GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Úvod do provozu OpenVPN serveru

Virtuální privátní sítě (VPN) lze využít pro řadu velmi užitečných aplikací. Můžete se bezpečně připojit k jakémukoli veřejnému WiFi hotspotu. Můžete překonat omezení geografického blokování na svých oblíbených webových stránkách. A dokonce se můžete připojit ke své domácí nebo kancelářské síti odkudkoli na světě, jako byste seděli přímo u svého stolu. Tato příručka vás provede procesem nastavení vašeho vlastního serveru OpenVPN a připojení k němu pomocí vaší kopie Viscosity.

Provozování vlastního serveru OpenVPN vám umožní zašifrovat vše, co děláte na internetu, takže můžete bezpečně provádět online bankovnictví na bezplatné WiFi ve vaší oblíbené kavárně. Pokud se připojíte k veřejnému WiFi hotspotu bez použití VPN, pak vám hrozí, že kdokoli jiný připojený k tomuto hotspotu uvidí vše, co děláte, včetně přečtení jakýchkoli přihlašovacích údajů, které můžete použít (včetně vašeho hesla!). Se serverem OpenVPN nastaveným doma se však k němu můžete připojit z veřejného WiFi hotspotu a chránit své důvěrné údaje před odposlechem. Vše, co odešlete přes připojení VPN, bude zašifrováno z vašeho zařízení, dokud se nedostane na váš OpenVPN server doma, kde bude dešifrováno a odesláno na místo určení, jako byste seděli v pohodlí svého domova. Všechny soubory, ke kterým přistupujete ve vaší domácí/kancelářské síti, budou také zašifrovány, když budou cestovat přes internet. Nastavením vašeho OpenVPN serveru pro přístup k vaší domácí/kancelářské síti získáte plný přístup ke všem vašim souborům ve vaší síti. Je to jako mít svůj vlastní osobní cloud, kde jej 100% ovládáte.

Podpora

Uvědomte si prosím, že nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Níže uvedené informace a naše průvodce servery poskytujeme jako laskavost, která vám pomůže začít s provozováním vlastního serveru OpenVPN a také vám pomůže získat z vaší kopie Viscosity maximum.

Důkladně testujeme kroky v našich příručkách, ale pokud narazíte na problém, dejte nám prosím vědět a my uděláme maximum pro jeho nápravu. Pokud hledáte další podporu, doporučujeme vám kontaktovat výrobce vašeho zařízení nebo fórum podpory vašeho zařízení. Přidali jsme odkazy, kde můžete najít další nápovědu v průvodcích, kde je k dispozici.

Začínáme

Prvním krokem k nastavení serveru OpenVPN je rozhodnutí, proč chcete server VPN. Níže se budeme zabývat několika oblíbenými scénáři. Ať už se rozhodnete pro kteroukoli cestu, v naší sekci průvodců nastavením máme rostoucí seznam průvodců nastavením pro OpenVPN, které vám pomohou začít.

Zabezpečení provozu

Pokud vše, co chcete udělat, je zabezpečit provoz na cestách, nejjednodušší je zakoupit si balíček od poskytovatele služeb VPN. Zde máme seznam poskytovatelů, kteří podporují viskozitu. Výhodou je, že se nemusíte starat o nastavování nebo udržování zabezpečení svého vlastního serveru, navíc poskytovatel má mnoho míst, kde vám zajistí to nejlepší připojení.

Pokud byste do toho chtěli jít sami, máte dvě možnosti. První je pronajmout si VPS nebo server. Nebudeme se jimi zabývat, ale existuje spousta návrhů online pro renomované poskytovatele VPS nebo serverů. Populární jsou webové služby Amazon, i když vám to může připadat dražší než pouhé zakoupení balíčku od poskytovatele služeb VPN.

Druhým je použití vašeho domácího internetového připojení k vytáčení zpět.

Připojování domů

Existuje mnoho důvodů, proč se můžete chtít připojit domů. Můžete využít své domácí připojení k internetu, když jste na cestách, vytvořit zabezpečené připojení, když jste na veřejné WiFi, nebo můžete chtít přistupovat k souborům na domácím serveru, když nejste doma.

Největší věc, kterou je třeba mít na paměti, je, že vaše rychlosti stahování, když jste doma připojeni přes VPN, jsou omezeny rychlostí odesílání vašeho domácího internetu. Pokud jste například na připojení ADSL, může to být poměrně pomalé. Pokud však máte optické připojení, bude to obvykle více než dostatečné.

