Απόλυτος οδηγός για τη ρύθμιση ενός ασφαλούς διακομιστή OpenVPN στο Ubuntu 20.04
Ένα εικονικό ιδιωτικό δίκτυο (VPN) σάς επιτρέπει να συνδεθείτε με ασφάλεια και ιδιωτικά σε ένα απομακρυσμένο ιδιωτικό δίκτυο, για παράδειγμα, το δίκτυο του γραφείου σας ή το Διαδίκτυο με τέτοιο τρόπο σαν να είστε απευθείας συνδεδεμένοι σε ένα ιδιωτικό δίκτυο.
Το VPN λειτουργεί σε αρχιτεκτονική διακομιστή-πελάτη. Ένας διακομιστής VPN αναπτύσσεται σε ένα μηχάνημα και είναι δημόσια προσβάσιμος μέσω του Διαδικτύου. Ο διακομιστής VPN μπορεί να ρυθμιστεί ώστε να επιτρέπει τη σύνδεση σε ιδιωτικό LAN, όπως ένα δίκτυο γραφείου, ή να επιτρέπει συνδέσεις στο Διαδίκτυο. Ο χρήστης συνδέεται με τον διακομιστή VPN χρησιμοποιώντας έναν πελάτη VPN στον τοπικό του υπολογιστή. Η επικοινωνία μεταξύ διακομιστή VPN και πελάτη πραγματοποιείται χρησιμοποιώντας ένα ασφαλές πρωτόκολλο σήραγγας. Στο Διαδίκτυο, φαίνεται σαν ο προορισμός της κίνησης να είναι ο διακομιστής VPN. Ωστόσο, η κίνηση περνά στον πελάτη μέσω του διακομιστή.
Το VPN έχει πολλές χρήσεις στην καθημερινή ζωή, όπως η ασφαλής σύνδεση σε ένα δημόσιο δίκτυο Wi-Fi, το οποίο συχνά παραβιάζεται ή παρακάμπτεται γεωγραφικούς περιορισμούς σε ορισμένους ιστότοπους με τη σύνδεση σε ένα VPN που βασίζεται σε μια χώρα που επιτρέπεται από τον ιστότοπο.
Το OpenVPN είναι μια ευρέως χρησιμοποιούμενη εφαρμογή VPN που επιτρέπει ένα ευρύ φάσμα διαμορφώσεων και επιλογών. Χρησιμοποιεί πρωτόκολλο Secure Sockets Layer (SSL) για την κρυπτογράφηση των δεδομένων και των προ-κοινόχρηστων κλειδιών, του ονόματος χρήστη/κωδικού πρόσβασης ή των πιστοποιητικών για τον έλεγχο ταυτότητας του πελάτη VPN. Σε αυτό το άρθρο, θα δούμε πώς να ρυθμίσετε έναν διακομιστή VPN και έναν πελάτη VPN στο Ubuntu 20.04.
Εγκατάσταση
Το OpenVPN είναι διαθέσιμο στα επίσημα αποθετήρια του Ubuntu στο πακέτο openvpn
. Αυτό το πακέτο εγκαθιστά τόσο τον διακομιστή OpenVPN όσο και τον πελάτη.
sudo apt εγκατάσταση openvpn
Όπως αναφέρθηκε προηγουμένως, το OpenVPN χρησιμοποιεί πιστοποιητικά SSL για την κρυπτογράφηση δεδομένων μεταξύ του διακομιστή και του πελάτη. Πρέπει να δημιουργήσουμε τη δική μας αρχή έκδοσης πιστοποιητικών (CA) για την έκδοση πιστοποιητικών για το VPN. Λάβετε υπόψη ότι αυτό θα πρέπει να ρυθμιστεί σε διαφορετικό μηχάνημα από αυτό όπου έχει ρυθμιστεί το OpenVPN. Ο λόγος είναι ότι εάν βρίσκεται στον ίδιο διακομιστή και εάν παραβιαστεί, ένας εισβολέας μπορεί να έχει πρόσβαση στο ιδιωτικό κλειδί και έτσι να επιτεθεί στη σύνδεση VPN.
