Ni nini wazi vpn. OpenVPN: kuunda lango la wazi la VPN kamili. Kuweka sehemu ya seva

OpenVPN ni maarufu sana kati ya wasimamizi wa mfumo wakati unahitaji kuunganisha haraka na kwa ufanisi ofisi za mbali na njia za VPN. Leo tunakupa makala kutoka kwa msomaji wetu ambayo atakuambia jinsi ya kuanzisha kituo salama kati ya ofisi na ziada ulinzi wa nenosiri kwenye jukwaa la Windows.

Na kwa hivyo tunahitaji kuandaa chaneli ya VPN kati ya ofisi mbili. Ofisi ya Mtandao 1 (wacha tuiite S_OF1) na Ofisi ya Mtandao 2 (wacha tuiite S_OF2).

Nitasema mara moja kwamba katika kesi yangu OpenVPN imewekwa kwenye Windows 7 katika ofisi zote mbili.

S_OF1 inajumuisha:
Mashine ambapo tunasakinisha OpenVPN Server ina violesura 2 vya mtandao.
Pia ina seva ya proksi iliyosakinishwa ambayo inasambaza Mtandao kwa eneo la karibu, na hivyo kutumika kama lango kuu la mashine zote kwenye eneo la karibu (192.168.0.100)
192.168.0.100 inaonekana kwenye mtandao
192.168.1.2 hutazama ulimwengu kupitia kipanga njia. Router ina IP tuli, sema 111.222.333.444. Router ilisambaza bandari 1190 (kwa upande wangu, bandari 1190 ilitumwa kwa 192.168.1.2)
Mtumiaji mtandaoni: 192.168.0.50

S_OF2 inajumuisha:
Mashine ambapo tunasakinisha OpenVPN Client ina violesura 2 vya mtandao.
Pia ina seva ya proksi iliyosakinishwa ambayo inasambaza Mtandao kwa eneo la karibu, na hivyo kutumika kama lango kuu la mashine zote kwenye eneo la karibu (172.17.10.10)
172.17.10.10 inaangalia mtandao
192.168.1.2 hutazama ulimwengu kupitia kipanga njia.
Mtumiaji mtandaoni: 172.17.10.50

Kazi: Mtumiaji S_OF1 (192.168.0.50) anapaswa kuona nyenzo zilizoshirikiwa kwenye Mtumiaji S_OF2 (172.17.10.50) na kinyume chake.

Hebu tuanze kuweka

Pakua OpenVPN kulingana na kina kidogo cha mfumo.

Tunaanza ufungaji, katika hatua ya 3 tunawasha vitu visivyo na kazi.

Hatua inayofuata ni njia ya ufungaji. Ili kurahisisha maisha yako ya baadaye, isakinishe kwenye mzizi wa kiendeshi C.

Wakati wa mchakato wa ufungaji, adapta ya mtandao ya mtandao imewekwa kwenye mfumo. Adapta ya TAP-Win32 V9 na, ipasavyo, dereva kwa hilo. Mpango wa OpenVPN utatoa anwani ya IP na barakoa pepe kwenye kiolesura hiki. Mitandao ya OpenVPN. Kwa upande wetu, imepewa anwani 10.10.10.1 na barakoa ya 255.255.255.0 kwenye seva ya S_OF1 na 10.10.10.2 na barakoa sawa kwenye mteja wa S_OF2.

Wacha tuipe jina tena "VPN"

Katika saraka "C:\OpenVPN" unapaswa kuunda folda ya ziada mara moja ssl(hapa ndipo tutahifadhi funguo za uthibitishaji) folda ccd(hapa kutakuwa na usanidi wa mipangilio ya seva kwa mteja).

Katika folda rahisi-rsa tengeneza faili vars.bat,, faili ya batch itaweka vigezo vya kipindi cha utoaji cheti, kadiri shirika na eneo linavyohusika, jaza data yako.

Weka HOME=C:\OpenVPN\easy-rsa
weka KEY_CONFIG=openssl-1.0.0.cnf
weka KEY_DIR=C:\OpenVPN\ssl
weka KEY_SIZE=1024
weka KEY_COUNTRY=RU
weka KEY_PROVINCE=Stavropol
weka KEY_CITY= Stavropol
weka KEY_ORG=ServerVPN
weka KEY_EMAIL=admin@localhost
weka KEY_CN=jaribio
weka KEY_NAME=jaribio
weka KEY_OU=jaribio
weka PKCS11_MODULE_PATH=test
weka PKCS11_PIN=1234

Hebu tuzindue mstari wa amri kwa niaba ya msimamizi.

Nenda kwa njia C:\OpenVPN\easy-rsa, ukiandika amri kwenye mstari wa amri kwenda

Cd C:\OpenVPN\easy-rsa

Hebu tuzindue vars.bat:

Sasa tuzindue kujenga-ca.bat. Kwa kuwa tayari tumejaza habari zote kuhusu seva, tunaacha kila kitu bila kubadilika:

baada ya hii tutakuwa na faili mbili kwenye folda ya ssl ca.crt Na ufunguo wa ca.

Hebu tuzindue build-dh.bat:

kama matokeo, faili itaonekana kwenye folda ya ssl dh1024.pem.

Tunaunda ufunguo wa seva kwa kuingiza amri:

Build-key-server.bat ServerVPN

Wapi" SevaVPN"Hili ndilo jina la seva yetu ya VPN, kama ilivyo kwangu,

Muhimu! Tunataja parameter ya "jina la kawaida" - andika jina la seva yetu ya VPN. Tunaacha vigezo vingine vyote kama chaguo-msingi na kujibu ndiyo kwa maswali yote.

kama matokeo, tutakuwa na faili kwenye folda ya ssl SevaVPN.crt, SevaVPN.csr, Ufunguo wa sevaVPN.

Wacha tuanze kutengeneza funguo za mteja.

Tunatekeleza amri:

Build-key.bat UserVPN_1

Wapi" MtumiajiVPN_1"Jina la mteja wetu.

Muhimu! Tunabainisha kigezo cha "jina la kawaida" - andika jina la mteja wetu wa VPN (MtumiajiVPN_1). Tunaacha vigezo vingine vyote kama chaguo-msingi na kujibu ndiyo kwa maswali yote.

Kama matokeo, tutakuwa na faili kwenye folda ya ssl MtumiajiVPN_1.crt, MtumiajiVPN_1.csr, Ufunguo wa mtumiajiVPN_1.

Ikiwa una wateja kadhaa, kisha kurudia kizazi cha funguo; bila kusahau kupeana majina yao kwa kila mteja

Build-key.bat UserVPN_2
build-key.bat MtumiajiVPN_3

Inazalisha kitufe cha tls-auth (ta.key) kwa uthibitishaji wa pakiti, kwa hili nenda kwa folda ya mizizi OpenVPN:

na endesha amri:

Openvpn --genkey --secret ssl/ta.key

Matokeo yake, tunapokea faili kwenye folda ya ssl ufunguo wa ta.

