Postavljanje VPN veze u Linuxu. Konfiguriranje VPN veze u Linuxu Vodič za konfiguriranje vpn poslužitelja na ubuntu

Kratica VPN sada se ne čuje osim onih koji nikada nisu imali posla s računalom. Što je to, zašto je potrebno i kako ga sami postaviti?

Što je VPN i zašto je potreban?

VPN (Virtual Private Network) je virtualna privatna mreža, način spajanja nekoliko računala, fizički smještenih na određenoj udaljenosti jedno od drugog, u jednu logičku mrežu.

VPN-ovi se mogu koristiti u različite svrhe – od organiziranja mreže za posao/igre do pristupa internetu. Pritom morate razumjeti moguću pravnu odgovornost za svoje postupke.

U Rusiji korištenje VPN-a nije kažnjivo djelo, osim u slučajevima korištenja u namjerno nezakonite svrhe. Odnosno, ako želite otići na web stranicu predsjednika susjedne države (recimo, Somalije) i napisati koliko je loš, a skrivajući svoju IP adresu, to samo po sebi nije kršenje (pod uvjetom da sadržaj izjava ne krši zakone) ... No, korištenje ove tehnologije za pristup resursima zabranjenim u Rusiji je kazneno djelo.

Odnosno, možete se igrati s prijateljima preko mreže i raditi na daljinu u mreži organizacije koristeći VPN, ali ne možete čitati sve vrste loših stranica. S ovim riješenim. Sada idemo izravno na postavljanje.

Postavljanje poslužiteljske strane na Ubuntu Linuxu

Za poslužiteljsku stranu, bolje je koristiti Linux, u tom smislu je lakše raditi s njim. Najjednostavnija opcija je PPTP, ne zahtijeva instalaciju certifikata na klijentska računala, vrši se autentifikacija korisničkim imenom i lozinkom... Koristit ćemo ga.

Prvo instalirajte potrebne pakete:

Sudo nano /etc/pptpd.conf

Ako trebamo više od 100 istodobnih veza, potražite parametar "connections", dekomentirajte ga i navedite željenu vrijednost, na primjer:

Priključci 200

Ako trebamo slati emitirane pakete preko virtualne mreže, trebali bismo se pobrinuti da parametar bcrelay također nije komentiran:

Bcrelay eth1

Nakon toga idite na kraj datoteke i dodajte postavke adrese:

Localip 10.10.10.1 remoteip 10.10.10.2-254 slušaj 11.22.33.44

Prvi parametar specificira IP adresu poslužitelja u lokalnoj mreži, drugi određuje raspon IP adresa koje se izdaju klijentima (raspon bi trebao osigurati mogućnost određenog broja veza, bolje je dodijeliti adrese s marginom) , treći specificira na kojoj vanjskoj adresi treba slušati sučelja za primanje dolaznih veza. Odnosno, ako postoji više vanjskih adresa, može se slušati samo jedna. Ako treći parametar nije naveden, slušat će se sve dostupne vanjske adrese.

Spremite datoteku i zatvorite. Navodimo dodatne postavke finog podešavanja u datoteci / etc / ppp / pptpd-options:

Sudo nano / etc / ppp / pptpd-opcije

Prije svega, uvjeravamo se da imamo nekomentirane linije koje zabranjuju korištenje starih i nesigurnih metoda provjere autentičnosti:

Odbij-pap odbij-čap odbij-mschap

Također provjeravamo je li omogućena opcija proxyarp (odgovarajući red je dekomentiran) i dodatno, da biste omogućili ili onemogućili više veza jednog korisnika, komentirajte (dopusti) ili dekomentirajte (onemogućite) opciju zaključavanja.

Također spremamo datoteku i zatvaramo je. Ostaje stvoriti korisnike:

Sudo nano / etc / ppp / chap-secrets

Za svakog korisnika VPN-a dodjeljuje se jedan redak u kojem su uzastopno naznačeni njegovo ime, udaljena adresa, lozinka i lokalna adresa (razdjelnik - razmak).

