Ini adalah cara anda menyediakan pelayan VPN anda sendiri

Anda menjumpai pelayan VPN terutamanya di dunia korporat: mereka membenarkan pekerja mengakses rangkaian syarikat dengan selamat di jalan atau dari rumah. Walaupun begitu, pelayan VPN juga dapat berguna ketika anda berada di jalan sendiri dan ingin mengakses internet dengan lebih selamat, atau mengakses fail di rangkaian rumah anda.

Petua 01: Protokol Vpn

Terdapat banyak perkhidmatan VPN dan beberapa yang boleh anda gunakan secara percuma walaupun tanpa terlalu banyak sekatan, seperti ProtonVPN. Melalui perisian klien pada peranti mudah alih atau komputer anda, kemudian anda menyambung ke salah satu pelayan VPN yang ditawarkan, selepas itu anda boleh meneruskan di internet melalui pelayan tersebut.

Pendekatan artikel ini lebih bercita-cita tinggi: kami akan menyediakan pelayan VPN kami sendiri dalam rangkaian rumah kami. Vpn bermaksud rangkaian peribadi maya (juga disebut rangkaian peribadi maya dalam bahasa Belanda) dan ini bermaksud bahawa anda menghubungkan rangkaian yang secara fizikal terpisah antara satu sama lain. Sambungan seperti ini biasanya melalui internet dan bukan persekitaran yang paling selamat. Itulah sebabnya semua lalu lintas data dienkripsi melalui sambungan VPN seperti itu: terowong maya dibuat di antara dua rangkaian, seperti dulu.

Beberapa protokol vpn tersedia, termasuk pptp, sstp, ikev2, l2tp / ipsec, OpenVPN dan WireGuard. Yang terakhir ini sangat menjanjikan, tetapi masih dalam pembangunan dan belum disokong secara meluas. Kami memilih OpenVPN di sini kerana ia adalah sumber terbuka, mempunyai enkripsi yang kuat dan tersedia di hampir semua platform.

Pada masa ini, OpenVPN masih dilihat sebagai protokol VPN yang lebih baik

Penghala

Sebenarnya, penghala anda adalah tempat terbaik untuk menyediakan pelayan VPN di rangkaian rumah anda. Lagipun, semua lalu lintas data dari laman web yang anda lawati di jalan pertama akan melalui pelayan VPN anda. Sekiranya itu adalah penghala anda, lalu lintas tersebut akan segera kembali ke peranti mudah alih anda. Sekiranya pelayan VPN anda menggunakan nas atau komputer, lalu lintas data mesti pergi dari penghala anda ke peranti itu dan dari sana kembali ke penghala anda. Langkah pertengahan tambahan, tetapi dalam praktiknya anda tidak akan melihat kelewatan ini.

Malangnya, banyak penghala rumah biasa tidak mempunyai pilihan untuk menyediakan pelayan VPN. Sekiranya penghala anda benar-benar kehilangan perkhidmatan VPN, firmware DD-WRT mungkin menawarkan jalan keluar. Melayari di sini dan masukkan model penghala anda. Nasib baik, ya akan tertera di ruangan yang disokong dan anda boleh memuat turun fail firmware untuk memancarkan penghala anda. Ingatlah, anda melakukan operasi sensitif sedemikian dengan risiko anda sendiri! Klik di sini untuk mendapatkan arahan.

Petua 02: Pemasangan pada nas

Kami akan menunjukkan kepada anda cara memasang pelayan OpenVPN pada NAS. Pengilang NAS terkenal seperti QNAP dan Synology menawarkan aplikasi mereka sendiri untuk menambah pelayan VPN. Kami melihat bagaimana cara melakukannya di Synology NAS dengan versi DiskStation Manager (DSM) baru-baru ini. Buat sambungan dengan antara muka web DSM, alamat lalai adalah: 5000 atau: 5001.

