Сервер

Vpn настройка сервера ubuntu: Как настроить сервер OpenVPN в Ubuntu 16.04

Содержание

Самый простой способ настроить Ubuntu в качестве VPN-сервера

ПРЕДУПРЕЖДЕНИЕ: PPTP ЯВЛЯЕТСЯ AN НЕБЕЗОПАСНЫЙ ПРОТОКОЛ! Мало того, что шифрование было нарушено, но и оно отправляет Вашу аутентификацию в открытом тексте и легко прерывается. Считалось, что количество времени, требуемое к «в лоб» пароль, примерно эквивалентно времени, требуемому к «в лоб» единственный ключ DES. Рассмотрите использование OpenVPN или другой архитектуры VPN вместо PPTP!

Я использовал это руководство для установки сервера VPN PPTP на моем сервере Ubuntu 12.04.


Суммировать основные моменты в ссылке, хотя:

1: Установка pptpd и ufw. iptables может использоваться вместо ufw, но ради легкости, ufw лучше, если Вы не знаете iptables.

sudo apt-get install pptpd ufw

2: Откройте необходимые порты. Руководство предлагает 22 (SSH) и 1723 для pptp vpn.

sudo ufw allow 22
sudo ufw allow 1723
sudo ufw enable

3:Править /etc/ppp/pptpd-options. Откройте файл со своим любимым редактором (нано шахты, таким образом, команда для меня sudo nano /etc/ppp/pptpd-options), и прокомментируйте эти строки путем помещения a # перед ними, если Вы хотите, чтобы это работало универсально над всеми Ose:

refuse-pap
refuse-chap
refuse-mschap

Можно прокомментировать эту строку, если Вы хотите отключить шифрование: require-mppe-128

4: При редактировании /etc/ppp/pptpd-options, добавьте серверы DNS для VPN. Этот пример использует серверы OpenDNS:

ms-dns 208.67.222.222
ms-dns 208.67.220.220

5:Править /etc/pptpd.conf. Откройте файл со своим любимым редактором (нано шахты, таким образом, команда для меня sudo nano /etc/pptpd.conf). Необходимо добавить локального дюйм/с VPN для системы, поэтому добавьте:

localip 10. 99.99.99
remoteip 10.99.99.100-199

Если Ваша система является VPS, используйте общедоступный IP для «localip». Если это не и находится в локальной сети, используйте сеть IP своего компьютера. Используйте другого дюйм/с и диапазоны, если они дюйм/с существуют на Вашей подсети! Если Вы не знаете свой общедоступный IP Вашего VPS, найдите его путем выполнения dig +short myip.opendns.com @resolver1.opendns.com

6:Править /etc/ppp/chap-secrets. Откройте файл со своим любимым редактором (нано шахты, таким образом, команда для меня sudo nano /etc/ppp/chap-secrets), и добавьте подлинные данные.
Формат для /etc/ppp/chap-secrets :

[Username] [Service] [Password] [Allowed IP Address]

Пример был бы: sampleuser pptpd samplepassword *

7: Перезапуск pptpd. Выполните эту команду в терминале: sudo /etc/init.d/pptpd restart

8:Править /etc/sysctl.conf. Откройте файл со своим любимым редактором (нано шахты, таким образом, команда для меня sudo nano /etc/sysctl. conf). Не прокомментируйте следующую строку (путем удаления # в начале его) в /etc/sysctl.conf: net.ipv4.ip_forward=1
Перезагрузите конфигурацию: sudo sysctl -p

9: Этот шаг предполагает, что у Вас есть ufw.
Править /etc/default/ufw и измените опцию DEFAULT_FORWARD_POLICY от DROP кому: ACCEPT

10: Этот шаг предполагает, что у Вас есть ufw.
Править /etc/ufw/before.rules, и добавьте следующий любой в начале /etc/ufw/before.rules или незадолго до *filter правила (рекомендовали):

# NAT table rules
*nat

:POSTROUTING ACCEPT [0:0]
# Allow forward traffic to eth0
-A POSTROUTING -s 10.99.99.0/24 -o eth0 -j MASQUERADE

# Process the NAT table rules
COMMIT

Если у Вас есть версия 3.18 ядра и более новый (можно проверить это путем выполнения uname -r), также добавьте следующие строки перед # drop INVALID packets . .. строка:

-A ufw-before-input -p 47 -j ACCEPT

11: Перезапустите брандмауэр, чтобы обновить наборы правила и применить правила, которые мы добавили к /etc/ufw/*.rules файлы: sudo ufw disable && sudo ufw enable

Предупреждение: Если у Вас есть другие порты, Вы должны открыться, такой что касается HTTPS, если Ваш сервер размещает веб-сайт, необходимо индивидуально добавить те порты к позволенному списку с sudo ufw allow <PORT>

Как настроить PPTP VPN на моем собственном сервере Ubuntu?

Абсолютная минимальная настройка сервера

Ниже приведены абсолютные минимальные инструкции, необходимые для получения базового VPN-сервера PPTP под Ubuntu. Затем клиенты смогут подключиться к VPN на сервере и маршрутизировать свой интернет-трафик, чтобы он проходил через сервер в Интернет. Как всегда, обратитесь к полной документации , чтобы понять, что все делает. \s*#(net\.ipv4\.ip_forward=1.*)//’ /etc/sysctl.conf
# Reload the config file to have the change take effect immediately.
sudo -i sysctl -p

В-третьих, включите NAT (если он еще не включен), чтобы пользователи из частной сети VPN могли передавать свои пакеты в Интернет:

OUTIF='/sbin/ip route show to exact 0/0 | sed -r 's/.*dev\s+(\S+).*//''
sudo -i iptables --table nat --append POSTROUTING --out-interface $OUTIF --jump MASQUERADE
# Enable NAT on boot from the rc.local script.
CMD="iptables --table nat --append POSTROUTING --out-interface $OUTIF --jump MASQUERADE"
sudo sed -i "\$i$CMD\n" /etc/rc.local

Примечание. В этом руководстве предполагается, что на сервере не настроен брандмауэр. Если у вас есть брандмауэр на сервере, например UFW , обратитесь к справке справочная документация .

В-четвертых, для каждого пользователя VPN создайте учетную запись в файле / etc / ppp / chap-secrets . Замените $USER фактическим именем пользователя, которое вы хотите использовать для этого пользователя VPN.

KEY='head -c 20 /dev/urandom | sha1sum | nawk '{print $1}''
echo "$USER pptpd $KEY *" | sudo tee -a /etc/ppp/chap-secrets

Наконец, вы готовы …

Настроить клиент

В апплетах Network Manager выберите VPN-соединения Настройка VPN , затем нажмите Добавить . На следующем экране выберите PPTP для типа VPN, затем нажмите Создать .

ВэтомокневведитеимяхостаилиIP-адресвашегосерверавместесименемпользователяиключом,добавленнымвфайл/etc/ppp/chap-secretsнасервере.

ТеперьнажмитеДополнительно.

В этом окне включите «Использовать шифрование« точка-точка »(MPPE)» и выберите 128-бит . Отключите использование аутентификации MSCHAP (оставьте MSCHAPv2 ). Р>

Наконец, нажмите Ok , а затем Сохранить , чтобы закрыть предыдущее окно.

Теперь вы можете протестировать VPN-соединение, перейдя в апплет Network Manager → VPN Connections и выбрав соединение, которое вы только что создали. Убедитесь, что вы получили сообщение о том, что VPN-соединение прошло успешно, затем перейдите на веб-сайт IP-проверки , чтобы убедиться, что ваш IP-адрес теперь отображается как IP-адрес сервера.

Если вы получили сообщение о том, что VPN-подк

VPN-сервер посредством PPTP на Ubuntu 14.04 » Crossroads

PPTP не является эталоном безопасности и плохо дружит с фаерволами, но является одним из самых простых способов построения изолированной локальной сети и установки защищённого соединения с ней. При том, что протокол PPTP достаточно дырявый, чтоб не использовать его в корпоративных сетях и там, где нужна гарантия конфиденциальности, он вполне приемлем для построения частных сетей для обмена информацией, либо выхода в Интернет через такие сети. В любом случае, уязвимость протокола не останавливает многих интернет-провайдеров от подключения своих клиентов именно через PPTP.

При определённых настройках между клиентом и сервером устанавливается прямое шифрованное соединение в стандартной, незащищённой сети. Таким образом данный тип соединения может быть использован для выхода в Интернет из публичных Wi-Fi сетей и интернет-кафе.

И так, для начала нам нужен сервер. Для VPN сетей с небольшой нагрузкой виртуального сервера (VPS) более чем достаточно. Проблема в том, что порог вхождения на рынок интернет-услуг, мягко говоря не высок. Соответственно качество этих услуг часто оставляет желать лучшего. В любом случае, перед покупкой необходимо уточнит разрешены ли у хост-провайдера VPN сети вообще и включены ли на их VPS NAT и TUN/TAP.

