Вот как вы настраиваете свой собственный VPN-сервер

VPN-серверы встречаются в основном в корпоративном мире: они позволяют сотрудникам безопасно получать доступ к корпоративной сети в дороге или из дома. Тем не менее, VPN-сервер также может пригодиться, когда вы сами находитесь в дороге и хотите более безопасный доступ в Интернет или доступ к файлам в вашей домашней сети.

Совет 01: протоколы VPN

Существует множество VPN-сервисов, и некоторые из них можно использовать бесплатно даже без особых ограничений, например ProtonVPN. Затем через клиентское программное обеспечение на вашем мобильном устройстве или компьютере вы подключаетесь к одному из предлагаемых VPN-серверов, после чего вы можете продолжить работу в Интернете через такой сервер.

Подход этой статьи более амбициозен: мы собираемся настроить собственный VPN-сервер в нашей домашней сети. Vpn означает виртуальную частную сеть (также называемую виртуальной частной сетью на голландском языке), и это означает, что вы подключаете сети, которые физически отделены друг от друга. Такое соединение обычно выполняется через Интернет, и это не самая безопасная среда. Вот почему весь трафик данных шифруется через такое VPN-соединение: между двумя сетями как бы создается виртуальный туннель.

Доступно несколько протоколов vpn, включая pptp, sstp, ikev2, l2tp / ipsec, OpenVPN и WireGuard. Последний очень многообещающий, но все еще находится в стадии разработки и пока не получил широкой поддержки. Мы выбрали OpenVPN здесь, потому что это открытый исходный код, надежное шифрование и доступный практически на всех платформах.

На данный момент OpenVPN по-прежнему считается лучшим протоколом VPN.

Маршрутизатор

Фактически, ваш маршрутизатор - лучшее место для установки VPN-сервера в вашей домашней сети. В конце концов, весь трафик данных с веб-сайтов, которые вы посещаете в дороге, сначала будет проходить через ваш VPN-сервер. Если это ваш маршрутизатор, этот трафик немедленно вернется на ваше мобильное устройство. Если ваш VPN-сервер находится на NAS или ПК, трафик данных должен сначала идти с вашего маршрутизатора на это устройство, а оттуда обратно на ваш маршрутизатор. Дополнительный промежуточный шаг, но на практике вы не заметите этой задержки.

К сожалению, многие обычные домашние маршрутизаторы не имеют возможности настроить сервер VPN. Если в вашем маршрутизаторе действительно отсутствует служба VPN, прошивка DD-WRT может предложить выход. Поищите здесь и введите модель своего роутера. Если повезет, в столбце « Поддерживается» будет указано «Да», и вы сможете загрузить файл прошивки для прошивки маршрутизатора. Имейте в виду, что вы выполняете такую ​​деликатную операцию исключительно на свой страх и риск! Щелкните здесь для получения инструкций.

Совет 02: Установка на NAS

Сначала мы покажем вам, как установить сервер OpenVPN на NAS. Известные производители NAS, такие как QNAP и Synology, предлагают собственное приложение для добавления VPN-сервера. Мы рассмотрим, как это сделать на Synology NAS с последней версией DiskStation Manager (DSM). Установите соединение с веб-интерфейсом DSM, адрес по умолчанию: 5000 или: 5001.

Откройте Центр пакетов , найдите приложение VPN-сервер в разделе « Все пакеты» и нажмите « Установить» . После установки нажмите Open : сервер может обрабатывать несколько протоколов VPN, в списке перечислены PPTP, L2TP / IPSec и OpenVPN . В принципе, они могут быть активными даже одновременно, но мы ограничиваемся протоколом OpenVPN. Нажмите OpenVPN и установите флажок Включить сервер OpenVPN.. Установите виртуальный внутренний IP-адрес для вашего сервера vpn. По умолчанию установлено значение 10.8.0.1, что означает, что клиенты VPN в основном получают адрес между 10.8.0.1 и 10.8.0.254. Вы можете выбрать IP-адрес из диапазона от 10.0.0.1 до 10.255.255.1, от 172.16.0.1 до 172.31.255.1 и от 192.168.0.1 до 192.168.255.1. Убедитесь, что диапазон не перекрывается с IP-адресами, которые в настоящее время используются в вашей локальной сети.

Вы можете установить сервер OpenVPN на некоторые устройства nas

Совет 03: выбор протокола

В том же окне конфигурации вы также определяете максимальное количество одновременных подключений, а также порт и протокол. По умолчанию это порт 1194 и протокол UDP , что обычно нормально. Если у вас уже есть другая служба, работающая на этом порту, вы, конечно же, установите другой номер порта.

Кроме того, вы также можете выбрать tcp вместо udp. Tcp имеет встроенную коррекцию ошибок и проверяет, что каждый бит поступил правильно. Это обеспечивает большую стабильность соединения, но работает немного медленнее. Udp, ​​с другой стороны, представляет собой «протокол без сохранения состояния» без исправления ошибок, что делает его более подходящим для потоковых сервисов, где потеря нескольких битов обычно менее серьезна.

Наш совет: сначала попробуйте udp. При желании вы можете начать экспериментировать позже и выбрать, например, TCP-порт 8080 или даже https-порт 443, потому что они обычно менее быстро блокируются (корпоративным) межсетевым экраном. Имейте в виду, что вам также необходимо установить выбранный протокол в настройках переадресации портов (см. Совет 5).

Обычно вы можете оставить другие параметры в окне конфигурации нетронутыми. Подтвердите свой выбор, нажав Применить .

Совет 04: экспорт конфигурации

Внизу окна вы найдете кнопку Экспорт конфигурации . Это экспортирует zip-файл, который распаковывается и создает как сертификат (.crt), так и профиль конфигурации (.ovpn). Вам понадобится файл ovpn для ваших клиентов OpenVPN (см. Также советы с 6 по 8). Откройте файл ovpn с помощью программы «Блокнот». В (третьей) строке замените обозначение YOUR_SERVER_IP на удаленном YOUR_SERVER_IP 1194по внешнему IP-адресу вашего роутера и обозначению 1194 по порту, который вы установили в окне конфигурации OpenVPN. Быстрый способ узнать этот внешний IP-адрес - это перейти из внутренней сети на такой сайт, как www.whatismyip.com (см. Поле «Ddns»). Вы также можете заменить этот IP-адрес именем хоста, например именем службы ddns (см. То же поле).

Чуть дальше в файле ovpn вы увидите строку # redirect-gateway def1. Здесь вы удаляете хеш, поэтому redirect-gateway def1. Этот вариант гарантирует, что в основном весь сетевой трафик проходит через VPN. Если это вызывает проблемы, сбросьте исходную строку. Более подробную информацию об этом (и о других технических проблемах OpenVPN) можно найти здесь.

Сохраните отредактированный файл с тем же расширением.

Ddns

Извне вы обычно получаете доступ к своей домашней сети через общедоступный IP-адрес вашего маршрутизатора. Вы узнаете этот адрес, когда перейдете из своей сети на такой сайт, как www.whatismyip.com. Скорее всего, ваш провайдер назначил этот IP-адрес динамически, поэтому у вас нет гарантии, что этот IP-адрес всегда останется прежним. Это раздражает, если вы регулярно хотите подключиться к своей сети (и вашему серверу OpenVPN) извне.

Возможный выход предлагает динамический DNS-сервис (ddns). Это гарантирует, что фиксированное доменное имя будет связано с этим IP-адресом, и как только адрес изменится, связанный инструмент ddns (который работает локально где-то в вашей сети, например, на вашем маршрутизаторе, NAS или ПК) сделает новый адрес известным. в сервис ddns, который сразу обновляет ссылку. Один из самых гибких поставщиков бесплатных ddns - это Dynu.

Совет 05: перенаправление портов

Появится сообщение, предлагающее вам проверить настройки переадресации портов и брандмауэра относительно установленного порта (стандартный 1194 udp).

Начнем с межсетевого экрана. Вы должны получить доступ к серверу OpenVPN через порт udp 1194, а затем вы должны быть уверены, что ваш брандмауэр не блокирует этот порт. Вы можете найти брандмауэр на вашем NAS через вкладку «Панель управления» / «Безопасность» / «Брандмауэр» . При включенном брандмауэре проверьте с помощью кнопки « Изменить правила» , не заблокирован ли соответствующий порт. Это также относится к брандмауэру на вашем маршрутизаторе, если он включен.

Концепция перенаправления портов более сложна. Если вы хотите подключиться к серверу OpenVPN из-за пределов внутренней сети, вам нужно будет использовать общедоступный IP-адрес вашего маршрутизатора. Когда вы запрашиваете соединение OpenVPN с UDP-портом 1194 через этот IP-адрес, ваш маршрутизатор должен знать, на какую машину пересылать запрос для этого трафика порта, и в нашем случае это внутренний IP-адрес ваш nas.

Обратитесь к руководству вашего маршрутизатора, чтобы узнать, как правильно настроить переадресацию портов, или посетите http://portforward.com/router для получения дополнительных инструкций.

В общем, это выглядит следующим образом: войдите в веб-интерфейс вашего маршрутизатора, найдите (под) заголовок, например Переадресацию портов, и добавьте элемент со следующей информацией: имя приложения, IP-адрес nas, внутренний порт, внешний порт и протокол. Например, это может быть: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Подтвердите свои изменения.

Вашему серверу OpenVPN может потребоваться некоторая работа с брандмауэром и маршрутизатором.

Отдельный сервер OpenVPN

Если у вас нет NAS и ваш маршрутизатор не поддерживает OpenVPN, вы все равно можете самостоятельно настроить такой сервер OpenVPN на компьютере с Linux или Windows.

Такая процедура довольно сложная. Вам нужно выполнить различные шаги, и в Windows это в основном выполняется из командной строки. После установки программного обеспечения OpenVPN Server (см. Совет 8) вам необходимо создать сертификат CA, а затем создать сертификаты для сервера и необходимых клиентов OpenVPN. Вам также понадобятся так называемые параметры DH (Diffie-Hellman), а также ключ TLS (безопасность транспортного уровня). Наконец, и здесь вам нужно создать и изменить файлы ovpn и убедиться, что ваш сервер разрешает необходимый трафик.

По этой ссылке вы найдете пошаговый план для Windows 10, для Ubuntu по этой ссылке.

Совет 06: Профиль мобильного клиента

Настройка сервера OpenVPN - это первый шаг, но после этого вам необходимо подключиться к серверу с одного или нескольких клиентов VPN (например, вашего ноутбука, телефона или планшета). Начнем с подключения мобильного клиента.

И для iOS, и для Android проще всего настроить соединение с клиентским приложением OpenVPN, таким как бесплатное OpenVPN Connect . Вы можете найти это приложение в официальных магазинах приложений Android и Apple.

В качестве примера возьмем Android. Скачайте и установите приложение. Перед запуском приложения убедитесь, что файл профиля ovpn находится на вашем мобильном устройстве (см. Совет 4). При необходимости вы можете сделать это объездным путем с помощью такой службы, как WeTransfer, или службы облачного хранения, такой как Dropbox или Google Drive. Запустите OpenVPN Connect и выберите Профиль OVPN . Подтвердите с помощью Разрешить , обратитесь к загруженному файлу VPNconfig.ovpn и выберите Импорт . Если вы хотите добавить дополнительные профили после этого, вы можете просто сделать это с помощью кнопки «плюс».

Совет 07: подключите клиент

Введите подходящее имя для вашего VPN-соединения и введите правильные данные в поле « Имя пользователя» и « Пароль» . Эти данные для входа, конечно же, должны иметь доступ к вашему VPN-серверу на Synology NAS, открыть раздел « Права » на VPN-сервере и поставить галочку рядом с предполагаемым пользователем (ами) в OpenVPN . Вы можете запомнить пароль, если считаете это достаточно безопасным. Подтвердите с помощью Добавить . Профиль добавлен, коснитесь его, чтобы начать подключение.

Приложение может жаловаться на то, что файл профиля не имеет сертификата клиента (у него есть сертификат сервера), поскольку Synology NAS не просто генерирует его. Это немного менее безопасно, потому что не проверяется, является ли он авторизованным клиентом, но, конечно, вам нужны имя пользователя и пароль, чтобы получить доступ. Таким образом, вы можете выбрать « Продолжить» здесь . Подключение должно быть установлено чуть позже. Вы заметите это по значку ключа в верхней части начального экрана.

Совет 08: клиент для Windows

Для Windows вы загружаете установщик Windows 10 из графического интерфейса OpenVPN, есть также версия для Windows 7 и 8 (.1). Установите инструмент. Если вы планируете установить сервер OpenVPN и в Windows (см. Блок «Отдельный сервер OpenVPN»), установите флажок « Сценарии управления сертификатами EasyRSA 2» во время установки . Также разрешите установку драйвера TAP при появлении запроса.

После этого вы найдете значок графического интерфейса OpenVPN на рабочем столе. Если нет, запустите программу из установочной папки по умолчанию C: \ Program Files \ OpenVPN \ bin . Установка должна гарантировать, что вам не нужно запускать инструмент от имени администратора. Если это не помогло по какой-либо причине, щелкните правой кнопкой мыши файл программы и выберите «Запуск от имени администратора» .

Направьте программу на свой файл профиля ovpn (см. Совет 4). Щелкните правой кнопкой мыши значок графического интерфейса OpenVPN на панели задач Windows и выберите « Импортировать файл» , затем выберите файл VPNConfig.ovpn. В том же меню нажмите « Подключиться» и введите необходимые данные для входа. В окне статуса вы можете следить за настройкой VPN-соединения, а также можете прочитать назначенный IP-адрес внизу.

Если у вас возникнут проблемы, щелкните в меню Просмотр файла журнала . По умолчанию служба OpenVPN запускается вместе с Windows: это можно сделать в настройках на вкладке « Общие » . Также убедитесь, что ваш брандмауэр не блокирует соединение.