VPN-serveri installimine Linuxi. VPN-ühenduse seadistamine Linuxis. Installige OpenVPN võrguhalduri pistikprogramm

Mõnikord peate saama kaugjuurdepääsu ettevõtte võrgule, looma serverite vahel tunneli või pakkuma Interneti-juurdepääsu heale naabrile, kes oli võla tõttu võrgust lahti ühendatud. Või võib-olla pääsete oma võrgule juurde mis tahes nurgast maailmast, kus on Internet.

Nendel eesmärkidel saate kasutada virtuaalseid privaatvõrke (VPN). Meie puhul on see SRÜ riikides kõige levinum protokoll, nimelt PPTP (Point-to-Point Tunneling Protocol). Paljud kaabel-Interneti pakkujad kasutavad seda juurdepääsuteenuste pakkumiseks.

Serveri seadistamine Linux Ubuntu Server LTS-is pole nii keeruline. Selleks vajame juurdepääsu Internetile ja tõelist IP-d (kui peame Internetist ühenduse looma).

Logime serverisse sisse juurkontoga ja installime vajalikud paketid käsuga apt-get install pptpd Meil ​​palutakse installida ka pakett bcrelay, mis võimaldab sissetuleval liidesel vastuvõetud levipakette dubleerida virtuaalseks (PPP klient tunnelid).

Vajutage sisestusklahvi ja meie server installitakse. Alustame konfiguratsiooniga. Avame faili nano /etc/pptpd.conf ja päris allosas näeme järgmisi ridu

#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# või
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

Need on kliendi IP-aadressi sätted. Tühjendame kahe esimese rea kommentaarid (eemaldame sümboli #) ja parandame neid veidi.

Rea localip 192.168.0.1 tähendab, et meie VPN-serveril on IP 192.168.0.1, saate määrata meie IP mõnes otse ühendatud võrgus. Näiteks minu koduvõrgus on serveri IP-aadress 172.30.2.1 Et mitte koormata serverit mittevajalike asjadega, kasutasin sama.

Teine rida - remoteip 192.168.0.234-238,192.168.0.245 näitab IP-aadresside vahemikku, mis klientidele määratakse. Nagu nendelt ridadelt näha, võib võrguaadress olla ükskõik milline (teises ridade rühmas). Mugavuse huvides valime selle meie serveri IP-ga samast vahemikust.

Kasutan kodus järgmist IP väljastamise loogikat: 1. - ruuter, 2-19 - arvutid, 20-49 - staatiline VPN (ühendamisel väljastatakse sama aadress), 50-100 - VPN kliendid, 101-199 - Wi-Fi kliendid , 200-254 - erinevatele seadmetele (näiteks IP-ruuter, teler jne). Määrame vahemiku remoteip 172.30.2.50-100 ja salvestame konfiguratsiooni.

Läheme kataloogi cd /etc/ppp/, siin on salvestatud kõik pptpd (server) ja pppd (klient) konfiguratsioonifailid.

Nimetame faili pptpd-options ümber käsuga mv pptpd-options pptpd-options.bak ja loome selle uue nanoga pptpd-options Seda tehakse selleks, et uude faili mitme rea sisestamine oleks lihtsam kui parameetrite otsimine. kümneid ridu kommentaaridega. Kleepime sellesse uude faili järgmise sisu:

nimi pptpd
keelduda-pap
keelduda-kap
keelduda-mschap
nõuda-mschap-v2
#require-mppe-128
ms-dns 172.30.2.1
sõlmtee
lukk
nobsdcomp
aut
logifail /var/log/pptpd.log

Mida see kõik tähendab? Läheme järjekorras:

  • Kasutage pptpd nime, et otsida sisselogimisandmeid jaotisest chap-secrets
  • Kui see suvand on määratud, ei nõustu pptpd autentima, kasutades protokolli prügi-pap, jäätme-chap, keeldu-mschap
  • Nõua partnerite autentimist MS-CHAPv2 abil
  • Nõua MPPE kasutamist 128-bitise krüptimisega request-mppe-128 st. krüptida kogu liiklus. See suurendab serveri koormust ja mitte kõik "nõrgad" seadmed ei toeta seda (Wi-Fi ruuterid jne).
  • Soovitage kasutada DNS-serverit IP 172.30.2.1-ga
  • nodefaultroute - ärge määrake serverist kliendile vaikelüüsi, vastasel juhul saadetakse kogu Interneti-liiklus ühendatud kliendi kaudu ja Interneti-ühendus katkeb teenusepakkuja marsruudi kadumise tõttu.
  • Lukk - blokeeri seansid, st. Ühe sisselogimise kohta saab olla ainult üks ühendus
  • nobsdcomp – ära tihenda liiklust. Kui see on lubatud, suurendab see meie serveri koormust
  • autentimine – nõua autoriseerimist (sisselogimine ja parool)
  • logfile /var/log/pptpd.log – kirjutage sellesse faili töölogid.