Wacha tuanze kuunda usanidi wa seva. Unda faili kwenye folda ya usanidi OpenVPN.ovpn:

#Port kwa operesheni ya OpenVPN
bandari 1190

proto udp

#Aina ya kiolesura
dev wimbo

#Jina la kiolesura
dev-node "VPN"

#Cheti cha usimbaji fiche wa muunganisho
dh C:\\OpenVPN\\ssl\\dh1024.pem

ca C:\\OpenVPN\\ssl\\ca.crt

#Cheti cha seva
cert C:\\OpenVPN\\ssl\\ServerVPN.crt

#ufunguo wa seva
ufunguo C:\\OpenVPN\\ssl\\ServerVPN.key

# Ulinzi kutoka Mashambulizi ya DOS(kwa seva, baada ya njia ya ufunguo, weka 0 na kwa mteja 1)
tls-server
tls-auth C:\\OpenVPN\\vifunguo\\ta.key 0
tun-mtu 1500
tun-mtu-ziada 32
mssfix 1450

#Msururu wa anwani za IP za Mitandao ya VPN
seva 10.10.10.0 255.255.255.0

cipher AES-256-CBC

#Magogo

#Saraka iliyo na faili iliyo na jina la mteja wetu, kwa upande wangu UserVPN_1 bila kiendelezi, na ndani yake uandike amri ambazo zitatekelezwa kwa mteja:
mteja-config-dir "C:\\OpenVPN\\ccd"

kitenzi 3

bubu 20

# Idadi ya juu zaidi ya wateja waliounganishwa kwa wakati mmoja tunataka kuruhusu
wateja wa juu 2

#Maisha ya kipindi ambacho hakifanyiki
uhifadhi 10 120

#Tunaruhusu wateja kuonana
mteja-kwa-mteja

#Washa compression
comp-lzo
ufunguo wa kuendelea
endelea-tun

#Njia zinaongezwa kupitia .exe, ikiwa bila hiyo, basi sio kila mtu ana njia zilizosajiliwa
njia-njia-exe

#Kuchelewa kabla ya kuongeza njia
ucheleweshaji wa njia 5

#Amri inayowaambia wateja ni nini nyuma ya seva mtandao wa ndani yenye anwani 192.168.0.0 255.255.255.0
kushinikiza "njia 192.168.0.0 255.255.255.0"

#Husajili njia kwenye seva ili kuona mtandao nyuma ya mteja
njia 172.17.10.0 255.255.255.0 10.10.10.2

#Lango
njia-lango 10.10.10.1

# kila mteja hupewa anwani 1, bila bandari za kipanga njia pepe
subnet ya topolojia

Katika folda ccd unda faili bila kiendelezi na uipe jina kama mteja MtumiajiVPN_1, fungua na notepad na uandike yafuatayo:

#Mpe mteja IP ya kudumu 10.10.10.2
ifconfig-push 10.10.10.2 255.255.255.0

#taarifu seva kuwa mtandao wa mteja ni 172.17.10.0
njia 172.17.10.0 255.255.255.0

#kama unatoa maoni mstari unaofuata, basi mteja atazimwa (ikiwa utahitaji kukata mteja huyu kutoka kwa seva, na wengine watafanya kazi)
#zima

Unda usanidi wa mteja.

#Tunamwambia mteja achukue maelezo ya uelekezaji kutoka kwa seva (chaguo za kushinikiza)
mteja

#Port kwa operesheni ya OpenVPN
bandari 1190

#Onyesha itifaki ya OpenVPN hutumia
proto udp

#Aina ya kiolesura
dev wimbo

#Jina la kiolesura
dev-node "VPN"

# Anwani ya seva ambayo tunaunganisha
kijijini 444.333.222.111 1190

#ulinzi
seva ya mbali-cert-tls

#Cheti cha Mamlaka ya Cheti
ca C:\\OpenVPN\\ssl\\ca.crt

#Cheti cha seva
cert C:\\OpenVPN\\ssl\\UserVPN_1.crt

#ufunguo
ufunguo C:\\OpenVPN\\ssl\\UserVPN_1.key

# Ulinzi dhidi ya shambulio la DOS
tls-auth C:\\OpenVPN\\vifunguo\\ta.key 1
tun-mtu 1500
tun-mtu-ziada 32
mssfix 1450
ping-anzisha upya 60
ping 10

#Washa compression
comp-lzo
ufunguo wa kuendelea
endelea-tun

# Chagua msimbo wa siri
cipher AES-256-CBC

#Magogo
hali C:\\OpenVPN\\log\\openvpn-status.log
logi C:\\OpenVPN\\logi\\openvpn.log

#Ngazi habari ya utatuzi
kitenzi 3

#Idadi ya nakala za barua pepe
bubu 20

Tunasakinisha OpenVPN kwenye mteja na kuihamisha kwake ca.crt, MtumiajiVPN_1.crt, Ufunguo wa mtumiajiVPN_1, ufunguo wa ta.

Tunasanidi firewalls na antivirus kwenye mteja na seva kwa kifungu laini cha pakiti. Sitaelezea, yote inategemea imewekwa antivirus na firewalls.

Baada ya haya yote, tunazindua seva yetu na mteja.

Ikiwa kila kitu kimefanywa kwa usahihi, seva yetu itapokea IP 10.10.10.1 na mteja ataunganishwa nayo na kupokea IP 10.10.10.2. Na kwa hiyo tuliunganisha, sasa seva na mteja hupiga ping kila mmoja kupitia IP ya mtandao wetu wa VPN, yaani, 10.10.10.1 na 10.10.10.2.

Ili ping iende kwa anwani za ndani za S_OF1 na S_OF2 yetu, unahitaji kuwezesha huduma. Uelekezaji na Ufikiaji wa Mbali.

Unahitaji kwenda kwa mali ya huduma, usanidi kwa kuwasha kiotomatiki na kukimbia.

Baada ya hayo, tutaweza kupiga IP ya ndani ya seva na mteja (mteja wa 172.17.10.10 na seva ya 192.168.0.100).

Lakini njia hii ina upungufu mdogo: baada ya kugeuka huduma hii na kuunganisha kwenye kituo chetu cha VPN, msalaba mwekundu utaonekana kwenye icon ya uunganisho wa mtandao mpaka VPN imezimwa.

Wakati huo huo, mitandao yote inafanya kazi ndani hali ya kawaida. Binafsi, msalaba huu unakera na wakati mwingine unanichanganya.

Kuna njia ya pili ya kufanya mitandao ya ndani ya IP ya seva na mteja wetu ionekane.

Ili kufanya hivyo, nenda kwa Usajili na ufungue tawi la Usajili:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIP\Parameters

Pata parameta na ubadilishe thamani: IPEnableRouter aina REG_DWORD maana 1 .

Usisahau kuwasha upya mashine ili mipangilio ianze kutumika!

Hii inahitaji kufanywa kwa seva na mteja.

Kwa hivyo tunabandika mitandao yetu kwa kutumia IP za ndani, na kwa kuwa seva na mteja ni lango la mitandao yao, mashine kutoka kwa mtandao 1 zinaweza kuona mashine kutoka kwa mtandao 2 na kinyume chake. yaani, Mtumiaji S_OF1 (192.168.0.50) anaweza kuona folda zilizoshirikiwa za Mtumiaji S_OF2 (172.17.10.50) na kinyume chake.

Ikiwa seva na mteja sio lango la mitandao yao, basi utalazimika kusajili njia kwa mikono.

Mfano wa S_OF1:

Njia -p 172.17.10.0 255.255.255.0 192.168.0.100 (mashine ambayo OpenVPN imesakinishwa)

Mfano wa S_OF2:

Njia -p 192.168.0.0 255.255.255.0 172.17.10.10 (mashine ambayo OpenVPN imesakinishwa)

kwa upande wangu hii haikuhitajika.

Kwa kuanza moja kwa moja seva na mteja tunahitaji kuwezesha Huduma ya OpenVPN

Sasa wakati boti za mashine, seva huanza kiatomati, na wakati mashine ya mteja imewashwa, pia itaunganishwa kiotomatiki kwenye seva.