На правах рекламы я рекомендую провайдера DigitalOcean. Я пользуюсь их услугами с момента открытия ими второго дата-центра в Нью-Йорке (почти 2 года) и за это время нареканий к их работе у меня не возникло. За почти десять лет я сменила множество провайдеров и мне есть с чем сравнить. То есть это действительно современный сервис «для людей». В случае с DigitalOcean, поддержка VPN включается в один клик клиентом при создании VPS. После регистрации и внесения минимального месячного платежа клиент сам выбирает конфигурацию своего VPS (Droplet, в терминологии DigitalOcean), которая варьируется от 512 MB RAM и 20 GB дискового пространства, до тех мощностей, которые клиенту по карману. Система виртуализации — KVM, накопители — SSD диски. Деньги со счёта клиента списываются ежедневно из расчёта почасовой оплаты. Клиент в любое время может пересоздать, изменить или уничтожить свой Droplet, а так же создать новый. Они гордятся своими 55-ю секундами и по факту, действительно, между нажатием кнопки «создать» и получением письма с IP-адресом и паролем для root-доступа проходит не больше минуты. DigitalOcean так же продают услуги в Амстердаме, что для европейских и восточноевропейских клиентов, возможно, более предпочтительно из-за расстояния и пинга между сервером и аудиторией этого сервера. В любом случае, при создании VPS нужно поставить галку напротив «Private Networking», чтоб включить в конфигурацию NAT и TUN/TAP.

Я настоятельно не рекомендую без острой необходимости использовать 32-х битные дистрибутивы современных операционных систем в виду устаревшей архитектуры и того, что сами разработчики уделяют им гораздо меньшее внимание, по сравнению с 64-х битными. Таким образом в природе существует 32-х битная серверная версия Ubuntu 14. 04, но на официальном сайте Ubuntu она не представлена там, где предлагается загрузка образа этой ОС.

И так, после того как с сервером мы определились, то приступаем к установке. В моём случае это VPS с 1024 RAM и 64-х битной Ubuntu 14.04 в качестве ОС.

aptitude install pptpd

Разрешаем IP-forwarding. Для этого редактируем файл /etc/sysctl.conf и в нём либо расскоментируем, либо добавляем следующую строку, если таковая отсутствует:

net.ipv4.ip_forward = 1

Для принятия изменений в терминале командуем:

sysctl -p

Правим файл /etc/pptpd.conf и приводим его к следующему виду:

option /etc/ppp/pptpd-options
logwtmp
localip 10.30.1.1
remoteip 10.30.1.30-40,10.30.1.15

Где localip — IP виртуального сетевого интерфейса ppp0. Не нужно прописывать сюда внешний IP сервера, или IP других сетевых интерфейсов сервера.
Remoteip — диапазон клиентских адресов в количестве десяти (от 10. 30.1.30 и до 10.30.1.40), а так же (через запятую) выделенные адреса (если таковые необходимы). В моём случае выделенный адрес один. Вы можете указать здесь любое приемлемое значение.
Например:

localip 10.10.1.1
remoteip 10.10.1.100-200,10.10.1.25,10.10.1.26

В таком случае динамичные адреса, раздаваемые клиентам присутствуют в количестве ста штук и два адреса зарезервированы.

Далее редактируем файл /etc/ppp/chap-secrets

user1 pptpd password "*"
user2 pptpd password "10.30.1.15"

В файле у нас два пользователя user1 и user2, password — пароли пользователей, звёздочка в кавычках говорит о том, что user1 получит свободный IP из указанного в /etc/pptpd.conf диапозона, а за user2 закреплён выделенный адрес. Соблюдение синтаксиса обязательно.

Редактируем файл /etc/ppp/pptpd-options


name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
nodefaultroute
lock
nobsdcomp
novj
novjccomp
nologfd
noipx
mtu 1400
mru 1400

Где ms-dns — DNS сети. Указаны публичные адреса Google, но можно выставить свои, если таковые имеются. MTU и MRU по умолчанию установлены в значение 1500. Если удалить эти две строки, то будет использоваться значение по умолчанию. В моём случае при значениях по умолчанию наблюдается большая потеря пакетов. То есть к этим строкам подход индивидуальный. Всё зависит от настроек клиентской стороны и от скорости соединения в целом.

Перезагружаем pptp сервер

service pptpd restart

Проверяем.

netstat -alpn | grep :1723

Если получаем нечто похожее на то, что на скриншоте, то всё работает как надо.

Создаём правила NAT для iptables

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save

Если хотим, чтоб клиенты видели друг друга в локальной сети и могли обмениваться файлами, то прописываем следующие правила:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Сохраняем

iptables-save

Если вы используете стороннюю программу для настроек фаервола, то перед тем как вносить через неё изменения, следует убедиться, что принятые только что правила отображаются в этой программе. Я использую панель управления Webmin и фаервол обычно настраиваю через неё. Соответственно там отображаются лишь те правила, которые были внесены через неё. Если добавить правило и применить, то изменения, принятые через терминал в процессе настройки PPTP сервера перезапишутся. Чтоб этого не произошло, в Webmin, в настройках фаервола нужно вернуть текущую конфигурацию iptables. Убеждаемся, что принятые изменения присутствуют в списке правил и только тогда жмём «сохранить».

На этом всё. Ниже два скриншота с настройками подключения на стороне клиента (Windows и Linux).

После удачного соединения можно вывести список сетевых интерфейсов с помощью команды ifconfig и убедиться в том, что всё работает.gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

dns_nameservers 8.8.8.8 8.8.4.4
positive_dns_ttl 6 hours
negative_dns_ttl 1 minutes

#auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwords
#auth_param basic children 5
#auth_param basic realm Please provide your username and password.
#auth_param basic credentialsttl 24 hour

#acl ncsa_users proxy_auth REQUIRED

acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443 # https
acl SSL_ports port 22 # ssh

acl All_ports port 1-65535 # unregistered ports

acl CONNECT method CONNECT

http_access allow localnet
#http_access allow ncsa_users
http_access allow All_ports
http_access allow CONNECT SSL_ports
http_access deny all

coredump_dir /var/spool/squid3

request_header_access Cache-Control deny all

В данной конфигурации Squid будет обслуживать клиентов локальной сети без пароля, из внешних сетей доступ к нему будет закрыт. Если раскомментировать закомментированые строки конфигурации, то клиенты локальной сети по прежнему смогут обращаться к нему без пароля, но так же будет возможен доступ из вне, но уже с паролями, указанными в файле «passwords».

Для клиентов локальной сети адрес прокси должен быть локальным. Смотрите скриншот выше с выводом команды «ifconfig». У меня на сервере два физических сетевых интерфейса: eth0, который смотрит в Интернет и eth2 — интерфейс, смотрящий в локальную сеть. Таким образом в моём случае адрес прокси будет 10.128.9.55. Для клиентов из внешних сетей в качестве адреса должен служить внешний IP сервера.

Таким образом PPTP нет необходимости пробрасывать трафик от клиента во внешнюю сеть через фаервол. Этим будет заниматься Squid.

На этом всё. Наша сеть работает.

___
Tatyana K.

Настройка VPN на Ubuntu Server (способ первый)

Содержание

Установка OpenVPN на Ubuntu Server

Приступим к установке пакетов на нашем сервере. В терминале набираем:

sudo apt update
sudo apt install openvpn easy-rsa -y

Оба пакеты должны быть установлены как на сервере, так и на клиенте. Они понадобятся для настройки программы.

Настройка сертификатов OpenVPN

Для настройки сертификатов нам потребуется пакет easy-rsa. Копируем директорию /easy-rsa в директорию нашего openvpn сервера. Но для начала станем root пользователем

sudo -su
sudo cp -R /usr/share/easy-rsa /etc/openvpn/

Перейдем в директорию /easy-rsa

cd /etc/openvpn/easy-rsa/

Откроем на редактирование файл vars

sudo nano vars

В конце файла заменим информацию о сертификатах по умолчанию (ваши значения).

export KEY_COUNTRY="RU"
export KEY_PROVINCE="Moscow Region"
export KEY_CITY="Moscow"
export KEY_ORG="MyOrg"
export KEY_EMAIL="[email protected]"
export KEY_OU="MyOrganizationalUnit"
# PKCS11 я не использовал, поэтому оставил без изменений.
export PKCS11_MODULE_PATH=changeme
export PKCS11_PIN=1234
export KEY_ALTNAMES="VPNtoRUS"

Загружаем переменные

source ./vars

Если выдает вот такое предупреждение:

**********************************************************
 No /etc/openvpn/easy-rsa/openssl.cnf file could be found
   Further invocations will fail
 *********************************************************
 NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

Значит надо переименовать один из файлов openssl-X.X.X.cnf в файл с именем openssl.cnf

sudo mv openssl-1.0.0.cnf openssl.cnf

Далее очищаем от старых сертификатов и ключей директорию /keys

./clean-all

Создаем сертификат ЦС. По умолчанию поля будут заполняться данными, введенными ранее в файле /vars, поэтому можно ничего не менять.

