Saját VPN szerver konfigurációja

Nyílt Wifi hálózatot használ? Fél attól, hogy internet szolgáltatója lehallgatja hálózati forgalmát? Nem szeretné, hogy minden szerver IP címe látható legyen? Megmutatjuk Önnek, hogyan tudja ezt a problémát megoldani.

Bemutatjuk, hogyan tudja létrehozni saját VPN szerverét. 3000 Ft-os utalvánnyal ingyenesen ki tudja próbálni szolgáltatásunkat, ezzel akár 10 hónapig is tudja működtetni szerverét.

A saját VPN előnyei és korlátai

Az elején érdemes tisztázni, hogy a VPN nem egy csodaszer, amely garantálja az anonimitást és a hálózati biztonságot. A kiválasztott modelltől függ, hogy a fenyegetések ellen milyen biztonsági szintet kapunk. A VPN lehetővé teszi számunkra, hogy elrejtsük IP címünket és titkosítsa a mozgást a VPN szerver két vége között, így nem lesz látható például az internet szolgáltatón vagy a Wifi hálózaton keresztül, amíg használjuk.

Ha mi állítjuk be a VPN szervert, nagyobb az esélye, hogy nem lesz lekövethető az adatok mozgása. Ennek a megoldásnak az a hátránya, hogy személyazonosságunk összefüggésbe hozható az IP címünkkel. Egy kereskedelmi VPN szolgáltatás általában azt jelenti, hogy ugyanazt az IP címet több felhasználó különböző átjáró kimenettel használja.

Akkor kezdjünk is neki a beállításnak

Ha már van Aruba Cloud fiókja, akkor ugorjon a következő részhez. Ha még nincs, kérjük, hozzon létre egyet és használja fel a kapott utalvány kódot. Ehhez az utalványkérő oldalon ki kell töltenie egy űrlapot, hogy megkapja a 3000 Ft értékű utalványt. Az utalványt kollégáink kézzel küldik ki, ezért ez a folyamat eltarthat néhány óráig. Az utalvány kódot SMS-ben kapja meg, és ez után már tudja is aktiválni. A következő lépéseken kell végigmennie – először a regisztrációs űrlapnál meg kell adni adatit.



A kitöltést követően a megadott e-mail címre kiküldi a rendszer a véletlenszerűen generált felhasználónevet és jelszót (amit célszerű megváltoztatni). A jelszó módosításhoz be kell lépnie az ügyféloldalára.




Itt kattintson a „Következő” gombra.



Itt pedig meg tudja adni a kapott utalvány kódot.



Majd adjuk meg adatainkat.




Fogadjuk el a szerződési feltételeket.



Ha beváltja az utalványát, akkor a végösszegnél 3000 Ft-ot fog látni, amit felhasználhat. Ezután e-mailben fogja megkapni a felhasználónevet és jelszót az Aruba Cloud fiókjához.



Ha beváltja az utalványát, akkor a végösszegnél 3000 Ft-ot fog látni, amit felhasználhat. Ezután e-mailben fogja megkapni a felhasználónevet és jelszót az Aruba Cloud fiókjához.



Kattintson a Cloud Computing részre.



Válassza ki a régiót ahol szeretné elhelyezni szerverét (Csehországot javasoljuk). Ezután a Kezelés gombra kell kattintani, majd a +Cloud Server részre.



Ezután kell elnevezni az új szervert, ki kell választani az operációs rendszert, és meg kell adni a root jelszót (ajánlott a bonyolult jelszó megadása).



Ezt követően kattintson a Cloud Szerver Létrehozás gombra, és várjon néhány másodpercet a folyamat befejezéséig.  Mikor elkészült a szerver, a képernyőn megjelenik az IP cím – ez hasznos lesz nekünk a következő lépésben.

Szerver konfiguráció

A szerverhez SSH –n keresztül csatlakozunk (pl: a PuTTy ügyfélprogrammal). A szervernek kiosztott IP címet a Control Panelen találjuk, root –ként jelentkezünk be, a jelszó pedig a szerver létrehozásakor korábban megadott lesz. Első alkalommal, amikor bejelentkezünk, jóvá kell hagynunk a szerver SSH kulcsát. Inkább ne cseréljük le, kattintsunk az OK gombra.

