Поднять сервер vpn: Как Настроить VPN-сервер Linux с OpenVPN – Пошаговое Руководство
Как Настроить VPN-сервер Linux с OpenVPN – Пошаговое Руководство
VPS
access_time
10 декабря, 2020
hourglass_empty
7мин. чтения
Аббревиатура VPN обозначает виртуальную частную сеть. Одной из программ VPN с открытым исходным кодом является OpenVPN. OpenVPN может работать как VPN-сервер Linux. На базовом уровне VPN создаёт защищённое соединение “точка-точка”. Хороший VPN для Linux – один из лучших способов защиты в Интернете или открытой сети. В этом руководстве мы покажем вам, как настроить собственный VPN-сервер Linux с помощью OpenVPN. Сделайте свой VPS безопасным!
Прокачайте ваш проект, воспользовавшись скидками на VPS-хостинг в Hostinger! Большой выбор планов, как для учебных, так и для крупных коммерческих проектов.
К предложению
Зачем использовать VPN-сервер Linux?
VPN имеет определённые преимущества. Некоторые из них выделены ниже:
- Безопасность. VPN обеспечивает более надёжную защиту, поскольку все данные зашифрованы. Это обеспечивает дополнительную безопасность по сравнению с брандмауэрами.
- Удалённый доступ. Чтобы обеспечить высокий уровень безопасности многие организации, правительственные и оборонные учреждения разрешают удалённый доступ только через их VPN.
- ISP шифрование. ISP означает провайдер услуг Интернета. Если вы используете общедоступное соединение Wi-Fi, интернет-провайдер может прочитать все ваши незашифрованные данные. Используя VPN, вы можете сохранить свои данные в безопасности, зашифровав их.
- Анонимность. VPN позволяет пользователям сохранять анонимность просмотров в Интернете. IP-адреса не отслеживаются.
- Изменение IP-адреса. VPN позволяет пользователям изменять свои IP-адреса. В некоторых случаях это используется в регионах с ограничениями на основе местоположения.
- Разблокировка сайтов. Некоторые сайты могут блокироваться в определённых географических регионах. VPN обеспечивает анонимность, поэтому часто используется для обхода интернет-цензуры и разблокировки веб-сайтов.
- Регулирование. Определённые интернет-провайдеры регулируют пропускную способность пользователя в зависимости от содержимого. Этого можно избежать с помощью VPN.
На более высоком уровне, с помощью шифрования, VPN делает ваши транзакции безопасными.
Рассказав о преимуществах VPN, мы логически подходим к части, где покажем, как происходит установка и настройка OpenVPN в Linux. Мы расскажем о настройке VPN-сервера Linux через OpenVPN и о том, как подключить его к Windows, Android и другим устройствам. Если же на этом этапе вы хотите узнать больше о протоколе OpenVPN, мы предлагаем вам прочитать обзор OpenVPN.
Предусловия:
- У вас должны быть права доступа root или sudo
- OpenVPN не должен быть предварительно установлен
- Брандмауэр должен разрешать трафик TCP через порт 943 и трафик UDP через порт 1194. Мы рекомендуем использовать UFW. Ознакомьтесь с нашим руководством по UFW, чтобы узнать всё необходимое
Настройка VPN-сервера Linux с Сервером Доступа OpenVPN
Во-первых, давайте обновим систему. Для CentOS:
yum -y update
Для Ubuntu и Debian обновите индексы, используя:
sudo apt update
Для установки OpenVPN вам потребуется пакет net-tools. Установите его, если он не был предварительно установлен. Пакет net-tools содержит ifcfg, необходимый для установки сервера OpenVPN.
Вы можете установить его для CentOS, используя:
sudo yum install net-tools
Для Ubuntu и Debian используйте следующую команду:
sudo apt install net-tools
Вы можете скачать клиент OpenVPN для вашего дистрибутива с веб-сайта OpenVPN. Получить ссылку можно здесь и использовать её вместе с командой curl. Пример команды curl для Ubuntu показан ниже:
curl -O http://swupdate.openvpn.org/as/openvpn-as-2.5.2-Debian9.amd_64. deb
Команда curl для CentOS:
curl -O http://swupdate.openvpn.org/as/openvpn-as-2.7.3-CentOS7.x86_64.rpm
Здесь вы можете добавить URL к вашему дистрибутиву. Убедитесь, что загружена правильная установка, напечатав контрольную сумму файла SHA256. Для этого используйте следующую команду:
sha256sum openvpn-as-*
Эта команда распечатает контрольную сумму:
6354ac41be811829e60b028d3a7a527e839232d7f782c1d29bb4d8bd32bf24d5 openvpn-as-2.7.3-CentOS7.x86_64.rpm
Вы можете сравнить контрольную сумму загруженного бинарного файла с контрольной суммой, представленной на сайте. Если контрольная сумма совпадает, установите ранее загруженный бинарный файл.
Для установки в CentOS используйте:
sudo rpm --install openvpn-as-*.rpm
Аналогично, для установки в Ubuntu и Debian введите следующую команду в командной строке:
sudo dpkg -i openvpn-as-*.deb
Установка OpenVPN займёт некоторое время. После завершения установки вы увидите интерфейс Администратора и детали интерфейса Клиента. Пользователь openvpn будет создан по умолчанию во время установки. Вы можете задать пароль для этого пользователя, используя:
passwd openvpn
Это действие установит новый пароль. Запомните его, так как он будет использоваться для входа в систему. Используйте URL администратора для входа и завершения процесса установки OpenVPN. В нашем случае URL администратора – https://31.220.111.160:943/admin. Обычно URL – это просто ваш VPS-адрес, порт: 943 с /admin в конце, как в примере.
Вы увидите следующий экран:
Имя пользователя, как упоминалось ранее, openvpn, а пароль – тот, который вы только что установили для этого пользователя. Как только вы войдёте в систему, вы увидите страницу с условиями. Прочитайте их и нажмите кнопку Agree (Cогласен), чтобы продолжить. На следующей странице, вы найдёте информацию о настройках и состоянии сервера.
Настройки по умолчанию вполне адекватны и позволяют MacOS, Linux, Windows, Android и iOS подключиться к VPN-серверу Linux. Если вы хотите изменить какие-либо настройки, обязательно нажмите Apply (Применить) и Update Running Server (Обновить запущенный сервер), чтобы активировать изменения.
Это завершает установку по умолчанию. Далее мы настроим туннель OpenVPN.
Настройка VPN-сервера Linux с OpenVPN для Туннелирования
Включите переадресацию IP в вашем ядре с помощью следующей команды:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.d/99-sysctl.conf
Это активирует переадресацию трафика через IPv4. Чтобы применить эти изменения, используйте следующую команду:
sudo sysctl -p
OpenVPN не поддерживает одновременные туннели через IPv6 и IPv4, поэтому вы можете отключить IPv6, используя:
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1
Чтобы отключить IPv6 вручную, добавьте следующие параметры, которые будут установлены при загрузке. Эти параметры должны быть добавлены в файл 99-sysctl. conf, расположенный в /etc/sysctl.d/. Просто используйте команду cd для доступа к папке и предпочитаемый текстовый редактор для редактирования файла. Не забудьте сохранить изменения!
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.eth0.disable_ipv6 = 1
Далее вы можете активировать новые настройки, используя:
sysctl -p
Далее, в файле hosts, расположенном в /etc/ прокомментируйте строку разрешения IPv6, как показано ниже:
::1 localhost ip6-localhost ip6-loopback
Таким образом, мы отключили IPv6. Затем снова войдите в систему по URL сервера Администратора и перейдите в настройки VPN.
В разделе Маршрутизация (Routing), напротив опции “Должны ли VPN-клиенты иметь доступ к частным подсетям (непубличным сетям на стороне сервера)?” должно быть указано “Нет”.
Напротив опции “Должен ли интернет-трафик клиента маршрутизироваться через VPN?” должно быть указано “Да”.
Чтобы избежать утечки DNS, измените настройки распознавателя DNS. Выберите “Клиенты должны использовать те же DNS-сервера, что и Access Server хост.”
Сохраните эти настройки и не забудьте нажать на Update Running Server (Обновить запущенный сервер). Вы можете перезапустить сервер OpenVPN, используя вкладку Status (Состояние) в консоли администратора. Отсюда вы можете остановить сервер, а затем запустить его снова.
На этом наша настройка сервера OpenVPN завершена. Далее мы можем проверить клиентские установки.
Как Подключить VPN-сервер Linux к Другим Устройствам с OpenVPN
Теперь, когда ваш сервер запущен и работает, мы можем подключить к нему несколько устройств! Мы рассмотрим наиболее популярные варианты операционной системы:
Установка и Подключение Клиента OpenVPN на Windows
Откройте URL-адрес клиента OpenVPN, вы сможете показывать ссылки на клиентские загрузки на разных операционных системах.
Выберите версию Windows и запустите установку.
После завершения установки вам будет предложено ввести имя пользователя и пароль OpenVPN. IP-адрес сервера будет заполнен автоматически.
Вы можете использовать значок OpenVPN на панели задач Windows для отключения, повторного подключения и просмотра состояния подключения.
Установка и Подключение Клиента OpenVPN на MacOS
Подключитесь к пользовательскому интерфейсу Клиента OpenVPN и щёлкните по ссылке, чтобы загрузить программное обеспечение OpenVPN для MacOS. После загрузки этого пакета откроется окно со значком пакета установщика.
Следуйте стандартной процедуре установки приложения MacOS.
Дважды щёлкните по иконке этого установщика и нажмите “Открыть”, чтобы запустить установку.
После завершения установки вы увидите иконку OpenVPN на панели задач macOS. Вы можете щёлкнуть правой клавишей мыши по иконке, чтобы увидеть доступные опции и подключиться к OpenVPN.
После того, как вы выберите опцию “Подключиться к”, вы увидите всплывающее окно с запросом имени пользователя и пароля OpenVPN. Здесь вы должны ввести учётные данные и нажать “Подключиться”, чтобы установить соединение с VPN-сервером Linux.
Установка и Подключение Клиента OpenVPN на Linux
Установка клиента на Linux немного отличается. Загрузите и установите клиентское программное обеспечение OpenVPN в CentOS, используя следующую команду:
sudo yum install OpenVPN
Аналогично, вы можете установить клиентское программное обеспечение OpenVPN на Debian или Ubuntu, используя следующую команду:
sudo apt-get install openvpn
Откройте клиентский интерфейс OpenVPN и загрузите соответствующий профиль для вашей ОС. Кроме того, вы можете использовать команду wget или curl и указать URL-адрес для загрузки программного обеспечения.
Скопируйте загруженный профиль в папку /etc/openvpn и переименуйте его в client.conf. Запустите сервис туннелей OpenVPN, где вам будет предложено ввести имя пользователя и пароль. Начните операцию с помощью:
sudo service openvpn start
Вы можете использовать ipconfig или ip addr, чтобы просмотреть сетевые подключения. Как только интерфейс VPN станет доступным, вы увидите, что интерфейс tun0 добавлен в существующий список, показанный в выводе.
Установка и Подключение Клиента OpenVPN на Android
Сначала перейдите в магазин Google Play и найдите OpenVPN Connect. Установите приложение OpenVPN Connect.
Открыв, вы увидите три параметра: Частный туннель (Private Tunnel), Сервер доступа (Access Server) и Профиль OVPN (OVPN Profile).
Выберите Access Server и заполните все данные вручную:
- Title – укажите предпочитаемое имя подключения.
- Access Server Hostname – IP-адрес вашего VPN-сервера Linux
- Port – порт 934 вашего VPN-сервера Linux
- Username – имя пользователя, установленное на вашем сервере (openvpn по умолчанию)
- Password – пароль, который вы задали в консоли при настройке VPN-сервера Linux в терминальной среде
Или же вы можете импортировать файл . ovpn для профиля. Вы можете получить профиль подключения из клиентского интерфейса.
Установка и Подключение Клиента OpenVPN на iOS
Как и в случае с Android, вы можете установить программное обеспечение OpenVPN из App Store.
Завершите установку и откройте только что установленное приложение. Оно попросит вас заполнить данные профиля или загрузить файл профиля, как и версия Android.
Как только они будут добавлены, вы можете начать использовать OpenVPN на вашем iPhone или iPad.
Настройки Сжатия VPN-сервера Linux
Если вы подключены к VPN, а Интернет не работает, вы можете проверить журналы OpenVPN по адресу /var/log/openvpnas.log в VPS. Если вы обнаружите записи, аналогичные приведённым ниже, вы, скорее всего, столкнулись с проблемой сжатия:
2019-03-23 18:24:05+0800 [-] OVPN 11 OUT: 'Mon Mar 23 08:59:05 2016 guest/123.45.67.89:55385 Bad compression stub decompression header byte: 251'
Чтобы решить эту проблему, вы можете отключить сжатие. Это можно сделать из интерфейса Администратора. Откройте интерфейс Администратора и нажмите на опцию Advanced VPN.
Перейдите к настройкам сжатия по умолчанию (Default Compression Settings). Здесь отключите опцию Поддержка сжатия на клиентских VPN-соединениях (Support compression on client VPN connection).
Примените изменения и нажмите на опцию Update Running Server. Проблема должна исчезнуть.
Добавление Пользователей на VPN-сервер Linux c OpenVPN
Бесплатный клиент OpenVPN поддерживает двух пользователей. Чтобы создать больше пользователей, вам придётся выбрать любой из платных планов. Вы можете добавить дополнительных пользователей из интерфейса администратора. Перейдите во вкладку “Управление пользователями” и нажмите ссылку “Права пользователя”.
Введите новое имя пользователя, как показано ниже:
Настройте дополнительные параметры для нового пользователя, нажав на ссылку «Дополнительные параметры». Здесь вы можете добавить пароль и другие детали.
Сохраните эти настройки и нажмите на “Обновить запущенный сервер” (Update Running Server).
Настройка Профилей Автоматического Входа для VPN-сервера Linux с OpenVPN
С OpenVPN, вы также можете настроить профили автоматического входа. Как результат весь ваш нелокальный трафик будет маршрутизироваться через VPN автоматически. Если вы хотите вручную включить или отключить VPN, вы можете использовать закрытые профили Пользователя или Сервера.
Чтобы настроить автоматический вход в систему, откройте интерфейс Администратора и выберите ссылку “Права пользователя” (User Permissions). Здесь установите флажок напротив “Разрешить автоматический вход” (Allow Auto-login).
Как Проверить Linux VPN-сервер с Запущенным OpenVPN
Чтобы проверить, работает ли OpenVPN должным образом, подключите VPN-клиент и проверьте свой IP-адрес. Вы можете воспользоваться сайтом проверки утечки DNS в браузере. Он должен показать вам IPv4-адрес сервера OpenVPN.
Далее вы можете выбрать Расширенный тест. В результате вы должны получить IP-адреса для DNS-резольвера, который вы выбрали для своего клиентского устройства.
Вы также можете подтвердить, что трафик не использует IPv6. Чтобы проверить это, воспользуйтесь сайтом проверки IPv6. На странице результатов вы должны увидеть IP-адрес сервера и сообщение о том, что IPv6-адрес не был обнаружен.
В Завершение
В этом руководстве вы узнали, как настроить VPN-сервер Linux с OpenVPN и как подключить его с помощью различных клиентов, таких как Windows, Linux, Android, iPhone или iPad и MacOS.
Теперь, когда вы знаете главные нюансы, вы можете безопасно пользоваться Интернетом с помощью своего нового Linux VPN-сервера. Чтобы узнать больше, прочитайте официальное руководство OpenVPN, которое можно найти в интерфейсе администратора. На этом мы завершаем вашу первую конфигурацию OpenVPN в режиме server-client. Наслаждайтесь безопасным Интернетом с помощью OpenVPN!
Как настроить свой VPN сервер
Правительства разных стран так или иначе пытаются запретить доступ к определённым ресурсам в Интернете. В России «заблокирован» Telegram и LinkedIn, в Казахстане уже не первый год невозможно посетить сайт Медузы, под раздачу даже попал официальный сайт gRPC, в Украине на фоне политических проблем запретили доступ к Яндексу.
От мала до велика знают как обойти эти блокировки, никого уже не удивишь словом VPN. Спроси у продвинутого юзера про VPN и он лихо назовёт парочку приложений для своего любимого смартфона в названии которых точно будет VPN 😎 Но мало кто задумывается, что публичные впн-сервисы могут также таить угрозу. Например, они без труда могут перехватывать весь трафик между вашим телефоном (клиентом) и сервисом на который вы обращаетесь (сервером). Таким сервисом может быть в том числе и банковское приложение, интернет-банкинг. Согласитесь, неприятно будет в один прекрасный день увидеть 0 на балансе вашего личного счёта.
Чтобы чувствовать себя в безопасности при использовании VPN я рекомендую настроить свой собственный VPN сервер. Для этого не нужно уметь программировать и даже иметь навыки администрирования Linux. Всё что необходимо — это иметь аккаунт на облачном хостинге DigitalOcean и следовать инструкциям этого руководства.
Если у вас до сих пор нет аккаунта в DigitalOcean, то создать его можно по моей ссылке. Зарегистрировавшись по ней вы получите $100 на ваш аккаунт, которыми сможете воспользоваться в течение 2-х месяцев! То есть как минимум у вас будет 2 месяца бесплатного использования личного VPN сервиса!
Установка и настройка OpenVPN
Прелесть DigitalOcean в том, что у них есть Marketplace готовых продуктов. В этом маркетплейсе есть официальный образ популярного Open Source VPN сервера OpenVPN.
После регистрации и входа в панель DigitalOcean, в левой части найдите Marketplace, переходите по ссылке:
В списке готовых приложений ищем OpenVPN Access Server, и переходим по ссылке:
На странице сервиса вам необходимо нажать на кнопку с текстом Create OpenVPN Access Server Droplet:
Droplet в терминах DigitalOcean это виртуальная машина, если проводить аналогию с сервисом AWS, то Droplet это та же EC2-машина.
После нажатия на кнопку DigitalOcean предложит вам выбрать тарифный план, от него зависит мощность сервера на котором будет крутиться ваш будущий VPN сервер. Скажу, что для личного пользования подойдёт самый дешевый тариф — $5. За эти деньги вы получите виртуальную машину с 1 Гб оперативной памяти и 25 Гб SSD диска + 1000 Гб трафика. Именно на этом тарифном плане крутится мой VPN сервер, которым я пользуюсь уже третий год подряд.
После выбора тарифного плана вам также необходимо выбрать регион в котором находится датацентр. Если вы из Евразии, то смело выбирайте Frankfurt, в этом регионе минимальный пинг.
