויף פּאַקאַט פאָרווערדינג עפענען די טעקע "/etc/sysctl.conf" און טוישן "net.ipv4.ip_forward" פּאַראַמעטער ווערט אין 1.

אין סדר צו צולייגן ענדערונגען אָן ריסטאַרטינג די קאָמפּיוטער, לויפן די באַפֿעל

sudo sysctl -p /etc/sysctl.conf

נעץ אַדרעס איבערזעצונג איז קאַנפיגיערד דורך די מיטל פון iptables. ערשטער, קאָנטראָלירן די נאָמען פון דיין פונדרויסנדיק נעץ צובינד מיט די באַפֿעל "IP לינק ווייַזן" - איר וועט דאַרפֿן עס אין דער ווייַטער שריט. אונדזער נאָמען איז "ענס3".

געבן נעץ אַדרעס איבערזעצונג אין דיין פונדרויסנדיק צובינד פֿאַר אַלע היגע נעץ נאָודז.

sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

באַמערקונג אַז איר דאַרפֿן צו ספּעציפיצירן די פאַקטיש נאָמען פון דיין סערווער ס צובינד, עס קען זיין אַנדערש פון אונדזער.

דורך פעליקייַט, אַלע כּללים באשאפן דורך iptables זענען באַשטעטיק נאָך די ריסטאַרט פון די סערווער. אין סדר צו פאַרמייַדן אַז, נוצן "iptables-persistent" נוצן. ינסטאַלירן די פאלגענדע פּאַקאַט:

sudo apt install iptables-persistent

אין עטלעכע פונט בעשאַס די ייַנמאָנטירונג פּראָצעס, איר וועט זען אַ קאַנפיגיעריישאַן פֿענצטער וואָס וועט פֿאָרשלאָגן איר שפּאָרן קראַנט יפּטאַבלעס כּללים. זינט די כּללים זענען שוין דיפיינד, נאָר באַשטעטיקן און גיט "יא" צוויי מאָל. זינט איצט די כּללים וועט זיין געווענדט אויטאָמאַטיש נאָך די סערווער ריסטאַרט.

פּפּטפּ סערווער

סערווירער קאַנפיגיעריישאַן

ינסטאַלירן דעם פּעקל:

sudo apt install pptpd

נאָך די ינסטאַלירונג ענדס, עפֿענען די טעקע "/etc/pptpd.conf" אין קיין טעקסט רעדאַקטאָר און רעדאַגירן עס ווי דאָס:

option /etc/ppp/pptpd-options #path to the settings file
logwtmp #client connections logging mechanism
connections 100 #number of simultaneous connections
localip 172.16.0.1 #the address that will serve as a client gateway
remoteip 172.16.0.2-200 #range of addresses

נאָך דעם, רעדאַגירן די טעקע "/etc/ppp/pptpd-options". רובֿ פון די פּאַראַמעטערס זענען באַשטימט דורך פעליקייַט.

#name of the service for new client records
name pptpd

#restrict obsolete authentication methods
refuse-pap
refuse-chap
refuse-mschap

#allow a more secure authentication method
require-mschap-v2

#enable encryption
require-mppe-128

#specify dns servers for clients (use any available servers)
ms-dns 8.8.8.8
ms-dns 8.8.4.4

proxyarp
nodefaultroute
lock
nobsdcomp
novj
novjccomp
nologfd

אין דער ווייַטער בינע, איר דאַרפֿן צו שאַפֿן אַ רעקאָרד פֿאַר קליענט קאַנעקשאַנז. זאל ס זאָגן איר ווילן צו לייגן אַ באַניצער "vpnuser" מיט פּאַראָל "קסנומקס" און לאָזן דינאַמיש אַדרעסינג פֿאַר אים. עפענען די טעקע "/etc/ppp/chap-secrets" און לייגן די פאלגענדע שורה מיט די באַניצער פּאַראַמעטערס אין די סוף פון דער טעקע:

vpnuser pptpd 1 *

"פּפּטפּד" ווערט איז דער נאָמען פון די סערוויס וואָס מיר ספּעציפיצירט אין דער טעקע "פּפּטפּד-אָפּציעס". אנשטאט "*" איר קענען ספּעציפיצירן אַ פאַרפעסטיקט IP אַדרעס. אין דער רעזולטאַט, די טעקע "טשאַפּ-סעקרעץ" זאָל קוקן ווי דאָס:

צו צולייגן די סעטטינגס באַשטעטיק די pptpd דינסט און לייגן עס צו אַוטאָלאָאַדינג.

sudo systemctl restart pptpd
sudo systemctl enable pptpd

סערווירער קאַנפיגיעריישאַן איז פאַרטיק.

