• Co je technologie OpenVPN a klient GUI. Organizace kanálů mezi kancelářemi pomocí OpenVPN s dodatečnou ochranou heslem

    je bezplatná implementace technologie virtuální privátní sítě (VPN) s otevřeným zdrojový kód k vytvoření šifrovaných kanálů, jako je point-to-point nebo server-klient mezi počítači. Umožňuje vám navázat spojení mezi počítači za firewallem NAT, aniž byste museli měnit jejich nastavení. OpenVPN vytvořil James Yonan a je licencováno pod GNU GPL.

    V tomto článku se vám v jednoduché a přístupné formě pokusíme říct, jak si nastavit vlastní OpenVPN server. Naším cílem není, abyste na konci čtení tohoto článku důkladně porozuměli všem principům „jak to funguje“ nebo porozuměli složitosti sítí, ale chceme, abyste byli schopni nastavit server OpenVPN „od nuly“ jako výsledek. Tento článek tedy můžete považovat za jakýsi návod pro uživatele krok za krokem. Ve skutečnosti existuje na síti spousta dokumentace, manuálů věnovaných nasazení OpenVPN, ale ty jsou buď zaměřeny na pokročilé uživatele resp. správci systému, nebo systémy Linux jsou použity jako příklad pro demonstraci. Půjdeme jinou cestou a řekneme si, jak nastavit OpenVPN na počítači běžného uživatele, tzn. pracovní stanice s nainstalovaným OS Windows. Proč byste tyto informace potřebovali? No, například chcete hrát hru s přáteli, která nepodporuje hraní přes internet, ale pouze přes místní síť, nebo se například zabýváte vzdálenou uživatelskou podporou, ale z nějakého důvodu používáte software jako TeamViewer nebo Ammyy Admin nechci, protože nechcete, aby se servery třetích stran účastnily procesu přenosu vašich dat nebo navazování spojení. V každém případě praktické zkušenosti s pořádáním vlastních soukromá virtuální síť(VPN) se vám bude hodit.

    Ladění serveru

    Takže, začněme. V našem příkladu bude počítač s nainstalovaným Windows XP Professional SP3 (x86) fungovat jako server OpenVPN a několik počítačů s Windows 7 x64 a Windows 7 x86 bude fungovat jako klienti (ačkoli schéma popsané v článku bude ve skutečnosti fungovat na jiných konfigurace). Předpokládejme, že počítač, který bude fungovat jako OpenVPN server, má bílou statickou IP adresu na internetu (pokud je IP adresa poskytnutá vaším poskytovatelem dynamická, musíte se zaregistrovat DynDNS nebo žádná IP), pokud je tato podmínka splněna, ale počítač je za routerem nebo hardwarovým firewallem, budete muset přesměrovat potřebné porty (o tom si povíme trochu později, až přejdeme přímo k nastavení serveru), pokud netušíte, co to je a k čemu se používá, doporučujeme vám přečíst si článek na našem webu.