Далее предлагается выбрать вариант аутентификации на будущей виртуальной машине, есть 2 способа:
- использовать одноразовый пароль, который будет отправлен на почту и после первичного входа его необходимо поменять
- использовать ssh ключ
Если вы не знаете, что такое SSH ключи, то выбирайте вариант с одноразовым паролем. После этого необходимо задать название будущей виртуальной машины (дроплета), тут всё на ваше усмотрение, можно оставить всё как предлагает digitalocean. Нажимаем на зелёную кнопку Create Droplet. Готово. Создание виртуальной машины занимает какое-то время, около 2-х минут.
После создания виртуальной машины вам необходимо к ней подключиться для первичной настройки OpenVPN, нужно ответить на несколько вопросов в интерактивном режиме (на каком порту будет Admin UI, какой порт используется для VPN сервера и т.д.):
После настройки конфигурации сервера необходимо задать пароль для пользователя openvpn
, он является администратором VPN сервера.
passwd openvpn
После этого необходимо открыть админ панель OpenVPN в браузере, ссылка будет в терминале в котором вы задавали настройки:
Авторизуемся на сервере:
После входа в панель необходимо будет создать пользователя, сделать это нужно в разделе User Management → User Permissions не забыв также указать пароль. После создания пользователя необходимо выйти из административной панели и перейти по ссылке без указания /admin, появится вот такая форма:
Авторизуйтесь под новым пользователем. После успешного входа вы увидите страницу, где вам будет предложено скачать VPN клиент OpenVPN либо загрузить файл конфигурации для OpenVPN клиента с расширением .ovpn. Для Android также есть приложение клиента, в котором можно импортировать этот файл конфигурации, и всё будет работать как по маслу.
💌 Присоединяйтесь к рассылке
Понравился контент? Пожалуйста, подпишись на рассылку.
Как поднять VPN-сервер на роутере
В сегодняшней инструкции я покажу, как поднять VPN-сервер на роутере, реализовать автоподключение к нему в системе Windows и разрешить выход в интернет только через VPN. Процесс настройки VPN на роутере будет разобран достаточно подробно, с расчетом даже на тех людей, кто впервые зашел в раздел Windows «Сетевые подключения».
Еще по теме: Как поднять VPN на Raspberry Pi
Зачем нужен VPN-сервер на роутере?
- Необходимость удаленно использовать определенный IP.
- Предоставление кому-либо в любой точке мира именно вашего IP.
- Другие сценарии.
Настройка VPN-сервера на роутере
Сразу хочу сказать, что не все роутеры поддерживают функцию VPN. В моем случае будет использоваться роутер Tenda. Для других маршрутизаторов процесс аналогичный.
1. Подключаемся к роутеру. Вводим локальный IP роутера в адресную строку браузера. В моем случае это 192.168.0.1. Посмотреть его можно на наклейке на нижней части роутера, либо в интернете.
2. Вводим логин/пароль. Обычно логин и пароль одинаковы: admin. Если нет, смотрите в инструкции к своему роутеру или в интернете.
3. Переходим во вкладку «VPN —> PPTP сервер». На других роутерах это может быть сразу вкладка «VPN-сервер». Если ничего подобного нет, скорее всего, ваш роутер не поддерживает VPN.
4. Включаем сервер PPTP, включаем шифрование. Добавляем Имя пользователя (Логин) и Пароль для подключение к этому серверу. Сохраняем.
Настройка сервера VPN на роутере закончена. Переходим к настройкам в Windows.
Подключение к VPN через Windows
Настройка будет проводиться на примере чистой Windows 7. На более старших версиях процедура отличается не сильно.
1. Переходим в «Панель управления —> Сеть и Интернет —> Центр управления сетями и общим доступом». Нажимаем «Настройка нового подключения или сети».
2. Выбираем поочередно «Подключение к рабочему месту —> Нет, создать новое сетевое подключение —> Использовать мое подключение к интернету (VPN)».
3. В следующем окне в поле «Интернет-адрес» вводим IP нашего VPN-сервера. В поле «Имя местоназначения» указываем любое название на английском без пробелов (например vpn-lab).
Чтобы узнать внешний IP ранее настроенного роутера, нужно зайти с любого устройства, подключенного к роутеру-VPN-серверу, на сайт 2ip.ru. Вписываем указанный там IP в поле.
4. Вводим Логин и Пароль для подключения к сети VPN, которые добавлялись ранее. Нажимаем «Подключиться».
5. Если все сделано правильно, в списке подключений отобразится созданное VPN-подключение. Открываем свойства этого подключения.
6. Настраиваем пункты во вкладках как показано на рисунках ниже. Нажимаем ОК.
7. Проверяем работоспособность. Теперь при проверке внешнего IP (например, через сайт 2ip.ru) должен отображаться IP-адрес роутера-сервера, а не ваш.
Автоподключение к VPN при включение ПК
1. Запускаем «Планировщик заданий».
2. Выбираем «Создать простую задачу».
3. В поле «Имя» вводим любое имя (Например AutoVPNConncet).
4. В поле «Триггер» выбираем «При входе в Windows».
5. Действие — «Запустить программу».
6. Далее в поле «Программа или сценарий» вводим «C:\Windows\system32\rasdial.exe». В поле «Добавить аргументы» вводим «<имя VPN-соединения в списке сетевых подключений> <Логин> <Пароль>» без кавычек. В моем случае это было «vpn-lab TestUser TestPassword».
7. Ставим галочку на «Открыть окно «Свойства» после нажатия кнопки «Готово»». Нажимаем «Готово».
8. В открывшемся окне ставим галочку на «Выполнить с наивысшими правами». Нажать ОК.
9. Готово. Осталось проверить. Перезагрузите компьютер. После этого проверьте свой IP в сети (например на 2ip.ru). Он должен совпадать с VPN-адресом.
Блокировка доступа к интернету кроме VPN-соединения
1. Переходим в «Панель управления —> Сеть и Интернет —> Центр управления сетями и общим доступом».
2. VPN-подключение определяем как «Домашняя сеть», сетевое подключение как «Общественная сеть».
3. Открываем «Брандмауэр Windows в режиме повышенной безопасности» и нажимаем на «Свойства брандмауэра Windows».
4. Во вкладке «Общий профиль» блокируем Входящие и Исходящие соединения. В «Защищенные сетевые подключения» выбрать все.
5. Во вкладке «Частный профиль» разрешаем Входящие и Исходящие соединения. В «Защищенные сетевые подключения» выбрать все. Нажимаем ОК.
6. Переходим во вкладку «Правила для входящих соединений». Нажимаем «Создать правило».
7. Далее выбираем:
- Тип правила: «Настраиваемые»
- Программа: «Все программы»
- Протокол и порты: «Тип протокола: Любой»
- Область: «Локальные IP: Любой; Удаленные IP: Указанный IP» и здесь добавляем IP вашего VPN (как на скрине ниже).
- Действие: «Разрешить подключение»
- Профиль: ТОЛЬКО «Публичный»
- Имя: (любое) «VPN1»
Нажимаем «Готово».
8. Переходим во вкладку «Правила для входящих соединений». Нажимаем «Создать правило» и делаем все как в предыдущем пункте.
9. Проверяем работоспособность. Теперь при отключенном VPN должен отсутствовать доступ в интернет.
На этом все. Надеюсь данная статья помогла поднять и настроить VPN-сервер на роутере.
Еще по теме: Как поднять свой VPN настроить OpenVPN и stunnel
Установка и настройка openvpn на CentOS
В современном интернете вопрос анонимности встает с каждым годом все острее. Запреты на доступ к контенту вынуждают пользователей искать обходные пути, одним из которых является использование приватных тоннелей. Установка на CentOS openvpn сервера для подключения удаленных клиентов является одной из реализаций шифрованного vpn канала. Этой задачей мы и займемся в текущей статье — поднимем шифрованный тоннель и подключим клиентов.
Онлайн-курс Data Engineer – для разработчиков, администраторов СУБД и всех, кто стремится повысить профессиональный уровень, освоить новые инструменты и заниматься интересными задачами в сфере работы с большими данными. Курс не для новичков – нужно пройти .
Данная статья является частью единого цикла статьей про сервер Centos.
Введение — что такое vpn server?
Упомянутое во вступлении применение технологии vpn и openvpn сервера в частности не ограничивается созданием каналов для анонимного трафика пользователей. Более того, я думаю это не основная сфера применения данных технологий. Давайте поподробнее познакомимся с этими вещами, чтобы иметь полное представление о том, что мы будем настраивать.
VPN — набор технологий, которые позволяют организовать логическую сеть поверх других. Чаще всего в роли других сетей выступает Интернет. Если простыми словами, то с помощью VPN можно организовать единую локальную сеть разделенных интернетом сегментов сети. Так как Интернет — общедоступная сеть, то трафик внутри созданной логической сети шифруется различными средствами для организации защиты передаваемых данных.
OpenVPN — одна из реализаций технологии VPN с открытым исходным кодом, а значит бесплатная. С ее помощью можно объединять в единую сеть компьютеры в том числе и находящиеся за NAT, что очень удобно. Openvpn поддерживает все популярные на сегодняшний день операционные системы, в том числе и Windows.
Среди малого и среднего бизнеса сервер openvpn очень популярен благодаря своей бесплатности, кроссплатформенности, быстроте и гибкости настроек. Лично я предпочитаю именно его для объединения удаленных локальных сетей. Его же предпочитают использовать vpn-провайдеры для оказания своих услуг по организации анонимного серфинга в интернете.
В своей статье я рассмотрю не абстрактную установку и настройку сервера, а приведу конкретный пример соединения локальных сетей двух офисов в единую логическую сеть с совместным доступом к ресурсам друг друга.
Объединение офисов с помощью openvpn
У нас имеется офис с шлюзом CentOS 8, на который мы будем устанавливать openvpn сервер. И есть филиал с таким же шлюзом, где будет установлен openvpn client для подключения сети филиала к офису:
Имя | Centos-server | PC1 | Centos-client | PC2 |
Внешний ip | 10.20.1.38 | 192.168.13.188 | ||
Локальный ip | 192.168.220.1 | 192.168.220.10 | 192.168.150. 1 | 192.168.150.10 |
Комментарий | Сервер openvp и шлюз в офисе | Компьютер с Windows 10 в офисе | Клиент openvp и шлюз в филиале | Компьютер с Windows 10 в филиале |
В данном случае сервер в филиале может быть без внешнего белого IP адреса, это не принципиально, все будет работать и так. Нам необходим только один внешний IP адрес на сервере. Все остальные клиенты могут быть за NAT, это не помешает успешному объединению локальных сетей.
Наша задача в данном случае будет сводиться к тому, чтобы компьютеры PC1 и PC2 увидели друг друга и могли совместно использовать свои сетевые ресурсы в обе стороны. То есть как за сервером, так и за клиентом openvpn мы должны видеть сеть.
Хочу отметить, что конфигурация openvpn кроссплатформенная и отлично переносится с одной системы на другую, необходимо только пути проверить, так как в каждой системе они свои. Моя инструкция подойдет для настройки openvpn сервера на любой операционной системе, отличаться будут только специфичные для каждой системы команды установки и проверки, но сама суть настройки vpn будет такой же.
Данный материал я создавал на тестовом стенде, который специально собрал для написания статьи. Но все настройки взяты с реально работающих серверов, причем разных систем, в том числе и freebsd. Для практического применения нужно просто поменять IP адреса на свои. У меня на стенде 10.20.1.38 и 192.168.13.188 по сути внешние IP адреса, которые смотрят в интернет.
Где скачать openvpn
Прежде чем приступить к установке и настройке, давайте посмотрим, где можно скачать все, что нам понадобится в нашей работе. Свежие и актуальные версии всегда можно найти на страничке downloads официального сайта.
Сразу же прокомментирую по поводу portable версии openvpn. На текущий момент официальной портированной версии openvpn не существует. Та версия, на которую я дал ссылку, найдена мной в гугле и сделана отдельной командой Portapps. Это наиболее актуальная и свежая версия. До нее я использовал OpenVPN Portable с sourceforge, но она сильно устарела, хотя кое-где может и работать. Я специально по этому поводу почитал форум Community Openvpn и нашел там неутешительные ответы. Разработчики говорят, что portable версия openvpn не поддерживается и выпускать ее они даже не собираются. А жаль, было бы удобно получить портированную версию от них.
Для Linux систем дистрибутив проще всего получить в системных репозиториях и устанавливать с помощью стандартных установщиков пакетов.
Установка openvpn на CentOS 8
Теперь вернемся к нашей задаче. Я подразумеваю, что у вас уже есть установленный и настроенный сервер CentOS. Если еще нет, то можете воспользоваться моими материалами. В них раскрыты следующие темы:
Устанавливаем openvpn на оба наших сервера, которые являются шлюзами в своих сегментах сети. Первым делом подключаем репозиторий epel к centos:
# yum install epel-release
Выполняем непосредственно установку:
# yum install openvpn
Создание сертификатов
Для работы сервера openvpn необходимо создать соответствующие сертификаты. Для этого воспользуемся программой Easy-RSA, которая генерирует сертификаты с помощью утилиты openssl. Все работы в этом разделе выполняем только на centos-server.
Создаем директорию для ключей:
# mkdir /etc/openvpn/keys
Скачиваем и устанавливаем утилиту Easy-RSA. Ссылку на последнюю версию можно посмотреть на github.
# cd /etc/openvpn/keys # wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
Если получаете сообщение:
-bash: wget: command not found
То устанавливаете wget:
# yum install wget
Продолжаем:
# tar xzvf EasyRSA-3.0.8.tgz && mv EasyRSA-3.0.8 easyrsa && rm -f EasyRSA-3.0.8.tgz # cd /etc/openvpn/keys/easyrsa
Создаем структуру публичных PKI ключей:
# mv vars.example vars # ./easyrsa init-pki Note: using Easy-RSA configuration from: /etc/openvpn/keys/easyrsa/vars init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /etc/openvpn/keys/easyrsa/pki
Создайте удостоверяющий центр CA:
# ./easyrsa build-ca Note: using Easy-RSA configuration from: /etc/openvpn/keys/easyrsa/vars Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020 Enter New CA Key Passphrase: Re-Enter New CA Key Passphrase: Generating RSA private key, 2048 bit long modulus (2 primes) ........................+++++ ................................................+++++ e is 65537 (0x010001) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:serveradmin. ru CA creation complete and you may now import and sign cert requests. Your new CA certificate file for publishing is at: /etc/openvpn/keys/easyrsa/pki/ca.crt
Не забудьте указанный пароль. Его нужно будет вводить каждый раз при создании нового сертификата openvpn.
Мы получили 2 файла:
- /etc/openvpn/keys/easyrsa/pki/private/ca.key
- /etc/openvpn/keys/easyrsa/pki/ca.crt
Первый ключ секретный, его нужно оставить на сервере и никому не отдавать. Второй — открытый, его мы будем вместе с пользовательскими сертификатами передавать клиентам.
Создаем запрос сертификата для сервера без пароля с помощью опции nopass, иначе придется вводить пароль с консоли при каждом запуске сервера:
# ./easyrsa gen-req server nopass Note: using Easy-RSA configuration from: /etc/openvpn/keys/easyrsa/vars Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020 Generating a RSA private key . ........+++++ .....................+++++ writing new private key to '/etc/openvpn/keys/easyrsa/pki/easy-rsa-1861.5z2vXi/tmp.hy40wb' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [server]: Keypair and certificate request completed. Your files are: req: /etc/openvpn/keys/easyrsa/pki/reqs/server.req key: /etc/openvpn/keys/easyrsa/pki/private/server.key
Подписываем запрос на получение сертификата у нашего CA:
# ./easyrsa sign-req server server Note: using Easy-RSA configuration from: /etc/openvpn/keys/easyrsa/vars Using SSL: openssl OpenSSL 1. 1.1g FIPS 21 Apr 2020 You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 825 days: subject= commonName = server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes Using configuration from /etc/openvpn/keys/easyrsa/pki/easy-rsa-1888.qaUUvJ/tmp.Y4X2zV Enter pass phrase for /etc/openvpn/keys/easyrsa/pki/private/ca.key: Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'server' Certificate is to be certified until Apr 18 15:34:20 2023 GMT (825 days) Write out database with 1 new entries Data Base Updated Certificate created at: /etc/openvpn/keys/easyrsa/pki/issued/server. crt
В процессе работы скрипта вводим пароль от CA, который указывали раньше и отвечаем на вопрос yes. Мы получили подписанный удостоверяющим центром сертификат для сервера — /etc/openvpn/keys/easyrsa/pki/issued/server.crt
Нам еще пригодится ключ Диффи-Хелмана, генерируем его:
# ./easyrsa gen-dh
По завершению работы скрипта получаем файл dh сертификата — /etc/openvpn/keys/easy-rsa/pki/dh.pem.
Копируем в папку /etc/openvpn/server/ все необходимые для работы openvpn сервера файлы:
# cp pki/ca.crt /etc/openvpn/server/ca.crt # cp pki/dh.pem /etc/openvpn/server/dh.pem # cp pki/issued/server.crt /etc/openvpn/server/server.crt # cp pki/private/server.key /etc/openvpn/server/server.key
Так же сгенерируем еще один ключ, который на пригодится для шифрования TLS control channel, что повышает безопасность.
# openvpn --genkey --secret /etc/openvpn/server/tc. key
Создадим ключ для клиента openvpn:
# ./easyrsa gen-req client01 nopass # ./easyrsa sign-req client client01
Процедура аналогична созданию сертификата для сервера. Так же вводим пароль, отвечаем yes. В результате получаем подписанный сертификат клиента:
- /etc/openvpn/keys/easy-rsa/pki/issued/client01.crt
- /etc/openvpn/keys/easy-rsa/pki/private/client01.key
Команды gen-req и sign-req можно объединить в одну с помощью build-client-full примерно так:
# ./easyrsa build-client-full client01 nopass
Клиенту, которым у нас является шлюз филиала, нужно будет передать следующий набор файлов — client01.crt, client01.key, ca.crt, tc.key. Либо использовать единый файл конфигурации клиента, который включает в себя в том числе и сертификаты. Я отдельно покажу как это сделать.
Настройка openvpn на CentOS 8
Теперь приступаем к настройке. Создаем файл конфигурации openvpn:
# mcedit /etc/openvpn/server/server.conf
port 13555 # я предпочитаю использовать нестандартные порты для работы proto udp # протокол может быт и tcp, если есть необходимость в этом dev tun ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/server.crt key /etc/openvpn/server/server.key dh /etc/openvpn/server/dh.pem auth SHA256 # выбор алгоритма шифрования для аутентификации cipher AES-256-CBC # выбор алгоритма шифрования всех передаваемых через vpn данных tls-version-min 1.2 # ограничиваем минимальную версию протокола tls tls-crypt tc.key # ключ для шифрования TLS control channel server 10.0.0.0 255.255.255.0 # подсеть для туннеля, может быть любой route 192.168.150.0 255.255.255.0 # указываем подсеть, к которой будем обращаться через vpn ifconfig-pool-persist ipp.txt # файл с записями соответствий clinet - ip client-to-client # позволяет клиентам openvpn подключаться друг к другу client-config-dir /etc/openvpn/ccd # директория с индивидуальными настройками клиентов keepalive 10 120 comp-lzo # если используется протокол tcp, сжатие надо отключить explicit-exit-notify 1 # если используется протокол tcp, поменять на 0 persist-key persist-tun status /var/log/openvpn/openvpn-status. log log /var/log/openvpn/openvpn.log user nobody group nobody verb 3
Подробное описание всех параметров можно посмотреть в официальной wiki.