Ulinzi wa ziada

Kama unavyojua, OpenVPN ina uwezo wa kuthibitisha kwa kutumia vyeti, kama ilivyoelezwa hapo juu, pamoja na kutumia kuingia na nenosiri, lakini pia unaweza kuchanganya pamoja. Kwa kadiri ninavyojua, ni Linux pekee inayo chaguo njia za kawaida sanidi uthibitishaji kwa kutumia kuingia na nenosiri, lakini hii inaweza pia kutatuliwa katika Windows. Ili kufanya hivyo kwenye folda usanidi tengeneza faili auth.vbs na uandike yafuatayo ndani yake

"VBscript auth.vbs kwa uthibitishaji katika OpenVPN - auth-user-pass-verify auth.vbs via-file "(c) 2007 vinni http://forum.ixbt.com/users.cgi?id=info:vinni "Msaada : http://forum.ixbt.com/topic.cgi?id=14:49976 "Hati inalinganisha jina la mtumiaji kwa namna isiyojali. "Ikiwa unaihitaji vinginevyo, ondoa UCase(...) katika sehemu 2 au 4 Washa Hitilafu Inaendelea Ifuatayo " fungua faili ambayo jina lake lilihamishwa na OpenVPN hadi kwenye hati kupitia kigezo Set fso = CreateObject("scripting.filesystemobject") Weka CurrentUserPasswordFile = fso.OpenTextFile(WScript.Arguments(0),1) "1 = kwa kusoma ikiwa Nambari ya Hitilafu<>0 Kisha WScript.Quit(1) " soma mistari 2 kutoka kwa faili hili - jina na nenosiri lililowekwa na mtumiaji "mwisho mwingine" ikiwa CurrentUserPasswordFile.AtEndOfStream kisha WScript.Quit(1) UserName=CurrentUserPasswordFile.ReadLine if CurrentUserPasswordFile.AtE kisha WScript .Quit(1) Password=CurrentUserPasswordFile.ReadLine CurrentUserPasswordFile.Funga "fungua kigezo cha mazingira_cha kawaida (hii ni CN ya cheti kilichowasilishwa na mteja) "na ulinganishe na jina la mtumiaji uliloingizwa." ikiwa ulinganisho huu haufanyiki. inahitajika, kisha ufute mistari 2 inayofuata au utoe maoni yako CurrentCommonName = CreateObject("Wscript.Shell").ExpandEnvironmentStrings("%common_name%") ikiwa UCase(CurrentCommonName)<>UCase(UserName) kisha WScript.Quit(1) " fungua faili yetu na hifadhidata ya kumbukumbu na manenosiri " kwa chaguo-msingi hii ni Users.pw kwenye saraka ya sasa Weka UserPasswordFileBase = fso.OpenTextFile("Users.pw",1) " 1 = kwa kusoma ikiwa Err.Number<>0 Kisha WScript.Quit(1) "soma jozi za mistari katika kitanzi, ukiruka ile tupu KATI YA JOZI HIZI," na ulinganishe na kile mtumiaji alichoingiza. Fanya wakati hufanyi hivyo(UserPasswordFileBase.AtEndOfStream) NextUserName=UserPasswordFileBase.ReadLine if Err.Number<>0 Kisha WScript.Quit(1) ikiwa NextUserName<>"" kisha " ikiwa jina la mtumiaji linahitaji kulinganishwa na hali nyeti, basi ondoa UCase(...) hapa ikiwa UCase(UserName)=UCase(NextUserName) basi ikiwa Password=UserPasswordFileBase.ReadLine basi " kama jina na nenosiri linalingana na jozi. kutoka kwa hifadhidata , kisha tunamalizia hati na matokeo 0 "hii ni muhimu kwa OpenVPN"a, hii ni ishara ya uthibitishaji uliofaulu UserPasswordFileBase.Close WScript.Quit(0) mwisho ikiwa sivyo UserPasswordFileBase.ReadLine end if end if Loop " ikiwa utafutaji haukufaulu, basi tunamalizia hati na matokeo ya 1 "hii ni muhimu kwa OpenVPN"a, hii ni ishara ya uthibitishaji usio na mafanikio UserPasswordFileBase.Close WScript.Quit(1)

Pia katika folda ya usanidi tunaunda faili Users.pw huko kuandika kuingia na nenosiri la mteja wetu

MtumiajiVPN_1
123456

Ikiwa kuna wateja kadhaa basi:

MtumiajiVPN_1
123456

MtumiajiVPN_2
365214

MtumiajiVPN_3
14578

Ifuatayo unahitaji kuandika mstari katika usanidi wa mteja auth-user-pass, sasa mteja anapounganisha kwenye seva, dirisha la idhini litatokea ambapo unahitaji kuingiza kuingia na nenosiri ambalo umemkabidhi. Watumiaji.pw, watahitaji kuwasilishwa kwa mteja.

Nimeisanidi kuwa jina la mtumiaji (kuingia) linalingana na jina la mteja kwenye cheti, yaani MtumiajiVPN_1. lakini unaweza kuweka jina lingine tofauti na jina kwenye cheti; kwa hili unahitaji kuangalia mipangilio ndani auth.vbs.

" fungua common_name utofauti wa mazingira (hii ndio CN ya cheti kilichowasilishwa na mteja)
" na ulinganishe na jina la mtumiaji lililoingizwa.
" ikiwa ulinganisho huu hauhitajiki, basi futa au toa maoni kwa mistari 2 inayofuata

CurrentCommonName = CreateObject("WscrIPt.Shell").ExpandEnvironmentStrings("%common_name%")
ikiwa UCase(CurrentCommonName)<>UCase(Jina la mtumiaji) kisha WScrIPt.Quit(1)
WScrIPt.Echo "Debug: CurrentCommonName= " & CurrentCommonName

Na ili uthibitishaji ufanye kazi kwa kutumia cheti na kutumia kuingia na nenosiri, lakini wakati huo huo dirisha la idhini ya mtumiaji halitokei, kwani hii itachelewesha muunganisho wa mteja kwenye seva ikiwa, kwa mfano, unayo. kuwezeshwa upakuaji otomatiki Huduma ya OpenVPN (kama ilivyosanidiwa kwangu) au hutaki tu kuingia kuingia na nenosiri lako kila wakati, katika kesi hii kwenye mteja kwenye folda. ssl tengeneza faili pass.txt na uandike jina letu la mtumiaji na nenosiri ndani yake kama hii:

MtumiajiVPN_1
123456

na katika usanidi wa mteja tunabadilisha mstari auth-user-pass juu auth-user-pass C:\\OpenVPN\\ssl\\pass.txt.

Sasa ninawasha mashine ambayo OpenVPN -Server imewekwa, huduma huanza na seva ya VPN inapanda moja kwa moja. Mteja huwasha mashine na pia hupita uunganisho wa moja kwa moja kwa seva yangu. Sasa unaweza kwenda folda zilizoshirikiwa au fanya kazi kupitia RDP, kwa mfano, katika 1C iliyosakinishwa katika shirika lingine.

wawasiliani [barua pepe imelindwa]

Lebo:

Tafadhali wezesha JavaScript kutazama

1) Kwenye tovuti openvpn.net nenda kwenye sehemu hiyo Jumuiya. Katika kichupo Vipakuliwa bonyeza Vipakuliwa vya Jumuiya.

2) Chagua faili ya ufungaji kwa mujibu wa kina kidogo cha OS ( 32 kidogo/64 kidogo) iliyosakinishwa na kuipakua.

3) Endesha faili ya usakinishaji na fanya hatua za usakinishaji.

5) Inaendelea Ufungaji wa OpenVPN programu inaweza kuomba uthibitisho wa usakinishaji TAP- madereva. Ombi hili lazima idhibitishwe kwa kubonyeza kitufe Sakinisha.

