OpenVPN - один з варіантів VPN (virtual private network або приватних віртуальних мереж), що дозволяють реалізувати передачу даних по спеціально створеному зашифрованому каналу. Таким чином можна з'єднати два комп'ютери або побудувати централізовану мережу з сервером і декількома клієнтами. У цій статті ми навчимося створювати такий сервер і налаштовувати його.
Налаштовуємо OpenVPN сервер
Як вже було сказано вище, за допомогою технології, про яку йде мова, ми можемо передавати інформацію щодо безпечного каналу зв'язку. Це може бути обмін файлами або захищений доступ в інтернет через сервер, який є спільним шлюзом. Для його створення нам не буде потрібно додаткове обладнання і особливі знання - все робиться на тому комп'ютері, який планується використовувати в якості сервера VPN.Для подальшої роботи необхідно буде також налаштувати і клієнтську частину на машинах користувачів мережі. Вся робота зводиться до створення ключів і сертифікатів, які потім передаються клієнтам. Ці файли дозволяють при підключенні до сервера отримати IP-адресу і створити згаданий вище зашифрований канал. Вся інформація, передана по ньому, може бути прочитана тільки при наявності ключа. Ця особливість дозволяє значно підвищити безпеку і забезпечити збереження даних.
Установка OpenVPN на машину-сервер
Інсталяція являє собою стандартну процедуру з деякими нюансами, про які й поговоримо докладніше.
- Насамперед необхідно завантажити програму по посиланню нижче.
завантажити OpenVPN
- Далі запускаємо інсталятор і доходимо до вікна вибору компонентів. Тут нам потрібно поставити галку біля пункту з назвою «EasyRSA», що дозволить створювати файли сертифікатів і ключів, а також керувати ними.
- Наступний крок - вибір місця для інсталяції. Для зручності помістимо програму в корінь системного диска С :. Для цього просто видалимо зайве. має вийти
C: \ OpenVPN
Робимо ми це і для того, щоб уникнути збоїв при виконанні скриптів, так як прогалини в дорозі неприпустимі. Можна, звичайно, брати їх в лапки, але уважність може і підвести, а шукати помилки в коді - справа непроста.
- Після всіх налаштувань встановлюємо програму в штатному режимі.
Налаштування серверної частини
При виконанні таких дій слід бути максимально уважним. Будь-які огріхи приведуть до непрацездатності сервера. Ще одна обов'язкова умова - ваша обліковий запис повинен мати права адміністратора.
- Йдемо в каталог «easy-rsa», який в нашому випадку знаходиться за адресою
C: \ OpenVPN \ easy-rsa
Знаходимо файл vars.bat.sample.
Перейменовуємо його в vars.bat (видаляємо слово «sample» разом з точкою).
Відкриваємо цей файл в редакторі Notepad ++. Це важливо, тому що саме цей блокнот дозволяє правильно редагувати і зберігати коди, що допомагає уникнути помилок при їх виконанні.
- В першу чергу видаляємо всі коментарі, виділені зеленим кольором - вони нам будуть тільки заважати. Отримаємо наступне:
- Далі змінюємо шлях до папки «easy-rsa» на той, який ми вказували при установці. В даному випадку просто видаляємо змінну% ProgramFiles% і міняємо її на C :.
- Наступні чотири параметри залишаємо без змін.
- Решта рядків заповнюємо довільно. Приклад на скріншоті.
- Зберігаємо файл.
- Потрібно також відредагувати наступні файли:
- build-ca.bat
- build-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
У них потрібно поміняти команду
openssl
на абсолютний шлях до відповідного їй файлу openssl.exe. Не забуваємо зберігати зміни.
- Тепер відкриваємо папку «easy-rsa», затискаємо SHIFT і натискаємо ПКМ по вільному місцю (не по файлам). У контекстному меню вибираємо пункт «Відкрити вікно команд».
Запуститься «Командний рядок» з уже здійсненим переходом у папку.
- Вводимо команду, вказану нижче, і натискаємо ENTER.
vars.bat
- Далі запускаємо ще один «батник».
clean-all.bat
- Повторюємо першу команду.
- Наступний крок - створення необхідних файлів. Для цього використовуємо команду
build-ca.bat
Після виконання система запропонує підтвердити дані, які ми вносили в файл vars.bat. Просто кілька разів натискаємо ENTER, поки не з'явиться вихідна рядок.
- Створюємо DH-ключ за допомогою запуску файлу
build-dh.bat
- Готуємо сертифікат для серверної частини. Тут є один важливий момент. Йому потрібно присвоїти то ім'я, яке ми прописали в vars.bat в рядку «KEY_NAME». У нашому прикладі це Lumpics. Команда виглядає наступним чином:
build-key-server.bat Lumpics
Тут також необхідно підтвердити дані за допомогою клавіші ENTER, а також два рази ввести букву «y» (yes), де буде потрібно (див. Скріншот). Командний рядок можна закрити.