A példa szerinti konfiguráció használatát ajánljuk: törölje a naplózást, a felhasználónevet és a jelszót és az ideiglenes bejelentkezési kulcsot. Nem szükséges a VPN megfelelő működéshez, azonban megnöveli a szerver biztonságát.

Kezdjük az OpenVPN telepítésével és az eszközökkel, hogy betudjuk állítani a kulcsokat és a szükséges tanúsítványokat:

yum install openvpn easy-rsa -y

Ezután be kell másolni a példa konfigurációt a VPN könyvtárába:

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn

Most szerkesztenünk kell, nyissuk meg az egyik szövegszerkesztőt. A Midnight Commandert fogjuk használni:

yum install mc

Erősítse meg a Y -nal, és futassa a programot:

mc

Ezután az egyik ablakban navigáljunk az /etc/openvpn könyvtárba a server.conf fájlhoz




Mikor odaérünk, nyomja meg az F4 billentyűt.

A 32. sorban változtassuk meg a port számát. Nem kötelező, de ha valaki megtámadja az OpenVpn-t, akkor nem fogja megtalálni a szolgáltatást. Az 1194 helyett lehet például 11194 (az értéknek nagyobbnak kell lennie, mint 1024, hogy engedélyezze a futatást a szerveren root jogosultság nélkül)

A 192. sorban vegyük ki a pontos vesszőt, hogy így nézzen ki:

push "redirect-gateway def1 bypass-dhcp"

Ezzel a lépéssel minden forgalom a szerveren keresztül továbbítva lesz.

A 200 és 201 sorokban vegyük ki a pontosvesszőt, és állítsuk be a DNS szervereket (elhagyhatjuk a bejegyzéseket ha OpenDNS -t szeretnénk, át lehet térni a Google 8.8.8.8 és 8.8.4.4 DNS-eire) A soroknak így kellene kinézniük például:

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

A 234 és 235-ös sorban vegyük ki a pontos vesszőt, hogy az OpenVPN alacsonyabb jogosultsággal dolgozzon (csökkentve a súlyosabb hibák valószínűségét). A soroknak így kellene kinézniük:

user nobody

group nobody

A 249. sorban is vegyük ki a pontos vesszőt, hogy naplózza ami a szolgáltatással történik. A sornak így kellene kinéznie:

log-append openvpn.log

Ez az utolsó módosítás. Ezután F2-vel mentjük a fájlt, F10-el bezárjuk, és ha megnyomjuk az F10-et újra, akkor kilépünk a Midnight Comanderből.

 

Kulcsok és tanúsítványok generálása

Ideje létrehoznunk a kulcsokat és tanúsítványokat.

Készítsünk egy könyvtárat, ahol el lesznek tárolva a műveletek eredménye:

mkdir -p /etc/openvpn/easy-rsa/keys

Másolja be a megfelelő szkriptet:

cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa

Konfigurálja az OpenVPN programot. Futtassuk a Midnight Commandert:

mc

Láthatunk egy  /etc/openvpn/easy-rsa/vars mappát és a 72. sorban cseréljük az „EasyRSA” részt „server”-re. A sornak így kellene kinéznie:

export KEY_NAME="server"

Mentse el a fájlt és zárja be az MC-t.

Másolja be ezt az OpenSSL konfigurálásához:

cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf

és menjünk a kulcs generálása részhez. Lépjünk ba a könyvtárba, és állítsuk be a változókat:

cd /etc/openvpn/easy-rsa

source ./vars

Ha valamit rosszul ír, a következő paranccsal tudja törölni:

./clean-all

Létrehozzuk a CA-t:

./build-ca

Minden kérdésnél az Enter billentyűt nyomja meg (8-szor).

Elkészítjük a kulcsokat és tanúsítványokat a szerveren:

./build-key-server server

Ezután 10-szer kell lenyomnia az Enter billentyűt és kétszer az Y-t.

Hozzon létre egy fájlt a kulcs cseréjéhez (Diffiego-Hellmana - ez eltarthat egy darabig):

./build-dh

Másolja a cél könyvtárba:

cd /etc/openvpn/easy-rsa/keys

cp dh2048.pem ca.crt server.crt server.key /etc/openvpn

Szerver kész. Most létrehozhat kulcsokat:

cd /etc/openvpn/easy-rsa

./build-key client

Nyomja le újra 10-szer az Enter billentyűt és kétszer azY-t.

Hozzon létre egy könyvtárat a home mappában, és másolja át a kulcsokat:

mkdir /root/keys

cd /etc/openvpn/easy-rsa/keys

cp ca.crt client.crt client.key /root/keys/

 

Szolgáltatások indítása

A kulcsokat a szerveren engedélyeznünk kell a konfiguráció mentéséhez

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables-save > /etc/sysconfig/iptables

Az /etc/sysctl.conf fájlban hozzáadjuk a következő sort:

net.ipv4.ip_forward = 1

Emlékszik, hogyan módosítsuk a fájlt, ugye?

A hálózati szolgáltatás újraindítása maradt még:

systemctl restart network.service

Kapcsolja be az OpenVPN automatikus indítását:

systemctl -f enable openvpn@server.service
 
és futassuk:
 
systemctl start openvpn@server.service

Az OpenVPN szerver már működik.  Javasoljuk a következő műveletet elvégzését, ami lehetővé teszi számunkra a szoftver frissítését, ha nem látogatjuk rendszeresen a szervert.

A yum-cron csomag telepítése:

yum install yum-cron

A /etc/yum/yum-cron.conf fájl tartalma változik a 8. sorban:

update_cmd = default

erre

update_cmd = security
 

a 19. sorban:

 
apply_updates = no

erre

apply_updates = yes

Ez automatikusan telepíti a fontos frissítéseket. Indítsuk el a szolgáltatást:

service yum-cron start

És mehetünk tovább a kliens oldali konfigurációhoz.

Windows kliens konfigurálása

Telepítse az OpenVPN megfelelő verzióját. Ez után létre kell hozni egy konfigurációs fájlt. Szükségünk lesz néhány fájlra a szerverről. Egy FTP klienssel (például Filezilla) töltse fel a fájlokat ca.crt, client.crt és client.key a /keys könyvtárból (használjunk SFTP, FTP vagy SSH protokollt) és mentse el azokat a helyi mappába. Szövegszerkesztővel hozzon létre egy konfigurációs fájlt. A következőképp kellene kinéznie:

client
port 11194
remote 89.40.117.189
comp-lzo yes
dev tun
proto udp
nobind
auth-nocache
persist-key
persist-tun
verb 2
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
[tutaj treść certyfikatu z pliku ca.crt]
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
[tutaj treść certyfikatu z pliku client.crt (znajduje się pod koniec pliku)]
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
[tutaj treść klucza prywatnego z pliku client.key]
-----END PRIVATE KEY-----
</key>

A fájl kiterjesztésnek körülbelül így kell kinéznie: vpn.ovpn, és mentse le ide: C:\Program Files\OpenVPN\config (ha ez volt a program alapértelmezett telepítési helye). Most csak futtatni kell az OpenVPN GUI alkalmazást, kapcsolódjon és mikor megjelenik az „inicializálás kész” üzenet, ellenőrizze az IP címet. Kész is vagyunk. Gratulálunk!

Andorid kliens konfigurálása

A VPN a telefonon egy igazi megváltás – emelje fel a kezét, aki soha nem csatakozott  megbízhatatlan hálózathoz. A konfigurációs fájl már készen van, így a telepítés nem bonyolult.  Kezdjük az OpenVPN Connect program installálásával, ezután válassza ki a menüben a profil importálását és az SD kártyáról az importálást. Így már csak az marad, hogy feltegyük a telefonunkra az vpn.ovpn fájlt (pl. küldje el magának és egy mappában tárolja) és importáljuk a programban és élvezzük a biztonságos  internetet.

Várjuk visszajelzését a cikkel kapcsolatban. Ha bármiben tudunk segíteni, látogasson el honlapunkra, vagy kérje ügyfélszolgálatunk segítségét.
További információkat tudásbázisunkban talál.