Newcomposers.ru

IT Мир
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Openvpn через proxy

Настройка OpenVPN. Подключение к бесплатным серверам VPN Gate

Настройка OpenVPN для Windows

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate, используя клиент OpenVPN в системах Windows XP, 7, 8, 10, Server 2003, 2008, 2012.

1. Установите клиентское приложение OpenVPN для вашей операционной системы. Запустите установочный файл. Откроется мастер установки. Следуйте подсказкам на экране, чтобы выполнить установку приложения.

2. Скачайте и загрузите файл конфигурации подключения OpenVPN (файл. ovpn). Данная процедура требуется только при первичной настройке подключения.

Файл конфигурации формата *.ovpn понадобиться для подключения к серверу ретрансляции VPN Gate через протокол OpenVPN.

Загрузить файл конфигурации (OpenVPN Config file) можно на странице списка открытых бесплатных серверов ретрансляции http://www.vpngate.net/en/. Выберите VPN-сервер, к которому вы хотите подключиться и нажмите на соответствующий файл *.ovpn, чтобы скачать его на рабочий стол или папку загрузки.

После сохранения файла на компьютере, он будет отображаться как иконка OpenVPN. Тем не менее, вы не сможете установить подключение, просто дважды кликнув по файлу.

Нужно переместить файл *.ovpn в папку “config” основной директории установки OpenVPN.

Откройте папку C:Program FilesOpenVPNconfig и скопируйте файл *.ovpn в нее.

3. Подключение к VPN

Кликните правой кнопкой мыши по иконке “OpenVPN GUI” на рабочем столе и выберите опция “Запустить от имени администратора”. В противном случае, установить VPN подключение не удастся.

Иконка OpenVPN GUI появится в области уведомления панели задач (системном трее). В некоторых случаях иконка может быть скрытой, нажмите по значку стрелки, чтобы показать все скрытые иконки.

Щелкните правой кнопкой мыши по иконке OpenVPN GUI и нажмите “Подключить”.

Запуститься VPN подключение. Статус подключения будет отображаться на экране. Если вы увидите диалоговое окно запроса имени пользователя и пароля. Введите “vpn” в оба поля. Данное окно появляется очень редко.

Если VPN подключение успешно установлено, то появится всплывающее сообщение как на скриншоте.

4. Интернет без ограничений

Когда подключение VPN установлено, в системе Windows создается виртуальный сетевой адаптер TAP-Windows Adapter V9. Этот адаптер получит IP-адрес, который начинается с “10.211”. Виртуальный адаптер получит адрес шлюза по умолчанию.

Вы сможете проверить конфигурацию сети, запустив команду ipconfig /all в командной строке Windows.

Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Убедиться в этом вы сможете с помощью команды tracert 8.8.8.8 в командной строке Windows.

Как показано на скриншоте выше, если пакеты проходят через «10.211.254.254», значит ваше подключение ретранслируется через один из серверов VPN Gate. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес.

Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

Настройка OpenVPN для MacOS

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate, используя приложение Tunnelblick. Tunnelblick является версий клиента OpenVPN с графической оболочкой. для систем MacOS.

1. Установите приложение Tunnelblick

Скачайте и установите последнюю версию приложения Tunnelblick. Во время установки на экране будут показываться инструкции.

После завершения установки появится следующий экран. Выберите опцию “У меня есть файлы конфигурации”.

На экране будет показана инструкция по добавлению конфигурации в Tunnelblick.

Нажмите ОК, чтобы закрыть окно.

2. Скачайте и загрузите файл конфигурации подключения OpenVPN (файл .ovpn). Данная процедура требуется только при первичной настройке подключения.

Файл конфигурации формата *.ovpn понадобиться для подключения к серверу ретрансляции VPN Gate через протокол OpenVPN.

Скачать файл конфигурации (OpenVPN Config file) можно на странице списка открытых бесплатных серверов ретрансляции http://www.vpngate.net/en/. Выберите VPN-сервер, к которому вы хотите подключиться и нажмите на соответствующий файл *.ovpn, чтобы его загрузить в папку загрузок (Downloads).

Чтобы установить файл конфигурации *.ovpn, перетащите его на значок Tunnelblick в строке меню, либо на список конфигураций во вкладке «Конфигурации» окна «Детали VPN». Если необходимо установить сразу несколько конфигурационных файлов — выделите их все, а затем перетащите.

Во время добавления нужно будет ввести имя пользователя и пароль от учетной записи MacOS.

3. Подключение к VPN

Нажмите по иконке Tunnelblick на верхней панели инструментов MacOS и выберите опцию “Соединить [название конфигурации]”. Будет запущено подключение к VPN.

Появится статус подключения к VPN, как показано на скриншоте. После успешной установки подключения, в основном окне Tunnelblick будет показываться состояние “Соединен”.