    1. Jdeme na oficiální stránky projektu OpenVPN, do sekce Ke stažení. Stáhněte si odtud distribuční sadu odpovídající vašemu vydání operačního systému Windows (32bitový nebo 64bitový instalační program). V době psaní tohoto článku byla distribuční sada openvpn-install-2.3_rc1-I002-i686.exe k dispozici pro 32bitový operační systém a openvpn-install-2.3_rc1-I002-x86_64.exe pro 64- bit OS. Protože rozhodli jsme se, že server zvedneme na WinXP x86, tzn. na 32bitovém OS, pak si stáhněte distribuci z prvního odkazu.
    2. Spusťte stažený instalační program. Ve fázi, kdy je vybrána cesta pro instalaci, zadejte C:\OpenVPN(viz snímek obrazovky), usnadní nám to budoucí nastavení: Poté klikněte na „Další“, dokud nebude instalace dokončena. Pokud jste během procesu instalace ve fázi výběru komponent pro instalaci měli „prázdné okno“, například toto:
      Pak jste si s největší pravděpodobností stáhli „špatnou“ distribuci, v takovém případě zkuste stáhnout nejnovější verzi openvpn-2.2.2-install.exe (je nainstalována na systémech x86 i x64). Při "správné instalaci" by okno výběru komponent mělo vypadat takto:
      Všechna zaškrtávací políčka v něm jsou standardně nastavena při instalaci, nic není třeba dodatečně měnit. Pokud byla instalace úspěšná, tak v Ovládacích panelech -> Síťová připojení(nebo pokud instalujete server na Windows 7 nebo Windows Vista, v Centru sítí a sdílení -> Změnit nastavení adaptéru) byste měli mít adaptér TAP-Win32 Adapter V9, který se bude nazývat „Připojení k místní síti X“ (X je číslo automaticky přiřazené systémem):
      Jeho stav bude „Síťový kabel není připojen“, protože. ještě jsme nenastavili náš server.
    3. Vytvořte podsložku SSL ve složce OpenVPN, bude ukládat klíče a certifikáty vydané serverem. Dále spusťte poznámkový blok a zkopírujte do něj následující text: #dev tun dev tap #dev-node "VPN" proto tcp-server #proto udp port 7777 tls-server server 10.10.10.0 255.255.255.0 comp-lzo # route-method exe # trasa pro server pro zobrazení sítí za klientem # trasa 192.168.x.0 255.255.255.0 10.10.10.x # trasa přidána do směrovací tabulky každého klienta pro zobrazení sítě za serverem # push "route 192.168.x.0 255.255.255. " # umožňuje klientům vpn, aby se navzájem viděli, jinak všichni klienti vpn uvidí pouze adresář klient-klient serveru # s popisy konfigurace pro každého klienta client-config-dir C:\\OpenVPN\\config\\ ccd # popis souboru sítě mezi klientem a serverem ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt # cesty pro klíče a certifikáty serveru dh C:\\OpenVPN\\ssl\\dh1024 .pem ca C: \\OpenVPN\\ssl\\ca.crt cert C:\\OpenVPN\\ssl\\Server.crt klíč C:\\OpenVPN\\ssl\\Server.key #persist-key tls- auth C:\\ OpenVPN\\ssl\\ta.key 0 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 keepalive 10 120 stav C:\\OpenVPN\\log\\openvpn-status.log protokol C:\ \OpenVPN\\log \\openvpn.log verb 3 U parametrů, které jsou zde popsány, se zastavíme o něco později. Poté jej uložíme do souboru C:\OpenVPN\Config\Server.ovpn, věnujte pozornost tomu, že soubor musí mít příponu .ovpn, za tímto účelem by v dialogovém okně pro uložení měly být možnosti přesně takové, jak je znázorněno na obrázku:
      Pokud používáte Windows 7 / Windows Vista a Poznámkový blok vám nedovolí soubor uložit Server.ovpn do složky C:\OpenVPN\Config\, takže jej musíte spustit s právy správce. Chcete-li to provést, klepněte pravým tlačítkem myši na zástupce programu Poznámkový blok v nabídce Start a vyberte „Spustit jako správce“: Nyní také pomocí poznámkového bloku vytvořte soubor C:\OpenVPN\easy-rsa\vars.bat, zkopírujte do něj následující text: @echo off set path=%path%;c:\OpenVPN\bin set HOME=c:\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf set KEY_DIR=c:\OpenVPN\ssl sada KEY_SIZE=1024 sada KEY_COUNTRY=RU sada KEY_PROVINCE=Kaluga sada KEY_CITY=Kaluga sada KEY_ORG=CompKaluga sada [e-mail chráněný] webové stránky a soubor C:\OpenVPN\easy-rsa\openssl.cnf : # # Příklad konfiguračního souboru OpenSSL. # Toto se většinou používá pro generování žádostí o certifikát. # # Tato definice přestane škrtit následující řádky, pokud HOME není # definováno. HOME = . RANDFILE = $ENV::HOME/.rnd # Extra OBJECT IDENTIFIER info: #oid_file = $ENV::HOME/.oid oid_section = new_oids # Chcete-li použít tento konfigurační soubor s volbou "-extfile" obslužného programu # "openssl x509", pojmenujte zde sekci obsahující # rozšíření X.509v3 k použití: # extensions = # (Případně použijte konfigurační soubor, který má pouze # Rozšíření X.509v3 ve své hlavní [= výchozí] sekci.) [ new_oids ] # Můžeme sem přidat nová OID pro použití "ca" a "req". 3.4 # Nebo použijte substituci konfiguračního souboru takto: # testoid2= $(testoid1).5.6 ############################################ ####################### [ ca ] default_ca = CA_default # Výchozí sekce ca ## ############## ################################################## ### [ CA_default ] dir = $ENV::KEY_DIR # Kde je vše uchováváno certs = $dir # Kde jsou uchovávány vydané certifikáty crl_dir = $dir # Kde jsou uchovávány vydané crl databáze = $dir/index.txt # databáze indexový soubor. new_certs_dir = $dir # výchozí místo pro nové certifikáty. certifikát = $dir/ca.crt # Certifikát CA serial = $dir/serial # Aktuální sériové číslo crl = $dir/crl.pem # Aktuální CRL private_key = $dir/ca.key # Soukromý klíč RANDFILE = $ dir/.rand # soukromý soubor náhodných čísel x509_extensions = usr_cert # Rozšíření, která se mají přidat k certifikátu # Rozšíření, která se mají přidat do CRL. Poznámka: Komunikátor Netscape se dusí V2 CRL #, takže toto je ve výchozím nastavení zakomentováno, aby zůstalo V1 CRL. # crl_extensions = crl_ext default_days = 3650 # jak dlouho certifikovat pro default_crl_days= 30 # jak dlouho před dalším CRL default_md = md5 # který md použít. zachovat = no # keep pass DN ordering # Několik rozdílů, jak specifikovat, jak podobně by měl požadavek vypadat # Pro typ CA musí být uvedené atributy stejné a nepovinná # a dodávaná pole jsou právě to:-) policy = policy_match # Pro zásadu CA [ policy_match ] countryName = match stateOrProvinceName = match OrganizationName = match organizationUnitName = volitelné commonName = zadaná emailAddress = volitelné # Pro zásadu "cokoliv" # V tomto okamžiku musíte uvést všechny přijatelné "object" # typy . [ policy_anything ] countryName = nepovinný stateOrProvinceName = nepovinný localityName = nepovinný OrganizationName = nepovinný organizačníUnitName = nepovinný commonName = zadaný emailAddress = nepovinný ########################## ######################################## [ req ] default_bits = $ENV: :KEY_SIZE default_keyfile = privkey.pem rozlišovací_jméno = req_distinguished_name atributy = req_attributes x509_extensions = v3_ca # Rozšíření, která se mají přidat k vlastnoručně podepsanému certifikátu # Hesla pro soukromé klíče, pokud nejsou k dispozici, budou vyzváni k zadání # input_password = tajné # output_password = tajné maska ​​pro povolené typy řetězců. Možností je několik. # výchozí: PrintableString, T61String, BMPString. # pkix: PrintableString, BMPString. # utf8only: pouze UTF8Strings. # nombstr: PrintableString, T61String (žádné BMPStrings nebo UTF8Strings). # MASK:XXXX doslovná hodnota masky. # VAROVÁNÍ: aktuální verze Netscape padají na BMPStrings nebo UTF8Strings # proto tuto volbu používejte opatrně! string_mask = nombstr # req_extensions = v3_req # Rozšíření, která se mají přidat k žádosti o certifikát [ req_distinguished_name ] countryName = Název země (2 písmenný kód) countryName_default = $ENV::KEY_COUNTRY countryName_min = 2 countryName_max = 2 název státuOrProvincie (Název státu nebo provincie) ) ) stateOrProvinceName_default = $ENV::KEY_PROVINCE localityName = Název lokality (např. město) localityName_default = $ENV::KEY_CITY 0.organizationName = Název organizace (např. společnost) 0.organizationName_default = $ENV::KEY_ORG # můžeme to udělat ale normálně to není potřeba:-) #1.organizationName = Název druhé organizace (např. společnost) #1.organizationName_default = Svět široká síť Pty Ltd OrganizationUnitName = Název organizační jednotky (např. sekce) #organizationalUnitName_default = commonName = Běžný název (např. vaše jméno nebo název hostitele vašeho serveru) commonName_max = 64 emailAddress = E-mailová adresa emailAddress_default = $ENV::KEY_EMAIL emailAddress_max = 40 # SET-ex3 = SET rozšíření číslo 3 [ req_attributes ] challengePassword = Heslo výzvy challengePassword_min = 4 challengePassword_max = 20 unstructuredName = Volitelný název společnosti [ usr_cert ] # Tato rozšíření jsou přidána, když "ca" podepíše požadavek. ale některé CA to dělají a některý software to vyžaduje, aby se zabránilo interpretaci certifikátu koncového uživatele jako CA.basicConstraints=CA:FALSE # Zde je několik příkladů použití nsCertType.Pokud je # vynechán, lze certifikát použít pro cokoli *kromě* podepisování objektů. # To je v pořádku pro server SSL.