OpenVPN - bu maxsus yaratilgan shifrlangan kanal orqali ma'lumotlarni uzatishni amalga oshirish imkonini beradigan VPN opsiyalaridan biri (virtual xususiy tarmoq yoki xususiy virtual tarmoqlar). Shu tarzda ikki kompyuterni ulashingiz yoki server va bir nechta mijozlarga ega bo'lgan markaziy tarmoqni yaratishingiz mumkin. Ushbu maqolada bunday serverni yaratish va uni sozlashni o'rganamiz.
OpenVPN serverini sozlash
Yuqorida ta'kidlab o'tilganidek, ushbu texnologiyadan foydalanib, xavfsiz aloqa kanali orqali ma'lumotlarni uzatishimiz mumkin. Ushbu sherik shluzi bo'lgan server orqali fayl almashish yoki Internetga xavfsiz kirish bo'lishi mumkin. Uni yaratish uchun bizga qo'shimcha uskunalar va maxsus ma'lumot kerak emas - kompyuterda VPN-server sifatida foydalanishni rejalashtirgan har bir narsa amalga oshiriladi.
Keyingi ish uchun, shuningdek, mijozlar tomonidan tarmoq foydalanuvchilari mashinalariga sozlashingiz kerak bo'ladi. Barcha ishlar kalitlarga va sertifikatlarga ega bo'lib, keyinchalik mijozlarga beriladi. Ushbu fayllar serverga ulanganingizda va yuqorida ko'rsatilgan shifrlangan kanalni yaratishda sizga IP-adresni olish imkonini beradi. U orqali o'tkaziladigan barcha ma'lumotlar faqat kalit bilan o'qilishi mumkin. Bu xususiyat xavfsizlikni sezilarli darajada yaxshilaydi va ma'lumotlar butunligini ta'minlaydi.
Server kompyuterida OpenVPNni o'rnatish
O'rnatish ba'zi nuances bilan standart protsedura bo'lib, biz batafsilroq muhokama qilamiz.
- Birinchi qadam dasturni quyidagi havolani yuklab olishdir.
OpenVPNni yuklab oling
- Keyinchalik, o'rnatuvchini ishga tushiring va komponent tanlash oynasiga o'ting. Bu yerda biz nomga ega bo'lgan narsaning yoniga yaqinlashamiz "EasyRSA"bu sizning sertifikatlaringiz va kalitlarni fayllarni yaratishga, shuningdek ularni boshqarishga imkon beradi.
- Keyingi qadam o'rnatish uchun joyni tanlashdir. Qulaylik uchun dasturni C: diskining ildiziga qo'ying. Buning uchun, ortiqcha miqdorni olib tashlang. Bu ish kerak
C: OpenVPN
Buning uchun skriptlarni bajarishda xatoliklarni oldini olish uchun harakat qilamiz, chunki yo'lning bo'sh joylariga ruxsat berilmaydi. Siz, albatta, takliflarni kiritishingiz mumkin, ammo diqqat-e'tiboringizni buzib tashlashingiz mumkin va kodda xatoliklarni topish oson emas.
- Barcha sozlamalardan keyin dasturni oddiy rejimda o'rnating.
Server tomonini sozlash
Quyidagi harakatlarni bajarayotganda imkon qadar ehtiyot bo'lishingiz kerak. Har qanday kamchiliklar server ishlamay qolishiga olib keladi. Yana bir old shart - hisobingiz administrator huquqlariga ega bo'lishi kerak.
- Katalogga o'ting "oson-rsa"bu bizning ishimizda
C: OpenVPN easy-rsa
Faylni toping vars.bat.sample.
Uni qayta nomlash vars.bat (so'zni o'chirish "namuna" nuqta bilan birga).
Ushbu faylni Notepad ++ muharriri-da oching. Bu juda muhim, chunki siz bu kodni to'g'ri tartibga solishingiz va ularni yozib olishda xatoliklarni bartaraf etishga yordam beradigan kodlarni saqlab qo'yishingiz mumkin.
- Avvalo yashil rangda ko'rsatilgan barcha fikrlarni o'chirib tashlang - ular bizni faqat to'sqinlik qiladi. Biz quyidagilarni olamiz:
- So'ngra, papkaga yo'lni o'zgartiring "oson-rsa" O'rnatish vaqtida ko'rsatganimiz. Bunday holda, o'zgaruvchini o'chirib tashlang. % ProgramFiles% va uni o'zgartiring Javob:.
- Quyidagi to'rtta parametr o'zgarishsiz qoldi.
- Qolgan qatorlar o'zboshimchalik bilan. Displeydagi misol.
- Faylni saqlang.
- Quyidagi fayllarni tahrir qilishingiz kerak:
- build-ca.bat
- qurilish-dh.bat
- build-key.bat
- build-key-pass.bat
- build-key-pkcs12.bat
- build-key-server.bat
Ular jamoani o'zgartirishlari kerak
openssl
tegishli faylga mutlaq yo'l bilan openssl.exe. O'zgarishlarni saqlashni unutmang.
- Endi jildni oching "oson-rsa"siqish SHIFT va bo'sh joyga PKM-ni bosing (fayllar bilan emas). Kontekst menyusida elementni tanlang "Ochiq buyruq oynasi".
Boshlanadi "Buyruqlar liniyasi" allaqachon tugallangan maqsad katalogga o'tish bilan.
- Quyidagi buyruqni kiriting va tugmasini bosing ENTER tugmasini bosing.
vars.bat
- Keyin boshqa "ommaviy ish faylini" ishga tushiring.
clean-all.bat
- Birinchi buyruqni takrorlang.
- Keyingi qadam kerakli fayllarni yaratishdir. Buning uchun buyruqni ishlating
build-ca.bat
Amalga oshirilganidan so'ng sistemimiz vars.bat fayliga kiritilgan ma'lumotlarni tasdiqlashni taklif qiladi. Bir necha marta bosing. ENTER tugmasini bosingasl belgisi paydo bo'lmaguncha
- Ishga tushirish fayli yordamida DH kalitini yarating
qurilish-dh.bat
- Server qismiga sertifikat tayyorlanmoqda. Bir muhim nuqta bor. U biz ro'yxatdan o'tgan nomni belgilashi kerak vars.bat yo'nalish bo'yicha "KEY_NAME". Bu bizning misolimizda Lumpiklar. Buyruq quyidagicha:
build-key-server.bat Lumpics
Bu erda kalitni ishlatib ma'lumotlarni tasdiqlashingiz kerak ENTER tugmasini bosing, shuningdek, ikki marta xat kiriting "y" (ha) kerak bo'lganda (ekran tasvirini ko'ring). Buyruqlar satri yopiq bo'lishi mumkin.
- Bizning katalogimizda "oson-rsa" Nomi bilan yangi papka mavjud "tugmachalar".
- Uning mazmuni ko'chiriladi va papkaga joylashtirilishi kerak. "SSL"dasturning ildiz katalogida yaratilishi kerak.
Kopyalanan fayllarni qo'shgandan so'ng jildni ko'rish:
- Endi katalogga o'ting
C: OpenVPN config
Bu erda matn hujjati (PCM - Create - matn hujjati) yarating, uni qayta nomlaymiz server.ovpn va Notepad ++ da oching. Quyidagi kodni kiriting:
port 443
proto udp
dev tun
dev-node "VPN Lumpics"
dh C: OpenVPN ssl dh2048.pem
ca C: OpenVPN ssl ca.crt
sertifikat C: OpenVPN ssl Lumpics.crt
C tugmasi: OpenVPN ssl Lumpics.key
server 172.16.10.0 255.255.255.0
Maks-mijozlar 32
saqlab qolish 10 120
mijoz-mijozga
komp-lzo
doimiy kalit
tunni davom ettiring
DES-CBC shifrlari
C: OpenVPN log status.log
log C: OpenVPN log openvpn.log
fe'l 4
20 ovozini o'chirishSertifikatlar va kalitlarning nomlari papkada joylashganlar bilan mos kelishi kerak "SSL".
- Keyin, oching "Boshqaruv paneli" va borish "Tarmoqlarni boshqarish markazi".
- Havolani bosing "Adapter sozlamalarini o'zgartirish".
- Bu erda biz ulanishni topishimiz kerak "TAP-Windows Adapter V9". Buni RMB bilan bog'lanish va uning xususiyatlariga o'tish orqali amalga oshirish mumkin.
- Uni qayta nomlash "VPN Lumpics" tirnoqsiz. Bu nom parametrga mos kelishi kerak. "dev-node" faylda server.ovpn.
- Oxirgi qadam - xizmatni boshlashdir. Tugmalar birikmasini bosing Win + R, quyidagi qatorni kiriting va tugmasini bosing ENTER tugmasini bosing.
services.msc
- Ism bilan xizmatni toping "OpenVpnService", RMB tugmasini bosing va uning xususiyatlariga o'ting.
- Boshlanish turi o'zgartirildi "Avtomatik", xizmatni boshlang va tugmasini bosing "Ilova".
- Har bir narsani to'g'ri qilsak, qizil xoch adapter yaqinida yo'qolishi kerak. Bu ulanishning tayyor bo'lishini bildiradi.
Mijoz tomonini sozlash
Mijozni sozlashni boshlashdan oldin, server kompyuterida kalitlarni yaratish va ulanishni sozlash uchun bir nechta operatsiyalarni bajarishingiz kerak.
- Katalogga o'ting "oson-rsa"keyin papkaga "tugmachalar" va faylni oching index.txt.
- Faylni oching, barcha kontentni o'chirib tashlang va saqlang.
- Orqaga qayting "oson-rsa" va ishga tushirish "Buyruqlar liniyasi" (SHIFT + PCM - Open buyruq oynasi).
- Keyin, ishga tushirish vars.batkeyin mijoz sertifikatini yarating.
build-key.bat vpn-client
Bu tarmoqdagi barcha mashinalar uchun umumiy sertifikatdir. Xavfsizlikni oshirish uchun, har bir kompyuter uchun o'zingizning fayllaringizni yaratishingiz mumkin, lekin ularni har xil deb nomlang (emas "vpn-client"va "vpn-client1" va boshqalar). Bunday holda, index.txt faylini tozalashdan boshlab, barcha bosqichlarni takrorlashingiz kerak bo'ladi.
- Oxirgi qadam - fayllarni uzatish. vpn-client.crt, vpn-client.key, ca.crt va dh2048.pem mijozga. Buni har qanday qulay usulda, masalan, USB flesh haydovchiga yozish yoki tarmoq orqali uzatish mumkin.
Mijozlar mashinasida bajarilishi kerak bo'lgan ish:
- Oddiy usulda OpenVPNni o'rnating.
- O'rnatilgan dastur bilan katalogni oching va papkaga o'ting "config". Bu erda sertifikat va kalit fayllarni kiritish kerak.
- Xuddi shu papkada matnli fayl yarating va uni qayta nomlang config.ovpn.
- Tahrirlovchida oching va quyidagi kodni yozing:
mijoz
resolv-retry cheksiz
nobind
masofadan turib 192.168.0.15 443
proto udp
dev tun
komp-lzo
ca ca.crt
sertifikat vpn-client.crt
kalit vpn-client.key
dh dh2048.pem
float
DES-CBC shifrlari
saqlab qolish 10 120
doimiy kalit
tunni davom ettiring
fe'l 0Qatorda "masofali" Server kompyuterining tashqi IP-manzilini ro'yxatdan o'tkazishingiz mumkin, shuning uchun biz Internetga kirishimiz mumkin. Har bir narsani o'zingiz kabi qoldirsangiz, shifrlangan kanal orqali faqat serverga ulanish mumkin bo'ladi.
- OpenVPN GUI-ni administrator sifatida ish stolida ishlating, so'ngra mos keladigan belgini topib, laganga RMB-ni bosing va nom bilan birinchi elementni tanlang "Ulanish".
Ushbu OpenVPN server va mijoz konfiguratsiyasini yakunlanadi.
Xulosa
O'z VPN tarmog'ingizni tashkil qilish, uzatilgan ma'lumotni iloji boricha himoya qilish imkonini beradi, shuningdek, Internetda yanada ko'proq bemaqsad qilishni ta'minlaydi. Eng muhimi, serverni va mijozlar qismini sozlashda ehtiyotkorlik bilan, maxsus virtual tarmoqning barcha afzalliklaridan foydalanishingiz mumkin.