OpenVPN - адзін з варыянтаў VPN (virtual private network або прыватных віртуальных сетак), якія дазваляюць рэалізаваць перадачу даных па адмыслова створанаму зашыфраваным канале. Такім чынам можна злучыць два кампутара ці пабудаваць цэнтралізаваную сетку з серверам і некалькімі кліентамі. У гэтым артыкуле мы навучымся ствараць такі сервер і наладжваць яго.
Наладжвальны OpenVPN сервер
Як ужо было сказана вышэй, з дапамогай тэхналогіі, пра якую ідзе гаворка, мы можам перадаваць інфармацыю па бяспечным каналу сувязі. Гэта можа быць абмен файламі або абаронены доступ у інтэрнэт праз сервер, які з'яўляецца агульным шлюзам. Для яго стварэння нам не спатрэбіцца дадатковае абсталяванне і асаблівыя веды - усё робіцца на тым кампутары, які плануецца выкарыстоўваць у якасці сервера VPN.
Для далейшай працы неабходна будзе таксама наладзіць і кліенцкую частка на машынах карыстальнікаў сеткі. Уся праца зводзіцца да стварэння ключоў і сертыфікатаў, якія затым перадаюцца кліентам. Гэтыя файлы дазваляюць пры падключэнні да сервера атрымаць IP-адрас і стварыць згаданы вышэй зашыфраваны канал. Уся інфармацыя, перададзеная па ім, можа быць прачытана толькі пры наяўнасці ключа. Гэтая асаблівасць дазваляе значна павысіць бяспеку і забяспечыць захаванасць дадзеных.
Ўстаноўка OpenVPN на машыну-сервер
Інсталяцыя ўяўляе сабой стандартную працэдуру з некаторымі нюансамі, пра якія і пагаворым падрабязней.
- Перш за ўсё неабходна спампаваць праграму па спасылцы ніжэй.
Спампаваць OpenVPN
- Далей запускаем ўсталёўшчык і даходзім да акна выбару кампанентаў. Тут нам спатрэбіцца паставіць каўку поруч пункта з назвай "EasyRSA", Што дазволіць ствараць файлы сертыфікатаў і ключоў, а таксама кіраваць імі.
- Наступны крок - выбар месца для інсталяцыі. Для зручнасці змесцім праграму ў корань сістэмнага дыска З :. Для гэтага проста выдалім лішняе. павінна атрымацца
C: OpenVPN
Робім мы гэта і для таго, каб пазбегнуць збояў пры выкананні скрыптоў, так як прабелы ў шляху недапушчальныя. Можна, вядома, браць іх у двукоссі, але ўважлівасць можа і падвесці, а шукаць памылкі ў кодзе - справа няпростая.
- Пасля ўсіх налад усталёўваем праграму ў штатным рэжыме.
Настройка сервернай часткі
Пры выкананні наступных дзеянняў варта быць максімальна уважлівым. Любыя агрэхі прывядуць да непрацаздольнасці сервера. Яшчэ адна абавязковая ўмова - ваш уліковы запіс павінна мець правы адміністратара.
- Ідзем у каталог "Easy-rsa", Які ў нашым выпадку знаходзіцца па адрасе
C: OpenVPN easy-rsa
знаходзім файл vars.bat.sample.
Пераназываем яго ў vars.bat (Выдаляем слова "Sample" разам з кропкай).
Адкрываем гэты файл у рэдактары Notepad ++. Гэта важна, бо менавіта гэты нататнік дазваляе правільна рэдагаваць і захоўваць коды, што дапамагае пазбегнуць памылак пры іх выкананні.
- У першую чаргу выдаляем ўсе каментары, вылучаныя зялёным колерам - яны нам будуць толькі перашкаджаць. Атрымаем наступнае:
- Далей мяняем шлях да тэчцы "Easy-rsa" на той, які мы паказвалі пры ўсталёўцы. У дадзеным выпадку проста выдаляем зменную % ProgramFiles% і мяняем яе на C:.
- Наступныя чатыры параметру пакідаем без змен.
- Астатнія радкі запаўняем адвольна. Прыклад на скрыншоце.
- Захоўваем файл.
- Патрабуецца таксама адрэдагаваць наступныя файлы:
- build-ca.bat
- build-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
У іх трэба памяняць каманду
openssl
на абсалютны шлях да адпаведнага ёй файлу openssl.exe. Не забываем захоўваць змены.
- Цяпер адкрываем тэчку "Easy-rsa", зацісканы SHIFT і клікаем ПКМ па вольным месцы (не па файлаў). У кантэкстным меню выбіраем пункт "Адкрыць акно каманд".
запусціцца "Камандны радок" з ужо ажыццёўленым пераходам у мэтавай каталог.
- Ўводны каманду, пазначаную ніжэй, і націскаем ENTER.
vars.bat
- Далей запускаем яшчэ адзін "батник".
clean-all.bat
- Паўтараем першую каманду.
- Наступны крок - стварэнне неабходных файлаў. Для гэтага выкарыстоўваем каманду
build-ca.bat
Пасля выканання сістэма прапануе пацвердзіць дадзеныя, якія мы ўносілі ў файл vars.bat. Проста некалькі разоў націскаем ENTER, Пакуль не з'явіцца зыходная радок.