# nsCertType = server # Pro certifikát podepisování objektů by se to použilo.# nsCertType = objsign # Pro běžné použití klienta je to typické # nsCertType = klient, e-mail # a pro vše včetně podepisování objektů: # nsCertType = client, email, objsign # To je typické v keyUsage pro klientský certifikát. # keyUsage = nonRepudiation, digitalSignature, keyEncipherment # Toto se zobrazí v seznamu komentářů Netscape. nsComment = "OpenSSL Generated Certificate" # Doporučení PKIX jsou neškodná, pokud jsou součástí všech certifikátů. subjectKeyIdentifier=hash AuthorityKeyIdentifier=keyid,issuer:always # This stuff je pro subjectAltName a issuerAltname.# Importujte e-mailovou adresu.# subjectAltName=email:copy # Zkopírujte podrobnosti předmětu # issuerAltName=issuer:copy #nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem #nsBaseUrl #nsRevocationUrl #nsRenewalUrl #nsCaPolicyUrl #nsSslServerName [ server ] # JY PŘIDÁNO -- Udělejte certifikát s nsCertType nastaveným na "server" basicConstraints=CA:FALSE nsCertType = server nsComment = "OpenSSL vygenerovaný certifikát serveru" subjectKeyKeyIdentiifier=highways [ v3_req ] # Rozšíření pro přidání k žádosti o certifikát basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment [ v3_ca ] # Rozšíření pro typické doporučení CA # PKIX. subjectKeyIdentifier=hašovací autoritaKeyIdentifier=ID klíče:vždy,vydavatel:vždy # Toto doporučuje PKIX, ale některý nefunkční software se dusí kritickými # rozšířeními. #basicConstraints = kritické,CA:true # Místo toho uděláme toto. basicConstraints = CA:true # Použití klíče: toto je typické pro certifikát CA. Protože však # zabrání jeho použití jako testovacího certifikátu s vlastním podpisem, je nejlepší jej # ve výchozím nastavení vynechat. # keyUsage = cRLSign, keyCertSign # Někteří by to mohli chtít také # nsCertType = sslCA, emailCA # Zahrnout e-mailovou adresu do předmětu alt name: další doporučení PKIX # subjectAltName=email:copy # Zkopírovat podrobnosti o vydavateli # issuerAltName=issuer:copy # DER hex kódování rozšíření: pozor pouze odborníci! # obj=DER:02:03 # Kde "obj" je standardní nebo přidaný objekt # Můžete dokonce přepsat podporované rozšíření: # basicConstraints= kritické, DER:30:03:01:01:FF [ crl_ext ] # CRL extensions . # Pouze issuerAltName a AuthorityKeyIdentifier mají v CRL smysl. # issuerAltName=emitent:copy AuthorityKeyIdentifier=keyid:vždy,vydavatel:vždy Gratulujeme! Právě jste vytvořili základní konfigurační soubory pro váš server. Pokračujme v jeho nastavení.
    4. Pro další konfiguraci serveru budeme potřebovat nějaké dovednosti příkazového řádku. Za prvé, pojďme zjistit, jak to začít? Existuje několik způsobů, například klikněte na Start -> Spustit (nebo na kombinaci tlačítek Win+R) na klávesnici a do zobrazeného pole zadejte cmd a klepněte na tlačítko OK. Uživatelé Windows 7 / Windows Vista však budou muset spouštět konzoli s právy správce, k tomu je nejjednodušší vytvořit příslušného zástupce na ploše. Klikneme pravým tlačítkem myši na libovolné prázdné místo na ploše a vybereme položku „Vytvořit zástupce“, v poli „umístění objektu“ jednoduše označíme tři písmena - cmd a zavolejte zkratku cmd nebo příkazový řádek. Dále, Uživatelé Windows XP jej stačí spustit, zatímco uživatelé Windows Vista a Windows 7 jej spouštějí jako správce, stejně jako výše s poznámkovým blokem.
    5. Dále postupně zadejte do konzole následující řádky: cd C:\OpenVPN\easy-rsa vars clean-all Zároveň by to na obrazovce mělo vypadat takto:
      Dále, bez zavření tohoto okna, zadejte příkazy pro generování klíčů v pořadí: openvpn --genkey --secret %KEY_DIR%\ta.key build-dh build-ca Poslední příkaz (build-ca) vytvoří certifikát a certifikát klíčem autority (CA), v průběhu se vás však zeptá na několik otázek, na které je třeba standardně odpovědět stisknutím tlačítka Enter:
      Nyní vytvoříme klíč serveru: build-key-server server na zbytek otázek lze ve výchozím nastavení odpovědět stisknutím tlačítka Enter. Pokud jste udělali vše správně, příkaz vás vyzve k podpisu certifikátu a potvrzení požadavku, obojí otázky musí být zodpovězeny Y(viz snímek obrazovky):
      Pokud jste vše udělali správně, bude váš obrázek totožný se snímkem obrazovky a na posledních řádcích výstupu příkazu bude zpráva o úspěšném přidání jednoho záznamu do databáze.
    6. Poté přejdeme do modulu snap-in „Služby a aplikace“ konzoly pro správu, můžete to provést kliknutím na zástupce Počítač (Tento počítač) pravým tlačítkem myši a výběrem položky nabídky Spravovat nebo zadáním příkaz v konzole services.msc, najdeme tam službu „Služba OpenVPN“ a v nabídce kliknutím pravým tlačítkem myši vybereme „Start“. Pokud jste dříve provedli vše správně, služba se přepne do stavu „Spuštěno“. Nyní můžete změnit jeho typ spouštění na „Automaticky“ namísto „Manuální“, který tam byl ve výchozím nastavení. Výsledek by měl vypadat takto:
      Tím je konfigurace samotného serveru dokončena, zbývá pouze nakonfigurovat klienty. Chcete-li to provést, musíte jim také vydat klíče a certifikáty, to se provádí téměř stejným způsobem jako server, pouze pro server jsme použili příkaz build-key-server a pro klienty použijeme klíč build-key příkaz.
    7. Předpokládejme, že máme dva klienty, nazvěme je klient1 a klient2. Proveďme příkazy v pořadí: build-key client1 build-key client2 Současně na otázku Common Name (např. vaše jméno nebo název hostitele vašeho serveru) musíte uvést také jméno klienta použité v příkazu, tzn. pokud jste zadali klíč sestavení client1, pak odpovíme na otázku Common Name client1, if client2, pak client2. Na ostatní otázky můžete odpovědět stisknutím Enter, na konci budete také požádáni o podpis certifikátu a potvrzení na žádost odpovídáme na oba body kladně - Y. Nyní restartujeme službu OpenVPN, aby se změny projevily, v modulu snap-in správy služeb, v nabídce „Restartovat“ po kliknutí pravým tlačítkem nebo v konzole postupně zadáme: net stop openvpnservice net start openvpnservice
    8. Nyní, když přejdeme do složky, uvidíme soubory klíčů a certifikátů, které jsme tam vygenerovali:
      Každý klient bude potřebovat své soubory: ca.crt .crt .key ta.key pro klienta 1 shromažďujeme soubory ca.crt, client1.crt, client1.key a ta.key, pro klienta 2 - ca.crt, client2.crt, client2.key a ta.key atd. A tak či onak mu je pošleme (myšleno poštou, v archivu s heslem nebo na flash disku), soubory klíčů a certifikátů musí být přenášeny spolehlivými komunikačními kanály a nesmí spadat do „třetích stran“. ", protože. ve skutečnosti s jejich pomocí může klient přistupovat k vaší virtuální podsíti. V další části se podíváme na konfiguraci klienta a budeme předpokládat, že již od vás obdržel soubory klíče a certifikátu.
    9. Pokud se na počítači používaném jako server používá brána firewall, musíte přidat OpenVPN do seznamu výjimek. Pro vestavěné Windows firewall to lze provést v konzole pomocí následujícího příkazu: netsh firewall add enabledprogram program = C:\OpenVPN\bin\openvpn.exe název = "Server OpenVPN" POVOLIT rozsah = VŠECHNY profil = VŠECHNY