Mnoho domácích směrovačů má nyní vestavěnou schopnost VPN, některé z těchto tras pokrýváme v části našich průvodců nastavením. Pokud nemáte domácí server, další možností je spustit na domácím počítači virtuální počítač s něčím jako je Virtual Box nebo si dokonce vyzvednout levný počítač, jako je Raspberry Pi.

Budete také muset provést úpravy na vašem routeru, obvykle ve způsobu přesměrování portů. Další informace o tom, jak to provést pro váš model routeru, naleznete v uživatelské příručce k domácímu routeru.

Některé průvodce nastavením OpenVPN najdete v naší sekci průvodců nastavením.

Kde hostovat váš server VPN

Cenově nejefektivnější způsob nastavení serveru VPN je doma na stávajícím počítači nebo serveru, který již máte. Mnoho routerů má také vestavěnou podporu VPN, zkontrolujte router, zda podporuje OpenVPN.

To vám také umožňuje připojit se k domovu a přistupovat k souborům nebo prostředkům v domácí síti. Je však třeba zvážit několik věcí:

  • Vaše rychlost internetu - Když je klient připojen k serveru VPN, jeho rychlost odesílání a stahování je opakem vašeho domácího internetu. Pokud například používáte ADSL a máte pouze 1 mbit upload, pak maximální rychlost, kterou může klient stahovat, když je připojen k vašemu serveru, je 1 mbit.
  • Carrier Grade NAT - Abyste mohli provozovat domácí VPN server, musíte mít svou vlastní veřejnou IP adresu. Mnoho poskytovatelů internetových služeb (ISP) šetří náklady používáním Carrier Grade Nat, kde více uživatelů sdílí jednu veřejnou IP adresu. Budete se muset zeptat svého ISP, pokud vám nabízí veřejnou IP adresu nebo ji sdílíte. Pokud sdílíte IP adresu přes NAT, nemůžete si nastavit VPN server doma.
  • Dynamická IP adresa - Mnoho ISP poskytuje dynamické IP adresy. To znamená, že vaše veřejná IP adresa vašeho internetu se může pravidelně měnit. Existuje několik způsobů, jak to obejít. Mnoho společností nabízí dynamický DNS, který vám umožňuje používat adresu DNS, která se při změně aktualizuje s vaší IP adresou. Další možností je požádat svého ISP o statickou IP adresu, i když pro mnohé to bude znamenat dodatečné náklady.

Druhou možností je pronájem VPS nebo serverového prostoru od poskytovatele. Možnosti jsou nekonečné, pokud jde o to, kde a s kým můžete hostovat svůj server. Nakupujte a najděte ten, který vyhovuje vašim potřebám. Doporučujeme však absolutní minimum 512 MB RAM, abyste získali slušný výkon ze svého serveru.

Nastavení routeru

Pokud nastavujete svůj OpenVPN server doma, s největší pravděpodobností jste za NAT na svém domácím routeru a/nebo má svůj vlastní firewall, budete muset nakonfigurovat router tak, aby povoloval provoz VPN. Vzhledem k mnoha různým modelům routerů a konfigurací sítě nemůžeme poskytnout krok za krokem průvodce, jak nastavit router, aby umožňoval provoz VPN. Existuje však několik nastavení, která pravděpodobně budete muset změnit, proto je zde nastíníme.

Protože router bude směrovat veškerý provoz na váš server OpenVPN az něj, budete muset nastavit přesměrování portů, aby byl server OpenVPN externě přístupný. Přesměrování portů může být v části rozhraní pro správu vašeho routeru s názvem „Virtuální servery“. Obecně budete chtít přesměrovat veškerý příchozí provoz do routeru na portu OpenVPN (1194). Budete muset nastavit pravidlo pro odesílání jakéhokoli UDP provozu na těchto portech na místní IP adresu vašeho OpenVPN serveru (což je pravděpodobně něco jako 192.168.0.x).

Pokud jste nastavili přesměrování portů, poznamenejte si také vaši externí WAN IP adresu. Toto je IP adresa přidělená vašemu routeru vaším poskytovatelem internetových služeb (ISP). Tato adresa bude vyžadována při konfiguraci vašeho připojení ve Viscosity níže.