Θα χρησιμοποιήσουμε ένα εργαλείο που ονομάζεται «Easy-RSA» για να ρυθμίσουμε την αρχή έκδοσης πιστοποιητικών. Για να το εγκαταστήσετε, εκτελέστε τα ακόλουθα στο μηχάνημα CA, στο μηχάνημα διακομιστή OpenVPN και στο μηχάνημα πελάτη, καθώς απαιτείται διαμόρφωση και στα τρία για να ρυθμίσετε την CA.
sudo apt εγκατάσταση easy-rsa
Τώρα θα διαμορφώσουμε πρώτα την αρχή έκδοσης πιστοποιητικών στο μηχάνημα CA και θα εκτελέσουμε ορισμένα απαιτούμενα βήματα ρύθμισης παραμέτρων για αυτήν στον υπολογιστή διακομιστή Open VPN.
Ρύθμιση αρχής έκδοσης πιστοποιητικών
Αρχική ρύθμιση σε μηχάνημα CA
Τώρα, αυτό το πακέτο εγκαθιστά μια εντολή που ονομάζεται make-cadir
που χρησιμοποιείται για τη δημιουργία ενός φακέλου για τη διαμόρφωση της αρχής έκδοσης πιστοποιητικών. Ας δημιουργήσουμε έναν φάκελο χρησιμοποιώντας αυτό και ας μπούμε στον φάκελο.
make-cadir cert_authority && cd cert_authority
Ανοίξτε το αρχείο που καλείται vars
δημιουργήθηκε σε αυτόν τον κατάλογο. Αυτό το αρχείο περιέχει ορισμένες μεταβλητές διαμόρφωσης τις οποίες πρέπει να τροποποιήσουμε. Οι τιμές που πρέπει να τροποποιηθούν βρίσκονται στις γραμμές 91-96, μετά το σχόλιο για Οργανωτικά Πεδία που περιγράφει αυτά τα πεδία. Καταργήστε το σχόλιο των γραμμών και συμπληρώστε τις κατάλληλες τιμές στη θέση των τιμών του δείγματος.
Αποθηκεύστε και βγείτε από το αρχείο. Εάν χρησιμοποιείτε το πρόγραμμα επεξεργασίας vim, πατήστε Esc
, τύπος :wq
και πατήστε Εισαγω
για αποθήκευση και έξοδο.
Στη συνέχεια, τρέχουμε το easyrsa
πρόγραμμα στον κατάλογο για τη ρύθμιση της υποδομής δημόσιου κλειδιού (PKI), η οποία θα χρησιμοποιηθεί για τη δημιουργία δημόσιου κλειδιού και πιστοποιητικών.
./easyrsa init-pki
Το επόμενο βήμα θα δημιουργήσει το κλειδί CA και το πιστοποιητικό. Όταν η εντολή ζητήσει κωδικό πρόσβασης, εισαγάγετε έναν κωδικό πρόσβασης για το κλειδί CA. Επίσης, πληκτρολογήστε ένα κοινό όνομα όταν σας ζητηθεί. Εάν το αφήσετε κενό, θα χρησιμοποιηθεί το προεπιλεγμένο όνομα Easy-RSA CA.
./easyrsa build-ca
Όπως μπορούμε να δούμε από την έξοδο το πιστοποιητικό και το κλειδί έχουν δημιουργηθεί. Αυτό το κλειδί θα χρησιμοποιηθεί για την υπογραφή των πιστοποιητικών πελάτη και διακομιστή, επομένως δεν πρέπει ποτέ να αγγίξετε/τροποποιήσετε.
Τώρα, έχουμε τη ρύθμιση PKI. Το επόμενο βήμα είναι να δημιουργήσουμε ένα κλειδί διακομιστή και ένα πιστοποιητικό στο μηχάνημα που θα χρησιμοποιήσουμε ως διακομιστή OpenVPN. Αυτό το πιστοποιητικό θα υπογραφεί αργότερα από το μηχάνημα CA.