קליענט קאַנפיגיעריישאַן

עפענען "אָנהייב" - "Settings" - נעץ & אינטערנעט - "VPN" און גיט "לייג אַ VPN קשר"

אַרייַן די קאַנעקשאַן פּאַראַמעטערס אין די געעפנט פֿענצטער און גיט "היט"

• VPN שפּייַזער: "ווינדאָוז (בויט-אין)"
• קשר נאָמען: "vpn_connect" (איר קענען קלייַבן קיין נאָמען)
• סערווירער נאָמען אָדער אַדרעס: (ספּעציפיצירן די פונדרויסנדיק IP אַדרעס פון די סערווער)
• VPN טיפּ: "אַוטאָ"
• טיפּ פון צייכן אין אינפֿאָרמאַציע: "באַניצער נאָמען און פּאַראָל"
• באַניצער נאָמען: vpnuser (נאָמען ספּעסיפיעד אין די "טשאַפּ-סעקרעץ" טעקע אויף די סערווער)
• פּאַראָל: 1 (ווי אין די "טשאַפּ-סעקרעץ" טעקע)

נאָך שפּאָרן פּאַראַמעטערס, איר וועט זען די נייַע VPN קשר אין די פֿענצטער. לינקס-גיט די קשר און סעלעקטירן "פאַרבינדן". אין דעם פאַל פון אַ מצליח קשר, איר וועט זען "פארבונדן" סטאַטוס.

אין די אָפּציעס איר וועט געפֿינען די ינערלעך אַדרעס פון דעם קליענט און די סערווער. פעלד "דעסטיניישאַן אַדרעס" דיספּלייז די פונדרויסנדיק סערווער אַדרעס.

ווען קאָננעקטעד, די ינערלעך IP אַדרעס פון די סערווער, 172.16.0.1 אין אונדזער פאַל, ווערט די פעליקייַט גייטוויי פֿאַר אַלע אַוטגאָוינג פּאַקיץ.

ניצן קיין אָנליין דינסט איר קענען מאַכן זיכער אַז די פונדרויסנדיק IP אַדרעס פון די קאָמפּיוטער איז איצט די זעלבע ווי די IP אַדרעס פון דיין VPN סערווער.

אָפּענוופּן סערווער

סערווירער קאַנפיגיעריישאַן

לאָמיר העכערן די פּערמישאַנז מדרגה פון דעם קראַנט באַניצער ווייַל פֿאַר אונדזער ווייַטער קאַנפיגיעריישאַן מיר דאַרפֿן וואָרצל אַקסעס.

sudo -s

ינסטאַלירן אַלע די נייטיק פּאַקיץ. מיר וועלן דאַרפֿן "Easy-RSA" פּאַקאַט צו פירן ענקריפּשאַן שליסלען.

apt install openvpn easy-rsa iptables-persistent

ערלויבן אריינקומענדיקע קאנעקשאנס אויף פארט 1194 דורך UDP פראטאקאל און אנwenden iptables רולס.

sudo iptables -I INPUT -p udp --dport 1194 -j ACCEPT

sudo netfilter-persistent save

שאַפֿט אַ דירעקטאָרי מיט קאָפּירטע טעקעס פֿון דעם "Easy-RSA" פּעקל און נאַוויגירט אַרײַן אין אים.

make-cadir ~/openvpn

cd ~/openvpn

דזשענערירן עפנטלעכע שליסל אינפראַסטרוקטור (PKI).

./easyrsa init-pki

דזשענערירן דעם סערטיפיקאַט אויטאָריטעט (CA) וואָרצל סערטיפיקאַט.

./easyrsa build-ca

בעת דעם שאַפונג פּראָצעס, וועט מען אייך בעטן צו שטעלן און געדענקען אַ פּאַראָל. איר וועט אויך דאַרפֿן צו ענטפֿערן פֿראַגעס און אַרײַנשרייַבן אינפֿאָרמאַציע וועגן דעם שליסל באַזיצער. איר קענט לאָזן די פעליקייַט ווערטן וואָס זענען געגעבן אין קוואַדראַטישע קלאַמערן. דריקן "ענטער" צו ענדיקן דעם אַרייַנשרייַב.

שאַפֿן אַ פּריוואַטן שליסל און אַ סערטיפֿיקאַט בקשה. אַלס אַן אַרגומענט, ספּעציפֿיצירן אַן אַרביטראַריש נאָמען; אין אונדזער פֿאַל, איז עס "vpn-server".