- Ствараем DH-ключ з дапамогай запуску файла
build-dh.bat
- Рыхтуем сертыфікат для сервернай часткі. Тут ёсць адзін важны момант. Яму трэба прысвоіць тое імя, якое мы прапісалі ў vars.bat у радку "KEY_NAME". У нашым прыкладзе гэта Lumpics. Каманда выглядае наступным чынам:
build-key-server.bat Lumpics
Тут таксама неабходна пацвердзіць дадзеныя з дапамогай клавішы ENTER, А таксама два разы ўвесці літару "Y" (Yes), дзе спатрэбіцца (гл. Скрыншот). Камандны радок можна зачыніць.
- У нашым каталогу "Easy-rsa" з'явілася новая тэчка з назвай "Keys".
- Яе змесціва патрабуецца скапіяваць і ўставіць у тэчку "Ssl", Якую неабходна стварыць у каранёвым каталогу праграмы.
Выгляд папкі пасля ўстаўкі скапіяваных файлаў:
- Цяпер ідзём у каталог
C: OpenVPN config
Ствараем тут тэкставы дакумент (ПКМ - Стварыць - Тэкставы дакумент), пераназываем яго ў server.ovpn і адкрываем ў Notepad ++. Ўносім наступны код:
port 443
proto udp
dev tun
dev-node "VPN Lumpics"
dh C: OpenVPN ssl dh2048.pem
ca C: OpenVPN ssl ca.crt
cert C: OpenVPN ssl Lumpics.crt
key C: OpenVPN ssl Lumpics.key
server 172.16.10.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
cipher DES-CBC
status C: OpenVPN log status.log
log C: OpenVPN log openvpn.log
verb 4
mute 20Звярніце ўвагу, што назвы сертыфікатаў і ключоў павінны супадаць з размешчанымі ў тэчцы "Ssl".
- далей адкрываем "Панэль кіравання" і пераходзім у "Цэнтр кіравання сеткамі".
- Націскаем на спасылку "Змена параметраў адаптара".
- Тут нам трэба знайсці падлучэнне, якое ажыццяўляецца праз "TAP-Windows Adapter V9". Зрабіць гэта можна, націснуўшы па злучэнні ПКМ і перайшоўшы да яго уласцівасцях.
- Пераназываем яго ў "VPN Lumpics" без двукоссяў. Гэта назва павінна супадаць з параметрам "Dev-node" у файле server.ovpn.
- Заключны этап - запуск службы. Націскаем спалучэнне клавіш Win + R, Уводны радок, паказаную ніжэй, і ціснем ENTER.
services.msc
- Знаходзім сэрвіс з назвай "OpenVpnService", Клікаем ПКМ і ідзем у яго ўласцівасці.
- Тып запуску мяняем на "Аўтаматычна", Запускаем службу і націскаем "Ужыць".
- Калі мы ўсё зрабілі правільна, то каля адаптара павінен прорву чырвоны крыжык. Гэта значыць, што падключэнне гатова да працы.
Настройка кліенцкай часткі
Перад пачаткам налады кліента неабходна здзейсніць некалькі дзеянняў на сервернай машыне - згенераваць ключы і сертыфікат для налады падлучэння.
- Ідзем у каталог "Easy-rsa", Затым у тэчку "Keys" і адкрываем файл index.txt.
- Адкрываем файл, выдаляем усё змесціва і захоўваем.
- Пераходзім назад у "Easy-rsa" і запускаем "Каманднага радка" (SHIFT + ПКМ - Адкрыць акно каманд).
- далей запускаем vars.bat, А затым ствараем кліенцкі сертыфікат.
build-key.bat vpn-client
Гэта агульны сертыфікат для ўсіх машын у сеткі. Для падвышэння бяспекі можна згенераваць для кожнага кампутара свае файлы, але назваць іх па-іншаму (не "Vpn-client", а "Vpn-client1" і гэтак далей). У гэтым выпадку неабходна будзе паўтарыць ўсе дзеянні, пачынаючы з ачысткі index.txt.
- Заключнае дзеянне - перанос файлаў vpn-client.crt, vpn-client.key, ca.crt і dh2048.pem кліенту. Зрабіць гэта можна любым зручным спосабам, напрыклад, запісаць на флешку або перадаць па сетцы.
Працы, якія неабходна выканаць на кліенцкай машыне:
- Усталёўваем OpenVPN звычайным спосабам.
- Адкрываем каталог з усталяванай праграмай і пераходзім у тэчку "Config". Сюды неабходна ўставіць нашы файлы сертыфікатаў і ключоў.
- У гэтай жа тэчцы ствараем тэкставы файл і пераназываем яго ў config.ovpn.
- Адкрываем ў рэдактары і прапісваем наступны код:
client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert vpn-client.crt
key vpn-client.key
dh dh2048.pem
float
cipher DES-CBC
keepalive 10 120
persist-key
persist-tun
verb 0У радку "Remote" можна прапісаць знешні IP-адрас сервернай машыны - так мы атрымаем доступ у інтэрнэт. Калі пакінуць усё як ёсць, то будзе магчыма толькі злучэнне з серверам па зашыфраваным каналу.
- Запускаем OpenVPN GUI ад імя адміністратара з дапамогай цэтліка на працоўным стале, затым у трэі знаходзім адпаведную абразок, ціснем ПКМ і выбіраем першы пункт з назвай "Падключыцца".
На гэтым налада сервера і кліента OpenVPN завершана.
заключэнне
Арганізацыя ўласнай VPN-сеткі дазволіць вам максімальна абараніць інфармацыю, якую перадаеш, а таксама зрабіць інтэрнэт-сёрфінг больш бяспечным. Галоўнае - быць больш уважліва пры наладзе сервернай і кліенцкай часткі, пры правільных дзеяннях можна будзе карыстацца ўсімі перавагамі прыватнай віртуальнай сеткі.