Dalším hlavním nastavením směrovače, které budete muset zvážit, je statické směrování. Protože budete mít nastavenou VPN, bude do vašeho routeru zasílán provoz se zdrojovou nebo cílovou IP v rozsahu 10.8.0.x. Tento provoz bude muset mít zavedené statické směrování, aby bylo zajištěno, že když hostitel obdrží požadavek od klienta VPN (v podsíti 10.8.0.x) a odešle odpověď na tuto adresu, router ví, jak převést 10.8. 0.x IP adresa na adresu, které rozumí (tj. 192.168.0.x). Budete tedy muset nastavit pravidlo statického směrování, které má následující vlastnosti:

Destination: 10.8.0.0
Subnet mask: 255.255.255.0
Default gateway: your-server-IP

kde your-server-IP je IP adresa vašeho OpenVPN serveru v místní síti (něco v rozsahu 192.168.0.x).

Nastavení samostatného serveru

Většina samostatných serverů a některé routery vyžadují, abyste se k nim připojili vzdáleně, abyste je mohli nakonfigurovat nebo přenést soubory.

Pro téměř všechna připojení pro konfiguraci vašeho serveru je SSH nejlepší volbou.

Pro téměř všechna připojení pro přenos souborů je SCP nejlepší volbou. Alternativně, pokud máte místní přístup k vašemu serveru, můžete místo něj použít USB disk.

SSH z Mac

K SSH ze zařízení Mac můžete použít předinstalovaný program ssh. K tomuto programu lze přistupovat nejprve otevřením aplikace terminálu. Stiskněte + space vyvolejte vyhledávací lištu reflektoru a zadejte terminal . Jakmile jste v terminálu Mac, můžete SSH na svůj server zadat:

ssh [email protected]

následuje ENTER . Poté budete před přihlášením vyzváni k zadání hesla uživatele root.

SCP z Mac

Důrazně doporučujeme používat grafické uživatelské rozhraní, jako je Cyberduck nebo Transmit.

Případně můžete přenést soubor přes Terminál do domovského adresáře na vašem serveru příkazem jako:

scp path/to/file [email protected]:~/

SSH ze systému Windows

Pokud používáte aktuální verzi Windows 10, ssh je nyní integrováno do Powershell. Stiskněte klávesu Windows a zadejte PowerShell poté stiskněte ENTER .

Jakmile se otevře okno konzoly PowerShell, můžete SSH na svůj server zadat:

ssh [email protected]

následuje ENTER . Poté budete před přihlášením vyzváni k zadání hesla uživatele root.

Pokud nemáte přístup k SSH přes PowerShell, existuje několik alternativ. Pokud budete SSH používat pravidelně, důrazně doporučujeme nainstalovat PowerShell Core. Po instalaci otevřete PowerShell 7/Core a postupujte podle výše uvedených kroků.

Alternativně je jedním z nejlepších volně použitelných a lehkých klientů PuTTY. Stáhněte si kopii PuTTY a spusťte ji, poté postupujte podle pokynů na obrazovce a připojte se přes SSH k vašemu serveru.

SCP ze systému Windows

Důrazně doporučujeme používat grafické uživatelské rozhraní, jako je WinSCP.

Alternativně, pokud používáte aktuální verzi Windows 10, SCP je integrováno do PowerShell nebo PowerShell Core, můžete použít příkaz jako:

scp C:\path\to\file [email protected]:~/

Přístup k síťovým zdrojům

Po připojení k vašemu VPN serveru zpět do vaší domácí sítě můžete přistupovat ke svým souborům nebo jiným službám pomocí LAN IP adresy, kterou byste použili, kdybyste k nim byli připojeni přes domácí/kancelářskou místní síť.

Připojit přes Mac

Připojení ke sdílenému síťovému adresáři z vašeho Macu připojeného k VPN:

  1. Otevřete okno Finderu
  2. Klikněte na Přejít na liště nabídek a vyberte "Připojit k serveru..."


  3. V Adresa serveru , zadejte LAN IP adresu vašeho síťového zdroje (něco jako 192.168.0.x) a klikněte na Connect .
  4. Zadejte uživatelské jméno a heslo pro síťový zdroj
  5. Vyberte sdílený svazek, ke kterému chcete získat přístup, a klikněte na OK

Síťové zdroje, které byste normálně našli na postranním panelu Finderu, se při připojení přes VPN nezobrazí. Připojené síťové zdroje najdete v Počítači adresář. V okně Finderu stiskněte + shift + c přejděte do adresáře Počítač.

Připojit přes Windows

Připojení ke sdílenému síťovému adresáři z počítače připojeného k síti VPN:

  1. Zadejte \\lan-ip-address do Prohledat web a Windows na hlavním panelu a stiskněte Enter (něco jako \\192.168.0.x)


  2. Zadejte uživatelské jméno a heslo pro síťový zdroj
  3. Potom uvidíte složky sdílené tímto hostitelem

Výběr serverového zařízení

Čas od času dostáváme otázku, jaké zařízení bych si měl koupit pro domácí nebo kancelářský OpenVPN Server? Bohužel neexistuje žádné univerzální řešení. Existují však dvě obecná pravidla, která rozhodují o tom, jaké zařízení si koupíte, a to cena a výkon.

Pro domov

Naprostá většina moderních domácích routerů podporuje OpenVPN a má dostatečný výkon pro použití, když jste venku. Nejprve se informujte u výrobce vašeho routeru, zda podporuje OpenVPN, nakonfigurujte server a otestujte jej, možná zjistíte, že dělá vše, co chcete, dostatečně rychle a nebudete muset utrácet ani cent!

Pokud váš domácí router nepodporuje OpenVPN, možná už máte doma NAS nebo server, jako je Synology DiskStation, což by mohla být lepší alternativa výkonu k routeru, jen to vyžaduje pár kroků navíc k nastavení.

Pokud nemáte žádná zařízení, která podporují OpenVPN, nejprve zvažte, zda potřebujete nebo chcete domácí NAS, pokud ano, je to vaše nejlepší volba. Pokud tak neučiníte, nový router pro domácí použití je cenově nejefektivnější možností. Jen mějte na paměti, že vaše rychlost stahování, když jste připojeni doma, když jste venku, je omezena rychlostí odesílání vašeho domácího internetu a rychlostí veřejné WiFi, ke které jste připojeni. Většina routerů bude dostatečně rychlá na to, aby jeden nebo dva uživatelé mohli dostatečně bezpečně surfovat po internetu, když jsou mimo domov, a stahovat nějaké soubory.

Pro kancelář

OpenVPN server pro kancelář je trochu složitější. Pokud potřebujete k serveru připojených půl tuctu nebo více lidí najednou, základní router to prostě neškrtne. Nemají dostatečný výkon CPU k šifrování/dešifrování provozu několika současných uživatelů.

Pokud již máte kancelářský server pro e-mail, zvažte umístění svého OpenVPN serveru na toto, pokud jej můžete zabezpečit tak, aby umožňoval veřejný přístup pouze k portu serveru OpenVPN. Můžete dokonce být schopni spustit virtuální stroj na vašem serveru pomocí Docker nebo VMWare. Mnoho podniků používá stanice Synology DiskStation, které také bez problémů zvládnou několik uživatelů, pokud se jedná o moderní zařízení.

Pokud začínáte od nuly, opět to s největší pravděpodobností přijde na cenu a výkon. Existují podnikové routery a firewallová zařízení, jako jsou Sophos Firewalls nebo pfSense Firewalls, které jsou navrženy tak, aby zabezpečily vaši síť a umožnily uživatelům OpenVPN připojit se, obě jsou k dispozici jako zařízení připravená k instalaci nebo více vlastních nastavení hardwaru spolu s dalšími produkty. Firewall je naším obecným doporučením pro malé a střední podniky. Pokud máte vlastní IT tým nebo využíváte služeb profesionálního podniku podpory IT, doporučujeme vám popovídat si s nimi a zjistit, co doporučují, pokud vám není příjemné jít sami.


OpenVPN
  1. Nastavte OpenVPN Server na Rocky Linux 8

  2. Nastavte OpenVPN Server na CentOS 8

  3. Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

  1. Nakonfigurujte svůj server OpenVPN v systému Linux

  2. Jak zkontrolovat, zda Telnet běží na serveru

  3. Jak nainstalovat OpenVPN na Ubuntu 18.04

  1. Nainstalujte OpenVPN do svého počítače se systémem Linux

  2. Úvod do Univention Corporate Server

  3. Instalace Wordpressu na server se spuštěným ISPconfig 2.x