- У нашому каталозі «easy-rsa» з'явилася нова папка з назвою «keys».
- Її вміст потрібно скопіювати і вставити в папку «ssl», яку необхідно створити в кореневому каталозі програми.
Вид папки після вставки скопійованих файлів:
- Тепер йдемо в каталог
C: \ OpenVPN \ config
Створюємо тут текстовий документ (ПКМ - Створити - Текстовий документ), перейменовуємо його в server.ovpn і відкриваємо в Notepad ++. Вносимо наступний код:
port 443
proto udp
dev tun
dev-node "VPN Lumpics"
dh C: \\ OpenVPN \\ ssl \\ dh2048.pem
ca C: \\ OpenVPN \\ ssl \\ ca.crt
cert C: \\ OpenVPN \\ ssl \\ Lumpics.crt
key C: \\ OpenVPN \\ ssl \\ Lumpics.key
server 172.16.10.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
cipher DES-CBC
status C: \\ OpenVPN \\ log \\ status.log
log C: \\ OpenVPN \\ log \\ openvpn.log
verb 4
mute 20
Зверніть увагу, що назви сертифікатів і ключів повинні збігатися з розташованими в папці «ssl».
- Далі відкриваємо "Панель управління» і переходимо в «Центр управління мережами».
- Натискаємо на посилання «Зміна параметрів адаптера».
- Тут нам потрібно знайти підключення, здійснюване через «TAP-Windows Adapter V9». Зробити це можна, натиснувши по з'єднанню ПКМ і перейшовши до його властивостей.
- Перейменовуємо його в «VPN Lumpics» без лапок. Ця назва має збігатися з параметром «dev-node» в файлі server.ovpn.
- Заключний етап - запуск служби. Натискаємо клавіші Win + R, вводимо рядок, зазначену нижче, і тиснемо ENTER.
services.msc
- Знаходимо сервіс з назвою «OpenVpnService», натискаємо ПКМ і йдемо в його властивості.
- Тип запуску міняємо на «Автоматично», запускаємо службу і натискаємо «Застосувати».
- Якщо ми все зробили правильно, то біля адаптера повинен пропасти червоний хрестик. Це означає, що підключення готове до роботи.
Налаштування клієнтської частини
Перед початком настройки клієнта необхідно зробити кілька дій на серверній машині - згенерувати ключі та сертифікат для настройки підключення.
- Йдемо в каталог «easy-rsa», потім в папку «keys» і відкриваємо файл index.txt.
- Відкриваємо файл, видаляємо всі вміст і зберігаємо.
- Переходимо назад в «easy-rsa» і запускаємо «Командний рядок» (SHIFT + ПКМ - Відкрити вікно команд).
- Далі запускаємо vars.bat, а потім створюємо клієнтський сертифікат.
build-key.bat vpn-client
Це загальний сертифікат для всіх машин в мережі. Для підвищення безпеки можна згенерувати для кожного комп'ютера свої файли, але назвати їх по-іншому (не "vpn-client», а «vpn-client1» і так далі). В цьому випадку необхідно буде повторити всі дії, починаючи з очищення index.txt.
- Заключне дію - перенесення файлів vpn-client.crt, vpn-client.key, ca.crt і dh2048.pem клієнту. Зробити це можна будь-яким зручним способом, наприклад, записати на флешку або передати по мережі.
Роботи, які необхідно виконати на клієнтській машині:
- Встановлюємо OpenVPN звичайним способом.
- Відкриваємо каталог з встановленою програмою і переходимо в папку «config». Сюди необхідно вставити наші файли сертифікатів і ключів.
- У цій же папці створюємо текстовий файл і перейменовуємо його в config.ovpn.
- Відкриваємо в редакторі і прописуємо наступний код:
client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert vpn-client.crt
key vpn-client.key
dh dh2048.pem
float
cipher DES-CBC
keepalive 10 120
persist-key
persist-tun
verb 0
У рядку «remote» можна прописати зовнішній IP-адреса серверної машини - так ми отримаємо доступ в інтернет. Якщо залишити все як є, то буде можливо тільки з'єднання з сервером по зашифрованому каналу.
- Запускаємо OpenVPN GUI від імені адміністратора за допомогою ярлика на робочому столі, потім в треї знаходимо відповідну іконку, тиснемо ПКМ і вибираємо перший пункт з назвою «Підключитися».
На цьому настройка сервера і клієнта OpenVPN завершена.
висновок
Організація власної VPN-мережі дозволить вам максимально захистити передану інформацію, а також зробити інтернет-серфінг більш безпечним. Головне - бути уважнішими при налаштуванні серверної і клієнтської частини, при правильних діях можна буде користуватися всіма перевагами приватної віртуальної мережі.