4. Интернет без ограничений

Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и играть в заблокированные игры.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Настройка OpenVPN-сервера для доступа в интернет

Настройка OpenVPN-сервера для доступа в интернет

  • Автор: Уваров А.С.
  • 12.10.2019

В наших прошлых материалах мы рассматривали применение OpenVPN исключительно для организации каналов связи между подразделениями организации. Но современный мир приносит новые вызовы, на которые следует реагировать. Один из них — общественные сети с низкой безопасностью, для работы в которых желательно иметь защищенный канал, препятствующий доступу третьих лиц к вашему трафику. Традиционно эта задача решается использованием VPN-сервисов и в данной статье мы расскажем, как организовать собственный сервис на базе OpenVPN.

Кроме общественных сетей в последние годы стала приобретать повышенную актуальность проблема ограничения доступа к некоторым ресурсам исходя из географического расположения клиента. Это могут быть как ограничения регионального характера, например, популярный поставщик видеоконтента Netflix, так и блокировки со стороны органов власти, как яркий пример которых «ковровые блокировки» РКН в его борьбе с Телеграм, когда под ограничения попало большое количество совершенно легальных ресурсов.

Исходя из вышесказанного можно сделать вывод, что наличие VPN-сервиса для доступа в интернет в современных условиях — это не роскошь, а насущная необходимость, особенно если ваша деятельность завязана на работу в сети. Да, существуют многочисленные VPN-провайдеры, но их услуги являются платными и снова встает вопрос доверия, особенно если вы используете канал для обмена конфиденциальной или финансовой информацией.

Что нужно для создания собственного VPN-сервиса? Прежде всего потребуется VPS (виртуальный выделенный сервер) расположенный в регионе, из которого возможен неограниченный доступ к требуемым ресурсам. В большинстве случаев можно выбирать Европу или Штаты, но во втором случае задержки будут выше. На наш взгляд, выбирать Штаты имеет смысл, если вам требуется доступ к американским ресурсам, тому же Netflix или покупкам у американских продавцов на Amazon и Ebay.

Для поиска недорогих VPS можно воспользоваться специальными сайтами, такими как Low End Box или бесплатными предложениями от облачных провайдеров. Так у Amazon и Microsoft можно бесплатно получить виртуальную машину на год, а Oracle предлагает две VPS бесплатно и навсегда.

В нашем примере мы будем использовать бесплатный VPS от Oracle с Ubuntu 18.04, но данная инструкция подойдет для любых deb-based систем и с некоторыми поправками для любого другого Linux-дистрибутива.

Настройка сервера OpenVPN

Прежде всего установим OpenVPN и Easy-RSA для управления ключами:

Скопируем файлы easy-rsa в конфигурационную директорию OpenVPN и создадим символическую ссылку на файл настроек OpenSSL:

Затем откроем файл /etc/openvpn/easy-rsa/vars и изменим в нем следующие строки, указав собственные данные для сертификатов, например, так:

Сохраним файл и перейдем к созданию собственного центра сертификации (CA). Для этого перейдем в директорию нашего CA и загрузим переменные:

Очистим любые имеющиеся данные и инициализируем центр сертификации:

В процессе создания ключей вам будут задаваться вопросы, ответы по умолчанию на которые берутся из файла vars и помещены в квадратных скобках, поэтому можно просто подтверждать их нажатием Enter.

После чего в директории /etc/openvpn/easy-rsa/keys появится сертификат CA, содержащий публичный ключ, ca.crt, который должен присутствовать на каждом VPN-клиенте, и закрытый ключ центра сертификации ca.key, этот файл является секретным и не должен покидать пределы сервера.

Затем создадим файл параметров Диффи-Хеллмана, который нужен для формирования уникального сеансового ключа и обеспечения режима совершенной прямой секретности:

Данная операция, в зависимости от производительности вашего VPS, может занять достаточно много времени.

И, наконец, создадим ключевую пару для сервера:

где server — имя вашего сервера, мы рекомендуем давать осмысленные названия, чтобы потом не пришлось гадать, что именно это за ключевая пара и для чего она нужна.

На этом формирование необходимых ключей и сертификатов закончено, перейдем к настройке OpenVPN, прежде всего создадим директорию для хранения ключей. Можно, конечно, использовать ключи прямо из директории easy-rsa, но лучше отделить CA от остальных служб.

Теперь скопируем туда необходимые серверу ключи и сертификаты:

Распакуем и скопируем в директорию /etc/openvpn шаблон серверной конфигурации:

Откроем файл /etc/openvpn/server.conf и внесем в него необходимые изменения, в большинстве случаев вам придется раскомментировать нужны строки или убедиться в их наличии. Опции указаны в порядке их следования в файле:

Читать еще:  Html текст по ширине

Данные опции указывают порт, протокол и тип туннеля, менять их не следует, однако в ряде случаев может потребоваться использовать протокол tcp, но в силу более высоких накладных расходов этой ситуации желательно избегать.