Δημιουργία κλειδιού διακομιστή και πιστοποιητικού στο μηχάνημα διακομιστή
Έχουμε ήδη εγκαταστήσει το Easy RSA στο μηχάνημα διακομιστή. Τώρα εκτελέστε τα τρία βήματα στο μηχάνημα διακομιστή, που πραγματοποιήσαμε προηγουμένως στον υπολογιστή CA, π.χ. δημιουργία καταλόγου CA χρησιμοποιώντας make-cadir
και πηγαίνοντας μέσα σε αυτό, τροποποιώντας τις μεταβλητές στο vars
αρχείο και δημιουργία PKI χρησιμοποιώντας ./easyrsa init-pki
εντολή.
Στη συνέχεια, πρέπει να εκτελέσουμε την εντολή για να δημιουργήσουμε ένα αίτημα και ένα κλειδί πιστοποιητικού διακομιστή.
./easyrsa gen-req διακομιστή nopass
Σημειώστε ότι περάσαμε την επιλογή nopass
έτσι ώστε η εντολή να μην μας ζητά να εισάγουμε κωδικό πρόσβασης για το κλειδί διακομιστή. Θα εξακολουθεί να ζητά ένα κοινό όνομα για τον διακομιστή, το οποίο μπορείτε να εισαγάγετε οτιδήποτε, ή να το αφήσετε κενό για το προεπιλεγμένο όνομα (υπηρέτης) για να χρησιμοποιηθεί.
Μετακινήστε το αρχείο κλειδιού που δημιουργήθηκε μέσα στο /etc/openvpn
Ευρετήριο.
sudo mv pki/private/server.key /etc/openvpn
Στείλτε το αίτημα πιστοποιητικού στο μηχάνημα CA. Θα χρησιμοποιήσουμε εντολή scp
για το σκοπό αυτό.
scp pki/reqs/server.req user@CA_MACHINE_HOSTNAME:/directory
Στο παραπάνω στιγμιότυπο οθόνης, ο κεντρικός υπολογιστής 45.79.125.41 είναι η μηχανή CA. Αντιγράψαμε το πιστοποιητικό στον κατάλογο /root.
Τώρα, το πιστοποιητικό του διακομιστή έχει αντιγραφεί στο μηχάνημα CA. Το επόμενο βήμα είναι να επιστρέψετε στο μηχάνημα CA και να υπογράψετε αυτό το πιστοποιητικό.
Υπογραφή του πιστοποιητικού διακομιστή στην ΑΠ
Αρχικά, ας επαληθεύσουμε εάν το αρχείο αιτήματος πιστοποιητικού από τον διακομιστή έχει αντιγραφεί στον υπολογιστή CA. Μεταβείτε στον κατάλογο όπου αντιγράψαμε το αρχείο (/root στο παράδειγμά μου) και εκτελέστε ls
.
:~# cd /root && ls cert_authority server.req
Όπως μπορούμε να δούμε, το αρχείο server.req
είναι παρών. Στη συνέχεια, μεταβείτε στον κατάλογο CA και εισαγάγετε αυτό το αίτημα.
cd cert_authority ./easyrsa διακομιστής import-req /root/server.req
Για να υπογράψετε αυτό το αίτημα, εκτελέστε την ακόλουθη εντολή.
Διακομιστής διακομιστή ./easyrsa sign-req
Εδώ το πρώτο όρισμα είναι ο τύπος του αιτήματος, δηλ. υπηρέτης, και το δεύτερο όρισμα είναι το κοινό όνομα της μηχανής διακομιστή, για την οποία χρησιμοποιούσαμε προηγουμένως την προεπιλεγμένη τιμή, π.χ. υπηρέτης.
Εισαγάγετε τη φράση Ναί, και τον κωδικό πρόσβασης για το κλειδί CA όταν σας ζητηθεί.