Udaljena adresa može se odrediti ako korisnik ima vanjski statički IP i samo će se on koristiti, inače je bolje navesti zvjezdicu kako biste mogli točno prihvatiti vezu. Lokalno mora biti navedeno ako želite da se korisniku dodijeli ista IP adresa u virtualnoj mreži. Na primjer:

Korisnik1 * lozinka1 * korisnik2 11.22.33.44 lozinka2 * korisnik3 * lozinka3 10.10.10.10.

Za korisnika1, veze će biti prihvaćene s bilo koje vanjske adrese, lokalnoj će biti dodijeljena prva dostupna. Za korisnika2 će dodijeliti prvu dostupnu lokalnu adresu, ali veze će biti prihvaćene tek od 11.22.33.44. Za korisnika3, veze se prihvaćaju s bilo kojeg mjesta, ali lokalna adresa će uvijek biti dodijeljena 10.10.10.10, koju smo rezervirali za njega.

Ovo dovršava konfiguraciju VPN poslužitelja, ponovno ga pokrenite (ne morate ponovno pokrenuti računalo pod Linuxom):

Sudo servis pptpd ponovno pokrenite

Konfiguriranje VPN klijenata

Klijentski dio se može konfigurirati za bilo koji operativni sustav, koristit ću ga kao primjer Ubuntu Linux 16.04.

Na klijentskom računalu otvorite mrežne veze (snimke zaslona pokazuju za Ubuntu + Cinnamon, za GNOME se radi na isti način, u Kubuntuu izgleda da neće uzrokovati poteškoće). Kliknite gumb "Dodaj" i odaberite PPTP vezu:

Naziv VPN veze može se ostaviti kao standardni, ili ga možete odrediti koji vam je prikladan i razumljiv - to je stvar ukusa. U polje "gateway" unesite vanjsku IP-adresu poslužitelja na koji se povezujemo (navedeno pri postavljanju u opciji "slušati"), ispod imena i lozinke. S desne strane, u polju "Lozinka", prvo morate odabrati opciju "Spremi lozinku za ovog korisnika"):

Nakon toga zatvorite prozore i povežite se s poslužiteljem. Ako je poslužitelj izvan vaše lokalne mreže, potreban vam je pristup internetu.

Time je dovršena organizacija virtualne mreže, ali će se samo računala povezati s lokalnom mrežom. Da biste pristupili Internetu putem mrežnog poslužitelja, morate napraviti još jednu postavku.

Postavljanje pristupa internetu putem VPN-a

Na vpn poslužitelju unesite sljedeće naredbe:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A NAPRIJED -s 10.10.10.1/24 -j PRIHVATI iptables -A NAPRIJED -d 10.10.10.10.

gdje je 10.10.10.1/24 adresa lokalnog poslužitelja i mrežna maska.

Nakon toga spremamo promjene tako da rade i nakon ponovnog pokretanja poslužitelja:

Iptables-spremi

I primijeniti sve promjene:

Iptables-primijeni

Nakon toga, imat ćete pristup internetu. Ako odete na bilo koju stranicu koja prikazuje vašu IP adresu, vidjet ćete adresu vanjskog poslužitelja, a ne vašu (ako se ne podudaraju).

Podsjećam vas da ste samo vi odgovorni za posljedice svojih postupaka.

Konfiguriranje pomoću Network Managera "a

Što god bilo, ali ipak opišite postavku vpn-a pomoću upravitelja mreže "a. Ova postavka je sasvim prikladna za one koji koriste automatsko dobivanje IP adrese pomoću DHCP-a u svom povezivanju s mrežom.

