Strežnike VPN naletite predvsem v poslovnem svetu: zaposlenim omogočajo varen dostop do omrežja podjetja na cesti ali od doma. Kljub temu lahko strežnik VPN pride prav, ko ste tudi sami na poti in želite varneje dostopati do interneta ali dostopati do datotek v domačem omrežju.
Nasvet 01: protokoli VPN
Obstaja veliko storitev VPN, nekatere pa lahko uporabljate brezplačno, tudi brez preveč omejitev, na primer ProtonVPN. Preko odjemalske programske opreme v mobilni napravi ali računalniku se nato povežete z enim od ponujenih strežnikov VPN, nato pa lahko prek takega strežnika nadaljujete v internetu.
Pristop tega članka je bolj ambiciozen: v domačem omrežju bomo postavili lasten strežnik VPN. Vpn pomeni navidezno zasebno omrežje (v nizozemščini imenovano tudi navidezno zasebno omrežje), kar pomeni, da povežete omrežja, ki so fizično ločena drug od drugega. Takšna povezava običajno poteka prek interneta, ki ni ravno najbolj varno okolje. Zato je ves podatkovni promet šifriran prek takšne povezave VPN: med obema omrežjema se tako rekoč ustvari navidezni tunel.
Na voljo je več protokolov VPN, vključno s pptp, sstp, ikev2, l2tp / ipsec, OpenVPN in WireGuard. Slednje je zelo obetavno, a še vedno v polnem razvoju in še ni široko podprto. Tukaj izberemo OpenVPN, ker je odprtokoden, ima močno šifriranje in je na voljo na skoraj vseh platformah.
Trenutno OpenVPN še vedno velja za boljši protokol VPNUsmerjevalnik
Pravzaprav je vaš usmerjevalnik najboljše mesto za nastavitev strežnika VPN v domačem omrežju. Navsezadnje bo ves podatkovni promet s spletnih mest, ki jih obiščete na poti, najprej šel prek vašega strežnika VPN. Če je to vaš usmerjevalnik, se bo promet takoj vrnil v vašo mobilno napravo. Če je vaš strežnik VPN v NAS-u ali računalniku, mora podatkovni promet najprej preiti od usmerjevalnika do te naprave in od tam nazaj do usmerjevalnika. Dodaten vmesni korak, vendar v praksi te zamude ne boste opazili veliko.
Na žalost številni običajni domači usmerjevalniki nimajo možnosti nastavitve strežnika VPN. Če v vašem usmerjevalniku resnično manjka storitev VPN, lahko vdelana programska oprema DD-WRT ponudi izhod. Tukaj surfajte in vnesite model usmerjevalnika. Z malo sreče piše ja v stolpcu Podprto in lahko prenesete datoteko vdelane programske opreme, da z njo utripate usmerjevalnik. Upoštevajte, da tako občutljivo operacijo izvajate popolnoma na lastno odgovornost! Za navodila si lahko ogledate tukaj.
Nasvet 02: Namestitev na nas
Najprej vam bomo pokazali, kako namestite strežnik OpenVPN na NAS. Znani proizvajalci NAS, kot sta QNAP in Synology, ponujajo lastno aplikacijo za dodajanje strežnika VPN. Oglejmo si, kako to storiti na Synology NAS z najnovejšo različico DiskStation Manager (DSM). Vzpostavite povezavo s spletnim vmesnikom DSM, privzeti naslov je: 5000 ali: 5001.
Odpri Paketni center, pridruži se Vsi paketi išče aplikacijo VPN strežnik in kliknite nanjo namestiti. Po namestitvi kliknite Odpreti: strežnik lahko obravnava nekatere protokole VPN, so navedeni PPTP, L2TP / IPSec in OpenVPN. Načeloma so lahko celo aktivni hkrati, vendar se omejimo na protokol OpenVPN. kliknite na OpenVPN in zraven postavite kljukico Omogoči strežnik OpenVPN. Nastavite navidezni notranji naslov ip za strežnik vpn. To je privzeto nastavljeno na 10.8.0.1, kar pomeni, da bodo odjemalci VPN v bistvu prejeli naslov med 10.8.0.1 in 10.8.0.254. Izbirate lahko med obsegom IP med 10.0.0.1 in 10.255.255.1, med 172.16.0.1 in 172.31.255.1 ter med 192.168.0.1 in 192.168.255.1. Prepričajte se, da se obseg ne prekriva z naslovi IP, ki se trenutno uporabljajo v vašem lokalnem omrežju.
V nekaterih napravah nas je v kratkem nameščen strežnik OpenVPN Nasvet 03: Izbira protokola
V istem konfiguracijskem oknu določite tudi največje število sočasnih povezav ter vrata in protokol. Privzeto so vrata 1194 in protokol UDP in to običajno deluje v redu. Če na teh vratih že deluje druga storitev, boste seveda nastavili drugo številko vrat.