./build-ca

Создаем ключ сервера

./build-key-server server

В конце соглашаемся с запросом на подпись и добавление сертификат в базу.

Создаем ключ Диффи-Хеллмана

./build-dh

Cоздаем ключ для tls-аутификации

openvpn --genkey --secret keys/ta.key

Создадим симлинк на директорию ./keys

sudo ln -s /etc/openvpn/easy-rsa/keys /etc/openvpn/keys

Если же по какой либо причине у Вас при создании сертификатов сервер выдает ошибку. Значит придется скачать и собрать пакет easy-rsa самостоятельно. Как это сделать смотрим эту статью.

Настройка конфигурационного файла OpenVPN сервера

Далее создаем конфигурационный файл openvpn.

sudo touch /etc/openvpn/server.conf

Со следующим содержимым:

# Порт на котором будет крутиться наш VPN (по умолчанию 1194)
port 1194
# Протокол может быть UDP или TCP.
proto udp
#Сообщение серверу о конце сессии (если укажите TCP,то ставим 0)
explicit-exit-notify 2
# Название интерфейса.
dev tun
# Указываем директории с нашими ключами
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh3048.pem
# Задаем IP и маску виртуальной сети. Произвольно, но если не уверены лучше делайте как показано здесь
server 10.8.0.0 255.255.255.0
# Указываем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd
# Запоминать динамически выданные адреса для VPN-клиентов и при последующих подключениях назначать те же значения.
ifconfig-pool-persist ipp.txt
### Включаем TLS
tls-server
# Для сервера 0 для клиента 1
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
# Проверка подлинности пакетов
auth SHA256
# Шифровать методом
cipher AES-256-CBC
# Чтобы клиенты видели друг друга
client-to-client
# Один IP на клиента
topology subnet
# Разрешить дублирующие сертификаты
;duplicate-cn
# Пинг клиента каждые 10 сек. и разрыв соединения если нет пинга в течении 120 сек.
keepalive 10 120
# Сжатие трафика старые клиенты
comp-lzo
#Новые v2.4+ 
;compress lz4-v2
;push "compress lz4-v2"
# Максимум клиентов
max-clients 10
# Права для клиентов-только для Linux
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства, после получения SIGUSR1 или ping-restart
persist-key
persist-tun
# Логи
status openvpn-status.log
log /var/log/openvpn/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20
# Файл отозванных сертификатов. Раскомментировать, когда такие сертификаты появятся.
;crl-verify /etc/openvpn/crl.pem

Создадим директорию для клиентских конфигов

mkdir /etc/openvpn/ccd

Можно запускать наш сервер OpenVPN

service openvpn restart

Смотрим список интерфейсов

ifconfig

Если среди прочих видим

 tun0: flags=4305  mtu 1500
         inet 10.8.0.1  netmask 255.255.255.255  destination 10.8.0.1
         unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
         RX packets 0  bytes 0 (0.0 B)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 0  bytes 0 (0.0 B)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

значит VPN-сервер завелся. Если нет, то смотрим лог

tail -f /var/log/openvpn/openvpn.log

Либо можно попробывать перезагрузить ваш сервер

sudo reboot

После перезагрузки должно все заработать. Если нет, то курим логи

Настройка конфигурационного файла клиента.

Создаем сертификат клиента:

cd /etc/openvpn/easy-rsa
./build-key client1

Далее необходимо скопировать файлы client1.crt, client1.key, ta.key и ca.crt с сервера на клиентскую машину. Для этого в консоли набираем:

scp /etc/openvpn/keys/{client1.crt,client1.key,ca.crt,ta.key} [email protected]:/etc/openvpn/

где,
user — это пользователь на клиентской машине с правами sudo
user-host — это IP адрес ПК на которую передаем ключи

Если вам нужно перенести файлы например на Windows машину или Android, то набираем следующие команды:

zip client1.zip client1.crt client1.key ca.crt ta.key

Далее копируем наш архив в директорию включенную в шару.
Как настроить шару на Ubuntu Server.

Ну а дальше все как обычно, заходим на расшаренную папку и копируем наш zip архив.

Если все прошло гладко,то переходим на ПК клиента. Установим необходимые пакеты (Для клиента на Ubuntu)

sudo apt install openvpn easy-rsa -y

Создадим файл client.conf:

sudo touch /etc/openvpn/client.conf

с содержимым:

client
proto udp
dev tun
# !!! замените на настоящий ip адрес сервера
remote 111.111.111.111 1194
# следующие две строчки актуальны только для Linux систем
# на практике они не очень удобны, так как OpenVPN не сможет
# нормально все за собой почистить по завершению работы
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства
persist-key
persist-tun
# Пути где располагаются сертификаты
ca ca.crt
cert client1.crt
key client1.key
# Используемое шифрование
cipher AES-256-CBC
auth SHA256
# Сжатие трафика
comp-lzo
# Детальность логирования 
verb 3

Запускаем VPN туннель:

sudo openvpn --config client.conf

В соседнем терминале набираем:

ping 10.8.0.1

Если все было сделано правильно, вы обнаружите, что пинги успешно доходят до 10.8.0.1

Авто запуск openvpn при старте

Разрешаем автозапуск службы:

systemctl enable openvpn

Если есть вопросы, то пишем в комментариях.

Также можете помочь проекту, заранее всем СПАСИБО!!!

.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

0
0
vote

Рейтинг статьи

Настройка VPN на Ubuntu Server (способ второй)

Чтобы поднять свой VPN, нам потребуется сервер с Ubuntu или Debian, пакет OpenVPN и Easy-RSA. Если сервер у вас уже есть, хорошо. Если нет, то не расстраивайтесь. Приобрести сервер сейчас не так уж и сложно. В интернете предложение сейчас навалом.

Содержание

Установка OpenVPN на Ubuntu Server 16.04 | 17.04 | 18.04

Приступим к установке пакетов на нашем сервере. В терминале набираем:

sudo apt update
sudo apt install openvpn -y

Раньше в OpenVPN входила утилита под названием easy-rsa,- предназначенная для генерации ключей и сертификатов. Начиная с версии 2.3 эту утилиту из пакета выпилили, поэтому придется скачать и собрать ее самостоятельно:

Для этого перейдем в директорию /tmp и скачаем пакет Easy-RSA

cd /tmp
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip

Распакуем скачанный архив

unzip master.zip

Теперь соберём пакет

./easy-rsa-master/build/build-dist.sh

Распакуем собранный пакет

unzip ./EasyRSA-git-development.zip

Дальнейшие изменения будем делать от root для этого набираем:

sudo -su

Перенесем директорию easy-rsa в директорию openvpn

sudo mv ./easy-rsa-master/EasyRSA-git-development/easyrsa3 /etc/openvpn/easy-rsa

Далее нужно будет настроить сертификаты для нашего VPN сервера

Настройка сертификатов OpenVPN

Переходим в нашу директорию

cd /etc/openvpn/easy-rsa

Отредактируем файл vars.exemple. Нужно будет раскоментировать и внести изменения в некоторые строки как у меня в примере:

set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "Russia"
set_var EASYRSA_REQ_CITY "Moscow"
set_var EASYRSA_REQ_ORG "Copyleft Certificate Co"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_REQ_OU "My Organizational Unit"

Генерируем все необходимые ключи и сертификаты.