    Nastavení klientů

    Nastavení klienta je mnohem snazší než nastavení serveru, nemusíme klientovi generovat klíče, certifikáty atd., protože vše, co potřebujeme, jsme již vygenerovali na serveru a přenesli na klienta. Proto je poučení v případě pro klienta mnohem kratší.

    užitečné odkazy

    • Oficiální dokumentace OpenVPN -
    • Manuálové stránky OpenVPN -
    • OpenVPN HOWTO (v ruštině) - http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html

    F.A.Q.

    Jakékoli dotazy můžete posílat na e-mail uvedený v sekci nebo diskutovat o tomto článku na.

    Je možné takto šířit internet?


    Od autora

    Tento článek může být zveřejněn na jakýchkoli zdrojích, zkopírován celý nebo zčásti, bez omezení, za předpokladu, že bude zachován odkaz na originál. Odkaz musí obsahovat název našeho zdroje Ambulance Pomoc s počítačem Kaluga navržený jako odkaz a obsahuje také pseudonym autora článku. Příkladem takového odkazu může být:

    Nastavení serveru OpenVPN// Decker

    Poznámka

    V poslední době nám chodí e-maily velký počet otázky ve stylu Otázka ohledně vašeho článku v kroku 5 po příkazu clean-all, v důsledku toho se vám zkopíruje nějaký soubor. To se mi nestává. příkaz openvpn --genkey --secret %KEY_DIR%\ta.key mi vytvoří klíč, ale pak build-dh a build-ca nefungují (cmd.exe říká, že příkaz není interní nebo externí ... nebo spustitelný) soubor ca.key není vytvořen. Co jsem mohl udělat špatně?".