1. Instalirajte dva paketa koja su nam potrebna:
# apt-get install pptp-linux network-manager-pptp
Budući da se ti paketi prema zadanim postavkama ne nalaze na ubuntu disku, a vpn se često mora konfigurirati na stroju koji više nema drugu internetsku vezu, savjetujem vam da unaprijed nabavite ove pakete iz službenog spremišta. Da biste to učinili, idite na stranicu packages.ubuntu.com/, tamo potražite ova dva paketa, preuzmite ih i zatim instalirajte na stroj koji nam je potreban.
2. Ako se stavka VPN veze ne pojavi u aplikaciji Network Manager ili se neće otvoriti, onda se morate ponovno prijaviti ili još bolje - ponovno pokrenuti.
3. Pritisnite lijevu tipku miša (desna tipka otvara drugi izbornik) na ikonu Network Managera "i u padajućem izborniku odaberite" VPN veze "-" Konfiguriraj VPN ". Dodajte novu vezu i postavite sve potrebne opcije za ovu vezu...
4. Nakon toga bi se vaša veza trebala pojaviti u izborniku "VPN veze", ako se odjednom ne pojavi - ponovno se prijavite ili restartajte (pa, što mogu, dokle god je ovaj network-manager još sirov).
5. Svatko se sada može spojiti na VPN vezu koju ste stvorili (kao i prekinuti vezu odabirom stavke izbornika u Network Manageru "e).

# apt-get install pptp-linux

Kao što sam već opisao gore u odjeljku za instalaciju pomoću mrežnog upravitelja "a, vpn se često mora konfigurirati na stroju koji više nema drugu internetsku vezu, pa vam savjetujem da se unaprijed nabavite ovim paketom iz službenih paketa spremišta .ubuntu.com/.

2. Uredite datoteku options.pptp:
#nano /etc/ppp/options.pptp

lock noauth nobsdcomp nodeflate persist

Neću opisivati ​​svaki od parametara, opisat ću samo neke:
persist - ovaj parametar pokušava ponovno otvoriti vezu kada je zatvorena;
nodeflate - nemojte koristiti deflate kompresiju (iako kažu da s njim radi brže, ne znam - nisam ga testirao).
Također, ako vaša veza koristi enkripciju, dodajte jedan od redaka, ovisno o vrsti enkripcije - require-mschap-v2, require-mppe-40, require-mppe-128, require-mppe.

3. Napravite datoteku za povezivanje / etc / ppp / peers / vpn (možete zamijeniti vpn naziv s bilo kojim drugim, ali ako ga promijenite, ne zaboravite ga promijeniti dalje u ovom članku)

#nano / etc / ppp / peers / vpn

Tamo ubacujemo sljedeće retke:
maxfail 0 lcp-echo-interval 60 lcp-echo-failure 4 defaultroute pty "pptp vpn.ava.net.ua --nolaunchpppd" naziv sukochev daljinsko ime PPTP + chap datoteka /etc/ppp/options.pptp ipparam vpn

Pažnja!!! Svakako zamijenite sljedeće opcije svojim:
Umjesto vpn.ava.net.ua unesite adresu vašeg vpn poslužitelja (možete koristiti IP poslužitelja). Umjesto sukochev, unesite svoju prijavu.
Opisat ću neke parametre:
maxfail 0 - uvijek se pokušajte povezati ako nema veze;
lcp-echo-interval - vremenski interval nakon kojeg se proziva udaljena strana;
lcp-echo-failure - broj neodgovorenih zahtjeva s udaljene strane, nakon čega nas sustav smatra onemogućenim;
defaultroute - postavite zadanu rutu;
+ chap - vrsta provjere autentičnosti. Osim + chap, može se koristiti i tip + pap.
datoteka - čitanje dodatnih postavki iz navedene datoteke.
Po potrebi možete dodati i sljedeće parametre:
deflate 15,15 - koristiti deflate kompresiju (ne bi trebao biti parametar nodeflate u datoteci options.pptp);
mtu - maksimalna veličina odaslanog paketa (ovaj parametar se obično mijenja kada se veza često prekida ili se neka web-mjesta ne otvaraju);
mru je maksimalna veličina primljenog paketa.

4. Uredite datoteku / etc / ppp / chap-secrets (ako se koristi tip provjere autentičnosti PAP, tada / etc / ppp / pap-secrets, respektivno)

#nano / etc / ppp / chap-secrets

Tu ubacujemo redak, kao:

Sukochev PPTP lozinka *

Pažnja!!! Zamijenite sukochev svojim korisničkim imenom, a lozinku lozinkom za povezivanje.
5. Ako je potrebno, dodajte potrebne rute u datoteku / etc / network / interfaces. Na primjer, moje rute su registrirane tako da kada je vpn veza uključena, mogu koristiti lokalnu lokalnu mrežu. Evo primjera mojih ruta (one koje počinju rutom gore), one će se prirodno razlikovati za vas:

Auto eth1 iface eth1 inet dhcp up route add -net 10.1.0.0 netmask 255.255.0.0 gw 10.1.45.1 dev eth1 up route add -net 10.3.0.0 netmask 255.255.0.1 gw4.