Τώρα μπορούμε να καταργήσουμε το αρχείο αιτήματος πιστοποιητικού και να αντιγράψουμε το πιστοποιητικό που δημιουργήθηκε για τον διακομιστή, καθώς και το δημόσιο πιστοποιητικό CA πίσω στο μηχάνημα διακομιστή.
rm /root/server.req scp pki/issued/server.crt [email protected]:/root scp pki/ca.crt [email protected]:/root
Στη συνέχεια, πρέπει να εκτελέσουμε μερικά ακόμη βήματα για να διασφαλίσουμε την ασφαλή σύνδεση του VPN.
Δημιουργία παραμέτρων DH
Η ανταλλαγή κλειδιών DH (Diffie-Hellman) είναι ένας αλγόριθμος που διασφαλίζει την ασφαλή ανταλλαγή κλειδιών κρυπτογράφησης μέσω ενός μη ασφαλούς καναλιού. Αρχικά, ας μετακινήσουμε το ληφθέν πιστοποιητικό και το δημόσιο πιστοποιητικό ΑΠ στο /etc/openvpn
.
mv /root/ca.crt /root/server.crt /etc/openvpn
Μεταβείτε στο φάκελο CA στο μηχάνημα διακομιστή και εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε τις παραμέτρους DH. Μπορεί να χρειαστεί πολύς χρόνος για τη δημιουργία.
./easyrsa gen-dh
Τώρα, μετακινήστε το αρχείο που δημιουργήθηκε στο /etc/openvpn
.
mv /root/cert_authority/pki/dh.pem /etc/openvpn
Δημιουργία κλειδιών TA
Το OpenVPN χρησιμοποιεί ένα άλλο πρόσθετο μέτρο ασφαλείας χρησιμοποιώντας το κλειδί ταυτότητας TLS. Για να δημιουργήσετε το κλειδί ταυτότητας TLS, εκτελέστε:
openvpn --genkey --secret tls_auth.key
Και μετακινήστε το κλειδί σε /etc/openvpn
.
mv tls_auth.key /etc/openvpn
Η διαμόρφωση του κλειδιού διακομιστή και η ρύθμιση της αρχής πιστοποιητικού έχουν πλέον ολοκληρωθεί. Ας περάσουμε τώρα στην πραγματική διαμόρφωση του διακομιστή VPN.
Διαμόρφωση διακομιστή OpenVPN
Το αρχείο διαμόρφωσης για τον διακομιστή OpenVPN δεν δημιουργείται αυτόματα, ωστόσο μπορούμε να χρησιμοποιήσουμε ένα αρχείο διαμόρφωσης προτύπου από το openvpn
πακέτο.
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz
Ανοίξτε το αρχείο χρησιμοποιώντας vim ή οποιοδήποτε πρόγραμμα επεξεργασίας της επιλογής σας.
cd /etc/openvpn vim server.conf
Πρέπει να εισαγάγουμε τα κοινά ονόματα κλειδιών και πιστοποιητικών που δημιουργήσαμε προηγουμένως. Μεταβείτε στη γραμμή αρ. 78. Εφόσον χρησιμοποιήσαμε όλα τα προεπιλεγμένα ονόματα, τα διατηρούμε αμετάβλητα. Στη συνέχεια, ελέγξτε το όνομα για το αρχείο παραμέτρων DH στη γραμμή 85. Χρησιμοποιήσαμε το όνομα dh.pem, οπότε ας το αλλάξουμε.
Στη συνέχεια, ας τροποποιήσουμε τα προνόμια για τον διακομιστή OpenVPN. Πηγαίνετε στη γραμμή 274 και 275 και αφαιρέστε το προβάδισμα ;
να το αποσχολιάσεις.
Ομοίως, μεταβείτε στη γραμμή 192 και αφαιρέστε το ερωτηματικό. Αυτή η οδηγία επιτρέπει την κυκλοφορία όλων των πελατών μέσω του VPN.
Αποθηκεύστε και βγείτε από το αρχείο.
Αλλάξτε την ιδιοκτησία του φακέλου /etc/openvpn σε root.
sudo chown -R root:root /etc/openvpn
Ρύθμιση δικτύωσης και τείχους προστασίας
Πρέπει να επιτρέψουμε την προώθηση IP στον διακομιστή για να επιτρέψουμε την προώθηση πακέτων από και προς τον πελάτη VPN. Καταργήστε το σχόλιο στη γραμμή 28 /etc/sysctl.conf
:
Αποθηκεύστε και βγείτε από το αρχείο.