    Jeho hlavní význam spočívá ve vaší vlastní nepozornosti. Problém při spouštění příkazů clean-all, build-key a dalších je ten, že když jste nainstalovali OpenVPN, nezaškrtli jste políčka OpenSSL Utilities a OpenVPN RSA Certificate Management Scripts (musí být zaškrtnuté!). Věnujte pozornost snímku obrazovky s oknem výběru komponent na začátku článku, tato zaškrtávací políčka tam jsou!

    Pro používání VPN můžete mít různé důvody: nedůvěryhodné sítě, různé druhy omezení nebo prostě rozumná touha nedistribuovat svá data znovu. V tomto článku vám řeknu, jak si vytvořit osobní VPN na pronajatém serveru a nakonfigurovat OpenVPN a stunnel tak, aby ani hloubková kontrola paketů nic nedala.

    O službách a blokování

    Existuje nespočet služeb, které VPN poskytují, včetně těch bezplatných. Zde je několik důvodů, proč je bezplatná VPN špatný nápad.

    1. Kvalitní. Ti, kteří používali bezplatnou VPN, vědí, že ve většině případů je služba prostě hrozná: pomalá rychlost, neustálé přerušení. To není překvapivé, protože kromě vás to může současně používat několik stovek dalších lidí.
    2. Bezpečnost. I když je kvalita víceméně snesitelná, nevíte, co se ve skutečnosti s vaší návštěvností děje. Zda je ukládána a analyzována, kdo a pro jaké účely službu provozuje. sýr zdarma, jak přísloví praví…
    3. Malý počet nebo úplná absence možností a nastavení: není možné vybrat šifru, protokol a port. Zbývá jen použít to, co bylo dáno.

    S placené služby věci jsou lepší: můžete očekávat určitou zaručenou kvalitu a přizpůsobení. Stále však nemůžete s jistotou vědět, zda jsou vaše protokoly uloženy přímo na serveru nebo ne. Kromě toho může být váš poskytovatel zablokován.


    Nedávno každého znepokojuje otázka Nastavení VPN. Pokud dřívější správci systému, programátoři a pokročilí uživatelé věděli o existenci VPN (Virtual Privat Network), nyní tuto zkratku zná každý. Každý si ho chce nastavit, používat pro přístup k zablokovaným službám nebo sociálním sítím. A někteří se jen diví, co je to za zvíře. Co přesně je tato tajemná VPN? Stručně řečeno, pomocí VPN se vytvoří část sítě, ke které máte přístup pouze vy. Všechny informace procházejí poskytovatelem nebo jiným třetím přístupovým bodem, ale v zašifrované podobě prostřednictvím virtuálního kanálu speciálně vytvořeného mezi serverem a vaším počítačem. Poté server jménem uživatele začne surfovat po internetu.

    Mezi počítačem a serverem se tak vytvoří „tunel“, ve kterém jsou všechny informace zašifrovány, a poskytovatel nechápe, na jakou stránku se uživatel chystá. Hackeři nebudou moci ukrást vaše data ani při připojení k veřejné Wi-Fi a historie návštěv stránek bude dostupná pouze vám.

    K čemu je to potřebaVPN

    V první řadě je pro anonymní aktivity na internetu nutné skrýt vaši skutečnou IP adresu. Například se mi nelíbí, že jakýkoli systémový administrátor mého poskytovatele může na přání zjistit, jaké stránky navštěvuji, co nakupuji a hlavně jak a čím platím. Všichni se také zajímají o bezpečnost souborů a soukromí. Protokoly VPN používají několik šifrovacích protokolů (MD5-HMAC, RSA) a 2048bitové klíče umožňují paranoidní šifrování všech dat.

    Služby VPN lze použít k obejití blokování poskytovatelem nebo správcem systému při práci na různých místech a sociální sítě. Některé služby omezují přístup ve vaší zemi nebo poskytují slevy/výhody/bonusy pouze v určitých zemích. Připojení VPN vám pomůže stát se obyvatelem této země a využívat službu podle svých představ. Nejvíce mě ale těší možnost efektivní komprese provozu, která umožňuje kompenzovat ztráty, a někdy i zrychlit připojení.

    Proč jsem si vybral OpenVPN?

    Když vyvstala otázka, že potřebuji placený protokol připojení VPN, rozhodl jsem se o takové službě něco málo přečíst, porozhlédl se po stránkách a fórech, zeptal se přátel, známých, systémových administrátorů. Většina z nich chválila OpenVPN.

    Po téměř 2 letech používání jsem se přesvědčil, že mají pravdu. Protokol připojení VPN funguje hladce, stabilně a bezpečně. Důležitou výhodou je přítomnost mobilní aplikace klient pro Android, iOS, Windows 10 Mobile. Existuje dokonce možnost použití bez instalace klienta s použitím výchozího nastavení VPN ve Windows 10. Nejdůležitější je šifrování mých souborů. OpenVPN mě ještě nikdy nezklamala. A pokud máte domácí server, je to jedna z hlavních výhod při výběru VPN klienta. A ano, cena je docela rozumná. Vysoce kvalitní technická podpora.

    Nastavení klienta OpenVPN pro Windows 10

    Budeme potřebovat instalační soubor klienta, kterého lze snadno najít.

    Je důležité vybrat si instalační program s vaší bitovou schopností systému.

    Poté, co si váš počítač stáhne instalační program, spusťte jej a postupujte podle jednoduchých pokynů. Samotná instalace je velmi jednoduchá a přímočará. Dost základní znalosti v angličtině.