./easyrsa gen-req vpn-server nopass

לאָזט דעם "Common Name" ווערט ווי די פעליקייט.

אונטערשרייבט די גענערירטע סערווער סערטיפיקאט פארלאנג.

./easyrsa sign-req server vpn-server

ביי דעם שריט, ענטפערט "יא" צו באשטעטיגן די אונטערשריפט, און דערנאך גיט אריין דאס פאסווארט וואס איז געשאפן געווארן בעת די רוט סערטיפיקאט דזשענעראציע.

שאַפֿן דיפֿי-העלמאַן פּאַראַמעטערס. די פּאַראַמעטערס ווערן גענוצט פֿאַר זיכערן שליסל אויסטויש צווישן דעם סערווער און דעם קליענט.

./easyrsa gen-dh

אַלע נייטיקע טעקעס זענען גענערירט געוואָרן. לאָמיר שאַפֿן אַ "keys" טעקע אין דער OpenVPN אַרבעט דירעקטאָרי צו האַלטן די שליסלען און קאָפּירן די באשאפן טעקעס דאָרט.

mkdir /etc/openvpn/keys

sudo cp pki/ca.crt pki/issued/vpn-server.crt pki/private/vpn-server.key pki/dh.pem /etc/openvpn/keys

קאָנפיגורירן NAT ניצנדיק iptables רעגולאציעס. שאַפֿן אַ טעקע מיטן נאָמען nat און עפֿענען עס פֿאַר רעדאַקטירן אין די /etc/openvpn/ directory.

#!/bin/sh

# Reset firewall settings
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Allow OpenVPN connections (eth0 in our case, may vary)
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT

# (eth0 in our case, may vary):
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

# (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable masquerading for the local network (eth0 in our case, may vary)
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

# Deny incoming connections from outside
iptables -A INPUT -i eth0 -j DROP

# Deny transit traffic from outside (eth0 in our case, may vary)
iptables -A FORWARD -i eth0 -o tun0 -j DROP

sudo netfilter-persistent save

ראַטעוועט די טעקע און מאַכט עס עקסעקוטאַבאַל.

sudo chmod 755 /etc/openvpn/nat

קאָפּיר די סערווער קאָנפיגוראַציע טעמפּלאַט.

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

עפענען די טעקע "/etc/openvpn/server.conf" פֿאַר עדיטינג, מאַכן זיכער אַז עס כּולל די פאלגענדע שורות, און רעדאַגירן זיי אויב דארף:

#Port, protocol, and interface

port 1194

proto udp

dev tun

#Path to the encryption keys

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/vpn-server.crt

key /etc/openvpn/keys/vpn-server.key

dh /etc/openvpn/keys/dh.pem

#SHA256 Hashing Algorithm

auth SHA256

#Switching off additional encryption

#tls-auth ta.key 0

#Network parameters

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist /var/log/openvpn/ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

#Ping every 10 seconds to check the connection.

keepalive 10 120

#Set up AES-256 encryption for the tunnel.

cipher AES-256-GCM

#Demoting the service OpenVPN after launch

user nobody

group nogroup

#Switching on parameters saving after reboot

persist-key

persist-tun

#Set log verbosity

verb 3

#Redirecting logs

log-append /var/log/openvpn/openvpn.log

#Script the rule installation launch.

up /etc/openvpn/nat

אקטיוויזירן טראַפיק פאָרווערדינג אויף דעם סערווער.

sudo sysctl -w net.ipv4.ip_forward=1

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf

אָנהייבן OpenVPN צו צולייגן די קאָנפיגוראַציע.

systemctl restart openvpn@server

די סערווער קאַנפיגיעריישאַן איז פאַרטיק!

קליענט קאַנפיגיעריישאַן

גיין צו דער באַאַמטער וועבזייטל פון OpenVPN "https://openvpn.net", גיין צו די "קומיוניטי" אָפּטיילונג.

סקראל אַראָפּ און דאַונלאָוד די אינסטאַללער פֿאַר אייער אָפּערייטינג סיסטעם ווערסיע. אין אונדזער פאַל, איז עס Windows 11 ARM64.

ינסטאַלירן די אַפּלאַקיישאַן און לאָזן אַלע פּאַראַמעטערס דורך פעליקייַט.

אין דער ווייַטער בינע איר דאַרפֿן צו צוגרייטן די פאלגענדע טעקע אויף די סערווער און אַריבערפירן זיי צו די קליענט קאָמפּיוטער:

• ציבור און פּריוואַט שליסלען;
• קאָפּיע פון ​​די סערטאַפאַקיישאַן צענטער שליסל;
• קאָנפיג טעקע מוסטער.