6) Hii inakamilisha mchakato wa ufungaji.

Usanidi wa upande wa seva

Hebu tuangalie mfano wa kusanidi muunganisho wa OpenVPN kwa kutumia cheti cha SSL kilichojiandikisha.

1) Zindua mstari wa amri.

Anza -> Run -> cmd

2) Nenda kwenye saraka C:\Faili za Programu\OpenVPN\easy-rsa kwa kutumia amri:

Cd\Program Files\OpenVPN\easy-rsa

3) Endesha faili init-config.bat kwenye mstari wa amri:

Init-config.bat

Baada ya kuendesha faili, faili itaundwa vars.bat.

4) Faili vars.bat lazima ifunguliwe ndani mhariri wa maandishi(notepad au Wordpad) na ubadilishe data muhimu ya kutia sahihi iwe ya kibinafsi. Unaweza kuhariri habari katika mistari ifuatayo:

Weka KEY_COUNTRY=US #Nchi imewekwa KEY_PROVINCE=CA #Mkoa umewekwa KEY_CITY=SanFrancisco #City set KEY_ORG=OpenVPN #Jina la kampuni limewekwa [barua pepe imelindwa]#Barua pepe ya mawasiliano

Pia, kwa kukosekana kwa rekodi ya fomu:

Weka OPENSSL_CONF=C:\Program Files\OpenVPN\easy-rsa\openssl-1.0.0.cnf

unahitaji kuiongeza chini ya mstari:

Weka KEY_CONFIG=openssl-1.0.0.cnf

Kumbuka: Njia ya eneo na jina la faili ya usanidi inaweza kutofautiana na yale yaliyoonyeshwa kwenye mfano. Kwa hiyo, kwanza hakikisha kwamba faili iko na jina lake kwa mujibu wa data maalum.

5) kuunda index Na mfululizo faili, fanya amri zifuatazo moja baada ya nyingine kwenye mstari wa amri:

Vars safi-yote

6) Amri inayofuata huunda kitufe cha CA ambacho kitatumika kutia sahihi cheti cha SSL cha siku zijazo. Baada ya kuendesha amri, utaulizwa kwa maadili ya parameta. Ikiwa umefanya marekebisho kwenye faili hapo awali vars.bat, basi vigezo vilivyoainishwa katika hatua ya 4 vinaweza kujibiwa kwa kushinikiza Ingiza. Isipokuwa ni parameta - Jina la kawaida. Ndani yake unahitaji kuingiza jina la mwenyeji wa seva au jina la kikoa.

Kujenga-ca

7) Unda kitufe cha Diffie-Hellman.

Jenga-ufunguo-seva<имя_сервера>

Kwa upande wetu, amri ifuatayo itakuwa:

Jenga-ufunguo-seva seva

Kujaza hufanywa kwa mlinganisho na hatua ya 6. Katika shamba Jina la kawaida kwa upande wetu tunaonyesha seva. Kwa maswali yote mawili " Kutia saini cheti?"Na" Ombi la cheti 1 kati ya 1 limethibitishwa, unajitolea?"Tunakubali kwa kuingia" y", na kisha bonyeza Ingiza.

9) Unda kitufe tofauti kwa kila mteja:

Mteja wa ufunguo wa kujenga1

Ingiza maelezo ya mawasiliano yanayohitajika. KATIKA Jina la kawaida onyesha mteja 1.

Inahamisha faili kutoka kwa folda /funguo kwa folda /config.

10) Kutoka kwa folda /sampuli-config nakala faili seva.ovpn kwa folda /config

Mpangilio wa firewall

Hakikisha kwamba bandari 5194 Na 1194 hazijazuiwa na ngome, vinginevyo tunaongeza sheria zinazoruhusu za trafiki zinazoingia na zinazotoka:

11) Nenda kwa Anza -> Mipango yote -> Zana za Utawala -> Windows Firewall na Usalama wa Hali ya Juu.

12) Bonyeza upande wa kushoto wa dirisha Sheria zinazoingia na katika sehemu Vitendo bonyeza Sheria mpya. Matokeo yake, Mchawi wa Unda Sheria inapaswa kuonekana.

13) Tunajaza hatua 5 zilizopendekezwa kama ifuatavyo:

Hatua ya 1 - Aina ya sheria: Bandari;

Hatua ya 2 - Itifaki na Bandari: Chaguomsingi katika mipangilio Seva za OpenVPN Itifaki ya UDP inatumika. Kama usanidi huu haijabadilika, kisha chagua ndani hatua hii UDP. Vinginevyo - TCP. Katika shamba Bandari mahususi za ndani onyesha 5194 .

Hatua ya 3 - Hatua: Ruhusu uunganisho;

Hatua ya 4 - Wasifu: Acha visanduku vya kuteua vimewashwa.

Hatua ya 5 - Jina: Taja jina la sheria kwa hiari yako na ubofye Maliza.

14) Vile vile, ongeza sheria kwa bandari 1194 , baada ya hapo tunaenda Sheria za Nje na kuunda sheria mbili zinazofanana na zile zilizoundwa ndani Inbound.

Kuanzisha seva

15) Anzisha seva ya OpenVPN kwa kubofya bonyeza kulia panya kwenye faili seva.ovpn Inaweka OpenVPN kwenye faili hii ya usanidi.

16) Matokeo yake, mstari wa amri utaonekana, ambao utaonyesha mchakato wa kuanzisha seva ya VPN. Ikiwa mwishoni mstari umechapishwa Mfuatano wa Kuanzisha Umekamilika, ina maana uzinduzi ulifanikiwa.

Usanidi wa upande wa mteja

Hatua zifuatazo zinadhania kuwa tayari una kiteja cha OpenVPN kilichosakinishwa.

1) Kutoka kwa folda /sampuli-config kwenye seva tunapakua faili kwenye kompyuta mteja.ovpn kwa folda OpenVPN/config/

2) Kutoka kwa folda /config pakua faili kwenye seva ca.crt, mteja1.crt, mteja1.ufunguo kwa kompyuta kwenye folda OpenVPN/config/

3) Fungua faili iliyopakuliwa mteja.ovpn katika hariri ya maandishi na ufanye marekebisho yafuatayo:

Katika kurekodi kijijini-seva yangu-1 1194 badala seva yangu-1 kwa anwani ya IP ya seva. KATIKA cert client.crt mabadiliko mteja.crt juu mteja1.crt KATIKA ufunguo wa mteja mabadiliko mteja.ufunguo juu mteja1.ufunguo

Baada ya hayo, hifadhi mabadiliko.

4) Uzinduzi OPENVPN-GUI. Kwenye tray ya mfumo, bonyeza kulia kwenye ikoni OpenVPN na katika menyu ya muktadha chagua kipengee Badilisha usanidi.

Ikiwa usanidi unaofungua haufanani na faili mteja.ovpn, basi tunaleta mipangilio kwenye fomu inayofaa. Ikiwa inafanana, kisha funga kihariri, bonyeza-click tena kwenye ikoni kwenye tray ya mfumo na uchague Unganisha. Ikiwa mistari ifuatayo itaonyeshwa kwenye dirisha la mchakato wa uunganisho linaloonekana:

Mfuatano wa Uanzishaji Umekamilika USIMAMIZI: >HALI: ********,IMEUNGANISHWA,MAFANIKIO

Makosa yanayowezekana

imeshindwa kusasisha hifadhidata ya nambari ya hitilafu ya 2 ya TXT_DB

Sababu: Wakati wa kuunda cheti na ufunguo kwa mteja, maelezo sawa na yale ambayo yalitumiwa awali kutoa cheti kingine yalibainishwa.

Suluhisho: kiashiria cha habari zingine za mawasiliano.