    Na ploše vašeho zařízení se objeví zástupce programu. Klikněte na něj pravým tlačítkem a přejděte do části Vlastnosti. A poté klikněte na možnost Upřesnit. Musíme klientovi povolit, aby běžel jako správce. Pár manipulací a máte hotovo.

    Nyní musíte přejít do Průzkumníka. Chůze po cestě C:\programSoubory\openvpn, otevřená složka config a extrahujte soubory s příponou .ovpn

    Nyní zbývá znovu spustit klienta OpenVPN a připojit se k požadovanému serveru. Pár sekund a budete mít VPN připojení například do lokality v Lucembursku.

    Jak vidíte, nic složitého. Mnozí si ale pravděpodobně kladli otázky: „Kde mohu získat soubory? Jak je koupit? Je to drahé?

    Chcete-li to provést, musíte se zaregistrovat na webu, což je velmi snadné a jednoduché.

    Poté byste měli přejít do sekce Moje licence

    a provést nákup. Pravda, můžete si koupit alespoň 10 klientů OPenVPN, což vás bude stát pouhých 150 $ ročně. Souhlas, není to tak drahé.

    Stojí za zmínku, že existuje také placená verze Otevřete VPN. Přejděte na freeopenvpn.org/.

    Vyberte ze seznamu server VPN, který se vám líbí, a stáhněte si jej ve formátu .ovpn. Spusťte klienta OpenVPN a připojte se k serveru podle vašeho výběru. Buďte připraveni, že bezplatný server VPN je reklama, není zabezpečený a neexistuje žádné šifrování.

    Jaké jsou alternativy k OpenVPN?

    V poslední době je na trhu spousta VPN řešení, placených i bezplatných. Před OpenVPN jsem používal Hotspot Shield, který má také bezplatnou verzi a rozšíření prohlížeče. Google Chrome. Verze zdarma se mi nelíbila, protože mě vždy otravovala hláškami, že mají Elite verzi, která je prý nejlepší na světě atp. Ačkoli z vlastní zkušenosti řeknu, že tato služba VPN se často zpomalovala, je zde velmi malá ochrana a špatné šifrování. Základ dostupných IP adres je nevýznamný.

    Měli byste také věnovat pozornost NordVPN. Má toho dost vysoká rychlost a bezpečnost. NordVPN působí v jurisdikci Panamy, její síť zahrnuje 559 serverů umístěných ve 49 zemích po celém světě. Servery podporují řadu nastavení pro šifrování a speciální použití, jako je sdílení souborů nebo streamování mediálního obsahu. Služba podporuje až 6 současných připojení, takže můžete připojit všechna svá zařízení najednou.

    Mezi pokročilými uživateli je poměrně oblíbená VPN služba Zenmate, která je německého původu. Docela kvalitní, rychlý v placené verzi, pohodlná ochrana a šifrování. Jíst prodloužení zdarma pro prohlížeče, ale existuje pouze 5 bezplatné kanály. Proto je nepohodlné jej používat. Navíc vyžaduje registraci a poté dostane mailing list s reklamou a nabídkami ke koupi komerční verze.

    Pravděpodobně mnozí v posledních dnech slyšeli a četli o službě TunnelBear VPN se skvělým logem medvídka. Také má bezplatná verze, pravda s omezený provoz pouze 500 MB měsíčně. Velmi snadné ovládání, snadné zapnutí a vypnutí jedním dotykem. Kamarád má ale placenou verzi TunnelBear a vždy si stěžuje, že rychlost připojení dramaticky klesá, někdy i 5x a vícekrát. Kontaktoval jsem centrum podpory, kde mi odpověděli, že je to kvůli ochraně, kterou poskytují.

    V sušině

    Jak vidíte, na trhu je poměrně málo služeb VPN. Pokud potřebujete nějak skrýt svou IP adresu, abyste mohli využívat služby, ke kterým je od nás zakázaný nebo omezený přístup, pak si klidně kupte protokol VPN. Vše závisí na vaší touze a finančních možnostech. Pokud jde o bezplatné VPN, nezapomeňte, že za všechno musíte platit. Jak říká jeden můj přítel: "Zdarma neznamená zdarma."

    Tato instrukce ukazuje, jak se připojit k serveru VPN Gate relay pomocí klienta OpenVPN v systémech Windows XP, 7, 8, 10, Server 2003, 2008, 2012.

    1. Nainstalujte klientskou aplikaci OpenVPN pro váš operační systém. Spusťte instalační soubor. Otevře se průvodce instalací. Při instalaci aplikace postupujte podle pokynů na obrazovce.

    2. Stáhněte a nahrajte konfigurační soubor připojení OpenVPN (soubor .ovpn). Tento postup vyžadováno pouze pro počáteční nastavení připojení.

    Konfigurační soubor (OpenVPN Config file) si můžete stáhnout ze seznamu otevřených volné servery relé http://www.vpngate.net/en/. Vyberte server VPN, ke kterému se chcete připojit, a kliknutím na příslušný soubor *.ovpn jej stáhněte na plochu nebo do složky pro stahování.

    Po uložení souboru do počítače se zobrazí jako ikona OpenVPN. Pouhým poklepáním na soubor však spojení nenavážete.

    Musíte přesunout soubor *.ovpn do složky „config“ v hlavním instalačním adresáři OpenVPN.

    Otevřete složku C:\Program Files\OpenVPN\config a zkopírujte do ní soubor *.ovpn.

    Klikněte pravým tlačítkem na ikonu „OpenVPN GUI“ na ploše a vyberte možnost „Spustit jako správce“. V opačném případě nebudete moci navázat připojení VPN.

    Ikona GUI OpenVPN se objeví v oznamovací oblasti hlavního panelu (systémová lišta). V některých případech může být ikona skrytá, kliknutím na ikonu šipky zobrazíte všechny skryté ikony.