Salvestage ja sulgege see konfiguratsioonifail.

Nüüd peame lisama kasutajad, kes meie serveriga ühenduse loovad. Avame nano chap-secrets faili (seda kasutatakse PPP kontode salvestamiseks).

Korrektseks tööks peate järgima järgmist vormingut: veerud peavad olema eraldatud vähemalt ühe tühiku või tabeldusmärgiga (Tab), tühikud ei ole nimedes lubatud (muidu loetakse tühikut järgmiseks veeruks), sisselogimine peab algama kiri. Näiteks:

Esimene veerg on kasutaja sisselogimine, teine ​​on teenuse nimi. Meie puhul on see pptpd. Järgmine on kasutaja parool, viimane on väljastatav IP-aadress. Veelgi enam, kui see on *, väljastatakse IP-aadress automaatselt eelnevalt määratud vahemikust. Samuti saate määrata aadressi IP-na, mis võib olla vahemikust väljas.

Enne serveri kasutamist peate selle taaskäivitama. Selleks käivitage /etс/init.d/pptpd restart, kui konfiguratsioonis vigu pole, käivitatakse server.

root@CoolServ:/etс/ppp# /etс/init.d/pptpd restart
PPTP taaskäivitamine:
PPTP peatamine: pptpd.
PPTP deemoni käivitamine: pptpd.

Kui kasutate ), peate sellele lisama järgmised read:

# VPN – PPTPD
iptables -A SISEND -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -A SISEND -p gre -m olek --olek SEOTUD, KEHTETUD -j AKTSEPTI

VPN-i klientidele meie serveri kaudu Interneti-juurdepääsu pakkumiseks peate lisama IPTablesile järgmise reegli:

iptables -t nat -A POSTROUTING -o eth1 -j MASKERAAD

Kus eth1 on Interneti-ühendus.

Kontrollimiseks saate luua test-VPN-ühenduse, mille krüptimine on keelatud (valikuline), ja luua ühenduse serveriga mis tahes määratud sisselogimise abil.

Sagedased ühenduse vead

PPTP-kliendiühenduse loomiseks Windows XP-st tehke järgmised sammud: klõpsake "Start" - "Juhtpaneel" - "Võrgu- ja Interneti-ühendused" - "Võrguühendused".


Klõpsake "Loo uus ühendus" - see käivitab "Uue ühenduse viisardi".







Nüüd sisestage ühenduse nimi. Siin saate kirjutada kõike, see on lihtsalt ühenduse nimi, näiteks kirjutame "PPTP" (ühenduse tüübi järgi).



Ilmuda võib järgmine küsimus: "Kas kasutada konfigureeritud Interneti-ühendusi?" (Kui teil on PPPoE-ühendus juba konfigureeritud), klõpsake "Ära vali".



Kui sellist teadet ei kuvata, lugege edasi.

Nüüd palutakse teil sisestada serveri aadress, näidata oma serveri IP või selle nimi.




Ülaltoodud fotol näidatud aknas valige "Atribuudid". Ilmub aken, kus valime vahekaardi "Turvalisus". Leidke üksus "Andmete krüpteerimine on nõutav" ja tühjendage ruut. vastasel juhul ei saa me ühendust luua, ilmuvad vead 741 või 742 - "server ei toeta nõutavat krüpteerimistüüpi."


Pärast seda klõpsake nuppu "OK", naaske eelmisesse aknasse, sisestage oma sisselogimine ja parool ning looge turvalise VPN-kanali kaudu meie kaugserveriga ühendust!

Lühendit VPN on nüüdseks kuulnud vaid need, kes pole kunagi arvutiga tegelenud. Mis see on, miks seda vaja on ja kuidas seda ise seadistada?

Mis on VPN ja miks seda vaja on?

VPN (virtuaalne privaatvõrk) on virtuaalne privaatvõrk, viis mitme füüsiliselt üksteisest teatud kaugusel asuvate arvutite ühendamiseks üheks loogiliseks võrguks.

VPN-i saate kasutada erinevatel eesmärkidel – alates töö/mängude jaoks võrgu korraldamisest kuni Interneti-juurdepääsuni. Samal ajal peate mõistma võimalikku juriidilist vastutust oma tegevuse eest.