Buka Pusat Pakej , cari aplikasi Pelayan VPN di bawah Semua pakej dan klik Pasang . Selepas pemasangan, klik Buka : pelayan dapat menangani beberapa protokol VPN, PPTP, L2TP / IPSec dan OpenVPN disenaraikan . Pada prinsipnya, mereka juga boleh aktif pada masa yang sama, tetapi kita menghadkan diri pada protokol OpenVPN. Klik OpenVPN dan tandakan kotak Enable OpenVPN server. Tetapkan alamat ip dalaman maya untuk pelayan vpn anda. Secara lalai ini ditetapkan ke 10.8.0.1, yang bermaksud bahawa klien VPN pada dasarnya akan menerima alamat antara 10.8.0.1 dan 10.8.0.254. Anda boleh memilih dari julat IP antara 10.0.0.1 dan 10.255.255.1, antara 172.16.0.1 dan 172.31.255.1 dan antara 192.168.0.1 dan 192.168.255.1. Pastikan julat tidak bertindih dengan alamat IP yang saat ini digunakan di rangkaian tempatan anda.

Anda boleh memasang pelayan OpenVPN pada beberapa peranti nas

Petua 03: Pilihan protokol

Di tetingkap konfigurasi yang sama, anda juga menentukan bilangan maksimum sambungan serentak, serta port dan protokol. Secara lalai, port adalah 1194 dan protokol UDP , yang biasanya berfungsi dengan baik. Sekiranya anda sudah menjalankan perkhidmatan lain di port itu, anda tentu akan menetapkan nombor port yang berbeza.

Selanjutnya, anda juga boleh memilih tcp dan bukannya udp. Tcp mempunyai pembetulan ralat terbina dalam dan memeriksa bahawa setiap bit telah tiba dengan betul. Ini memberikan lebih banyak kestabilan sambungan, tetapi sedikit lebih perlahan. Udp, ​​sebaliknya, adalah 'protokol tanpa status' tanpa pembetulan ralat, yang menjadikannya lebih sesuai untuk perkhidmatan streaming, di mana kehilangan sejumlah bit biasanya kurang buruk.

Nasihat kami: cuba udp terlebih dahulu. Anda boleh bereksperimen selepas itu dan memilih, misalnya, port TCP 8080, atau bahkan port https 443, kerana ini biasanya cenderung untuk disekat oleh firewall (syarikat). Perlu diingat bahawa anda juga harus menetapkan protokol yang dipilih dalam tetapan untuk pemajuan port (lihat tip 5).

Anda biasanya boleh membiarkan pilihan lain di tetingkap konfigurasi tidak tersentuh. Sahkan pilihan anda dengan Terapkan .

Petua 04: Konfigurasi eksport

Di bahagian bawah tetingkap anda akan menemui butang konfigurasi Eksport . Ini mengeksport fail zip yang dibongkar dan menghasilkan sijil (.crt) dan profil konfigurasi (.ovpn). Anda memerlukan fail ovpn untuk klien OpenVPN anda (lihat juga petua 6 hingga 8). Buka fail ovpn dengan program Notepad. Pada baris (ketiga), ganti sebutan YOUR_SERVER_IP di jarak jauh YOUR_SERVER_IP 1194dengan alamat IP luaran penghala anda dan sebutan 1194 oleh port yang anda tetapkan dalam tetingkap konfigurasi OpenVPN. Cara cepat untuk mengetahui alamat IP luaran ini adalah ketika anda pergi dari rangkaian dalaman anda ke laman web seperti www.whatismyip.com (lihat kotak 'Ddns'). Anda juga boleh mengganti alamat IP ini dengan nama host, seperti perkhidmatan ddns (lihat kotak yang sama).

Sedikit lebih jauh dalam fail ovpn anda akan melihat garis # redirect-gateway def1. Di sini anda membuang hash, jadi redirect-gateway def1. Pilihan ini memastikan bahawa pada dasarnya semua lalu lintas rangkaian diarahkan melewati VPN. Sekiranya ini menimbulkan masalah, tetapkan semula baris asal. Lebih banyak maklumat mengenai ini (dan mengenai masalah teknikal OpenVPN lain) boleh didapati di sini.

Simpan fail yang diedit dengan pelanjutan yang sama.