ONYO: haiwezi kufungua faili ya usanidi: /etc/ssl/openssl.cnf

Sababu: si sahihi kuweka njia V kutofautiana kwa mazingira OPENSSL_CONF.

Suluhisho: unahitaji kutangaza utofauti huu kwenye faili vars.bat, kama ilivyotajwa katika hatua ya 4 ya usanidi wa upande wa seva.

Mtandao ni kama bahari. Lolote linaweza kutokea kwa data inayotumwa, kama vile meli wakati wa safari: inaweza kuharibika, kuzama katika mtiririko wa habari, au kuwa mawindo ya "maharamia." Mifumo ya (VPN, VPN) husaidia kulinda data muhimu dhidi ya wizi na hasara njia zilizofungwa(vichuguu) ambavyo vimejengwa ndani ya mtandao mwingine mkubwa zaidi. Aina moja ya VPN ni OpenVPN.

Je, ungependa kujifunza jinsi ya kuunda mitandao pepe ya faragha haraka na kwa urahisi? Hebu tuzungumze kuhusu faida Itifaki ya OpenVPN, na pia kuhusu mipangilio ya seva na sehemu za mteja za programu yake kwa Windows na Ubuntu.

Upeo na faida za OpenVPN

Eneo la maombi

Uundaji wa ulinzi mitandao ya ushirika. Umbali kati ya nodes za mitandao hiyo haijalishi.
Ulinzi wa habari katika mitandao ya wazi ya umma.
Kuunganisha wapangishi wengi kwenye Mtandao kupitia lango la kawaida.
Ufikiaji wa rasilimali za wavuti zilizopigwa marufuku.

Faida

Kila kitu ni bure. Wengi wetu hatutakata tamaa Wi-Fi ya bure katika cafe au kwenye bustani, lakini trafiki inayopitishwa kwenye unganisho kama hilo haijalindwa kwa njia yoyote kutoka kwa kukamatwa. Programu ya bure ya OpenVPN itaielekeza kwenye handaki la kibinafsi, ili kuingia kwako, nywila, na mengine habari za siri Hakika haitavuja kwenye mikono mibaya.
Ili kufanya mtandao wako kuwa salama, huhitaji kununua vifaa vya ziada.
Trafiki zote zinazopitishwa zimebanwa, ambayo huhakikisha kasi kubwa mawasiliano (ya juu kuliko wakati wa kutumia IPSec).
Mipangilio ya programu nyumbufu hukuruhusu kusanidi VPN ya utata wowote.
Utumiaji wa algoriti nyingi za usimbaji fiche hutoa sana shahada ya juu ulinzi wa data.
Hakuna haja ya kusanidi upya au kulemaza ngome ( firewalls) na NAT (teknolojia za ubadilishaji wa anwani za IP katika mitandao ya TCP/IP).
Itifaki inasaidiwa na mifumo yote kuu ya uendeshaji.
Kwa ajili ya ufungaji na usanidi programu hakuna maarifa ya kina inahitajika teknolojia za mtandao, na hata kwa asiye mtaalamu inachukua dakika chache tu.

Kuanzisha OpenVPN kwenye Windows

Ufungaji na usanidi wa sehemu ya seva

Kwa kuwa wengi wetu tunatumia Windows OS, wacha tuanze kufahamiana na teknolojia ya OpenVPN huko. Kwa hiyo, chagua usambazaji unaofaa na uendesha ufungaji.

Katika orodha " Chagua vipengele vya kusakinisha»(chagua vipengee vya kusakinisha) angalia zote.

Kubali kusakinisha kiendeshi pepe adapta ya mtandao TAP Adapta ya Windows V9.

Imesakinishwa? Sasa hebu tuunde funguo na vyeti vya VPN.

Nenda kwenye saraka ya %ProgramFiles%/OpenVPN/easy-rsa na uendeshe faili ya kundi init-config.bat- itanakili faili kwenye folda moja vars.bat.sampuli kama vars.bat. Katika siku zijazo, kifurushi cha amri vars.bat itaweka vigezo vya kutoa vyeti.

Baada ya uumbaji vars.popo fungua kwa kutumia notepad na uandike data yoyote kwenye mistari iliyoangaziwa (baada ya "="). Hifadhi mabadiliko.

Ifuatayo, endesha safu ya amri kama msimamizi na utekeleze maagizo ya kwenda /easy-rsa ( cd %ProgramFiles%/OpenVPN/rahisi-rsa) Baada ya hayo, tunaendesha kwa mlolongo vars.popo Na safi-zote.popo(pakia vigezo na ufute funguo zilizoundwa hapo awali).

Tekeleza kundi la amri jenga-ca.popo- kwa hili tutaunda cheti kipya cha msingi katika saraka ya %ProgramFiles%/OpenVPN/easy-rsa/keys. Sio lazima kujaza habari kuhusu jina la shirika, nk, ambalo limezungushwa kwenye skrini - bonyeza tu Ingiza.

Hebu tuzindue jenga-dh.popo- kwa hili tunaunda ufunguo wa Diffie-Hellman. Faili itaonekana kwenye folda ya /funguo dh1024.pem.

Ifuatayo kwenye mstari ni ufunguo wa seva: tekeleza maagizo jenga-ufunguo-sevamyVPN("myVPN" ni jina la seva, unaweza kutaja nyingine yoyote). Ruka sehemu ya maswali ukianza na "Jina la Nchi" kwa kubonyeza Enter. Kwa maswali mawili ya mwisho - "Saini cheti?" na inayofuata, tunajibu "Y".

Ifuatayo tunahitaji kupata ufunguo wa mteja: kutekeleza jenga-ufunguomtumiaji1(user1 ni jina la mteja, unaweza kuibadilisha na kitu kingine). Ikiwa kuna kompyuta kadhaa za mteja, kurudia operesheni kwa kila mmoja, bila kusahau kubadilisha jina. Tunaruka kizuizi kilichozungukwa na fremu, kama hapo awali.

Ifuatayo, nakili kutoka kwa folda / rahisi-rsa/funguo V / OpenVPN/usanidi faili zifuatazo: dh1024.pem, ca.crt myvpn.crt, myvpn.key, mtumiaji1.ufunguomtumiaji1.crt. Nne za mwisho zinaweza kuitwa tofauti katika nchi yako. Kwa nini, nadhani, ni wazi.

Ifuatayo, tengeneza faili ya usanidi wa seva kwenye folda moja. Tunakili maagizo hapa chini kwenye notepad na, ikiwa ni lazima, kubadilisha vigezo vyao kuwa vyetu. Hifadhi hati na kiendelezi. ovpn na jina" Seva».

# Kiolesura (handaki ya L3)
dev wimbo
# Itifaki ya VPN
proto udp
# Bandari ya kutumia (unaweza kutaja yoyote ya bure)
bandari 1234
# Orodha ya vyeti na funguo (kumbuka majina)
kaka.crt
cert myvpn.crt
ufunguo myvpn.key
dh dh1024.pem
# Aina ya usimbaji data
cipher AES-256-CBC
# Chagua anuwai ya anwani za IP
seva 10.10.10.0 255.255.255.0
# Tatua kiwango cha habari
kitenzi 3
# Tumia compression
comp-lzo
ufunguo wa kuendelea
endelea-tun
mssfix
# Weka idadi ya juu zaidi ya kurudia matukio
bubu 25
# Idadi ya wateja waliounganishwa kwa wakati mmoja (5)
wateja wa juu 5
# Muda wa kipindi cha mteja
uhifadhi 10 120
# Mwonekano wa wateja kwa kila mmoja (kuruhusiwa)
mteja-kwa-mteja
# Weka anwani 1 kwa kila mtumiaji
subnet ya topolojia
# Weka kuchelewa kabla ya kuongeza njia
ucheleweshaji wa njia
#Bainisha ikiwa tunataka kusambaza Mtandao. Anwani za DNS Tunaandika zile ambazo zimeainishwa katika mipangilio ya unganisho la Mtandao.
kushinikiza "redirect-lango def1"

bonyeza "dhcp-chaguo la DNS x.x.x.x"

Soma zaidi kuhusu maagizo ya usanidi wa seva.

