OpenVPN estas unu el la VPN-opcioj (virtuala privata reto aŭ privataj virtualaj retoj), ebligante realigi transporto de datumoj tra speciale kreita ĉifrita kanalo. Tiel vi povas konekti du komputilojn aŭ konstrui centralizitan reton kun servilo kaj pluraj klientoj. En ĉi tiu artikolo ni lernos kiel krei tian servilon kaj agordi ĝin.
Ni agordas OpenVPN-servilon
Kiel menciite supre, uzante la te innikan teknologion, ni povas transdoni informojn tra sekura komunikada kanalo. Ĉi tio povas esti dosiera interŝanĝo aŭ sekura aliro al la interreto tra servilo, kiu estas komuna enirejo. Por krei ĝin, ni ne bezonas aldonan ekipaĵon kaj specialan scion - ĉio estas farita sur la komputilo, kiun vi planas uzi kiel VPN-servilo.
Por plua laboro, vi ankaŭ devos agordi la klientan flankon en la maŝinoj de retaj uzantoj. Ĉiu laboro venas al kreado de ŝlosiloj kaj atestiloj, kiuj tiam estas transdonitaj al klientoj. Ĉi tiuj dosieroj ebligas al vi akiri IP-adreson dum konekto al la servilo kaj krei la ĉifritan kanalon menciitan supre. Ĉiuj informoj transdonitaj per ĝi povas esti legataj nur per klavo. Ĉi tiu funkcio povas signife plibonigi sekurecon kaj certigi datuman integrecon.
Instali OpenVPN sur la servila maŝino
La instalado estas norma procedo kun kelkaj nuancoj, kiujn ni diskutos pli detale.
- La unua paŝo estas elŝuti la programon de la suba ligilo.
Elŝutu OpenVPN
- Sekve, ruliĝu la instalilon kaj iru al la komponanta selektado fenestro. Ĉi tie ni devas meti tagon proksime al la objekto kun la nomo "EasyRSA"tio ebligas al vi krei dosierojn de atestiloj kaj ŝlosiloj, kaj ankaŭ mastrumi ilin.
- La sekva paŝo estas la elekto de loko por la instalado. Por oportuneco, metu la programon en la radikon de la sistemo disko C:. Por fari tion, simple forigu la troon. I devus funkcii
C: OpenVPN
Ni faras ĉi tion por eviti fiaskojn dum plenumado de skriptoj, ĉar spacoj en la vojo ne estas permesitaj. Vi povas, kompreneble, preni ilin inter citiloj, sed atento povas malsukcesi, kaj trovi erarojn en la kodo ne facilas.
- Post ĉiuj agordoj, instalu la programon en normala maniero.
Konfigurante la servilan flankon
Kiam vi plenumas la sekvajn agojn, atentu. Iu ajn misfunkciado kaŭzas maleblecon de servilo. Alia antaŭkondiĉo - via konto devas havi rajtojn de administranto.
- Iru al la dosierujo "facila-rsa"kiu en nia kazo situas ĉe
C: OpenVPN easy-rsa
Trovu la dosieron vars.bat.sample.
Renomi ĝin vars.bat (Forigu la vorton "specimeno" kune kun la punkto).
Malfermu ĉi tiun dosieron en Notepad ++ redaktilo. Ĉi tio estas grava, ĉar ĝi estas ĉi tiu notlibro kiu permesas vin ĝuste redakti kaj konservi kodojn, kio helpas eviti erarojn dum plenumado de ili.
- Unue forviŝu ĉiujn komentojn verdajn - ili nur malhelpos nin. Ni ricevas la jenajn:
- Poste ŝanĝu la vojon al la dosierujo "facila-rsa" tiu, kiun ni montris dum instalado. En ĉi tiu kazo, simple forigu la variablon. % Programaj dosieroj% kaj ŝanĝu ĝin al C:.
- La jenaj kvar parametroj restas neŝanĝitaj.
- La ceteraj linioj estas arbitraj. La ekzemplo en la ekrankopio.
- Konservu la dosieron.
- Vi ankaŭ devas redakti la jenajn dosierojn:
- build-ca.bat
- build-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
Ili bezonas ŝanĝi la teamon
openssl
al la absoluta vojo al la respektiva dosiero openssl.exe. Ne forgesu konservi ŝanĝojn.
- Nun malfermu la dosierujon "facila-rsa"krampanta Ŝanĝo kaj alklaku PKM sur la libera spaco (ne per dosieroj). En la kunteksta menuo, elektu la elementon "Malfermu Oran Fenestron".
Komencos "Komandlinio" kun la transiro al la celdosierujo jam finita.
- Enigu la ordonon sube kaj alklaku ENIRU.
vars.bat
- Poste, rulu alian "dosieron."
clean-all.bat
- Ripetu la unuan komandon.
- La sekva paŝo estas krei la necesajn dosierojn. Por fari tion, uzu la komandon
build-ca.bat
Post ekzekuto, la sistemo ofertos konfirmi la datumojn, kiujn ni eniris en la dosieron vars.bat. Nur premu kelkajn fojojn. ENIRUĝis la originala kordo aperas.
- Kreu DH-klavon per la lanĉa dosiero
build-dh.bat
- Ni preparas atestilon por la servila parto. Estas unu grava punkto. Li bezonas atribui la nomon, kiun ni registris vars.bat en linio "KEY_NAME". En nia ekzemplo, ĉi tio Lumpics. La komando estas jene:
build-key-server.bat Lumpics
Ĉi tie vi ankaŭ devas konfirmi la datumojn uzante la ŝlosilon ENIRU, kaj ankaŭ entajpu leteron dufoje "y" (jes) kie necesas (vidu ekrankopion). La komandlinio povas esti fermita.