Затем зададим топологию сети:

Укажем пути к ключам и сертификатам, допускаются относительные пути, в этом случае корнем будет считаться директория /etc/openvpn:

Зададим диапазон OpenVPN-сети:

И укажем файл для хранения адресов клиентов, которые будут автоматически выдаваться сервером:

Автоматически сконфигурируем клиентов на доступ в интернет через OpenVPN-подключение:

И передадим им собственные DNS-сервера:

Укажем параметры проверки активности:

Сервер будет проверять клиента каждые 10 секунд и при отсутствии ответа через 120 секунд клиент будет считаться неактивным.

Обязательно закомментируйте строку:

Для сценария доступа в интернет дополнительная TLS-аутентификация будет излишней.

В последних версиях OpenVPN включен механизм автоматического согласования протоколов шифрования между клиентом и сервером, по умолчанию будет выбран шифр AES-256-GCM, но так как вычислительные возможности VPS обычно ограничены и большого смысла шифровать канал доступа в интернет сложными шифрами нет, то отключим соглассование и укажем достаточно простой AES-шифр:

Также в новых версиях доступен новый механизм компрессии, для его включения укажем:

Данная опция будет автоматически отправлена на клиент, что облегчает его конфигурирование.

Если у вас есть старые версии клиентов (ниже 2.4), то можно использовать простое lzo-сжатие, для этого закомментируйте вышеприведенные строки и добавьте:

Эту опцию также потребуется добавить в конфигурационные файлы клиентов.

В целях безопасности понизим права запущенного сервера:

После чего проконтролируем наличие опций, отвечающих за правильные права к некоторым ресурсам после их понижения:

Укажем путь к файлам логов:

И укажем его подробность:

Во время отладки можно поднять уровень логов до 5-6.

Настройка брандмауэра и маршрутизации

Основной задачей нашего сервера является обеспечение выхода в интернет и будет разумно обеспечить минимальный набор правил безопасности, во многом они будут повторять те правила, которые мы использовали для наших роутеров на базе Linux.

Создадим файл правил:

и внесем в него следующие строки, обратите внимание на имя сетевого интерфейса вашего VPS, в нашем случае это ens3:

Не забудем сделать файл исполняемым:

Данный файл требуется запускать после создания туннельного интерфейса tun0, поэтому откроем конфигурационный файл сервера OpenVPN /etc/openvpn/server.conf и в его конце добавим опцию:

Перезагрузим сервер и убедимся, что OpenVPN сервер автоматически запустился и создал туннельный интерфейс, это можно сделать командой:

Также проверим применение правил брандмауэра:

Следующий шаг касается только виртуальных машин в облаке Oracle Cloud, вам потребуется дополнительно разрешить входящий трафик на порт OpenVPN. Для этого перейдите в Сети » Виртуальные облачные сети » VirtualCloudNetwork-20191008-0144 » Сведения о списках безопасности, где вместо VirtualCloudNetwork-20191008-0144 будет имя вашей виртуальной сети. Затем добавьте новое правило для входящего трафика:

Укажите: Тип источника — CIDR, Исходный CIDR — 0.0.0.0/0, IP-протокол — UDP, Диапазон исходных портов — Все, Диапазон конечных портов — 1194.

Настройка клиентов OpenVPN

Настройка клиента начинается на сервере с получения ключей и сертификатов клиента, для этого перейдем в директорию центра сертификации и загрузим переменные:

Затем создадим ключевую пару клиента командой:

где client -имя клиента, мы также рекомендуем давать им осмысленные имена.

Теперь скопируем файлы, которые необходимо передать на компьютер клиента в домашнюю директорию и изменим их владельца (по умолчанию владелец — root), чтобы вы смогли их скопировать с помощью любого FTP или SFTP клиента. В нашем случае имя пользователя ubuntu:

Помните, что закрытый ключ клиента client.key является секретным и следует избегать его передачи по открытым каналам связи.

Также не будет лишним сразу скопировать шаблон клиентской конфигурации:

После чего скопируйте все эти файлы на клиент и установите на нем OpenVPN, в Windows системах советуем изменить путь установки OpenVPN на более короткий и без пробелов, скажем, C:OpenVPN.

Затем откроем файл client.ovpn, который в Windows системах должен быть расположен в C:OpenVPNconfig, а в Linux в /etc/openvpn, и внесем в него следующие изменения:

Данные опции задают клиентский режим работы, тип туннеля и используемый протокол UDP.

Затем укажем адрес сервера:

Следующая опция предписывает клиенту постоянно разрешать имя OpenVPN-сервера, имеет смысл если мы указываем сервер по FQDN-имени, а не IP-адресу.

Для Linux систем обязательно укажите:

В Windows данные опции следует обязательно закомментировать.