Создаем необходимые директории:
# mkdir /etc/openvpn/ccd && mkdir /var/log/openvpn
Создаем файл конфигурации клиента в папке, указанной в параметре client-config-dir :
mcedit /etc/openvpn/ccd/client01
iroute 192.168.150.0 255.255.255.0
Здесь client01 — имя сертификата пользователя. Параметр iroute означает, что за подсеть 192.168.150.0/24 отвечает именно этот клиент. Если в openvpn не передать эту настройку, то сеть, находящуюся за клиентом, будет не видно, при этом сам клиент будет видеть всю сеть, которую обслуживает сервер. Такой вариант подходит для подключения удаленных сотрудников.
Выбор устройства openvpn — TAP или TUN
Чуть подробнее остановлюсь на этом моменте. В моей конфигурации я использую tun интерфейс. В чем отличие tun от tap можно прочитать на википедии. Прокомментирую своими словами. Если вам нужно объединить две разные локальные сети в одну условно общую, но с разной адресацией, то вам нужен tun. То есть в нашем случае мы объединяем две сети 192.168.220.0/24 и 192.168.150.0/24 для взаимного совместного доступа.
Если же у вас стоит задача объединить 2 удаленные сети в единое адресное пространство, например сделать и в офисе, и в филиале единую сеть 192.168.220.0/24, то тогда бы мы использовали tap интерфейс и указывали бы на компьютерах в обоих сетях не пересекающиеся адреса из одной подсети. То есть оба офиса окажутся в одном широковещательном домене и смогут передавать данные с помощью широковещания на канальном уровне сетевой модели OSI. В таком состоянии openvpn работает в режиме моста. По мне так удобнее первый вариант. Я еще не сталкивался с задачей, где бы мне нужен был tap. Вернемся к настройке.
Запускаем сервер:
# systemctl start openvpn-server@server. service
Если сервер не запустился, а в логе ошибка:
TCP/UDP: Socket bind failed on local address [undef]: Permission denied
Значит вам нужно либо правильно настроить, либо отключить SELinux. В данном материале я не хочу касаться настройки SELinux, поэтому просто отключаем его:
# mcedit /etc/sysconfig/selinux
меняем значение
SELINUX=disabled
Чтобы изменения вступили в силу, выполняет:
# setenforce 0
Пробуем снова запустить openvpn сервер:
# systemctl start [email protected]
Если опять видите какие-то ошибки, то проверяйте лог файлы /var/log/openvpn/openvpn.log и /var/log/messages. Там почти наверняка будет указано, в чем проблема. Проверяем, запустился сервер или нет:
# netstat -tulnp | grep 13555 udp 0 0 0.0.0.0:13555 0.0.0.0:* 1900/openvpn
Отлично, запустился на указанном порту.
Добавляем сервер openvpn в автозагрузку:
# systemctl enable openvpn-server@server. service Created symlink /etc/systemd/system/multi-user.target.wants/[email protected] → /usr/lib/systemd/system/[email protected].
Теперь внимательно проверим корректность всех настроек на сервере. Сначала посмотрим информацию о сетевых интерфейсах:
Обращаем внимание на адреса туннеля vpn. Теперь проверяем статические маршруты:
Тут тоже все в порядке. Траффик для подсети филиала 192.168.150.0/24 будет маршрутизироваться в тоннель. С настройкой сервера закончили, идем теперь на клиент.
Настройка firewall (iptables) для openvpn
Рассмотрю отдельно вопрос настройки iptables для работы openvpn. В целом, там нет никаких нюансов в самих правилах. Нам необходимо открыть входящий порт для подключения к серверу, разрешить транзитный трафик и включить nat для openvpn интерфейсов. Проблемы обычно бывают в реализации настроек самого firewall.
Если вы используете нативные iptables, то нужны будут следующие правила, разрешающие весь трафик в и из vpn туннелей.
iptables -A INPUT -i ens18 -p udp --dport 13555 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A OUTPUT -o tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT $IPT -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
Не забудьте разместить их выше правил блокировки, если таковые у вас имеются. Если вы используете firewalld для настройки фаервола, то набор правил для openvpn будет следующий:
firewall-cmd --add-port="13555"/"udp" firewall-cmd --zone=trusted --add-source=10.0.0.0/24 firewall-cmd --permanent --add-port="13555"/"udp" firewall-cmd --permanent --zone=trusted --add-source=10.0.0.0/24 firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.0.0.0/24 -j MASQUERADE firewall-cmd --permanent --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.0.0.0/24 -j MASQUERADE
Если нужно как-то сегментировать доступ в vpn сети, то настраивайте более точечно с использованием конкретных адресов и подсетей. Тонкая настройка правил iptables не тема данной статьи, поэтому я не буду на этом подробно останавливаться.
Сам я обычно использую нативные iptables и управляю ими с помощью скрипта. Более подробно я описываю настройку iptables в отдельной статье. В соответствии с этой статьей я использую следующий итоговый набор правил всего сервера для iptables.
#!/bin/bash export IPT="iptables" # Внешний интерфейс export WAN=ens18 export WAN_IP=10.20.1.38 # Локальная сеть export LAN1=ens19 export LAN1_IP_RANGE=192.168.220.1/24 # Очищаем правила $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Запрещаем все, что не разрешено $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # Разрешаем localhost и локалку $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i $LAN1 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -o $LAN1 -j ACCEPT # Рзрешаем пинги $IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Разрешаем исходящие подключения сервера $IPT -A OUTPUT -o $WAN -j ACCEPT # разрешаем установленные подключения $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Отбрасываем неопознанные пакеты $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP # Отбрасываем нулевые пакеты $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # Закрываемся от syn-flood атак $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP # Разрешаем доступ из локалки наружу $IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT # Закрываем доступ снаружи в локалку $IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT # Разрешаем OpenVPN $IPT -A INPUT -i tun+ -j ACCEPT $IPT -A OUTPUT -o tun+ -j ACCEPT $IPT -A FORWARD -i tun+ -j ACCEPT # Разрешаем доступ из внутренней сети в vpn $IPT -A FORWARD -i $LAN1 -o tun+ -j ACCEPT # Включаем NAT $IPT -t nat -A POSTROUTING -s 10. 0.0.0/24 -j MASQUERADE $IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE # открываем доступ к SSH $IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT # Открываем порт для openvpn $IPT -A INPUT -i $WAN -p udp --dport 13555 -j ACCEPT # Сохраняем правила /sbin/iptables-save > /etc/sysconfig/iptables
Это минимальный набор правил для шлюза локальной сети с openvpn на борту. Про настройку шлюза на базе centos я так же рассказываю отдельно. Для сервера клиента openvpn набор правил будет точно такой же, только ip адреса, подсети и интерфейсы будут другие.
Настройка в CentOS клиента openvpn
На centos-client не забываем настроить или отключить SELinux. Устанавливаем openvpn:
# yum install openvpn
Создаем в директории /etc/openvpn/client/ файл конфигурации client.conf:
# mcedit /etc/openvpn/client/client.conf
dev tun proto udp remote 10.20.1.38 13555 client resolv-retry infinite ca /etc/openvpn/client/ca. crt cert /etc/openvpn/client/client01.crt key /etc/openvpn/client/client01.key tls-crypt /etc/openvpn/client/tc.key route 192.168.220.0 255.255.255.0 remote-cert-tls server auth SHA256 cipher AES-256-CBC persist-key persist-tun resolv-retry infinite nobind comp-lzo verb 3 status /var/log/openvpn/openvpn-status.log 1 status-version 3 log-append /var/log/openvpn/openvpn-client.log
Не забываем скопировать в /etc/openvpn/client/ сохраненные ранее ключи ca.crt, client01.crt, client01.key и tc.key.
Обращаю внимание на параметр route в данном конфиге. Его можно здесь не указывать, сделав конфиг более унифицированным для множества клиентов. Вместо этого данную настройку можно передавать с сервера openvpn, указав в файле настроек клиента параметр push route следующим образом:
push "route 192.168.220.0 255.255.255.0"
Создаем каталог для логов:
# mkdir /var/log/openvpn
Запускаем openvpn client:
# systemctl start openvpn-client@client. service
Добавляем в автозагрузку:
# systemctl enable [email protected]
Теперь смотрим картину сетевых настроек на клиенте:
Ну и маршруты глянем заодно:
Все в порядке, подключение к vpn серверу есть, маршруты прописаны верно. Как вы видите, трафик к удаленной сети 192.168.220.0.24 пойдет через vpn туннель. Маршрут для него openvpn поднял автоматически в соответсвии со своими настройками на клиенте или сервере.
В принципе, этого уже достаточно, чтобы трафик забегал в обе стороны из одной подсети в другую. Но для этого у вас должны быть соответствующим образом настроены сами шлюзы, фаерволы на них, маскарадинг, в том числе на интерфейсе tun. Как это можно сделать, я приводил выше в примерах своих настроек iptables.
Перед этим напомню важный момент, если вдруг вы с нуля настраиваете шлюз и не проверили его в реальной работе. Для роутинга трафика между сетевыми интерфейсами, необходимо добавить строку:
net. ipv4.ip_forward = 1
в файл /etc/sysctl.conf и применить настройку:
# sysctl -p
Если у вас этого не сделано, то трафик между интерфейсами ходить не будет.
Если ваш openvpn клиент не подключается, то в первую очередь проверяйте настройки firewall — входящие подключения к серверу и исходящие клиента. Обратите внимание на номер порта и тип (TCP или UDP) если вы их меняли. У меня были затупы, когда никак не мог разобраться, почему нет соединения. Оказывалось, что я менял порт c UDP на TCP, но по привычке на фаерволе оставлял UDP.
Теперь давайте проверим, как бегают пакеты в нашей vpn сети. Заходим на centos-client (192.168.150.1) и пингуем centos-server (192.168.220.1) и pc1 (192.168.220.10):
Заходим на pc2 (192.168.150.10) и пингуем centos-server и pc1:
Теперь в обратную сторону. Заходим на pc1 (192.168.220.10) и пингуем centos-client (192.168.150.1) и pc2 (192.168.150.10):
И напоследок пропингуем с vpn сервера подсеть клиента:
Как видите, связь настроена в обе стороны. Если у вас что-то где-то не пингуется, то смотрите в первую очередь на наличие маршрутов на самих серверах с openvpn, а так же на настройки firewall. Проблемы могут быть только здесь. Ну и не забудьте настроить windows firewall на самих виндовых машинах. И помните про антивирусы на них. А то бывает кучу времени потратишь на поиск проблемы, а ее на самом деле не было. Пинги не работали, потому что тупо запрещены на виндовых машинах.
В завершение темы объединения удаленных офисов, проверим доступ к общим сетевым ресурсам. Расшарим папку на PC1 и зайдем на нее с PC2:
Все получилось. Мы реально объединили удаленные офисы в единую связную сеть с помощью openvpn сервера. Дальше поверх vpn можно настраивать работу остальных сервисов. Например, объединить 2 сервера asterisk или контроллеры домена.
Настройка openvpn client в windows
Теперь рассмотрим вариант подключения к нашей логической сети удаленного сотрудника с рабочей станцией windows. Допустим, мы объединили наши офисы в единую сеть, доступ работает в обе стороны. [1-2]$ ]]; do
read -rp «Select an option [1-2]: » -e pass
done
clientexist=$(tail -n +2 /etc/openvpn/keys/easyrsa/pki/index.txt | grep -c -E «/CN=$user\$»)
if [[ $clientexist == ‘1’ ]]; then
echo «»
echo «The specified client name was already found in easy-rsa»
exit
else
cd /etc/openvpn/keys/easyrsa/ || return
case $pass in
1)
./easyrsa build-client-full «$user» nopass
;;
2)
./easyrsa build-client-full «$user»
;;
esac
echo «Client $user added.»
fi
touch /etc/openvpn/ccd/$user
mkdir -p $confdir
echo «dev tun
proto $proto
remote $server $port
client
resolv-retry infinite
remote-cert-tls server
auth SHA256
cipher AES-256-CBC
persist-key
persist-tun
resolv-retry infinite
nobind
comp-lzo
verb 3» > $confdir/$user. ovpn
{ echo «<ca>»
cat «/etc/openvpn/keys/easyrsa/pki/ca.crt»
echo «</ca>»
echo «<cert>»
awk ‘/BEGIN/,/END/’ «/etc/openvpn/keys/easyrsa/pki/issued/$user.crt»
echo «</cert>»
echo «<key>»
cat «/etc/openvpn/keys/easyrsa/pki/private/$user.key»
echo «</key>»
echo «<tls-crypt>»
cat «/etc/openvpn/server/tc.key»
echo «</tls-crypt>»
} >> $confdir/$user.ovpn
Скрипт делает следующие операции:
- Проверяет, есть ли уже пользователь с указанным именем. Если есть, то завершает работу.
- Выпускает и подписывает сертификат пользователя, давая возможность выбрать, указывать пароль для защиты приватного ключа или нет.
- Создает пустой файл для серверных настроек пользователя в ccd директории. Параметры туда нужно будет добавить вручную, если они нужны.
- Создает готовый конфиг .ovpn, куда включены параметры подключения и все необходимые сертификаты и ключи.
Сразу предупреждаю, чтобы не было вопросов и претензий. Скрипт написал во время подготовки статьи. Красоту и оптимизацию не делал. Убедился, что все работает, конфиг на выходе корректный. Подобные вещи можно улучшать, дополнять до бесконечности. Настройка vpn серверов не моя специализация, поэтому тратить много времени на красивые и функциональные скрипты у меня нет возможности.
Дальше редактируем файл конфигурации на сервере openvpn для этого клиента:
# cd /etc/openvpn/ccd # mcedit user08 push "route 192.168.220.0 255.255.255.0" push "route 192.168.150.0 255.255.255.0"
Этими параметрами мы передаем клиенту маршруты к обоим сетям офисов. Если нужно подключать клиента только к какой-то одной сети, то оставляйте одну сеть, вторую удаляйте. Обращаю внимание на еще один факт. В конфигурации openvpn сервера у нас уже добавлен маршрут для 192.168.220.0, так что он в любом случае будет добавлен всем клиентам, которые будут подключаться к этому серверу.