Ne zaboravite ponovno pokrenuti mrežne veze nakon promjene datoteke / etc / network / interfaces:

# / etc / init.d / ponovno pokretanje mreže

6. Sada možete omogućiti i onemogućiti VPN vezu pomoću sljedećih naredbi:
Uključivanje

Ugasiti

Automatska VPN veza pri pokretanju sustava

Da biste to učinili, uredite datoteku / etc / network / sučelja
#nano / etc / mreža / sučelja

I umetnite sljedeće retke na kraj datoteke:
auto ppp0 iface ppp0 inet ppp provider vpn pre-up ip link set eth1 up route del default up route add default dev ppp0

Gdje je eth1 sučelje mrežnog uređaja preko kojeg je spojena vpn veza, a vpn je naziv vpn veze koju ste stvorili u mapi / etc / ppp / peers /.

Želite imati siguran i siguran pristup internetu sa svog pametnog telefona ili prijenosnog računala dok se povezujete na nezaštićenu mrežu putem WiFi-ja hotela ili kafića? Virtualna privatna mreža (VPN) omogućuje vam korištenje nezaštićenih mreža kao da ste na privatnoj mreži. Sav vaš promet u ovom slučaju ide preko VPN poslužitelja.

U kombinaciji s korištenjem HTTPS veze, dolje opisane postavke omogućit će vam da zaštitite svoje privatne podatke, na primjer, prijave i lozinke, kao i svoje kupnje. Štoviše, možete zaobići regionalna ograničenja i cenzuru, kao i sakriti svoju lokaciju i nekriptirani HTTP promet od nezaštićene mreže.

Možete prenijeti profil s računala na telefon tako da povežete svoj Android uređaj s računalom putem USB-a i kopirate datoteku. Datoteku profila možete premjestiti i pomoću SD kartice kopiranjem profila na karticu i umetanjem kartice u svoj Android uređaj.

Pokrenite OpenVPN aplikaciju i kliknite na izbornik za uvoz profila.

Spoj

Pritisnite gumb za uspostavljanje veze. Spojiti... Bit ćete upitani vjerujete li aplikaciji OpenVPN. Odgovor u redu uspostaviti vezu. Da biste prekinuli vezu, idite na OpenVPN aplikaciju i odaberite Odspojite se.

Korak 13. Testiranje VPN veze

Nakon što je sve instalirano i konfigurirano, provjerimo radi li sve ispravno. Bez uspostavljanja VPN veze, otvorite preglednik i idite na DNSLeakTest.

Ova stranica će vratiti IP adresu koju vam je dodijelio vaš ISP. Kako biste provjerili koji se DNS poslužitelji koriste, kliknite na Prošireni test.

Sada uspostavite vezu pomoću svog VPN klijenta i osvježite stranicu u svom pregledniku. IP adresa koja vam je dana mora biti potpuno drugačija. Sada koristite ovu novu IP adresu za sve na Internetu. Kliknite na Prošireni test ponovno provjerite svoje DNS postavke i provjerite koristite li sada svoj VPN DNS poslužitelj.

Korak 14. Opoziv certifikata klijenta

S vremena na vrijeme ćete možda morati opozvati certifikat klijenta kako biste spriječili pristup VPN poslužitelju i

Da biste to učinili, idite na imenik certifikacijskog tijela i unesite naredbe:

• cd ~ / openvpn-ca
• izvor vars

• ./revoke-full client3

Izlaz ove naredbe završit će s greškom 23. To je normalno. Kao rezultat toga, datoteka crl.pem će se stvoriti u direktoriju ključeva s podacima potrebnim za opoziv certifikata.