Venemaal ei ole VPN-i kasutamine karistatav tegu, välja arvatud ilmselgelt ebaseaduslikel eesmärkidel kasutamise juhud. See tähendab, et kui soovite minna naaberriigi (näiteks Somaalia) presidendi veebisaidile ja oma IP-aadressi varjates kirjutada, kui halb ta on, ei ole see iseenesest rikkumine (eeldusel, et avaldus ei riku seadusi) . Kuid selle tehnoloogia kasutamine Venemaal keelatud ressurssidele juurdepääsuks on kuritegu.

See tähendab, et saate VPN-i abil sõpradega mängida ja organisatsiooni võrgus eemalt töötada, kuid te ei saa lugeda igasuguseid halbu saite. See on lahendatud. Liigume nüüd häälestuse juurde.

Serveriosa seadistamine Ubuntu Linuxis

Serveri poolel on selles osas parem kasutada Linuxit, sellega on lihtsam töötada. Lihtsaim variant on PPTP, ei nõua sertifikaatide installimist klientarvutitesse, viiakse läbi autentimine kasutajanime ja parooli järgi. Me kasutame seda.

Esmalt installime vajalikud paketid:

Sudo nano /etc/pptpd.conf

Kui vajame rohkem kui 100 samaaegset ühendust, otsige üles parameeter "ühendused", tühjendage see ja määrake soovitud väärtus, näiteks:

Ühendused 200

Kui meil on vaja pakette virtuaalvõrgu kaudu levitada, peaksime veenduma, et ka parameeter bcrelay on kommenteerimata:

Bcrelay eth1

Pärast seda minge faili lõppu ja lisage aadressi seaded:

Localip 10.10.10.1 remoteip 10.10.10.2-254 kuula 11.22.33.44

Esimene parameeter määrab kohalikus võrgus oleva serveri IP-aadressi, teine ​​​​- klientidele väljastatud IP-aadresside vahemik (vahemik peaks pakkuma kindlaksmääratud arvu ühenduste võimalust, parem on aadressid eraldada reserviga) , kolmas määrab, millisel välisel aadressil kuulata liideseid sissetulevate ühenduste vastuvõtmiseks. See tähendab, et kui on mitu välist aadressi, saab kuulata ainult ühte. Kui kolmandat parameetrit ei määrata, kuulatakse kõiki saadaolevaid väliseid aadresse.

Salvestage fail ja sulgege. Täiendavad peenhäälestusseaded määrame failis /etc/ppp/pptpd-options:

Sudo nano /etc/ppp/pptpd-options

Kõigepealt veendume, et oleme kommenteerimata jätnud read, mis keelavad vanade ja ebaturvaliste autentimismeetodite kasutamise:

Refuse-pap prügi-chap prügi-mschap

Samuti kontrollime, kas proxyarp on sisse lülitatud (vastav rida on kommenteerimata) ning lisaks, et lubada või keelata ühe kasutaja mitme ühenduse loomine, kommenteerime (luba) või tühistame (keela) lukustusvaliku.

Samuti salvestame faili ja sulgeme selle. Jääb üle vaid kasutajad luua:

Sudo nano /etc/ppp/chap-secrets

Iga VPN-i kasutaja jaoks eraldatakse üks rida, millel on näidatud järjestikku tema nimi, kaugaadress, parool ja kohalik aadress (eraldatuna tühikuga).

Kaugaadressi saab määrata, kui kasutajal on väline staatiline IP ja kasutatakse ainult seda, vastasel juhul on parem määrata tärn, et ühendust saaks aktsepteerida. Kohalik tuleb määrata, kui soovite, et kasutajale eraldataks virtuaalses võrgus sama IP-aadress. Näiteks:

Kasutaja1 * parool1 * kasutaja2 11.22.33.44 parool2 * kasutaja3 * parool3 10.10.10.10

Kasutaja user1 jaoks võetakse ühendusi vastu mis tahes väliselt aadressilt, kohalik eraldatakse esimesele saadaolevale aadressile. User2 jaoks eraldatakse esimene saadaolev kohalik aadress, kuid ühendusi võetakse vastu ainult aadressilt 11.22.33.44. User3 jaoks võetakse ühendusi vastu kõikjalt, kuid kohalikuks aadressiks määratakse alati 10.10.10.10, mille me talle reserveerisime.

