OpenVPN estas unu el la VPN-opcioj (virtuala privata reto aŭ privataj virtualaj retoj), kiuj ebligas al vi efektivigi translokajn datumojn per speciale kreita ĉifrita kanalo. Tiel, vi povas konekti du komputilojn aŭ konstrui centran reton kun servilo kaj pluraj klientoj. En ĉi tiu artikolo, ni lernos kiel krei tian servilon kaj agordi ĝin.
Ni agordas OpenVPN-servilon
Kiel menciite supre, uzante la teknologion en demando, ni povas transdoni informojn per sekura komunikada kanalo. Ĉi tio povas esti dosiera interŝanĝo aŭ sekura aliro al la interreto per servilo, kiu estas komuna enirejo. Por krei ĝin, ni ne bezonas aldonan ekipaĵon kaj specialan scion - ĉio estas farita en la komputilo, kiun oni planas uzi kiel VPN-servilon.
Por plua laboro, necesos ankaŭ agordi la klientan parton sur la maŝinoj de retaj uzantoj. Ĉiu laboro reduktiĝas al kreado de ŝlosiloj kaj atestiloj, kiuj tiam estas transdonitaj al klientoj. Ĉi tiuj dosieroj permesas vin akiri IP-adreson kiam vi konektas al la servilo kaj kreas la ĉifritan kanalon menciitan supre. Ĉiuj informoj transdonitaj tra ĝi legeblas nur per ŝlosilo. Ĉi tiu funkcio povas signife plibonigi sekurecon kaj certigi datuman sekurecon.
Instalu OpenVPN sur serva maŝino
Instalado estas norma procedo kun iuj nuancoj, pri kiuj ni parolos pli detale.
- La unua paŝo estas elŝuti la programon el la suba ligo.
Elŝutu OpenVPN
- Tuj poste, kuru la instalilon kaj iru al la fenestra elektaĵo de la komponantoj. Ĉi tie ni devas meti ĝangon proksime al la ero kun la nomo "EasyRSA", kiu permesas krei kaj administri atestajn kaj ŝlosilajn dosierojn.
- La sekva paŝo estas elekti lokon por instali. Por komforto, metu la programon en la radikon de la sistemo-disko C :. Por fari tion, simple forigu la troon. Ĝi devus rezulti
C: OpenVPN
Ni faras tion por eviti kraŝojn dum ekzekuto de skriptoj, ĉar spacoj en la vojo estas neakcepteblaj. Vi kompreneble povas meti ilin inter kompilojn, sed ankaŭ atentemo povas malsukcesi, kaj serĉi erarojn en la kodo ne estas facila tasko.
- Post ĉiuj agordoj, instalu la programon en normala reĝimo.
Servilo flanka agordo
Plenuminte la jenajn paŝojn, vi devas esti kiel eble plej zorgema. Ajna difektoj kondukos al neoperaciebleco de serviloj. Alia antaŭkondiĉo estas, ke via konto devas havi rajtojn de administranto.
- Ni iras al la adresaro "facila-rsa", kiu en nia kazo situas ĉe
C: OpenVPN easy-rsa
Trovu la dosieron vars.bat.sample.
Renomu ĝin al vars.bat (forigi la vorton "specimeno" kune kun la punkto).
Malfermu ĉi tiun dosieron en la redaktilo Notepad ++. Ĉi tio gravas, ĉar ĝi estas ĉi tiu kajero, kiu ebligas vin korekte redakti kaj konservi kodojn, kio helpas eviti erarojn dum ilia ekzekuto.
- Unue ni forigas ĉiujn komentojn elstarigitajn kun verdo - ili nur ĝenos nin. Ni ricevas la jenajn:
- Poste, ŝanĝu la vojon al dosierujo "facila-rsa" tiu, kiun ni notis dum instalado. En ĉi tiu kazo, simple forigu la variablon % ProgramFiles% kaj ŝanĝi ĝin al C:.