Premjestite ovu datoteku u / etc / openvpn direktorij:

• sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn

• sudo nano /etc/openvpn/server.conf

Dodajte crl-verify na kraj datoteke. OpenVPN poslužitelj će provjeriti CRL svaki put kada se netko poveže s poslužiteljem.

/etc/openvpn/server.conf

Crl-provjeri crl.pem

Spremite i zatvorite datoteku.

Ponovno pokrenite OpenVPN da dovršite postupak opoziva certifikata:

• sudo systemctl ponovno pokretanje [e-mail zaštićen]

Sada klijent neće moći uspostaviti vezu s OpenVPN poslužiteljem koristeći stari certifikat.

Da biste opozvali dodatne certifikate, slijedite ove korake:

Generirajte novi popis opoziva korištenjem naredbe source vars u ~ / openvpn-ca direktoriju i izvršavanjem naredbe revoke-full s imenom klijenta.

Kopirajte novi CRL u / etc / openvpn, prebrišući stari CRL.

Ponovno pokrenite OpenVPN uslugu.

Ovaj postupak se može koristiti za opoziv svih certifikata koje ste prethodno kreirali.

Zaključak

Čestitamo! Sada možete sigurno pristupiti internetu, sav vaš promet je zaštićen od prisluškivanja od strane cenzora i uljeza.

Ponovite korake za konfiguriranje dodatnih klijenata 6 i 11-13 za svaki novi uređaj. Da biste opozvali pristup određenom klijentu, koristite korak 14 .

Ponekad trebate dobiti udaljeni pristup poslovnoj mreži, stvoriti tunel između poslužitelja ili omogućiti pristup internetu dobrom susjedu koji je isključen s mreže zbog duga, a možda jednostavno moći pristupiti svojoj mreži s bilo kojeg mjesta u svijet u kojem postoji internet.

U te svrhe možete koristiti virtualne privatne mreže (Virtual Private Network - VPN). U našem slučaju to će biti najčešći protokol u zemljama ZND-a, odnosno PPTP (Point-to-Point Tunneling Protocol). Mnogi davatelji kabelskog interneta koriste ga za pružanje usluga pristupa internetu.

Pokretanje vašeg poslužitelja na Linux Ubuntu Server LTS nije tako teško. Za to nam je potreban pristup internetu i pravi IP (ako se trebamo povezati s interneta).

Idemo na poslužitelj koristeći root račun i instaliramo potrebne pakete s naredbom apt-get install pptpd Također će nam biti ponuđeno da instaliramo bcrelay paket, koji vam omogućuje dupliciranje paketa emitiranja primljenih na dolaznom sučelju u virtualni (PPP klijent tuneli).

Pritisnite enter i naš poslužitelj je instaliran. Počnimo s konfiguracijom. Otvorimo datoteku nano /ets/pptpd.conf i na samom dnu vidjet ćemo sljedeće retke

#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# ili
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

Ovo su postavke IP adrese klijenta. Dekomentirajmo prva dva retka (uklonimo simbol #) i malo ih ispravimo.

Linija localip 192.168.0.1 znači da će naš VPN poslužitelj imati IP 192.168.0.1, možete odrediti naš IP u jednoj od izravno povezanih mreža. Na primjer, u mojoj kućnoj mreži poslužitelj ima IP adresu - 172.30.2.1 Da ne bih nepotrebno učitavao poslužitelj, koristio sam ga.

Drugi redak - remoteip 192.168.0.234-238,192.168.0.245 specificira raspon IP adresa koje će biti dodijeljene klijentima. Kao što možete vidjeti iz ovih redaka, mrežna adresa može biti bilo koja (u drugoj skupini redaka). Radi praktičnosti, odabrat ćemo ga iz istog raspona kao i IP našeg poslužitelja.

Kod kuće koristim sljedeću logiku izdavanja IP-a: 1. - ruter, 2-19 - računala, 20-49 - statički VPN (pri povezivanju se izdaje ista adresa), 50-100 - VPN klijenti, 101-199 - Wi- Fi klijenti , 200-254 - za razne uređaje (na primjer, IP usmjerivač, TV, itd.). Odredimo daljinski raspon 172.30.2.50-100 i spremimo konfiguraciju.