Ddns

Anda biasanya mengakses rangkaian rumah anda dari luar melalui alamat IP awam penghala anda. Anda akan mengetahui alamat itu semasa anda melayari dari rangkaian anda ke laman web seperti www.whatismyip.com. Kemungkinan penyedia anda telah memberikan alamat IP ini secara dinamik, jadi anda tidak mempunyai jaminan bahawa alamat IP ini akan tetap sama. Ini menjengkelkan jika anda kerap ingin menjangkau rangkaian anda (dan pelayan OpenVPN anda) dari luar.

Perkhidmatan dns dinamik (ddns) menawarkan jalan keluar yang mungkin. Ini memastikan bahawa nama domain tetap dihubungkan ke alamat IP itu dan sebaik sahaja alamat berubah, alat ddns yang sesuai (yang berjalan secara tempatan di suatu tempat di rangkaian anda seperti pada penghala, NAS atau PC anda) membuat alamat baru diketahui. ke perkhidmatan ddns, yang segera mengemas kini pautan. Salah satu penyedia ddn percuma yang paling fleksibel adalah Dynu.

Petua 05: Pemajuan pelabuhan

Mesej akan muncul memberitahu anda untuk memeriksa pengaturan untuk meneruskan port dan firewall berkenaan dengan port yang ditetapkan (standar 1194 udp).

Kita mulakan dengan firewall. Anda sepatutnya mengakses pelayan OpenVPN melalui udp port 1194 dan kemudian anda harus memastikan bahawa firewall anda tidak menyekat port tersebut. Anda boleh mencari firewall di NAS anda melalui tab Control Panel / Security / Firewall . Dengan firewall diaktifkan, periksa melalui butang Edit peraturan sama ada port yang dimaksudkan tidak terkunci. Ini juga berlaku untuk firewall pada penghala Anda, jika diaktifkan.

Konsep pemajuan pelabuhan lebih kompleks. Sekiranya anda ingin menjangkau pelayan OpenVPN dari luar rangkaian dalaman anda, anda harus menggunakan alamat IP awam penghala anda. Apabila anda meminta sambungan OpenVPN dengan port UDP 1194 melalui alamat IP ini, penghala anda mesti tahu ke mesin mana yang harus meneruskan permintaan untuk lalu lintas pelabuhan itu, yang dalam kes kami adalah alamat IP dalaman awak nas.

Rujuk manual penghala anda untuk mengetahui cara mengatur penerusan port dengan betul atau kunjungi http://portforward.com/router untuk mendapatkan lebih banyak arahan.

Secara umum, seperti ini: log masuk ke antara muka web penghala anda, cari tajuk (sub) seperti Port forwarding dan tambahkan item dengan maklumat berikut: nama aplikasi, alamat ip nas, dalaman port, port luaran dan protokol. Sebagai contoh, itu boleh menjadi: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Sahkan perubahan anda.

Pelayan OpenVPN anda mungkin memerlukan beberapa kerja utama di firewall dan penghala

Pelayan OpenVPN yang berasingan

Sekiranya anda tidak mempunyai NAS dan penghala anda tidak menyokong OpenVPN, anda masih boleh menyediakan pelayan OpenVPN seperti itu sendiri pada komputer dengan Linux atau Windows.

Prosedur sedemikian agak rumit. Anda mesti melalui pelbagai langkah dan juga di bawah Windows ini terutama dilakukan dari Command Prompt. Setelah memasang perisian OpenVPN Server (lihat tip 8) anda perlu membuat sijil CA, diikuti dengan pembuatan sijil untuk pelayan dan klien OpenVPN yang diperlukan. Anda juga memerlukan parameter DH (Diffie-Hellman) dan juga kunci TLS (keselamatan lapisan pengangkutan). Akhirnya, di sini anda juga perlu membuat dan mengubah fail ovpn, dan pastikan pelayan anda membenarkan lalu lintas yang diperlukan.

Melalui pautan ini, anda akan menemui rancangan langkah demi langkah untuk Windows 10, untuk Ubuntu melalui pautan ini.

Petua 06: Profil pelanggan mudah alih

Menyiapkan pelayan OpenVPN adalah langkah pertama, tetapi selepas itu anda harus menyambung ke pelayan dari satu atau lebih klien VPN (seperti komputer riba, telefon atau tablet anda). Kami bermula dengan menghubungkan pelanggan mudah alih.