./easyrsa init-pki

Это команда создаст директорию /etc/openvpn/pki, где будут располагаться наши сертификаты

Далее сертификат ЦС:

./easyrsa build-ca

При создании сертификата ЦС необходимо будет ввести пароль

Создаем сертификат сервера:

./easyrsa build-server-full server

При создании сертификата сервера необходимо ввести пароль для сертификата сервера, а также пароль ЦС

Сертификат Диффи-Хеллмана:

./easyrsa gen-dh

При создании ключа Диффи-Хеллмана придется набраться терпения 🙂

Далее сертификат клиента:

./easyrsa build-client-full client1

При создании сертификата клиента необходимо ввести пароль для сертификата клиента, а также пароль ЦС

Cоздаем ключ для tls-аутификации.

openvpn --genkey --secret ./pki/private/ta.key

Переносим полученные ключи и сертификаты в каталог /etc/openvpn/:

mv ./pki/dh.pem /etc/openvpn/keys/dh3048.pem
mv ./pki/private/client1.key /etc/openvpn/keys/
mv ./pki/private/server.key /etc/openvpn/keys/
mv ./pki/ca.crt /etc/openvpn/keys/
mv ./pki/issued/client1.crt /etc/openvpn/keys/
mv ./pki/issued/server.crt /etc/openvpn/keys/

на этом установка openvpn закончена

Настройка конфигурационного файла OpenVPN сервера

Далее создаем конфигурационный файл openvpn.

sudo touch /etc/openvpn/server.conf

Со следующим содержимым:

# Порт на котором будет крутиться наш VPN (по умолчанию 1194)
port 1194
# Протокол может быть UDP или TCP.
proto udp
#Сообщение серверу о конце сессии (если укажите TCP,то ставим 0)
explicit-exit-notify 2
# Название интерфейса.
dev tun
# Указываем директории с нашими ключами
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh3048.pem
# Задаем IP и маску виртуальной сети. Произвольно, но если не уверены лучше делайте как показано здесь
server 10.8.0.0 255.255.255.0
# Указываем, где хранятся файлы с настройками IP-адресов клиентов (создадим ниже)
client-config-dir ccd
# Запоминать динамически выданные адреса для VPN-клиентов и при последующих подключениях назначать те же значения.
ifconfig-pool-persist ipp.txt
### Включаем TLS
tls-server
# Для сервера 0 для клиента 1
tls-auth /etc/openvpn/keys/ta.key 0
tls-timeout 120
# Проверка подлинности пакетов
auth SHA256
# Шифровать методом
cipher AES-256-CBC
# Чтобы клиенты видели друг друга
client-to-client
# Один IP на клиента
topology subnet
# Разрешить дублирующие сертификаты
;duplicate-cn
# Пинг клиента каждые 10 сек. и разрыв соединения если нет пинга в течении 120 сек.
keepalive 10 120
# Сжатие трафика старые клиенты
comp-lzo
#Новые v2.4+ 
;compress lz4-v2
;push "compress lz4-v2"
# Максимум клиентов
max-clients 10
# Права для клиентов-только для Linux
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства, после получения SIGUSR1 или ping-restart
persist-key
persist-tun
# Логи
status openvpn-status.log
log /var/log/openvpn/openvpn.log
# Детальность логирования
verb 3
# Защита от повторов (максимум 20 одинаковых сообщений подряд)
mute 20
# Файл отозванных сертификатов. Раскомментировать, когда такие сертификаты появятся.
;crl-verify /etc/openvpn/crl.pem

Создадим директорию для клиентских конфигов

mkdir /etc/openvpn/ccd

Можно запускать наш сервер OpenVPN

service openvpn restart

Далее приступаем к настройке клиентской части

Настройка конфигурационного файла OpenVPN клиента.

Теперь что касается клиентской стороны. Нам необходимо скопировать файлы client1.crt, client1.key, ta.crt и ca.crt с сервера на клиентскую машину. Для этого в консоле клиента набираем:

 scp /etc/openvpn/keys/{client1.crt,client1.key,ca.crt,ta.key} [email protected]:/etc/openvpn/

где,
user — это пользователь на сервере
user-host — это IP адрес вашего клиента

Если не удаётся  скопировать сертификаты, то необходимо поменять права на данные файлы

Создадим файл client.conf:

sudo nano /etc/openvpn/client.conf

с содержимым:

client
proto udp
dev tun
# !!! замените на настоящий ip адрес сервера
remote 111.111.111.111 1194
# следующие две строчки актуальны только для Linux систем
# на практике они не очень удобны, так как OpenVPN не сможет
# нормально все за собой почистить по завершению работы
user nobody
group nogroup
# Не перечитывать ключи, не закрывать и переоткрывать TUN\TAP устройства
persist-key
persist-tun
# Пути где располагаются сертификаты
ca ca.crt
cert client1.crt
key client1.key
# Используемое шифрование
cipher AES-256-CBC
auth SHA256
# Сжатие трафика
comp-lzo
# Детальность логирования 
verb 3

Подрубаемся к серверу, внимательно читаем логи:

sudo openvpn --config client.conf

В соседнем терминале говорим:

ping 10.8.0.1

Если все было сделано правильно, вы обнаружите, что пинги успешно доходят до 10.8.0.1

Авто запуск openvpn при старте

Разрешаем автозапуск службы:

systemctl enable openvpn

Если есть вопросы, то пишем в комментариях.

Также можете помочь проекту, заранее всем СПАСИБО!!!

.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

0
0
vote

Рейтинг статьи

Настройка VPN-сервера PPTPD на базе Ubuntu Server 10.04 LTS для раздачи интернета в локальную сеть офиса

Статью писал, основываясь на личном опыте недельной е*ли с настройками сервака и поисков в гугле. В результате имеем 100% рабочую конфигурацию (все юзвери получают инфернет, все интернет-ресурсы доступны) без багов и подводных камней. Т.к. не обладаю достаточным опытом ни в написании статей, ни в администрировании линуксячих серверов, то опишу все «народным» языком… Итак…

Имеем:

1) Роутер, подсоединенный по PPTP к местному провайдеру. Нужен так же WiFi для отдельного круга нетбуков и ноутов, на которых не будет заводиться свое VPN, т.к. этот круг постоянно меняется. Ноуты будут получать инет из сетки роутера. Потому конфиг сети именно такой =)

2) Всежеустановленный сервер Ubuntu Server 10.04 LTS

3) 2 сетевые карты, одна из которых (eth0) смотрит во внутреннюю сеть роутера и получает из нее интернет, а вторая (eth2) — во внутреннюю сеть здания. К ней и будут коннектиться пользовательские компы.

Для таких же, как я: Прелесть PPTPD-сервера в том, что для него, в отличии от того же OpenVPN, не требуется установка отдельного VPN-клиента на пользовательские машины, достаточно встроенных средств винды или той же линухи.

Установка сервака происходит довольно просто, вот ссылка на мою же статейку. После установки самой системы дальнейшее выполняется одним скриптом. Для общения с сервером из моей винды (да, пока еще грешу этим делом чтоб в игрульки поиграть) по SSH я использовал putty. Мануалов по его настройке и установке предостаточно на просторах инфернета. Вот, как по мне, хорошо прописанная инструкция по установке. Для запуска иксов на винде (кому вдруг необходимо) рекомендую Xming. После его установки в putty, в колонке Connection — SSH — X11, поставьте галочку на Enable X11 Forvarding.

Скажем, сервер у Вас рабочий уже имеется. Тогда приступим к настройке.

  • Настраиваем сеть. У меня, как я уже говорил, две сетевухи. Вот мой конфиг: 

sudo nano /etc/network/interfaces

sudo /etc/init.d/networking restart

Проверяем, чтоб все было православно:

ifconfig -a

Если вывод команды показывает, что все так, как Вы настраивали, и ошибок нет, то идем дальше.

  • Ставим следующие пакеты:

sudo apt-get install ppp pptpd bind9

DNS-сервер настройки для нашего случая не требует, потому сразу

  • Настраиваем PPTPD-сервер

sudo nano /etc/ppp/pptpd-options

# Authentication
name pptpd
auth

# Encryption
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128

# По умолчанию для шифромания ничего менять не надо, но на всякий случай сверьтесь

# Network and Routing
ms-dns 192.168.137.1

# В качестве DNS для наших VNP-соединений указываю адрес моего eth2

#proxyarp

# Мы не раздаем пользователям IP из нашей реальной подсети, потому смело каментим 
# данный параметр

# Logging
logfile /var/log/pptpd.log

# Указываем путь к файлу, в который наш PPTPD будет писать лог подключений и т.п.
# С pptpd-options все, идем дальше.

sudo nano /etc/pptpd.conf 

bcrelay eth2 

#Широковещательные пакеты пользователям из внутреннего интерфейса


localip 192.168.137.1
remoteip 192.168.137.100-200 

# Локальный адрес — адрес внутренней сетевой, внешний адрес — группа адресов, 
# выдаваемых пользователям при подключении.
# С pptpd.conf все, идем дальше.