Проконтролируем наличие следующих опций:

Укажем пути к ключам и сертификатам, для Linux систем подразумеваем их нахождение в /etc/openvpn/keys:

Для Windows систем предположим их нахождение в C:OpenVPNkeys:

Также обязательно закомментируем опцию:

Включим защиту от атак типа «человек посередине»:

И укажем используемый шифр, он должен совпадать с указанным на сервере:

Остальные опции можно оставить без изменений. Сохраним файл и запустим OpenVPN-клиент.

Убедиться, что вы выходите в интернет через VPN-канал можно при помощи любого сервиса, показывающего ваш IP-адрес, например, 2ip.ru:

Обращаем внимание на национальную принадлежность адреса, в данном случае мы выходим в интернет из Штатов.

Самое время провести замер скорости доступа, мы будем использовать для этого популярный сервис SpeedTest. Первый замер без VPN:

Второй через OpenVPN-канал:

Сразу обращаем внимание на выросший пинг — это последствия размещения сервера в Штатах, а также скорость скачивания не выше 10 Мбит/с — ограничение бесплатного тарифа Oracle, хотя в большинстве случаев этого вполне достаточно для комфортного серфинга.

Напоследок затронем еще один момент. Мы настроили сервер таким образом, что он автоматически конфигурирует клиента на доступ в интернет через OpenVPN-подключение, но бывают случаи, когда это не нужно. Допустим вы хотите пустить через VPN только некоторые ресурсы, а остальной доступ должен осуществляться через локального провайдера. В таком случае добавьте в конфигурационный файл клиента опцию:

После чего клиент будет игнорировать передаваемые с сервера опции маршрутизации и DHCP-опции, такие как DNS-сервера и т.п.

Q. (Ку.) VPN через корпоративный прокси

Бесплатный работающий subj существует в природе?

Под проксёй понимается HTTP/HTTPS прокся + аппаратный Firewall.
Оба недоступны.

Вы, простите, о чем? Я говорю о технологии позволяющей поднять VPN тунель через HHTP/HTTPs прокси.
Если не понятно, то разжую.
Технология позволяющая поднять тунель через проксированный 80-й (ну, или какой там определен 8080, 3180. ) порт.
Т.е.
Http -> proxy:80
Https-> proxy:80
FTP -> proxy:80

Это не NAT. Это HTTP прокси. Соксов нет.

Для реализации этой технологии требуется некий внешний "VPN-proxy" сервер, использование коих не бесплатно.

Технология может быть любая ssh + PPP, OpenVPN и т.п.
Речь идет о том, чтобы пробросить VPN через SSL-порт (если он открыт на прокси).
Как правило, прокси не разбирают содержимое SSL, они его либо пропускают, либо не пропускают.

Просто надо поднять сервер на своем компе за пределами файрвола, и подключаться к нему изнутри наружу.

А вот если хочется чтобы добрый дядя поднял серверную программу на своем оборудовании — то дяде хочется кушать, поэтому такие сервисы как правило платные.

А кто сказал, что он бесплатный?
VPN клиент хоть кискин, хоть нетскриновский, хоть нортелевский, да, бесплатный.
А сервис?

Блин! Мне бы отгадать! Вот мое сообщение юзверям годичной давности.
Уже забыл, но сейчас исчо хлеще проблема.

Признаться, мне кажется, что вся эта бодяга придумана мальчиком-зайчиком совершенно не разбирающемся в компьютерных технологиях.

Предложенный ими вариант годится разве, что для домашнего Интернета.

В двух словах. (Попытаюсь изложить кратенько и без мата):

Любая серьезная корпоративная сеть, в том числе и наша, должна быть надежно защищена от вторжения из вне.
Достигается это разными способами. Прежде всего, это корпоративный прокси/брандмауэр/файрвол – программно-аппаратное решение разрешающее выход в Интернет только определенным компьютерам по ограниченному набору протоколов. Для наших пользователей это HTTP/HHTPS/FTP/FTPS, т.е. по протоколам поддерживаемым браузерами IE, Mozila Firefox, Opera и т.д.
Вы можете заметить, что у нас невозможно настроить компьютер на прием почты с внешнего сервера. Я говорю о настройке Outlook по почтовым протоколам SMTP/IMAP/POP3. Да, вы можете использовать различные мыло-ру агенты и им подобные, но это совсем не почтовые программы, а нотификаторы, жрущие трафик и постоянно проверяющие наличие почты на удаленном сервере по разрешенному HTTP протоколу.
Почтовый протокол SMTP конечно, тоже разрешен (иначе, как будет ходить почта наружу и из вне?), но разрешен только для front-end почтовых серверов, коих всего 4-ре и те перенаправлены на SMTP-прокси серверы провайдера. Эти серверы как бы должны резать спам…
http://www.google.com/postini/threat_network.html

Ладно, это отношения к делу не имеет.

Точно так же весь Интернет трафик с наших компьютеров идет через HTTP прокси. Для нас (и для всех европейских офисов) это Internetxxx сервер, стоящий в Париже. Наши компьютеры не выходят в Интернет «напрямую», а посылают запрос этому серверу, а он уже перенаправляет его нужному адресату. Получая ответ он сканирует полученный данные. Это сделано для сети защиты от вирусов, троянов и прочей нечисти.