Ifuatayo, ili kusambaza mtandao, nenda kwenye saraka ya viunganisho vya mtandao, fungua mali ya interface inayoangalia mtandao wa kimataifa, nenda kwenye kichupo " Ufikiaji", weka alama ya kuangalia kinyume" Ruhusu watumiaji wengine kutumia muunganisho huu..." na uchague mtandao wa adapta ya TAP-Windows V9 kutoka kwenye orodha - kwa maoni yangu hii ni Ethernet 3.

Unda faili ya usanidi wa mteja. Nakili maandishi yafuatayo kwenye notepad na uhifadhi hati kwa kiendelezi cha .ovpn chini ya jina "Mteja".

mteja
dev wimbo
proto udp
# IP au jina la kikoa la seva ya VPN na bandari ya unganisho.
kijijini x.x.x.x 1234
kaka.crt
cert user1.crt
key user1.key
cipher AES-256-CBC
comp-lzo
ufunguo wa kuendelea
endelea-tun
kitenzi 3

Tazama maagizo mengine ya usanidi wa mteja.

Kuweka upande wa mteja

Sakinisha programu kompyuta ya mteja. Ifuatayo, nenda kwa seva, fungua %ProgramFiles%/OpenVPN/config saraka na unakili faili kutoka hapo. ca.crt, Mteja.ovpn, mtumiaji1.crt,mtumiaji1.ufunguo V folda ya mtandao au kwa gari la flash. Tunawahamisha kwenye folda inayofanana kwenye mashine ya mteja.

Uhusiano

Ili kuanzisha seva, bofya kwenye njia ya mkato ya "OpenVPN GUI" kwenye eneo-kazi lako. Ikoni ya kijivu itaonekana kwenye tray. Bonyeza kulia juu yake na uchague " Seva"Na" Unganisha».

Ikiwa muunganisho umefanikiwa, ikoni itabadilisha rangi kuwa kijani. Ikiwa haujafaulu, bonyeza kwenye menyu " Tazama gazeti": itaonyesha kosa.

Uunganisho wa mteja unafanywa kwa njia ile ile, badala ya " Seva"chagua kutoka kwenye menyu" Mteja».

Kuanzisha OpenVPN kwenye Ubuntu

Tunaanza kwa kusakinisha kifurushi cha OpenVPN kwenye seva na mashine za mteja, kama kwenye Windows. Maagizo ya kusanikisha toleo la koni ya programu kupitia terminal ni kama ifuatavyo. sudo apt-get install openvpn. Ukipenda, unaweza kusakinisha matoleo ya picha ya vifurushi kutoka kwa Kituo cha Maombi cha Ubuntu.

Hata hivyo, sehemu muhimu zaidi, moduli rahisi-rsa, iliyoundwa kuzalisha vyeti na funguo, haijajumuishwa katika usambazaji wa Linux. Utalazimika kuisanikisha kando kwa kuendesha amri: sudoapt-patasakinisharahisi-rsa.

Kuweka sehemu ya seva

Baada ya kusanikisha programu na moduli ya ziada, tengeneza saraka " rahisi-rsa" kwenye /etc/openvpn folda: sudo mkdir /etc/openvpn/easy-rsa. Nakili yaliyomo kutoka kwa eneo la usakinishaji ndani yake: cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa.
Ifuatayo tunaenda katalogi mpya: cd /etc/openvpn/easy-rsa/ na uendelee kuunda vyeti na funguo.

Fungua na mhariri wa console faili ya nano ya vigeu vya vars (sawa na vars.bat kwenye Windows) na uingize ndani yake data sawa na katika vars.bat, iliyo na maadili yaliyobadilishwa:

KEY_COUNTRY=RU
KEY_PROVINCE=CA
KEY_CITY=SanFrancisco
KEY_ORG=OpenVPN
[barua pepe imelindwa]
KEY_CN=mabadiliko
KEY_NAME=badilisha
KEY_OU=mabadiliko
PKCS11_MODULE_PATH=mabadiliko
PKCS11_PIN=1234

Nakili kifurushi cha siri cha openssl: cpopenssl-1.0.0.cnfopenssl.cnf.
Inapakia vigeu kutoka kwa vars: chanzo ./vars.
Tunafuta data iliyoundwa hapo awali: ./ safi-zote.
Unda cheti kipya cha msingi: ./ jenga-ca. Tunaruka kizuizi cha maswali kwenye fremu.

Ifuatayo ni ufunguo wa Diffie-Hellman: ./ jenga-dh.
Nyuma yake ni cheti cha seva: . / jenga-ufunguo-sevamyVPN(myVPN, kama unavyokumbuka, ni jina; inaweza kuwa tofauti kwako). Tunaruka kizuizi kilichoangaziwa (kimefupishwa kwenye picha ya skrini), jibu "Y" kwa maswali 2 ya mwisho.

Hatimaye, tunaunda cheti cha mteja: ./ jenga-ufunguomtumiaji1(badala ya "mtumiaji1" unaweza kuja na jina lingine). Wakati huo huo, tunaruka tena kizuizi kilichoonyeshwa kwenye skrini na kujibu "Y" kwa maswali mawili ya mwisho.

Vifunguo vyote vilivyoundwa na vyeti vinahifadhiwa kwenye orodha ndogo / na kadhalika/openvpn/rahisi-rsa/funguo. Wahamishe kwa /openvpn folda: cp -r /etc/openvpn/easy-rsa/keys /etc/openvpn.

Katika hatua ya mwisho, tengeneza faili ya usanidi wa seva kwenye /etc/openvpn folda: nano/na kadhalika/openvpn/seva.conf na ujaze kwa njia ile ile kama tulivyojaza hati sawa kwenye Windows. Tofauti pekee ni njia tofauti:

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/myvpn.crt
ufunguo /etc/openvpn/keys/myvpn.key

Mwishowe, tunaunda saraka kwa usanidi wa mashine za mteja: mkdir /etc/openvpn/ccd, na anza seva: huduma openvpn kuanza.

Ikiwa seva haitaanza, labda kuna hitilafu katika usanidi. Taarifa kuhusu tatizo inaweza kutazamwa katika hati /var/log/openvpn.log kwa kutumia amri mkia -f /var/log/openvpn.log.

Kuweka upande wa mteja

Baada ya kusakinisha programu mashine ya mteja Tunahamisha ufunguo na vyeti vilivyotengenezwa kwenye seva kwake na kuunda usanidi.

Ufunguo na vyeti - ca.crt, mtumiaji1.crt Na user1.key, ziko kwenye folda ya /etc/openvpn/keys. Tunaziiga kwenye gari la flash na kuziweka kwenye folda ya jina moja kwenye kompyuta ya mteja.

Tunaunda faili ya usanidi kwa kutumia nano: nano /etc/openvpn/client.conf, na ujaze kulingana na mfano wa Windows. Usisahau kujumuisha njia sahihi:

ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh2048.pem
cert /etc/openvpn/keys/user1.crt
ufunguo /etc/openvpn/keys/user1.key

Yote ni tayari. Ili kuunganisha kwenye seva tunatumia amri sawa: huduma openvpn kuanza.