Επανεκκίνηση systemctl
για να γίνουν αυτές οι αλλαγές.
sudo sysctl -σελ
Πρέπει να ρυθμίσουμε τη Μετάφραση Διευθύνσεων Δικτύου (NAT) στον διακομιστή χρησιμοποιώντας ένα τείχος προστασίας UFW, ώστε να επιτρέψουμε στον πελάτη VPN να έχει πρόσβαση στο Διαδίκτυο χρησιμοποιώντας τη διεύθυνση IP του διακομιστή VPN. Αρχικά, ας ενεργοποιήσουμε την προώθηση πακέτων στη διαμόρφωση του τείχους προστασίας. Ανοιξε /etc/default/ufw
και αλλάξτε τη μεταβλητή στη γραμμή 19 σε ACCEPT.
Αποθηκεύστε και βγείτε από το αρχείο.
Τώρα προσθέστε τους ακόλουθους κανόνες στο αρχείο /etc/ufw/before.rules
πριν το φίλτρο γραμμή στο αρχείο.
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.8.0.0/8 -o -j ΔΕΣΜΕΥΣΗ ΜΑΣΚΑΡΕ
Εισαγάγετε τη διεπαφή δικτύου σας στη θέση του . Μπορείτε να δείτε τη διεπαφή δικτύου σας με την εντολή ifconfig
.
Να επιτρέπεται η κυκλοφορία για την υπηρεσία OpenVPN στο Τείχος προστασίας και να επιτρέπεται η θύρα 1194.
Το sudo ufw επιτρέπει το openvpn && το sudo ufw επιτρέπει το 1194
Φορτώστε ξανά την υπηρεσία τείχους προστασίας.
sudo ufw επαναφόρτωση
Μπορούμε τώρα να επανεκκινήσουμε τον δαίμονα διακομιστή Open VPN εκτελώντας:
επανεκκίνηση της υπηρεσίας sudo openvpn
Ενεργοποιήστε το να ξεκινήσει κατά την εκκίνηση εκτελώντας:
sudo systemctl ενεργοποιήστε το openvpn
Ο διακομιστής OpenVPN έχει πλέον ρυθμιστεί και έχει ξεκινήσει. Ας προχωρήσουμε τώρα στο αίτημα πιστοποιητικού πελάτη και τη δημιουργία κλειδιού και άλλες ρυθμίσεις.
Διαμόρφωση προγράμματος-πελάτη OpenVPN
Πρέπει να δημιουργήσουμε ένα κλειδί και ένα αίτημα πιστοποιητικού για τον πελάτη. Η διαδικασία για να γίνει αυτό είναι η ίδια με αυτή του διακομιστή.
Παρόλο που ένα αίτημα κλειδιού πελάτη και πιστοποιητικού μπορεί να δημιουργηθεί στον υπολογιστή-πελάτη και στη συνέχεια να μεταφερθεί στο μηχάνημα CA, συνιστάται η δημιουργία του στο μηχάνημα διακομιστή. Το πλεονέκτημα του να γίνει αυτό στον διακομιστή είναι ότι μπορείτε να δημιουργήσετε ένα σενάριο για την εκτέλεση όλων των απαιτούμενων βημάτων στον διακομιστή, το οποίο διευκολύνει έναν νέο πελάτη να εγγραφεί στο VPN.
Μεταβείτε στο φάκελο CA του διακομιστή και εκτελέστε τα εξής:
cd ~/cert_authority ./easyrsa gen-req πελάτη nopass
Με παρόμοιο τρόπο όπως κάνατε προηγουμένως, εισαγάγετε ένα κοινό όνομα όταν σας ζητηθεί ή αφήστε το κενό για να χρησιμοποιήσετε το προεπιλεγμένο κοινό όνομα, π.χ. πελάτης.
Ας αντιγράψουμε τώρα το αίτημα πιστοποιητικού πελάτη που δημιουργήθηκε στο μηχάνημα CA.
scp pki/reqs/client.req [email protected]:/root
Ας εισαγάγουμε αυτό το αίτημα στο μηχάνημα CA:
Πελάτης ./easyrsa import-req /root/client.req
Και ας το υπογράψουμε τώρα:
Πελάτης πελάτη ./easyrsa sign-req
ΕισαγωΝαί
όταν σας ζητηθεί να συνεχίσετε. Εισαγάγετε τον κωδικό πρόσβασης για το κλειδί CA όταν σας ζητηθεί.
Μπορούμε τώρα να αφαιρέσουμε το ζητούμενο αρχείο για τον πελάτη και να αντιγράψουμε το αίτημα πίσω στο μηχάνημα διακομιστή VPN.
rm /root/client.req scp pki/issued/client.crt [email protected]:/root
Ας δημιουργήσουμε έναν φάκελο που ονομάζεται πελάτης
για να διατηρεί όλα τα αρχεία που σχετίζονται με τον πελάτη στον διακομιστή VPN. Θα μετακινήσουμε το κλειδί πελάτη και το πιστοποιητικό σε αυτόν τον φάκελο.
mkdir ~/client sudo mv ~/client.crt ~/cert_authority/pki/private/client.key ~/client
Τώρα, ας δημιουργήσουμε ένα αρχείο διαμόρφωσης από ένα διαθέσιμο πρότυπο, παρόμοιο με τον τρόπο που δημιουργήσαμε το αρχείο διαμόρφωσης διακομιστή.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client
Ανοίξτε το αρχείο πελάτης.conf
. Στη γραμμή 42, εισαγάγετε το όνομα κεντρικού υπολογιστή ή τη διεύθυνση IP του υπολογιστή σας στη θέση του ο διακομιστής μου-1
.
Καταργήστε το σχόλιο των γραμμών 61 και 62 αφαιρώντας το πρώτο ερωτηματικό, για να υποβαθμίσετε τα δικαιώματα για το αρχείο.
Στη συνέχεια, σχολιάστε τις γραμμές 88-90 και τη γραμμή 108. Ο λόγος είναι ότι θέλουμε να προσθέσουμε τα περιεχόμενα των αναφερθέντων αρχείων με μη αυτόματο τρόπο αντί να χρησιμοποιήσουμε τις θέσεις των αρχείων. Ο σκοπός αυτού είναι ότι το αρχείο διαμόρφωσης προγράμματος-πελάτη θα μεταφερθεί αργότερα στον πελάτη, όπου στην πραγματικότητα δεν θα έχουμε το κλειδί πελάτη και τα αρχεία πιστοποιητικού. Ως εκ τούτου, αντιγράφουμε τα περιεχόμενα αυτών στο ίδιο το αρχείο διαμόρφωσης.
Προσθέστε τα ακόλουθα στο αρχείο διαμόρφωσης προγράμματος-πελάτη. Εισαγάγετε τα περιεχόμενα του αρχείου των αντίστοιχων αρχείων μέσα στις δεδομένες ετικέτες.
# Επικόλληση περιεχομένου του αρχείου ca.crt εδώ # Επικόλληση περιεχομένου του αρχείου client.crt εδώ # Επικόλληση περιεχομένου του αρχείου client.key εδώ key-direction 1 # Επικόλληση περιεχομένου του αρχείου tls_auth.key εδώ
Αποθηκεύστε και βγείτε από το αρχείο. Μετονομάστε αυτό το αρχείο από πελάτης.conf
προς το client.ovpn
, καθώς η τελευταία είναι η επέκταση που απαιτείται για αρχεία διαμόρφωσης που μπορούν να εισαχθούν ως διαμορφώσεις δικτύου.
Τώρα, μεταφέρετε το αρχείο client.ovpn
στον πελάτη, δηλαδή στην τοπική μηχανή.
Τρέξιμο scp
στον υπολογιστή-πελάτη σας για να μεταφέρετε αρχείο από το μηχάνημα διακομιστή στον τοπικό σας υπολογιστή.
scp user@server_ip:/path_to_file local_destination_path
Τέλος, πρέπει να χρησιμοποιήσουμε αυτό το αρχείο διαμόρφωσης για να συνδεθούμε στον διακομιστή VPN. Αυτό μπορεί να γίνει τόσο μέσω γραμμής εντολών όσο και μέσω GUI.
Για να ξεκινήσετε τον πελάτη VPN από τη γραμμή εντολών, εκτελέστε:
sudo openvpn --config client.ovpn
Και αυτή είναι η μόνη εντολή που πρέπει να εκτελέσετε για να ξεκινήσετε το VPN Client.
Για να ξεκινήσετε τον πελάτη VPN μέσω GUI, ακολουθήστε τα παρακάτω βήματα.
Μεταβείτε στις Ρυθμίσεις » Δίκτυο στον υπολογιστή-πελάτη σας.
Κάνε κλικ στο + κουμπί στην ενότητα VPN και επιλέξτε «Εισαγωγή από αρχείο…» από τις επιλογές.
Κάντε κλικ στο «Προσθήκη» για να ξεκινήσετε να χρησιμοποιείτε το VPN.
Σημειώστε ότι στο «Gateway», είναι η διεύθυνση IP του διακομιστή.
Τέλος, εναλλάξτε το κουμπί "client VPN" για να ενεργοποιήσετε το VPN στο μηχάνημα.
Μπορεί να χρειαστούν μερικά δευτερόλεπτα για να δημιουργήσετε μια σύνδεση VPN. Ένα νέο λογότυπο προόδου για το VPN θα εμφανιστεί στην επάνω αριστερή γωνία της οθόνης σας ενώ ρυθμίζεται και θα αλλάξει σε λογότυπο VPN μόλις ρυθμιστεί.
Για να επαληθεύσετε εάν το VPN λειτουργεί σωστά, εκτελέστε τα εξής:
curl //ipinfo.io/ip
Θα πρέπει να επιστρέψει τη διεύθυνση IP του υπολογιστή σας. Διαφορετικά, μπορείτε επίσης να ελέγξετε τη διεύθυνση IP σας κάνοντας απλώς αναζήτηση "Η IP μου" στο Google. Θα πρέπει να εμφανίζει τη διεύθυνση IP του διακομιστή VPN εάν η ρύθμιση VPN λειτουργεί σωστά.
συμπέρασμα
Σε αυτό το άρθρο, είδαμε πώς να ρυθμίσετε έναν διακομιστή OpenVPN, μια Αρχή έκδοσης πιστοποιητικών και έναν πελάτη OpenVPN. Για να προσθέσουμε περισσότερους πελάτες στο VPN, πρέπει τώρα να ακολουθήσουμε τη διαδικασία δημιουργίας και υπογραφής ενός πιστοποιητικού για τον πελάτη και να χρησιμοποιήσουμε το ίδιο αρχείο διαμόρφωσης που δημιουργήθηκε εδώ, με αλλαγή μόνο του κλειδιού πελάτη και των τιμών του πιστοποιητικού.
Στην περίπτωση πιο αργών συνδέσεων στο Διαδίκτυο, είναι πιθανό εάν το UDP χρησιμοποιείται για επικοινωνία, να υπάρξει σημαντική απώλεια πακέτων. Ο χρήστης μπορεί να μεταβεί στο TCP αφαιρώντας το σχολιασμό της γραμμής proto tcp
και σχολιάζοντας τη γραμμή πρωτό udp
στο αρχείο διαμόρφωσης διακομιστή.
Επίσης, σε περίπτωση που υπάρχουν άλλα σφάλματα, μπορείτε να ορίσετε το επίπεδο καταγραφής με το ρήμα
οδηγία σε αρχεία διαμόρφωσης διακομιστή και πελάτη. Μπορείτε να εισαγάγετε τιμές μεταξύ 0 και 9. Όσο υψηλότερη είναι η τιμή αυτής της οδηγίας, τόσο πιο αναλυτικό θα είναι το αρχείο καταγραφής.