- La sekvaj kvar parametroj restas senŝanĝaj.
- La ceteraj linioj estas plenigitaj arbitre. Ekzemplo en la ekrankopio.
- Konservu la dosieron.
- Vi ankaŭ bezonas redakti la jenajn dosierojn:
- konstrui-ca.bat
- konstrui-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
Ili bezonas ŝanĝi la teamon
openssl
al la absoluta vojo al ĝia responda dosiero openssl.exe. Ne forgesu konservi la ŝanĝojn.
- Nun malfermu la dosierujon "facila-rsa"krampo Ŝanĝo kaj ni alklakas RMB sur malplena sidloko (ne sur dosieroj). En la kunteksta menuo, elektu "Malfermi komandan fenestron".
Komencos Komandlinio kun la transiro al la cela dosierujo jam plenumita.
- Ni enigas la komandon indikitan sube kaj alklakas ENIRI.
vars.bat
- Tuj poste, lanĉu alian "batch-dosieron".
pura-ĉia.bat
- Ripetu la unuan komandon.
- La sekva paŝo estas krei la necesajn dosierojn. Por fari tion, uzu la komandon
konstrui-ca.bat
Post ekzekuto, la sistemo ofertos konfirmi la datumojn, kiujn ni enigis en la vars.bat-dosiero. Simple alklaku kelkajn fojojn ENIRIĝis la fontlinio aperas.
- Kreu DH-ŝlosilon per la dosiero lanĉo
konstrui-dh.bat
- Ni preparas atestilon por la servila flanko. Estas unu grava punkto ĉi tie. Li bezonas asigni la nomon, kiun ni literumis vars.bat en linio KEY_NAME. En nia ekzemplo, ĉi tio Lumpikoj. La komando estas kiel sekvas:
build-key-server.bat Lumpics
Ĉi tie vi ankaŭ devas konfirmi la datumojn per la ŝlosilo ENIRI, same kiel enigu la leteron du fojojn "y" (jes) kie bezonata (vidu ekrankopion). La komandlinio povas esti fermita.
- En nia katalogo "facila-rsa" nova dosierujo kun la nomo "klavoj".
- Ĝia enhavo devas esti kopiita kaj algluita en la dosierujon "ssl", kiu devas esti kreita en la radika dosierujo de la programo.
Vido de dosierujo post alglui kopiitajn dosierojn:
- Nun iru al la dosierujo
C: OpenVPN config
Kreu tekstan dokumenton ĉi tie (RMB - Kreu - Teksto-dokumento), alinomi ĝin al servilo.ovpn kaj malfermu en Notepad ++. Ni enmetas la jenan kodon:
haveno 443
proto udp
dev tun
dev-nodo "VPN Lumpics"
dh C: OpenVPN ssl dh2048.pem
ca C: OpenVPN ssl ca.crt
cert C: OpenVPN ssl Lumpics.crt
ŝlosilo C: OpenVPN ssl Lumpics.key
servilo 172.16.10.0 255.255.255.0
maksimume-klientoj 32
konservativa 10 120
kliento-al-kliento
komp-lzo
persist-key
persisti-tun
ĉifrita DES-CBC
stato C: OpenVPN log status.log
log C: OpenVPN log openvpn.log
verbo 4
mute 20Bonvolu noti, ke la nomoj de atestiloj kaj ŝlosiloj devas kongrui kun tiuj situantaj en la dosierujo "ssl".
- Tuj poste, malfermu "Kontrola Panelo" kaj iru al Reteja Administra Centro.
- Alklaku la ligon "Ŝanĝi adaptajn agordojn".
- Ĉi tie ni bezonas trovi konekton tra "TAP-Vindoza Adaptilo V9". Vi povas fari tion alklakante la PCM-konekton kaj irante al ĝiaj propraĵoj.
- Renomu ĝin al "VPN Lumpics" sen citaĵoj. Ĉi tiu nomo devas kongrui kun la parametro "dev-nodo" en dosiero servilo.ovpn.
- La fina paŝo estas komenci la servon. Push-ŝparvojo Gajnu + r, enigu la linion sube, kaj alklaku ENIRI.
servoj.msc
- Trovu servon kun la nomo "OpenVpnService", alklaku RMB kaj iru al ĝiaj propraĵoj.
- Komenca tipo ŝanĝi al "Aŭtomate", komencu la servon kaj alklaku Apliki.
- Se ni farus ĉion ĝuste, ruĝa kruco malaperu proksime al la adaptilo. Ĉi tio signifas, ke la rilato pretas.
Agordo de kliento
Antaŭ komenci klientan agordon, vi devas plenumi plurajn agojn sur la servila maŝino - generi ŝlosilojn kaj atestilon por agordi la konekton.
- Ni iras al la adresaro "facila-rsa", tiam al la dosierujo "klavoj" kaj malfermu la dosieron indekso.txt.
- Malfermu la dosieron, forigu ĉiujn enhavojn kaj konservu.
- Reiru al "facila-rsa" kaj kuru Komandlinio (ŜVI + RMB - Malfermu la komandan fenestron).
- Tuj poste, kuru vars.bat, kaj tiam krei klientan atestilon.
build-key.bat vpn-kliento
Ĉi tio estas ofta atestilo por ĉiuj maŝinoj en la reto. Por pliigi sekurecon, vi povas generi proprajn dosierojn por ĉiu komputilo, sed nomumi ilin malsame (ne "vpn-kliento", kaj "vpn-kliento1" kaj tiel plu). En ĉi tiu kazo, vi bezonos ripeti ĉiujn paŝojn, komencante per purigado index.txt.
- Fina ago - translokigo de dosieroj vpn-kliento.crt, vpn-kliento.key, ca.crt kaj dh2048.pem al la kliento. Vi povas fari tion en iu konvena maniero, ekzemple, skribi al USB-ekbrila disko aŭ transigi ĝin per reto.
Laboro plenumenda sur la klienta maŝino:
- Instalu OpenVPN laŭ la kutima maniero.
- Malfermu la dosierujon kun la instalita programo kaj iru al la dosierujo "agordi". Vi devas enmeti ĉi tie niajn atestilojn kaj ŝlosilajn dosierojn.
- En la sama dosierujo, kreu tekstodosieron kaj alinomi ĝin al agordi.ovpn.
- Malfermu en la redaktilo kaj skribu la jenan kodon:
kliento
rezolv-retry malfinio
nobindeco
fora 192.168.0.15 443
proto udp
dev tun
komp-lzo
ca ca.crt
cert vpn-kliento.crt
ŝlosilo vpn-client.key
dh dh2048.pem
flosi
ĉifrita DES-CBC
konservativa 10 120
persist-key
persisti-tun
verbo 0Linie "fora" vi povas registri la eksteran IP-adreson de la servila maŝino - do ni ricevas aliron al la interreto. Se vi lasas ĝin tia, kia ĝi estas, tiam eblos nur konekti al la servilo per ĉifrita kanalo.
- Kuru la OpenVPN GUI kiel administranto per la ŝparvojo sur la labortablo, poste en la pleto ni trovas la respondan ikonon, alklaku RMB kaj elektu la unuan eron kun la nomo Konekti.
Ĉi tio kompletigas la aranĝon de la servilo kaj kliento de OpenVPN.
Konkludo
Organizado de via propra VPN-reto permesos al vi protekti la transdonitajn informojn kiel eble plej multe, kaj ankaŭ plifaciligi interretan navigadon. La ĉefa afero estas pli zorgi dum agordo de la servilo kaj kliento, per la ĝustaj agoj, vi povas uzi ĉiujn avantaĝojn de privata virtuala reto.