Miten

Näin määrität oman VPN-palvelimen

Löydät VPN-palvelimia pääasiassa yritysmaailmassa: niiden avulla työntekijät pääsevät turvallisesti yrityksen verkkoon tiellä tai kotona. Siitä huolimatta VPN-palvelin voi olla hyödyllinen myös silloin, kun olet itse tien päällä ja haluat käyttää Internetiä turvallisemmin tai käyttää kotiverkon tiedostoja.

Vinkki 01: VPN-protokollat

On paljon VPN-palveluja, ja joitain voit käyttää ilmaiseksi myös ilman liikaa rajoituksia, kuten ProtonVPN. Mobiililaitteellasi tai tietokoneellasi olevan asiakasohjelmiston avulla muodostat yhteyden johonkin tarjolla olevista VPN-palvelimista, minkä jälkeen voit jatkaa Internetissä tällaisen palvelimen kautta.

Tämän artikkelin lähestymistapa on kunnianhimoisempi: aiomme perustaa oman VPN-palvelimen kotiverkkoon. Vpn tarkoittaa virtuaalista yksityisverkkoa (jota hollanniksi kutsutaan myös virtuaaliseksi yksityisverkoksi), mikä tarkoittaa, että yhdistät verkot, jotka ovat fyysisesti erillään toisistaan. Tällainen yhteys toimii normaalisti Internetin kautta, mikä ei ole aivan turvallisin ympäristö. Siksi kaikki dataliikenne salataan tällaisen VPN-yhteyden kautta: kahden verkon välille luodaan virtuaalitunneli ikään kuin.

Saatavilla on useita VPN-protokollia, kuten pptp, sstp, ikev2, l2tp / ipsec, OpenVPN ja WireGuard. Jälkimmäinen on erittäin lupaava, mutta vielä täydessä kehityksessä eikä sitä vielä tueta laajalti. Valitsemme täällä OpenVPN: n, koska se on avointa lähdekoodia, siinä on vahva salaus ja se on saatavilla melkein kaikilla alustoilla.

Tällä hetkellä OpenVPN nähdään edelleen parempana VPN-protokollana

Reititin

Itse asiassa reititin on paras paikka asettaa VPN-palvelin kotiverkkoosi. Loppujen lopuksi kaikki tiellä vierailemiesi verkkosivustojen dataliikenne kulkee ensin VPN-palvelimen kautta. Jos tämä on reitittimesi, liikenne palaa välittömästi takaisin mobiililaitteeseesi. Jos VPN-palvelimesi on NAS- tai PC-tietokoneessa, dataliikenteen on ensin siirryttävä reitittimestäsi kyseiseen laitteeseen ja sieltä takaisin reitittimeesi. Ylimääräinen välivaihe, mutta käytännössä et huomaa tätä viivettä paljon.

Valitettavasti monilla tavallisilla kotireitittimillä ei ole mahdollisuutta määrittää VPN-palvelinta. Jos reitittimeltäsi todella puuttuu VPN-palvelu, DD-WRT: n laiteohjelmisto voi tarjota ulospääsyn. Surffaa täällä ja kirjoita reitittimen malli. Pienellä onnella se sanoo Joo sarakkeessa Tuettu ja voit ladata laiteohjelmistotiedoston flash-reitittimen kanssa. Huomaa, että suoritat niin arkaluonteisen toimenpiteen kokonaan omalla vastuullasi! Ohjeet saat täältä.

Vinkki 02: Asennus nenään

Näytämme ensin, kuinka OpenVPN-palvelin asennetaan NAS: ään. Tunnetut NAS-valmistajat, kuten QNAP ja Synology, tarjoavat oman sovelluksensa VPN-palvelimen lisäämiseksi. Katsomme, miten se tehdään Synology NAS: lla DiskStation Managerin (DSM) viimeisimmän version kanssa. Muodosta yhteys DSM: n verkkoliitäntään, oletusosoite on: 5000 tai: 5001.