Maagizo yaligeuka kuwa ya muda mrefu, lakini kwa kweli hatua hizi huchukua dakika 5-10 kukamilisha. Zaidi maelezo ya kina habari kuhusu kufanya kazi na OpenVPN iko katika sehemu ya "" ya tovuti rasmi ya programu. Jaribu na utafanikiwa!

Pia kwenye tovuti:

Kuanzisha OpenVPN kwenye Windows na Ubuntu: nini, kwa nini na jinsi gani ilisasishwa: Aprili 24, 2016 na: Johnny Mnemonic

Kwa hivyo, rafiki mpendwa, leo tutajifunza jinsi ya kuunda miunganisho iliyosimbwa kati yao mitandao mbalimbali kulingana na OpenVPN. Kuanza, pigo
http://openvpn.net/ na upate chanzo kipya kutoka hapo (kama kawaida kwa gourmets) au binary (kwa wapenzi wa Windows). Wale ambao hawapendi kujisumbua na mkusanyiko wa mwongozo wanaweza kwenda kwa /usr/ports/security/openvpn (bandari za FreeBSD) na kusakinisha kutoka kwa bandari.
Ikiwa wewe, kama mimi, unafanya kazi na Windows nyumbani (bado ni rahisi zaidi na unaweza kucheza karibu wakati kazi inachoka hadi kufa 😉), basi nakushauri pia uangalie korti:
http://openvpn.net/gui.html
- hii ni GUI ya toleo la Windows; kwa MacOS, kwa maoni yangu, kulikuwa na kitu huko pia. Kwa hivyo, tuliipakua, tukaiweka chini ya Win, na kuiweka chini ya FreeBSD. Kwa wale ambao waliamua kukusanyika kitu kwa mikono yao wenyewe kwa mara ya kwanza, nawakumbusha amri za jadi.

#tar -zxvf openvpn-2.0_rc21.tar.gz
#cd openvpn-2.0_rc21
#./configure
#fanya
#weka install
#safisha

Ikiwa baadhi ya vifurushi vinakosekana kwa kusanyiko lililofaulu, au jaribu kuvibainisha kupitia chaguo katika ./configure. Kwa kazi ya starehe na kisanidi, mimi hutumia vituo viwili au vipindi viwili vya Putty. Kwa moja ninaendesha:

#./configure -help | kidogo

Na kwa upande mwingine mimi huweka bendera mbalimbali. Kwa hiyo, tunaonekana kuwa tumepanga ufungaji ... Hebu tuendelee kwenye sehemu ya kuvutia zaidi na ngumu, yaani uundaji wa faili za usanidi na aina mbalimbali za funguo.

Kubadilisha BSD

Ili kila kitu kifanye kazi, unahitaji kujenga tena kernel na chaguzi zifuatazo:

chaguzi IPSEC
chaguzi IPSEC_ESP

Kuhariri usanidi

Hatuhitaji mengi kuendesha sehemu ya seva. Ikiwa unataka kusoma habari zaidi:

Ikiwa unataka kukimbilia vitani haraka, basi rudia tu baada yangu! Lo, tayari nimeanza kuandika kwa mashairi! Kwa hivyo, wacha tuhariri usanidi:

#vi /usr/local/etc/openvpn/office.conf

Tunaandika yafuatayo hapo:

daemon openvpn # tunauliza seva yetu ya openvpn kuwa daemon, nakushauri uingize laini hii baada ya kila kitu kufanya kazi.

dev tun # tumia kiolesura hiki

seva 10.1.0.0 255.255.255.0 #taja ip ya seva katika mtandao wa VPN

bonyeza “route 10.1.0.0 255.255.255.0” #– jambo hili litaongeza njia ya mtandao ya VPN
bonyeza "njia 194.1.1.0 255.255.255.0" #- hii itaongeza njia ya gridi kwa wateja nyuma ya seva ya VPN
push "route 192.168.0.0 255.255.255.0" # ndio njia ya kuelekea mtandao wako wa nyumbani

mteja-kwa-mteja #toa maoni haya ikiwa huitaki wateja wa vpn kuonana

tls-server #zinaonyesha kuwa huu ni usanidi wa seva

dh /etc/ssl/dh2048.pem # hiki ndicho cheti cha kusimba usanidi wa muunganisho kwa njia fiche
ca /etc/ssl/CA_cert.pem # Hivi ni vyeti vya seva
cert /etc/ssl/certs/Cserv.pem #
ufunguo /etc/ssl/keys/Kserv.pem #

proto tcp-server #Iambie seva ifanye kazi kwa kutumia itifaki ya TCP
bandari 5000 # Kwenye bandari 5000

mtumiaji hakuna mtu #Mtumiaji ambapo seva ya vpn huanza (usiweke mizizi!)
kundi hakuna #Naam, hili ni kundi

comp-lzo #Washa mbano

persist-tun #Tumia kiolesura sawa na ufunguo unapowasha upya seva
ufunguo wa kuendelea

tls-auth /etc/ssl/ta.key 0 # Ulinzi dhidi ya mashambulizi ya DOS
keepalive 10 120 # Maisha ya kipindi ambacho hakitumiki

kitenzi 4 # Idadi ya habari ya utatuzi (kutoka 0 hadi 9)

Ndiyo, ndivyo hivyo. Tumemaliza na seva. Hebu tuendelee kwa mteja. Usijali kuhusu funguo na vyeti, tutaziunda baadaye.

Mteja wa Windows OpenVPN

Unajua, jambo hili linaweza kutumika hata kwenye uunganisho wa dialup, ambayo sio muhimu kwangu! Tupa funguo na kisakinishi kwenye Flash na usijali tena, hata kama unatembelea rafiki yako, unakunywa bia na kula nyama, halafu bosi anapiga simu na kuanza kulaani kwamba kuna kitu hakifanyi kazi kwao, kumchukua mteja kutoka kwa rafiki, usifikirie tu kuhusu kunakili funguo kwenye ishara yake. Nakili usanidi na ubadilishe njia kwa funguo za mteja kwenye gari la flash, hapa. Oh ndiyo... Hebu tuendelee.

Bofya START-Programu-OpenVPN... Ingiza folda iliyo na faili za usanidi. Unda home.ovpn na uandike au unakili usanidi huu hapo:

mteja #Mwambie mteja apate maelezo ya uelekezaji kutoka kwa seva (kumbuka chaguo # za kusukuma)

remote ip-a #Badala ya ip-a, weka ip halisi ya seva yako inayoonekana kwenye Mtandao

tls-client # Huu ndio usanidi wa mteja

Seva ya aina ya ns-cert #Hii ni ulinzi mwingine, wakati huu dhidi ya "man in" katikati»mashambulizi.

ca "H:\\config openVPN\\CA_cert.pem" # Hizi ndizo njia muhimu (Ziko kwenye kiendeshi changu cha flash)

cert "H:\\config openVPN\\home.pem"

kitufe "H:\\config openVPN\\ khome.pem"

tls-auth "H:\\config openVPN\\ta.key" 1 ulinzi wa #DOS. Hapa, tofauti na seva, inagharimu #moja. Usichanganyike, Kutuzov! 😉

proto tcp-client #Mteja hufanya kazi kupitia TCP
bandari 5000 #Inaunganishwa na bandari 5000

comp-lzo # Tayari unajua hili

tun-mtu 1500 #Nakili tu, kama hujui mitandao, siwezi kukueleza kwa #mistari miwili.
tun-mtu-ziada 32
mssfix 1450

Sawa, usanidi uko tayari. Wacha tuendelee zaidi shughuli ya kuvutia, kuzalisha funguo na vyeti.