    Klikněte pravým tlačítkem na ikonu OpenVPN GUI a klikněte na Připojit.

    Spustí se připojení VPN. Stav připojení se zobrazí na obrazovce. Pokud se zobrazí dialogové okno s žádostí o uživatelské jméno a heslo. Do obou polí zadejte „vpn“. Toto okno se objevuje velmi zřídka.

    Pokud je připojení VPN úspěšně navázáno, zobrazí se vyskakovací zpráva jako na snímku obrazovky.

    4. Internet bez omezení

    Když VPN připojení nainstalován, systém Windows vytvoří virtuální síťový adaptér Adaptér TAP-Windows V9. Tento adaptér obdrží IP adresu, která začíná „ 10.211 ". Virtuální adaptér obdrží výchozí adresu brány.

    Konfiguraci sítě můžete zkontrolovat spuštěním příkazu ipconfig /all z příkazového řádku Windows.

    Po navázání připojení bude veškerý provoz procházet přes server VPN. Můžete to ověřit pomocí příkazu tracert 8.8.8.8 v příkazovém řádku Windows.

    Jak je znázorněno na obrázku výše, pokud pakety procházejí „10.211.254.254“, vaše připojení je přenášeno přes jeden ze serverů VPN Gate. Můžete také přejít na hlavní stránku brány VPN a zobrazit globální IP adresu.

    Budete moci vidět polohu viděnou ze sítě, která se bude lišit od vaší skutečné polohy.

    Konfigurace OpenVPN pro MacOS

    Tato příručka ukazuje, jak se připojit k serveru VPN Gate relay pomocí aplikace Tunnelblick. Tunnelblick je GUI verze klienta OpenVPN. pro systémy macOS.

    1. Nainstalujte aplikaci Tunnelblick

    Stáhněte a nainstalujte Nejnovější verze Aplikace Tunnelblick. Během instalace se na obrazovce zobrazí pokyny.

    Po dokončení instalace se zobrazí následující obrazovka. Vyberte možnost „Mám konfigurační soubory“.

    Na obrazovce se zobrazí pokyny pro přidání konfigurace do Tunnelblick.

    Klepnutím na tlačítko OK zavřete okno.

    2. Stáhněte a nahrajte konfigurační soubor připojení OpenVPN (soubor .ovpn). Tento postup je vyžadován pouze pro počáteční nastavení připojení.

    Pro připojení k serveru VPN Gate relay prostřednictvím protokolu OpenVPN budete potřebovat konfigurační soubor ve formátu *.ovpn.

    Konfigurační soubor (soubor OpenVPN Config) si můžete stáhnout na stránce seznamu otevřených bezplatných přenosových serverů http://www.vpngate.net/en/. Vyberte server VPN, ke kterému se chcete připojit, a kliknutím na příslušný soubor *.ovpn jej stáhněte do složky Stažené soubory.

    Chcete-li nainstalovat konfigurační soubor *.ovpn, přetáhněte jej na ikonu Tunnelblick v řádku nabídek nebo do seznamu konfigurací na kartě Konfigurace v okně Podrobnosti VPN. Pokud potřebujete nainstalovat několik konfiguračních souborů najednou, vyberte je všechny a poté je přetáhněte.

    Během přidávání budete muset zadat uživatelské jméno a heslo účtu MacOS.

    Klepněte na ikonu Tunnelblick horní panel nástroje macOS a vyberte možnost „Sloučit [název konfigurace]“. Spustí se připojení VPN.

    Zobrazí se stav připojení VPN, jak je znázorněno na snímku obrazovky. Po úspěšném navázání spojení se v hlavním okně Tunnelblick zobrazí stav „Připojeno“.

    4. Internet bez omezení

    Po navázání připojení bude veškerý provoz procházet přes server VPN. Můžete také přejít na hlavní stránku brány VPN a zobrazit globální IP adresu. Budete moci vidět polohu viděnou ze sítě, která se bude lišit od vaší skutečné polohy.

    Po připojení k VPN budete moci navštěvovat blokované weby a hrát blokované hry.

    Našli jste překlep? Vyberte a stiskněte Ctrl + Enter

    OpenVPN je jedna z možností VPN (virtuální privátní síť nebo privátní virtuální sítě), která vám umožňuje přenášet data přes speciálně vytvořený šifrovaný kanál. Tímto způsobem můžete propojit dva počítače nebo vybudovat centralizovanou síť se serverem a několika klienty. V tomto článku se naučíme, jak takový server vytvořit a nakonfigurovat.

    Jak bylo uvedeno výše, pomocí příslušné technologie můžeme přenášet informace přes zabezpečený komunikační kanál. Může se jednat o sdílení souborů nebo zabezpečený přístup k internetu prostřednictvím serveru, který funguje jako společná brána. K jeho vytvoření nepotřebujeme další vybavení a speciální znalosti - vše se děje na počítači, který se plánuje použít jako server VPN.

    Pro další práci bude také nutné nakonfigurovat klientskou část na strojích síťových uživatelů. Veškerá práce se redukuje na vytvoření klíčů a certifikátů, které se následně přenesou na klienty. Tyto soubory vám umožňují získat IP adresu při připojení k serveru a vytvořit šifrovaný kanál uvedený výše. Všechny informace přenášené přes něj lze číst pouze tehdy, je-li přítomen klíč. Tato funkce umožňuje výrazně zvýšit zabezpečení a zajistit bezpečnost dat.

    Instalace OpenVPN na server

    Instalace je standardní postup s některými nuancemi, o kterých budeme hovořit podrobněji.


    Nastavení na straně serveru

    Při provádění následujících kroků byste měli být co nejopatrnější. Jakékoli chyby vedou k nefunkčnosti serveru. Další požadovaný stav- vaše Účet musí mít administrátorská práva.