  • Создадим пользователей нашего VPN-сервера:

 sudo nano /etc/ppp/chap-secrets

Client              Server              Passwd                IP
geshyk   pptpd  gn1203td  «*»
stalker    pptpd o1bp3t09  «*»

# Пользователей создаем именно в таком формате, вместо <Tab> должно быть понятное  # дело что 🙂 Если Вы не будете закреплять за каждым пользователем отдельный IP, то  
# напротив него в соответствующей графе ставим «*»

  • Настраиваем IPTABLES, будь он, курва, неладен:

Для этого создадим скрипт и поставим его в автозагрузку. Скрипт был скопипизжен из сети. Разберитесь и, если надо, переделайте под себя.

sudo nano /etc/init.d/firewall.sh

#!/bin/sh

# Минимальные настройки скрипта
# Внешний интерфейс
IF_EXT=»eth0″
# Внутренний интерфейс
IF_INT=»eth2″
# Локальная сеть
NET_INT=»192.168.137.0/255.255.255.0″

# На всякий случай сбрасываем все правила
iptables -F
iptables -F -t nat

# Устанавливаем политики по умолчанию:
# Никого не пускать
#iptables -P INPUT DROP
# Всех выпускать
#iptables -P OUTPUT ACCEPT
# Мимо нас никто не ходит
#iptables -P FORWARD DROP

# Впускаем ответы на запросы, которые сами отправили
iptables -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT

# Разрешаем весь трафик на внутреннем интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем весь трафик со стороны локальной сети
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT

# Разрешаем весь трафик, который необходим для работы PPTP-сервера
iptables -A INPUT -m tcp -p tcp —dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

# NAT для локальной сети на внешнем интерфейсе
iptables -t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
# Разрешаем пересылку пакетов из локальной сети наружу
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
# Разрешаем пересылку в локальную сеть ответов на исходящие запросы
iptables -A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state —state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем все пинги.
#iptables -A INPUT -p icmp -j ACCEPT
#Настройка MTU
#iptables -I FORWARD -p tcp —tcp-flags SYN,RST SYN -j TCPMSS —clamp-mss-to-pmtu 

# Делаем его исполняемым и ставим на старт при загрузке системы

cd /etc/init.d

sudo chmod +x firewall.sh

sudo update-rc.d firewall.sh defaults 99

# В файле /etc/sysctl.conf раскоментируем одну строчку, чтобы разрешить пересылку
# IP-пакетов в ядре.

sudo nano /etc/sysctl.conf

net.ipv4.ip_forward=1

# Перезагружаем сервер

sudo reboot 

Перезагружаем сервер, и проверяем коннект пользователей. В винде нужно создать pptp-подключение, поставив обязательным шифрование и оставив только MS-Chap v.2. В настройках сетевой указывайте любой IP в диапазоне 192.168.137.2-99, ибо 192.168.137.100-200 раздаются vpn-соединениям, а эти вещи ни в коем случае не должны пересекаться.

Вот, собственно, и все… Удачного пользования. Надеюсь, кого-то эта статейка спасла от бесполезной траты драгоценных человекочасов на сидение перед монитором. И вместо этого человек пошел к кентам и пива попил с рыбкой.

 
 

 

Сервис — OpenVPN | Документация на сервер

OpenVPN — это решение для виртуальной частной сети (VPN), доступное в репозиториях Ubuntu. Он гибкий, надежный и безопасный. Он принадлежит к семейству стеков SSL / TLS VPN (отличных от IPSec VPN). В этой главе рассказывается об установке и настройке OpenVPN для создания VPN.

Если вам нужно больше, чем просто общие ключи, OpenVPN упрощает настройку инфраструктуры открытых ключей (PKI) для использования сертификатов SSL / TLS для аутентификации и обмена ключами между сервером VPN и клиентами.OpenVPN может использоваться в режиме VPN с маршрутизацией или мостом и может быть настроен на использование UDP или TCP. Номер порта также можно настроить, но порт 1194 является официальным; этот единственный порт используется для всех коммуникаций. Реализации VPN-клиентов доступны практически для всего, включая все дистрибутивы Linux, OS X, Windows и маршрутизаторы WLAN на базе OpenWRT.

Установка сервера

Чтобы установить openvpn в терминал, введите:

  sudo apt установить openvpn easy-rsa
  

Настройка инфраструктуры открытого ключа

Первым шагом в создании конфигурации OpenVPN является создание PKI (инфраструктуры открытых ключей).PKI состоит из:

  • отдельный сертификат (также известный как открытый ключ) и закрытый ключ для сервера и каждого клиента.

  • — главный сертификат и ключ центра сертификации (CA), используемый для подписи сертификатов сервера и клиента.

OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента до установления взаимного доверия.

И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в уже аутентифицированном заголовке сертификата, такую ​​как общее имя сертификата или тип сертификата ( клиент или сервер).

Настройка центра сертификации

Чтобы настроить собственный центр сертификации (CA) и сгенерировать сертификаты и ключи для сервера OpenVPN и нескольких клиентов, сначала скопируйте каталог easy-rsa в / etc / openvpn .Это гарантирует, что любые изменения сценариев не будут потеряны при обновлении пакета. С терминала запустите:

  Судо make-cadir / etc / openvpn / easy-rsa
  

Примечание. При желании вы можете также отредактировать файл / etc / openvpn / easy-rsa / vars напрямую, настроив его в соответствии с вашими потребностями.

Как root пользователь перейдите во вновь созданный каталог / etc / openvpn / easy-rsa и запустите:

  ./easyrsa init-pki
./easyrsa build-ca
  

Ключи и сертификаты сервера

Далее мы сгенерируем пару ключей для сервера:

 ./ easyrsa gen-req myservername nopass
  

Параметры Диффи Хеллмана должны быть сгенерированы для сервера OpenVPN. Следующее поместит их в pki / dh.pem .

  ./easyrsa gen-dh
  

И наконец сертификат для сервера:

  ./easyrsa gen-req myservername nopass
./easyrsa sign-req server имя-сервера
  

Все сертификаты и ключи были созданы в подкаталогах. Обычная практика — скопировать их в / etc / openvpn /:

  cp pki / dh.pem pki / ca.crt pki / выданный / myservername.crt pki / private / myservername.key / etc / openvpn /
  

Сертификаты клиентов

VPN-клиенту также понадобится сертификат для аутентификации на сервере. Обычно вы создаете разные сертификаты для каждого клиента.

Это можно сделать либо на сервере (как ключи и сертификаты выше), а затем безопасно передать клиенту. Или наоборот: клиент может сгенерировать и отправить запрос, который отправляется и подписывается сервером.

Чтобы создать сертификат, введите в терминале следующее, будучи пользователем root:

  ./easyrsa gen-req myclient1 nopass
./easyrsa sign-req client myclient1
  

Если первая команда выше была выполнена в удаленной системе, скопируйте файл .req на сервер CA. Затем вы можете импортировать его через easyrsa import-req /incoming/myclient1.req myclient1 . Затем вы можете перейти ко второй команде sign-eq .

В обоих случаях после этого скопируйте следующие файлы на клиент безопасным способом:

  • пки / ок.крт
  • пки / выдано / myclient1.crt

Поскольку клиентские сертификаты и ключи требуются только на клиентском компьютере, вы можете удалить их с сервера.

Простая конфигурация сервера

Вместе с установкой OpenVPN у вас есть эти образцы файлов конфигурации (и многие другие, если вы проверите):

  корень @ сервер: / # ls -l / usr / share / doc / openvpn / examples / sample-config-files /
всего 68
-rw-r - r-- 1 root root 3427 04.07.2011, 15:09 client.conf
-rw-r - r-- 1 root root 4141 04.07.2011, 15:09 server.conf.gz
  

Начните с копирования и распаковки server.conf.gz в /etc/openvpn/server.conf.

  sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/myserver.conf.gz
sudo gzip -d /etc/openvpn/myserver.conf.gz
  

Отредактируйте /etc/openvpn/myserver.conf , чтобы убедиться, что следующие строки указывают на сертификаты и ключи, которые вы создали в разделе выше.

  ca ca.crt
сертификат myservername.crt
ключ myservername.key
dh dh3048.pem
  

Завершите этот набор клавишей ta в etc / openvpn для tls-auth, например:

  sudo openvpn --genkey --secret ta.key
  

Отредактируйте /etc/sysctl.conf и раскомментируйте следующую строку, чтобы включить переадресацию IP.

  # net.ipv4.ip_forward = 1
  

Затем перезагрузите sysctl.

  Судо sysctl -p /etc/sysctl.conf
  

Это минимум, который вам нужно настроить, чтобы получить работающий сервер OpenVPN.Вы можете использовать все настройки по умолчанию из примера файла server.conf. Теперь запустите сервер.

Имейте в виду, что «systemctl start openvpn» — это , а не , запускающий только что определенный вами openvpn.
Openvpn использует шаблонные системные задания, openvpn @ CONFIGFILENAME. Итак, если, например, ваш файл конфигурации — myserver.conf , ваша служба называется openvpn @ myserver. Вы можете запускать всевозможные команды service и systemctl, такие как start / stop / enable / disable / preset, для шаблонной службы, такой как openvpn @ server.

