Ето как настройвате вашия собствен VPN сървър

Срещате VPN сървъри главно в корпоративния свят: те позволяват на служителите безопасен достъп до фирмената мрежа по пътя или от дома. Независимо от това, VPN сървърът също може да ви бъде полезен, когато сами сте на път и искате да влезете в интернет по-безопасно или да влезете в файлове в домашната си мрежа.

Съвет 01: Vpn протоколи

Има много VPN услуги, а някои можете да използвате безплатно, дори без твърде много ограничения, като ProtonVPN. Чрез клиентски софтуер на вашето мобилно устройство или компютър след това се свързвате с един от предлаганите VPN сървъри, след което можете да продължите в интернет чрез такъв сървър.

Подходът на тази статия е по-амбициозен: ще създадем собствен VPN сървър в нашата домашна мрежа. Vpn означава виртуална частна мрежа (наричана още виртуална частна мрежа на холандски) и това означава, че свързвате мрежи, които са физически разделени една от друга. Такава връзка обикновено се осъществява чрез интернет и това не е точно най-безопасната среда. Ето защо целият трафик на данни се криптира чрез такава VPN връзка: между двете мрежи се създава виртуален тунел.

Налични са няколко протокола vpn, включително pptp, sstp, ikev2, l2tp / ipsec, OpenVPN и WireGuard. Последното е много обещаващо, но все още се разработва и все още не е широко подкрепено. Тук избираме OpenVPN, защото той е с отворен код, има силно криптиране и е достъпен на почти всички платформи.

В момента OpenVPN все още се разглежда като по-добрия VPN протокол

Рутер

Всъщност вашият рутер е най-доброто място за настройка на VPN сървър във вашата домашна мрежа. В края на краищата целият трафик на данни от уебсайтовете, които посещавате по пътя, първо ще премине през вашия VPN сървър. Ако това е вашият рутер, този трафик веднага ще се върне към вашето мобилно устройство. Ако вашият VPN сървър е на NAS или PC, трафикът на данни първо трябва да премине от вашия рутер към това устройство и оттам обратно към вашия рутер. Допълнителна междинна стъпка, но на практика няма да забележите много това забавяне.

За съжаление, много често срещани домашни рутери нямат възможност да настроят VPN сървър. Ако на вашия рутер наистина липсва VPN услуга, фърмуерът на DD-WRT може да предложи изход. Сърфирайте тук и въведете вашия модел рутер. С късмет, да, ще кажете в Поддържаната колона и можете да изтеглите файла на фърмуера, за да мига вашия рутер. Имайте предвид, че извършвате такава чувствителна операция изцяло на свой риск! Щракнете тук за инструкции.

Съвет 02: Инсталиране върху nas

Първо ще ви покажем как да инсталирате сървър OpenVPN на NAS. Известни производители на NAS като QNAP и Synology предлагат собствено приложение за добавяне на VPN сървър. Ще разгледаме как да направим това на Synology NAS с последна версия на DiskStation Manager (DSM). Направете връзка с уеб интерфейса на DSM, адресът по подразбиране е: 5000 или: 5001.

Отворете Package Center , намерете приложението VPN Server под Всички пакети и щракнете върху Install . След инсталацията щракнете върху Отваряне : сървърът може да обработва няколко VPN протокола, изброени са PPTP, L2TP / IPSec и OpenVPN . По принцип те дори могат да бъдат активни едновременно, но ние се ограничаваме до протокола OpenVPN. Щракнете върху OpenVPN и поставете отметка на Enable OpenVPN server. Задайте виртуален вътрешен ip адрес за вашия vpn сървър. По подразбиране това е настроено на 10.8.0.1, което означава, че VPN клиентите основно ще получат адрес между 10.8.0.1 и 10.8.0.254. Можете да избирате от диапазон на IP между 10.0.0.1 и 10.255.255.1, между 172.16.0.1 и 172.31.255.1 и между 192.168.0.1 и 192.168.255.1. Уверете се, че обхватът не се припокрива с IP адреси, които в момента се използват във вашата локална мрежа.

Можете да инсталирате OpenVPN сървър на някои NAS устройства

Съвет 03: Избор на протокол

В същия прозорец за конфигуриране вие ​​също дефинирате максималния брой едновременни връзки, както и порта и протокола. По подразбиране портът е 1194 и протоколът UDP , което обикновено е добре. Ако вече имате друга услуга, работеща на този порт, разбира се, ще зададете различен номер на порт.

Освен това можете да изберете tcp вместо udp. Tcp има вградена корекция на грешки и проверява дали всеки бит е пристигнал правилно. Това осигурява по-голяма стабилност на връзката, но е малко по-бавно. Udp, ​​от друга страна, е „протокол без гражданство“ без корекция на грешки, което го прави по-подходящ за стрийминг услуги, където загубата на определен брой битове обикновено е по-малко сериозна.

Нашият съвет: първо опитайте udp. По желание можете да започнете да експериментирате след това и да изберете например TCP порт 8080 или дори https порт 443, тъй като те обикновено се блокират по-бързо от (фирмена) защитна стена. Имайте предвид, че все още трябва да зададете избрания протокол в настройките за пренасочване на портове (вижте съвет 5).

Обикновено можете да оставите останалите опции в прозореца за конфигуриране недокоснати. Потвърдете избора си с Apply .

Съвет 04: Експортиране на конфигурация

В долната част на прозореца ще намерите бутона Експортиране на конфигурацията . Това експортира zip файл, който се разопакова и създава както сертификат (.crt), така и конфигурационен профил (.ovpn). Нуждаете се от файла ovpn за вашите OpenVPN клиенти (вижте също съвети 6 до 8). Отворете ovpn файла с програмата Notepad. В (третия) ред заменете обозначението YOUR_SERVER_IP в отдалечен YOUR_SERVER_IP 1194от външния IP адрес на вашия рутер и обозначението 1194 от порта, който сте задали в прозореца за конфигурация OpenVPN. Бърз начин да разберете този външен IP адрес е, когато отидете от вашата вътрешна мрежа на сайт като www.whatismyip.com (вижте полето „Ddns“). Можете също така да замените този IP адрес с име на хост, като това на услуга ddns (вижте същото поле).

Малко по-нататък във файла ovpn ще видите реда # redirect-gateway def1. Тук премахвате хеша, така че redirect-gateway def1. Тази опция гарантира, че основно целият мрежов трафик се пренасочва през VPN. Ако това създава проблеми, нулирайте оригиналния ред. Повече информация за това (и за други технически проблеми на OpenVPN) можете да намерите тук.

Запазете редактирания файл със същото разширение.

Ddns

Отвън обикновено получавате достъп до домашната си мрежа чрез публичния IP адрес на вашия рутер. Ще откриете този адрес, когато сърфирате от мрежата си до сайт като www.whatismyip.com. Шансовете са, че вашият доставчик е присвоил този IP адрес динамично, така че нямате гаранция, че този IP адрес винаги ще остане същият. Това е досадно, ако редовно искате да достигнете до вашата мрежа (и вашия OpenVPN сървър) отвън.

Динамичната dns услуга (ddns) предлага възможен изход. Това гарантира, че фиксирано име на домейн е свързано с този IP адрес и веднага щом адресът се промени, свързаният инструмент ddns (който работи локално някъде във вашата мрежа, като например на вашия рутер, NAS или компютър) прави новия адрес известен услугата ddns, която незабавно актуализира връзката. Един от най-гъвкавите безплатни доставчици на DDNS е Dynu.

Съвет 05: Препращане на портове

Ще се появи съобщение, което ви казва да проверите настройките за пренасочване на портове и защитната стена по отношение на зададения порт (стандарт 1194 udp).

Започваме с защитната стена. Трябва да осъществите достъп до сървъра OpenVPN през udp порт 1194 и след това трябва да сте сигурни, че защитната стена не блокира този порт. Можете да намерите защитната стена на вашето NAS чрез раздела Контролен панел / Сигурност / Защитна стена . С активирана защитна стена проверете чрез бутона Редактиране на правила дали въпросният порт не е заключен. Това се отнася и за защитната стена на вашия рутер, ако е активирана.

Концепцията за пренасочване на портове е по-сложна. Ако искате да достигнете до вашия OpenVPN сървър извън вашата вътрешна мрежа, ще трябва да използвате публичния IP адрес на вашия рутер. Когато заявите OpenVPN връзка с UDP порт 1194 чрез този IP адрес, вашият рутер трябва да знае на коя машина трябва да препрати заявката за този пристанищен трафик, който в нашия случай е вътрешният IP адрес на вашия nas.

Консултирайте се с ръководството на вашия рутер, за да разберете как да настроите правилно пренасочване на портове, или посетете http://portforward.com/router за повече инструкции.

Като цяло става по следния начин: влезте в уеб интерфейса на вашия рутер, потърсете (под) заглавие като Препращане на порт и добавете елемент със следната информация: име на приложение, ip адрес на nas, вътрешен порт, външен порт и протокол. Например, това може да бъде: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Потвърдете промените си.

Вашият OpenVPN сървър може да изисква някои ключови работи на защитната стена и рутера

Отделен сървър OpenVPN

Ако нямате NAS и вашият рутер не поддържа OpenVPN, все пак можете сами да настроите такъв OpenVPN сървър на компютър с Linux или Windows.

Подобна процедура е доста сложна. Трябва да преминете през различни стъпки, а също и под Windows това се прави главно от командния ред. След инсталирането на софтуера OpenVPN Server (вижте съвет 8) трябва да създадете CA сертификат, последвано от създаването на сертификати за сървъра и необходимите OpenVPN клиенти. Необходими са ви също така наречените DH параметри (Diffie-Hellman), както и TLS ключ (защита на транспортния слой). И накрая, и тук трябва да създавате и модифицирате ovpn файлове и да се уверите, че сървърът ви позволява необходимия трафик.

Чрез тази връзка ще намерите стъпка по стъпка план за Windows 10, за Ubuntu чрез тази връзка.

Съвет 06: Профил на мобилен клиент

Настройването на OpenVPN сървър е първа стъпка, но след това трябва да се свържете със сървъра от един или повече VPN клиенти (като вашия лаптоп, телефон или таблет). Започваме с свързването на мобилен клиент.

И за iOS, и за Android настройването на връзка работи най-лесно с клиентско приложение OpenVPN, като например безплатното OpenVPN Connect . Можете да намерите това приложение в официалните магазини за приложения на Android и Apple.

Вземаме Android за пример. Изтеглете и инсталирайте приложението. Преди да стартирате приложението, уверете се, че файлът с профила на ovpn е на вашето мобилно устройство (вижте съвет 4). Ако е необходимо, можете да направите това по заобиколен път чрез услуга като WeTransfer или услуга за съхранение в облак като Dropbox или Google Drive. Стартирайте OpenVPN Connect и изберете OVPN Profile . Потвърдете с Разрешаване , вижте изтегления файл VPNconfig.ovpn и изберете Импортиране . Ако искате да добавите допълнителни профили след това, можете просто да го направите чрез бутона плюс.

Съвет 07: Свържете клиента

Въведете подходящо име за вашата VPN връзка и попълнете правилните данни на потребителско име и парола . Тези данни за вход трябва, разбира се, да имат достъп до вашия VPN сървър, на Synology NAS, отворете секцията за права на VPN сървър и поставете отметка до желания потребител (и) в OpenVPN . Можете да изберете да запомните паролата, ако я считате за достатъчно безопасна. Потвърдете с Добавяне . Профилът е добавен, докоснете го, за да стартирате връзката.

Приложението може да се оплаква, че файлът на профила няма клиентски сертификат (той има сертификат на сървър), тъй като Synology NAS не просто го генерира. Това е малко по-малко сигурно, защото не е проверено дали е оторизиран клиент, но разбира се ви трябват потребителското име и паролата, за да получите достъп. Така че можете да изберете Напред тук . Връзката трябва да бъде настроена малко по-късно. Ще забележите това в иконата на клавиша в горната част на началния екран.

Съвет 08: Клиент на Windows

За Windows изтегляте инсталационната програма за Windows 10 от OpenVPN GUI, има и версия за Windows 7 и 8 (.1). Инсталирайте инструмента. Ако планирате да инсталирате и OpenVPN сървър в Windows (вижте полето „Отделен сървър на OpenVPN“), поставете отметка в квадратчето до EasyRSA 2 скриптове за управление на сертификати по време на инсталацията . Когато бъдете подканени, позволете също да бъде инсталиран TAP драйвер.

След това ще намерите иконата на OpenVPN GUI на вашия работен плот. Ако не, стартирайте програмата от инсталационната папка по подразбиране C: \ Program Files \ OpenVPN \ bin . Инсталацията трябва да гарантира, че не е необходимо да стартирате инструмента като администратор. Ако това не работи по някаква причина, щракнете с десния бутон върху програмния файл и изберете Изпълни като администратор .

Насочете програмата към вашия файл с профил на ovpn (вижте съвет 4). Щракнете с десния бутон върху иконата на OpenVPN GUI в системната област на Windows и изберете Импортиране на файл , след което изберете файла VPNConfig.ovpn. В същото меню кликнете върху Свързване и въведете необходимите данни за вход. В прозореца на състоянието можете да проследите настройката на VPN връзката и можете също да прочетете назначения IP адрес отдолу.

Ако срещнете проблеми, щракнете върху Преглед на регистрационния файл в менюто . По подразбиране услугата OpenVPN се стартира заедно с Windows: можете да направите това чрез Настройки в раздела Общи . Също така проверете дали вашата защитна стена не блокира връзката.