פֿאַרבינדט זיך צום סערווער, פֿאַרבעסערט די פּריווילעגיעס, און גייט צו אונדזער באַשאַפֿענער דירעקטאָרי "~/openvpn".

sudo -s

cd ~/openvpn

שאַפֿן אַ פּריוואַטן שליסל און אַ סערטיפֿיקאַט בקשה פֿאַר דעם קליענט. אַלס אַן אַרגומענט, ספּעציפֿיצירן אַן אַרביטראַריש נאָמען; אין אונדזער פֿאַל, איז עס "קליענט1".

./easyrsa gen-req client1 nopass

אַרייַן דעם פּאַראָל וואָס מיר האָבן באַשטימט ווען מיר האָבן באשאפן דעם וואָרצל סערטיפיקאַט און לאָזט דעם "Common Name" ווערט ווי די פעליקייַט.

אונטערשרייבט די גענערירטע קליענט סערטיפיקאט פארלאנג.

./easyrsa sign-req client client1

ביי דעם שריט, ענטפערט "יא" צו באשטעטיגן די אונטערשריפט, און דערנאך גיט אריין דאס פאסווארט וואס איז געשאפן געווארן בעת די רוט סערטיפיקאט דזשענעראציע.

פאר באקוועמליכקייט, לאָמיר שאַפֿן אַ טעקע מיטן נאָמען 'client1' אין דער היים דירעקטאָרי און קאָפּירן אַלע טעקעס בדעה פֿאַר טראַנספער צו די קליענט קאָמפּיוטער אַרײַן אין אים.

mkdir ~/client1

cp pki/issued/client1.crt pki/private/client1.key pki/ca.crt ~/client1/

נאָכמאַכן די קליענט קאָנפיג טעקע מוסטער צו דער זעלביקער וועגווייַזער. טוישן די טעקע געשפּרייט צו ".אָוופּן" בשעת קאַפּיינג.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client1/client.ovpn

טוישן די באַזיצער פון די וועגווייַזער און אַלע די טעקעס "~/קליענט1/" צו קענען צו פאַרשפּרייטן זיי צו דעם קליענט. זאל ס מאַכן "מיהיל" די באַזיצער אין אונדזער פאַל.

chown -R mihail:mihail ~/client1

גיין צו די קליענט קאָמפּיוטער און נאָכמאַכן די אינהאַלט פון די "~/קליענט1/" טעקע. איר קענען טאָן דאָס מיט די הילף פון "PSCP" נוצן, וואָס גייט מיט פּאַטי.

PSCP -r mihail@[IP_сервера]:/home/mihail/client1 c:\client1

איר קענען קראָם שליסל טעקעס "ca.crt", "client1.crt", "קליינט1.קיי" וואוהין איר ווילט. אין אונדזער פאַל, זיי זענען אין דעם טעקע "c: \ פּראָגראַם פילעס \ אָפּענוופּן \ שליסלען", און מיר מאָדע די קאָנפיג טעקע "client.ovpn" אין די "c:\פּראָגראַם פילעס\OpenVPN\config" directory.

איצט לאָזן ס באַקומען צו קאַנפיגיער די קליענט. עפענען די טעקע "c:\פּראָגראַם פילעס\OpenVPN\config\client.ovpn" אין אַ טעקסט רעדאַקטאָר און רעדאַגירן די פאלגענדע שורות:

#announce that this is the client

client

#interface and protocol just like on the server

dev tun

proto udp

#IP address of the server and port

remote ip_address 1194

#saving parameters after reload

persist-key

persist-tun

#key paths

ca “c:\\Program Files\\OpenVPN\\keys\\ca.cert”

cert “c:\\Program Files\\OpenVPN\\keys\\client1.crt”

key “c:\\Program Files\\OpenVPN\\keys\\client1.key”

#enable server verification

remote-cert-tls server

#disable extra encryption

#tls-auth ta.key 1

cipher AES-256-CBC

auth-nocache

verb 3

לאָזן די מנוחה אַנאַטירלעך.

היט די טעקע און קאַטער די קליענט אַפּלאַקיישאַן "OpenVPN GUI".

רעכט גיט אויף די אַפּ ייקאַן אין די טאַסקבאַר און קלייַבן "פאַרבינדן". אויב די קשר איז מצליח, די בילדל וועט ווערן גרין.

ניצן קיין אָנליין סערוויס צו מאַכן זיכער אַז דיין עפנטלעך IP אַדרעס איז פארענדערט און איז איצט די זעלבע ווי די IP אַדרעס פון די סערווער.