- En nia katalogo "facila-rsa" Estas nova dosierujo kun la nomo "ŝlosiloj".
- Ia enhavo devas esti kopiita kaj gluita en la dosierujo. "SSL"kiu devas esti kreita en la radika dosierujo de la programo.
Vido de la dosierujo post enmetado de la kopiaj dosieroj:
- Nun iru al la dosierujo
C: OpenVPN-konfiguracio
Ĉi tie ni kreas tekstan dokumenton (PCM - Kreu - Teksta dokumento), renomi ĝin al server.ovpn kaj malfermiĝu en Notepad ++. Ni eniras la sekvan kodon:
haveno 443
proto udp
dev tun
dev-node "VPN Lumpics"
dh C: ′ OpenVPN
ca C: _ n "" OpenVPN
cert C: _ n "" OpenVPN
ŝlosilo C:
servilo 172.16.10.0 255.255.255.0
maksimumaj klientoj 32
keepalive 10 120
kliento-al-kliento
comp-lzo
persist-ŝlosilo
persista tun
kodita DES-CBC
statuso C: "OpenVPN"
ensaluti C: "OpenVPN"
verbo 4
muta 20Bonvolu noti, ke la nomoj de atestiloj kaj klavoj devas kongrui kun la lokitaj en la dosierujo "SSL".
- Poste malfermiĝu "Kontrola Panelo" kaj iru al "Reta Kontrola Centro".
- Alklaku la ligilon "Ŝanĝi adaptilon".
- Ĉi tie ni devas trovi konekton "TAP-Vindozo-adaptilo V9". Ĉi tio povas esti farita per alklako sur la konekto de la RMB kaj irante al ĝiaj ecoj.
- Renomi ĝin "VPN Lumpics" sen citaĵoj. Ĉi tiu nomo devas kongrui kun la parametro. "dev-nodo" en dosiero server.ovpn.
- La fina paŝo estas komenci la servon. Premu la klavokombinon Venki + R, eniru la suban linion kaj alklaku ENIRU.
services.msc
- Trovu servon kun la nomo "OpenVpnService", alklaku RMB kaj iru al ĝiaj ecoj.
- Startup-tipo estas ŝanĝita al "Aŭtomata", komencu la servon kaj alklaku "Apliki".
- Se ni faris ĉion ĝuste, tiam ruĝa kruco devus malaperi proksime al la adaptilo. Tio signifas, ke la ligo estas preta.
Konfigurante la klientan flankon
Antaŭ ol komenci agordi la klienton, vi devas plenumi plurajn agojn sur la servila maŝino - generi ŝlosilojn kaj atestilon por agordi la konekton.
- Iru al la dosierujo "facila-rsa"tiam al dosierujo "ŝlosiloj" kaj malfermu la dosieron index.txt.
- Malfermu la dosieron, forigu ĉiujn enhavojn kaj konservu.
- Reiru al "facila-rsa" kaj kuri "Komandlinio" (SHIFT + PCM - Malferma komanda fenestro).
- Poste, kuru vars.batkaj tiam krei klientan atestilon.
build-key.bat vpn-client
Ĉi tio estas ĝenerala atestilo por ĉiuj maŝinoj en la reto. Por pliigi sekurecon, vi povas generi viajn proprajn dosierojn por ĉiu komputilo, sed nomu ilin alimaniere (ne "vpn-kliento"kaj "vpn-client1" kaj tiel plu). En ĉi tiu kazo, vi devos ripeti ĉiujn paŝojn, komencante per purigado de index.txt.
- La fina paŝo estas dosiertransiro. vpn-client.crt, vpn-client.key, ca.crt kaj dh2048.pem al la kliento. Vi povas fari ĉi tion konvene, ekzemple, skribi al USB-memor-aparato aŭ transdoni tra la reto.
Laboro kiu devas esti plenumita en la klienta maŝino:
- Instalu OpenVPN laŭ la kutima maniero.
- Malfermu la dosierujon kun la instalita programo kaj iru al la dosierujo "config". Ĉi tie vi devas enmeti nian atestilon kaj ŝlosilajn dosierojn.
- En la sama dosierujo, kreu tekstan dosieron kaj ŝanĝu ĝin config.ovpn.
- Malfermu en la redaktilo kaj skribu la sekvan kodon:
kliento
resolv-retry malfinia
nobind
izolita 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert vpn-client.crt
ŝlosilo vpn-client.key
dh dh2048.pem
flosi
kodita DES-CBC
keepalive 10 120
persist-ŝlosilo
persista tun
verbo 0En linio "malproksima" Vi povas registri la eksteran IP-adreson de la servila maŝino - do ni havas aliron al la interreto. Se vi lasas ĉion kiel ĝi estas, ĝi nur eblos konektiĝi al la servilo per ĉifrita kanalo.
- Rulu OpenVPN-GUI kiel administranton uzante fulmoklavon sur la labortablo, kaj en la pleto ni trovos la respondan ikonon, alklaku RMB kaj elektu la unuan elementon kun la nomo. "Konekti".
Ĉi tio kompletigas la agordon de la OpenVPN-servilo kaj kliento.
Konkludo
Organizi vian propran VPNan reton ebligos vin protekti la transsenditan informon kiel eble plej multe, kaj ankaŭ fari interretan navigadon pli sekura. La ĉefa afero estas esti pli zorga dum agordado de la servilo kaj klientaj partoj, kun la ĝustaj agoj vi povas uzi ĉiujn avantaĝojn de privata virtuala reto.