Avaa se Package Center, liittyä seuraan Kaikki paketit etsivät sovellusta VPN-palvelin ja napsauta sitä asentaa. Napsauta asennuksen jälkeen Avata: palvelin pystyy käsittelemään joitain VPN-protokollia PPTP, L2TP / IPSec ja OpenVPN. Periaatteessa ne voivat olla jopa aktiivisia samanaikaisesti, mutta rajoittumme OpenVPN-protokollaan. Klikkaa OpenVPN ja laita valintamerkki sen viereen Ota OpenVPN-palvelin käyttöön. Aseta virtuaalinen sisäinen IP-osoite VPN-palvelimellesi. Oletuksena tämä on 10.8.0.1, mikä tarkoittaa, että VPN-asiakkaat saavat periaatteessa osoitteen välillä 10.8.0.1 - 10.8.0.254. Voit valita IP-alueen välillä 10.0.0.1 - 10.255.255.1, välillä 172.16.0.1 - 172.31.255.1 ja välillä 192.168.0.1 - 192.168.255.1. Varmista, että alue ei ole päällekkäinen lähiverkossa tällä hetkellä käytettyjen IP-osoitteiden kanssa.

Joillekin nas-laitteille sinulla on OpenVPN-palvelin asennettuna hetkessä

Vinkki 03: Protokollan valinta

Samassa määritysikkunassa määritetään myös samanaikaisten yhteyksien enimmäismäärä sekä portti ja protokolla. Oletus on portti 1194 ja protokolla UDP ja se toimii normaalisti. Jos sinulla on jo toinen palvelu käynnissä kyseisessä portissa, määrität tietysti toisen portin numeron.

Lisäksi voit valita tcp: n udp: n sijasta. TCP: ssä on sisäänrakennettu virheenkorjaus ja tarkistaa, että jokainen bitti on saapunut oikein. Tämä tarjoaa enemmän yhteyden vakautta, mutta on hieman hitaampaa. Udp on toisaalta "valtioton protokolla" ilman virheenkorjausta, mikä tekee siitä sopivamman suoratoistopalveluille, joissa useiden bittien menetys on yleensä vähemmän huono.

Meidän neuvomme: kokeile ensin udp: tä. Voit kokeilla jälkikäteen ja valita esimerkiksi TCP-portin 8080 tai jopa https-portin 443, koska (yrityksen) palomuuri ei yleensä estä niitä. Muista, että sinun on myös asetettava valittu protokolla portinsiirron asetuksissa (katso vinkki 5).

Voit yleensä jättää muut asetukset kokoonpanoikkunassa koskematta. Vahvista valintasi Hakea.

Vinkki 04: Vie kokoonpano

Ikkunan alaosasta löydät painikkeen Vie kokoonpano. Tämä vie zip-tiedoston, joka purkaa pakkauksen ja tuottaa sekä varmenteen (.crt) että kokoonpanoprofiilin (.ovpn). Tarvitset ovpn-tiedoston OpenVPN-asiakkaillesi (katso myös vinkit 6-8). Avaa ovpn-tiedosto Muistio-ohjelmalla. Korvaa merkintä (kolmannella) rivillä YOUR_SERVER_IP etänä YOUR_SERVER_IP 1194 reitittimen ulkoisen IP-osoitteen ja OpenVPN-määritysikkunassa asettamasi portin nimeen 1194. Nopea tapa selvittää tämä ulkoinen IP-osoite on, kun siirryt sisäisestä verkostasi sivustolle, kuten www.whatismyip.com (katso ruutu "Ddns"). Voit myös korvata tämän IP-osoitteen isäntänimellä, kuten ddns-palvelun nimellä (katso sama ruutu).

Hieman kauemmas ovpn-tiedostossa näet rivin # redirect-gateway def1. Täällä poistat hajautuksen, joten uudelleenohjausyhdyskäytävä def1. Tämä vaihtoehto varmistaa, että periaatteessa kaikki verkkoliikenne reititetään VPN: n ohitse. Jos tämä aiheuttaa ongelmia, nollaa alkuperäinen rivi. Lisätietoja tästä (ja muista OpenVPN: n teknisistä kysymyksistä) löytyy täältä.

Tallenna muokattu tiedosto samalla laajennuksella.

Ddns

Ulkopuolelta pääset yleensä kotiverkkoon reitittimesi julkisen IP-osoitteen kautta. Löydät osoitteen, kun surffaat verkostasi sivustolle, kuten www.whatismyip.com. Mahdollisuudet ovat, että palveluntarjoajasi on määrittänyt tämän IP-osoitteen dynaamisesti, joten sinulla ei ole takeita siitä, että tämä IP-osoite pysyy aina samana. Se on ärsyttävää, jos haluat säännöllisesti päästä verkkoosi (ja OpenVPN-palvelimellesi) ulkopuolelta.

Dynaaminen dns-palvelu (ddns) tarjoaa mahdollisen ulospääsyn. Tämä varmistaa, että kiinteä verkkotunnus on linkitetty kyseiseen IP-osoitteeseen, ja heti kun osoite muuttuu, siihen liittyvä ddns-työkalu (joka toimii paikallisesti jossakin verkossa, kuten reitittimessä, NAS: ssä tai PC: ssä) ilmoittaa uuden osoitteen ddns-palvelu, joka päivittää linkin välittömästi. Yksi joustavimmista ilmaisten ddns-palveluntarjoajista on Dynu.

Vinkki 05: Sataman huolinta

Näkyviin tulee viesti, joka kehottaa sinua tarkistamaan portinsiirron ja palomuurin asetukset asetetun portin suhteen (oletusarvoisesti 1194 udp).

Aloitamme palomuurista. Sinun on tarkoitus käyttää OpenVPN-palvelinta udp-portin 1194 kautta ja sitten sinun on oltava varma, että palomuuri ei estä kyseistä porttia. Löydät palomuurin nasi kautta Ohjauspaneeli / Suojaus / Palomuuri-välilehti. Kun palomuuri on käytössä, tarkista painikkeella Muokkaa sääntöjä onko kyseistä satamaa lukittu. Tämä koskee myös reitittimesi palomuuria, jos se on käytössä.

Sataman huolinnan käsite on monimutkaisempi. Jos haluat tavoittaa OpenVPN-palvelimesi sisäisen verkon ulkopuolelta, sinun on käytettävä reitittimen julkista IP-osoitetta. Kun pyydät OpenVPN-yhteyttä UDP-porttiin 1194 tämän IP-osoitteen kautta, reitittimen on tiedettävä, mille koneelle sen tulisi lähettää pyyntö kyseistä porttiliikennettä varten, ja tapauksessamme se on nenän sisäinen IP-osoite.

Katso reitittimen käyttöoppaasta, kuinka portinsiirto määritetään oikein, tai käy osoitteessa http://portforward.com/router saadaksesi lisätietoja.

Yleensä se tapahtuu näin: kirjaudu sisään reitittimesi web-käyttöliittymään, etsi sellainen (ala) osio Portin uudelleenohjaus ja lisää kohde, joka sisältää seuraavat tiedot: sovelluksen nimi, nas ip-osoite, sisäinen portti, ulkoinen portti ja protokolla. Tämä voi olla esimerkiksi OpenVPN, 192.168.0.200, 1194, 1194, UDP. Vahvista muutokset.

OpenVPN-palvelimesi saattaa vaatia avainkäsittelyä palomuurissa ja reitittimessä

Erillinen OpenVPN-palvelin

Jos sinulla ei ole NAS: ää ja reititin ei tue OpenVPN: ää, voit silti määrittää tällaisen OpenVPN-palvelimen itse tietokoneelle, jossa on Linux tai Windows.

Tällainen menettely vie jonkin verran tekemistä. Sinun täytyy käydä läpi useita vaiheita, ja myös Windowsissa tämä tapahtuu pääasiassa komentokehotteesta. Kun olet asentanut OpenVPN Server -ohjelmiston (katso vinkki 8), sinun on luotava CA-varmenne, jonka jälkeen on luotava varmenteet palvelimelle ja tarvittaville OpenVPN-asiakkaille. Tarvitset myös niin sanotut DH-parametrit (Diffie-Hellman) sekä TLS-avaimen (siirtokerroksen suojaus). Lopuksi, tässäkin, sinun on luotava ja muokattava ovpn-tiedostoja ja varmistettava, että palvelimesi sallii tarvittavan liikenteen.

Tämän linkin kautta löydät vaiheittaisen suunnitelman Windows 10: lle, Ubuntulle tämän linkin kautta.

Vinkki 06: Matkapuhelinasiakasprofiili

OpenVPN-palvelimen määrittäminen on ensimmäinen askel, mutta sen jälkeen sinun on muodostettava yhteys palvelimeen yhdestä tai useammasta VPN-asiakkaasta (kuten kannettava tietokone, puhelin tai tabletti). Aloitamme yhdistämällä mobiiliasiakas.

Sekä iOS: lle että Androidille yhteyden luominen on helpointa OpenVPN-asiakasohjelmalla, jos se on ilmainen OpenVPN Connect. Löydät tämän sovelluksen sekä Androidin että Applen virallisista sovelluskaupoista.

Otamme Androidin esimerkkinä. Lataa ja asenna sovellus. Ennen kuin käynnistät sovelluksen, varmista, että ovpn-profiilitiedosto on mobiililaitteessasi (katso vinkki 4). Tarvittaessa voit tehdä tämän kiertotien kautta palvelun, kuten WeTransfer, tai pilvivarastopalvelun, kuten Dropbox tai Google Drive, kautta. alkaa OpenVPN Connect ja valitse OVPN-profiili. Vahvista painamalla Sallia, katso ladattua VPNconfig.ovpn-tiedostoa ja valitse Tuonti. Jos haluat lisätä ylimääräisiä profiileja jälkikäteen, voit käyttää plus-painiketta.

Vinkki 07: Asiakkaan yhdistäminen

Anna sopiva nimi VPN-yhteydellesi ja täytä oikeat tiedot Käyttäjätunnus ja Salasana. Näillä kirjautumistiedoilla on tietysti oltava pääsy VPN-palvelimeesi, Synology nas -palvelussa, jossa avaat VPN-palvelin luokkaan Oikeudet ja aseta tarkistus aiotun käyttäjän viereen OpenVPN. Voit halutessasi muistaa salasanan, jos pidät sitä tarpeeksi turvallisena. Vahvista painamalla Lisätä. Profiili on lisätty, napauta sitä aloittaaksesi yhteyden.

Sovellus voi valittaa siitä, että profiilitiedostolla ei ole asiakassertifikaattia (sillä on palvelinsertifikaatti), koska Synology NAS ei luo sitä juuri näin. Tämä on vähän vähemmän turvallista, koska ei ole varmennettua, onko kyseessä valtuutettu asiakas, mutta tietysti tarvitset käyttäjänimen ja salasanan, jotta pääsisit todella käsiksi. Joten voit täällä Jatkuva valitse. Jos kaikki menee hyvin, yhteys muodostetaan hieman myöhemmin. Huomaat tämän aloitusnäytön yläosassa olevasta avainkuvakkeesta.

Vinkki 08: Windows-asiakas

Windowsille lataat Windows 10 -asennusohjelman OpenVPN-käyttöliittymästä, siellä on myös versio Windows 7: lle ja 8: lle (.1). Asenna työkalu. Jos aiot asentaa OpenVPN-palvelimen myös Windowsiin (katso ruutu "Erillinen OpenVPN-palvelin"), aseta valinta kohtaan EasyRSA 2 -sertifikaattien hallintakoodit. Salli myös TAP-ohjaimen asentaminen pyydettäessä.

Jälkeenpäin löydät kuvakkeen OpenVPN-käyttöliittymä työpöydälläsi. Jos ei, käynnistä ohjelma oletuskansiosta C: \ OhjelmaTiedostot \ OpenVPN \ bin. Asennuksen tulisi varmistaa, että työkalua ei tarvitse käyttää järjestelmänvalvojana. Jos se ei toiminut jostain syystä, napsauta hiiren kakkospainikkeella ohjelmatiedostoa ja valitse silti Suorita järjestelmänvalvojana.

Näytä ohjelmalle tie ovpn-profiilitiedostoon (katso vinkki 4). Napsauta hiiren kakkospainikkeella OpenVPN-käyttöliittymä Windowsin Windowsin ilmaisinalueella ja valitse Tuo tiedostoja valitse sitten VPNConfig.ovpn-tiedosto. Napsauta sitten samassa valikossa Liittää ja täytä tarvittavat kirjautumistiedot. Tilaikkunassa voit seurata VPN-yhteyden asetuksia ja voit myös lukea määritetyn IP-osoitteen alareunasta.

Jos kohtaat ongelmia, napsauta valikossa Näytä lokitiedosto. Oletuksena OpenVPN-palvelu käynnistyy yhdessä Windowsin kanssa: voit tehdä sen välilehden Asetusten kautta Kenraali. Tarkista myös, että palomuuri ei estä yhteyttä.