See lõpetab VPN-serveri konfigureerimise (Linuxis ei pea te arvutit taaskäivitama):

Sudo teenuse pptpd taaskäivitamine

VPN-i klientide seadistamine

Kliendiosa saab seadistada iga operatsioonisüsteemi alla, toon selle näitena Ubuntu Linux 16.04.

Avame kliendiarvutis võrguühendused (ekraanitõmmised näitavad seda Ubuntu + Cinnamoni jaoks, GNOME-i jaoks tehakse seda samamoodi, Kubuntus tundub, et see ei tekita raskusi). Klõpsake nuppu "Lisa" ja valige PPTP-ühendus:

VPN-ühenduse nime võib jätta standardseks või määrata endale sobiva ja arusaadava – see on maitse asi. Sisestame väljale "Lüüs" selle serveri välise IP-aadressi, millega ühendame (määratakse seadistamisel suvandis "Kuula"), allpool on nimi ja parool. Parempoolsel väljal "Parool" peate esmalt valima valiku "Salvesta selle kasutaja parool".

Pärast seda sulgege aknad ja ühendage serveriga. Kui server asub väljaspool teie kohalikku võrku, vajate juurdepääsu Internetile.

See lõpetab virtuaalse võrgu korraldamise, kuid see ühendab arvutid ainult kohalikku võrku. Võrguserveri kaudu Internetti pääsemiseks peate tegema veel ühe sätte.

Interneti-juurdepääsu seadistamine VPN-i kaudu

Sisestage VPN-serverisse järgmised käsud:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A EDASIMINE -s 10.10.10.1/24 -j ACCEPT iptables -A EDASIMINE -d 10.10.40 -j.

kus 10.10.10.1/24 on kohaliku serveri aadress ja võrgumask.

Pärast seda salvestage muudatused, et need töötaksid ka pärast serveri taaskäivitamist:

Iptables-save

Ja rakendage kõik muudatused:

Iptables-rakendus

Pärast seda on teil juurdepääs Internetile. Kui lähete saidile, mis kuvab teie IP-aadressi, näete välise serveri aadressi, mitte teie oma (kui need ei ühti).

Tuletan teile meelde, et ainult teie vastutate oma tegude tagajärgede eest.

Juhised

Kontrollige, kas teie operatsioonisüsteemi tuumas on PPP tugi. Lihtsaim viis seda teha on vaadata praeguse kerneli konfiguratsioonifaili CONFIG_PPP prefiksiga valikute väärtusi. Tavaliselt installitakse see kataloogi /boot ja selle nimi algab sõnaga config. Uurige käsu abil selle faili nimi
ls /boot
või
ls /boot | grep konf
Printige vajalikud read käsuga cat, filtreerides grep-iga. Näiteks:
cat /boot/config-2.6.30-std-def-alt15 | grep PPP
Analüüsige ridu, mis sisaldavad suvandeid CONFIG_PPP, CONFIG_PPP_ASYNC, CONFIG_PPP_SYNC_TTY. Kui nende ees pole sümbolit #, on vastava funktsionaalsuse tugi saadaval (m väärtuste jaoks - välise mooduli kujul, y väärtuste jaoks - sisaldub kernelis).

Kontrollige, kas VPN-ühenduste loomiseks mõeldud klienttarkvara on süsteemi installitud. Vajalikul paketil on tavaliselt pptp-ga algav nimi. Kasutage apt-cache koos otsinguvalikuga soovitud paketi otsimiseks saadaolevatest hoidlatest ja rpm võtmega -qa, et kontrollida, kas pakett on installitud. Graafilises keskkonnas töötades võib olla mõttekas kasutada selliseid programme nagu Synaptic.

Installige puuduv tarkvara. Kasutage sobivaid paketihaldureid (apt-get, rpm konsoolis, synaptic GUI-s jne). Kui installisite vastava protokolli toetamiseks ppp-paketi koos tuumamoodulitega, taaskäivitage arvuti.

Proovige seadistada VPN, kasutades konfiguratsiooniskripte, nagu pptp-command või pptpsetup. Need sisalduvad sageli VPN-ühenduste loomiseks mõeldud klienditarkvarapakettides. Nende utiliitide käsurea parameetrite kohta abi saamiseks käivitage need võtmega --help. Näiteks:
pptpsetup --help
Kui konfiguratsiooniskripte pole installitud, jätkake VPN-i käsitsi konfigureerimiseks järgmise sammuga.

Looge kataloog /etc/ppp ja selles fail nimega chap-secrets. Avage fail tekstiredaktoris. Lisage selline rida:
SERVERRI SISSE logimise parool *
Väärtused LOGIN ja PASSWORD on kasutajanimi ja parool. Need peab pakkuma teie VPN-teenuse pakkuja. SERVER asemel määrake suvaline ühenduse nimi või *.