Если вы хотите, чтобы весь трафик клиента заворачивался автоматически в vpn туннель, по сути подменяя его внешний ip адрес адресом vpn сервера, то добавьте следующий параметр в конфиг клиента:
push "redirect-gateway def1 bypass-dhcp"
Теперь нужно скачать openvpn client под нашу версию windows. Ссылки для скачивания я давал в самом начале статьи. Дальше выполняем установку клиента. Обращаю внимание, что для полной установки понадобятся права администратора:
Приступаем к настройке клиента openvpn в windows. Для этого нам понадобится файл конфигурации, который мы создали ранее. Заберите его любым подходящим способом. Например, с помощью WinSCP. Файл конфигурации openvpn клиента будет выглядеть примерно так:
dev tun proto udp remote 10.20.1.38 13555 client resolv-retry infinite route 192.168.220.0 255.255.255.0 remote-cert-tls server auth SHA256 cipher AES-256-CBC persist-key persist-tun resolv-retry infinite nobind comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDVDCCAjygAwIBAgIUBPs8jwyy1zXzzPxXwsy8Zym6TRcwDQYJKoZIhvcNAQEL BQAwGTEXMBUGA1UEAwwOc2VydmVyYWRtaW4ucnUwHhcNMjEwMTE1MDQyMjM3WhcN MzEwMTEzMDQyMjM3WjAZMRcwFQYDVQQDDA5zZXJ2ZXJhZG1pbi5ydTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAMzWGWWY1ly8goyiLJrSWm9jwA7L/lL1 ItwOU3IJbA1FUJkZN4o2xnrzzcjYnpAauF/JBoUGXPPn8tbfOxAw0ScrwK2041N5 j3OgjtMJDa64WBfW8JhSu2qMWFkE6MMyl254nzRQWX1xp7W6T+TevvBFqbwlQf6B 34HqNTcsBB0w98L/2+jndYEA73+5/WIUj48GQl3qxlbF7mebPcnJ9uY4R7ypX7Dv EsdJc0N5Ccn7knBdDkPLu+cy6c2W5QBHYVp+ZJSvZyGzpKgv39RaChDqM3+Ak+i2 C0U8DY8XZIrh93hH//6FpzH+cFLspOeu95k2qg+2FKgqTlAfkS82JtsCAwEAAaOB kzCBkDAdBgNVHQ4EFgQUjSVPyvZ1R1/lDApbcielAyjLrFMwVAYDVR0jBE0wS4AU jSVPyvZ1R1/lDApbcielAyjLrFOhHaQbMBkxFzAVBgNVBAMMDnNlcnZlcmFkbWlu LnJ1ghQE+zyPDLLXNfPM/FfCzLxnKbpNFzAMBgNVHRMEBTADAQH/MAsGA1UdDwQE AwIBBjANBgkqhkiG9w0BAQsFAAOCAQEAD9OnpuyAypQ3NXDKp4gCp/vTmfJtYZmf 1fJ4qIAhuxfh5dOzuWEEGH/SOFj1WLimS0DhKPedo4NxwEvl3mfX15BVVg4l+64l eEDrKgYQqCZe+uTM1kjy9910rLBu9k5HlMJN/pdtl9Weg9Xl7HIM2icnnLgaxvid iyywlH0PjCOAB3cYh36yplqxF/etgin2EYBsws+9wuKsp07lxGHr6K8BpNfhb7FJ kHqs6No1N3OvgY0NVICEEjdfSjRZoWenuwbUWQI9upkDJu3fwb2DedR5UbRFiUsA thpky1K16oYpRAIEKSWKjcC16Zf0kE+vOVEXU6VSArpLx2DEE2LHJw== -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIRAM4vdyTPpevleeccthmYizQwDQYJKoZIhvcNAQELBQAw GTEXMBUGA1UEAwwOc2VydmVyYWRtaW4ucnUwHhcNMjEwMTE1MTYwNzA1WhcNMjMw NDIwMTYwNzA1WjARMQ8wDQYDVQQDDAZ1c2VyMDUwggEiMA0GCSqGSIb3DQEBAQUA A4IBDwAwggEKAoIBAQDUW+fSTJZFWoisj3gTHg797lIqhnbebczYY6GIPALqy37Q TBsyzeaCA4pt/1PKe7PMafxrVc9nu+bwEdR1OynN0EJppujb1AkqVWsF197qoCoD wCNfzcKOcuVLOJzfPGbQrUth3yMCJJ+hT39P+Z8ZPwhks2lR29FqwzDJFObBfA7F aLl9JI5wSX+imz0WSYKhkrBA9PUg3UAJ9cDjY3p3Y6m4QI0R49Hh5PJpJ4z0xRXI iCl2rCvLbkxTiUZoDMfsAO9rYKMb0zVvWtnz+YuJVGlck7AGTrPMeBC92u5dNo+h YS1IWbQdu8LgwXCMaWwscEAp50VErVMoTO1h6ut/AgMBAAGjgaUwgaIwCQYDVR0T BAIwADAdBgNVHQ4EFgQUfT6l/W9IvkNnSKrzJYHYtCxoBhowVAYDVR0jBE0wS4AU jSVPyvZ1R1/lDApbcielAyjLrFOhHaQbMBkxFzAVBgNVBAMMDnNlcnZlcmFkbWlu LnJ1ghQE+zyPDLLXNfPM/FfCzLxnKbpNFzATBgNVHSUEDDAKBggrBgEFBQcDAjAL BgNVHQ8EBAMCB4AwDQYJKoZIhvcNAQELBQADggEBAGPjghLJpB55n6ioyT8Jzw5l AiXW/9FyNDMN6zWF3wrkHvZznLZWfOXnTmZdnh8icvzieUngUHoKSgSgAJDJNWp1 KVQ4pgts9g62qerYzsLVS+1HIBSYLul/W336sma2YsstDNBrUpZKhFwwl0J1EeGY 7SvdBSE0ysxia3NxT3LPoziQ0FIr7GLT1KosOTO6JzKRHgDzPkW5njHioaRyKTMN ahKc9ESW3/ShgQndoYldXQTs4LCOYrSkspzf3651I1XnQkwb+jofvC0Sba3YXnXy tROkDsB0lr3p4Wmne+oIj8A4NcNCb3HWimMVfbhzHvqx8rBhnAdmpLhyLjyNgc0= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDUW+fSTJZFWois j3gTHg797lIqhnbebczYY6GIPALqy37QTBsyzeaCA4pt/1PKe7PMafxrVc9nu+bw EdR1OynN0EJppujb1AkqVWsF197qoCoDwCNfzcKOcuVLOJzfPGbQrUth3yMCJJ+h T39P+Z8ZPwhks2lR29FqwzDJFObBfA7FaLl9JI5wSX+imz0WSYKhkrBA9PUg3UAJ 9cDjY3p3Y6m4QI0R49Hh5PJpJ4z0xRXIiCl2rCvLbkxTiUZoDMfsAO9rYKMb0zVv Wtnz+YuJVGlck7AGTrPMeBC92u5dNo+hYS1IWbQdu8LgwXCMaWwscEAp50VErVMo TO1h6ut/AgMBAAECggEANFPVQu/WU46kgQj1SJiujwnru0jY/6RExsl+I0jOWzb7 r64hQZqVA1KGCObSqeFjg6pWJcjGS8R0epGaLaz/dxSrWMdlN83+2CymK5Fu/5ep 4rS0wsW7/Ef5kliH50ZF+4PIQHu0G7IUl7Y0I+vZtWnf0piXCjHFX65rVhFNbz2E iC1XcpbgYV9/YisTniT815hTt2MVGCs64Vf5gt9TEwTD0GTEj9PX1mnafSvnHH9l cs/6/g9Jgx4c+G3JTlks7kZB+AaHiQG46eR42lyo2kHRwYeO44LYvJYmG+wL1S+2 q9Kwy+7x4a2uqPmdQ/ggN4m+TGJBwJExBQA+KJHNoQKBgQD0kvQhIAetQNQEXSJr HvZ+VKuA85vl3ODhIYSJse+wHGpOusvzsQFYb5fdJlEHTxrScDjfLRJn7cnyYzGt pAHXY8D4E/hCZ53CgSs8S3F0FgVSITT5P8MftIu+ydbM+365n9qkIb7kmh8qEOaa C/2NCWTWHwHDmPZ52kVME4CPbwKBgQDeR6r9mRvhpCJjIi1h0qn7ru50wYRskZP7 aM0dNqubhaKlRZMVfjyh2ZLVxZ0l2EoeiE3Nm6HbSgfW5P7oKw9HWTqOgVRQy6Z+ VZnMkXFCwqvPoxZLLzTw+0OLctk4zs40tyP0swNoUjTu0QYIJFxFGs1OpcwPsenW Lcgrpyhc8QKBgQD0TTZ/QDdq4K7oDQAscKlYV8tY6/52BcS8HXb+9DawfDHUotLH gbAOXqobxgJ6gpIQUvj8NVGFbwmijWM6R/Fu7b38EDaUXlw/xjch61pQ0w5Nk84O i5qlOPu+gG+IIk/bq8oC2ZKNV0Z6BpfSmNeU4iVPnXltoIXUAivmajSpEQKBgF8k phgutTR8IQv10R8SIRhN5FutiZU/KuxuC335rLLBHMFJao/EnQdYd6VxFLbiQbeX +FWNzFYk9f4Rvtp5s+yCUQI2cXSz9uwUj+R0TNqaoRgbYquD5VFQ+7Rw0HH0c2c1 DPrstQSuS2H9rmtFxQj/U+naJeKB8OlwZ0HoJurBAoGBAPGBekQHqVToFXylxOst ufyj0bAUWyoFKUHc7jiTOYUTlxsDcQho8aeveRD5GkE0ZTiKLFv9/QouCUjLKj2u tD/IyAjj5X59FhIJ4pu+xiJhaie7LvoojiCQMtP5lrt+y6IH+pzd0L3P1S/e5ttd UJ2bVZguV0qBXoJiKbuDmJl+ -----END PRIVATE KEY----- </key> <tls-crypt> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 73a440594e622482311817c96808bbe6 ef2cf42445013ab49ac7e2e64bc15b84 fd11ce32252690989a1bc56ae24318a5 3097e194f17578b819febcef7dfb9651 125bd310a67ddd40bcf388af777cc2b2 14505ed2dd827a5346a1ac2d0f2b8c5a 472680165136adabdeead231a73530db 9aaa30d0e1309d415db00a803b7893d7 36dd9b376d9083e9773c2365f61839b6 0740ee6943b8f3c39b8f7e36e7fe485a c4c07f0dc1827b2aecc809775b86a078 ffc9976dcab6a1221890d0d73096697c 9cf1f9958f2cd6a2a474a8357249606d ba688aa0cac64d44614b0e7683e6e894 dafeffc9da5ded05b06c88986eb4fac6 960398bb8b70fe01c8c06c1abd7db8bd -----END OpenVPN Static key V1----- </tls-crypt>
У нас нет задачи видеть сеть за клиентом, да и он скорее всего не будет являться шлюзом, поэтому параметра iroute для этого клиента нет. Плюс убраны пути для логов — openvpn будет создавать их в папке по умолчанию — C:\users\username\OpenVPN\log. Туда же, рядом, кладем конфиг в папку C:\users\username\OpenVPN\config.
Для подключения openvpn клиента в windows запускаем OpenVPN GUI от имени администратора!
Это важно, без прав администратора openvpn client для правильной маршрутизации не сможет прописать необходимые маршруты автоматически.
Ищем мониторчик в трее, нажимаем правой кнопкой мыши на него и выбираем «Подключиться».
Если в директории с конфигами несколько файлов конфигураций, то будет выбор, к какому серверу подключиться. Чтобы одновременно подключаться к разным серверам, необходимо добавить несколько TAP-Windows Adapter для openvpn.
Во время подключения мониторчик будут гореть желтым цветом. Как только подключение будет установлено, цвет сменится на зеленый. Это означает, что openvpn клиент успешно создал туннель и можно начинать работать по vpn.
Для того, чтобы openvpn client автоматически подключался при запуске, нужно создать для него ярлык с параметрами:
--connect "user05.ovpn"
Для этого выбираем ярлык на рабочем столе OpenVPN GUI и нажимаем правой кнопкой мыши, открываем «Свойства». На вкладке «Ярлык» в поле «Объект» в самом конце дописываем указанные параметры. Вся строка должна выглядеть следующим образом:
"C:\Program Files\OpenVPN\bin\openvpn-gui.exe" --connect "user05.ovpn"
Теперь при запуске ярлыка, openvpn будет автоматически подключаться к серверу и устанавливать vpn соединение.
Мы подключились к корпоративной vpn сети, объединяющей 2 офиса. Давайте попробуем получить доступ к компьютерам внутри этой сети. Пингуем все машины из нашей схемы:
192.168.220.1 | 192.168.220.10 | 192.168.150.1 | 192.168.150.10 |
Отлично, связь есть. Теперь попробуем зайти на сетевой ресурс, который мы создали ранее на компьютере сети филиала PC2:
Доступ есть, все в порядке. Если у вас какие-то проблемы с доступом к ресурсам по vpn, в первую очередь смотрите маршруты на клиенте. Они должны быть прописаны до всех необходимых подсетей филиалов.
Если запустить openvpn gui без прав администратора, то он не сможет добавить маршруты в систему. Соответственно и доступа никуда не будет.
Автоматическое подключение Openvpn при загрузке системы
Если вы хотите, чтобы ваш openvpn клиент в Windows автоматически подключался к серверу при старте системы, необходимо во время установки клиента добавить установку OpenVPN Service. По умолчанию она отключена.
Когда клиент будет установлен, убедитесь, что указанная служба имеет автоматический запуск.
Выше вы можете наблюдать еще одну службу, которая добавляется автоматически во время установки openvpn client в windows. Она отвечает за возможность запускать с правами администратора openvpn-gui у пользователя, который администратором не является.
Для того, чтобы после загрузки Winows OpenVPN подключилась автоматически к серверу, необходимо добавить конфигурационный файл в директорию C:\Program Files\OpenVPN\config-auto.
Теперь проверяйте. Перезагрузите компьютер и смотрите настройки сетевых интерфейсов Openvpn TAP-Windows.
Подключение к openvpn серверу выполнено автоматически после загрузки операционной системы. Через GUI информации об этом подключении вы не увидите. Если что-то пойдет не так, то лог автоматического подключения будет в директории C:\Program Files\OpenVPN\log. Если вам нужно будет подключиться к еще одному vpn серверу, то вы можете сделать это через openvpn-gui, если в системе есть еще сетевые интерфейсы openvpn.
Подключение по Openvpn в Android
Для того, чтобы настроить openvpn подключение в Android, я обычно использую приложение OpenVPN Connect. Каких-то проблем с ним я не испытывал. К тому же настраивается очень просто. В приложение достаточно импортировать конфигурационный файл с интегрированными сертификатами, типа того, что мы использовали ранее. Его можно передать через любой мессенджер со сквозным шифрованием, если переживаете за безопасность. Или просто отправить по почте вложением или зашифрованным архивом. Я передал через чат VK 🙂
При этом приложение нормально поддерживает и tls-crypt, и сжатие. Если у вас будут какие-то проблемы с этой программой на android, попробуйте еще OpenVPN for Android. Оно тоже нормально работает, но настройки более замороченные.
Подключившись к локальной сети в Android с помощью openvpn, можно пользоваться локальными ресурсами. Например, я иногда подключаюсь по RDP с помощью Microsoft Remote Desktop.
Отзыв сертификата клиента
В завершении расскажу об еще одной важной функциональности openvpn сервера — отзыв сертификатов пользователей. Делается это для того, чтобы запретить подключение конкретного пользователя к вашей vpn сети. Выполнить отзыв сертификата можно с помощью easyrsa следующим образом:
# ./easyrsa --batch revoke user01 Using SSL: openssl OpenSSL 1.1.1g FIPS 21 Apr 2020 Using configuration from /etc/openvpn/keys/easyrsa/pki/easy-rsa-1505. XnOgIX/tmp.3v8Hny Enter pass phrase for /etc/openvpn/keys/easyrsa/pki/private/ca.key: Revoking Certificate 2A4F516FA120BE4284FE9D0C46119BB0. Data Base Updated
После отзыва необходимо сформировать файл со списком отозванных сертификатов. Это нужно будет делать каждый раз после отзыва.
# ./easyrsa gen-crl
Скопируем теперь этот файл в директорию с конфигом openvpn server.
# cp /etc/openvpn/keys/easyrsa/pki/crl.pem /etc/openvpn/server/
Если ранее у вас там уже был файл отозванных сертификатов, его надо будет либо удалить, либо перезаписать. Для того, чтобы сервер проверял отозванные сертификаты, в файл настроек server.conf нужно добавить соответствующий параметр.
crl-verify /etc/openvpn/server/crl.pem
Для применения настроек openvpn, сервер надо перезапустить. Если же у вас там уже был этот параметр и вы только обновили файл отозванных сертификатов, перезапускать сам сервер не обязательно. Но имейте ввиду, что проверка сертификата происходит при подключении клиента. Таким образом, если клиент уже подключен, а вы отозвали сертификат, подключение не будет сброшено и клиент не будет отключен до тех пор, пока он сам не завершит текущее соединение, либо пока сервер openvpn не будет перезапущен.
Так же после отзыва не лишним будет удалить файл настроек и конфигурации клиента, а так же сохраненный ip адрес. Чтобы все это не делать вручную, я написал простенький скрипт revoke-user.sh, который включает все необходимые действия.
#!/bin/bash echo -n "Enter user name for revoke: " read user clientexist=$(tail -n +2 /etc/openvpn/keys/easyrsa/pki/index.txt | grep -c -E "/CN=$user\$") if [[ $clientexist == '0' ]]; then echo "" echo "The specified client name was not found in easy-rsa" exit else cd /etc/openvpn/keys/easyrsa/ ./easyrsa revoke "$user" ./easyrsa gen-crl rm -f /etc/openvpn/server/crl.pem cp /etc/openvpn/keys/easyrsa/pki/crl. $user,.*/d" /etc/openvpn/server/ipp.txt echo "" echo "Certificate $user revoked." fi
Отозванные сертификаты в списке index.txt помечаются буквой R.
На этом все основное по настройке openvpn сервера.
Заключение
Теперь подведем итоги того, что мы сделали:
- В первую очередь настроили сервер openvpn на CentOS. Для этого создали инфраструктуру для удостоверяющего центра СА, с помощью которого мы создаем сертификаты.
- Затем с помощью этого центра сформировали сертификаты для сервера и клиента, в роли которых выступает головной офис компании и его филиал.
- Потом мы настроили openvpn сервер в офисе компании и подключили к нему в качестве клиента сервер филиала. Проверили это соединение, взаимную доступность узлов обоих сетей.
- В завершении сформировали сертификат для удаленного сотрудника и настроили ему подключение openvpn клиента в windows. Проверили доступность всех узлов обоих сетей.
По этой схеме можно добавить любое количество филиалов или удаленных сотрудников к общей сети. Я с крупными сетями не работал, но лично подключал до 5-ти удаленных филиалов к головной сети офисов, плюс удаленных пользователей к ним. У пользователей маршрутами настраивал доступ к той или иной сети. Единственная проблема, которая тут может возникнуть, это если нумерация подключаемых сетей будет совпадать. Но тут уже ничего не поделаешь, придется ее где-то менять, либо выкручиваться с помощью netmap или как-то еще.
В эту же статью изначально планировал добавить сравнение производительности и пропускной способности туннеля в зависимости от разного шифрования. Но в итоге статья и так получилась очень большая, так что сделаю это позже и оформлю отдельной статьей. Если вам кажется, что скорость тоннеля недостаточная и при этом нет жестких требований по безопасности, можете сменить шифр на BF-CBC. С ним, навскидку, раза в 2-3 производительность должна вырасти. Но это не точно, мое предположение.
Если вам нужен мониторинг пользователей, подключенных по openvpn, то читайте мою статью по мониторингу OpenVPN в Zabbix. Она достаточно старая и мониторинг там сделан не оптимально, но лучше у меня ничего нет. Как основа для вашего мониторинга сойдет, а дальше сможете сами модернизировать как вам будет нужно.
Напоминаю, что данная статья является частью единого цикла статьей про сервер Centos.
Онлайн курсы по Mikrotik
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .
Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
- Знания, ориентированные на практику;
- Реальные ситуации и задачи;
- Лучшее из международных программ.
Видео
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.
Установка и настройка VPN-сервера в Windows Server 2003 — Windows Server
-
- Чтение занимает 20 мин
В этой статье
В этой пошаговой статье описывается установка виртуальной частной сети (VPN) и создание нового VPN-подключения на серверах под управлением Windows Server 2003.
Версию этой статьи для Microsoft Windows XP см. в статье 314076.
Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 323441
Аннотация
С помощью виртуальной частной сети можно подключать компоненты сети через другую сеть, например Интернет. Компьютер с Windows Server 2003 можно сделать сервером удаленного доступа, чтобы другие пользователи могли подключаться к нему с помощью VPN, а затем войти в сеть и получить доступ к общим ресурсам. Vpn делают это путем «туннелинга» через Интернет или через другую сетевую сеть, что обеспечивает те же функции безопасности и функции, что и частная сеть. Данные отправляются через обную сеть с помощью инфраструктуры маршрутов, но для пользователя они появляются, как если бы данные отправлялись по выделенной частной ссылке.
Обзор VPN
Виртуальная частная сеть — это средство подключения к частной сети (например, к сети office) через обную сеть (например, Интернет). VPN объединяет преимущества телефонного подключения к серверу телефонного подключения с удобством и гибкостью подключения к Интернету. Используя подключение к Интернету, вы можете по всему миру и, в большинстве случаев, подключаться к офису с помощью локального вызова на ближайший номер телефона для доступа к Интернету. Если у вас есть высокоскоростное подключение к Интернету (например, кабель или DSL) на компьютере и в офисе, вы можете взаимодействовать со своим офисом с полной скоростью Подключения к Интернету, что намного быстрее, чем любое коммюник, использующее аналоговый модем. Эта технология позволяет предприятию подключаться к филиалам или другим компаниям по общению, сохраняя безопасные коммуникации. VPN-подключение через Интернет логически работает как выделенное подключение к сети WAN.
Виртуальные частные сети используют ссылки с проверкой подлинности, чтобы убедиться, что только авторизованные пользователи могут подключаться к вашей сети. Чтобы обеспечить безопасность данных при их проходе по общедоступным сетям, VPN-подключение использует протокол PPTP или протокол L2TP для шифрования данных.