Читать еще:  Объединение ячеек по горизонтали html

Еще проблема. Полноценной работе корпоративной сети мешает «персональный» файрвол. Он отключен на наших компьютерах и его функции выполняет корпоративный файрвол-железк. И это файрвол принимает запросы идущие наружу только от внутреннего прокси.

Итак, в результате мы выяснили, что нашим пользователям для выхода «наружУ»разрешено пользоваться только HTTP, HTTPs, FTP, FTPs протоколами.
И это правильно. Это не обсуждается и практически никогда не меняется. Так построены все мало-мальски серьезные корпоративные сети. Это закон.

Что нам предлагает этот самый дата рум?
А он нам предлагает удаленно (!) заходить на их кампутер по дырявому как решето протоколу RDP, предназначенному в основном для удаленного администрирования серверов и компьютеров внутри корпоративной сети!
Проблема в чем? А в том, что мальчик-зайчик не перевернул страницу инструкции по настройке такого доступа и прочитал только первый лист.
А на второй странице написано, что для организации такого доступа следует устанавливать обычный WEB-сервер с надстройкой, позволяющей коннектится к удаленному компьютеру как бы и по RDP, но «поверх» HTTP. На самом деле это это даже не RDP, а HTTPs – секьюрный HTTP.
В конце-концов, можно было развернуть и совсем «чайниковый» вариант – Sharepoint server.
В таких условиях пользователи могли бы подключаться к удаленному серверу используя обычный и привычный Internet Explorer.

Есть еще вариант подключения – установка RD Gateway прокси-сервера в нашей сети. Но такое тоже неприемлемо.
Впрочем, я вчера «успел» послать запрос в GOC (наш Global Operational Center) по этому поводу, чем, по-моему, ввел их в ступор.

ну вот. как и писал ниже требуется промежуточный сервер за пределами локальной сети.

Прокидываем vpn по 443 порту на него, маршрутизируем RDP в этот канал и работаем.

Ладно. Колюсь. Достаю рояль из кустов. Я про это с самого начала спрашивал.
На самом деле все не так печально.
Всё гораздо хуже.

Убедительна просьба обойтись без сарказма.
Мы ж совецкие люди и нас так просто не возьмешь.
Сейчас схема такая.
Есть "гостевая" — второй провайдер. Трафик практически нулевой.
И как бы по архитектуре и стандарту фирмы эта сеть — запасной канал.
Да, все автоматом переключается, в случае падения основного канала, но.

Это ж каким богатым надыть быть, шобы почти 700 баксов в месяц за канал платить и не юзать его?

Есть "подпольный" рутер, одним концом включенный в локалку, а другим в гостевую сеть. Включенный очень редко.
Объяснение простое — н-е-л-ь-з-я! Почему? Вразумительнгого ответа из головного офиса нет. Дескать, ненадежно!
Чем ненадежно? ХЗ.
Говорю, давайте сделам надежно. В шкафу лежат пылятся 3 штуки Cisco PIX! Ответ — н-е-л-ь-з-я! Это стратегический запас!
Г. вопрос. Давайте пиксы нортелевские поставим! Еще пара штук!
Ответ практически тот же — н-е-л-ь-з-я. Мотивация другая — Nortel умер, нет поддержки!
Твою мать! Я ж сертивицированный инженер на нортелевское оборудование. А вот все равно нельзя.

Долго рассказываю.
Смысл в том, что когда требуется включаю это подпольный Зухель, а на кампутерах белочек-зверьков прописываю Route add .
Проблема в том, что клиенты, сцуки, юзают динамические IP.
Не поверите! Солидные фирмы с мировым именем и рекламой по центральным аналам юзают динамические IP-шники!
И че делать? Бегать по кампутерам и прописывать по новой маршруты?

Еуропэйские офисы юзают некие VPN сервисы.
Работают они следующим образом:
Имеется некий VPN клиент, работающий по HTTPs и свободно проходящий через все наши файрволы и прокси.
Этот клиент коннектится к внешнему серверу, а уж тот сервер поднимает нужный канал до клиента.
Для пользователя все прозрачно. Настройка канала от сервера до клиента через кабинет.
Недостаток — гиморно настраивать эти каналы. У меня допуска нет, а у того, кто такой допуск имеет, рабочий день нашим вечером начинается.
Data Room нужна на неделю, и еще неделю письма пишем.

Достало!
Мой "подпольный" рутер вычисляется на "раз".
Уже дважды получал "последнее китайское предупреждение" из головного офиса.

Какой сервис? ОпенВПН — это программа ставится на двух и более компьютерах и настраивается между ними VPN.
В том числе — может работать по любому, например 443 порту.

На домашний комп, например — и на рабочий. И будет VPN.