Idemo u direktorij cd / ets / ppp /, gdje su pohranjene sve pptpd (poslužitelj) i pppd (klijent) konfiguracijske datoteke.

Preimenujmo datoteku pptpd-options naredbom mv pptpd-options pptpd-options.bak i stvorimo je pomoću novih nano pptpd-options Ovo je učinjeno kako bi se olakšalo umetanje nekoliko redaka u novu datoteku nego traženje opcija među deseci redaka s komentarima. Zalijepimo sljedeći sadržaj u ovu novu datoteku:

naziv pptpd
odbiti-pap
odbiti-čap
odbiti-mschap
zahtijevaju-mschap-v2
# zahtijevaju-mppe-128
ms-dns 172.30.2.1
nodefaultoute
zaključati
nobsdcomp
auth
datoteka dnevnika /var/log/pptpd.log

Što sve ovo znači? Idemo redom:

• Upotrijebite pptpd ime za pronalaženje chap-secrets prijava
• S ovom opcijom, pptpd neće pristati na provjeru autentičnosti korištenjem protokola replace-pap, reflect-chap, replace-mschap
• Zahtijevajte ravnopravnu provjeru autentičnosti pomoću MS-CHAPv2
• Zahtijevajte korištenje MPPE-a sa 128-bitnom enkripcijom require-mppe-128 i.e. šifriranje cijelog prometa. To povećava opterećenje poslužitelja i ne podržavaju ga svi "slabi" uređaji (Wi-Fi usmjerivači itd.).
• Predložite korištenje DNS poslužitelja s IP-om 172.30.2.1
• nodefaultroute - nemojte postavljati zadani pristupnik od poslužitelja do klijenta, inače će sav promet na Internet biti poslan preko povezanog klijenta, a internet će također biti prekinut zbog gubitka rute do davatelja.
• Zaključaj - blokiraj sesije, t.j. iz jedne prijave može postojati samo jedna veza
• nobsdcomp - Nemojte komprimirati promet. Kada je omogućeno, povećava opterećenje na našem poslužitelju
• auth - zahtijeva autorizaciju (prijava i lozinka)
• logfile /var/log/pptpd.log - upisuje zapisnike operacija u ovu datoteku.

Spremite i zatvorite ovu konfiguracijsku datoteku.

Sada moramo dodati korisnike koji će se spojiti na naš poslužitelj. Otvorimo datoteku nano chap-secrets (koristi se za pohranjivanje PPP računa).

Za ispravan rad potrebno je pridržavati se sljedećeg formata: stupci moraju biti odvojeni barem jednim razmakom ili tabulatorom (Tab), razmaci u nazivima nisu dopušteni (inače se razmak smatra sljedećim stupcem), prijava mora početi slovom. Na primjer:

Prvi stupac je korisničko ime, drugi je naziv usluge. U našem slučaju, to je pptpd. Sljedeća je lozinka korisnika, zadnja je IP adresa koja će biti izdana. Štoviše, ako postoji *, IP adresa će se automatski izdati iz prethodno navedenog raspona. Također možete odrediti IP adresu koja je možda izvan dometa.

Prije korištenja poslužitelja, morate ga ponovno pokrenuti. Da biste to učinili, izvršite /ets/init.d/pptpd restart ako nema grešaka u konfiguraciji, poslužitelj će se pokrenuti.

ro [e-mail zaštićen]: / etc / ppp # /etc/init.d/pptpd restart
Ponovno pokretanje PPTP-a:
Zaustavljanje PPTP-a: pptpd.
Pokretanje PPTP Daemona: pptpd.

Ako koristite) morate mu dodati sljedeće retke:

# VPN - PPTPD
iptables -A INPUT -p tcp -m tcp --dport 1723 -j PRIHVATI
iptables -A ULAZ -p gre -m stanje --stanje POVEZANO, UTVRĐENO -j PRIHVATI

Da biste omogućili pristup Internetu VPN klijentima putem našeg poslužitelja, morate dodati sljedeće pravilo u IPTables:

iptables -t nat -A POSTROUTIRANJE -o eth1 -j MASKRADA

Gdje je eth1 sučelje prema Internetu.