Sheria za OpenSSL

Nenda kwa /etc/ssl. Huko unda faili 2: index.txt na mfululizo. Sasa hebu tuandike kitu kwa mfululizo:

#cd /etc/ssl
#touch index.txt
#gusa mfululizo
#echo "01" > ./serial

Sasa, wacha tuunde folda kadhaa:

#mkdircerts
#mkdirkeys
#mkdir crl

Sasa, hebu tuchunge usalama kidogo na tubadilishe openssl.cnf yetu. Ninaelewa ulichonacho mikono ya wazimu, kwa hivyo usisahau kufanya nakala ya faili hii, ikiwa tu. 😉

#cp ./openssl.cnf ./openssl.cnf.backup
#vi openssl.cnf

Pata parameter ya "default_days" na kuiweka 9125 (hii ni idadi ya siku kabla ya vyeti vyetu kuacha kufanya kazi). Na mwisho wa usanidi, andika hivi:
[seva]
basicConstrains =CA:FALSE
nsCertType =seva

Mara tu unapounda vyeti, jambo hili litazuia mtoto yeyote anayesoma gazeti hili kutekeleza shambulio rahisi la "mtu wa kati". Ukisahau hili, ingiza mpangilio wa "ns-cert-aina ya seva". faili ya usanidi haitafanya kazi.

Uvumilivu kidogo tu na utafanya kile ambacho umekuwa ukingojea kwa muda mrefu. UTAFANYA HIVI!

Wacha turudi kwenye njia sahihi:

#openssl req -mpya -x509 -keyout private/CA_key.pem -out CA_cert.pem

Ingiza nenosiri lako na usilisahau.

#openssl req -new -nodes -keyout key/Kserv.pem -out req/Rserv.pem

Kwa laini hii, ni muhimu kwamba kigezo cha Jina la Shirika lilingane na ulichobainisha wakati wa kuzalisha CA_cert.pem.

#openssl ca -extfile /etc/ssl/openssl.cnf -server ya viendelezi -out certs/Cserv.pem -infiles req/Rserv.pem

Utaulizwa maswali kadhaa, ambayo, bila kufikiria kwa muda mrefu, jibu "y".
Hii ilikuwa kwa seva. Sasa hebu turudie kitu kimoja, lakini kwa mteja.

#openssl req –new –keyout key/Khome.pem –out req/Rhome.pem
#openssl ca -out certs/Chome.pem -infiles req/Rhome.pem

Tusisahau kuhusu ta.key:

#funguavpn -genkey -ta.key siri

Kwa hiyo, na hatimaye, unda faili ya Diffie-Hellman (ambaye anajua jinsi ya kuandika kwa Kirusi).

#openssl dhparam -nje dh2048.pem 2048

Baada ya kupokea ujumbe kuhusu uumbaji wake mrefu, tunaenda kunywa bia (kwa kweli ilinichukua karibu dakika 20 kuunda).

Tunachukua vyeti vyetu

Hiyo ndiyo, ukubali pongezi zangu, ulifanya kila kitu! Sasa kilichobaki ni kuchukua nawe:
- CA_cert.pem
- Chome.pem
-Khome.pem
-ta.ufunguo

Ili kufanya hivyo, ama nakala kwa diski ya floppy:

#mkdir /mnt/floppy
#mount -t msdos /dev/fd0a /mnt/floppy
# cp /etc/ssl/certs/Cnode.pem /mnt/floppy
#cp /etc/ssl/keys/Knode.pem /mnt/floppy
#cp /etc/ssl/CA_cert.pem /mnt/floppy
#cp etc/ssl/ta.key /mnt/floppy
#umount -f /dev/fd0a

Au, ikiwa wewe ni shetani mwenye ujasiri, ambayo ina maana kwamba unafanya kila kitu mstari kwa mstari kwenye seva mara moja, kisha tumia mteja wa sftp na kuchukua kila kitu kutoka kwa seva mwenyewe.

Roketi ilikwenda

Sasa anza seva ya OpenVPN:

#openvpn -config /usr/local/etc/openvpn/office.conf

Unda openvpn.sh ndogo ndani /usr/local/etc/rc.d ili kuanza kiotomatiki kuwasha tena:

kesi "$1" ndani
anza)
echo -n "FunguaVPN2 Inaanza..."
/usr/local/sbin/openvpn || kutoka 1
;;
simama)
echo -n "Kuzima OpenVPN2..."
/usr/bin/killall openvpn &>/dev/null || kutoka 1
;;
pakia upya|anzisha upya)
$0 acha && lala 1 && $0 mwanzo || kutoka 1
;;
*)
echo "Matumizi: $0 (anza|acha|pakia upya|anzisha upya)"
kutoka 1
esac

Firewall

Unaandika sheria ya ipfw kuruhusu miunganisho kwenye daemon yetu:

#ipfw -q ongeza pass tcp kutoka kwa yoyote kwangu 5000
#ipfw -q ongeza pass tcp kutoka yoyote hadi yoyote kupitia tun0

Unaweza pia kuongeza hii kwenye hati yako ya ngome.

Kumaliza kugusa

Ili kuunganisha kutoka kwa mteja wa Windows, unatumia GUI, jinsi ya kuiongeza kwa kuanza kwa urahisi, nadhani utajitambua mwenyewe.

Hebu tujumuishe

Kwa hivyo, umeanzisha tu muunganisho kati ya seva ya kipanga njia inayolinda matundu yako mahali fulani huko nje na yako mtandao wa nyumbani. Hii ni hatua kubwa. Umeinua sanaa yako ya utawala hadi ngazi nyingine. Kwa mara nyingine tena sitakuwa bahili na kukupongeza. Unajua, kuna watu wenye akili, ambao hawashauri kuunda miunganisho kati ya mitandao kwa njia hii. Tumeongeza sheria ambayo inakuruhusu tu kuunganisha kwenye seva yako na kusonga kwa uhuru kati ya mitandao miwili. Ukiamua kuongeza idadi ya wateja wa seva ya OpenVPN, itabidi usanidi kwa kuongeza firewalling kwa sababu za usalama. violesura zaidi kwenye router, ni vigumu zaidi kuifuatilia. Kwa kuongeza, umepanua nafasi ya anwani ya mitandao yako. Hivi ndivyo watu hawa wasomi wa usalama hawapendi. Kweli, sawa, hizi ni hadithi za kifalsafa, ikiwa unataka, zitumie. Na hatimaye, nakutuma kwa
http://openvpn.net/ , kuna nyaraka nyingi hapo ambazo ningesoma ikiwa ningekuwa wewe. Sawa, lazima niende. Ikiwa chochote, anwani bado ni sawa:
. Natarajia maoni na mapendekezo yako.

3. Ingia na upakue kumbukumbu ya faili za usanidi.

4. Fungua kumbukumbu na faili za usanidi.

5. Zindua njia ya mkato ya programu ya OpenVPN GUI kutoka kwenye eneo-kazi lako.

6. Katika tray ya Windows (katika kona ya chini kushoto ya desktop) pata icon ya programu ya OpenVPN GUI (kufuatilia kwa kufuli). Huenda ukahitaji kupanua orodha nzima ya programu kwenye trei.

7. Bonyeza-click kwenye icon ya OpenVPN GUI na uchague "Ingiza usanidi".

8. Leta faili za usanidi ambazo hazijafungwa moja baada ya nyingine. Faili za usanidi zinazoisha kwa _udp ni Itifaki ya UDP, kasi ni ya juu na ping ni ya chini.

9. Bofya kulia kwenye ikoni ya trei ya OpenVPN GUI, chagua seva inayohitajika na ubofye kuunganisha.