Компоненты VPN
VPN на серверах под управлением Windows Server 2003 состоит из VPN-сервера, VPN-клиента, VPN-подключения (этой части подключения, в котором шифруются данные) и туннеля (этой части подключения, в котором инкапсулированы данные). Туннеляние проходит через один из протоколов туннелинга, включенных в серверы под управлением Windows Server 2003, оба из которых установлены с маршрутией и удаленным доступом. Служба маршрутов и удаленного доступа устанавливается автоматически во время установки Windows Server 2003. Однако по умолчанию служба маршрутов и удаленного доступа отключена.
В Состав Windows входят два протокола туннелинга:
- Протокол PPTP : обеспечивает шифрование данных с помощью шифрования «точка-точка» (Майкрософт).
- Протокол туннелирования уровня 2 (L2TP): обеспечивает шифрование, проверку подлинности и целостность данных с помощью IPSec.
Подключение к Интернету должно использовать выделенную строку, например T1, Fractional T1 или Frame Relay. Адаптер WAN должен быть настроен с ИСПОЛЬЗОВАНИЕм IP-адреса и маски подсети, назначенной для вашего домена или предоставленной поставщиком услуг Интернета (ISP). Адаптер WAN также должен быть настроен в качестве шлюза по умолчанию маршрутизатора isP.
Примечание
Чтобы включить VPN, необходимо войти в систему с помощью учетной записи с правами администратора.
Установка и включит VPN-сервер
Чтобы установить и включить VPN-сервер, выполните следующие действия.
Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
Щелкните значок сервера, который соответствует имени локального сервера в левой области консоли. Если значок имеет красный круг в левом нижнем углу, служба маршрутов и удаленного доступа не включена. Если значок имеет зеленую стрелку, указываваю вверх в левом нижнем углу, служба маршрутов и удаленного доступа включена. Если служба маршрутов и удаленного доступа была ранее включаема, может потребоваться перенастроить сервер. Чтобы перенастроить сервер:
- Щелкните правой кнопкой мыши объект сервера и выберите «Отключить маршрутику и удаленный доступ». Нажмите кнопку «Да», чтобы продолжить, когда вам будет предложено отправить информационное сообщение.
- Щелкните правой кнопкой мыши значок сервера и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Для продолжения нажмите кнопку Далее.
- Щелкните «Удаленный доступ » (подключение по телефонной связи или VPN),чтобы включить удаленные компьютеры для набора номера или подключения к этой сети через Интернет. Для продолжения нажмите кнопку Далее.
Щелкните, чтобы выбрать VPN или dial-up в зависимости от роли, которую вы собираетесь назначить этому серверу.
В окне VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, а затем нажмите кнопку «Далее».
В окне «Назначение IP-адресов» нажмите кнопку «Автоматически», если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, или щелкните «Из указанного диапазона адресов», если удаленным клиентам необходимо назначить только адрес из предварительно определенного пула. В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP не доступен, необходимо указать диапазон статических адресов. Для продолжения нажмите кнопку Далее.
Если щелкнуть «Из указанного диапазона адресов», откроется диалоговое окно «Назначение диапазона адресов». Нажмите кнопку Создать. Введите первый IP-адрес в диапазоне адресов, который необходимо использовать, в поле «Начните использовать IP-адрес». Введите последний IP-адрес в диапазоне в поле «Конечный IP-адрес». Windows вычисляет количество адресов автоматически. Нажмите кнопку «ОК», чтобы вернуться в окно назначения диапазона адресов. Для продолжения нажмите кнопку Далее.
Примите значение по умолчанию «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее», чтобы продолжить. Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.
Настройка VPN-сервера
Чтобы продолжить настройку VPN-сервера по мере необходимости, выполните следующие действия.
Настройка сервера удаленного доступа в качестве маршрутизатора
Чтобы сервер удаленного доступа правильно перенашел трафик внутри сети, необходимо настроить его в качестве маршрутизатора с помощью статических маршрутов или протоколов маршрутизации, чтобы все расположения в интрасети были доступны с сервера удаленного доступа.
Чтобы настроить сервер в качестве маршрутизатора:
- Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
- Щелкните правой кнопкой мыши имя сервера и выберите «Свойства».
- Щелкните вкладку «Общие», а затем выберите маршрутизатор в области «Включить этот компьютер в качестве.
- Щелкните маршрутку по локальной сети и по запросу, а затем нажмите кнопку «ОК», чтобы закрыть диалоговое окно «Свойства».
Изменение числа одновременных подключений
Количество подключений модема с подключением к коммюнингу зависит от количества модемов, установленных на сервере. Например, если на сервере установлен только один модем, можно одновременно установить только одно подключение модема.
Количество vpn-подключений с подключением к телефонной сети зависит от количества одновременных пользователей, которых вы хотите разрешить. По умолчанию при запуске процедуры, описанной в этой статье, разрешается 128 подключений. Чтобы изменить число одновременных подключений, выполните следующие действия.
- Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
- Дважды щелкните объект сервера, щелкните правой кнопкой мыши «Порты» и выберите пункт «Свойства».
- В диалоговом окне «Свойства портов» выберите «Настройка мини-порта WAN (PPTP)». >
- В поле «Максимальное количество портов» введите количество VPN-подключений, которые необходимо разрешить.
- Нажмите > кнопку «ОК», а затем закроем маршрутику и удаленные акселеры.
Управление адресами и серверами имен
VPN-сервер должен иметь IP-адреса, доступные для назначения их виртуальному интерфейсу VPN-сервера и VPN-клиентам на этапе согласования ПРОТОКОЛА IPCP в процессе подключения. IP-адрес, присвоенный VPN-клиенту, назначен виртуальному интерфейсу VPN-клиента.
Для VPN-серверов на основе Windows Server 2003 IP-адреса, присвоенные VPN-клиентам, по умолчанию получаются через DHCP. Можно также настроить статический пул IP-адресов. VPN-сервер также должен быть настроен с серверами разрешения имен (обычно DNS- и WINS-адресами), чтобы назначить их vpn-клиенту во время согласования IPCP.
Управление доступом
Настройте свойства телефонного подключения в учетных записях пользователей и политиках удаленного доступа для управления доступом для подключения к сети с подключением с подключением к телефонной сети и VPN.
Примечание
По умолчанию пользователям отказано в доступе к сети набора номера.
Доступ по учетной записи пользователя
Чтобы предоставить учетной записи пользователя доступ по телефонной сети, если вы управляете удаленным доступом для пользователя, выполните следующие действия.
- В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры.
- Щелкните правой кнопкой мыши учетную запись пользователя и выберите «Свойства».
- Перейдите на вкладку «Dial-in».
- Нажмите кнопку «Разрешить доступ», чтобы предоставить пользователю разрешение на набор номера. Нажмите кнопку ОК.
Доступ по членству в группах
При управлении удаленным доступом на уровне группы выполните следующие действия.
- Создайте группу с участниками, которым разрешено создавать VPN-подключения.
- Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
- В дереве консоли разойдите окни «Маршруты» и «Удаленный доступ», разойдите имя сервера и щелкните «Политики удаленного доступа».
- Щелкните правой кнопкой мыши в правой области, найдите пункт «Новый» и выберите пункт «Политика удаленного доступа».
- Нажмите кнопку «Далее», введите имя политики и нажмите кнопку «Далее».
- Щелкните VPN для метода доступа к виртуальному частному доступу или выберите dial-up для телефонного доступа и нажмите кнопку «Далее».
- Нажмите кнопку«Добавить», введите имя группы, созданной на шаге 1, а затем нажмите кнопку «Далее».
- Следуйте инструкциям на экране, чтобы завершить мастер.
Если VPN-сервер уже разрешает службы удаленного доступа к сети телефонного доступа, не удаляйте политику по умолчанию. Вместо этого переместим его так, чтобы она была последней оцениваемой политикой.
Настройка VPN-подключения с клиентского компьютера
Чтобы настроить подключение к VPN, выполните следующие действия. Чтобы настроить клиент для доступа к виртуальной частной сети, выполните следующие действия на клиентской рабочей станции:
Примечание
Для этого необходимо войти в систему в качестве члена группы администраторов.
Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.
На клиентский компьютер подтвердим, что подключение к Интернету настроено правильно.
Щелкните «Сетевые > подключения» панели > управления «Начните». Щелкните «Создать новое подключение» в области «Сетевые задачи», а затем нажмите кнопку «Далее».
Нажмите кнопку «Подключиться к сети на рабочем месте», чтобы создать подключение с подключением для телефонного подключения. Для продолжения нажмите кнопку Далее.
Щелкните подключение к виртуальной частной сети и нажмите кнопку «Далее».
Введите описательное имя для этого подключения в диалоговом окне «Название компании» и нажмите кнопку «Далее».
Click Do not dial the initial connection if the computer is permanently connected to the Internet. Если компьютер подключается к Интернету через поставщика услуг Интернета, нажмите кнопку «Автоматически набрать» это начальное подключение, а затем щелкните имя подключения к поставщику услуг Интернета. Нажмите кнопку Далее.
Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).
Щелкните «Любой пользователь», если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, иметь доступ к этому подключению с подключением с подключением. Щелкните «Мое использование», только если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему. Нажмите кнопку Далее.
Нажмите кнопку «Готово», чтобы сохранить подключение.
Щелкните «Сетевые > подключения» панели > управления «Начните».
Дважды щелкните новое подключение.
Щелкните «Свойства», чтобы продолжить настройку параметров подключения. Чтобы продолжить настройку параметров подключения, выполните следующие действия.
- При подключении к домену перейдите на вкладку «Параметры» и выберите параметр «Включить домен для регистрации Windows», чтобы указать, следует ли запрашивать сведения о домене для регистрации в Windows Server 2003 перед попыткой подключения.
- Если вы хотите, чтобы подключение было перенаправлено, если строка отброшена, щелкните вкладку «Параметры», а затем щелкните, чтобы выбрать redial, если строка будет отброшена.
Чтобы использовать подключение, выполните следующие действия:
Нажмите кнопку«Начните», выберите пункт «Подключиться», а затем щелкните новое подключение.
Если у вас нет подключения к Интернету, Windows предлагает подключиться к Интернету.
После подключения к Интернету VPN-сервер запросит ваше имя пользователя и пароль. Введите имя пользователя и пароль, а затем нажмите кнопку «Подключиться». Сетевые ресурсы должны быть доступны вам так же, как и при подключении непосредственно к сети.
Примечание
Чтобы отключиться от VPN, щелкните правой кнопкой мыши значок подключения и выберите «Отключить».
Устранение неполадок
Устранение неполадок VPN удаленного доступа
Не удалось установить VPN-подключение для удаленного доступа
Причина: имя клиентского компьютера такое же, как имя другого компьютера в сети.
Решение: убедитесь, что имена всех компьютеров в сети и компьютеров, подключающихся к сети, используют уникальные имена компьютеров.
Причина: служба маршрутов и удаленного доступа не запущена на VPN-сервере.
Решение: проверьте состояние службы маршрутов и удаленного доступа на VPN-сервере.
Дополнительные сведения о мониторинге службы маршрутов и удаленного доступа, а также о запуске и остановке службы маршрутов и удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: удаленный доступ не включен на VPN-сервере.
Решение: включит удаленный доступ на VPN-сервере.
Дополнительные сведения о включаемом сервере удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: порты PPTP или L2TP не включены для входящие запросы на удаленный доступ.
Решение: включите порты PPTP или L2TP для входящие запросы на удаленный доступ.
Дополнительные сведения о настройке портов для удаленного доступа см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: протоколы локальной сети, используемые VPN-клиентами, не будут включены для удаленного доступа на VPN-сервере.
Решение: включите протоколы локальной сети, используемые VPN-клиентами для удаленного доступа на VPN-сервере.
Дополнительные сведения о просмотре свойств сервера удаленного доступа см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: все порты PPTP или L2TP на VPN-сервере уже используются подключенными клиентами удаленного доступа или маршрутизаторами с запросами.
Решение: убедитесь, что все порты PPTP или L2TP на VPN-сервере уже используются. Для этого щелкните «Порты» в области маршрутов и удаленного доступа. Если разрешенное число портов PPTP или L2TP недостаточно высоко, измените число портов PPTP или L2TP, чтобы разрешить большее количество одновременно подключений.
Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-сервер не поддерживает протокол туннелинга VPN-клиента.
По умолчанию VPN-клиенты с удаленным доступом Windows Server 2003 используют параметр «Автоматический тип сервера», то есть сначала пытаются установить VPN-подключение на основе L2TP через IPSec, а затем пытаются установить VPN-подключение на основе PPTP. Если VPN-клиенты используют тип сервера PPTP или L2TP, убедитесь, что выбранный протокол туннелинга поддерживается VPN-сервером.
По умолчанию компьютер под управлением Windows Server 2003 Server со службой маршрутов и удаленного доступа является сервером PPTP и L2TP с пятью L2TP-портами и пятью портами PPTP. Чтобы создать сервер только PPTP, установите нулевое число портов L2TP. Чтобы создать сервер только для L2TP, установите нулевое число портов PPTP.
Решение: убедитесь, что настроено соответствующее количество портов PPTP или L2TP.
Дополнительные сведения о добавлении портов PPTP или L2TP см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода проверки подлинности.
Решение: настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать хотя бы один распространенный метод проверки подлинности.
Дополнительные сведения о настройке проверки подлинности см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа не настроены на использование хотя бы одного общего метода шифрования.
Решение: настройте VPN-клиент и VPN-сервер в сочетании с политикой удаленного доступа, чтобы использовать хотя бы один распространенный метод шифрования.
Дополнительные сведения о настройке шифрования см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-подключение не имеет соответствующих разрешений через свойства телефонного подключения учетной записи пользователя и политики удаленного доступа.
Решение: убедитесь, что VPN-подключение имеет соответствующие разрешения с помощью свойств телефонного подключения учетной записи пользователя и политик удаленного доступа. Чтобы установить подключение, параметры попытки подключения должны:
- Соответствует всем условиям по крайней мере одной политики удаленного доступа.
- Получить разрешение на удаленный доступ через учетную запись пользователя (задайте разрешение «Разрешить доступ») или через учетную запись пользователя (задайте для управления доступом с помощью политики удаленного доступа) и разрешение на удаленный доступ для политики удаленного доступа , которая соответствует политике удаленного доступа (задана для предоставления разрешения на удаленный доступ).
- Соответствует всем настройкам профиля.
- Соотнося все параметры свойств телефонного номера учетной записи пользователя.
Дополнительные сведения о политиках удаленного доступа и о том, как принять попытку подключения, см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: параметры профиля политики удаленного доступа конфликтуют со свойствами VPN-сервера.
Свойства профиля политики удаленного доступа и свойства VPN-сервера содержат параметры для:
- Многоссылка.
- Протокол распределения пропускной способности (BAP).
- Протоколы проверки подлинности.
Если параметры профиля политики удаленного доступа конфликтют с настройками VPN-сервера, попытка подключения отклоняется. Например, если в профиле совпадающих политик удаленного доступа указывается, что необходимо использовать протокол проверки подлинности «Протокол extensible Authentication Protocol — Transport Level Security (EAP-TLS)», а EAP не включен на VPN-сервере, попытка подключения будет отклонена.
Решение. Убедитесь, что параметры профиля политики удаленного доступа не конфликтуют со свойствами VPN-сервера.
Дополнительные сведения о протоколах многоссылки, BAP и проверки подлинности см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: маршрутизатор ответа не может проверить учетные данные вызываемого маршрутизатора (имя пользователя, пароль и доменное имя).
Решение: убедитесь, что учетные данные VPN-клиента (имя пользователя, пароль и доменное имя) верны и могут быть проверены VPN-сервером.
Причина: в пуле статических IP-адресов недостаточно адресов.
Решение: если VPN-сервер настроен с пулом статических IP-адресов, убедитесь, что в пуле достаточно адресов. Если все адреса в статическом пуле были выделены для подключенных VPN-клиентов, VPN-сервер не может выделить IP-адрес, а попытка подключения будет отклонена. Если все адреса в статическом пуле выделены, измените пул.
Дополнительные сведения о TCP/IP и удаленном доступе, а также о создании статического пула IP-адресов см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-клиент настроен на запрос собственного номера узла IPX, а VPN-сервер не настроен так, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.
Решение: настройте VPN-сервер, чтобы разрешить клиентам IPX запрашивать собственный номер узла IPX.
Дополнительные сведения об IPX и удаленном доступе см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: ДЛЯ VPN-сервера настроен диапазон сетевых номеров IPX, которые используются в других местах сети IPX.
Решение: настройте VPN-сервер с помощью диапазона номеров IPX-сетей, уникальных для вашей сети IPX.
Дополнительные сведения об IPX и удаленном доступе см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: поставщик проверки подлинности VPN-сервера настроен неправильно.
Решение: проверьте конфигурацию поставщика проверки подлинности. Для проверки подлинности учетных данных VPN-клиента можно настроить VPN-сервер на использование Windows Server 2003 или службы удаленной проверки подлинности для телефонного доступа (RADIUS).
Дополнительные сведения о поставщиках проверки подлинности и учета см. в центре справки и поддержки Windows Server 2003, а также о том, как использовать проверку подлинности RADIUS. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-сервер не может получить доступ к Active Directory.
Решение: для VPN-сервера, который является рядным сервером в смешанном режиме или домене Windows Server 2003, настроенном для проверки подлинности Windows Server 2003, убедитесь, что:
Существует группа безопасности серверов RAS и IAS. Если нет, создайте группу и установите для типа группы «Безопасность», а для области группы — «Локальный домен».
Группа безопасности серверов RAS и IAS имеет разрешение на чтение объекта проверки доступа серверов RAS и IAS.
Учетная запись компьютера VPN-сервера входит в группу безопасности серверов RAS и IAS. Эту команду можно
netsh ras show registeredserver
использовать для просмотра текущей регистрации. Эту команду можноnetsh ras add registeredserver
использовать для регистрации сервера в указанном домене.Если вы добавите (или удалите) компьютер VPN-сервера в группу безопасности RAS и IAS Servers, это изменение вступает в силу не сразу (из-за того, что Windows Server 2003 кэшетает сведения Active Directory). Чтобы немедленно вменить это изменение, перезапустите компьютер VPN-сервера.
VPN-сервер является членом домена.
Дополнительные сведения о добавлении группы, проверке разрешений для группы безопасности RAS и IAS, а также о командах удаленного доступа см. в Центре справки и поддержки
netsh
Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.Причина: Windows NT VPN-сервер на основе 4.0 не может проверить запросы на подключение.
Решение: если VPN-клиенты набирают номер на VPN-сервере с Windows NT 4.0, который является членом домена смешанного режима Windows Server 2003, убедитесь, что группа «Все» добавлена в группу доступа, совместимую с Windows 2000, с помощью следующей команды:
"net localgroup "Pre-Windows 2000 Compatible Access""
В этом случае введите следующую команду в командной подсказке на компьютере контроллера домена, а затем перезапустите компьютер контроллера домена:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
Дополнительные сведения о сервере Windows NT 4. 0 в домене Windows Server 2003 см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: VPN-сервер не может взаимодействовать с настроенным RADIUS-сервером.