Za testiranje možete stvoriti probnu VPN vezu s onemogućenom enkripcijom (izborno) i koristiti bilo koju navedenu prijavu za povezivanje s poslužiteljem.

Česte greške u povezivanju

Za stvaranje PPTP klijentske veze iz sustava Windows XP, izvršite sljedeće korake: kliknite "Start" - "Upravljačka ploča" - "Mrežne i internetske veze" - "Mrežne veze".

Kliknite na "Stvori novu vezu" - ovo će pokrenuti "Čarobnjak za novu vezu".

Sada unosimo naziv veze. Ovdje možete napisati bilo što, to će biti samo naziv veze, na primjer ćemo napisati "PPTP" (po vrsti veze).

Može se pojaviti sljedeće pitanje "Koristiti konfigurirane internetske veze?" (Ako ste već konfigurirali PPPoE vezu), u njoj kliknite "Ne biraj".

Ako se takva poruka ne pojavi, čitajte dalje.

Sada će se od vas tražiti da unesete adresu poslužitelja, naznačite IP vašeg poslužitelja ili njegovo ime.

U prozoru prikazanom na gornjoj fotografiji odaberite "Svojstva". Pojavit će se prozor u kojem odabiremo karticu "Sigurnost". U njemu nalazimo stavku "Potrebno je šifriranje podataka" i poništite okvir. u suprotnom se nećemo moći povezati, pojavit će se pogreške 741 ili 742 - "poslužitelj ne podržava traženu vrstu enkripcije."

Nakon toga kliknite gumb "OK", vratite se na prethodni prozor, unesite svoje korisničko ime, lozinku i povežite se na naš udaljeni poslužitelj putem sigurnog VPN kanala!

Nakon razmatranja teorijskih pitanja u prethodnim dijelovima, prijeđimo na praktičnu provedbu. Danas ćemo pogledati stvaranje PPTP VPN poslužitelja na platformi Ubuntu Server. Ovaj materijal namijenjen je čitateljima s Linux vještinama, tako da nas neće ometati stvari koje smo opisali u drugim člancima, poput konfiguracije mreže itd. Ako imate poteškoća - prvo proučite naše ostale materijale.

Praktično upoznavanje VPN-a počet ćemo s PPTP-om, koji je najlakši za implementaciju. Imajte na umu, međutim, da je ovo slabo siguran protokol i da se ne smije koristiti za pristup kritičnim podacima.

Razmotrite krug koji smo stvorili u našem ispitnom laboratoriju za praktično upoznavanje s ovom tehnologijom:

Imamo lokalnu mrežu 10.0.0.0/24 s terminalnim poslužiteljem 10.0.0.2 i 10.0.0.1, koji će djelovati kao VPN poslužitelj, za VPN smo rezervirali mrežu 10.0.1.0/24. Sučelje vanjskog poslužitelja ima uvjetnu namjensku IP adresu X.X.X.X. Naš cilj je omogućiti udaljenim klijentima pristup terminalskom poslužitelju i zajedničkim resursima na njemu.

Postavljanje PPTP poslužitelja

Instalirajte paket pptpd koji implementira PPTP VPN funkcionalnost:

Sudo apt-get install pptpd

Sada otvorimo datoteku /etc/pptpd.conf i postavite osnovne postavke za VPN poslužitelj. Idemo do samog kraja datoteke, gdje ćemo naznačiti adresu poslužitelja u VPN mreži:

Localip 10.0.1.1

I raspon adresa za izdavanje klijentima:

Remoteip 10.0.1.200-250

Adresama se mora dodijeliti najmanje što je moguće više istovremenih veza, po mogućnosti s malom marginom, jer je njihovo povećanje bez ponovnog pokretanja pptpd-a nemoguće. Također pronalazimo i dekomentiramo redak:

Bcrelay eth1

To će omogućiti VPN klijentima da emitiraju svoje interne mrežne pakete.