Yes! А я, дурак, думал это технология. Нахрен мне его дома ставить?
У меня IPsec over L2TP на Netscreen-е.
И вот до этого матраса мне надо тунель поднять для начала.
И к сожалению, не только до него.
Со своим бы и не заморачивался даже.

А тут задачу поставили, коннектиться в Data Room по VPN. И что? Мне к ним ехать и объяснять, что достаточно Sharepoint на Front-End сервере поднять, а не давать доступ по VPN ко всей своей сети?

Ну, поскольку я топологии местных сетей не знаю на первый взгляд все выглядит примерно так:

— есть некая удаленная система со входом по VPN (смотря какого типа)
— есть локальная машина за файрволом и прокси
— требуется с локальной машины зайти на удаленную систему.

Так?
Вариант "решить вопрос с доступом во внешнюю сеть, открыв порты" отпадает?
Тогда, в зависимости от типа VPN на удаленной системе, можно:

1. использовать промежуточный свой сервер для проброса на него VPN по SSL-порту, с него подключиться по VPN на удаленную систему и настроить маршрутизацию трафика между сетями

2. аналогично, но заходить удаленно на свой сервер и работать с него как с локальной машины.

В качестве своего сервера можно использовать домашний компьютер при наличии публичного IP, хотя бы динамического. Если нет — ну тогда придется извращаться.

У меня одно время был специальный арендованный VDS, на который автоматом подключались две машины из-за файрволов, из двух разных "серых сетей", и уже на нем происходила маршрутизация трафика между этими соединениями.
Можно было с одной машины достучаться до другой, а уже на ней стояли VPN-клиенты к управляемым сетям.
Как-то так.

Установка и настройка OpenVPN-сервера

Часто возникает необходимость организовать VPN-туннель чтобы скрыть свой реальный IP-адрес, или находясь за NAT своего провайдера и имея «снаружи» сервер с реальным IP-адресом использовать преимущества этого адреса. Далее будет показано как можно решить эту задачу используя OpenVPN.

В качестве сервера мы будем использовать VDS от Gelihost с тарифом SmallVDS-VPN и установленной операционной системой Ubuntu 8.04. На этом тарифном плане нам дают два IP-адреса в разных сетях класса C.

Допустим что нам были выделены адреса 1.1.1.10 и 1.1.2.10. Первый мы используем как «точку входа» (к нему буду подключаться клиенты), а второй как «точку выхода» (в этот адрес мы будем транслировать адреса наших клиентов). Клиентам мы будем выдавать адреса из сети 172.17.255.0/24.

Для начала установим необходимое программное обеспечение:

Настройка iptables

Сразу настроим правила iptables, для этого создадим скрипт /usr/local/scripts/firewall.sh следующего содержания:

Применим эти правила:

И добавим строку вызова этого скрипта в файл /etc/rc.local. Затем добавим в файл /etc/sysctl.conf строку:

Эта строка разрешает пересылку пакетов в соответствии с правилами iptables в цепочке FORWARD таблицы filter. Применим эти изменения командой:

Настройка DNS-сервера

Теперь настроим DNS-сервер для клиентов (в качестве него мы будем использовать пакет maradns, установленный чуть раньше). Для этого открываем в редакторе файл /etc/maradns/mararc и первым делом меняем значение параметра «bind_address»:

Затем разрешим использование сервера нашими клиентами добавив в конец файла строки:

Чтобы настройки вступили в силу перезапустим процесс:

Настройка OpenVPN-сервера

На этом приготовления закончены и можем приступить к настройке OpenVPN-сервера. Для начала подготовим структуру каталогов:

Переходим директорию /etc/openvpn/easy-rsa:

Редактируем файл «vars», указывая желаемые данные для генерируемых сертификатов после чего устанавливаем необходимые переменный окружения командой:

Генерируем основные ключи:

Генерируем сертификат сервера:

Далее для каждого из пользователей генерируем именной клиентский сертификат:

Закончив создание сертификатов приступаем к написанию файлов конфигурации. Создаём файл /etc/openvpn/server.conf следующего содержания:

Здесь мы настраиваем OpenVPN-сервер для работы по протоколу TCP, несмотря на то, что обычно в таких конфигурациях используют протокол UDP. У варианта с использованием TCP есть как минимум одно существенное преимущество: клиент может находиться за http-прокси (с поддержкой метода CONNECT) и при этом пользоваться туннелем.

Закончив написание основного файла конфигурации сервера создадим для каждого пользовательского сертификата соответствующий ему файл конфигурации. Между клиентом и сервером будет устанавливаться соединение «точка-точка». Для каждого клиента мы выделим подсеть с маской /30 из нашей виртуальной сети (172.17.255.0/24).

В каждой такой подсети один адрес будет принадлежать серверу, а другой — клиенту. Приведём сводную таблицу возможных адресов для нашего случая:

Читать еще:  Создание фреймов в html примеры

Подобный список можно сгенерировать с помощью несложного скрипта на perl:

Таким образом к нашему серверу может подключиться до шестидесяти четырёх клиентов. Теперь для каждого клиента нужно создать файл с именем вроде «/etc/openvpn/ccd/username» (здесь имя файла совпадает с именем соответствующего сертификата) и примерно такого содержания:

Если вам лень писать отдельную конфигурацию для каждого клиента вы можете посмотреть в сторону опции ifconfig-pool-persist, подробнее о которой можно прочитать в документации OpenVPN или в примерах использования. Закончив написание файлов конфигурации перезапустим сервис командой:

Информацию о состоянии сервера можно получать в реальном времени читая файл «/var/run/openvpn.server.status».

Настройка клиента на машине под управлением Linux

На этом настройка сервера заканчивается и можно переходить к настройке клиентских машин. Для начала рассмотрим настройки клиентов, работающих в операционной системе Linux (на примере Ubuntu 9.10, однако в остальных дистрибутивах всё будет примерно так же).

Первым делом установим openvpn-клиент:

Скопируем в директорию «/etc/openvpn» с сервера ключевые файл:

А затем создадим файл «/etc/openvpn/client.conf», следующего содержания:

Разумеется что имена файлов ключей и адрес сервера нужно адаптировать под свой случай. Закончив конфигурирование клиента перезапустим процесс:

Проверить что соединение установлено можно проверив таблицу роутинга на машине командой:

Результат должен выглядеть примерно вот так:

Если что-то пойдёт не так — внимательно проверьте конфигурацию клиента.

Настройка клиента на машине под управлением Windows

Переходим к настройке клиента на машине под управлением Windows. Для начала нужно скачать последнюю версию клиента OpenVPN и проинсталлировать её.

По умолчанию клиент устанавливается в директорию «C:Program FilesOpenVPN», в которой есть поддиректория «config». В эту поддиректорию нужно положить файлы ключей, а так же в ней нужно создать файл «client.ovpn», следующего содержания:

Точно так же как и на Linux-машине здесь нужно соответствующим образом подправить адрес сервера и имена сертификатов. Важно что в данном случае можно не указывать абсолютные пути к файлам сертификатов.

После этого нужно запустить приложение «OpenVPN GUI», в трее появится иконка с изображением двух красных мониторов. По этой иконке надо кликнуть правой кнопкой мыши и в выпавшем меню выбрать пункт «Connect».

Так же следует отметить что OpenVPN имеет проблемы с Windows 7, поэтому пользователям этой операционной системы нужно в свойствах файла «openvpn.exe» выставить режим совместимости с Windows Vista и поставить галочку «Запускать с правами администратора».

Работа клиентов через прокси

Если клиент находится за прокси, то нужно добавить в файл конфигурации клиента строку:

Здесь нужно указать адрес и порт прокси-сервера. Если используется прокси с авторизацией то настройка будет немного сложнее и подробнее об этом рекомендуется читать в документации OpenVPN.

На этом всё. Приятной работы!

Работа с прокси

OpenVPN без проблем может работать через http и socks прокси.

http-proxy — указываем адрес и порт прокси-сервера.
http-proxy 192.168.0.12 8080

Если требуется авторизация на прокси-сервере:

http-proxy — где authfile — файл содержащий две строки (имя пользователя и пароль) или stdin (будет запрошено имя пользователя и пароль).

Так же после authfile требуется указать метод авторизации. Можно оставить auto для автоматического выбора метода авторизации или указать явно через auth-method.
auth-method может быть трех видов «none», «basic» или «ntlm».
Используется в OpenVPN начиная с версии 2.1.

http-proxy-retry — переподключаться, если соединение было разорвано.

http-proxy-timeout — считать соеденение с прокси-сервером разорванным после n-секунд неактивности. Например:
http-proxy-timeout 5

socks-proxy — указываем сокс-прокси сервер. Пример:
socks-proxy 192.168.0.12 8080

socks-proxy-retry — переподключаться, если соединение было разорвано.

auto-proxy — автоматически определять прокси-сервер. Требуется версия OpenVPN 2.1 и выше.

Пример работы через прокси с авторизацией:

Указываем в конфиге

http-proxy 146.224.32.27 3128 authfile.txt basic

Создадим в C:Program FilesOpenVPNconfig файлик authfile.txt

в файлик напишем в одну строчку через пробел логин пароль

Suppose the HTTP proxy requires Basic authentication:

http-proxy 192.168.4.1 1080 stdin basic

Suppose the HTTP proxy requires NTLM authentication:

Список серверов OpenVPN

Технология OpenVPN позволяет организовать виртуальную частную сеть между несколькими компьютерами, которые физически могут находиться в разных частях мира и использовать для подключения к сети различные технологии и провайдеров. Это программное обеспечение с открытым исходным кодом, поэтому любой желающий может создать свой сервер. В одной из предыдущих статей мы рассматривали как настроить OpenVPN на Ubuntu.

Но вам необязательно создавать свой сервер, другие пользователи и компании уже сделали это и некоторые из них предоставляют доступ к своим серверам совершенно бесплатно. В этой статье мы собрали список серверов OpenVPN, которые вы можете использовать для решения своих задач. Важно отметить, что вам нужно быть аккуратными с данными, которые вы собираетесь пропускать через чужой VPN, желательно всегда где это возможно использовать HTTPS. А теперь перейдем к списку.

Как подключится?

Для начала в вашей системе должен быть установлен OpenVPN. Например, в Ubuntu его можно установить выполнив команду:

sudo apt install openvpn

Дальше нужно скачать файл настроек OpenVPN клиента, который можно получить на сайте сервиса, который вы выбрали. Обычно такие файлы распространяются в zip архивах и имеют расширение *.ovpn.

Последний шаг, это запуск сервиса OpenVPN с этим конфигурационным файлом. Для этого можно использовать такую команду терминала в Linux:

sudo openvpn -config /путь/к/скачанному/файлу

Возможно, для аутентификации на сервере OpenVPN вам нужно будет ввести логин и пароль. После этого, если все прошло успешно, утилита заменит маршруты системы по умолчанию на выбранный OpenVPN сервер. Теперь можно проверить ваш ip адрес с помощью любого онлайн сервиса.

Лучшие OpenVPN серверы

Дальше рассмотрим лучшие серверы OpenVPN, которые вы можете использовать в своей системе.

1. vpnbook.com

Это полностью бесплатный VPN сервис, который предоставляет возможность доступа к VPN через PPTP или OpenVPN. По заявлению разработчиков сервис обеспечивает максимальную защиту ваших данных с помощью шифрования AES и современных технологий.

Сервис не блокирует никаких сайтов. Серверы OpenVPN доступны на таких портах TCP 80, 443, а из UDP на 53 и 25000. Для доступа необходим логин и пароль. На данный момент это: vpnbook и VMdc6PJ. Торренты не поддерживаются. Можно выбрать один из серверов, которые расположены в разных странах. Скачать файл конфигурации для сервера нужно сервера можно на официальном сайте.

2. freevpn.me

Это еще один полностью бесплатный VPN сервис, который дает вам еще больше свободы. Как и в предыдущем варианте, здесь используется шифрование AES SSL, поэтому ваш провайдер не сможет узнать что вы делаете в сети и какие данные передаете. Вам доступны TCP порты 80, 443 и UDP — 53, 40000. Трафик не ограничен, а пропускная способностью с резервом в 10 Гбит/сек. К тому же здесь разрешена загрузка и раздача торрентов.

Сервер доступа только один, но для доступа к нему необходимо кроме конфигурационного файла логин и пароль. На данный момент логин freevpnme, а пароль RD9PNBE3iNu. Конфигурационный файл и адреса серверов OpenVPN доступны на этой странице.

3. www.freevpn.se

Бесплатный OpenVPN сервис, очень похожий по характеристикам на freevpn.me. Поддерживаются те же возможности, отрыты те же самые порты и есть возможность работать с торрентами. По заявлениям разработчиков, этот сервис обеспечивает максимальную защиту обычным пользователям, от перехвата их данных и атак злоумышленников.

Вы можете безопасно подключаться к любым WiFi сетям. Логин freevpnse, пароль для доступа — uJCks3Ze. Конфигурационный файл вы можете скачать на этом сайте.

4. vpnme.me

Это бесплатный OpenVPN сервис, который, как и все другие обеспечивает защиту вашего контента от посторонних глаз с помощью шифрования AES. Разработчики уверяют, что логгирование запросов не ведется, а сервис обеспечивает максимальную анонимность. Серверы OpenVPN доступен на портах 443 TCP и 1194 UDP. Параметры аутентификации вы можете посмотреть на официальной странице.

5. securitykiss.com

Securitykiss — отличный выбор среди других OpenVPN сервисов. Здесь, кроме бесплатного тарифа есть несколько платных планов. Вы можете выбрать один из серверов, расположенных в Великобритании, США, Франции, Германии. Подключение к интернету не ограничено. Логин и пароль пользователя не требуется, нужно только настроить конфигурационный файл для OpenVPN. Инструкцию по установке и настройке вы можете найти на официальном сайте. Сервис использует TCP порт 123.

6. cyberghostvpn.com

Это бесплатный надежный сервис OpenVPN, который позволяет создать шифрованный туннель с шифрованием AES 256-бит. Серверы размещены в 15 странах и всего доступно 58 серверов. Также есть платные тарифные планы, которые работают гораздо быстрее, без рекламы и имеют приложения для Android и iOS.

Выводы

В этой статье мы рассмотрели список серверов OpenVPN, которые можно использовать полностью бесплатно для увеличения своей безопасности. А какие OpenVPN серверы вы используете? Какие вам известны из тех, что нет в списке? Напишите в комментариях!

Ссылка на основную публикацию
Adblock
detector