Poleg tega lahko namesto udp izberete tudi tcp. Tcp ima vgrajen popravek napak in preveri, ali je vsak bit prispel pravilno. To zagotavlja večjo stabilnost povezave, vendar je nekoliko počasnejše. Udp pa je "protokol brez državljanstva" brez popravljanja napak, zaradi česar je bolj primeren za pretočne storitve, kjer je izguba številnih bitov običajno manj slaba.
Naš nasvet: najprej poskusite udp. Nato lahko preizkusite in izberete na primer vrata TCP 8080 ali celo vrata https 443, ker je običajno manj verjetno, da jih bo blokiral (poslovni) požarni zid. Upoštevajte, da morate izbrani protokol nastaviti tudi v nastavitvah za posredovanje vrat (glejte 5. nasvet).
Ostale možnosti v konfiguracijskem oknu lahko običajno pustite nedotaknjene. Potrdite izbiro z Nanesti.
Nasvet 04: Izvozi konfiguracijo
Na dnu okna boste našli gumb Izvozi konfiguracijo. S tem izvozite datoteko zip, ki je razpakirana in ustvari potrdilo (.crt) in konfiguracijski profil (.ovpn). Datoteko ovpn potrebujete za odjemalce OpenVPN (glejte tudi nasvete 6 do 8). Datoteko ovpn odprite s programom Notepad. Zamenjajte oznako v (tretji) vrstici YOUR_SERVER_IP v oddaljenem YOUR_SERVER_IP 1194 z zunanjim naslovom IP vašega usmerjevalnika in oznako 1194 z vrati, ki ste jih nastavili v oknu za konfiguracijo OpenVPN. Ta zunanji naslov IP lahko hitro ugotovite, ko iz notranjega omrežja preidete na spletno mesto, kot je www.whatismyip.com (glejte polje "Ddns"). Ta naslov IP lahko nadomestite tudi z imenom gostitelja, na primer z imenom storitve DDNS (glejte isto polje).
Malo naprej v datoteki ovpn boste videli vrstico # redirect-gateway def1. Tu odstranite razpršitev, zato preusmeritev-prehod def1. Ta možnost zagotavlja, da se v bistvu ves omrežni promet preusmeri prek omrežja VPN. Če to povzroča težave, ponastavite prvotno vrstico. Več informacij o tem (in o drugih tehničnih težavah OpenVPN) najdete tukaj.
Urejeno datoteko shranite z isto pripono.
Ddns
Od zunaj običajno dostopate do domačega omrežja prek javnega naslova IP vašega usmerjevalnika. Ta naslov boste našli, ko brskate po svojem omrežju do spletnega mesta, kot je www.whatismyip.com. Obstaja velika verjetnost, da je vaš ponudnik dinamično dodelil ta naslov IP, zato nimate zagotovila, da bo ta naslov IP vedno ostal enak. To je moteče, če želite redno dostopati do svojega omrežja (in strežnika OpenVPN) od zunaj.
Dinamična storitev dns (ddns) ponuja možen izhod. To zagotavlja, da je fiksno ime domene povezano s tem naslovom IP in takoj, ko se naslov spremeni, povezano orodje ddns (ki deluje lokalno nekje v vašem omrežju, na primer v usmerjevalniku, NAS-ju ali računalniku) sporoči novi naslov. storitev ddns, ki povezavo takoj posodobi. Eden najbolj prilagodljivih ponudnikov brezplačnih ddns je Dynu.
Nasvet 05: Posredovanje vrat
Pojavilo se bo sporočilo, da preverite nastavitve za posredovanje vrat in požarni zid glede na nastavljena vrata (torej privzeto 1194 udp).
Začnemo s požarnim zidom. Do strežnika OpenVPN naj bi dostopali prek vrat udp 1194, nato pa se prepričajte, da požarni zid tega vrata ne blokira. Požarni zid lahko najdete na nas prek Nadzorna plošča / zavihek Varnost / požarni zid. Z omogočenim požarnim zidom preverite s pomočjo gumba Uredite pravila ali zadevno pristanišče ni zaklenjeno. To velja tudi za požarni zid na usmerjevalniku, če je omogočen.
Koncept preusmeritve vrat je bolj zapleten. Če želite dostopati do strežnika OpenVPN zunaj svojega notranjega omrežja, boste morali uporabiti javni naslov IP vašega usmerjevalnika. Ko prek tega naslova IP zahtevate povezavo OpenVPN z vrati UDP 1194, mora usmerjevalnik vedeti, kateri računalnik naj posreduje zahtevo za ta pristaniški promet, v našem primeru pa je to notranji naslov IP vašega nas.
Oglejte si navodila za usmerjevalnik, če želite izvedeti, kako pravilno nastaviti posredovanje vrat, ali za več navodil obiščite http://portforward.com/router.
Na splošno gre takole: prijavite se v spletni vmesnik vašega usmerjevalnika, poiščite (pod) razdelek, kot je Posredovanje vrat in dodajte element z naslednjimi informacijami: ime aplikacije, naslov nas ip, notranja vrata, zunanja vrata in protokol. To je lahko na primer: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Potrdite spremembe.
Vaš strežnik OpenVPN bo morda potreboval nekaj ključnih del na požarnem zidu in usmerjevalniku Ločen strežnik OpenVPN
Če nimate NAS-a in usmerjevalnik ne podpira OpenVPN, lahko tak strežnik OpenVPN še vedno nastavite sami v računalniku z Linuxom ali Windowsom.
Tak postopek nekaj zahteva. Morate iti skozi različne korake in tudi v operacijskem sistemu Windows se to večinoma izvaja v ukaznem pozivu. Po namestitvi programske opreme OpenVPN Server (glejte nasvet 8) morate ustvariti potrdilo CA, čemur bo sledilo ustvarjanje potrdil za strežnik in potrebne odjemalce OpenVPN. Potrebujete tudi tako imenovane DH parametre (Diffie-Hellman) kot tudi ključ TLS (zaščita transportne plasti). Končno, tudi tu morate ustvariti in spremeniti datoteke ovpn ter poskrbeti, da strežnik omogoča potreben promet.
Preko te povezave boste našli korak za korakom načrt za Windows 10, za Ubuntu pa prek te povezave.
Nasvet 06: Profil odjemalca za mobilne naprave
Prvi korak je nastavitev strežnika OpenVPN, po katerem pa se morate na strežnik povezati z enim ali več odjemalci VPN (na primer prenosnikom, telefonom ali tabličnim računalnikom). Začnemo s povezovanjem mobilnega odjemalca.
Vzpostavitev povezave je za iOS in Android najlažje z odjemalsko aplikacijo OpenVPN, če je brezplačna OpenVPN Connect. To aplikacijo najdete v uradnih trgovinah Android in Apple.
Za primer vzamemo Android. Prenesite in namestite aplikacijo. Preden zaženete aplikacijo, se prepričajte, da je datoteka profila ovpn v vaši mobilni napravi (glejte nasvet 4). Po potrebi lahko to storite z obvozom prek storitve, kot je WeTransfer, ali storitve za shranjevanje v oblaku, kot sta Dropbox ali Google Drive. Začni OpenVPN Connect in izberite Profil OVPN. Potrdite z Dovoliti, poglejte v preneseno datoteko VPNconfig.ovpn in izberite Uvozi. Če želite naknadno dodati dodatne profile, lahko preprosto uporabite gumb plus.
Nasvet 07: Povezovanje odjemalca
Vnesite primerno ime za povezavo VPN in vnesite pravilne podatke Uporabniško ime in Geslo. Ti podatki za prijavo morajo seveda imeti dostop do vašega strežnika VPN v Synology nas, ki ga odprete na VPN strežnik kategorijo Pravice in postavite ček poleg predvidenih uporabnikov OpenVPN. Lahko se odločite, da si geslo zapomnite, če menite, da je dovolj varno. Potrdite z Dodaj. Profil je bil dodan, tapnite ga, da začnete povezavo.
Aplikacija se morda pritožuje, da datoteka profila nima potrdila odjemalca (ima potrdilo strežnika), saj Synology NAS tega ne ustvari kar tako. To je nekoliko manj varno, ker ni preverjeno, ali gre za pooblaščeno stranko, seveda pa potrebujete uporabniško ime in geslo za dejanski dostop. Torej lahko tukaj Neprekinjeno izberite. Če bo vse v redu, bo povezava vzpostavljena nekoliko kasneje. To boste opazili na ikoni tipke na vrhu začetnega zaslona.
Nasvet 08: odjemalec sistema Windows
Za Windows namestitveni program Windows 10 prenesete iz OpenVPN GUI, obstaja tudi različica za Windows 7 in 8 (.1). Namestite orodje. Če nameravate strežnik OpenVPN namestiti tudi v sistem Windows (glejte polje "Ločen strežnik OpenVPN"), označite poleg Skripti za upravljanje potrdil EasyRSA 2. Po potrebi dovolite namestitev gonilnika TAP.
Nato boste našli ikono GUI OpenVPN na namizju. V nasprotnem primeru zaženite program iz privzete namestitvene mape C: \ ProgramDatoteke \ OpenVPN \ bin. Namestitev mora zagotoviti, da vam orodja ni treba zagnati kot skrbnika. Če to iz kakršnega koli razloga ni uspelo, z desno miškino tipko kliknite programsko datoteko in izberite še vedno Zaženi kot skrbnik.
Pokažite programu pot do vaše datoteke profila ovpn (glejte nasvet 4). Z desno miškino tipko kliknite ikono GUI OpenVPN v sistemski vrstici sistema Windows in izberite Uvozi datoteko, nato izberite datoteko VPNConfig.ovpn. Nato kliknite v istem meniju Povezati in izpolnite potrebne podatke za prijavo. V oknu stanja lahko spremljate nastavitve povezave VPN, na dnu pa lahko preberete tudi dodeljeni naslov IP.
Če naletite na težave, kliknite v meniju Oglejte si datoteko dnevnika. Storitev OpenVPN se privzeto zažene skupaj z operacijskim sistemom Windows: to lahko storite v nastavitvah na zavihku Splošno. Preverite tudi, ali požarni zid ne blokira povezave.