Looge kataloog /etc/ppp/peers. Looge selles fail, millel on sama nimi, mis eelmise sammu SERVER väärtusel (või suvaline nimi, kui väärtus * oli määratud). Redigeerige seda faili, lisades näiteks järgmist teavet:
pty "pptp SERVER --nolaunchpppd"
nimi LOGIN
iparam SERVER
kaugnimi SERVER
lukk
noauth
nodeflate
nobsdcomp
Siin olevad LOGIN ja SERVER väärtused on samad, mis toimingus 5. Siinkohal võib VPN-i seadistamise Linuxis lugeda lõpetatuks.

VPN-ühenduse seadistamine Debianis

Siin on näide VPN-ühenduse seadistamisest Debian Linuxi jaoks käsurea kaudu. Kuid see pole vähem kasulik Debianil põhinevate distributsioonide omanikele, näiteks Ubuntu.

  1. Kõigepealt vajate pptp paketti:
    # apt-get install pptp-linux
  2. Redigeerige faili /etc/ppp/options.pptp (või looge, kui seda pole olemas). See peaks sisaldama järgmisi parameetreid:
    lukk
    noauth
    nobsdcomp
    nodeflate
  3. Järgmisena peate faili /etc/ppp/chap-secrets lisama sellise rea:
    "kasutajanimi" PPTP "parool" *
  4. Looge fail /etc/ppp/peers/XXX (XXX on võrgu nimi). Kirjutage sinna järgmine:
    pty "pptp vpn.XXX.ru --nolaunchpppd"
    nimi "kasutajanimi"
    kaugnimi PPTP
    fail /etc/ppp/options.pptp
    vaikemarsruut
    "kasutajanimi" ja "parool" tuleb asendada teie kasutajanime ja parooliga ilma jutumärkideta, nagu on märgitud teie lepingus. vpn.XXX.ru - VPN-serveri aadress - saate teada oma teenusepakkujalt.
  5. Vaikemarsruudi automaatseks asendamiseks looge fail /etc/ppp/ip-up.d/routes-up:
    # puudutage /etc/ppp/ip-up.d/routes-up
    # su chown a+x /etc/ppp/ip-up.d/routes-up

    Ja sisestage sinna järgmine:
    #!/bin/sh
    /sbin/route del default
    /sbin/route lisab vaikimisi dev ppp0
    Looge fail /etc/ppp/ip-down.d/routes-down:
    # puudutage /etc/ppp/ip-down.d/routes-down
    # su chown a+x /etc/ppp/ip-down.d/routes-down
    Ja sisestage sinna järgmine:
    #!/bin/sh
    /sbin/route del default
    /sbin/route lisab vaikimisi dev eth0

  6. Nüüd saate ühenduse luua käsuga:
    #supon XXX
    Ühendusprotsessi üksikasjaliku teabe kuvamiseks tippige:
    # su pon XXX silumistõmmis logfd 2 nodetach
    Saate kontrollida, kas olete VPN-iga ühendatud, tippides käsu ifconfig. Kui selle väljund sisaldab jaotist ppp0, siis olete ühendatud ja võite alustada Internetiga töötamist. Keelamiseks vajutage klahvikombinatsiooni ctrl+c või tippige:
    # su poff XXX
  7. Selleks, et teie arvuti saaks meie serverist marsruute, peavad failis /etc/dhcp3/dhclient.conf olema järgmised read:
    #
    valik rfc3442-classless-static-routes kood 121 = märgita täisarvu 8 massiiv;
    valik ms-classless-static-routes kood 249 = märgita täisarvu 8 massiiv;
    #
    päring alamvõrgu mask, leviaadress, aja nihe, ruuterid, domeeninimi, domeeninimeserverid, domeeniotsing, hostinimi, netbiosi nimeserverid, netbiosi ulatus, liidese-mtu, staatiline marsruut , rfc3442-classless-static-routes, ms-classless-static-routes;
    #
  8. Interneti-ühenduse automaatseks ühendamiseks operatsioonisüsteemi laadimisel looge fail /etc/init.d/XXX
    # puudutage /etc/init.d/XXX
    # su chown a+x /etc/init.d/XXX
    # su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
    Paneme selle kirja järgmiselt:
    #!/bin/sh
    su /usr/bin/pon XXX

Kõigis käskudes on XXX teie võrgu nimi.



SEOTUD ARTIKLID