Untuk kedua-dua iOS dan Android, penyediaan sambungan berfungsi paling mudah dengan aplikasi klien OpenVPN seperti OpenVPN Connect percuma . Anda boleh mendapatkan aplikasi ini di gedung aplikasi rasmi Android dan Apple.

Kami mengambil Android sebagai contoh. Muat turun dan pasang aplikasinya. Sebelum anda memulakan aplikasi, pastikan fail profil ovpn ada di peranti mudah alih anda (lihat petua 4). Sekiranya perlu, anda boleh melakukan ini melalui jalan memutar melalui perkhidmatan seperti WeTransfer atau perkhidmatan penyimpanan awan seperti Dropbox atau Google Drive. Mulakan OpenVPN Connect dan pilih Profil OVPN . Sahkan dengan Benarkan , rujuk fail VPNconfig.ovpn yang dimuat turun dan pilih Import . Sekiranya anda ingin menambahkan profil tambahan selepas itu, anda boleh melakukannya melalui butang tambah.

Petua 07: Sambungkan pelanggan

Masukkan nama yang sesuai untuk sambungan VPN anda dan isikan maklumat yang betul di Nama Pengguna dan Kata Laluan . Perincian log masuk ini tentu saja mempunyai akses ke pelayan VPN anda, di Synology NAS, buka bahagian Hak di Pelayan VPN dan letakkan cek di sebelah pengguna yang dimaksudkan di OpenVPN . Anda boleh memilih untuk mengingat kata laluan jika anda menganggapnya cukup selamat. Sahkan dengan Tambah . Profil telah ditambahkan, ketuk untuk memulakan sambungan.

Aplikasi ini mungkin mengeluh bahawa fail profil tidak mempunyai sijil pelanggan (ia mempunyai sijil pelayan), kerana Synology NAS tidak hanya menghasilkannya. Ini agak kurang selamat kerana tidak disahkan sama ada ia adalah pelanggan yang sah, tetapi tentu anda memerlukan nama pengguna dan kata laluan untuk benar-benar mendapat akses. Oleh itu, anda boleh memilih Teruskan di sini . Sambungan harus dijalin sedikit kemudian. Anda akan melihatnya dari ikon kunci di bahagian atas skrin permulaan.

Petua 08: Pelanggan Windows

Untuk Windows anda memuat turun pemasang Windows 10 dari OpenVPN GUI, ada juga versi untuk Windows 7 dan 8 (.1). Pasang alat. Sekiranya anda merancang untuk memasang pelayan OpenVPN di Windows juga (lihat kotak 'Pelayan OpenVPN terpisah'), centang kotak di sebelah Skrip Pengurusan Sijil EasyRSA 2 semasa pemasangan . Juga membenarkan pemacu TAP dipasang apabila diminta.

Selepas itu, anda akan menemui ikon OpenVPN GUI di desktop anda. Sekiranya tidak, jalankan program dari folder pemasangan lalai C: \ Program Files \ OpenVPN \ bin . Pemasangan harus memastikan bahawa anda tidak perlu menjalankan alat sebagai pentadbir. Sekiranya itu tidak berjaya dengan alasan apa pun, klik kanan pada fail program dan pilih Jalankan sebagai pentadbir .

Arahkan program ke fail profil ovpn anda (lihat petua 4). Klik kanan ikon OpenVPN GUI di dulang sistem Windows dan pilih Import File , kemudian pilih file VPNConfig.ovpn. Pada menu yang sama, klik pada Connect dan masukkan butiran log masuk yang diperlukan Di tetingkap status, anda dapat mengikuti penyiapan sambungan VPN dan anda juga dapat membaca alamat IP yang diberikan di bahagian bawah.

Sekiranya anda menghadapi masalah, klik Lihat fail log di menu . Secara lalai, perkhidmatan OpenVPN dimulakan bersama dengan Windows: anda boleh melakukannya melalui Tetapan, pada tab Umum . Periksa juga bahawa firewall anda tidak menghalang sambungan.