    1. Přejít do katalogu "snadné rsa", která se v našem případě nachází na adrese

      C:\OpenVPN\easy-rsa

      Hledání souboru vars.bat.ukázka.

      Přejmenujte jej na vars.bat(odstranit slovo "vzorek" spolu s tečkou).

      Otevřete tento soubor v editoru. To je důležité, protože právě tento poznámkový blok umožňuje správně upravovat a ukládat kódy, což pomáhá předcházet chybám při jejich provádění.

    2. Nejprve smažeme všechny komentáře zvýrazněné zeleně – budou nám pouze překážet. Získáme následující:

    3. Dále změňte cestu ke složce "snadné rsa" na ten, který jsme uvedli při instalaci. V tomto případě stačí odstranit proměnnou %Programové soubory% a změnit to na C:.

    4. Následující čtyři parametry zůstávají nezměněny.

    5. Zbývající řádky jsou vyplněny náhodně. Příklad snímku obrazovky.

    6. Soubor uložíme.

    7. Musíte také upravit následující soubory:
      • build-ca.bat
      • build-dh.bat
      • build-key.bat
      • build-key-pass.bat
      • build-key-pkcs12.bat
      • build-key-server.bat

      Potřebují změnit tým

      na absolutní cestu k odpovídajícímu souboru openssl.exe. Nezapomeňte uložit změny.

    8. Nyní otevřete složku "snadné rsa", svorka POSUN a klikněte pravým tlačítkem na prázdné místo (ne na soubory). V kontextová nabídka vybrat předmět "Otevřít příkazové okno".

      začne "Příkazový řádek" s již provedeným přechodem do cílového adresáře.

    9. Zadejte příkaz níže a stiskněte ENTER.

    10. Dále spustíme další dávkový soubor.

    11. Opakujeme první příkaz.

    12. Dalším krokem je vytvoření potřebných souborů. K tomu použijeme příkaz

      Po spuštění vás systém vyzve k potvrzení údajů, které jsme zadali do souboru vars.bat. Stačí několikrát stisknout ENTER dokud se neobjeví původní řetězec.

    13. Spuštěním souboru vytvořte DH klíč

    14. Příprava certifikátu na straně serveru. Je zde jeden důležitý bod. Musí mít název, který jsme napsali vars.bat v souladu „KEY_NAME“. V našem příkladu toto Lumpics. Příkaz vypadá takto:

      build-key-server.bat Lumpics

      Zde je také potřeba potvrdit údaje pomocí klíče ENTER a také zadejte písmeno dvakrát "y"(ano), kde je to požadováno (viz snímek obrazovky). Příkazový řádek lze zavřít.

    15. V našem katalogu "snadné rsa" se objevil nová složka s titulem "klíče".

    16. Jeho obsah je nutné zkopírovat a vložit do složky "ssl", který musí být vytvořen v kořenovém adresáři programu.

      Zobrazení složky po vložení zkopírovaných souborů:

    17. Nyní pojďme do adresáře

      C:\OpenVPN\config

      Zde vytvořte textový dokument (RMB - Create - Text Document), přejmenujte jej na server.ovpn a otevřete v Notepad++. Zadáme následující kód:

      port 443
      proto udp
      dev melodie
      vývojářský uzel "VPN Lumpics"
      dh C:\\OpenVPN\\ssl\\dh2048.pem
      ca C:\\OpenVPN\\ssl\\ca.crt
      cert C:\\OpenVPN\\ssl\\Lumpics.crt
      klíč C:\\OpenVPN\\ssl\\Lumpics.key
      server 172.16.10.0 255.255.255.0
      maximální počet klientů 32
      udržet naživu 10 120
      klient-klient
      comp lzo
      přetrvávající klíč
      persist-tun
      šifra DES-CBC
      stav C:\\OpenVPN\\log\\status.log
      log C:\\OpenVPN\\log\\openvpn.log
      sloveso 4
      ztlumit 20

      Názvy certifikátů a klíčů se musí shodovat s názvy umístěnými ve složce "ssl".

    18. Dále otevřete "Kontrolní panel" a jít do "Centrum ovládání sítě".

    19. Klikněte na odkaz "Změnit nastavení adaptéru".

    20. Zde musíme najít vytvořené spojení Adaptér TAP-Windows V9. Můžete to udělat kliknutím pravým tlačítkem myši na připojení a přechodem na jeho vlastnosti.

    21. Přejmenujte jej na VPN lampy bez uvozovek. Tento název musí odpovídat parametru "dev-uzel" v souboru server.ovpn.

    22. Posledním krokem je spuštění služby. Stisknutí klávesové zkratky Win+R, zadejte řádek níže a klikněte ENTER.

    23. Najděte službu s názvem Otevřete službu VPN, klikněte na RMB a přejděte do jeho vlastností.

    24. Změňte typ spouštění na "Automaticky", spusťte službu a klikněte "Aplikovat".

    25. Pokud jsme vše udělali správně, měl by u adaptéru zmizet červený křížek. To znamená, že připojení je připraveno.

    Nastavení na straně klienta

    Než začnete nastavovat klienta, musíte na serveru provést několik akcí – vygenerovat klíče a certifikát pro nastavení připojení.


    Práce, které je třeba provést na klientském počítači:


    Tím je konfigurace serveru a klienta OpenVPN dokončena.

    Závěr

    Uspořádání vlastní sítě VPN vám umožní co nejvíce chránit přenášené informace a také učinit surfování po internetu bezpečnější. Hlavní věcí je být opatrnější při nastavování serverové a klientské části, se správnými akcemi si můžete užívat všech výhod privátní virtuální sítě.

    Přečtěte si více: