Настройка vpn сети: Sorry, this page can’t be found.
Настраиваем VPN. Часть 1 — Общие вопросы
VPN-технологии сегодня прочно вошли в повседневную жизнь и на слуху не только у IT-специалистов, поэтому мы решили обновить ряд старых статей, значительно дополнив и расширив имеющуюся в них информацию. Если десять лет назад VPN был в основном уделом достаточно крупных организаций, сегодня он широко используется повсеместно. В этой статье мы рассмотрим, что такое VPN в 2019 году, какие технологии доступны, в чем их достоинства и недостатки и как это все можно использовать.
Прежде всего определимся с терминологией. VPN (Virtual Private Network, виртуальная частная сеть) — обобщенное название технологий позволяющих обеспечить построение логической (виртуальной) сети поверх физической, чаще всего поверх сети интернет или иных сетей с низким уровнем доверия.
Для построения сетей VPN обычно используются туннели, туннелирование это процесс установления соединения между двумя точками с использованием инкапсуляции, когда данные одного протокола помещаются в «конверты» другого протокола с целью обеспечить их прохождение в неподходящей среде, обеспечения целостности и конфиденциальности, защиты с помощью шифрования и т.д. и т.п.
Т.е. если подходить к вопросу терминологии строго, то под VPN следует понимать виртуальную сеть, которая образуется путем установления туннельных соединений между отдельными узлами. Но на практике термины используются гораздо более вольно и очень часто вносят серьезную путаницу. Скажем, популярный сейчас доступ в интернет через VPN виртуальной частной сетью собственно не является, а представляет туннельное соединение для выхода в интернет, с логической точки зрения ничем не отличаясь от PPPoE, которое тоже является туннелем, но VPN его никто не называет.
По схеме организации можно выделить две большие группы: клиент-серверные технологии и просто туннели. В названии первых обычно принято использовать аббревиатуру VPN, у вторых нет. Туннели требуют наличия с обоих концов выделенного IP-адреса, не используют вспомогательных протоколов для установления соединения и могут не иметь инструментов контроля канала. Клиент-серверные решения, наоборот, используют дополнительные протоколы и технологии, осуществляющие установку связи между клиентом и сервером, контроль и управление каналом, обеспечение целостности и безопасности передаваемых данных.
Ниже мы рассмотрим наиболее популярные типы туннельных соединений, которые применяются для построения VPN-сетей, начнем с классических решений.
PPTP
PPTP (Point-to-Point Tunneling Protocol, туннельный протокол точка-точка) — один из наиболее известных клиент-серверных протоколов, получил широкое распространение благодаря тому, что начиная с Windows 95 OSR2 PPTP-клиент был включен в состав ОС. В настоящее время поддерживается практически всем спектром систем и устройств, включая роутеры и смартфоны (клиент удален из последних версий macOS и iOS).
Технически PPTP использует два сетевых соединения: канал управления, работающий через TCP и использующий порт 1723 и GRE-туннель для передачи данных. Из-за этого могут возникать сложности с использованием в сетях мобильных операторов, проблема с одновременной работой нескольких клиентов из-за NAT и проблема проброса PPTP соединения через NAT.
Еще одним существенным недостатком является низкая безопасность протокола PPTP, что не позволяет строить на нем защищенные виртуальные сети, но широкое распространение и высокая скорость работы делают PPTP популярным там, где безопасность обеспечивается иными методами, либо для доступа в интернет.
L2TP
L2TP (Layer 2 Tunneling Protocol, протокол туннелирования второго уровня) — разработка компаний Сisco и Microsoft, использует для передачи данных и управляющих сообщений единственное UDP соединение на порту 1701, но не содержит никаких встроенных средств защиты информации. L2TP-клиент также встроен во все современные системы и сетевые устройства.
Без шифрования L2TP широко применялся и применяется провайдерами для обеспечения доступа в интернет, обеспечивая таким образом разделение бесплатного внутрисетевого и дорогого интернет трафика. Это было актуально в эпоху домовых сетей, но данная технология продолжает применяться многими провайдерами и по сей день.
Для построения VPN обычно используют L2TP over IPsec (L2TP/IPsec), где IPsec работает в транспортном режиме и шифрует данные L2TP-пакета. При этом L2TP-туннель создается внутри IPsec-канала и для его установления необходимо прежде обеспечить IPsec-соединение между узлами. Это может вызвать сложности при работе в сетях с фильтрацией трафика (гостиничные сети, публичный Wi-Fi и т.д.), вызывает проблемы с пробросом L2TP/IPSec через NAT и работой из-за NAT одновременно нескольких клиентов.
К плюсам L2TP можно отнести высокую распространенность и надежность, IPsec не имеет серьезных уязвимостей и считается очень безопасным. Минус — высокая нагрузка на оборудование и невысокая скорость работы.
SSTP
SSTP (Secure Socket Tunneling Protocol, протокол безопасного туннелирования сокетов) — разработанный компанией Microsoft безопасный VPN-протокол, относится к так называемым SSL VPN, распространен преимущественно в Windows-среде, хотя клиенты доступны в среде многих современных ОС. Также есть сторонние серверные решения, скажем в Mikrotik.
Технически SSTP представляет собой туннельное PPP-соединение внутри HTTPS-сессии на стандартный порт 443. Для стороннего наблюдателя доступны только HTTPS-заголовки, наличия туннеля в трафике остается скрытым. Это позволяет успешно работать в любых сетях, так как HTTPS широко используется для доступа к сайтам и обычно разрешен, снимает проблему с пробросом или работой из-за NAT. Безопасен.
К плюсам можно отнести интеграцию в Windows-среду, безопасность, возможность работы через NAT и брандмауэры. К недостаткам — слабую или недостаточную поддержку со стороны других ОС и сетевых устройств, а также уязвимость к некоторым классическим SSL-атакам, таким как «человек посередине».
OpenVPN
OpenVPN — свободная реализация VPN с открытым исходным кодом. Для защиты соединения также используется SSL, но в отличие от SSTP заголовки OpenVPN отличаются от стандартных HTTPS, что позволяет однозначно определить наличие туннеля. Для передачи данных внутри SSL-канала OpenVPN использует собственный протокол с транспортом UDP, также существует возможность использовать в качестве транспорта TCP, но данное решение является нежелательным из-за высоких накладных расходов.
OpenVPN обеспечивает высокую безопасность и считается одним из самых защищенных протоколов, составляя альтернативу IPsec. Также имеются дополнительные возможности в виде передачи с сервера на клиент необходимых настроек и маршрутов, что позволяет легко создавать сложные сетевые конфигурации без дополнительной настройки клиентов.
Кроме туннелей, работающих на сетевом уровне (L3) — TUN, OpenVPN позволяет создавать соединения канального (L2) уровня — TAP, позволяя связывать сети на уровне Ethernet. Однако следует помнить, что в этом случае в туннель будет инкапсулироваться широковещательный трафик, а это может привести к повышенной нагрузке на оборудование и снижению скорости соединения.
Несмотря на то, что OpenVPN требует установки дополнительного ПО серверная часть доступна для Windows и UNIX-like систем, а клиентская в том числе и для мобильных устройств. Также поддержка OpenVPN имеется во многих моделях роутеров (часто в ограниченном виде).
К недостаткам можно отнести работу в пользовательском пространстве и некоторую сложность настроек. Скорость внутри OpenVPN туннелей также может быть значительно ниже скорости канала.
Несмотря на это OpenVPN имеет высокую популярность и достаточно широко используется как в корпоративных сетях, так и для доступа в интернет.
GRE туннель
GRE (Generic Routing Encapsulation, общая инкапсуляция маршрутов
) — протокол туннелирования разработанный компаний Cisco и предназначен для инкапсуляции любых протоколов сетевого уровня OSI (т.е. не только IP), GRE работает непосредственно поверх IP и не использует порты, не проходит через NAT, номер протокола 47.GRE требует белых IP-адресов для обоих сторон туннеля и является протоколом без сохранения состояния, т.е. никак не контролирует доступность противоположного узла, хотя большинство современных реализаций содержат дополнительные механизмы, позволяющие определить состояние канала. Также отсутствуют какие-либо механизмы безопасности, но это не является недостатком, так как в отличие от клиент-серверных решений GRE-туннели применяются в корпоративной и телекоммуникационной среде, где для обеспечения безопасности могут использоваться иные технологии.
Для построения защищенных решений обычно используется GRE over IPsec, когда туннель GRE располагается поверх защищенного IPsec канала, хотя возможно и иное решение — IPsec over GRE, когда защищенное соединение устанавливается внутри незашифрованного GRE-туннеля.
GRE поддерживается в UNIX-like системах, сетевом оборудовании (исключая домашние модели), а также в Windows Server начиная с версии 2016. Данный протокол широко используется в телекоммуникационной сфере и корпоративной среде.
IP-IP туннель
IP-IP (IP over IP) — один из самых простых и имеющий минимальные накладные расходы протокол туннелирования, но в отличие от GRE инкапсулирует только IPv4 unicast трафик. Также является протоколом без сохранения состояния и встроенных механизмов безопасности, обычно используется в паре с IPsec (IP-IP over IPsec). Поддерживается UNIX-like системами и сетевым оборудованием. Как и GRE не использует порты и не проходит через NAT, номер протокола 4.
EoIP туннель
EoIP (Ethernet over IP) — разработанный Mikrotik протокол туннелирования канального уровня (L2), работает на базе протокола GRE инкапсулируя Ethernet кадры в GRE пакеты. Позволяет соединять на канальном уровне удаленные сети (что равносильно прямому соединению патч-кордом между ними) и обеспечивать связь без использования маршрутизации. При этом следует понимать, что такое соединение предполагает прохождение широковещательного трафика, что способно существенно снизить производительность туннеля, особенно на узких каналах или каналах с большими задержками.
В тоже время EoIP может быть полезен для подключения торгового и промышленного оборудования, которое не умеет работать на сетевом (L3) уровне с маршрутизацией. Например, для подключения удаленных видеокамер к видеорегистратору.
Первоначально EoIP поддерживался только оборудованием Mikrotik, сегодня его поддержка реализована в оборудовании Zyxel и существуют пакеты для его реализации в среде Linux.
IPsec
IPsec (IP Security) — набор протоколов для обеспечения безопасности передаваемых по сетям IP данных. Также может использоваться не только для защиты уже существующих каналов связи, а для организации самостоятельных туннелей. Но IPsec-туннели не нашли широкого распространения по ряду причин: сложность настройки, критичность к ошибкам конфигурирования (может сильно пострадать безопасность) и отсутствие возможности использовать маршрутизацию для управления трафиком в таких туннелях (решение об обработке IP-пакетов принимается на основании политик IPsec).
IKEv2
IKEv2 (Internet Key Exchange) входит в состав протоколов IPSec, однако может использоваться самостоятельно для создания туннельных подключений. Отличается высокой безопасностью и скоростью работы, поддерживает аутентификацию по сертификатам. Прост в настройке с клиентской стороны, может передавать клиентам маршрутную информацию. Поддерживается всеми современными ОС. Хорошо проходит через NAT и не имеет проблем характерных для L2TP/IPsec. Из недостатков следует выделить сложность в настройке серверной части и определенные сложности с маршрутизацией, которые указаны выше, при описании IPsec.
Заключение
Переписывая данную статью, мы не ставили задачу объять необъятное, рассмотреть все существующие VPN-решения в рамках одной статьи невозможно. Ее назначение — познакомить читателя с основными используемыми сегодня технологиями для построения виртуальных частных сетей. При этом мы намеренно оставили за кадром решения от Cisco или иных «взрослых» производителей, так как их внедрением занимаются профессионалы, которым подобные статьи явно без надобности.
Также мы не стали рассматривать решения без широкой поддержки со стороны производителей сетевого оборудования, хотя там есть достаточно интересные продукты. Например, мультипротокольный сервер SoftEther VPN, который поддерживает L2TP, SSTP, OpenVPN и собственный SSL VPN протокол, имеет широкие сетевые возможности, графический клиент для настройки и администрирования и многие иные «вкусности». Или перспективный WireGuard, который отличается простотой, высокой производительностью и использованием современной криптографии.
Тем не менее, какую именно технологию следует использовать? Все зависит от сферы применения. Если стоит задача связать два офиса с выделенными IP-адресами, то мы порекомендовали бы использовать GRE или IP-IP, если возможность настройки удаленных сетей ограничена, то следует посмотреть в сторону OpenVPN, он также подойдет, если удаленные сети находятся за NAT или не имеют выделенного IP.
А вот для организации удаленного доступа следует использовать один из протоколов с нативной поддержкой в используемых пользователями системах или устройствах. Если у вас основу инфраструктуры составляют Windows-системы и не стоит вопрос доступа с мобильных устройств, то следует обратить внимание на SSTP, в противном случае лучше остановить свой выбор на универсальном L2TP, либо современном IKEv2.
PPTP в современных условиях не может считаться надежным из-за слабой защиты, но может оставаться хорошим выбором, если данные в туннеле будут передаваться по одному из защищенных протоколов. Скажем для доступа по HTTPS к корпоративному порталу или веб-версии корпоративного приложения, также работающему через SSL. В данном случае VPN будет обеспечивать дополнительную аутентификацию и сужать периметр атаки на приложение, безопасность самого канала в данном случае не будет играть решающей роли.
Как настроить локальную сеть через VPN
Что такое VPN
Аббревиатура VPN расшифровывается как Virtual Private Network, то есть «виртуальная частная сеть». Понятие «виртуальная» означает, что создаться виртуальная локальная или другими словами частная сеть на основе существующей инфраструктуры глобальной сети интернет. Что такое «сеть» в контексте ИТ сегодня понятно многим. Упрощенно, это объединение двух и более ПК по линиям связи для обмена информацией.
В чем заключается работа VPN? Если кратко, то внутри рабочей сети создаться новая сеть, при подключении к которой IP-адрес пользователя заменяется на адрес VPN сети. Таким образом формируется искусственное защищенное соединение между ПК и VPN-сервером, передача данных по которому полностью зашифрована динамично изменяемыми ключами. Защита информации в новой сети осуществляется комплексно: шифрование невозможно взломать, несанкционированное подключение посторонних пользователей полностью исключено, а все входящие и исходящие пакеты постоянно проверяются на целостность.
С какой целью создается сеть через VPN
На практике локальная сеть через VPN представляет собой линию связи между компьютерами на основе обычного соединения через Интернет. При этом неважно, через какие именно узлы Глобальной Сети будет установлено это соединение, но можно не сомневаться — трафик пойдет по защищенной сети. Такое выделенное VPN-соединение принято называть туннелем.
Подобные туннели строятся, например, в тех случаях, когда сотрудникам предприятия необходимо иметь удаленный доступ к корпоративной сети (из дома, в командировке, вне офиса с мобильных устройств). И речь здесь не просто о подключении, а о безопасном канале связи, который может оказаться очень полезен в том случае, когда сотрудники внезапно перешли на «удаленку», а им необходимо подключиться к корпоративному ресурсу. Это ли не идеальный сценарий офисной работы в ракурсе ограничений, связанных с COVID-19.
Поэтому в крупных организациях, сотрудников при подсоединении рабочего ноутбука к любым проводным или беспроводным сетям, находящимся за пределами стен компании, всегда заставляют задействовать VPN-подключение к офисной сети. Кроме того, соединение через VPN также позволяет настроить связь между удаленными филиалами предприятий связав их в одну надежную сеть.
Плюсы и минусы VPN
Любая общедоступная точка доступа Wi-Fi — рай для злоумышленников. В большинстве случаев беспроводные каналы очень уязвимы ибо любая информация которая передается в открытом виде доступна всем пользователям в этой сети. Также следует знать, что, совершая покупки и вбивая данные карты через бесплатную сеть Wi-Fi, вы сильно рискуете. Злоумышленники весьма хитры, изобретательны и пользуются слабыми местами в протоколах безопасности, используя аппаратные или программные уязвимости.
Причем хакером может быть физическое лицо, конкурентная компания или правительство. В любом случае взлом представляет большую угрозу для владельца ПК или смартфона. Поэтому настоятельно советуем посетителям кофеен использовать сеть VPN при интернет-серфинге и просмотре Веб-страниц. Если вы читаете важные письма, просматриваете социальные сети или скачиваете видео и другой контент, VPN защитит вас от большинства угроз при использовании общедоступных и приватных сетей Wi-Fi.
Другим преимуществом VPN является защита VoIP. Такие сервисы как Skype мало подвержены взлому, но вполне доступны цензорам и гео-ограничителям. Причем в Интернете несложно найти нужные инструкции по «прослушке», чтобы внедриться в одно из VoIP соединений. В случае применения VPN проблема уязвимости аудио- и видеосвязи решается легко и быстро.
Таким образом, преимуществами VPN является:
- Безопасное подключение к сети
- Обход географических ограничений
- Обход законодательных запретов
- Защита звонков по Skype и IP-телефонии
- Анонимность в сети
Основные недостатки VPN-соединения – некоторая сложность в настройке (необходимы знания конфигурирования сетей на уровне сисадмина), падение скорости (в ряде случаев) и платная подписка. Конечно, существуют и бесплатные VPN, но они не всегда могут обеспечить клиентам должный уровень защиты. Некоторые бесплатные VPN даже передают персональную информацию на сторону. При организации большого количества одновременных VPN соединений нужен достаточно производительный сервер.
Отличие между обычным Интернет-соединением и VPN
Основное отличие между обычным Интернет-соединением и VPN заключается в том, что в первом случаев шифрование не применяется, а во втором – данные передаются по защищенному каналу связи с шифрованием. Существует несколько видов туннельных протоколов, и уровень защиты непосредственно зависит от используемого протокола. Каждый из них имеет свои особенности и возможности защиты.
Можно выделить пять наиболее известных VPN-протоколов:
- PPTP
- L2TP
- IPSec
- SSTP
- OpenVPN
PPTP (Point-to-Point Tunneling Protocol, туннельный протокол «точка-точка»). PPTP использует протокол шифрования Microsoft Point-to-Point Encryption, но он имеет уязвимости. Протокол часто используется по умолчанию на различных устройствах и может быть создан между двумя локальными сетями. Преимуществами являются высокая скорость и возможность применения на любых платформах.
L2TP (Layer 2 Tunneling Protocol – туннельный протокол второго (канального) уровня) – симбиоз двух протоколов: PPTP от Microsoft и L2F, созданного компанией Cisco. Протокол L2TP позволяет создавать VPN-туннель не только в сетях IP, но и в других (например, ATM, X.25 и Frame Relay). Сам протокол не имеет шифрования, поэтому его часто используют в связке с IPSec. При такой интеграции с IPsec используется двойная защита данных, поэтому пользователи могут столкнуться с проблемами производительности.
IPSec (IP Security – защищенный межсетевой протокол) – протокол третьего сетевого уровня, обеспечивающий защиту при обмене ключами в Интернете и передаче IP-пакетов. IPSec наиболее часто используется при создании VPN-сетей для коммерческого пользования. Он одновременно экономичен, эффективен и прост в настройке конфигураций.
SSTP (Secure Socket Tunneling Protocol – туннельный протокол защищенных сокетов) – протокол защищенной передачи данных клиент-серверной архитектуры только по сети Интернет. Изначально SSTP был создан для Windows, но сейчас доступен и в других средах. У него хорошее соотношение скорости и защиты передачи данных. Он легко проходит через файерволы, но имеет уязвимость к некоторым типам атак.
OpenVPN – протокол с открытым исходным кодом, который используется большинством VPN-сервисов. Протокол OpenVPN, используя стороннее ПО, может быть реализован на любой платформе. Для создания зашифрованного подключения к Интернету использует SSL (Secure Socket Layer – протокол защищенных сокетов) и проводит проверку подлинности устройства. OpenVPN имеет лучшую комбинацию скорости, надежности и защиты. Благодаря использованию SSL этот протокол применяет различные алгоритмы защиты данных (RC4, MD5, RSA и т.д.). Несмотря на то, что OpenVPN имеет сложную настройку для рядового пользователя, существуют сторонние сервисы, которые делают это автоматически и быстро.
Самым распространенным протоколом для настройки VPN через роутер является PPTP. Этот протокол применяется для обеспечения удаленного доступа к корпоративным сетям и для других целей. Доступ через VPN можно настроить с помощью различных маршрутизаторов.
Алгоритм получения доступа через VPN
Чтобы настроить доступ в VPN сеть через Интернет, необходимо выполнить три основных шага:
- создать PPTP-сервер на маршрутизаторе со статическим IP адресом
- создать аккаунты пользователей
- добавить исключения в фаервол роутера (чтобы не возникало препятствий для подключений)
Алгоритм данной операции для роутера подробно описан в статье «Настройка VPN через MikroTik».
Для подключения к VPN по протоколу L2TP в Windows 10 необходимо выполнить несколько шагов. Важно, чтобы удаленная локальная сеть отличалась адресацией от локальной сети, в которой находится ПК, смартфон или планшет. То есть, они должны быть разными.
Предварительно, чтобы настроить VPN, вам потребуются следующие данные:
- адрес сервера VPN
- тип подключения
- имя пользователя и пароль
- общий ключ шифрования для подключения
1 шаг Нажмите на значок уведомлений в правом нижнем углу экрана
2 шаг Выберите Виртуальная сеть (VPN)
3 шаг В новом окне Параметры выберите Добавить VPN-подключение
Поставщик услуг VPN — Windows (встроенные)
Имя подключения — удобное для вас имя подключения, например My Connect
Имя или адрес сервера — адрес сервера VPN (причем, в качестве адреса сервера VPN может быть как доменное имя, так и IP-адрес).
Тип VPN — L2TP/IPsec с предварительным ключом.
Общий ключ — общий ключ шифрования для подключения.
Тип данных для входа — Имя пользователя и пароль.
Имя пользователя — Имя пользователя для подключения.
Пароль — Пароль для подключения.
Поставьте галочку напротив Запомнить мои данные для входа. После чего нажмите Сохранить.
5 шаг Выберите Подключиться
6 шаг Дождитесь окончания подключения и закройте окно Параметры
После того, как вы закончили работать с подключением, рекомендуется отключиться от VPN. Эта процедура выполняется еще проще.
1 шаг Нажмите на значок уведомлений в правом нижнем углу экрана
2 шаг Выберите Виртуальная сеть (VPN)
3 шаг Выберите Отключиться и закройте окно Параметры
Настройка подключения VPN по L2TP/IPsec на Android
Настройка подключения VPN на телефонах с Android сегодня также максимально упрощена. Но следует знать, что при использовании протокола L2TP/IPSEC невозможно установить более одного соединения.
1 шаг Зайдите в меню «Настройки». В разделе «Беспроводные сети» выберите «Еще», затем VPN Нажмите на кнопку «+» — это нужно для добавления нового подключения.
2 шаг Далее, выберите тип подключения — L2TP/IPSec PSK и укажите параметры подключения:
- Название — укажите любое название соединения
- Адрес сервера — укажите адрес из личного кабинета, вида vpn####.fornex.org.
- Общий ключ IPSec — введите FornexVPN.
Сохраните подключение
3 шаг Далее выберите сохраненное подключение и введите «Имя пользователя» и «Пароль», доступные в личном кабинете и нажмите «Подключиться».
Настройка фильтрования в роутере
Перед тем, как подключиться через VPN, необходимо прописать исключения для фаервола. Рассмотрим эти действия на примере роутера MikroTik. Но перед этим важно помнить: при настройке фаервола на MikroTik, настоятельно рекомендуем проводить их в режиме Safe Mode — в противном случае вы рискуете потерять доступ к маршрутизатору!
Итак, в меню управления роутером нужно зайти в раздел IP и в выпадающем списке выбрать Firewall. Откроется раздел, в котором нас интересует первая вкладка с названием Filter Rules. Чтобы добавить новое правило, нажимаем кнопку «+».
В описании правила будет строка Chain – здесь нужно выбрать input, в строке Protocol указывается tcp. Немного ниже находится поле Dst. Port, в котором нужно прописать 1723 порт для туннеля VPN.
В этом же окошке на вкладке Action в выпадающем списке нужно выбрать accept, что будет означать, что мы разрешаем трафик через VPN. Следующий шаг – разрешение протокола GRE. Осуществляется оно с помощью аналогичной последовательности действий: создается новое правило, только в поле Protocol нужно выбрать gre и разрешить трафик во вкладке Action. В списке раздела Firewall новые правила необходимо поднять вверх, чтобы над ними не было запрещающих правил, иначе они не будут работать.
VPN-сервер на роутере. Автоподключение VPN в Windows с блокировкой доступа к интернету кроме VPN-соединения
Полный и подробный туториал как поднять VPN-сервер на роутере, реализовать автоподключение к нему в системе Windows и разрешить выход в интернет только через VPN.
Статья написана достаточно подробно, с расчетом даже на тех людей, кто впервые зашел в раздел Windows «Сетевые подключения».
Для чего это может пригодиться:
- Вы фрилансер на сайтах вроде freelancer.com, upwork.com и т.д. И вы часто путешествуете. Есть большая вероятность, что вас забанят при заходе в аккаунт с другого IP. В этой статье описано одно из решений данной проблемы.
- Иная необходимость удаленно использовать определенный IP.
- Предоставление кому-либо в любой точке мира именно вашего IP.
Содержание:
- Настройка VPN-сервера на роутере
- Подключение к VPN через Windows
- Автоподключение к VPN при включении ПК
- Блокировка доступа к интернету кроме VPN-соединения (блокировка интернета без VPN)
1. Настройка VPN-сервера на роутере
Сразу хочу сказать, что не все роутеры поддерживают функцию VPN. Буду показывать на примере роутера Tenda. Для других процедура аналогична. Так же необходим статический (белый) IP. Обычно его можно приобрести у вашего провайдера за небольшую плату или вовсе бесплатно.
1. Подключаемся к роутеру. Вводим локальный IP роутера в адресную строку браузера. В моем случае это 192.168.0.1. Посмотреть его можно на наклейке на нижней части роутера, либо в интернете.
2. Вводим логин/пароль. Обычно логин и пароль одинаковы: admin. Если нет, смотрите в инструкции к своему роутеру или в интернете.
3. Переходим во вкладку «VPN/PPTP сервер». На других роутерах это может быть сразу вкладка «VPN-сервер». Если ничего подобного нет, скорее всего, ваш роутер не поддерживает VPN.
4. Включаем сервер PPTP, включаем шифрование. Добавляем Имя пользователя (Логин) и Пароль для подключение к этому серверу. Сохраняем.
Настройка сервера VPN на роутере закончена. Переходим к настройкам Windows.
2. Подключение к VPN через Windows
Настройка будет проводиться на примере чистой Windows 7. На более старших версиях процедура отличается не сильно.
1. Переходим в «Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом». Нажимаем «Настройка нового подключения или сети».
2. Выбираем поочередно «Подключение к рабочему месту/Нет, создать новое сетевое подключение/Использовать мое подключение к интернету (VPN)».
3. В следующем окне в поле «Интернет-адрес» вводим IP нашего VPN-сервера. В поле «Имя местоназначения» указываем любое название на английском без пробелов (например vpn-lab).
Чтобы узнать внешний IP ранее настроенного роутера, нужно зайти с любого устройства, подключенного к роутеру-VPN-серверу, на сайт 2ip.ru. Вписываем указанный там IP в поле.
4. Вводим Логин и Пароль для подключения к сети VPN, которые добавлялись ранее. Нажимаем «Подключиться».
5. Если все сделано правильно, в списке подключений отобразится созданное VPN-подключение. Открываем свойства этого подключения.
6. Настраиваем пункты во вкладках как показано на рисунках ниже. Нажимаем ОК.
7. Проверяем работоспособность. Теперь при проверке внешнего IP (например, через сайт 2ip.ru) должен отображаться IP-адрес роутера-сервера, а не ваш.
3. Автоподключение к VPN при включении ПК
1.
Запускаем «Планировщик заданий».
2. Выбираем «Создать простую задачу».
3. В поле «Имя» вводим любое имя (Например AutoVPNConncet).
4. В поле «Триггер» выбираем «При входе в Windows».
5. Действие — «Запустить программу».
6. Далее в поле «Программа или сценарий» вводим «C:\Windows\system32\rasdial.exe». В поле «Добавить аргументы» вводим «<имя VPN-соединения в списке сетевых подключений> <Логин> <Пароль>» без кавычек. В моем случае это было «vpn-lab TestUser TestPassword».
7. Ставим галочку на «Открыть окно „Свойства“ после нажатия кнопки „Готово“». Нажимаем «Готово».
8. В открывшемся окне ставим галочку на «Выполнить с наивысшими правами». Нажать ОК.
9. Готово. Осталось проверить. Перезагрузите компьютер. После этого проверьте свой IP в сети (например на 2ip.ru). Он должен совпадать с VPN-адресом.
4. Блокировка доступа к интернету кроме VPN-соединения (блокировка интернета без VPN)
1.
Переходим в «Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом».
2. VPN-подключение определяем как «Домашняя сеть», сетевое подключение как «Общественная сеть».
3. Открываем «Брандмауэр Windows в режиме повышенной безопасности» и нажимаем на «Свойства брандмауэра Windows».
4. Во вкладке «Общий профиль» блокируем Входящие и Исходящие соединения. В «Защищенные сетевые подключения» выбрать все.
5. Переходим во вкладку «Правила для входящих соединений». Нажимаем «Создать правило».
6. Далее выбираем:
- Тип правила: «Настраиваемые»
- Программа: «Все программы»
- Протокол и порты: «Тип протокола: Любой»
- Область: «Локальные IP: Любой; Удаленные IP: Указанный IP» и здесь добавляем IP вашего VPN (как на скрине ниже).
- Действие: «Разрешить подключение»
- Профиль: ТОЛЬКО «Публичный»
- Имя: (любое) «VPN1»
Нажимаем «Готово».
7. Переходим во вкладку «Правила для исходящих соединений». Нажимаем «Создать правило» и делаем все как в предыдущем пункте.
8. Проверяем работоспособность. Теперь при отключенном VPN должен отсутствовать доступ в интернет.
Буду благодарен всем за конструктивные замечания и предложения.
Как настроить VPN в Windows 10
Windows 10 упрощает настройку и использование сети VPN на компьютере. Ниже вы найдете инструкции по настройке VPN в Windows 10.
Настройка VPN в Windows 10
Служба VPN позволяет защитить вашу конфиденциальность, позволяя анонимно просматривать веб-страницы из удаленного места.
Чтобы использовать VPN на компьютере, вам сначала нужно найти хорошего поставщика услуг VPN и подписаться на его услуги.
После регистрации у поставщика услуг VPN вам необходимо собрать следующую информацию.
- Веб-адрес или IP-адрес VPN-сервера
- Ваше имя пользователя и пароль VPN
- Прочие особые требования (если есть)
Веб-адрес (www.myvpn.com) или IP-адрес (например: 192.000.981) сервера VPN потребуется для подключения к службе VPN с вашего компьютера.
В то время как имя пользователя и пароль VPN потребуются для аутентификации вашего подключения к службе VPN.
Шаги по настройке VPN в Windows 10
Если у вас есть информация, необходимая для настройки сети VPN, можно выполнить следующие шаги, чтобы настроить VPN в Windows 10.
1. Откройте Параметры на компьютере и перейдите на вкладку Сеть и Интернет.
2. На следующем экране щелкните VPN на левой панели. На правой панели нажмите на опцию Добавить VPN-подключение, расположенную в разделе VPN.
3. На следующем экране вам потребуется предоставить подробную информацию о вашем VPN-соединении. Для простоты мы разбили экран на две части.
В первом разделе вам потребуется предоставить информацию о вашем провайдере VPN, имени VPN-соединения, адресе VPN-сервера и типе VPN-соединения.
Поставщик VPN: выберите Windows (встроенные).
Имя подключения: введите любое имя, которое придет вам в голову.
Адрес сервера: здесь вам нужно будет указать веб-адрес вашего VPN-сервера (www.yourVPN.com).
Тип VPN: выберите протокол туннелирования точка-точка (PPTP) или любой другой вариант, рекомендованный вашим провайдером VPN.
После предоставления вышеуказанной информации прокрутите вниз и укажите более подробную информацию о вашем VPN-подключении.
Тип данных для входа: выберите имя пользователя и пароль в качестве метода, который вы будете использовать для входа в свою VPN. Вы также можете выбрать из других вариантов, если это рекомендовано вашим поставщиком услуг VPN.
Имя пользователя: Это необязательно.
Пароль: Необязательно.
Если вы указали имя пользователя и пароль, вы можете выбрать опцию Запомнить мои данные для входа.
Это заставит Windows 10 запомнить ваше имя пользователя и пароль, что позволит войти в сеть VPN без ввода имени пользователя и пароля.
5. После предоставления всех сведений нажмите кнопку Сохранить, чтобы сохранить эти настройки.
Как подключиться к VPN в Windows 10
После того, как сеть VPN настроена, вы можете подключиться к сети VPN с помощью настроек или непосредственно с панели задач.
1. Щелкните значок сети, расположенный в дальнем правом углу панели задач, а затем щелкните имя своей сети VPN в появившемся меню.
2. На следующем экране вас могут попросить ввести имя пользователя и пароль VPN, чтобы войти в защищенную сеть VPN.
Другой способ подключения к VPN — доступ к меню параметров в Windows 10.
1. Откройте Параметры на компьютере и перейдите на вкладку Сеть и Интернет.
2. На следующем экране щелкните VPN на левой панели. На правой панели щелкните свое имя VPN, а затем выберите параметр Подключиться.
Как видно из изображения выше, подключение к VPN из меню параметров также предоставляет вам доступ к дополнительным параметрам.
Настройка vpn (openvpn, l2tp, pptp, ipsec и др.) server в mikrotik
Обзорная статья на тему использования современных приватных тоннелей в роутерах популярной латвийской марки. Я расскажу о том, как настроить vpn сервер в mikrotik на базе таких технологий как l2tp, ipsec, openvpn, pptp, gre и eoip. Попутно кратко расскажу о том, что это за технологии, чем они отличаются, а так же проведу сравнение производительности микротика со всеми указанными тоннелями.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
Сразу хочу обратить внимание, что эта статья будет скорее обзорной, нежели передачей реального опыта, так как сам я чаще всего использую в качестве vpn сервера openvpn. Тем не менее с vpn в микротик тоже приходилось сталкиваться. Настраивал как pptp сервера для подключения удаленных клиентов, так и l2tp для объединения двух и более микротиков в общую приватную сеть. В основном по дефолту, не вникая в тонкости настроек.
Сегодня хочу рассмотреть этот вопрос более внимательно и посмотреть, что вообще предлагает микротик из коробки для настройки vpn соединений. Своими исследованиями я и хочу поделиться с вами, написав небольшой обзор на тему средств организации vpn сервера в mikrotik. А попутно хочу собрать отзывов и исправлений на тему написанного, чтобы укрепить свои знания. В комментариях к своим статьям я черпаю массу советов, за что благодарен всем писавшим полезные вещи. Так что замечания, дополнения и исправления категорически приветствуются.
Для тех, кто хочет хорошо разбираться в сетях, но пока по какой-то причине не умеет этого, рекомендую вот этот цикл статей — сети для самых маленьких. Так же, если вы не очень хорошо знакомы с микротиками, рекомендую мою статью на тему настройки микротика с нуля.
Варианты vpn сервера в микротике
С вариантами vpn сервера в микротике все сложно 🙂 В том плане, что есть много реализаций vpn, которую не так просто выбрать, если не разбираешься детально в сетевых технологиях. Я не сильно в них разбираюсь, но как мне кажется, немного улавливаю суть. Постараюсь вам объяснить своими словами, в чем отличия.
Существуют 2 принципиально разных решения для организации соединений между двумя микротиками и внешними абонентами:
- Создание l2 туннеля типа site-to-site с помощью EOIP Tunnel. Самый простой и быстрый способ объединить два микротика. Если не будет использовано шифрование, то получатся самые быстрые vpn подключения. Необходимы выделенные белые ip адреса на обоих устройствах. Такие соединения используют для объединения офисов или филиалов по vpn. В общем случае не работает через NAT. Сюда так же добавлю GRE Tunnel, хотя он работает в l3 и использует маршрутизацию, но работает так же по принципу site-to-site.
- VPN соединения уровня l3 на технологии Клиент-Сервер, типа PPTP, L2TP, SSTP, OpenVPN. Такие соединения используются как для объединения офисов, так и для подключения удаленных сотрудников. Достаточно только одного белого ip адреса на стороне сервера для создания vpn соединений. Работает через NAT.
Расскажу немного подробнее о каждом из типов vpn соединений отдельно.
- GRE Tunnel — использует простой протокол gre для построения базового незащищенного site-to-site VPN. Разработан компанией CISCO. Позволяет инкапсулировать пакеты различного типа внутри ip туннелей. Простыми словами вот что он делает. Берет ваши данные со всеми заголовками, упаковывает в пакет, передает по интернету на другой конец, где этот пакет обратно разбирается на исходные данные. Для конечных пользователей сети все это выглядит, как-будто они общаются через локальную сеть.
- EOIP Tunnel — Ethernet over IP — это проприетарный протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Для передачи данных использует GRE протокол. Принципиальное отличие eoip tunnnel в том, что он работает в l2 и передает напрямую фреймы, тогда как gre tunnel оперирует пакетами и использует маршрутизацию. Надеюсь правильно объяснил и не соврал. Для чего mikrotik решили создать свою реализацию туннеля через gre протокол, не знаю. Возможно, похожих решений просто нет, вот они и придумали свою реализацию.
- PPTP — туннельный протокол типа точка-точка (Point-to-Point Tunneling Protocol). Для работы использует GRE протокол, поддерживает шифрование. В свое время pptp обрел большую популярность из-за того, что его из коробки поддерживала Windows начиная с версии 95. На сегодняшний день pptp использовать не рекомендуется, так как он очень легко взламывается. Из дампа трафика за короткое время (несколько часов) достается ключ шифрования и расшифровывается весь трафик. Возможно, с этим как-то можно бороться, используя разные протоколы шифрования, но я не разбирался подробно с этой темой. Для себя решил, что pptp можно использовать как самое простое решение там, где нет повышенных требований к безопасности и расшифровка трафика, если таковая и случится, не принесет никаких проблем. PPTP поддерживает из коробки не только Windows но и Android, что очень удобно. Настраивается очень просто.
- L2TP — Layer 2 Tunneling Protocol. Несмотря на то, что в названии указано l2, реально в ip сети он работает на сеансовом уровне, то есть l3. Использует в работе udp порт 1701. Может работать не только в IP сетях. Из коробки, как и pptp, поддерживает аутентификацию пользователей. Сам по себе не обеспечивает шифрование. Для шифрования трафика может использовать ipsec, который считается очень безопасным и не имеет серьезных уязвимостей. В настоящее время поддерживается практически всеми устройствами и системами из коробки, как и pptp. Настраивать не сильно сложнее. В общем случае, для организации vpn рекомендую использовать именно этот тип шифрованного тоннеля.
- OpenVPN — это очень популярная реализация шифрованных соединений. Главное достоинство — гибкость настроек. К примеру, очень крутая возможность openvnp — пушить маршруты напрямую клиенту при подключении. Я долгое время использовал openvpn серверы. Когда первый раз понадобилось передать клиенту pptp маршрут, никак не мог понять, как это настроить. Оказалось, что никак, он это просто не умеет. Пришлось настраивать сторонними инструментами. К сожалению, по непонятным причинам, в mikrotik openvpn не поддерживает протокол udp, что очень сужает возможности использования этого vpn сервера. По tcp он работает гораздо медленнее, чем по udp. Так же не работает сжатие заголовков пакетов. Так что в общем случае использовать openvpn сервер в микротик не имеет смысла, если только он не нужен вам по каким-то конкретным причинам.
- SSTP — Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1. Основной плюс в том, что он интегрирован в Windows, может использовать 443 порт, что иногда помогает обходить фаерволы. Считается очень безопасным, использует SSL 3.0. Из минусов, насколько я знаю, в микротике очень требователен к ресурсам процессора. На слабеньких железках будет выдавать самую низкую скорость по сравнению со всеми остальными соединениями по vpn. По этой причине я его не буду рассматривать в своем обзоре совсем.
Из всего написанного можно сделать такой вывод. В общем случае лучше всего в микротике использовать vpn на базе l2tp + ipsec. Основные причины:
- Простота и удобство настройки.
- Надежное шифрование.
- Поддержка l2tp соединений практически всеми современными устройствами и системами. Нет необходимости ставить дополнительное программное обеспечение.
- Подходит как для объединения офисов, так и для удаленных сотрудников — site-to-site и client-to-site подключения.
Если вам нужно максимальное быстродействие без шифрования, то стройте соединения между сетями или офисами с помощью EOIP Tunnel — фирменной разработки компании Mikrotik.
Дальше я покажу, как настроить все описанные туннели, кроме SSTP и произведу замеры скорости для сравнения. Мой тестовый стенд из двух Mikrotik RB951G-2hnD будет иметь следующие настройки.
m-server | имя микротика, выступающего в роли сервера |
m-remote | имя микротика, выступающего в роли удаленного маршрутизатора |
192.168.13.1 | WAN ip адрес на m-server |
192.168.13.197 | WAN ip адрес на m-remote |
10.20.1.0/24 | локальная сеть за m-server |
10.30.1.0/24 | локальная сеть за m-remote |
10.10.5.1-10.10.5.100 | vpn сеть |
Приступим к настройке и тестированию vpn соединений в mikrotik.
Настройка l2tp туннеля в mikrotik
Для начала настроим простой l2tp туннель без шифрования и замерим скорость. Для настройки l2tp vpn в mikrotik выполните следующую последовательность действий.
Идем в раздел IP -> Pool и добавляем пул ip адресов для vpn туннеля.
Создаем профиль для туннеля в PPP -> Profiles.
На остальных вкладках настройки дефолтные. Далее создаем пользователя в PPP -> Secrets.
Теперь запускаем l2tp сервер. Идем в PPP и жмем в кнопку L2TP Server.
Устанавливаем настройки для l2tp сервера. ipsec пока не включаем.
VPN сервер настроен. Теперь создадим для него постоянный интерфейс, чтобы на его основе создавать статические маршруты. Идем в Interfaces и создаем L2tp Server Binding.
Последний штрих. Создаем статический маршрут, с помощью которого абоненты локальной сети сервера смогут подключаться к абонентом локальной сети за удаленным роутером через vpn. Идем в IP -> Routes и добавляем маршрут.
Я не рассмотрел вопрос настройки firewall, так как не хочется раздувать и так объемную статью. Напрямую это не относится к указанной теме. Подробнее читайте о настройке фаервола отдельно по приведенной ссылке. Здесь же только укажу, что необходимо открыть на firewall для корректной настройки l2tp.
На сервере необходимо создать следующие правила для фаерволла, чтобы мы могли достучаться до нашего L2TP сервера. IP -> Firewall -> Filter Rules. Необходимо создать разрешающее правило в цепочке input для следующих портов и протоколов:
- Протокол: UDP
- Разрешаем порты: 1701,500,4500
- В качестве In.Interface указываем тот, через который происходит l2tp подключение.
Отдельно добавляем еще одно правило, разрешающее протокол ipsec-esc.
На сервере все готово. Идем настраивать l2pt клиент на удаленном микротике.
L2tp клиент
Здесь все достаточно просто. Идем в PPP и добавляем L2TP Client. Указываем настройки, которые задавали ранее на сервере.
Добавляем статический маршрут, чтобы клиенты этого роутера знали, куда обращаться к абонентам удаленной локальной сети за vpn.
На этом все. Мы настроили l2tp на удаленном микротике и таким образом объединили 2 локальных сети с помощью vpn. В списке ip адресов при активном l2tp соединении на сервере и клиенте вы должны увидеть ip адреса из заданного на сервере диапазона для vpn сети — 10.10.5.1-10.10.5.100. Теперь можно пропинговать с обоих сетей противоположные.
У меня для теста к обоим микротикам подключены ноутбуки. Сейчас я измерю скорость соединения с помощью iperf3. За роутером m-remote на ноутбуке 10.30.1.254 запускаю сервер, а на 10.20.1.3 агента. Запускаем тест скорости vpn соединения:
Средняя скорость 194 мбит/сек. Откровенно говоря, я не понял, почему такая низкая скорость. Мой тестовый стенд собран на двух роутерах микротиках и гигабитного микротик свитча между ними. Ожидал увидеть что-то в районе 500 мбит/сек. Напомню, что туннель пока без шифрования. При этом загрузка процессоров на роутерах была в районе 90-95%. То есть фактически потолок этих железок.
Попробуем теперь включить шифрование ipsec и замерить скорость с ним.
Настраиваем ipsec
С настройкой ipsec для l2tp я залип на некоторое время. В сети много инструкций, но все они устарели. Как оказалось, в последних версиях прошивок, запустить ipsec в дефолтных настройках не просто, а очень просто. Для этого надо всего лишь в свойствах l2tp сервера указать Use IPsec — yes и задать пароль.
Все необходимые настройки ipsec будут созданы автоматически. На агенте сделать то же самое — включить ipsec шифрование и указать пароль.
После подключения l2tp клиента увидите в логе похожие строки:
19:17:00 l2tp,ppp,info l2tp-out1: initializing... 19:17:00 l2tp,ppp,info l2tp-out1: connecting... 19:17:03 ipsec,info initiate new phase 1 (Identity Protection): 192.168.13.197[500]<=>192.168.13.1[500] 19:17:04 ipsec,info ISAKMP-SA established 192.168.13.197[500]-192.168.13.1[500] spi:407844c0ceb5d2ab:46ce7ffb25495efd 19:17:07 l2tp,ppp,info l2tp-out1: authenticated 19:17:07 l2tp,ppp,info l2tp-out1: connected
Для того, чтобы убедиться, что шифрование ipsec работает, можно зайти в раздел IP -> Ipsec -> Installed SAs и посмотреть на счетчик зашифрованных пакетов. Если он растет, значит все в порядке, трафик шифруется.
Там же в разделе Remote Peers можно посмотреть список удаленных клиентов, для которых работает ipsec шифрование, посмотреть используемые алгоритмы. Все дефолтные настройки ipsec живут в этом разделе. Вы можете посмотреть их, изменить или добавить новые профили. По-умолчанию используется алгоритм авторизации sha1 и шифрование AES. Можете изменить эти параметры, если разбираетесь в теме. Я умничать не буду, тему шифрования не копал. Какие алгоритмы максимально быстры и защищены — не знаю.
Проведем тесты скорость vpn соединения l2tp + ipsec.
У меня получилось вот так — 26 мбит/сек в среднем. При этом загрузка процессора 100%. Не густо. Данные железки для шифрованных каналов пригодны очень слабо. В данных тестах они ничем, кроме непосредственно теста не нагружены. В реальных условиях скорость будет еще ниже.
С настройками vpn на базе l2tp + ipsec закончили. Продолжим настройку остальных vpn туннелей и сравним их скорость.
Настройка pptp сервера в mikrotik
Настройка pptp сервера не отличается принципиально от l2tp. Логика и последовательность действий та же самая. Сначала создаем pool адресов в IP -> Pool для vpn сети. Я буду использовать тот же пул, что мы создали ранее.
Далее создаем профиль для pptp туннеля в разделе PPP -> Profiles.
В этом профиле указаны дефолтные настройки шифрования, при которых оно отключено. Проверим сначала скорость vpn канала без них. Создаем нового пользователя для удаленного pptp подключения.
Включаем pptp сервер в разделе PPP.
Теперь создадим в Interface List PPTP Server Binding по аналогии с предыдущим разделом.
И в завершение добавляем статический маршрут до удаленной сети через pptp подключение.
Настройка pptp сервера закончена. На фаерволе нужно будет открыть для входящих подключений внешнего интерфейса следующие вещи:
- TCP port 1723
- GRE протокол
Отправляемся настраивать pptp клиент.
pptp клиент
Отправляемся на удаленный роутер и там настраивает подключение через pptp client. Идем, как обычно, в раздел PPP и добавляем PPTP Client. На вкладке General ничего не трогаем, а на Dial Out указываем адрес pptp сервера и имя пользователя для подключения.
Добавляем статический маршрут до удаленного офиса через vpn туннель.
Все готово. Активируем pptp подключение и пробуем пинговать адреса в локальной сети. Убедиться в том, что шифрование отключено можно в статуте pptp соединения на клиенте.
Проверим теперь скорость vpn соединения по pptp.
Те же самые 194 мбит/сек, что на нешифрованном l2tp при 100% загрузке процессора. Вообще, было немного странно увидеть абсолютно такие же цифры. Проводил тесты несколько раз, но везде был стабильно один и тот же результат. Без шифрования нет разницы по скорости между l2tp и pptp соединением.
Теперь включим шифрование в pptp на сервере и посмотрим на скорость. Для этого указываем в pptp профиле явно, чтобы использовалось шифрование. Идем в PPP -> Profiles и редактируем наш профиль.
Убедимся в статусе клиента, что шифрование работает.
Тестирую скорость vpn соединения по pptp с включенным шифрованием.
Получилось в среднем 71 мбит/сек. Неплохой результат в сравнении с шифрованием ipsec в l2tp. Как я и говорил ранее, pptp сервер хорошо подходит там, где шифрование либо совсем не нужно, либо допускается возможность, что зашифрованный трафик будет расшифрован. Но при этом он все равно закрыт шифрованием и каждый проходящий не сможет ничего увидеть. Нужно как минимум снять дампт трафика и каким-то образом подбирать ключ по словарю или перебором. Не знаю точно, как это реализуется на практике. Не изучал вопрос.
Перейдем теперь к openvpn серверу в микротик. Очень любопытно посмотреть на тесты скорости этого типа vpn соединений.
Настройка openvpn server в микротик
В настройке openvpn сервера на mikrotik нет ничего сложного, кроме нюанса с сертификатами. Тому, кто с ними никогда не работал, может показаться все слишком замороченным. К тому же в самом микротике нет никаких средств для создания сертификатов сервера и клиента. Необходимо использовать сторонние утилиты. Если у вас есть linux машина, можете воспользоваться моей инструкцией по созданию сертификатов для openvpn на linux.
Если у вас нет linux машины, но вы все же настроены поднять vpn туннель с помощью openvpn в микротике, то давайте разбираться с настройкой дальше. Прежде всего нам понадобится дистрибутив openvpn для windows. Скачать его можно по ссылке — https://openvpn.net/community-downloads/. Нас будет интересовать Windows Installer.
Выполняем установку от имени администратора и указываем в процессе компонент под названием EasyRSA 2 Certificate Management Scripts.
Идем в директорию C:\Program Files\OpenVPN. Переносим оттуда папку easy-rsa куда-нибудь в другое место, чтобы не приходилось постоянно спотыкаться об UAC, который не даст спокойно работать в Program files. Я перенес в D:\tmp\easy-rsa. Переименовываем файл vars.bat.sample в vars.bat. Открываем его на редактирование и приводим примерно к следующему виду.
Для тех, кто не понял, это просто переменные, которые я указал под свои нужды. Там писать можно все, что угодно, не принципиально для нашей задачи. Можно вообще ничего не менять, а оставить как есть. Создаем в директории папку keys. Далее запускаем командную строку от администратора и перемещаемся в указанную директорию D:\tmp\easy-rsa.
Далее в командной строке пишем vars и жмем enter. Этим мы загрузим переменные из файла vars.bat, потом вводим clean-all. Дальше генерируем Root CA командой — build-ca.
Отвечаем на задаваемые вопросы и завершаем создание корневого сертификата. Он появится в папке D:\tmp\easy-rsa\keys. Дальше создаем сертификат openvpn сервера командой — build-key-server имя_сервера.
Теперь сгенерируем сертификат для клиента. У меня только один клиент в виде удаленного микротика. Вы создаете ровно столько, сколько вам нужно. Используем команду build-key имя_сертификата.
С созданием сертификатов закончили. Они у нас все лежат в директории keys. На микротик, который будет выступать в качестве openvpn сервера, нужно передать файлы:
- ca.crt
- ovpnserver.crt
- ovpnserver.key
Импортируем сертификаты из добавленных файлов. Идем в System -> Certificates и импортируем сначала ca.crt, потом ovpnserver.crt и ovpnserver.key.
Должно получиться примерно так. Теперь приступаем к настройке openvpn сервера в mikrotik. Создадим для него отдельный профиль в PPP -> Profiles.
Все настройки дефолтные. В качестве локального и удаленного адреса использую Ip Pool, который создал в самом начале настройки l2tp. Добавим удаленного пользователя для openvpn в PPP ->Secrets.
Идем в раздел PPP и жмем OVPN Server. Указываем настройки и загруженный ca сертификат.
Далее добавляем по аналогии с остальными vpn серверами OVPN Server Binding и статические маршруты.
На этом настройка openvpn server в микротик завершена. По дефолту будет использоваться протокол шифрования BF-128-CBC. Его можно поменять в свойствах клиента, а список всех поддерживаемых шифров в свойствах vpn сервера.
Для работы указанной настройки openvpn сервера необходимо открыть входящий tcp порт 1194 на фаерволе. Теперь настроим openvpn клиент и протестируем скорость соединения через vpn на основе openvpn.
openvpn client
Для настройки openvpn client на mikrotik, туда нужно передать сертификаты, сгенерированные на предыдущем шаге. Конкретно вот эти файлы:
- m-remote.crt
- m-remote.key
Импортируем, как и на сервере сертификат из этих файлов. Обращаю внимание, что должны быть символы KT напротив имени сертификата.
Теперь настраивает openvpn клиента. Идем в PPP и добавляем OVPN Client.
Добавляем статический маршрут для доступа к ресурсам удаленной сети за openvpn сервером.
Все готово. Можно подключаться и тестировать скорость vpn соединения через openvpn.
Получилось в среднем 24 мбит/сек при 100% загрузке процессора. Результат сопоставим с l2tp + ipsec. Немного удивил результат. Я думал, будет хуже, чем l2tp, а на деле то же самое. Мне лично вариант с openvpn в целом нравится больше, хотя из-за ограниченности настроек openvpn в микротике преимущества openvpn трудно реализовать. Напомню, что тестировал с шифрованием BF-128-CBC, то есть blowfish.
Вот результат с AES-128-CBC — 23 мбит/сек, примерно то же самое.
С клиент-серверными реализациями vpn сервера в mikrotik разобрались. Теперь просмотрим на скорость l2-vpn в виде eoip tunnel.
Настройка EOIP Tunnel + Ipsec
Настроим vpn сеть на базе EOIP в Mikrotik. Тут нужно понимать одно важное отличие от всех предыдущих настроек, которые мы делали ранее. EOIP туннель работает на уровне l2, то есть оба сегмента сети будут считать, что находятся в одной физической сети. Адресное пространство для обоих будет одно и то же. В моем примере это 10.20.1.0/24. DHCP сервер должен остаться только один для обоих сетей. В моем случае он останется на m-server.
Создаем EOIP туннель на m-server. Идем в Interface list -> EoIP Tunnel и добавляем новый.
Из настроек достаточно указать только удаленный адрес второго микротика. Новый EoIP интерфейс необходимо добавить в локальный бридж вместе с физическими интерфейсами.
Идем на удаленный микротик и там делаем все то же самое, только Remote Address указываем другой.
Этого достаточно, чтобы EoIP туннель сразу же заработал. Его состояние будет RS.
На втором микротике EoIP интерфейс так же нужно добавить в локальный бридж с остальными интерфейсами.
Проще всего проверить, что все в порядке, это запросить по dhcp на m-slave ip адрес для интерфейса bridge. Он должен получить ip адрес от dhcp сервера на m-server, при условии, что в сети больше нет других dhcp серверов. То же самое будет и с локальными машинами в сети за m-slave. Они будут получать ip адреса от dhcp сервера на m-server.
Проверим теперь быстродействие такого vpn туннеля на основе EoIP.
Показываю максимальный результат, который у меня получился — 836 мбит/сек. По какой-то причине в разных тестах скорость плавала в интервале между 600-850 мбит/сек. Для того, чтобы скорость изменилась, необходимо было отключить и заново включить EoIP интерфейс. Скорость впечатляет. При этом, процессор не загружен на 100%. То есть узкое место не он. Похоже я уперся в производительность сети. Напомню, что тут нет никакого шифрования и маршрутизации трафика. Прямой l2 канал между двумя микротиками через EoIP vpn.
Добавим в EoIP туннель шифрование Ipsec и посмотрим на скорость. Для этого меняем настройки каналов на обоих микротиках. Добавляем пароль Ipsec и локальные адреса, отключаем Fast Path.
Измеряем скорость соединения.
У меня получилась скорость vpn при использовании EoIP + Ipsec в среднем 27 мбит/сек. Скорость сопоставима с шифрованными туннелями L2tp и Openvpn. В этом плане никаких приятных сюрпризов не получилось. Шифрование очень тяжело дается этой железке. Можно сказать она для него не предназначена практически совсем.
GRE туннель + Ipsec в mikrotik, создание и настройка
Для настройки GRE туннеля в Mikrotik идем в раздел Interfaces -> GRE Tunnel и добавляем новый со следующими настройками:
Назначаем GRE туннелю ip адрес в IP -> Adresses.
Сразу же создаем статический маршрут для доступа к ресурсам удаленной сети.
Для организации vpn соединения через GRE tunnel то же самое проделываем на удаленном микротике, только меняем соответствующие адреса.
Создаем GRE Tunnel.
Назначаем ip адрес.
Добавляем маршрут в удаленную локальную сеть.
После этого маршрутизация трафика между локальными сетями должна заработать. Не забудьте на firewall разрешить gre протокол.
Проверим теперь скорость соединения по GRE туннелю.
У меня получилось 247 мбит/сек. Напомню, что это нешифрованный маршрутизируемый vpn туннель. Отличие от l2 туннеля EoIP примерно в 3 раза по скорости в меньшую сторону. Выводы делайте сами какие туннели использовать. Если не нужна маршрутизация, то однозначно EoIP.
Теперь проверим то же самое, только настроив в GRE шифрование Ipsec. Добавляем соответствующие настройки в GRE туннели на обоих микротиках.
Измеряю скорость GRE + Ipsec, алгоритм шифрования aes-128 cbc.
Получилось в среднем 29,7 мбит/сек, что примерно соответствует всем результатам с ipsec. Не удивительно, ведь алгоритм шифрования во всех случаях один и тот же. Но тем не менее, в GRE Tunnel скорость немного выше всех остальных участников. Из этого можно сделать вывод, что исключительно для l3 site-to-site подключений GRE Tunnel подходит в плане быстродействия лучше всего.
Сравнение скорости L2tp, Pptp, EoIP, GRE и OpenVPN туннелей
Сведу все данные измерений в единую таблицу для наглядного и удобного анализа и сравнения скоростей всех упомянутых vpn соединений в Mikrotik.
VPN Туннель | Шифрование | Скорость (Мбит/c) |
l2tp | нет | 194 |
l2tp | IPsec AES-128 CBC | 26 |
pptp | нет | 194 |
pptp | MPPE128 | 71 |
openvpn | BF-128-CBC | 24 |
eoip | нет | 836 |
eoip | IPsec AES-128 CBC | 27 |
gre | нет | 247 |
gre | IPsec AES-128 CBC | 29,7 |
Приведенная таблица наглядно показывает разницу в различных методах шифрования. С помощью нее можно быстро оценить, к каким потерям производительности может привести шифрование. Сейчас все по-умолчанию все шифруют, но если разобраться, очень часто это не требуется. Можно пойти на некий компромис и использовать pptp сервер, который хоть и не обеспечивает 100% безопасное шифрование, но тем не менее скрывает трафик от просто любопытных глаз и имеет неплохое быстродействие. В любом случае трафик просто так не прочитать, надо целенаправленно приложить усилия для дешифровки. В некоторых случаях такой защиты будет достаточно.
Заключение
Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!
Изначально не планировал писать такую большую и подробную статью. Аппетит приходит во время еды. По мере того, как стал углубляться в тему, становилось все интереснее и интереснее попробовать разные варианты и сравнить их. В итоге я перебрал все известные vpn подключения в mikrotik. Не дошли руки только до SSTP, но я точно знаю, что он будет очень медленно работать на RB951G-2hnD и в целом на микротиках медленнее всех остальных решений. Не думаю, что его использование будет оправданно.
Статью писал несколько дней, мог что-то напутать, опечататься или ошибиться. Все замечания принимаю в комментариях. Надеюсь, мой материал исследование на тему настройки vpn соединений в микротиках был вам интересен и полезен. Единственное, о чем жалею, что не затронул тему настройки pptp, l2tp и openvpn подключений на клиентских устройствах сотрудников. Без них материал на тему настройки vpn получился не полноценным, ведь это важная часть работы vpn тоннелей. Их используют не только для объединения офисов, но и для подключения удаленных сотрудников.
Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.
Онлайн курсы по Mikrotik
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:- Знания, ориентированные на практику;
- Реальные ситуации и задачи;
- Лучшее из международных программ.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.Настройка VPN в Windows 10
1 В правом нижнем углу нажимаем правой кнопкой ярлык «Сетевых подключений» и выбираем «Центр управления сетями и общим доступом»
2 Выбираем ссылку «Создание и настройка нового подключения или сети»
3 Выбираем «Подключение к рабочему месту» и нажимаем «Далее»
4 Выбираем «Использовать мое подключение к Интернету (VPN)»
5 В графе «Адрес в Интернете» пишем fvpn.fryazino.net в графе «Имя объекта назначения» — любое название (это будет название подключения), например Интернет. Нажимаем кнопку «Создать».
6 В «Центре управления сетями» нажимаем ссылку «Изменение параметров адаптера»
7 На Вашем новом подключении нажимаем правой кнопкой и выбираем «Свойства».
8 Заходим в закладку «Безопасность». «Тип VPN» выбираем «Протокол L2TP с IPsec (L2TP/IPsec)». В графе «Шифрование данных» — «не разрешено (отключиться, если требуется шифрование)». Ставим галочку «Разрешить следующие протоколы». Устанавливаем галочку напротив «Протокол проверки пароля (CHAP)». Нажимаем «ОК».
9 В «Центре управления сетями» нажимаем ссылку «Изменение параметров адаптера»
На Вашем новом подключении нажимаем правой кнопкой и выбираем «Создать ярлык»
10 На появившемся уведомлении нажимаем «ДА»
11 Нажимаем 2 раза на появившийся ярлык на «рабочем столе»
12 В открывшемся окне выбираем «Internet» и нажимаем «Подключиться»
13 Откроется окно для ввода имени пользователя и пароля. Вводите Ваши регистрационные данные и нажимайте «ОК».
14 Внимание! Для корректной работы сети и Интернет, Вам требуется прописать маршрутизацию.
В левом нижнем углу, нажмите на значок поиска и вводите «Командная строка».
Нажмите на «Командная строка» правой кнопкой мыши и выберите «Запуск от имени Администратора»
15 В открывшемся окне нужно вписать:
OpenVPN-сервер c интернет-туннелированием на Ubuntu 12/Debian 7
OpenVPN — открытая реализация технологии виртуальных частных сетей (VPN — Virtual Private Network), предназначенной для создания защищенных виртуальных локальных сетей между группой территориально удаленных клиентов поверх публичного канала передачи данных (интернет). Этот инструмент отлично подходит для таких задач, как безопасное сетевое подключение извне к серверу без предоставления публичного интернет-доступа к нему. Безопасность соединения достигается за счет шифрования канала с помощью OpenSSL.
Содержание:
Как работает OpenVPN?
После завершения настройки OpenVPN сервер сможет принимать и перенаправлять внешние защищенные SSL сетевые подключения к созданному при запуске VPN-сервиса виртуальному сетевому удаптеру (tun/tap), не затрагивая правила обработки трафика других интерфейсов (внешний интернет-адаптер и др.) Благодаря этой технологии вы можете обеспечить себе доступ к удаленному серверу и находящейся в его локальной сети группе устройств даже в том случае, если основной интернет-адаптер этого сервера не принимает входящие подключения из публичных сетей и/или не осуществляет их маршрутизацию до необходимых машин, находящихся в его LAN-сети.
При необходимости вы также можете настроить маршрутизацию интернет-трафика OpenVPN-клиентов через VPN-сервер (необходимые для этого действия описаны в данной инструкции). При такой переадресации обрабатывающий VPN-подключения хост будет выполнять и функцию прокси-сервера (Proxy) — унифицировать правила сетевой активности пользователей и осуществлять туннелирование клиентского интернет-трафика от своего имени.
Требования к системе
Прежде чем приступить к установке OpenVPN, убедитесь что на вашем сервере корректно настроены необходимые базовые параметры, приведенные ниже. (если вы используете виртуальный сервер 1cloud.ru, эти три пункта уже выполнены и их можно пропустить):
- Сервер имеет хотя бы один статичный внешний IP-адрес (в качестве альтернативы вы можете воспользоваться DynamicDNS-сервисами, автоматически обновляющими информацию о текущем IP-адресе устройства, например, DynDNS)
- Разрешена загрузка пакетов ПО из официальных репозиториев. Чтобы проверить это, откройте на сервере файл /etc/apt/sources.list и убедитесь в том, что сетевые адреса вида «deb http://…» присутствуют и не закомментированы (отсутствует # в начале строки с url репозитория). Так, например, выглядит добавленное в sources.list американское зеркало репозиториев Ubuntu Precise:
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://us.archive.ubuntu.com/ubuntu/ precise main restricted
deb-src http://us.archive.ubuntu.com/ubuntu/ precise main restricted - Верно указаны сетевые параметры:hostname, ip-адрес (адреса) вашего сервера и его параметры DNS (последний параметр потребуется для маршрутизации интернет-трафика клиентов). Найти перечисленные сетевые настройки можно в файле /etc/hosts.
Для обеспечения приемлемого уровня безопасности машины рекомендуем также предварительно ознакомиться с содержанием нашей вводной статьи по конфигурации инструментов безопасности Linux.
Установка OpenVPN на сервер
Чтобы установить пакет openvpn на сервер, необходимо последовательно выполнить приведенные ниже команды:
- Обновить репозитории пакетов:
apt-get update
- Загрузить доступные обновления для установленных программ:
apt-get upgrade
- Установить пакет openvpn:
apt-get install openvpn
- OpenVPN включает в себя набор средств шифрования easy-rsa. Для нормальной работы демона скрипты easy-rsa следует разместить в директории /etc/openvpn:
cd /etc/openvpn/ && make-cadir easy-rsa
Подготовка публичных ключей (PKI — Public Key Infrastructure)
На данном этапе нужно сгенерировать и подписать пары пользовательских и серверных ключей. Для заверения созданных пар мы будем использовать центр сертификации (CA — Certificate Authority), находящийся на самом VPN -сервере. Итак, создадим CA:
- Перейти в папку /etc/openvpn/easy-rsa:
cd /etc/openvpn/easy-rsa
- Создать символьную ссылку openssl-1.0.0.cnf -> openssl.cnf:
ln -s openssl-1.0.0.cnf openssl.cnf
- Инициализировать скрипт vars:
source ./vars
- В ответ вы получите следующее уведомление: NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
- Запустить скрипт clean-all:
./clean-all
- Выполнить скрипт build-ca для создания центра сертификации. В ответ на появляющиеся запросы введите необходимую информацию (латинскими символами). Если вы не укажите собственные значения для каких-то из требуемых полей, будет использовано значение по-умолчанию [представленное в квадратных скобках]:
./build-ca
- Теперь можно перейти к генерации пары публичного сертификата/секретного ключа VPN-сервера.
Генерация ключа/сертификата сервера
- Сгенерируйте ключ:
./build-key-server server
Заполните информацию по аналогии с build-ca. Поля «Company Name» и «Challenge Password» могут быть оставлены пустыми. - После успешной генерации ключа появится запрос на его подписание центром сертификации. Введите yes для подтверждения.
Генерация клиентских ключей
- Создайте пару ключей для пользователя:
./build-key client1
Примечание: созданный файл ключа client1.key по умолчаню незашифрован. Это позволяет любому пользователю, имеющему доступ к этому файлу, подключиться к вашей виртуальной частной сети. Для устранения этой особенности вы можете использовать команду ./build-key-pass client1 вместо ./build-key client1 . В этом случае ключ будет зашифрован выбранным вами паролем. - Повторите процедуру генерации для каждого из будущих клиентов VPN, заменив client1 на желаемое имя. Внимание: имена ключей должны быть уникальными.
Вы можете сгенерировать клиентские ключи и позднее. Для этого потребуется повторно инициализировать скрипт vars (команда source ./vars), а затем запустить процедуру генерации необходимого ключа.
Установка параметров протокола Диффи-Хеллмана
Параметры протокола Диффи-Хеллмана определяют метод обмена данными между сервером и клиентами OpenVPN. Создав файл .pem, мы укажем параметры, в соответствии с которыми сервер будет инициировать защищенные соединения с пользователями.
Сгенерировать .pem файл следует с помощью команды: ./build-dh
В ответ будет отображен набор случайных символов, говорящий о том, что идет процесс генерации. После завершения процедуры в директории etc/openvpn/easy-rsa/keys появится файл dh2024.pem.
Перемещение ключей и сертификатов
После генерации ключей необходимо перенести их в директории, используемые серверным/клиентскими приложениями OpenVPN.
На сервере:
- Перейдите в директорию, в которой хранятся созданные ключи:
cd /etc/openvpn/easy-rsa/keys
- Скопируйте сертификат и ключ центра сертификации (CA), файл параметров DH, ключ и сертификат vpn-сервера в каталог /etc/openvpn:
cp ca.crt ca.key dh2024.pem server.crt server.key /etc/openvpn
ВАЖНО: Перечисленные выше файлы — основа работоспособности и безопасности VPN. Их компрометация может иметь неблагоприятные последствия. Храните их в надежном хранилище и не передавайте эти файлы по небезопасным каналам.
На клиентском устройстве:
Скопируйте файлы ca.crt, client1.crt, client1.key в используемую приложением OpenVPN папку клиентского устройства (например, для Linux это /etc/openvpn)
Конфигурация сервера и клиента OpenVPN
В этом разделе инструкции мы создадим два файла конфигурации. Первый — файл настроек для OpenVPN-сервера, второй — параметры vpn-подключения для клиентского устройства. Для каждого клиента OpenVPN необходимо использовать свой собственный файл конфигурации (исключение — подключение нескольких пользователей с использованием одной общей для всех пары ключей).
Настройки сервера:
- В качестве отправной точки в настройке вы можете использовать образец файла конфигурации OpenVPN-сервера, содержащий список доступных параметров работы программы и подробные пояснения этих параметров. Скопируйте этот документ в директорию /etc/openvpn/ для его редактирования и последующего запуска сервера VPN:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz >/etc/openvpn/server.conf
- Скопированный на предыдущем этапе файл server.conf является вполне работоспособной конфигурацией. Ее достаточно для нормальной работы сервера, если вам не требуется туннелирование всего клиентского интернет-трафика через VPN-сервер или другие специфические опции.
Единственное, на что обязательно нужно обратить внимание — имена и пути файлов сертификата сервера (.crt) и его ключа (.key), а также сертификата CA (.crt).
Имена ключей, находящихся в директории /etc/openvpn должны полностью совпадать с именами ключей в конфиге server.conf. Проверить это можно с помощью следующих команд:- Узнаем имена файлов ключей (два файла .crt и один .key) в папке /etc/openvpn с помощью команды:
ls /etc/openvpn
- Проверяем, соответствуют ли отобразившимся выше названиям файлов имена ключей в файле /etc/openvpn/server.conf (после блока # SSL/TLS root certificate (ca), certificate (cert), and private key (key)):
nano /etc/server.conf
В случае, если имена отличаются, внесите соответствующие корректировки в файл конфига (не в имена файлов в папке openvpn) и сохраните его (CTRL+X). - Перезапускаем OpenVPN для применения изменений:
/etc/init.d/openvpn restart
- Узнаем имена файлов ключей (два файла .crt и один .key) в папке /etc/openvpn с помощью команды:
Настройки клиента:
- Копируем образец файла конфигурации клиента в любую удобную директорию (в нашем случае домашнюю директорию пользователя (home), от имени которого выполняем команды:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/client.conf.gz >/home/1cloud
- Переходим в папку keys и копируем необходимые файлы ключей (в нашем случае: client1.key, client1.crt, ca.crt) в эту же директорию (/home/1cloud):
cd /etc/openvpn/easy-rsa/keys
>cp client1.key client1.crt ca.crt /home/1cloud
- Открываем конфиг клиента:
nano /home/1cloud/client.conf
- Находим блок # The hostname/IP and port of the server и вместо example.com указываем IP адрес OpenVPN-сервера:
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote example.com 1194 - В этом же файле находим блок #SSL/TLS parms. и проверяем названия файлов ключей пользователя (аналогично тому, как делали это в конфиге сервера):
# SSL/TLS parms.
# See the server config file for more
# description. Its best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key - Сохраняем файл конфигурации клиента (CTRL+X).
- Теперь необходимо перенести пользовательские файлы client.conf, client1.key, client1.crt, ca.crt на клиентское устройство, с которого вы будете подключаться к VPN-серверу. Сделать это можно через FTP, SCP или просто создав на пользовательском устройстве (через nano на Linux, через блокнот на Windows) файлы с идентичными именами и полностью скопировать в них содержимое исходных документов с удаленного сервера.
Внимание! Некоторые клиентские приложения OpenVPN (например на Andoid и IOS) работают с расширением файла конфигурации .ovpn, а не .conf. Если вы столкнетесь с этой проблемой — просто переименуйте файл настроек клиента соответствующим образом.
Размещаем перенесенные файлы в папке, с которой работает используемое вами приложение OpenVPN (см. документацию к программе). - Подключаемся к серверу. После успешного подключения на клиентском устройстве активируется виртуальный сетевой адаптер. Проверить это на Linux можно с помощью команды ifconfig (должен отображаться адаптер TUN), на ОС с графическим интерсейсом проверить корректность подключения можно непосредственно в программе подключения к VPN.
Внимание! Так как мы еще не настроили туннелировние всего интернет-трафика через VPN-сервер, доступ в интернет на клиентском устройстве после подключения его к виртуальной частной сети перестанет функионировать. Инструкция по маршрутизации интернет-трафика пользователей через VPN сервер представлена ниже.Б.
Туннелирование всего трафика клиентов виртуальной частной сети через VPN-сервер
В данной конфигурации мы настроим маршрутизацию всего трафика пользователей VPN через OpenVPN-сервер с сохранением SSL-шифрования от клиента до сервера.
- На сервере откройте файл конфигурации OpenVPN server.conf:
nano /etc/openvpn/server.conf
- Расскоментируйте представленную ниже строку конфига (удалите символ ; в начале строки):
push "redirect-gateway def1 bypass-dhcp"
- Сохраните и закройте файл (CTRL+X)
- Откройте файл /etc/sysctl.conf:
nano /etc/sysctl.conf
- Расскоментируйте или добавьте представленную ниже строку в открытом файле, чтобы убедиться, что переадресация IPv4-трафика разрешена:
net.ipv4.ip_forward=1
- Сохраните и закройте файл (CTRL+X)
- Введите команду для применения изменений в текущей сессии:
echo 1 > /proc/sys/net/ipv4/ip_forward
- Последовательно введите следующие команды (одна строка=одна команда), для настройки фаерволла iptables на форвардинг трафика через VPN:
iptables -A FORWARD -m state —state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT - Добавьте такой же список правил iptables в файл /etc/rc.local , чтобы они применялись при каждом запуске системы:
nano /etc/rc.local
Содержание файла:#!/bin/sh -e
#
# [...]
#
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
exit 0
Сохраните и закройте документ (CTRL+X) - Приведенные выше параметры активируют переадресацию всего клиентского трафика, кроме DNS-запросов, через VPN-сервер. Для форваринга DNS-запросов вам необходимо установить пакет dnsmasq и внести изменения в файл /etc/openvpn/server.conf
- Установим dnsmasq:
Если вы используете Ubuntu 12.04:apt-get install dnsmasq && dpkg-reconfigure resolvconf
Появится мастер настройки. На первом пункте (prepare /etc/resolv.conf for dynamic updates) отвечаем yes, затем no (Append original file to dynamic file?)
Если вы используете Debian 7:apt-get install dnsmasq resolvconf
- Теперь нужно отредактировать dnsmasq:
nano /etc/dnsmasq.conf
Убедитесь, что указанные ниже параметры раскомментированы или добавлены в файл:listen-address=10.8.0.1
bind-interfaces - Далее необходимо добавить в файл /etc/network/interfaces информацию об используемых dns-серверах. Возможно, в вашем случае эта информация уже присутствует (как например в случае с серверами, арендованными в 1cloud.ru), если же нет — добавьте ее следующим образом:
Откройте файл конфигурации интерфейсов:nano /etc/network/interfaces
Добавьте строку dns-nameservers с указанием адресов используемых вами DNS-серверов (например одного сервера вашего интернет провайдера и одного публичного сервера google: 8.8.8.8):# The primary network interface
auto eth0
iface eth0 inet dhcp
dns-nameservers 77.88.8.8 8.8.8.8 - При стандартных настройках утилита dnsmasq запускается до старта виртуального tun адаптера OpenVPN. Это приводит к ошибкам и завершению dnsmasq. Для устранения этой проблемы, необходимо добавить в файл /etc/rc.local строку с командой, перезапускающей dnsmasq после инициализации OpenVPN. Разместить эту строку в файле следует после параметров iptables, указанных нами ранее:
nano /etc/rc.local
Содержимое файла:...
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
/etc/init.d/dnsmasq restart
exit 0 - Последнее, что необходимо сделать — расскоментировать строку, разрешающую клиентам OpenVPN использовать DNS серверы, в файле /etc/openvpn/server.conf:
nano /etc/openvpn/server.conf
Содержимое файла:....
push "dhcp-option DNS 10.8.0.1" - Перезапускаем сервер для применения всех настроек и проверки их корректности:
reboot
Проверка OpenVPN-соединения
На этом настройку OpenVPN сервера на Ubuntu/Debian сервере можно считать завершенной. Для проверки соединения и туннелирования трафика через VPN-сервер вы можете воспользоваться любым интернет-сервисом, отображающим ваш IP-адрес (например, этот) — при корректной настройке на странице будет отображен адрес VPN-сервера.
P. S. Другие инструкции:
Поделиться в соцсетях:Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
ru191014 Санкт-Петербург ул. Кирочная, 9
+7(812)313-88-33 235 70 1cloud ltd 2021-12-27 Настройка OpenVPN-сервера с туннелированием интернет-трафика на Ubuntu 12.04 / Debian 7191014 Санкт-Петербург ул. Кирочная, 9
+7(812)313-88-33 235 70 1cloud ltd 2021-12-27 Настройка OpenVPN-сервера с туннелированием интернет-трафика на Ubuntu 12.04 / Debian 7 600 autoКак настроить собственный VPN-сервер дома (4 метода)
Если у вас нет маршрутизатора, совместимого с OpenVPN, и вы не хотите его покупать, вы можете разместить VPN-сервер на другом устройстве, например на компьютере с Windows или устройстве с macOS, но, как и прошивка маршрутизатора, это сложно процесс.
Имейте в виду, что устройство, используемое в качестве VPN-сервера, должно быть постоянно включено .
Если устройство выключится (или выйдет из строя), вы не сможете подключиться через VPN, что является большой проблемой, если вы находитесь далеко от дома и не можете снова включить его.
Перед созданием VPN-сервера вам необходимо настроить переадресацию портов на маршрутизаторе, чтобы сервер был доступен из Интернета.
Наши инструкции по изменению типа NAT касаются доступа и настройки переадресации портов на вашем маршрутизаторе.
Мы научим вас, как настроить устройство Windows, а также macOS и Raspberry Pi.
Если вы являетесь пользователем Linux, вы можете сэкономить массу усилий и использовать одну из VPN с полным графическим интерфейсом для Linux, которые мы рекомендуем здесь.
Как превратить компьютер с Windows 10 в VPN-сервер
Microsoft Windows имеет встроенную функцию для размещения VPN-серверов, но использует устаревший и небезопасный VPN-протокол PPTP.
Вместо этого мы рекомендуем настроить сервер OpenVPN с помощью программного обеспечения OpenVPN.
Вы можете найти подробные инструкции по настройке сервера OpenVPN на вашем устройстве Windows, включая команды, на веб-сайте OpenVPN.
Вот основы настройки VPN-сервера в Windows:
- Измените настройки брандмауэра, чтобы разрешить входящие подключения и настроить переадресацию портов.
- Загрузите OpenVPN для Windows на свой компьютер.
- Установите OpenVPN и убедитесь, что установлен флажок «EasyRSA» в разделе «Выбор компонентов» установки.
- При появлении запроса установите драйверы TAP.
- Настройка EasyRSA — это инструмент, используемый для создания центров сертификации, а также для запроса и подписи сертификатов.
- Создайте сертификаты центра сертификации и VPN-сервера.
- Сертификаты клиента сборки — клиент — это устройство, которое вы будете использовать для подключения к VPN-серверу (например,г. ваш смартфон).
- Создайте файлы конфигурации для VPN-сервера и VPN-клиентов.
- Настройте каждый VPN-клиент с помощью созданных файлов.
- Подключиться к VPN-серверу с клиентского устройства.
- Как всегда, проверьте VPN на наличие утечек, чтобы убедиться, что ваше соединение безопасно.
Теперь вы можете подключаться к своему VPN-серверу Windows, находясь в пути.
Как превратить ваш компьютер с macOS или Raspberry Pi в VPN-серверПоскольку macOS изначально не поддерживает OpenVPN, вам потребуется использовать стороннее программное обеспечение, такое как Tunnelblick или Homebrew, для настройки VPN-сервера на вашем устройстве.
После того, как вы настроили Tunnelblick или Homebrew с OpenVPN, это почти то же самое, что настроить VPN-сервер в Windows.
Если вы ищете менее громоздкое устройство для использования в качестве VPN-сервера, вы можете установить его на Raspberry Pi.
Прочтите пошаговое руководство PiMyLifeUp по настройке VPN-сервера на Raspberry Pi с использованием сценария установки под названием PiVPN.
Настройки сети | Руководство администратора сервера доступа
О странице
Страница Сетевые настройки сервера позволяет редактировать настройки имени хоста, протокола, демонов и номеров портов для трех сетевых серверов, компрометирующих сервер доступа: VPN-сервер, веб-интерфейс администратора и клиентский веб-сервер. .
Обзор страницы настроек сети:
VPN-сервер
Поля и настройки в разделе VPN Server позволяют настроить имя хоста или IP-адрес, интерфейсы, протоколы, демоны и порты. Неправильная конфигурация имени хоста или IP-адреса вашего сервера нарушает работу Access Server. Любые изменения этих параметров напрямую влияют на файлы конфигурации клиента, выдаваемые клиентам VPN. Таким образом, внесение любых изменений потребует от всех пользователей, загрузивших установщики VPN-клиента и/или файлы конфигурации, повторно загрузить или обновить свой профиль VPN.
Имя хоста или IP-адрес сервера должны быть правильно настроены, чтобы сервер доступа работал правильно. Существует также возможность выбора между использованием TCP, UDP или обоих протоколов. Независимо от выбора, у вас есть возможность определить порт, используемый каждым протоколом. Если выбраны оба, у вас также есть возможность определить, сколько демонов может иметь оба протокола.
Раздел VPN-сервера
Имя хоста или IP-адресЭто имя или IP-адрес, которые VPN-клиенты будут использовать для доступа к VPN-серверу.Это должен быть общедоступный IP-адрес или полное доменное имя (FQDN). Мы настоятельно рекомендуем использовать полное доменное имя для этого параметра.
Интерфейс и IP-адресЭто настраивает порт, на котором OpenVPN Access Server будет прослушивать запросы веб-интерфейса администратора. Если вы не можете получить доступ к указанному интерфейсу, вы не сможете войти на свой сервер.
ПротоколВы можете выбрать TCP , UDP или Оба (режим нескольких демонов) для опций протокола.Протокол OpenVPN лучше всего работает только с протоколом UDP. По умолчанию профили подключений, загруженные с сервера доступа, предварительно запрограммированы так, чтобы сначала попробовать UDP, а затем TCP, если это не удается. Однако для определенных сетей, которые могут блокировать некоторый трафик, вам может понадобиться TCP или и то, и другое.
Например, в общедоступной сети разрешен только трафик для таких протоколов, как HTTP, HTTPS, FTP, SMTP, POP3 и IMAP. Большинство из них только для TCP. Для соединений через такую сеть полезно также поддерживать TCP-соединения.По умолчанию мы выбираем порт TCP 443, который является тем же портом, что и HTTPS-трафик, который обычно разрешен даже в сетях с ограничениями.
Мы считаем TCP менее идеальным из-за возможности явления распада TCP, которое происходит, когда вы накладываете один протокол передачи поверх другого (например, трафик TCP, передаваемый в туннеле TCP OpenVPN). Нижележащий уровень может столкнуться с проблемой и попытаться исправить или компенсировать ее, но уровень выше компенсирует чрезмерную компенсацию, что приводит к задержкам и проблемам.
Демоны и номера портовВ этих полях можно изменить количество демонов TCP или UDP, а также их номера портов.
Веб-серверы администратора и клиентаЕсли выбрано TCP или Оба (режим нескольких демонов) , у вас есть возможность выбрать, будет ли VPN-сервер предоставлять доступ к службам администратора и/или клиентского веб-сервера через свой IP-адрес и порт. .Если вы выберете No , они по-прежнему будут доступны через настроенный IP-адрес и номер порта.
Настройки администратора и клиента
Разделы пользовательского интерфейса администратора и клиента позволяют настроить порты для доступа к каждому из них и интерфейсы, которые они прослушивают. Вы можете изменить эти настройки с помощью одного из трех вариантов под Интерфейс и IP Адрес .
Параметры конфигурации администратора и клиента
Обратите внимание, что в разделе Client Web Server можно использовать тот же IP-адрес и порт, что и в пользовательском интерфейсе администратора.Если выбрано, он унаследует порт, интерфейс и IP-адрес, определенные для веб-интерфейса администратора. Если вы решите использовать другой IP-адрес или порт, вы увидите дополнительные параметры конфигурации.
Если вы выберете Использовать другой IP-адрес или порт, этот дополнительный раздел отобразится для конфигурации
Нажмите кнопку Сохранить настройки , чтобы завершить все изменения.
Резюме
Конфигурация: Сетевые настройки обеспечивает понятный интерфейс для настройки параметров VPN-сервера и параметров веб-сайта для серверов администратора и клиента.Это простая страница, демонстрирующая простоту настройки сервера доступа по сравнению с самостоятельной настройкой этих параметров.
Как настроить VPN на компьютере или мобильном устройстве
- Вы можете настроить VPN на различных устройствах, включая Apple iPhone и Mac, компьютеры и планшеты на базе Windows, системы Android, Chrome OS и другие.
- Виртуальные частные сети, или VPN, обеспечивают большую безопасность и конфиденциальность в Интернете.
- Несмотря на то, что бесплатные VPN доступны, выбор платных услуг предпочтительнее для оптимального обслуживания и производительности.
- Посетите библиотеку технических справочников Business Insider, чтобы узнать больше.
Интернет-безопасность жизненно важна в наши дни, и важно знать, что ваша личная информация защищена, когда бы вы ни находились в сети. Хотя это и не совсем надежно, один из самых простых способов обеспечить это — использовать VPN или виртуальную частную сеть.
Используете ли вы ноутбук, настольный компьютер , или даже мобильное устройство, настройка VPN может помочь обеспечить более безопасный и конфиденциальный просмотр, и это займет всего несколько минут. Однако следует отметить, что в то время как бесплатно VPN компаний существуют, лучше всего выбрать платный продукт с надежной историей предоставления хороших услуг.
После того, как вы выбрали свой VPN-клиент, вот как настроить его на Windows, Mac, Android и iPhone.
Как настроить VPN в Windows1. Нажмите кнопку Windows, чтобы открыть меню настроек.
2. Перейдите в раздел «Сеть и Интернет», затем нажмите «VPN».
Перейдите в раздел «VPN» в разделе «Сеть и Интернет» в настройках.Дженнифер Стилл/Business Insider3. Нажмите «Добавить VPN-подключение».
4. Заполните поля на странице информацией о вашей VPN. Убедитесь, что вы выбрали Windows (встроенная) для своего провайдера и назовите свое соединение как хотите в соответствующем разделе. Затем введите имя и адрес сервера, тип используемой вами VPN, а также данные для входа, такие как имя пользователя и пароль.
Заполните всю необходимую информацию. Дженнифер Стилл/Business Insider5. Нажмите «Сохранить».
Как настроить VPN на Mac1. На рабочем столе Mac откройте «Системные настройки», затем нажмите «Сеть».
2. Щелкните значок «+», расположенный в нижней левой части экрана, чтобы открыть раскрывающееся меню. Оттуда выберите «VPN».
3. Введите сведения о выбранной VPN в соответствующие поля «Тип VPN и имя службы».
Выберите тип VPN и введите имя службы. Дженнифер Стилл/Business Insider4. Нажмите «Создать».
5. Затем введите адрес сервера, локальный идентификатор, удаленный идентификатор и другую необходимую информацию, а после завершения нажмите «Настройки аутентификации».
Введите свои данные и нажмите «Настройки аутентификации».» Дженнифер Стилл/Business Insider6. Добавьте имя пользователя и пароль VPN.
7. Нажмите «ОК», чтобы сохранить информацию и подключиться к VPN.
Как настроить VPN на iOSВ следующих инструкциях объясняется, как настроить VPN-подключение вручную.Вы также можете загрузить соответствующее приложение для выбранного VPN-клиента, которое автоматически определит необходимые настройки.
1. В меню настроек iPhone нажмите «Общие».
2. Прокрутите вниз, пока не найдете раздел VPN, и нажмите «Конфигурация VPN». Ваш VPN-провайдер сообщит вам, какой протокол безопасности необходимо добавить в поле «Тип».
Найдите свой тип VPN и заполните всю другую необходимую информацию.Дженнифер Стилл/Business Insider3. Вернитесь к экрану «Добавить конфигурацию», чтобы ввести описание вашей учетной записи и сервер, а также удаленный и локальный идентификаторы.
4. Введите имя пользователя и пароль, предоставленные вашей VPN-компанией.
5. Нажмите «Готово».
Как настроить VPN на AndroidКак и в iOS, VPN-приложения обычно выполняют всю работу по настройке за вас, требуя от вас только добавления имени пользователя и пароля.Однако, если вы хотите настроить подключение вручную, вы можете сделать это, выполнив следующие действия.
1. В меню «Настройки» на главном экране вашего устройства найдите раздел «Сеть и Интернет». Нажмите «Дополнительно», а затем «VPN». Обратите внимание, что не во всех версиях Android есть раздел «Сеть и Интернет», и вам может потребоваться выполнить поиск «VPN» вручную.
2. Нажмите «Добавить», затем введите имя и тип VPN, а также адрес сервера, прежде чем нажать «Сохранить».»
3. На экране VPN добавьте свое имя пользователя и пароль, предоставленные вашим провайдером VPN. У вас будет возможность сохранить эту информацию, чтобы вам не приходилось вводить ее повторно каждый раз, когда вы хотите чтобы использовать VPN. Вы также можете всегда использовать VPN.
4. Нажмите «Подключиться» после сохранения информации, чтобы использовать VPN.
Как настроить собственный домашний VPN-сервер
Как настроить VPN-сервер с помощью компьютера?
Этот метод может быть самым дешевым способом создания VPN-сервера самостоятельно, так как вам не нужно какое-либо внешнее оборудование, но могут быть ограничения.
Ограничения
- Вы должны убедиться, что ваш компьютер постоянно включен на вашем компьютере. Потому что, если компьютер выключен, вы не сможете войти в него.
- Вам необходимо настроить переадресацию портов для вашего маршрутизатора.
- Мы используем встроенную функцию хостинга VPN-сервера Microsoft, которая использует небезопасный протокол VPN PPTP для этого метода. В этой настройке вам необходимо предоставить вашему компьютеру прямой доступ к Интернету, из которого ваш компьютер может стать уязвимым для кибератак.Таким образом, если вы используете этот метод, используйте надежный пароль для аутентификации и другой метод переадресации портов.
Установка VPN-сервера в Windows 10 с использованием встроенного сервера Windows
Настройте компьютер с Windows 10
Шаг 1: Откройте окно «Сетевые подключения». Затем нажмите «Упорядочить» и выберите «Макет» -> «Панель меню».
Шаг 2: В строке меню выберите «Файл» -> «Новое входящее соединение».
Шаг 3: Затем во всплывающем окне выберите учетные записи пользователей, которых вы хотите подключить. Мы рекомендуем вам использовать отдельную учетную запись пользователя с надежным паролем для настройки VPN-сервера, чтобы ваши учетные записи были в безопасности. Для этого нажмите на кнопку «Добавить кого-то». После того, как вы выбрали учетные записи пользователей, нажмите кнопку «Далее».
Шаг 4: Затем выберите опцию «Через Интернет», чтобы разрешить VPN-соединения с вашим компьютером через Интернет.
Шаг 5: Далее выберите в списке протоколы, которые должны быть разрешены для входящих соединений. После выбора того, что вы хотите, разрешите доступ. Если вы не хотите разрешать подключениям доступ к принтерам, отключите параметр «Общий доступ к файлам и принтерам для сетевых подключений».
Шаг 6: Далее выберите в списке протоколы, которые должны быть разрешены для входящих соединений. Если вы не хотите разрешать подключениям доступ к принтерам, отключите «Общий доступ к файлам и принтерам для сетевых подключений».После выбора того, что вы хотите, разрешите доступ.
Теперь ваш компьютер выступает в роли VPN-сервера и готов принимать запросы на подключение.
Настройте переадресацию портов в вашем маршрутизаторе
Следующая задача — настроить переадресацию портов на маршрутизаторе для подключения к VPN-серверу через Интернет. Настроив переадресацию портов, ваш маршрутизатор может отправлять определенный трафик на ваш компьютер.
- Найдите IP-адрес компьютера, на котором вы настроили VPN-сервер
- Войдите в свой маршрутизатор из Интернета.Затем настройте переадресацию порта 1723, который предназначен для протокола PPTN, на IP-адрес вашего компьютера.
Как повысить безопасность?
- Установите правило переадресации портов брандмауэра, разрешающее трафик только с определенных IP-адресов
- Используйте внешний порт для подключения к порту 1723 для подключения через этот внешний порт, защищая серверы VPN на порту по умолчанию.
Подключение к VPN-серверу
Шаг 1: Перейдите в настройки сети и Интернета в Windows Ten и выберите VPN-> Добавить VPN-соединение.
Шаг 2: Нажмите Добавить VPN-подключение и выполните следующие действия.
- Выберите Windows (встроенную) в качестве провайдера VPN
- Введите имя соединения по вашему выбору
- Введите IP-адрес настроенного вами VPN-сервера
- Выберите тип VPN как PPTP
- Введите тип данных для входа. Вы можете ввести имя пользователя и пароль, одноразовый пароль, сертификат или смарт-карту. Введите свое имя пользователя и пароль в соответствующие поля, если вы выбрали имя пользователя и пароль для параметра входа, а затем сохраните.Затем ваше VPN-соединение будет указано вместе с соединениями Wi-Fi.
Шаг 3: Затем выберите созданное вами VPN-подключение на значке сети на панели задач, выберите «подключиться» и введите учетные данные пользователя. Наконец, вы будете подключены к вашему VPN-серверу.
Установка VPN-сервера в Windows 10 с использованием OpenVPN
Установить OpenVPN
Первым шагом этого метода является загрузка установщика OpenVPN для Windows непосредственно с веб-сайта Open VPN.При запуске установки обязательно выполните выборочную установку и выберите «Сценарии управления сертификатами EasyRSA 2».
Настройка EasyRSA для создания сертификатов и ключей
- Откройте командную строку от имени администратора
- Перейдите в C:/Program Files/OpenVPN/easy-rsa
- Запустите EasyRSA, введя команду «EasyRSA-Start.bat».
- Создайте каталог для инфраструктуры открытых ключей (PKI) с помощью команды
./easyrsa init-pki - Скопируйте файл vars.example, расположенный в папке easyrsa, как vars.bat и откройте его в блокноте
- Отредактируйте следующую строку как вам нужно и сохраните
- Затем введите следующие команды
vars.bat
./easyrsa clean-all
Теперь мы подготовили easyrsa для генерации сертификатов и ключей.
Генерация сертификата и ключей
Следующее, что нам нужно сделать, это создать серверные и клиентские сертификаты и ключи.Для этого выполните следующие команды одну за другой. Сначала создайте центр сертификации (ЦС) для подписи других сертификатов и ключей.
1. ./easyrsa build-ca nopass
Создайте сертификат и ключи для сервера и клиентов следующим образом:
2. ./easyrsa build-server-full server nopass
3. ./easyrsa build-client-full Client1 nopass
Создать параметры Диффи-Хеллмана
4. ./easyrsa gen-dh
После выполнения этих шагов вы можете найти ключи, файлы сертификатов и параметры Диффи-Хеллмана в следующих папках.
C:/Program Files/OpenVPN/easy-rsa/pki — ca.crt (сертификат ЦС) и dh.pem (параметры Диффи Хеллмана)
C:/Program Files/OpenVPN/easy-rsa/pki/private — ключи сервера и клиента (server.key и client.key)
C:/Program Files/OpenVPN/easy-rsa/pki/issued — сертификаты сервера и клиента (server.crt, client1.crt)
Настройка сервера OpenVPN
- Скопируйте следующие сгенерированные файлы в каталог «config» папки OpenVPN
ок.crt
server.crt
server.key
dh.pem - Откройте «server.ovpn», расположенный в C:/Program Files/OpenVPN\/sample-config
- Замените следующие ключ, сертификат и путь к файлу dh фактическими путями. Например,
ca «C:\\Program Files\\OpenVPN\\config\\ca.crt» - Настройте другие параметры по своему усмотрению. Если нет, оставьте настройки по умолчанию и сохраните файл в каталоге конфигурации.
Настройка клиентов OpenVPN
- Установите OpenVPN на все клиентские машины
- Скопируйте следующие файлы, созданные на сервере, в папку config в папке OpenVPN на каждом клиентском компьютере.
ок.crt
клиент.crt
client.keys - Сделайте копию файла client.ovpn, расположенного в C:/Program Files/OpenVPN\/sample-config
- Отредактируйте файл по своему усмотрению и сохраните его в папке конфигурации.
- Скопируйте отредактированный файл конфигурации клиента на все клиенты, подключающиеся к серверному компьютеру
Подключиться к VPN-серверу
Теперь вы выполнили все необходимые настройки для VPN-сервера и клиентских машин. Наконец, запустите «Открыть графический интерфейс» от имени администратора.Затем вы можете найти этот графический интерфейс в правом нижнем углу. Просто нажмите «показать скрытые значки» и значок «OpenVPN», а затем нажмите «подключиться».
Установка VPN-сервера в Ubuntu
Если вы являетесь пользователем Ubuntu, вы можете выполнить ту же процедуру, что и в Windows. Установка VPN-сервера в Ubuntu также является очень сложным и трудоемким процессом. Для получения дополнительной информации вы можете обратиться к тому, как настроить сервер OpenVPN в Ubuntu. Таким образом, ниже приведены основные шаги, которые необходимо выполнить для создания VPN-сервера на сервере Ubuntu.
- Установить OpenVPN
- Установить EasyRSA
- Создать каталог PKI
- Настройка центра сертификации
- Создать сертификат сервера и ключи
- Создать сертификат клиента и ключи
- Настройте сервер OpenVPN, предоставив необходимые настройки в файле конфигурации.
- Настройте IP-переадресацию для правильной маршрутизации IP-трафика.
- Настройте конфигурацию брандмауэра, чтобы OpenVPN знала, куда направлять входящий трафик от клиентов.
- Запустить настроенный сервер OpenVPN
- Создание и установка клиентских конфигураций
Превращение вашего компьютера Raspberry Pi в VPN-сервер
Вы также можете использовать OpenVPN в Raspberry Pi для настройки VPN-сервера. Это снова довольно сложный процесс, если вы устанавливаете OpenVPN напрямую и вручную выбираете конфигурации. Но вы можете быстро добиться этого, используя скрипт установки PiVPN. В этом процессе сначала вам нужно скачать скрипт со страницы PiVPN GitHub.
Это может упростить настройку конфигурации с помощью мастера настройки. Следуйте инструкциям по созданию собственного руководства по Raspberry Pi VPN, чтобы точно знать шаги, которые необходимо выполнить.
Помимо превращения вашего собственного компьютера в VPN-сервер, вы также можете попробовать следующие методы, которые будут более дорогостоящими.
Используйте VPN-маршрутизатор со встроенными возможностями VPN-сервера
Как описано выше, хотя это и дешевле, превращение вашего собственного компьютера в VPN-сервер может быть довольно обременительным.В этом случае другим альтернативным решением является использование VPN-маршрутизатора со встроенной возможностью настройки VPN-сервера. Хорошо, если роутер, который вы покупаете, поддерживает более безопасный протокол VPN, отличный от PPTP, например, протокол OpenVPN.
Однако это может быть дорого, потому что, если ваш текущий маршрутизатор не имеет такой возможности, вам, возможно, придется купить новый.
Настроить VPN-маршрутизатор относительно просто. Таким образом, ниже приведены основные шаги, которые необходимо выполнить, чтобы настроить VPN-маршрутизатор в качестве VPN-сервера.
Настройка VPN-маршрутизатора
- Запустите окно браузера с вашего ПК, подключенного к сети маршрутизаторов
- Введите IP-адрес роутера в поиск для входа в роутер
- Введите логин и пароль вашего роутера и войдите в него.
- Перейдите на страницу настроек и выберите службу VPN или страницу настройки.
- Включите службу VPN, установив флажок и применив
Настройка VPN-клиента
После включения VPN на маршрутизаторе загрузите и разархивируйте файлы конфигурации VPN для клиентов с панели управления маршрутизатора, а затем скопируйте файлы на клиентские устройства.Наконец, вы можете подключиться к VPN с клиентских устройств.
Прошивка текущего роутера вручную
Как и во втором способе, покупка VPN-маршрутизатора может обойтись дорого. Но если вам все еще нужен VPN-маршрутизатор, не покупая новый, вы можете обновить свой текущий роутер, прошив его вручную.
Так как прошивка роутера может быть непростой задачей, купите предварительно настроенный или уже прошитый роутер. Но этот вариант может быть дорогим.
Прежде всего, чтобы прошить роутер самостоятельно, вам необходимо проверить, поддерживает ли ваш роутер прошивку типа DD-WRT, OpenWRT и Tomato.Затем ознакомьтесь с инструкциями на веб-сайте поставщика прошивки.
- Загрузите файл прошивки на свой компьютер
- Подключите компьютер к локальной сети (LAN)
- Войдите в свой маршрутизатор, введя внутренний IP-адрес маршрутизатора в адресной строке веб-браузера
- Найдите в панели настроек раздел обновления или апгрейда роутера
- Следуйте инструкциям с сайта прошивки и прошивайте роутер. Это может включать сброс маршрутизатора, загрузку и прошивку, а также выполнение обновления.
- При необходимости перезапустите маршрутизатор.
- Войдите снова в маршрутизатор и включите OpenVPN.
- Следуйте подробным инструкциям по созданию VPN-сервера: Например, в прошивке DD-WRT описаны инструкции по настройке сервера и клиента. Настройте параметры брандмауэра, чтобы OpenVPN знала, куда направлять входящий трафик от клиентов.
- Настройка центра сертификации
- Создать сертификат сервера и ключи
- Создание и настройка сертификата и ключей клиента
- Загрузите, установите и настройте OpenVPN
- Импорт сертификата клиента и ключей на клиентские устройства
- Подключить клиентские машины к VPN-серверу
Использование службы облачных вычислений
Поскольку сейчас мы живем в эпоху облачных вычислений, другим методом является использование поставщика услуг облачных вычислений, такого как Amazon Web Services (AWS), Google Cloud, DigitalOcean, Scaleway и т. д., сдавать в аренду виртуальные частные серверы (VPS). Если вы используете сервисы AWS, вы можете получить первый год бесплатно, если у вас есть право на уровень бесплатного пользования.
Однако это также может стоить вам денег. Другая проблема, связанная с этим методом, заключается в маршрутизации трафика через службу хостинга, а не через вашу домашнюю сеть. Но, с другой стороны, вам не нужно беспокоиться об обслуживании серверов, так как поставщик услуг делает эту задачу за вас.
Всегда следуйте инструкциям соответствующего облачного провайдера при настройке VPN-сервера в облаке.Например, вы можете настроить сервер доступа OpenVPN в amazon VPC, чтобы настроить VPN-сервер в облаке AWS.
Подключиться к VPN
VPN (или виртуальная частная сеть) — это способ подключения к локальная сеть через интернет. Например, предположим, что вы хотите подключиться к локальной сети на рабочем месте, пока вы в командировке. Ты бы найдите подключение к Интернету где-нибудь (например, в отеле), а затем подключитесь к VPN вашего рабочего места. Это было бы так, как если бы вы были напрямую связаны с сеть на работе, но фактическое сетевое соединение будет через Интернет-соединение отеля.VPN-подключения обычно зашифрованы чтобы люди не могли получить доступ к локальной сети, к которой вы подключаетесь без входа в систему.
Существует несколько различных типов VPN. Возможно, вам придется установить некоторые дополнительное программное обеспечение в зависимости от того, к какому типу VPN вы подключаетесь. Выяснить детали подключения от того, кто отвечает за VPN, и посмотреть, какие VPN-клиент, который вам нужно использовать. Затем перейдите к установщику программного обеспечения приложение и найдите пакет NetworkManager, который работает с вашим VPN (если он есть) и установите его.
Если для вашего типа VPN нет пакета NetworkManager, вы вероятно, придется загрузить и установить какое-то клиентское программное обеспечение от компании который предоставляет программное обеспечение VPN. Вам, вероятно, придется следовать другим инструкции, чтобы заставить это работать.
Для настройки VPN-соединения:
Откройте обзор операций и начните вводить Сеть.
Щелкните Сеть, чтобы открыть панель.
В нижней части списка слева нажмите кнопку + чтобы добавить новое соединение.
Выберите VPN в списке интерфейсов.
Выберите тип вашего VPN-подключения.
Заполните данные VPN-подключения, затем нажмите «Добавить». закончены.
Когда вы закончите настройку VPN, откройте системное меню с правой стороны верхней панели, отключите VPN и выберите Подключиться. Ты может потребоваться ввести пароль для соединения, прежде чем оно будет установлено.Как только соединение будет установлено, вы увидите значок в виде замка в верхней части экрана. бар.
Надеюсь, вы успешно подключитесь к VPN. Если нет, вы можете необходимо перепроверить введенные вами настройки VPN. Вы можете сделать это из панель «Сеть», которую вы использовали для создания подключения. Выберите VPN-подключение из списка, затем нажмите кнопку кнопку для просмотра настроек.
Чтобы отключиться от VPN, щелкните системное меню на верхней панели и нажмите «Отключить» под названием вашего VPN-подключения.
Как настроить VPN за 10 минут бесплатно (и зачем он вам срочно нужен)
«Компьютер позволяет совершать больше ошибок быстрее, чем любое другое изобретение, за исключением разве что пистолетов и текилы». — Митч Рэтклифф
Вскоре каждая ошибка, которую вы когда-либо совершали в Интернете, будет доступна не только вашему интернет-провайдеру (ISP), но и любой корпорации или иностранному правительству, желающим увидеть эти ошибки.
Благодаря решению Конгресса интернет-провайдеры могут продавать всю вашу историю просмотра веб-страниц буквально кому угодно без вашего разрешения.Единственные правила, которые препятствовали этому, отменяются и не будут восстановлены в ближайшее время (для этого потребуется акт конгресса).
Интернет-провайдеры также могут продавать любую информацию о вашей деятельности в Интернете и использовании мобильных приложений — финансовую информацию, медицинскую информацию, информацию о ваших детях, ваш номер социального страхования — даже содержимое ваших электронных писем.
Они даже могут продать вашу геолокационную информацию. Правильно, интернет-провайдеры могут каждую минуту узнавать ваше точное физическое местоположение и продавать его третьей стороне.
Вам может быть интересно: кому выгодна отмена этих мер защиты? Кроме тех четырех монополистических интернет-провайдеров, которые контролируют «последнюю милю» Америки интернет-кабелей и вышек сотовой связи?
Никто. Никто другой не получает никакой выгоды. Наша конфиденциальность — и безопасность нашей страны — были уменьшены, просто чтобы несколько мегакорпораций могли заработать немного дополнительных денег.
Другими словами, эти политики, которые десятилетиями получали от интернет-провайдеров миллионы долларов на предвыборные пожертвования, продали нас.
Как это произошло?
Закон о проверке Конгрессом (CRA) был принят в 1996 году, чтобы позволить Конгрессу отменять правила, созданные государственными учреждениями.
До 2017 года конгресс успешно использовал CRA только один раз. Но с тех пор, как в январе к власти пришла новая администрация, она успешно использовалась 3 раза — например, для отмены надоедливых экологических норм.
Сенатор Джефф Флейк — республиканец, представляющий Аризону — возглавил усилия по отмене правил конфиденциальности FCC.Он уже был самым непопулярным сенатором в США. Теперь он может стать самым непопулярным сенатором в истории США.
Сенатор ФлейкОднако вместо того, чтобы обвинять Флаке, давайте вспомним, что каждый сенатор, проголосовавший за отмену этих правил конфиденциальности, был республиканцем. Каждый демократ и независимый сенатор проголосовал против этой резолюции CRA. Окончательное голосование было 50–48, двое республиканцев воздержались.
Можно было бы подумать, что Сенат будет бурно обсуждать последствия такого исторического решения.На самом деле, они обсуждали это всего 10 минут.
«Полагаться на правительство в защите вашей конфиденциальности — это все равно, что просить подглядывающего установить ваши оконные жалюзи». — Джон Перри БарлоуVPN-компания Private Internet Access заплатила 600 000 долларов за размещение этой полностраничной рекламы в воскресной газете New York Times — даже несмотря на то, что они заработали бы кучу денег, если бы эти правила были отменены. Вот как плохо обстоят дела с этим CRA — даже VPN-компании проводят кампанию против него.
Резолюция CRA также была принята в Палате представителей, где 231 республиканец проголосовал за отмену защиты конфиденциальности против 189 демократов, проголосовавших против.(Опять же, ни один нереспубликанец не проголосовал за отмену этой защиты конфиденциальности.)
Все, что осталось, — это подписать резолюцию президенту-республиканцу, что, по его словам, он и планирует сделать.
Итак, что же за беспорядок теперь могут легально делать интернет-провайдеры с нашими данными?
По данным Electronic Frontier Foundation, есть как минимум пять жутких вещей, которые правила Федеральной комиссии по связи США объявили бы незаконными. Но благодаря Сенату интернет-провайдеры теперь могут продолжать заниматься этим столько, сколько захотят, и, вероятно, пройдут годы, прежде чем мы сможем что-то сделать, чтобы остановить их.
- Продать свою историю посещенных страниц любой корпорации или правительству, которые хотят ее купить
- Перехватить ваши поисковые запросы и поделиться ими с третьими лицами
- Отслеживать весь ваш трафик, внедряя их собственную рекламу, наполненную вредоносным ПО, на посещаемые вами веб-сайты
- Вставьте необнаруживаемые и неудаляемые отслеживающие файлы cookie во весь ваш незашифрованный трафик
- Предварительно установите на телефоны программное обеспечение, которое будет отслеживать весь трафик — даже трафик HTTPS — до того, как он будет зашифрован.AT&T, Sprint и T-Mobile уже сделали это с некоторыми телефонами Android.
Итак, как мы теперь можем надеяться защитить нашу частную жизнь?
Согласно исследованию Pew Research Center, 91% взрослых согласны или полностью согласны с тем, что «потребители утратили контроль над тем, как компании собирают и используют личную информацию».
Но не стоит отчаиваться. Но как сказал тот же премьер-министр Великобритании, который предостерегал нас «надеяться на лучшее и готовиться к худшему»:
«Отчаяние — это вывод дураков.— Бенджамин Дизраэли в 1883 году
Что ж, мы не дураки. Мы собираемся предпринять действия, необходимые для защиты частной жизни нашей семьи от действий безрассудных монополий и их политических марионеток.
И мы собираемся сделать это, используя самые эффективные инструменты для защиты онлайн-общения: шифрование и VPN.
Шаг 1: включите HTTPS везде
Как я уже упоминал, интернет-провайдеры могут обойти HTTPS, если они могут установить шпионское ПО на заводе в операционную систему вашего телефона.Пока вы можете не покупать эти модели телефонов, HTTPS обеспечит вам огромную дополнительную защиту.
HTTPS работает путем шифрования трафика между целевыми веб-сайтами и вашим устройством с помощью безопасного протокола TLS.
Проблема в том, что по состоянию на 2017 год только около 10% веб-сайтов включили HTTPS, и даже многие из этих веб-сайтов неправильно настроили свои системы для запрета небезопасного трафика, отличного от HTTPS (хотя это бесплатно и легко сделать). с помощью LetsEncrypt).
Вот здесь и пригодится расширение HTTPS Everywhere от EFF. Он сделает эти веб-сайты по умолчанию HTTPS и предупреждают вас, если вы попытаетесь получить доступ к сайту, который не HTTPS. Это бесплатно, и вы можете установить его здесь.
Одна вещь, которую мы точно знаем — благодаря недавним викилиаблям выпуска взлома Cia Hacking Arsenal — это то, что шифрование все еще работает. Пока вы используете безопасные формы шифрования, которые еще не были взломаны — и, насколько известно, шифрование TLS HTTPS не было — ваши данные останутся частными.
«Средний занятой профессионал в этой стране просыпается утром, идет на работу, возвращается домой, занимается личными и семейными обязанностями, а затем ложится спать, не подозревая, что он или она, вероятно, совершил несколько федеральных преступлений в тот день. ” — Харви Сильверглейт
Кстати, если вы еще этого не сделали, я настоятельно рекомендую вам прочитать мою статью о том, как зашифровать всю свою жизнь менее чем за час.
Но даже при включенном HTTPS интернет-провайдеры все равно будут знать — благодаря их роли в том, что они сами подключают вас к веб-сайтам — какие веб-сайты вы посещаете, даже если они не знают, что вы там делаете.
И простое знание того, куда вы направляетесь — «метаданные» вашей веб-активности — дает интернет-провайдерам много информации, которую они могут продать.
Например, кто-то, кто посещает Cars.com, может искать новую машину, а кто-то, кто посещает BabyCenter.com, может быть беременным.
Вот где на помощь приходит VPN.
Как VPN может защитить вас
VPN означает виртуальную частную сеть.
- Виртуальный , потому что вы не создаете новое физическое соединение с пунктом назначения — ваши данные просто перемещаются по существующим проводам между вами и пунктом назначения.
- Частный , потому что он шифрует ваши действия перед отправкой, а затем расшифровывает их в пункте назначения.
Люди традиционно использовали VPN как способ обойти веб-сайты, которые заблокированы в их стране (например, Medium заблокирован в Малайзии) или смотреть фильмы, которые недоступны в определенных странах. Но виртуальные частные сети также чрезвычайно полезны для конфиденциальности.
Существует несколько типов вариантов VPN с разной степенью удобства и безопасности.
По оценкам экспертов, до 90% VPN «безнадежно небезопасны», и это время от времени меняется. Поэтому, даже если вы используете инструменты, которые я рекомендую здесь, я рекомендую вам уделить время домашней работе.
VPN на основе браузера
Большинство VPN — это услуги, которые стоят денег. Но первый вариант VPN, о котором я вам расскажу, удобен и совершенно бесплатен.
Opera — это популярный веб-браузер с отличными функциями конфиденциальности, такими как бесплатный встроенный VPN и бесплатный блокировщик рекламы (и, как вы, возможно, знаете, реклама может шпионить за вами).
Если вам просто нужен безопасный способ просматривать веб-страницы, чтобы интернет-провайдеры не могли легко шпионить за вами и продавать ваши данные, Opera — отличное начало. Давайте установим и настроим его очень быстро. Это занимает менее 5 минут.
Прежде чем начать, обратите внимание, что это анонимизирует только то, что вы делаете в браузере Opera. Кроме того, я обязан отметить, что хотя материнская компания Opera является европейской, она была недавно куплена консорциумом китайских технологических компаний, и существует ненулевой риск того, что она может быть скомпрометирована китайским правительством.
Сказав это, вот как безопасно просматривать веб-страницы с Opera:
Шаг № 1: Загрузите браузер Opera
Шаг № 2: Включите его блокировщик рекламы
Шаг № 3: Включите его VPN
Шаг № 4 : Установите HTTPS Everywhere
Когда вы закончите, Opera должна выглядеть так:
Presto — теперь вы можете просматривать веб-страницы с достаточной уверенностью в том, что ваши интернет-провайдеры — или кто-либо другой — не знают, кто вы и что вы делаем.
Вы даже можете настроить свой VPN на другую страну.Здесь я указал Сингапур, чтобы веб-сайты думали, что я нахожусь в Сингапуре. Чтобы проверить это, я посетил ipleak.net, и они действительно думали, что я был в Сингапуре.
Поскольку Интернет устроен сложно, а данные проходят через сотни провайдеров через систему пиринга и торговли трафиком, американские интернет-провайдеры не должны иметь возможности отслеживать мой трафик, когда он исходит из Сингапура.
Если вы хотите выйти на новый уровень, вы можете попробовать Tor, который чрезвычайно приватен и его очень трудно деанонимизировать (хотя это можно сделать, как показано в телешоу Mr.Робот — правда, для этого потребуются неимоверные ресурсы).
Tor требует немного больше усилий для настройки и использования и работает медленнее, чем VPN. Если вы хотите узнать больше, у меня есть руководство по началу работы с Tor здесь.
Службы VPN
Чаще всего люди получают VPN через ежемесячное обслуживание. Их тонна. В конечном счете, вы должны доверять компании, управляющей VPN, потому что невозможно узнать, что они делают с вашими данными.
Как я уже сказал, некоторые VPN настроены неправильно и могут привести к утечке личных данных.
Прежде чем купить VPN, прочитайте здесь, как он сравнивается с другими. После того, как вы купите VPN, лучший способ дважды проверить, правильно ли он работает, — это посетить ipleak.net во время использования VPN.
Несмотря на то, что большинство пользователей VPN — это компании с удаленными сотрудниками, АНБ все равно внесет вас в список, если вы приобрели VPN. Поэтому я рекомендую использовать для этого что-то анонимное, например предварительно загруженную карту Visa. (Кстати, Биткойн не является анонимным.)
Существуют десятки VPN-сервисов, и среди них нет явного «победителя».«Я использую частный доступ в Интернет, который стоит около 40 долларов в год и работает на компьютерах и телефонах моей семьи.
Я также спросил людей в Твиттере, какие VPN они используют, и получил множество ответов:
Маршрутизаторы со встроенными VPN
Вы можете приобрести маршрутизатор с поддержкой VPN. Обратите внимание, что они не предназначены специально для защиты вас от слежки со стороны вашего интернет-провайдера. Вместо этого они разработаны таким образом, что вспомогательные офисы компаний могут использовать ту же сеть, что и их штаб-квартиры.Я не использовал их раньше, поэтому я не могу засвидетельствовать их эффективность.
Если у вас есть второе место жительства в округе за пределами США, вы можете просто туннелировать через сеть этого дома. В противном случае вам нужно будет настроить маршрутизатор для работы с одним из сервисов VPN, о которых я упоминал ранее.
Некоторые маршрутизаторы предназначены для работы с VPN на более высоких скоростях, чем другие. Если вы хотите использовать VPN на уровне маршрутизатора, а скорость вашего интернет-соединения составляет менее 100 м/с, этого маршрутизатора, вероятно, будет достаточно.В противном случае вам придется заплатить немного больше за такой маршрутизатор.
Если вы не доверяете производителям маршрутизаторов, вы можете модифицировать маршрутизатор с помощью Tomato USB. Это альтернативная прошивка маршрутизатора на базе Linux с открытым исходным кодом, совместимая с некоторыми готовыми маршрутизаторами.
Конфиденциальность сложна. Но оно того стоит.
Право на неприкосновенность частной жизни является одним из основных прав человека, и это было провозглашено Организацией Объединенных Наций.
Тем не менее, многие люди считают, что мы живем в эпоху «пост-конфиденциальности». Например, Марк Цукерберг утверждает, что конфиденциальность больше не так важна.Но посмотрите на его действия. Он заплатил 30 миллионов долларов, чтобы купить 4 дома рядом с его домом в Пало-Альто, чтобы у него было больше уединения.
Другие люди просто слишком измучены и контужены всеми утечками данных вокруг нас, чтобы поверить, что конфиденциальность все еще стоит борьбы.
Но большинство людей, которые говорят, что их больше не волнует собственная конфиденциальность, просто не задумываются об этом.
«Утверждать, что вас не волнует право на неприкосновенность частной жизни, потому что вам нечего скрывать, — это то же самое, что говорить, что вас не волнует свобода слова, потому что вам нечего сказать.— Эдвард Сноуден
Голосование в Сенате США на прошлой неделе — лишь последнее из серии событий, которые показывают, как мы не можем доверять правительствам в том, что они действуют в интересах потребителей, когда речь идет об их конфиденциальности.
Нам нужна более сильная защита конфиденциальности, закрепленная в законе.
А пока нам нужно просто позаботиться о себе и научить других людей делать то же самое.
Я рекомендую вам прочитать книгу эксперта по компьютерной безопасности Брюса Шнайера «Данные и Голиаф: скрытые битвы за сбор ваших данных и контроль над вашим миром».«Я многому научился из него и слушаю его во второй раз.
Данные и Голиаф: скрытые битвы за захват ваших данных и контроль над вашим миром
Изменить описание amzn.to
Спасибо за чтение и за серьезное отношение к конфиденциальности.
Если вам это понравилось, поделитесь им в социальных сетях.
Как настроить VPN: практическое руководство
Настройка виртуальной частной сети (VPN) может показаться пугающей, если вы никогда этого не делали.Это не совсем оправдано: часто нужно настроить множество параметров, которые могут быстро перегрузить вас, если вы просто хотите больше конфиденциальности в Интернете.
Однако на практике всегда есть легкий и трудный способ сделать что-то. Да, можно настроить VPN вручную, но есть более удобные способы сделать это. Вам не нужно быть экспертом по компьютерным сетям, чтобы настроить VPN , и мы покажем вам, как это сделать.
Когда следует использовать VPN?
VPN создает зашифрованный туннель от вашего устройства к удаленному серверу для доступа в Интернет через посредника.Соединение зашифровано, и ваш интернет-провайдер может видеть только то, что вы подключаетесь к VPN-серверу, поэтому никто не может знать, что вы делаете в сети . Это делает более безопасным работу в Интернете, не оставляя никаких цифровых следов, которые можно было бы отследить до вас. Как будто ты в маске.
По этой причине виртуальные частные сети популярны в странах с высокой цензурой или слежкой. Когда вы подключаетесь к серверу-посреднику, вы получаете другой IP-адрес, поэтому ограничения, которые применяются к интернет-провайдерам в вашем регионе, больше не распространяются на вас.Вот почему с помощью VPN вы можете разблокировать запрещенные веб-сайты или защитить свою конфиденциальность и анонимность. Дело в том, что когда вы настраиваете VPN дома, вы можете наслаждаться всем, что может предложить Интернет.
Если вам нужна дополнительная информация о том, как использовать VPN, не стесняйтесь читать наше руководство.
Устройства, на которые можно установить VPN
Вы можете использовать VPN на большем количестве устройств, чем вы установите его на . Как это работает? Что ж, если вы настроите VPN на своем маршрутизаторе, то каждое устройство, которое к нему подключается, будет действовать так, как если бы оно подключалось через VPN .Это работает даже в тех случаях, когда устройство не поддерживает VPN. Итак, вы можете подключить свой Samsung Smart Fridge и Nintendo Switch.
Если вы не хотите идти по пути настройки VPN на маршрутизаторах или у вас нет прав администратора. Это нормально, вы также можете использовать VPN-приложения и устанавливать их на свои устройства . Широкая поддержка расширений браузера, устройств Windows, macOS, Linux, iOS и Android.
Настройка VPN на ваших устройствах
В большинстве случаев настроить VPN можно в несколько кликов.Неважно, на мобильном вы или на компьютере. Единственная сложная часть — настроить VPN на маршрутизаторе.
Настроить VPN в Windows
Предположим, вы планируете настроить ручное подключение для Windows. В этом случае вы должны знать, что использование их встроенного клиента может представлять дополнительную угрозу безопасности. Сторонние клиенты изначально поддерживают OpenVPN и Wireguard. Они не будут работать из коробки со встроенным клиентом. Встроенный клиент Windows поддерживает только IKEv2, L2TP, PPTP и SSTP, поэтому установить приложение намного проще (и безопаснее).
Однако, если вы все еще не знаете, как это сделать, вот шаги, которые вам следует предпринять.
1. Вам придется найти внешний сервер, чтобы использовать его для соединения . Вы можете настроить его самостоятельно или вы можете использовать стороннего поставщика услуг VPN .
2.Нажмите на панель задач Windows , введите Панель управления и откройте ее.
3.Нажмите Сеть и Интернет , затем Центр управления сетями и общим доступом .
4. В разделе изменения настроек сети нажмите Настройка нового подключения или сети .
5.Из списка выберите Подключиться к рабочему месту, затем Использовать мое подключение к Интернету (VPN) .
6.Введите свои учетные данные . Когда вы закончите, нажмите Create . Имейте в виду, что конкретные меры шифрования данных будут в значительной степени зависеть от вашей настройки.
7. Если вы хотите получить доступ к VPN, вам нужно будет открыть настройки сети .Затем перейдите на вкладку VPN и выберите Дополнительные параметры .
8. В открывшемся окне введите свои учетные данные и нажмите Сохранить .
9. Теперь щелкните значок подключения к Wi-Fi, выберите подключение из списка и нажмите Подключить .
Используйте приложение VPN в Windows
Настройка VPN в Windows 10 не может быть проще. Это если вы пропускаете ручную настройку и придерживаетесь приложения. Имейте в виду, что у каждого поставщика услуг VPN процедура может немного отличаться, поэтому, если вы сомневаетесь, проверьте их блоги или разделы часто задаваемых вопросов.
Во всяком случае, вот основной способ, как это сделать:
- Перейдите на страницу провайдера VPN и загрузите его клиентские файлы.
- Дважды щелкните по нему, чтобы начать установку
3. Дважды щелкните по нему, чтобы начать установку
4. После завершения запустите приложение
5. В клиенте вам необходимо войти в свою учетную запись
6. Сделаешь это – ты на службе. Вы можете нажать кнопку подключения , и ваше соединение будет зашифровано.
Настройте VPN на Mac
Если вместо этого вы используете встроенный клиент, включенный во все версии macOS, ваш маршрут может занять немного больше времени. Кроме того, вам, возможно, придется отказаться от бонусных функций, которые многие провайдеры VPN предлагают своим клиентам.
Однако вот как это сделать.
1. Как и при любой другой настройке вручную, вам нужно будет найти сервер, который сделает возможным ваши VPN-подключения.
2. Получив учетные данные и адрес сервера, перейдите к Системные настройки и нажмите Сеть .
3. Оказавшись там, щелкните значок + . Там выберите VPN и выберите протокол туннелирования.
4. Придумываем имя и нажимаем Создать .
5. Заполните данные, предоставленные вашим поставщиком услуг VPN.
6. Щелкните Настройки аутентификации и введите свои учетные данные, используемые для входа в службу.
7. После этого вы можете нажать Подключить , чтобы пользоваться новой услугой VPN.
Используйте приложение VPN на Mac
Вы всегда можете настроить VPN вручную через настройки сети. Однако гораздо проще скачать приложение. Это даже более оптимизировано, чем в Windows.
- Зайдите в магазин приложений . Вы можете найти его на панели запуска.
- В строке поиска введите провайдера VPN , который вы выбрали.
- Установить приложение
- Запустите приложение и войдите в систему, используя свои учетные данные.Как только вы это сделаете и подключитесь к серверу — вы просматриваете конфиденциально
Кроме того, вы можете загрузить файлы .dmg с веб-страницы вашего провайдера и установить их таким образом. Это полностью зависит от вашего провайдера.
Как настроить VPN в Linux
Установка VPN в Linux сильно зависит от используемой версии. Другое дело, поддерживает ли выбранный вами провайдер Linux. Как правило, проще всего вам будет с версиями Ubuntu или Debian .
- В большинстве случаев вам придется скачать установочный пакет
- Как только вы это сделаете, установите его, нажав на пакет или запустив его через терминал.
- Запустите приложение из терминала и введите свои учетные данные
- Введите местоположение, к которому вы хотите подключиться, и все готово.
Конкретный процесс и команды могут сильно различаться, но службы VPN предлагают учебные пособия на своих веб-сайтах.
Как настроить VPN на Android?
Запуск VPN на вашем смартфоне работает почти так же, как и с другими приложениями.
- Перейти в магазин Google Play
- Используйте панель поиска, чтобы найти приложение выбранного VPN-провайдера.
3. Нажмите кнопку установки. Дождитесь окончания установки
4. Найдите установленное приложение и запустите его. Введите свои учетные данные, и вы можете начать просмотр в частном порядке
5. Если вы используете смартфон, который был отключен от Play Store (Huawei), вы, вероятно, можете найти файлы .apk на странице вашего провайдера VPN. Затем вам нужно будет установить его из загруженных файлов.
Как настроить VPN на iOS?
Независимо от того, используете ли вы iPad или iPhone, способ установки VPN будет одинаковым.
- Отправляйтесь в Apple App Store
- Найдите приложение выбранного вами провайдера VPN
3. Нажмите Получите , теперь приложение установит
4. После завершения установки вы можете зайти в приложение, войти в систему, и вы сможете подключиться к любому из серверов провайдера
Как настроить свой собственный VPN
Если вы разбираетесь в технологиях, размещение ваших VPN-серверов также может быть хорошим вариантом.Есть много способов сделать это, вы можете настроить его в облаке как виртуальный частный сервер , настроить его на своем маршрутизаторе или использовать отдельную выделенную физическую машину .
Вы можете посетить наш путеводитель, чтобы узнать больше.
Как настроить VPN на роутере?
Прежде чем приступить к настройке VPN, сначала необходимо убедиться, что ваш маршрутизатор поддерживает VPN. Некоторые из них могут выступать только в качестве VPN-сервера, другие могут быть совместимы с VPN-клиентом.Вы можете настроить последний с помощью службы VPN.
Даже если ваш маршрутизатор не поддерживает VPN с самого начала, вы все равно можете принудительно включить его. Например, вы можете установить специальную прошивку, такую как DD-WRT или Tomato , которая добавляет поддержку VPN. Вся установка несколько техническая. Вам придется полагаться на подробные руководства, доступные на вашем веб-сайте VPN — они будут различаться в зависимости от марки вашего маршрутизатора.
Настроить виртуальный частный сервер
Чтобы это заработало, вам необходимо подписаться на какую-либо услугу, позволяющую облачный хостинг за ежемесячную плату.После того, как вы получите подписку, вам нужно будет установить и настроить программное обеспечение , которое будет использовать ваш VPN-сервер. После того, как вы пройдете все это, вы можете просто подключиться и наслаждаться своим частным VPN-сервером. Просто убедитесь, что ваша облачная хостинговая компания не записывает ваши данные.
Использовать выделенную физическую машину
Вы можете начать с чего-то небольшого, например, Raspberry Pi, или такого экстремального, как полноценный сервер . Таким образом, вы минуете всех посредников и станете непосредственным владельцем устройств, которые будут маршрутизировать ваше соединение.Тем не менее, вам потребуется установить и настроить все необходимое программное обеспечение , что может оказаться сложной задачей, если вы никогда этого не делали.
Как выбрать VPN?
Прежде чем вы сможете настроить VPN, вам нужно выбрать поставщика услуг. Как узнать, какой из них лучший? Это зависит от нескольких факторов.
Меры безопасности
Подключение к промежуточному серверу без дополнительного шифрования аналогично использованию прокси. Вот почему вам нужно столько мер безопасности, сколько вы потенциально можете получить , если используете VPN.Ищите шифрование AES-256 военного класса и протоколы безопасного туннелирования, такие как WireGuard, OpenVPN или IKEv2 . Это хороший способ убедиться, что ваше соединение остается конфиденциальным.
Кроме того, обратите внимание на дополнительные функции, которые могут сделать ваши VPN-путешествия еще более конфиденциальными. Такие функции, как kill-switch , который автоматически отключает ваше интернет-соединение, если ваше VPN-соединение обрывается, имеют решающее значение. Это гарантирует, что ваш IP-адрес и личность не будут случайно просочены.
Политика конфиденциальности
Никто не любит читать соглашения об условиях обслуживания, написанные на замысловатом жаргоне мелким шрифтом. Естественно, все просто нажимают «Принять», не читая. Что ж, с VPN этот крошечный текст может создать или сломать услугу. Представьте, что вы выбираете службу, которая, по-видимому, имеет адекватные меры безопасности. Если ваш интернет-провайдер может вежливо запросить данные у вашего VPN-провайдера, ваша безопасность становится практически нулевой.
По этой причине выбранная вами VPN должна быть без журналов .Вам не нужно просто верить поставщику на слово. Просто загуглите имя вашего потенциального поставщика VPN, и вы сможете быстро найти, какие поставщики услуг передали пользовательские данные. С другой стороны, есть много примеров VPN, которые, даже когда это требовалось, не предоставляли никакой информации, потому что они действительно ее не хранили.
Юрисдикция
Вы когда-нибудь задумывались, почему в России не появилось ни одного качественного поставщика услуг VPN? Ваш VPN так же безопасен для конфиденциальности, как и правительственный , он работает под .По всему миру существует множество агентств наблюдения, а также союзов разведки. Например, если VPN работает за пределами одной из стран 14-Eyes, есть большая вероятность, что АНБ сможет получить ваши данные. При выборе провайдера выберите страну, которая находится вне этих влияний . Это лучший способ убедиться, что никто даже не постучит в вашу дверь с ордером на обыск.
Функции
VPN не равны. Если кто-то может разблокировать Netflix и BBC, это не значит, что это сделает другой.Итак, когда дело доходит до функций, это целый мир вариантов. Есть те, которые поддерживают P2P и торренты, есть и те, которые этого не делают. Вам придется заранее прочитать о том, на что способна служба . Если вы знаете, что планируете делать с VPN, это не займет много времени. Дважды проверьте форумы сообщества и прочитайте независимые обзоры, чтобы убедиться, что сервис действительно выполняет то, что обещает.
Бесплатные и платные VPN
Существует множество служб VPN, которыми можно пользоваться, не тратя ни копейки.Во всех этих случаях вы должны спросить себя, почему так? Чаще всего это означает, что сервис держится на плаву за счет продажи ваших данных или скармливания вам рекламы. Другими словами, вы просто переключаете слежку за вашим интернет-провайдером на слежку за вашим VPN-провайдером. Это худшая торговая сделка в истории сделок.
Единственный случай, когда бесплатный VPN приемлем, — это ограниченная версия премиум-VPN (freemium) . Таким образом, он действует как демо-версия, которая создает стимул для перехода на платную версию.В большинстве случаев ваша конфиденциальность в безопасности, и вы получаете достойный сервис. Однако эти услуги ограничены различными способами. По этой причине, если вам нужен наилучший сервис, это будут платные провайдеры VPN.
Платные VPN предоставят вам неограниченный доступ к их обширным серверным сетям. Вы сможете просматривать веб-страницы анонимно, а также настроить VPN на других своих устройствах . Большинство провайдеров позволяют подключить несколько устройств с помощью одной подписки, поэтому вы сможете защитить всю семью от множества угроз кибербезопасности.
Подробнее: Стоит ли покупать VPN?
Подробнее о VPN
Лучшие провайдеры VPN полезны для потоковых сервисов. Если сервис недоступен в вашем регионе, как Hulu в Европе, вы можете разблокировать его с помощью надежного VPN. Подключитесь к серверу, расположенному в стране, где доступен сервис, и перейдите на сайт стримингового сервиса. Если у вас есть подписка, теперь вы сможете ее использовать.
Если у вас уже есть учетная запись Netflix, сменить регион очень просто с помощью VPN.С его помощью можно разблокировать целые библиотеки, предназначенные для других регионов . Это значительно увеличивает общее количество шоу, если вам нечего смотреть во время карантина. Вам даже не нужна отдельная подписка. Если у вас уже есть учетная запись Netflix в вашей стране, она будет работать с той, которую вы подключили через VPN. Таким образом, вы можете прыгать по регионам , просто подключаясь к VPN-серверам в разных странах . Обязательно ознакомьтесь с нашим подробным руководством по лучшим VPN для Netflix.
Также вас может заинтересовать: Как изменить регион Netflix
Если вы используете Kodi для всех ваших развлекательных нужд, у него нет надстроек VPN. Его производные LibreELEC или OpenELEC действительно могут поддерживать VPN с конфигурациями, но это вряд ли прогулка в парке. Кроме того, это может быть не та версия Kodi, которую вы имели в виду. Самый простой способ настроить немодифицированный Kodi с помощью VPN — это установить и включить его на самом устройстве . Если вам нужна надежная VPN, посмотрите наш список лучших VPN для Kodi.
Hulu — единственное место, где можно посмотреть «Рассказ служанки» и «Касл-Рок». Тем не менее, он доступен только для пользователей из США. Чтобы смотреть эти сериалы в другом месте, вам понадобится VPN. Нет никакого способа обойти это. Обязательно ознакомьтесь с нашими лучшими VPN для списка Hulu.
Вопросы-Ответы
Сколько стоит настроить VPN?
Сколько стоит настроить VPN сильно зависит от продолжительности подписки . Поскольку большинство услуг VPN основаны на подписке, цены будут выше, если вы подписываетесь на более короткие периоды, например, на месяц.Цены варьируются между провайдерами, но в среднем они должны составлять около 8 долларов. В некоторых случаях вы можете настроить свою подписку или снизить стоимость, купив пакетные предложения.
Сложно ли настроить VPN?
Если вы придерживаетесь приложений VPN, их установка — это все , что требуется для настройки VPN. Просто нажмите «Установить», войдите в сервис, и все готово. Нет необходимости в сложных ручных настройках. Никакой дополнительной безопасности они не добавляют.
Является ли использование VPN незаконным?
VPN совершенно легальны в подавляющем большинстве стран.Однако, если вы используете VPN и совершаете киберпреступление, это все равно считается незаконным действием. Вы можете найти полный список стран, где VPN запрещены, здесь.
Можно ли вас отследить, если вы используете VPN?
№ . Если вы используете хороший VPN (например, NordVPN), ваш исходный IP-адрес никто не сможет отследить. Однако поисковые системы и некоторые веб-сайты могут знать, что вы используете VPN, но не могут вас отследить.
На какую страну мне установить VPN?
Как правило, лучшими странами для размещения VPN являются страны, в которых нет законов о хранении данных или которые иным образом не связаны с альянсами наблюдения Eyes.
Как я узнаю, что VPN работает?
Многие веб-сайты позволяют вам проверить свой IP-адрес. Если вы подключены к VPN-серверу, вам следует зайти туда и проверить, какой адрес он отображает. Если он отличается от отображаемого, когда вы не используете VPN, это означает, что он работает.
Добавить комментарий