  $ sudo systemctl start openvpn @ мойсервер
  

В журнале вы найдете записи и сообщения об ошибках. Например, если вы запустили шаблонную службу openvpn @ server, вы можете отфильтровать этот конкретный источник сообщения с помощью:

  sudo journalctl -u openvpn @ myserver -xe
  

Один и тот же шаблонный подход работает для всех systemctl:

  $ sudo systemctl статус openvpn @ myserver
[email protected] - подключение OpenVPN к моему серверу
   Загружено: загружено (/ lib / systemd / system / openvpn @.оказание услуг; отключен; предустановка поставщика: включена)
   Активен: активен (работает) с Чт 2019-10-24 10:59:25 UTC; 10с назад
     Документы: man: openvpn (8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
 Основной PID: 4138 (openvpn)
   Статус: «Последовательность инициализации завершена»
    Задач: 1 (лимит: 533)
   Память: 1.0 МБ
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─4138 / usr / sbin / openvpn --daemon ovpn-myserver --status / run / openvpn / myserver.статус 10 --cd / etc / openvpn --script-security 2 --config /etc/openvpn/myserver.conf --writepid / run /

24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: / sbin / ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: / sbin / ip route добавить 10.8.0.0/24 через 10.8.0.2
24 октября, 10:59:26 eoan-vpn-server ovpn-myserver [4138]: не удалось определить протокол IPv4 / IPv6. Использование AF_INET
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: Буферы сокетов: R = [212992-> 212992] S = [212992-> 212992]
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: локальная ссылка UDPv4 (привязанная): [AF_INET] [undef]: 1194
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: удаленный канал UDPv4: [AF_UNSPEC]
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: MULTI: вызов multi_init, r = 256 v = 256
24 октября, 10:59:26 eoan-vpn-server ovpn-myserver [4138]: IFCONFIG POOL: base = 10.8.0.4 размер = 62, ipv6 = 0
24 октября, 10:59:26 eoan-vpn-server ovpn-myserver [4138]: IFCONFIG POOL LIST
24 октября 10:59:26 eoan-vpn-server ovpn-myserver [4138]: последовательность инициализации завершена
  

Вы можете включать / отключать различные службы openvpn в одной системе, но вы также можете позволить Ubuntu сделать это за вас. Конфигурация для AUTOSTART находится в / etc / default / openvpn . Допустимые значения: «все», «нет» или список имен VPN, разделенных пробелами. Если пусто, предполагается «все». Имя VPN относится к имени файла конфигурации VPN.т.е. home будет /etc/openvpn/home.conf Если вы используете systemd, изменение этой переменной потребует запуска systemctl daemon-reload с последующим перезапуском службы openvpn (если вы удалили записи возможно, вам придется остановить их вручную).

После «systemctl daemon-reload» перезапуск «общего» openvpn перезапустит все зависимые службы, которые генератор в / lib / systemd / system-generators / openvpn-generator создал для ваших файлов conf при вызове daemon-reload.

Теперь проверьте, создал ли OpenVPN интерфейс tun0:

  root @ server: / etc / openvpn # ip addr show dev tun0
5: tun0:  mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    ссылка / нет
    inet 10.8.0.1 peer 10.8.0.2/32 глобальная область tun0
       valid_lft навсегда предпочтительный_lft навсегда
    inet6 fe80 :: b5ac: 7829: f31e: 32c5 / 64 ссылка области видимости стабильная конфиденциальность
       valid_lft навсегда предпочтительный_lft навсегда
  

Простая настройка клиента

Существуют различные реализации клиента OpenVPN с графическим интерфейсом пользователя и без него.Вы можете узнать больше о клиентах в следующем разделе о VPN-клиентах. На данный момент мы используем клиент OpenVPN на основе командной строки / службы для Ubuntu, который является частью того же пакета, что и сервер. Поэтому вам нужно снова установить пакет openvpn на клиентском компьютере:

  sudo apt установить openvpn
  

На этот раз скопируйте образец файла конфигурации client.conf в / etc / openvpn /:

  sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf / etc / openvpn /
  

Скопируйте следующие клиентские ключи и файлы сертификатов, которые вы создали в разделе выше, в e.грамм. / etc / openvpn / и отредактируйте /etc/openvpn/client.conf , чтобы убедиться, что следующие строки указывают на эти файлы. Если у вас есть файлы в / etc / openvpn /, вы можете не указывать путь.

  ca ca.crt
сертификат myclient1.crt
ключ myclient1.key
tls-auth ta.key 1
  

И вы должны указать имя или адрес сервера OpenVPN. Убедитесь, что ключевое слово client находится в конфигурации. Вот что позволяет использовать клиентский режим.

  клиент
удаленный vpnserver.example.com 1194
  

Теперь запустите клиент OpenVPN с тем же шаблонным механизмом:

  $ sudo systemctl start openvpn @ client
  

Вы можете проверить статус так же, как на сервере:

  $ sudo systemctl status openvpn @ client
openvpn @ client.сервис - OpenVPN соединение с клиентом
   Загружено: загружено (/lib/systemd/system/[email protected]; отключено; предустановка поставщика: включена)
   Активен: активен (работает) с Чт 2019-10-24 11:42:35 UTC; 6с назад
     Документы: man: openvpn (8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
 Основной PID: 3616 (openvpn)
   Статус: «Последовательность инициализации завершена»
    Задач: 1 (лимит: 533)
   Память: 1,3 МБ
   CGroup: /system.slice/system-openvpn.slice/[email protected]
           └─3616 / usr / sbin / openvpn --daemon ovpn-client --status /run/openvpn/client.status 10 --cd / etc / openvpn --script-security 2 --config / etc / openvpn / client. conf --writepid / run / openvp

24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: Исходящий канал данных: шифр «AES-256-GCM», инициализированный 256-битным ключом
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: Входящий канал данных: шифр «AES-256-GCM», инициализированный 256-битным ключом
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: ROUTE_GATEWAY 192.168.122.1 / 255.255.255.0 IFACE = ens3 HWADDR = 52: 54: 00: 3c: 5a: 88
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: TUN / TAP устройство tun0 открыто
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: длина очереди TUN / TAP TX установлена ​​на 100
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: / sbin / ip link set dev tun0 up mtu 1500
24 октября 11:42:36 eoan-vpn-client ovpn-client [3616]: / sbin / ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: / sbin / ip route добавить 10.8.0.1/32 через 10.8.0.5
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: ВНИМАНИЕ: эта конфигурация может кэшировать пароли в памяти - используйте параметр auth-nocache, чтобы предотвратить это
24 октября, 11:42:36 eoan-vpn-client ovpn-client [3616]: последовательность инициализации завершена
  

В журнале сервера входящее соединение выглядит следующим образом.
Вы можете видеть имя клиента и адрес источника, а также сообщения об успехе / неудаче.

  ovpn-myserver [4818]: 192.168.122.114:55738 TLS: начальный пакет из [AF_INET] 192.168.122.114: 55738, sid = 5e943ab8 40ab9fed
ovpn-myserver [4818]: 192.168.122.114:55738 ПРОВЕРИТЬ ОК: глубина = 1, CN = Easy-RSA CA
ovpn-myserver [4818]: 192.168.122.114:55738 ПРОВЕРЬТЕ ОК: глубина = 0, CN = myclient1
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_VER = 2.4.7
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_PLAT = linux
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_PROTO = 2
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_NCP = 2
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_LZ4 = 1
овпн-мойсервер [4818]: 192.168.122.114: 55738 информация о партнере: IV_LZ4v2 = 1
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_LZO = 1
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_COMP_STUB = 1
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_COMP_STUBv2 = 1
ovpn-myserver [4818]: 192.168.122.114:55738 информация о партнере: IV_TCPNL = 1
ovpn-myserver [4818]: 192.168.122.114:55738 Канал управления: TLSv1.3, шифр TLSv1.3 TLS_AES_256_GCM_SHA384, 2048-битный RSA
ovpn-myserver [4818]: 192.168.122.114:55738 [myclient1] Одноранговое соединение, инициированное с помощью [AF_INET] 192.168.122.114: 55738
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 MULTI_sva: пул вернул IPv4 = 10.8.0.6, IPv6 = (Не включено)
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 MULTI: Learn: 10.8.0.6 -> myclient1 / 192.168.122.114: 55738
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 MULTI: основной виртуальный IP-адрес для myclient1 / 192.168.122.114: 55738: 10.8.0.6
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 PUSH: Получено управляющее сообщение: 'PUSH_REQUEST'
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 SENT CONTROL [myclient1]: 'PUSH_REPLY, route 10.8.0.1, topology net30, ping 10, ping-restart 120, ifconfig 10.8.0.6 10.8.0.5, peer-id 0, cipher AES-256-GCM' (статус = 1)
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 Канал данных: с использованием согласованного шифра 'AES-256-GCM'
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 Исходящий канал данных: шифр AES-256-GCM, инициализированный 256-битным ключом
ovpn-myserver [4818]: myclient1 / 192.168.122.114: 55738 Канал входящих данных: шифр «AES-256-GCM», инициализированный 256-битным ключом
  

И вы можете проверить на клиенте, создал ли он интерфейс tun0:

  $ ip addr show dev tun0
4: tun0:  mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    ссылка / нет
    инет 10.8.0.6 одноранговый узел 10.8.0.5/32 глобальная область tun0
       valid_lft навсегда предпочтительный_lft навсегда
    inet6 fe80 :: 5a94: ae12: 8901: 5a75 / 64 ссылка области действия стабильная конфиденциальность
       valid_lft навсегда предпочтительный_lft навсегда
  

Проверьте, можете ли вы пропинговать сервер OpenVPN:

  корень @ клиент: / etc / openvpn # ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56 (84) байтов данных.
64 байта из 10.8.0.1: icmp_req = 1 ttl = 64 time = 0.920 мс
  

Примечание

Сервер OpenVPN всегда использует первый пригодный для использования IP-адрес в клиентской сети, и только этот IP-адрес доступен для проверки связи.Например. если вы настроили / 24 для сетевой маски клиента, будет использоваться адрес .1. Адрес P-t-P, который вы видите в выходных данных ip addr выше, обычно не отвечает на запросы ping.