Решение: если вы можете связаться с RADIUS-сервером только через интернет-интерфейс, сделайте одно из следующих:
- Добавьте фильтр ввода и выходной фильтр в интерфейс Интернета для UDP-порта 1812 (на основе RFC 2138, «Служба удаленной проверки подлинности с удаленным подключением (RADIUS)»). -или-
- Добавьте фильтр ввода и выходной фильтр в интерфейс Интернета для порта UDP 1645 (для старых RADIUS-серверов) для проверки подлинности RADIUS и порта UDP 1813 (на основе RFC 2139, «RADIUS Accounting»). -или-
- -or- Add an input filter and an output filter to the Internet interface for UDP port 1646 (for older RADIUS servers) for RADIUS accounting.
Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: не может подключиться к VPN-серверу через Интернет с помощью Ping.exe службы.
Решение: из-за фильтрации пакетов PPTP и L2TP через IPSec, настроенной в интерфейсе Интернета VPN-сервера, пакеты ICMP, используемые командой ping, отфильтровыются. Чтобы включить VPN-сервер для ответа на пакеты ICMP (ping), добавьте фильтр ввода и фильтр вывода, разрешающий трафик для трафика IP-протокола 1 (ICMP).
Дополнительные сведения о добавлении фильтра пакетов см. в центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Не может отправлять и получать данные
Причина: соответствующий интерфейс набора номера запроса не был добавлен в маршрутный протокол.
Решение: добавьте соответствующий интерфейс набора требований в маршрутный протокол.
Дополнительные сведения о добавлении интерфейса маршрутки см. в Центре справки и поддержки Windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: с обеих сторон VPN-подключения маршрутизатора к маршрутизатору нет маршрутов, которые поддерживают двунамерный обмен трафиком.
Решение: в отличие от VPN-подключения удаленного доступа VPN-подключение между маршрутизатором не создает автоматически маршрут по умолчанию. Создайте маршруты на обеих сторонах VPN-подключения между маршрутизатором и маршрутизатором, чтобы трафик можно было маршрутить с другой стороны VPN-подключения между маршрутизатором и маршрутизатором.
Вы можете вручную добавить статические маршруты в таблицу маршрутов или добавить статические маршруты по протоколам маршрутов. Для постоянных VPN-подключений можно включить open shortest Path First (OSPF) или Routing Information Protocol (PERSISTENT) через VPN-подключение. Для VPN-подключений по требованию вы можете автоматически обновлять маршруты с помощью автоматического статического обновления СЕТ. Дополнительные сведения о добавлении протокола IP-маршрутов, добавлении статического маршрута и выполнении автостатических обновлений см. в справке Windows Server 2003 в Интернете. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: инициируется двунамерно, маршрутизатор ответа в качестве подключения удаленного доступа интерпретирует VPN-подключение маршрутизатора к маршрутизатору.
Решение: если имя пользователя в учетных данных вызываемого маршрутизатора отображается в клиенте dial-in в маршруте и удаленном доступе, маршрутизатор ответа может интерпретировать вызывающий маршрутизатор как клиент удаленного доступа. Убедитесь, что имя пользователя в учетных данных вызываемого маршрутизатора совпадает с именем интерфейса набора требований в маршрутизаторе ответа. Если входящий звонящая является маршрутизатором, порт, на который был получен вызов, показывает состояние «Активный», а соответствующий интерфейс набора номера запроса находится в подключенного состоянии.
Дополнительные сведения о том, как проверить состояние порта в маршрутизаторе ответа и как проверить состояние интерфейса набора номера запроса, см. в интерактивной справке windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: фильтры пакетов в интерфейсах набора номера запроса вызываемого маршрутизатора и маршрутизатора ответа препятствуют потоку трафика.
Решение: убедитесь, что в интерфейсах набора требований вызываемого маршрутизатора и маршрутизатора ответа нет фильтров пакетов, которые препятствуют отправке или приему трафика. Вы можете настроить каждый интерфейс набора требований с фильтрами ввода и вывода IPX, чтобы точно управлять характером трафика TCP/IP и IPX, разрешенного для интерфейса набора и вывода запроса.
Дополнительные сведения об управлении фильтрами пакетов см. в справке Windows Server 2003 в Интернете. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Причина: фильтры пакетов в профиле политики удаленного доступа препятствуют потоку IP-трафика.
Решение: убедитесь, что в свойствах профилей политик удаленного доступа на VPN-сервере (или RADIUS-сервере, если используется служба проверки подлинности Интернета) нет настроенных фильтров пакетов TCP/IP, которые препятствуют отправке или получении трафика TCP/IP. Политики удаленного доступа можно использовать для настройки фильтров входных и выходных пакетов TCP/IP, которые контролируют точный характер трафика TCP/IP, разрешенного для VPN-подключения. Убедитесь, что фильтры пакетов TCP/IP профиля не препятствуют потоку трафика.
Дополнительные сведения о настройке параметров IP-адресов см. в интерактивной справке windows Server 2003. Нажмите кнопку «Пуск», чтобы получить доступ к Центру справки и поддержки Windows Server 2003.
Настройка VPN-сервера PPTP в Keenetic (для версий NDMS 2.11 и более ранних) – Keenetic
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «VPN-сервер PPTP».
Ваша домашняя сеть может быть подключена к сети офиса или другого интернет-центра Keenetic по VPN при любом способе выхода в Интернет. Встроенный сервер PPTP обеспечивает возможность защищенного доступа к домашней сети через Интернет со смартфона, планшета или компьютера откуда угодно, как если бы вы находились у себя дома.
Важно! Начиная с микропрограммы NDMS V2. 05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье: «Особенности подключения к PPTP-серверу интернет-центра из Windows»
Данная возможность доступна в новой линейке устройств Keenetic Ultra (KN-1810), Giga (KN-1010), Extra (KN-1710), Air (KN-1610), City (KN-1510), Omni (KN-1410), Lite (KN-1310), 4G (KN-1210), Start (KN-1110), а также для интернет-центров Keenetic Ultra II, Giga III, Extra II, Air, Viva, Extra, LTE, VOX, DSL, Start II, Lite III, Keenetic III (компонент микропрограммы VPN-cервер доступен для установки начиная с версии NDMS V2. 04.B2).
К встроенному серверу VPN PPTP можно подключить до 10 клиентов одновременно.
1. Перед началом настройки необходимо зайти в веб-интерфейс в меню Система > Компоненты и установить компонент микропрограммы VPN-cервер.
2. После установки нужного компонента в разделе Приложения появится вкладка Сервер VPN.
При настройке Сервера VPN нужно указать интерфейс интернет-центра Keenetic, к которому будет организован доступ, и пул IP-адресов, которые будут выдаваться PPTP-клиентам.
Например, разрешим удаленным PPTP-клиентам доступ к основной локальной сети:
Внимание! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами интерфейсов Keenetic, статическими IP-адресами подключенных устройств и используемыми на интерфейсах DHCP-пулами. При пересечении пулов адресов PPTP-сервера и, например, подсети Home клиент локальной сети может получить адрес, уже занятый в сети PPTP. Это приведет к ситуации, когда локальный хост не будет иметь доступа ни к Интернету (включая ping), ни к управлению интернет-центром Keenetic. При этом использовать одну и ту же подсеть IP-адресов не запрещено, если диапазоны IP-адресов PPTP-клиентов и клиентов локальной сети не будут пересекаться (например, указание диапазона 192.168.1.10-192.168.1.20 для PPTP-сервера и 192.168.1.33-192.168.1.52 для Home при использовании маски 24 бита вполне допустимо).
3. Для подключения к PPTP-серверу используются учетныe записи Keenetic. При настройке пользователя нужно разрешить ему доступ к VPN. Таким образом, учетная запись получает возможность подключаться к встроенному PPTP-серверу. Щелкните мышкой по учетной записи пользователя.
Откроется окно Настройка пользователя VPN. Установите галочку в поле Разрешить доступ к VPN и нажмите кнопку Применить.
Дополнительные функции PPTP-сервера в устройстве Keenetic:
2. Возможность указать статический IP-адрес для PPTP-клиента.
3. Отключение обязательного шифрования MPPE. Для этого в интерфейсе командной строки нужно выполнить команду vpn-server mppe-optional (обратная команда no vpn-server mppe-optional).
Ниже представлены ссылки на полезные статьи по настройке встроенного VPN-сервера PPTP интернет-центра серии Keenetic:
KB-3984
Как настроить VPN на Windows Server и перестать ходить на работу?
Zip File, мои юные любители сисадминства. Нынче мы затронем такую балдёжную тему, как настройка VPN. Эта аббревиатура означает виртуальную частную сеть. С её помощью можно осуществлять подключение к рабочей сети вашего предприятия через безопасный канал. Такая схема позволяет использовать все внутренние ресурсы ЛВС, такие как общие папки, принтеры, почту и т.д. находясь за тысячи километров от офиса.
Для работы нам понадобится Windows Server, который имеет белый IP и выход за NAT. Т.к. данный урок я снимаю преимущественно для слушателей закрытой академии Kurets.Ru, весь процесс поднятия VPN будет продемонстрирован на версии сервера 2016 года. Данный релиз является наиболее актуальным и распространённым на сегодняшний день.
Однако тот же алгоритм действий вполне применим, как более новой версии 2019 года, так и к устаревшим 2012 и 2008 года соответственно. В качестве клиента будет использоваться стандартная рабочая станция с Windows 10. Такие дела. Что ж, ребятки, меньше слов, больше дела. Не будем сёдня долго запрягать. Погнали настраивать.
Шаг 1. Первым делом заходим на сервер в корпоративной сети и в оснастке «Диспетчер серверов» кликаем по пункту «Добавить роли и компоненты».
Шаг 2. Далее.
Шаг 3. Оставляем параметр «Установка ролей и компонентов».
Шаг 4. В данном окне выбираем сервер, на котором собираемся поднимать службу VPN. У нас выбор не велик. Жмём «Далее».
Шаг 5. Отмечаем пункт «Удалённый доступ». Next.
Шаг 6. В компонентах ничего не меняем.
Шаг 7. Знакомимся с информацией о том, что такое в принципе VPN и зачем нужен удаленный доступ.
Шаг 8. Отмечаем галочкой параметр «DirectAccess и VPN» и добавляем необходимые компоненты.
Шаг 9. Далее.
Шаг 10. Далее.
Шаг 11. Всё. Можно приступить к установке. Кликаем по соответствующей кнопке и идём заваривать чай.
Шаг 12. По завершению установки закрываем данную оснастку.
Шаг 13. В диспетчере серверов раскрываем «Средства» и ищем пункт «Маршрутизация и удаленный доступ».
Шаг 14. Видим слева наш сервер, отмеченный красной меткой. Данный цвет кружка свидетельствует о том, что сервер VPN не настроен и соответственно не функционирует. Исправим это недоразумение. Кликаем правой кнопкой. «Настроить и включить маршрутизацию и удаленный доступ».
Шаг 15. Выбираем пункт «Особая конфигурация».
Шаг 16. Отмечаем «Доступ к виртуальной частной сети (VPN)».
Шаг 17. И после нажатия на «Готово» в последнем окне кликаем по кнопке «Запустить службу».
Шаг 18. Сервер взлетел. Остались нюансы. Вызываем контекстное меню. «Свойства».
Шаг 19. У меня на учебном сервере не настроен DHCP, поэтому на вкладке IPv4 укажем статический пул адресов. Из этого диапазона будут получать настройки наши рабочие станции, которые мы далее будем подключать извне.
class=»eliadunit»>
Шаг 20. Отлично. Диапазон задали. Теперь затронем вопрос безопасности. Переходим на соответствующую вкладку и отмечаем параметр «Разрешить пользовательские политики IPsec для L2TP». Вводим секретный ключ, который будет использоваться для подключения к нашей корпоративной сети из интернета. Жмём «Применить» и в появившемся окне соглашаемся с предупреждением о важности перезапуска службы маршрутизации.
Шаг 21. Перезапускать мы её будем прямо сейчас. В диспетчере привычным движением раскрываем «Средства» — «Службы».
Шаг 22. Ищем в длинном списке «Маршрутизация и удаленный доступ» и вызвав контекстное меню, перезапускаем эту историю.
Шаг 23. Осталось подумать, каким пользователям будет предоставлен доступ к нашей частной сети. У меня данная тачка не в домене. Т.к. подразумевается, что она выполняет исключительно роль общей шары. Поэтому будем мудрить с локальными пользюками. Открываем в пуске «Управление компьютером» и на соответствующей вкладке отмечаем нужного пользователя. Я заранее создал одного Юзверя.
Шаг 24. Заходим в свойства данной учётки и на вкладке «Входящие звонки» разрешаем «Права доступа к сети». Применяем наши изменения.
Шаг 25. И переходим к настройке клиентского компьютера. У меня это комп на Windows 10. Отмечу, что он не находится в одной сети с сервером, но при этом имеет выход в Интернет. Открываем «Центр управления сетями и общим доступом» и далее «Создание и настройка нового подключения или сети».
Шаг 26. В открывшемся окне помощника выбираем пункт «Подключение к рабочему месту».
Шаг 27. «Использовать моё подключение к интернету».
Шаг 28. Вводим белый ip-адрес нашего сервера, который выведен за NAT. И при желании изменяем название подключения. Я оставлю по умолчанию. Ждём «Создать».
Шаг 29. Хорошо. Далее заходим в «Свойства» созданного подключения.
Шаг 30. И на вкладочке «Сеть» раскрываем «Свойства» компонента IPv4. Жмём «Дополнительно» и снимаем галочку с пункта «Использовать основной шлюз в удаленной сети». Это очень важный момент. Если этого не сделать, то сразу после подключения к корпоративной сети, ваше локальное подключение к Интернету на компьютере пропадёт, ибо по умолчанию VPN использует шлюз удалёнки. Так что будьте предельно внимательны и не пропускайте данный шаг при настройке внешних рабочих станций.
Шаг 31. Сохраняем изменения и переходим на вкладочку «Безопасность». Тут нам необходимо изменить тип протокола на «L2TP» и в дополнительных параметрах задать «Ключ для проверки подлинности», который мы ранее указывали на сервере.
Шаг 32. Всё, братцы. Теперь смело можно подключаться. Кликаем по значку сети на панели задач и выбираем наше подключение.
Шаг 33. Вводим данные от учетной записи пользователя. Помним, что в данном примере мы разрешали доступ к нашей сети извне только одному Юзверю.
Шаг 34. И дожидаемся статуса «Подключено». С этого момента мы находимся в корпоративной сети, а следовательно можем пользоваться её ресурсами.
Шаг 35. Давайте попробуем проверить функционал общих папок. Открываем проводник и в адресной строке вводим ip сервера.
Шаг 36. Через некоторое время видим расшареную папку «Общий обмен». Это свидетельствует о том, что наше VPN-подключение к серверу сконфигурировано корректно.
Более подробно о том, как создавать общие папки, настраивать квоты и в целом производить полную настройку виндового сервера, что называется, под ключ. Вы можете узнать в нашем полноценном обучающем курсе по администрированию Windows Server 2016.
>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ<<<
Друзья, сегодня мы научились создавать защищённое VPN-соединение. С его помощью вы сможете не только наладить свою собственную работу на удалёнке и выполнять большую часть задач прямо из дома, но также при возникновении соответствующей потребности объединить сети нескольких филиалов в единый канал.
Если урок оказался полезным, то не забудьте поставить лайк этому видео и оформить подписку с колокольчиком. Таким образом вы первыми будете получать информацию о новых выпусках. В заключении, традиционно, хочу пожелать вам удачи, успеха и самое главное отличного настроения. Берегите себя и свои сервера. До новых встреч.
class=»eliadunit»>
Полезные материалы:
VPN — riseup.net
Что такое VPN?
Riseup предлагает услугу Personal VPN для обхода цензуры, анонимности местоположения и шифрования трафика. Чтобы это стало возможным, он отправляет весь ваш интернет-трафик через зашифрованное соединение на riseup.net, откуда он затем выходит в общедоступный Интернет.
В отличие от большинства других провайдеров VPN, Riseup не регистрирует ваш IP-адрес.
У Riseup есть VPN-клиент под названием RiseupVPN . Этот VPN-клиент очень прост в использовании! Вы просто устанавливаете его и запускаете — без настройки, без регистрации учетной записи.
Это эксперимент, направленный на то, чтобы увидеть, сможем ли мы создать VPN-сервис, который будет достаточно простым в использовании для всех и который люди будут жертвовать достаточно, чтобы поддерживать его.
Почему вы хотите использовать Riseup VPN?
В Riseup мы считаем, что для каждого важно использовать какие-либо технологии, такие как VPN или Tor, для шифрования своего интернет-трафика. Почему? Потому что Интернет взламывают правительства, интернет-провайдеры (ISP) и корпорации. RiseupVPN будет бороться с этим
Ограничения на использование VPN
Все VPN имеют некоторые ограничения, пожалуйста, ознакомьтесь с ними, чтобы понять, что VPN делает, а что нет.
Скачать RiseupVPN
GNU / Linux
macOS
окна
Android
Использование RiseupVPN
На Mac, Windows и Linux RiseupVPN создаст меню в области уведомлений со значком, который указывает, подключен ли VPN или нет:
— VPN отключен.
— VPN включен, и весь трафик безопасно маршрутизируется через VPN.
— VPN отключен, и весь трафик заблокирован.
— VPN подключается, и весь трафик заблокирован.
Чтобы включить или выключить, просто щелкните значок на панели задач и выберите соответствующий пункт меню.
Пожертвовать!
Сервис RiseupVPN полностью финансируется за счет пожертвований пользователей. Если вы цените простой некоммерческий VPN-сервис, который не отслеживает пользователей, внесите свой вклад в поддержание активности RiseupVPN.
Стоимость RiseupVPN для нас составляет примерно 60 долларов США на человека в год. Если вы используете VPN, подумайте о том, чтобы пожертвовать хотя бы эту сумму.Спасибо!
Примечание. Если вы делаете пожертвование с другой страницы, мы не узнаем, что вы делаете пожертвование для VPN. Пожалуйста, помогите нам выяснить, может ли эта услуга быть устойчивой, сделав пожертвование, используя только ссылки на этой странице.
Либерапай
Пожертвования в riseupvpn могут быть кредитной или дебетовой картой (Visa, MasterCard, American Express) или прямым дебетом банковского счета в евро (для пожертвований только в евро). Мы используем Liberapay, некоммерческий сервис для пожертвований и платежей, основанный на бесплатном программном обеспечении.
Подписаться
Paypal
Биткойн
3LBqFZpv397VEyDeZo3oneTK1qgJ8hsqvJ
Устранение неполадок и поддержка
Поиск и устранение неисправностей
Запросить помощь
Чтобы заполнить заявку на поддержку RiseupVPN, посетите сайт support.riseup.net. Если вы обнаружили ошибку, заполните отчет об ошибке вместо обращения в службу поддержки (см. Ниже).
Обязательно укажите следующую информацию:
- Какую операционную систему вы используете.
- Какая версия RiseupVPN у вас установлена.
- Для настольных ПК это можно найти в меню Shield > About…
- Для Android это можно найти в Боковое меню > О программе…
Сообщить об ошибке
Контактные каналы
Вы можете присоединиться к списку рассылки RiseupVPN и тестеров битовых масок. Там вы можете задать вопросы и принять участие в обсуждении в сообществе разрабатываемых версий нашего любимого VPN-клиента.
Существует также irc-канал для более быстрого общения: #leap @ irc.freenode.net
А как насчет Bitmask / Riseup Black?
VPN на основе битовой маски (которую мы назвали «Riseup Black») больше не поддерживается и был заменен на RiseupVPN. RiseupVPN имеет все функции, которые сделали Bitmask особенным, на самом деле под капотом RiseupVPN использует код Bitmask, но он имеет лучшую многоплатформенную поддержку, больше нет пользователей и паролей для повышения вашей анонимности и еще более упрощен пользовательский интерфейс.Если у вас все еще установлена битовая маска, удалите ее перед установкой RiseupVPN.
Учетные записи, которые были зарегистрированы через эту систему, в конечном итоге будут удалены, а логины будут доступны пользователям для регистрации.
RiseupVPN для Linux — riseup.net
Требования
Чтобы использовать VPN-сервис Riseup, вам необходимо установить программу под названием RiseupVPN. В Linux он доступен либо как оснастка , либо как пакет в Debian Stable.
RiseupVPN в настоящее время протестирован на Ubuntu LTS (18.04) и стабильный Debian . Если у вас другой выпуск, он может работать, а может и не работать.
Быстрая установка
Если вы используете Ubuntu, оснастка уже установлена. В противном случае запустите:
sudo apt установить snapd gnome-software-plugin-snap
Затем найдите RiseupVPN в программном центре или щелкните по этой ссылке:
Откройте RiseupVPN в Центре программного обеспечения
Если ссылка выше у вас не работает, вы также можете установить через командную строку:
sudo snap install --classic riseup-vpn
Если вы получаете сообщение об отсутствии «python» в / usr / bin / env, вам необходимо установить python.Так обстоит дело, например, с Lubuntu, по крайней мере, с версии 19.04.
Установка пакета
Выполните следующие команды в терминале, чтобы установить стабильный пакет Debian.
sudo apt установить leap-archive-keyring
echo "deb https://deb.leap.se/client release buster" | sudo tee -a /etc/apt/sources.list.d/leap.list
sudo apt update
sudo apt установить riseup-vpn
Поиск и устранение неисправностей
Отчеты об ошибках и запросы функций
RiseupVPN построен с использованием бесплатного программного обеспечения под названием bitmask-vpn .
Шаг 1: Найдите, не сообщалось ли уже об ошибке.
Шаг 2: Зарегистрируйте учетную запись на 0xacab.org и войдите в систему.
Шаг 3: Создайте новый отчет об ошибке или запрос функции.
Пожалуйста, включите следующую информацию в свой отчет об ошибке:
- Действия по воспроизведению ошибки
- Каково ожидаемое поведение и что вы видите?
- Скриншот, если это что-то наглядное
- Ваш дистрибутив linux и его версия
- Журнал программы
Получить логи
Журнал RiseupVPN находится в вашей домашней папке:
~ /. config / leap / systray.log
При сообщении об ошибке очень полезно включить файл журнала.
Принудительный выход
Если что-то перестает работать, запустите эти команды и повторите попытку:
судо pkill -e -f подъем-vpn
Не запускается
Если значок запуска не работает, вы можете запустить RiseupVPN из командной строки, чтобы определить проблему:
/snap/bin/riseup-vpn.launcher
Любая проблема с запуском будет отображаться на терминале.
Тестировать предварительную версию
Если вы хотите помочь нам протестировать разрабатываемую предварительную версию RiseupVPN, вы можете установить ее с помощью этой команды:
sudo snap install --classic --beta riseup-vpn
Удалить файл PID
Иногда RiseupVPN не запускается, если думает, что уже запущена другая версия.
Если вы получили эту ошибку, выполните следующие команды:
судо pkill -e -f подъем-vpn
тест -f ~ /. config / leap / systray.pid && rm -v ~ / .config / leap / systray.pid
Исходный код
Клиенты
RiseupVPN основаны на программном обеспечении с открытым исходным кодом Bitmask. Код для клиента Linux можно найти здесь.
VPN красный - riseup.net
Эта служба устарела, и мы не рекомендуем ее использовать. Используйте вместо этого RiseupVPN.
Предупреждения
ВНИМАНИЕ! Вы используете Mac, Linux или Android? Если да, то используйте RiseupVPN.VPN Red не так безопасен, и мы отказываемся от него!
Примечание! Когда вы подключаетесь к Интернету через VPN Red, вы обходите все брандмауэры в вашей локальной сети. Ваш компьютер получит собственный IP-адрес в открытом Интернете. Это здорово, потому что так ваш компьютер может свободно общаться с другими без блокировки. Однако обход локального брандмауэра также означает, что ваш компьютер более уязвим для атак. Поэтому вам следует включить брандмауэр на своем компьютере.
Настройка OpenVPN
Сервис VPN Red поддерживает OpenVPN.
Выберите сервер
VPN-сервер | Расположение |
---|---|
vpn.riseup.net | Западный США |
Краткая конфигурация
Хотя все клиенты разные, в вашем клиенте OpenVPN необходимо настроить пять значений:
- VPN-сервер :
vpn.riseup.net
- Метод аутентификации : пароль
- Имя пользователя VPN : ваш логин на riseup.net (то есть, если ваша учетная запись [email protected], просто введите «joe_hill»)
- Пароль : либо ваш пароль от riseup.net, либо vpn-secret.
- Сертификат CA : RiseupCA.pem (скачать и проверить здесь)
- Шифр : AES-256-CBC
- Дайджест : SHA256
Дополнительные варианты конфигурации:
- Порт : 1194, 443 или 80. Порт 1194 - это обычный порт по умолчанию для OpenVPN, но иногда он может быть заблокирован сетью, в которой вы находитесь. Обычно вам не нужно менять этот параметр. Если вы это сделаете, порты 443 и 80, скорее всего, не будут заблокированы, поскольку это порты для обычного веб-трафика.
- Протокол : UDP или TCP. UDP работает быстрее, но TCP может потребоваться для обхода некоторых сетевых ограничений. По умолчанию используется UDP, поэтому вам нужно возиться с ним, только если что-то блокирует ваш доступ к VPN.
Подробные руководства
Tor и Riseup VPN
Если вы думаете о запуске узла Tor Exit в Riseup VPN, прочтите это. Нет ничего плохого в том, чтобы запустить узел Tor Exit поверх VPN, однако это может вызвать проблему, которую мы хотели бы избежать.
выходных узлов Tor регулярно заносятся в списки блокировки. Это связано с серьезными злоупотреблениями, которые происходят с Tor, поэтому есть списки, которые автоматически создаются для каждого выходного узла Tor, который регистрируется в сети. В этом нет ничего страшного, за исключением того, что списки блокировки блокируют всю сеть, а не только один IP-адрес, который вы используете. Это вызывает проблемы для других служб, например для отправки почты.
К счастью, есть способ обойти это, просто нужно изменить политику выхода Tor, чтобы определенные порты были запрещены. Кажется, что в этих списках блокировки перечислены только узлы выхода Tor, которые включают определенные известные порты, которые используются для злоупотреблений. Согласно одному из операторов черного списка, выходной узел tor добавляется в черный список, если он использует политику выхода по умолчанию, потому что в политике по умолчанию есть несколько портов, которые являются проблематичными, это: 6660-6670, 6697, 7000 -7005
Это можно легко изменить, чтобы вы не пропускали эти порты через выходной узел Tor, изменив свой torrc следующим образом:
ExitPolicy reject *: 6660-6670 ExitPolicy reject *: 6697 Отклонение ExitPolicy *: 7000-7005
, а затем перезапустите демон Tor.
RiseupVPN для Android - riseup.net
Установка
Если вы хотите установить RiseupVPN для Android, у вас есть несколько вариантов.
Установить с F-Droid
Вы можете установить через F-Droid, просто открыв F-Droid и выполнив поиск «riseupvpn», он должен появиться в вашем списке доступных приложений. Если он не отображается, перейдите на главную страницу и потяните вниз главный экран, чтобы обновить свои репозитории.
Установить из Google Play
Вы можете установить через Google Play, просто выполнив поиск «riseupvpn» в Play Store.Он будет отображаться как значок синего щита с черным вороном внутри щита.
Скачать с leap.se
RiseupVPN разработан LEAP. LEAP предоставляет последнюю версию RiseupVPN на своем веб-сайте.
Скачать RiseupVPN apk для android
Чтобы гарантировать целостность загруженного приложения, проверьте apk с его файлом подписи. Дополнительную информацию можно найти на справочной странице LEAP.
Скачать файл подписи
Поиск и устранение неисправностей
Отчеты об ошибках и запросы функций
RiseupVPN Android - это фирменная версия Bitmask для Android.
Шаг 1: Найдите, не сообщалось ли уже об ошибке
Шаг 2: Зарегистрируйте учетную запись на 0xacab.org и войдите в систему
Шаг 3: Создайте новый отчет об ошибке или запрос функции
Бета-тестирование
Если вы хотите помочь нам протестировать разрабатываемую предварительную версию RiseupVPN, вы можете это сделать. Однако имейте в виду, что эти версии могут содержать ошибки или даже отставать от выпущенной версии, поэтому делайте это только в том случае, если вы связываетесь с нами по конкретной проблеме, и мы просим вас попробовать бета-версию, чтобы увидеть, решит ли она вашу проблему. !
Бета от F-Droid
Мы предоставляем нашу бета-версию в F-Droid через репозиторий F-Droid от IzzySoft.Чтобы добавить этот репозиторий в ваше приложение FDroid:
Шаг 1: Откройте приложение F-Droid
Шаг 2: Перейдите к: Настройки> Репозитории> щелкните +
Шаг 3: Добавьте следующий URL-адрес и отпечаток пальца:
https://apt.izzysoft.de/fdroid/repo
3BF0D6ABFEAE2F401707B6D966BE743BF0EEE49C2561B9BA311F628937A
- , если репозитории не обновляются автоматически, перейдите к Обновления и потяните вниз главный экран
- теперь вы можете искать RiseupVPN Beta
Бета-версия F-Droid имеет другое имя пакета, чем стабильные версии.Это позволяет тестировщикам устанавливать обе версии на один телефон.
Beta из Google Play Beta Channel
Для установки приложения из Google Play вам необходимо:
Шаг 1: Подпишитесь на программу бета-тестирования
Шаг 2: Нажмите кнопку Стать тестером
Шаг 3: Нажмите кнопку загрузки ниже:
RiseupVPN в Google Play
Бета от leap.se
RiseupVPN разработан LEAP.LEAP предоставляет последнюю версию RiseupVPN Beta на своем веб-сайте.
Скачать RiseupVPN apk для android
Чтобы гарантировать целостность загруженного приложения, проверьте apk с его файлом подписи. Дополнительную информацию можно найти на справочной странице LEAP.
Скачать файл подписи
Исходный код
Клиенты
RiseupVPN основаны на программном обеспечении с открытым исходным кодом Bitmask. Код для клиента Android можно найти здесь.
Понимание и увеличение скорости VPN-соединения
В этой статье мы обсуждаем факторы, влияющие на скорость VPN-соединений, и способы увеличения скорости вашего соединения при использовании одного из наших серверов VPN. Мы также рассмотрим разницу в скорости между тарифными планами ProtonVPN.
Все VPN устанавливают зашифрованный туннель через существующее Интернет-соединение, что означает, что основным фактором, определяющим скорость вашего VPN-соединения, является базовая скорость вашего Интернет-соединения.Другие факторы, которые могут ограничивать скорость VPN, включают:
- Скорость соединения с вашего интернет-сервиса обеспечивают р. Вообще говоря, скорость вашего VPN-подключения ограничена объемом данных, которые ваш интернет-провайдер может обработать, и скоростью, с которой он может передавать их в своей сети.
- Проблемы в интернет-инфраструктуре . Если вы подключаетесь к зарубежному VPN-серверу, проблема с сетевыми соединениями между вами и этим сервером может привести к проблемам с производительностью.Это может включать перегрузку, вызванную отказом подводного интернет-кабеля, или техническое обслуживание, выполняемое сетевым провайдером выше вашего интернет-провайдера.
- Дросселирование ISP . Некоторые провайдеры намеренно ограничивают VPN-соединения или блокируют все ваше соединение, если вы используете большую пропускную способность. Это снижает скорость вашей VPN, поскольку все ваше соединение теперь работает медленнее.
Поскольку сети постоянно меняются, скорость VPN может варьироваться в зависимости от того, где вы находитесь, к каким серверам подключаетесь и даже когда подключаетесь.Более того, поскольку подключение к VPN может обойти проблему в другом месте в Интернете, иногда даже можно получить более высокую скорость подключения к определенным сайтам с помощью VPN, чем без него.
Как увеличить скорость в VPN
Если у вас низкая скорость просмотра страниц при подключении к VPN-серверу, вы можете попытаться улучшить производительность VPN с помощью некоторых уловок.
- Переключитесь на другой VPN-сервер - Если вы подозреваете, что в вашей сети есть проблемы, переключение на другой сервер может помочь вам избежать этих узких мест и замедлений.Чтобы быть эффективным, вы должны переключиться на сервер с IP-адресом из другого диапазона. Например, вместо переключения с 162.210.192.158 на 162.210.192.159 следует переключиться на 209.58.129.97. Если первые два набора чисел различны, серверы находятся в разных диапазонах.
- Переключитесь на сервер ближе к вам - Чем дальше вы находитесь от сервера, к которому вы подключены, тем выше задержка вашего соединения, что снижает скорость вашего просмотра. Подключение к серверу, который находится далеко от вас, также увеличивает шансы возникновения сетевых проблем между вами и сервером.
- Попробуйте разные протоколы - Большинство приложений ProtonVPN поддерживают протоколы подключения IKEv2 и OpenVPN (UDP / TCP). Если у вас низкая скорость просмотра, мы предлагаем вам попробовать подключиться к каждому протоколу, чтобы узнать, какой из них обеспечивает лучшую скорость. IKEv2 - обычно самый быстрый протокол VPN. Из протоколов подключения OpenVPN UDP быстрее TCP. Вы можете вручную изменить протокол подключения в настройках нашего приложения для iOS и нашего инструмента командной строки Linux (поддерживает только OpenVPN UDP / TCP).В наших приложениях для Android и Windows есть Smart Protocol, но вы все равно можете вручную выбрать разные протоколы VPN, чтобы найти тот, который предлагает вам лучшую скорость. Только наше приложение для macOS, которое в настоящее время поддерживает только IKEv2, не дает вам возможности попробовать другие протоколы VPN.
Узнайте больше о Smart Protocol и о том, как изменить протоколы VPN. - Не используйте серверы с большой нагрузкой. - Приложения ProtonVPN и наша страница VPN-серверов отображают текущую загрузку всех наших серверов.Попробуйте выбрать сервер с низкой нагрузкой.
- Не используйте Secure Core - Дополнительная безопасность, обеспечиваемая Secure Core VPN, к сожалению, достигается за счет производительности, поскольку прохождение через нашу сеть Secure Core увеличивает задержку. Если ваш просмотр требует большой пропускной способности и не требует высокой безопасности (например, вы смотрите Netflix), вы можете получить более быстрое соединение, отключив Secure Core.
- Не используйте серверы Tor VPN - ProtonVPN уникален тем, что мы также предоставляем серверы Tor VPN, которые позволяют получить доступ к сети Tor.Однако, поскольку сеть Tor часто медленная, серверы Tor VPN также могут быть медленными.
- Временно отключите антивирус или брандмауэр. - Иногда антивирусные программы или брандмауэры могут влиять на скорость соединения VPN. Попробуйте временно отключить их и повторно подключиться к серверу ProtonVPN, чтобы увидеть, улучшится ли ваша скорость просмотра.
- Закройте приложения для передачи данных. - Некоторые приложения для обмена данными / файлами, которые работают в фоновом режиме, например торрент-приложения, могут снизить скорость просмотра.Попробуйте закрыть их и повторно подключиться, чтобы измерить качество вашей скорости.
- Поддерживайте актуальность своего приложения VPN - Если вы используете приложение ProtonVPN, убедитесь, что вы обновили его до последней версии, щелкнув в меню Обновить . Если вы используете сторонний клиент OpenVPN, обязательно используйте тот, который мы рекомендуем, и убедитесь, что у вас установлена последняя версия. Новые версии будут содержать оптимизацию производительности или поддерживать более быстрые наборы шифров, которые улучшат их общую производительность.
Скорости разные планы ProtonVPN
ProtonVPN поддерживает очень быстрые соединения во всей нашей глобальной сети VPN-серверов, используя только высокопроизводительные VPN-серверы в специально выбранных сетях. ProtonVPN - это бесплатный VPN-сервис, но наша глобальная сеть не может работать бесплатно. Операционные расходы в основном покрывают платные пользователи ProtonVPN Plus. Благодаря этому мы обеспечиваем более высокий уровень производительности для пользователей ProtonVPN Plus и ProtonVPN Basic.
Поскольку ProtonVPN - это VPN-сервис без регистрации, мы не отслеживаем и не отслеживаем активность пользователей.Поэтому у нас нет ограничений на пропускную способность или дросселирования даже для бесплатных пользователей. Однако скорость различается между тарифами Free, Basic и Plus из-за разной нагрузки на сервер. Поскольку мы предлагаем ограниченное количество бесплатных серверов, на этих серверах, как правило, гораздо больше пользователей, что приводит к снижению производительности.
Пользователи
ProtonVPN Basic получают выгоду от быстрых подключений, потому что они имеют доступ к серверам, доступ к которым разрешен только бесплатным пользователям и которые подключены к высокопроизводительным сетям. Наконец, пользователи ProtonVPN Plus имеют доступ к самым быстрым соединениям, потому что серверы Plus доступны только для пользователей Plus.Поскольку пользователей Plus меньше, а многие серверы Plus находятся в сетях 10 Гбит / с, возможна очень высокая производительность. Действительно, часто сообщается о скорости до 300 Мбит / с. Однако ваши фактические скорости могут отличаться в зависимости от условий сети.
По-прежнему испытываете проблемы со скоростью?
В ProtonVPN мы стремимся предоставить не только самый безопасный VPN-сервис, но и самый быстрый VPN-сервис. Для этого мы используем только высокопроизводительные серверы в центрах обработки данных с лучшим сетевым подключением.Если у вас низкая скорость соединения на одном из наших серверов, мы хотели бы знать об этом. Сообщите нам, какой сервер работает плохо, связавшись с нами.
С уважением,
Команда Proton Technologies
Лицензирование сервера для увеличения числа разрешенных подключений
На данный момент существует две разные модели лицензирования:
- Предварительно лицензированные многоуровневые инстансы Amazon AWS (различных размеров)
- Тип инстанса с собственной лицензией (BYOL) (выберите свой размер)
Предварительно лицензированные многоуровневые инстансы Amazon AWS предназначены специально для Amazon AWS и не доступны в других местах.Счета оплачиваются напрямую через систему Amazon AWS, полностью обрабатываются там и не требуют отдельно приобретаемых лицензионных ключей. Когда вы запускаете такой инстанс на Amazon AWS, вы платите как за саму виртуальную машину на AWS, так и за отдельную почасовую плату AWS за лицензию на программное обеспечение. Когда вы переводите экземпляр в режим «стоп», выставление счетов за лицензию на программное обеспечение приостанавливается, пока вы снова не переведете экземпляр в режим «запуска». Когда вы завершаете работу с экземпляром, оплата за этот экземпляр также прекращается.Когда вы запускаете такой экземпляр, он обычно автоматически лицензируется в течение минуты. Для этого требуется доступ к ряду определенных IP-адресов и портов в Интернете, поэтому, если вы столкнетесь с проблемой, когда предварительно лицензированные многоуровневые инстансы на Amazon AWS не отображают правильное количество лицензий, проверьте руководство по устранению неполадок лицензирования о том, как отладить такую проблему.
Всего на Amazon AWS доступно 7 многоуровневых инстансов с предварительной лицензией:
Один на 5 подключенных устройств предлагает бесплатную пробную версию.Если вы запустите один такой экземпляр, лицензия на программное обеспечение для 5 подключенных устройств предоставляется бесплатно в течение первых 7 дней. Это дает вам возможность опробовать продукт, а если он вам не понравится, вы просто отключите экземпляр в течение этих 7 дней, и вам не будет выставлен счет за лицензию на программное обеспечение. Вы всегда платите за саму виртуальную машину Amazon AWS, но для одного экземпляра лицензия на программное обеспечение предоставляется бесплатно в течение 7 дней. Через 7 дней, если вы продолжите использовать продукт, вам начнется выставление счета за лицензию на программное обеспечение через AWS, поэтому он автоматически преобразуется в платный инстанс после 7-дневной бесплатной пробной версии.
Мы также предлагаем экземпляр типа BYOL на Amazon AWS. Эта модель лицензии объясняется ниже.
Если вы используете сервер доступа OpenVPN, который не относится к предварительно лицензированному многоуровневому экземпляру, описанному выше, вы можете приобрести лицензионные ключи на нашем веб-сайте и активировать их при установке сервера доступа. Эти лицензионные ключи являются ключами однократной активации, которые при активации на сервере доступа блокируют конкретное оборудование / программное обеспечение на этом сервере и разблокируют определенное количество разрешенных соединений.Одновременно может быть активным более одного лицензионного ключа, чтобы увеличить лицензионное количество на уже лицензированном сервере. Обратите внимание, что вы не можете дополнить предварительно лицензированное многоуровневое лицензирование инстансов на Amazon AWS лицензионными ключами типа BYOL, они не смешиваются. Мы рекомендуем вам прочитать часто задаваемые вопросы о лицензировании, в которых даны ответы на множество различных вопросов, касающихся систем лицензирования.
Опять же, если у вас есть Amazon AWS и вы используете один из наших предварительно лицензированных многоуровневых инстансов с указанным количеством подключенных устройств, которые оплачиваются через Amazon AWS, система лицензионных ключей к вам не применяется.Исключением является экземпляр типа BYOL (Bring Your Own License), доступный на Amazon AWS. Тот действительно принимает лицензионные ключи, поскольку он соответствует модели лицензирования типа BYOL.
Также обратите внимание, что наличие лицензионного ключа не означает, что вы можете подключаться к нашим серверам с помощью клиентской программы OpenVPN. Лицензионный ключ предназначен для установки OpenVPN Access Server на сервере, который вы предоставляете и управляете. Приобретение и наличие лицензионного ключа не означает, что мы предоставляем вам профиль подключения, который позволяет вам подключаться к нашим системам с помощью вашей клиентской программы OpenVPN.Это не услуга, которую мы предлагаем на openvpn.net. Однако, если вы ищете службу завершения VPN, с помощью которой вы можете подключить свой компьютер к уже существующему серверу VPN с целью защиты вашего интернет-трафика, обратите внимание на наше предложение под названием Private Tunnel. Там вы можете зарегистрироваться и получить профиль подключения, который позволяет вам подключаться к управляемому серверу Private Tunnel. Но если вы хотите настроить свой собственный сервер OpenVPN на основе нашего продукта OpenVPN Access Server и вам нужно более двух одновременных подключений, то запускайте предварительно лицензированный многоуровневый инстанс на Amazon AWS или приобретайте лицензионный ключ BYOL для OpenVPN Access Server и активируйте его. это путь.
Шаг 1. Зарегистрируйте бесплатную учетную запись на openvpn.net
На нашем основном сайте openvpn.net вы можете зарегистрировать бесплатную учетную запись. Это не обязывает вас ничего покупать; регистрация бесплатна. Имея учетную запись на нашем веб-сайте, вы можете использовать страницу покупки лицензионного ключа, а также получить доступ к системе заявок в службу поддержки. Обратите внимание, что наличие учетной записи на openvpn.net не означает, что вы можете указать свою клиентскую программу OpenVPN на нашем сайте и подключиться к туннелю VPN.Некоторые люди, кажется, сбиты с толку по этому поводу, но наш веб-сайт - это всего лишь веб-сайт, а не служба завершения VPN. Если вы ищете службу завершения VPN, попробуйте вместо этого частный туннель.
Шаг 2: подтвердите свою учетную запись
По электронной почте вам будет отправлено сообщение с просьбой подтвердить свою учетную запись. Это сделано для того, чтобы спамеры не добавляли в наши системы любые адреса электронной почты. Если по какой-либо причине это подтверждающее сообщение не попадает в ваш почтовый ящик, возможно, оно находится в нежелательной или нежелательной папке вашего почтового клиента.Если это также не так, и вы не можете завершить процесс подтверждения, мы предлагаем вам посетить систему веб-чата IRC и на панели справа найдите имя novaflash , щелкните его один раз и выберите запрос . Это открывает частное безопасное окно для пользователя novaflash - официального сотрудника OpenVPN Inc. Используйте текстовое поле внизу, чтобы ввести сообщение с объяснением вашего затруднительного положения и вашего адреса электронной почты. Затем мы попытаемся связаться с вами напрямую по электронной почте и подтвердить ваш аккаунт вручную.Обратите внимание, что нам может потребоваться некоторое время, чтобы ответить таким образом, поскольку это не наш основной способ общения с нашими клиентами.
Шаг 3: перейдите на страницу покупки лицензионного ключа
На нашей странице покупки лицензионного ключа на нашем веб-сайте вы можете выбрать, сколько подключений вы хотите для вашего лицензионного ключа (минимум 10, ниже невозможно) и продолжительность хотите, чтобы этот лицензионный ключ действовал. Возможны варианты: 1, 2, 3, 4 или 5 лет. При выборе более длительных периодов действуют некоторые скидки.Подробная информация о ценах доступна на нашей странице обзора цен. После завершения платежа через PayPal или с помощью кредитной карты лицензионный ключ немедленно выдается и предоставляется вам.
Шаг 4: активируйте лицензионный ключ в пользовательском интерфейсе администратора
Мы предполагаем, что инсталляции OpenVPN Access Server имеют доступ к Интернету. Система лицензирования работает путем отправки лицензионного ключа, который вы вводите в пользовательском интерфейсе администратора, на наш сервер лицензирования для его активации. Чтобы выполнить активацию, перейдите в пользовательский интерфейс администратора вашего сервера доступа и войдите в систему как административный пользователь.Перейдите на страницу «Лицензия» и в текстовом поле введите лицензионный ключ, который вы приобрели и получили. Лицензионный ключ выглядит как ABCD-1234-EFGH-5678 и может быть использован для активации только один раз. Все наши лицензионные ключи предназначены только для однократной активации, что означает, что они привязаны к аппаратному / программному обеспечению вашего сервера доступа после активации. Если ваша система когда-либо изменится из-за переустановки системы или замены оборудования, или вы просто хотите переместить лицензионный ключ в другую систему, вам следует связаться с нами через систему заявок в службу поддержки, чтобы запросить повторную выдачу лицензионного ключа.Обязательно укажите лицензионный ключ, который вы хотите перевыпустить, чтобы мы могли помочь вам как можно скорее с вашим запросом.
Как увеличить скорость VPN-подключения (5 простых методов)
Использование VPN (виртуальной частной сети) может быть как благословением, так и проклятием. Это компромисс между всеми преимуществами VPN, такими как онлайн-безопасность и возможность доступа к контенту с географическим ограничением, и серьезным снижением скорости интернета. Проблемы со скоростью VPN-подключения - обычное дело.Возможно, даже вы задаетесь вопросом, возможно ли увеличить скорость моего VPN-соединения на ?
Представьте, что вы пытаетесь загрузить файл или видео, которые зависят от времени. Низкая скорость интернета может означать потерю драгоценных минут или даже часов, что может нанести ущерб вашему бизнесу.
Или, может быть, вы столкнулись с другими проблемами, связанными с VPN-подключением, которое снижает скорость вашего интернета, например:
- Постоянная буферизация при потоковой передаче видео онлайн;
- Обидно низкая скорость загрузки;
- Потеряны подключения к веб-сайтам;
- Невозможность загрузки страниц сайта;
Прежде чем вы начнете рвать волосы, воспользуйтесь пятью простыми стратегиями, которые помогут устранить проблемы с медленными скоростями VPN-соединения:
Вышеуказанные стратегии перечислены в хронологическом порядке.Поэтому, если первая стратегия не работает, пробуйте следующую, пока не исчерпаете их все.
По крайней мере, в 90% случаев хотя бы один из них должен работать.
Скорости VPN-соединения | Два важных компонента
Во-первых, важно понять два основных компонента скорости VPN-соединения, прежде чем исследовать проблемы, которые влияют на эти компоненты.
- Пропускная способность: Это объем данных, который может быть передан за определенный промежуток времени.
- Задержка: Это время между отправкой запроса и получением ответа от сервера, к которому вы пытаетесь получить доступ.
Некоторые из стратегий, рассмотренных в этой статье, касаются одного или обоих этих компонентов. Посмотрите видео ниже или прокрутите вниз, чтобы прочитать эти советы.
Обязательно подпишитесь на канал YouTube All Things Secured!
Теперь, когда мы рассмотрели основы пропускной способности и задержки, давайте посмотрим, как вы можете использовать это для устранения неполадок медленного VPN-соединения.
Как устранить проблемы с медленной скоростью VPN
Как упоминалось выше, я советую вам пройти эти 5 шагов в хронологическом порядке.
Часто исправление может быть таким же простым, как изменение, упомянутое на первом шаге. В других случаях для устранения проблемы требуется выполнить все пять шагов.
В каждом случае главное терпение!
Стратегия № 1: изменение расположения VPN-серверов
Серверу требуется больше времени для подключения к вашему устройству, если этот сервер географически расположен далеко.Это похоже на здравый смысл, но о нем легко забыть.
Всегда выбирайте сервер в своем программном обеспечении VPN, который находится как можно ближе к вашему местоположению.
Большинство популярных VPN-сервисов, таких как ExpressVPN или NordVPN, имеют инструмент выбора, который автоматически выбирает ближайший сервер. Обычно это называется «Инструмент проверки связи».
Например, если вы пытаетесь подключиться из Нью-Йорка, вы не хотите использовать VPN-сервер, который находится в Австралии.Это может показаться тривиальным, но это небольшое изменение может существенно повлиять на скорость вашего соединения.
Сервер в другом географическом местоположении следует использовать только в том случае, если вы пытаетесь подделать свое местоположение для определенной страны.
Например, если вы хотите изменить свою региональную библиотеку Netflix, живя за границей, вам необходимо подключиться к серверу VPN в Америке. Но, как и любой другой потоковый сервис, Netflix требует быстрого VPN-соединения.
Всегда помните, что чем дальше расстояние между сервером VPN и вашим устройством, тем медленнее скорость соединения VPN.
Географическое расстояние влияет на скорость VPN-соединения по трем основным причинам:
- Данные передаются пакетами. Больше пакетов теряется на больших расстояниях.
- Данные должны пройти через несколько сетей, прежде чем они достигнут пункта назначения . Чем больше расстояние, тем больше сетей нужно пройти. Это, в свою очередь, влияет на вашу задержку.
- Наконец, существуют ограничения международной полосы пропускания . Кабели данных, пересекающие международные границы, могут передавать только ограниченный объем данных.Следовательно, если данных для передачи слишком много, задержка будет увеличиваться. Это приводит к снижению скорости.
Стратегия № 2: Измените протокол VPN-подключения
Лучшие протоколы VPN-подключения используют более высокое битовое шифрование. Хотя этот вид шифрования гарантирует более высокий уровень безопасности, он также может значительно снизить скорость интернета.
Многие из лучших VPN для потоковой передачи предоставят вам несколько протоколов подключения на выбор (поскольку некоторые из них быстрее, чем другие).Более высокие скорости VPN-подключения возможны с использованием менее безопасных протоколов подключения.
Самый низкий из возможных протоколов подключения - это PPTP, который, конечно же, наименее безопасен.
Если возможно, один из самых быстрых новых протоколов называется WireGuard. Если этот вариант доступен для вашего VPN-сервиса, его определенно стоит попробовать.
По моему опыту, протокол WireGuard увеличил скорость моей VPN в 2–3 раза.
Чтобы глубже погрузиться в эту тему, ознакомьтесь с моим объяснением различных протоколов VPN-подключения.
Стратегия № 3: дважды проверьте сетевое подключение
Если первые две стратегии не работают, возможно, проблема в вашем Wi-Fi-соединении. Ваша VPN не сможет работать оптимально, если ваш сигнал Wi-Fi слабый.
Рассмотрите возможность использования кабеля Ethernet, если доступны порты Ethernet. Вы также можете попробовать подойти поближе к маршрутизатору Wi-Fi.
Если проблема не исчезнет, рассмотрите возможность обновления Wi-Fi у своего интернет-провайдера.
Пропускная способность - один из наиболее важных факторов, влияющих на скорость интернета.Пропускная способность - это объем данных, которые могут быть переданы через ваш интернет-маршрутизатор . Например, пропускная способность 10 Мбит / с означает, что вы можете получать до 10 мегабит в секунду.
Некоторые интернет-провайдеры намеренно замедляют определенные типы интернет-трафика (что называется «дросселирование»), в то время как другие замедляют соединения, если за один месяц загружается слишком много данных.
Они делают это с помощью , ограничивая вашу пропускную способность .
Вы можете выполнить тесты скорости интернета, чтобы определить, замедляет ли ваш интернет-соединение или ограничивает ли он его.
Типичный тест - это отслеживание изменений скорости вашего интернета в начале и в конце каждого месяца. Интернет-провайдер может ограничить вашу пропускную способность к концу месяца, если заметит, что вы использовали большой объем данных.
Однако вы не сможете точно определить разницу, если не сделаете преднамеренную попытку отслеживать изменения.
Дополнительный шаг: проверьте программное обеспечение безопасности
Программное обеспечение безопасности вашего компьютера также может повлиять на скорость вашего Интернета (например, антивирусное программное обеспечение, программное обеспечение для сканирования вредоносных программ и т. Д.).
Это программное обеспечение обычно работает в фоновом режиме для обнаружения вирусных угроз и обеспечения других функций безопасности для вашего устройства.
Уменьшите использование программным обеспечением вашего интернет-соединения, сняв флажки с опций автоматического обновления, синхронизации и резервного копирования. Попробуйте выполнить это вручную.
Стратегия № 4: Попробуйте использовать другую службу VPN
Я настоятельно рекомендую подписаться как минимум на двух поставщиков услуг VPN (лично я использую и рекомендую как ExpressVPN, так и NordVPN среди некоторых других).
Один будет использоваться в качестве основного поставщика VPN, а другой - в качестве резервного.
Бывают случаи, когда VPN-сервер перегружен из-за большого объема трафика. Кроме того, есть некоторые VPN, которые ограничивают пропускную способность и скорость (хотя я не рекомендую их использовать).
Наличие резервной VPN помогает обойти эти проблемы.
Существует ряд функций, которые следует учитывать при использовании VPN, но если вы в первую очередь ориентируетесь на скорость, вам нужно улучшить качество их сервера.
Я рекомендую вам избегать бесплатных провайдеров VPN. У них, естественно, больше пользователей, чем у платных провайдеров VPN (медленнее!), И они небезопасны.
Насыщенный VPN будет иметь более низкую скорость соединения, поскольку слишком много людей будут пытаться использовать серверы одновременно.
Неважно, сколько серверов у бесплатного VPN, пользователей все равно будет слишком много. Вот почему я всегда говорю, что стоит инвестировать в качественный VPN-сервис.
Стратегия № 5: Когда все остальное терпит неудачу… Перезагрузите
Как вы можете видеть с помощью каждой из этих стратегий, увеличение скорости VPN-соединения на самом деле является процессом проб и ошибок.Решение может заключаться в простом закрытии программы, которую вы используете, и перезагрузке устройства.
Перезагрузка решает проблемы, связанные с неправильным подключением операционной системы или неправильной отменой подключения.
Вашему устройству просто нужна возможность выполнить новый пакет инструкций по программированию.
Я знаю, что это кажется тривиальным, но чаще всего этот простой акт перезагрузки программного обеспечения и даже всего компьютера может иметь огромное значение.
Скорее всего, вы не выключали полностью свой компьютер или устройство за несколько недель или месяцев.
Я прав?
Последние мысли | Увеличение скорости VPN-подключения
Задержка и пропускная способность - два важных компонента скорости VPN-соединения. Решение проблем, связанных с этими компонентами, может существенно повысить скорость вашего VPN-соединения.
Первое, что вы хотите попробовать, это:
- Изменение подключения к серверу, затем…
- Изменение протокола подключения;
Если эти стратегии терпят неудачу, вам также следует учитывать:
- Проверка подключения к Интернету,
- Использование другой службы VPN и
- Перезагрузка устройства.