Također možete koristiti opcije slušati i ubrzati, prvi vam omogućuje da odredite IP adresu lokalnog sučelja za slušanje dolaznih PPTP veza, a drugi za određivanje brzine VPN veza u bps. Na primjer, dopustimo poslužitelju da prihvaća PPTP veze samo s vanjskog sučelja:

Slušajte X.X.X.X

Suptilnije postavke nalaze se u datoteci / etc / ppp / pptpd-opcije... Zadane postavke prilično su u skladu s našim zahtjevima, ali ćemo ukratko pregledati neke od njih kako biste imali predodžbu o njihovoj namjeni.

Odjeljak #Enkripcija odgovoran za šifriranje podataka i autentifikaciju. Ove opcije zabranjuju korištenje naslijeđenih i nesigurnih PAP, CHAP i MS-CHAP protokola:

Odbij-pap
odbiti-čap
odbiti-mschap

Require-mschap-v2
zahtijevaju-mppe-128

Sljedeći odjeljak #Mreža i usmjeravanje, ovdje treba obratiti pažnju na opciju ms-dns koji omogućuje korištenje DNS poslužitelja na internoj mreži. To može biti korisno kada je struktura domene mreže ili prisutnost DNS poslužitelja u njoj koji sadrži nazive svih računala u mreži, što omogućuje upućivanje računala po njihovim imenima, a ne samo po IP-u. U našem slučaju, ova opcija je beskorisna i komentirana. Slično, možete postaviti adresu WINS poslužitelja s opcijom ms-pobjede.

Evo opcije proxyarp, uključujući, kao što možete pretpostaviti iz imena, podršku poslužitelja Proxy ARP.

U odjeljku #Razno sadrži opciju zaključatišto klijenta ograničava na jednu vezu.

Ivanov * 123 *
petrov * 456 10.0.1.201

Prvi unos omogućuje korisniku ivanov da se poveže na poslužitelj s lozinkom 123 i dodjeljuje mu proizvoljnu IP adresu, drugi kreira korisnika petrov sa lozinkom 456, kojem će se po povezivanju dodijeliti stalna adresa 10.0.1.201.

Ponovno pokrenite pptpd:

Sudo /etc/init.d/pptpd ponovno pokrenite

Važna nota! Ako pptpd ne želi se ponovno pokrenuti, smrzava se na početku, ali u / var / log / syslog dodajući liniju dugi red konfiguracijske datoteke zanemaren svakako dodajte na kraj datoteke /etc/pptpd.conf prijelom reda.

Naš poslužitelj je spreman za rad.

Konfiguriranje klijentskih računala

Općenito, dovoljno je konfigurirati VPN vezu sa zadanim opcijama. Međutim, savjetujemo vam da izričito navedete vrstu veze i onemogućite nepotrebne protokole za šifriranje.

Nadalje, ovisno o strukturi mreže, morate odrediti statičke rute i zadani pristupnik. Ova su pitanja detaljno obrađena u prethodnim dijelovima.

Uspostavljamo VPN vezu i pokušavamo pingati bilo koje računalo u lokalnoj mreži, dobili smo pristup terminalskom poslužitelju bez ikakvih poteškoća:

Sada još jedan važan dodatak. U većini slučajeva pristup računalima na lokalnoj mreži bit će moguć samo putem IP adresa, t.j. put \\ 10.0.0.2 će raditi, ali \\ SERVER neće. To može biti nezgodno i neobično za korisnike. Postoji nekoliko načina za rješavanje ovog problema.

Ako lokalna mreža ima strukturu domene, dovoljno je navesti DNS poslužitelj za VPN vezu s DNS poslužiteljem kontrolora domene. Koristite opciju ms-dns v / etc / ppp / pptpd-opcije server i podatke o postavkama klijent će automatski primiti.

Ako u lokalnoj mreži nema DNS poslužitelja, tada možete kreirati i koristiti WINS poslužitelj, informacije o njemu također se mogu automatski prenijeti na klijente pomoću opcije ms-pobjede... I na kraju, ako ima malo udaljenih klijenata, upotrijebite datoteke na klijentskim računalima domaćini(C: \ Windows \ System32 \ drivers \ etc \ hosts), gdje biste trebali dodati retke kao što je.