Проверьте свои маршруты:

  $ ip маршрут
по умолчанию через 192.168.122.1 dev ens3 proto dhcp src 192.168.122.114 metric 100
10.8.0.1 через 10.8.0.5 dev tun0
10.8.0.5 dev tun0 ссылка на область видимости ядра прото src 10.8.0.6
192.168.122.0/24 dev ens3 proto ссылка на область видимости ядра src 192.168.122,114
192.168.122.1 dev ens3 proto dhcp scope ссылка src 192.168.122.114 метрика 100
  

Первая неисправность

Если вышеуказанное не помогло, проверьте это:

  • Проверьте свой журнал -xe
  • Убедитесь, что вы правильно указали имена ключевых файлов в файлах конфигурации клиента и сервера.
  • Может ли клиент подключиться к серверу? Может брандмауэр блокирует доступ? Проверить журнал на сервере.
  • Клиент и сервер должны использовать один и тот же протокол и порт, e.грамм. Порт UDP 1194, см. Параметр конфигурации порта и протокола
  • Клиент и сервер должны использовать одинаковую конфигурацию для сжатия, см. Параметр конфигурации comp-lzo
  • Клиент и сервер должны использовать одну и ту же конфигурацию в отношении режима моста и режима маршрутизации, см. Параметр конфигурации сервера и моста между сервером

Расширенная конфигурация

Расширенная конфигурация маршрутизируемой VPN на сервере

Это очень простой рабочий VPN. Клиент может получить доступ к службам на сервере VPN через зашифрованный туннель.Если вы хотите достичь большего количества серверов или чего-либо в других сетях, протолкните некоторые маршруты к клиентам. Например. если сеть вашей компании может быть сведена к сети 192.168.0.0/16, вы можете передать этот маршрут клиентам. Но вам также придется изменить маршрутизацию для обратного пути — вашим серверам необходимо знать маршрут к клиентской сети VPN.

Примеры файлов конфигурации, которые мы использовали в этом руководстве, содержат все эти расширенные параметры в виде комментария и отключенной строки конфигурации в качестве примера.

Примечание

Пожалуйста, прочтите руководство по усилению безопасности OpenVPN для получения дополнительных советов по безопасности.

Расширенная конфигурация мостовой VPN на сервере

OpenVPN можно настроить как для маршрутизированного, так и для мостового режима VPN. Иногда это также называют уровнем 2 OSI по сравнению с VPN уровня 3. В мостовой VPN все кадры уровня 2 — например, все кадры Ethernet — отправляются партнерам VPN, а в маршрутизируемом VPN только пакеты уровня 3 отправляются партнерам VPN.В мостовом режиме весь трафик, включая трафик, который традиционно был локальным в локальной сети, например широковещательные сообщения локальной сети, запросы DHCP, запросы ARP и т. Д., Отправляются партнерам VPN, тогда как в режиме маршрутизации он будет фильтроваться.

Подготовьте конфигурацию интерфейса для моста на сервере

Сначала используйте netplan для настройки устройства моста, использующего желаемое устройство Ethernet.

  $ cat /etc/netplan/01-netcfg.yaml
сеть:
    версия: 2
    рендерер: networkd
    Ethernet:
        enp0s31f6:
            dhcp4: нет
    мосты:
        br0:
            интерфейсы: [enp0s31f6]
            dhcp4: нет
            адреса: [10.0.1.100 / 24]
            шлюз4: 10.0.1.1
            серверы имен:
                адреса: [10.0.1.1]
  

Настоятельно рекомендуется использовать статический IP-адрес. DHCP-адресация также может работать, но вам все равно придется кодировать статический адрес в файле конфигурации OpenVPN.

Следующим шагом на сервере является настройка устройства Ethernet для работы в беспорядочном режиме при загрузке. Для этого убедитесь, что пакет networkd-dispatcher установлен, и создайте следующий сценарий конфигурации.

  sudo apt update
sudo apt установить networkd-dispatcher
sudo touch /usr/lib/networkd-dispatcher/dormant.d/promisc_bridge
sudo chmod + x /usr/lib/networkd-dispatcher/dormant.d/promisc_bridge
  

Затем добавьте следующее содержимое.

  #! / Bin / sh
set -e
если ["$ IFACE" = br0]; тогда
    # нет события networkd-dispatcher для оператора связи на физическом интерфейсе
    ip link установить enp0s31f6 на промиск на
фи
  
Подготовить конфигурацию сервера для подключения

Отредактируйте / etc / openvpn / server.conf , чтобы использовать tap, а не tun, и настройте сервер на использование директивы server-bridge:

 ; dev tun
разработчик тап
; сервер 10.8.0.0 255.255.255.0
сервер-мост 10.0.0.4 255.255.255.0 10.0.0.128 10.0.0.254
  

После настройки сервера перезапустите openvpn, введя:

  sudo systemctl перезапустить openvpn @ myserver
  
Подготовьте конфигурацию клиента для моста

Единственное отличие мостового режима на стороне клиента от того, что было описано выше, заключается в том, что вам нужно отредактировать / etc / openvpn / client.conf и установите tap mode:

  Dev Tap
; dev tun
  

Наконец, перезапустите openvpn:

  sudo systemctl перезапустить openvpn @ client
  

Теперь у вас должна быть возможность подключиться к полной удаленной локальной сети через VPN.

Список литературы

Как использовать ProtonVPN в Linux?

Вы можете настроить VPN для Linux с помощью , используя пакет «openvpn» и соответствующие файлы конфигурации серверов ProtonVPN.

В качестве примера в приведенном ниже руководстве по настройке Linux VPN показано, как настроить соединение в Ubuntu 16.04LTS.

Мы настоятельно рекомендуем использовать наш инструмент командной строки Linux VPN, который упрощает подключение на компьютерах Linux

Примечание. Чтобы устранить частые утечки DNS в Linux, мы обновили это руководство новыми файлами конфигурации для Linux и новыми инструкциями по подключению через интерфейс командной строки (см. Вариант B ниже)

1.Установите необходимые пакеты:

Установите пакет OpenVPN, открыв терминал (нажмите Ctrl + Alt + T) и введя:

sudo apt-get install openvpn

  • Вам будет предложено ввести пароль, чтобы разрешить установку, введите его, чтобы продолжить
  • Когда вам будет предложено подтвердить установку, нажмите «y» и нажмите «[Enter]».
  • Если он уже установлен, он будет выглядеть так:

Примечание. Если у вас нет прав администратора на вашем компьютере, обратитесь к системному администратору и попросите его выполнить установку за вас.

Установите пакет « network-manager-openvpn-gnome » для упрощения использования и совместимости с графическим интерфейсом Ubuntu Network Manager, введя:

sudo apt-get install network-manager-openvpn-gnome

И нажмите [Y] , а затем [Enter] , чтобы подтвердить установку.

Также убедитесь, что установлен resolvconf :

sudo apt установить resolvconf

2.Получите файлы конфигурации ProtonVPN:

Если вы выбрали «Загрузить все конфигурации», распакуйте zip-файл в желаемое место.

3. Найдите свои учетные данные OpenVPN:

Для повышения безопасности ProtonVPN настроен с двумя отдельными учетными данными для аутентификации соединения.

Узнайте больше о том, как две пары учетных данных повышают безопасность ProtonVPN.

Войдите в панель управления ProtonVPN и щелкните вкладку «Учетная запись».Здесь вы увидите два типа учетных данных.
Учетные данные ProtonVPN Login используются в наших приложениях . OpenVPN / IKEv2 Имя пользователя используется для ручных подключений . Поэтому, пожалуйста, настройте учетные данные OpenVPN по своему усмотрению, поскольку вам нужно будет использовать их для установления соединения Linux VPN.


Вариант A. Настройка Linux VPN с помощью Network Manager

Внимание: на данный момент существует известная проблема с утечками DNS в дистрибутивах до Ubuntu 16.04LTS (и его зависимости и родители). Если вы обнаружите, что у вас тоже есть утечки DNS, мы рекомендуем вам использовать вариант B ниже.

A1. Добавление нового подключения

Нажмите « Добавить » в новом окне, чтобы создать новое соединение. Выберите «Импортировать сохраненную конфигурацию VPN… » в раскрывающемся меню и нажмите « Создать… »

Импортируйте файл конфигурации сервера, к которому вы хотите подключиться, перейдя в место, куда вы загрузили файл конфигурации, ИЛИ извлекли файл ProtonVPN_config.zip и выбрав нужный файл.

Имена файлов состоят из двухбуквенного сокращения страны назначения и номера, показывающего, какой сервер находится в этой стране. Например: de-01 — первый сервер в Германии; ca-04 — четвертый сервер в Канаде. Вы можете проверить страницу серверов ProtonVPN и найти там сокращения. Файлы с двумя аббревиатурами стран являются защищенными основными серверами, например: is-us-01 — это защищенное базовое соединение через Исландию с США. Узнайте больше о нашей функции Secure Core.

Для Ubuntu 14.04 LTS: существует проблема, характерная для 14.04, при импорте конфигурации, которая не считывает все параметры автоматически. Если у вас возникли проблемы с функцией автоматического импорта в диспетчере сети, напишите нам по этой ссылке для получения дальнейших инструкций.

A2. Установите соединение Linux VPN

Щелкните значок вашего подключения в системном меню. Выберите « VPN Connections », щелкните запись только что добавленной конфигурации, и она автоматически подключится к выбранному вами серверу ProtonVPN.

Вы увидите всплывающее окно, подтверждающее, что VPN-соединение установлено, и значок замка рядом с вашим символом соединения. Поздравляем, вы только что успешно подключились к ProtonVPN!

A3: Необязательно: Чтобы добавить больше подключений, просто повторите шаг A1 с другим файлом (ами) конфигурации.

Вариант B: Настройка VPN для Linux с помощью терминала (CLI)

Примечание: если у вас нет прав администратора на вашем компьютере, обратитесь к системному администратору и попросите его выполнить подключение за вас

Убедитесь, что сценарий resolv-conf правильно загружен на ваше устройство, используя следующие команды:

 sudo wget "https: // raw.githubusercontent.com/ProtonVPN/scripts/master/update-resolv-conf.sh "-O" / etc / openvpn / update-resolv-conf "

sudo chmod + x "/ etc / openvpn / update-resolv-conf"

Откройте терминал (нажмите Ctrl + Alt + T) и перейдите в папку, в которую вы разархивировали файлы конфигурации, используя cd . В нашем примере они расположены в ~ / Downloads , поэтому мы вводим:

cd ~ / Загрузки

Если вам сложно перемещаться с помощью командной строки компакт-диска, вы можете открыть папку, в которой находится файл, с помощью любого файлового менеджера и щелкните правой кнопкой мыши > Открыть в терминале

Введите следующее для инициализации нового соединения:

sudo openvpn

Где — имя файла конфигурации сервера, к которому вы хотите подключиться, например de-03.protonvpn.com.udp1194.ovpn для сервера Germany # 3. Введите пароль администратора вашего ПК для выполнения ( openvpn изменит ваши сетевые адаптеры и потребует привилегий root)

Впоследствии вам будет предложено ввести свои учетные данные OpenVPN с шага 3 , введите свои учетные данные для аутентификации

  • Вы завершили настройку Linux VPN и успешно подключились к серверам ProtonVPN, когда увидите Последовательность инициализации завершена
  • Держите этот терминал открытым, , чтобы оставаться на связи с ProtonVPN.Если вы закроете терминал, соединение VPN отключится.

Нажмите здесь , если хотите убедиться, что соединение установлено и нет утечек.

Чтобы отключить соединение Linux VPN, нажмите Ctrl + C и / или закройте Терминал.

Загрузите файлы конфигурации Linux через Dashboard

Клиентский инструмент ProtonVPN для Linux

Хранит ли ProtonVPN информацию о пользователях?

Есть ли у ProtonVPN ограничение на пропускную способность?

Что такое OpenVPN?

Как настроить VPN в Linux

Виртуальная частная сеть « VPN » — это безопасное сетевое соединение с сервером, которое позволяет компьютеру или сетевому устройству отправлять и получать данные через общие или общедоступные сети.

Использование VPN позволяет пользователю подключаться к любому веб-сайту, который был заблокирован администратором сети или администратором сети . В следующем руководстве мы настроим VPN на Linux , дистрибутивы на основе Ubuntu.

VPN часто используется правительством страны для доступа к некоторым заблокированным веб-сайтам или услугам. Некоторые страны (например, Китай блокирует доступ к Youtube) заблокировали многие популярные веб-сайты в Интернете. Те, кто верит в свободу доступа ко всему в Интернете, они используют услуги VPN для доступа к таким заблокированным веб-сайтам.

Помимо доступа к заблокированным веб-сайтам, технология VPN также используется отдельными пользователями Интернета для защиты своих беспроводных транзакций с целью обхода географических ограничений и для подключения к прокси-серверам с целью защиты личных данных и местоположения.

Есть много онлайн-сервисов, продающих услуги VPN, но я воспользуюсь бесплатным сервисом VPNBOOK.

Наш бесплатный сервер VPN (виртуальная частная сеть) разработан с использованием новейших технологий и самых передовых криптографических методов, чтобы защитить вас в Интернете от посторонних глаз и хакеров.Наша VPN надежно направляет весь ваш интернет-трафик через зашифрованный туннель, чтобы обойти государственную цензуру, обойти корпоративное наблюдение и мониторинг со стороны вашего интернет-провайдера. VPNBook стремится сделать Интернет безопасным и бесплатным, предоставляя каждому бесплатный и безопасный доступ к услугам PPTP и OpenVPN.

VPNBOOK

Настройка VPN в Ubuntu или других дистрибутивах на основе Ubuntu

1. Создайте бесплатную учетную запись OpenVPN.

Заполните все поля и подтвердите адрес электронной почты.После этого мы настроим vpn, используя нашу учетную запись OpenVPN.

2. Перейдите на сайт vpnbook.com, щелкните вкладку OpenVPN и загрузите любой из указанных пакетов сертификатов. Также запишите имя пользователя и пароль, как показано ниже на изображении.

  • Извлеките загруженный пакет и создайте 3 новых файла документов в извлеченной папке и назовите их ca.crt , certificate.crt и key.key , как показано на изображении ниже —
  • Открыть любой из.ovpn в текстовом редакторе, я использую vpnbook-euro1-tcp80.ovpn . Скопируйте определенный текст из этого .ovpn файла в созданные текстовые файлы ca.crt, certificate.crt и key.key .

Скопируйте весь текст между тегами и вставьте в файл ca.crt .

Скопируйте весь текст между тегами и вставьте в сертификат .crt файл.

Скопируйте весь текст между тегами и вставьте в файл key.key .

После того, как вы скопировали все в ca.crt, certificate.crt и key.key, сохраните их.

3. Теперь настройте соединение OpenVPN в системе.

  • Откройте терминал и установите плагин VPN.
  $ sudo apt-get install network-manager-openvpn  
  • Теперь откройте конфигурацию сети системы, нажмите «Настроить VPN» и добавьте сеть OpenVPN, как показано на изображении ниже.
  • Теперь заполните все поля, как показано ниже —

Имя соединения — Имя может быть любым.
Шлюз — IP-адрес выбранного профиля (щелкните здесь, чтобы увидеть пример изображения) vpnbook-euro1-tcp80.ovpn
Тип — Пароль с сертификатами (TLS)
Имя пользователя — Введите имя пользователя из шага 2
Пароль — Введите пароль с шага 2
Сертификат пользователя — Просмотр сертификата.crt файл
Сертификат CA — Просмотр ca.crt
Закрытый ключ — Обзор файла key.key
Пароль закрытого ключа — Оставьте поле пустым

Откройте файл .ovpn (я использую vpnbook-euro1- tcp80.ovpn )

Использовать собственный порт шлюза — порт из вашего .ovpn файла (щелкните здесь, чтобы увидеть пример изображения)
Использовать сжатие данных LZO
Использовать TCP-соединение
Переключиться на вкладку «Безопасность»

Шифр ​​ — Выберите из выбранного.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *