2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как создать публичный VPN-сервер на Windows 10 бесплатно

Содержание

Как создать публичный VPN-сервер на Windows 10 бесплатно

VPN или виртуальная частная сеть используется для доступа к определенной сети из другой сети. Другими словами, его также можно назвать мини-интернетом. Это может быть использовано двумя способами. Либо это может позволить вам получить доступ к закрытому серверу, что означает, что вы не получите доступ к Интернету; или же вы можете использовать его для доступа к набору ресурсов и в то же время получить доступ к Интернету. Вы получаете точку! Но что, если вы хотите получить доступ к своим ресурсам дома, пока вас нет? Что делать, если вы хотите использовать частный сервер в вашем офисе или дома, пока вас нет? Это приносит вызов для VPN-сервера для себя.

Сегодня мы собираемся научиться делать то же самое.

  1. Как создать публичный VPN-сервер на Windows 10
  2. Найдите свой IP-адрес
  3. Настройте переадресацию портов на вашем роутере
  4. Настройте VPN-сервер в Windows 10
  5. Разрешить VPN-соединения через брандмауэр
  6. Настройка VPN-подключения в Windows 10

4.2. Создайте свое собственное облако

Вы хотите создать и предоставлять свой собственный облачный сервис, который сможет превзойти Amazon EC2 или Windows Azure? SoftEther VPN поможет вам построить сеть между виртуальными машинами, объединив сеть с виртуальными машинами в вашем облаке, которые арендовал ваш клиент, с сетью виртуальных машин в компании вашего клиента.

Выход за рамки Amazon EC2 и Windows Azure
Если вы планируете создать новый инновационный облачный сервис, способный обойти Amazon EC2 или Windows Azure, вы должны обеспечить гибкую VPN функцию для виртуальных машин. Amazon EC2 или Windows Azure недавно запустили VPN-сервисы на основе IPsec. Если вы предоставляете возможность организовать более сложные VPN при продаже своих новых облачных сервисов, ваши потенциальные клиенты будут более заинтересованы вашими услугами.
SoftEther VPN является подходящим инструментом для создания как вашей собственной общедоступной облачной службы, так и вашей частной облачной службы. Как описано в разделе «VPN для облака», вы можете использовать гибкость и возможности SoftEther VPN для объединения локальных компьютеров пользователя и облачных виртуальных машин. В отличие от устаревших VPN на основе IPsec, SoftEther VPN обладает такими преимуществами, как легкая настройка и простая архитектура на основе второго уровня сети. SoftEther VPN может расширить сеть Ethernet от локальной сети до облачной сети. Используйте SoftEther VPN для создания сетевого стека вашего нового инновационного облачного сервиса, который может превзойти Amazon EC2 и Windows Azure.

Настройка OpenVPN сервера на Mikrotik

Подключимся к Mikrotik с помощью программы Winbox.
Загрузим 3 файла: ca.crt, server.crt, server.key
Для этого в меню нажмём Files и перетащим их из папки C:Program filesOpenVPNeasy-rsakeys

13) Далее необходимо их импортировать.
Откроем System – Certificates — Import и поочерёдно выберем сертификаты в этом порядке:
ca.crt
server.crt
server.key

После импорта появятся две записи:

14) Создадим пул адресов для VPN клиентов:

IP — Pool — add (+)
Введём название openvpn-pool
Диапазон 172.30.0.2-172.30.0.253

15) Создадим PPP профиль.

PPP — Profiles — add (+)
Введём название openvpn
Локальный адрес 172.30.0.1
Созданный Пул openvpn-pool
Остальные настройки оставляем по умолчанию.
Нажимаем ОК.

16) Создадим непосредственно сам OpenVPN сервер
PPP — Interface — OVPN Server
Включаем Enable
Указываем порт 1194
Выбираем наш профиль openvpn
Поставим галочку Require Client Certificate
Выберем наш сертификат server.crt

17) Создадим пользователя для подключения.
PPP — Secrets — add (+)
Введём имя пользователя и пароль ovpn_user1
Выбираем Сервис ovpn и профиль openvpn

Создадим 2 пользователя:

ovpn_user1 для клиента на компьютере

ovpn_mikrotik1 для клиента на Mikrotik

Рекомендуется для каждого VPN клиента создавать отдельное уникальное имя пользователя.
В дальнейшем это упростит работу и позволит отслеживать всех подключенных VPN клиентов.

18) Настроим фаервол
IP — Firewall — add(+)
Во вкладке General указываем:
Chain — input
Protocol — tcp
Порт 1194
Интерфейс — ether1 (Если интернет идёт через него)
Вкладка Action:
Action — accept
Затем ОК

Сервер настроен, теперь приступим к настройке VPN клиентов.

Настройка OpenVPN

Перейдите в web-интерфейс Webmin по адресу https://ip_адрес_сервера:10000

При первом обращении вы увидите предупреждение о небезопасном подключении. Для продолжения работы откройте дополнительные сведения (кнопки «Дополнительно», «Advanced» и т.д.) и далее, в зависимости от используемого браузера, вы сможете либо сразу перейти к Webmin, либо подтвердить исключение безопасности.

В форме авторизации укажите данные для доступа к вашему серверу, отправленные в письме об установке ОС (имя пользователя root и пароль).

Установка плагина OpenVPNadmin

Перейдите по данной ссылке и скачайте архив на свой компьютер:

В интерфейсе Webmin перейдите в раздел Webmin -> Webmin Configuration -> Webmin Modules.

Выберите From uploaded file, кликните на значок скрепки и укажите скачанный файл, после чего нажмите Install module:

После успешной установки появится следующее сообщение, и вы сможете перейти по указанной в нем ссылке OpenVPN+CA.

Сам модуль будет располагаться в разделе Servers -> OpenVPN + CA.

Настройка плагина

Нажмите на шестеренку, чтобы внести изменения в настройки модуля.

Внесите изменения в параметры Command to start OpenVPN (*) и Command to stop OpenVPN (*):

  • /etc/init.d/openvpn start
  • /etc/init.d/openvpn stop

Настройка центра сертификации

Центр сертификации (Certification Authority или CA) необходим для выпуска сертификатов, как для сервера, так и для клиентов.

Перейдите в Certification Authority List:

1. Создайте центр сертификации:

  • Укажите произвольное имя в поле Name of Certification Authority.
  • Остальные поля можно оставить со значениями по умолчанию или внести изменения (например, как на скриншоте).

Начнется процесс создания CA, это может занять некоторое время. После завершения процесса нажмите Return to OpenVPN Administration.

2. Создайте сертификат для сервера:

  • Перейдите в раздел Certification Authority List и выберите Keys list напротив созданного центра.

  • Измените имя в графе Key name на произвольное.
  • В пункте Key Server выберите server.

После завершения процесса нажмите Return to Keys list of Certification Authority List, и далее — Return to OpenVPN Administration.

Создание сервера

Перейдите в раздел VPN List и нажмите New VPN server.

Здесь представлено большое количество настроек, при помощи которых можно настроить OpenVPN под свои задачи. Подробности можно найти в официальной документации OpenVPN и других источниках в сети интернет.

Для решения нашей задачи настройте следующие параметры:

  • Net IP assigns (option server) — здесь необходимо задать пул IP для сети VPN и маску сети. В нашем случае это IP 10.8.0.0 и маска 255.255.255.0. Это значит, что клиентам, которые будут подключены в сеть VPN, будут выдаваться IP вида 10.8.0.2. Обратите внимание, что диапазон сети VPN не может совпадать с диапазоном локальной сети, к которой нужно получить доступ (в нашем случае это сеть 192.168.1.0).
  • Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router (option client-to-client) — директива, включающая возможность передачи данных между клиентами сервера. Укажите yes.
  • Group — укажите nobody.

Additional Configurations — здесь можно задать различные дополнительные правила. В нашем случае здесь нужно ввести значения, которые помогут получить доступ к внутренней сети, находящейся за некоторыми клиентами. Формат:

push «route IP mask» — директива push позволяет направлять клиентам определенный параметр, в данном случае это маршрут к внутренней сети офиса;

route IP mask — осуществлять маршрутизацию из/к сети офиса

В качестве IP и mask необходимо ввести данные о локальных сетях компании, в которые необходимо получить доступ. В нашем случае это сеть 192.168.1.0

Обратите внимание! На серверах, где будет запущен клиент VPN для пропуска во внутреннюю сеть (см. схему Client1), файрвол должен быть настроен для пропуска пакетов через VPN. Также желательно, чтобы сервер (Сlient1) являлся gateway локальной сети. Если это не так, директиву route следует прописать в формате route ip mask ip_vpn , например: route 192.168.1.0 255.255.255.0 10.8.0.2. В этом случае для клиента потребуется использовать директиву ifconfig-push (подробнее ниже).

Если в дальнейшем потребуется внести дополнительные изменения, это можно будет сделать в разделе VPN List по клику на имя сервера:

Создание клиента

Вернитесь в главное меню модуля кнопкой Return to OpenVPN Administration.

  • Перейдите в раздел Certification Authority List и выберите Keys list напротив созданного центра.
  • Измените имя в графе Key name на произвольное.
  • В пункте Key Server выберите client.

После завершения процесса нажмите Return to Keys list of Certification Authority List. При необходимости можно сразу создать еще несколько сертификатов для клиентов.

Когда все сертификаты созданы, нажмите Return to OpenVPN Administration.

Вернитесь в раздел VPN List и нажмите Client List напротив имени сервера:

Нажмите New VPN Client:

Здесь важно обратить внимание на несколько параметров:

  • Name — здесь можно выбрать из списка необходимое имя из тех, для кого создан сертификат;
  • remote (Remote IP) — указать внешний адрес вашего сервера (адрес, который указан в ПУ).

В разделе ccd file content необходимо прописать настройки для клиента, который будет запущен для допуска в локальную сеть. Формат:

    iroute ip mask — используется только для клиентов-серверов (Client1 на нашей схеме); необходимо указать те же значения, что при настройке route для сервера. В нашем случае это: iroute 192.168.1.0 255.255.255.0
Читать еще:  Как открыть вордовский документ на Андроид

ifconfig-push ip_vpn mask — (опционально) данной директивой можно задать статический IP для клиента VPN. Например, чтобы IP для Client1 IP всегда был 10.8.0.2 , директива будет выглядеть следующим образом: ifconfig-push 10.8.0.2 255.255.255.0

push «route ip mask» — данной директивой мы сообщаем этот маршрут для клиентов (таких, как Client3 на нашей схеме). В качестве ip нужно прописать тот же ip, что при настройке route для сервера.

Скачать созданную конфигурацию для клиента можно в разделе VPN Client List по кнопке Export:

Полученный файл конфигурации необходимо доставить на клиентское устройство (компьютер или смартфон). Для передачи конфигураций лучше использовать защищенные соединения, например, SFTP.

Запуск сервера

Вернитесь в раздел VPN List при помощи кнопки Return VPN List.

Запустите сервер по кнопке Start.

После нажмите Return to OpenVPN Administration.

На главной странице будет видно, что север запущен. При необходимости его можно остановить кнопкой Stop OpenVPN.

Настройка OpenVPN-сервера на Windows Server 2008/2012

Это пошаговое руководство о том, как настроить OpenVPN-сервер в операционных системах Windows Server 2008/2012 и подключить клиентов к созданной виртуальной частной сети.

OpenVPN — открытая реализация технологии VPN — Virtual Private Network, которая предназначена для создания виртуальных частных сетей между группой территориально удаленных узлов поверх открытого канала передачи данных (интернет). OpenVPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия интернет-доступа к нему, как будто вы подключаетесь к хосту в своей локальной сети. Безопасность соединения достигается шифрованием OpenSSL.

Содержание:

Виртуальный сервер на базе Windows

  • Лицензия включена в стоимость
  • Тестирование 3-5 дней
  • Безлимитный трафик
  • Как это работает?
  • Установка OpenVPN на сервер
  • Генерация ключей (PKI) центра сертификации, сервера, клиента; алгоритм Диффи-Хеллмана
  • Конфигурация сервера OpenVPN
  • Конфигурация клиента OpenVPN
  • Проверка правил Брандмауэра Windows
  • Проверка OpenVPN-соединения

Как это работает?

По окончанию настройки OpenVPN сервер сможет принимать внешние защищенные SSL сетевые подключения к созданному при запуске VPN-сервиса виртуальному сетевому адаптеру (tun/tap), не затрагивая правила обработки трафика других интерфейсов (внешний интернет-адаптер и др.) Имеется возможность настроить общий доступ клиентов OpenVPN к конкретному сетевому адаптеру из присутствующих на сервере. Во второй части инструкции рассмотрено такое туннелирование интернет-трафика пользователей. При этом способе переадресации обрабатывающий VPN-подключения хост будет выполнять и функцию прокси-сервера (Proxy) — унифицировать правила сетевой активности пользователей и осуществлять маршрутизацию клиентского интернет-трафика от своего имени.

Установка OpenVPN на сервер

Скачайте и установите актуальную версию OpenVPN, соответствующую вашей операционной системе. Запустите установщик, убедитесь что на третьем шаге мастера установки выбраны все компоненты для установки.

Обратите внимание, что в этой инструкции дальнейшие команды приведены из расчета, что OpenVPN установлен в директорию по-умолчанию «C:Program FilesOpenVPN».

Разрешаем добавление виртуального сетевого адаптера TAP в ответ на соответствующий запрос и дожидаемся завершения установки (может занять несколько минут).

Генерация ключей (PKI) центра сертификации, сервера, клиента; алгоритм Диффи-Хеллмана

Для управления парами «ключ/сертификат» всех узлов создаваемой частной сети используется утилита easy-rsa, работающая через командную строку по аналогии с консолью Linux. Для работы с ней откройте запустите командую строку (Сочетание клавиш Win+R, затем наберите cmd и нажмите Enter)

Файлы конфигурации

Скачайте наши файлы конфигурации и скрипты и замените их в каталоге C:Program FilesOpenVPNeasy-rsa.

Если пути по умолчанию не совпадают, откорректируйте их во всех файлах.

В файле конфигурации openssl-1.0.0.conf обязательно задайте значения переменным, соответствующие вашим данным: countryName_default
stateOrProvinceName_default
localityName_default
0.organizationName_default
emailAddress_default

Примечание: если значение переменной содержит пробел, то заключите ее в кавычки.

Генерация ключей Центра Сертификации и Сервера

    Переименуйте файл index.txt.start в index.txt, serial.start в serial с помощью следующих команд: cd
    cd «C:Program FilesOpenVPNeasy-rsa»
    ren index.txt.start index.txt
    ren serial.start serial

Перейдем к созданию ключа/сертификата центра сертификации. Запустите скрипт: .build-ca.bat

В ответ на появляющиеся запросы вы можете просто нажимать Enter. Единственное исключение — поле KEY_CN (Common Name) — обязательно укажите уникальное имя и такое же имя вставьте в поле name.

Аналогичным образом генерируем сертификат сервера. Здесь значение полей Common Name и Name — SERVER: .build-key-server.bat server

Примечание: аргумент server — имя будущего файла.

Для всех генерируемых ключей теперь будет задаваться вопрос о том, подписать ли создаваемый сертификат (Sign the certificate) от имени центра сертификации. Отвечаем y (yes).

Для каждого клиента VPN необходимо сгенерировать отдельный SSL-сертификат.

В конфигурации OpenVPN присутствует опция, включив которую вы можете использовать один сертификат для нескольких клиентов (см. файл server.ovpn -> опция «dublicate-cn»), но это не рекомендуется с точки зрения безопасности. Сертификаты можно генерировать и в дальнейшем, по мере подключения новых клиентов. Поэтому сейчас создадим только один для клиента client1:

Выполните следующие команды для генерации клиентских ключей: cd
cd «C:Program FilesOpenVPNeasy-rsa»
.build-key.bat client1

Примечание: аргумент client1 — имя будущего файла.

В поле Common Name указываем имя клиента (в нашем случае client1).

Параметры Diffie Hellman

Для завершения настройки шифрования, необходимо запустить скрипт генерации параметров Диффи-Хеллмана: .build-dh.bat

Отображение информации о создании параметров выглядит так:

Перенос созданных ключей/сертификатов

Сгенерированные сертификаты находятся в директории C:Program FilesOpenVPNeasy-rsakeys. Скопируйте перечисленные ниже файлы в каталог C:Program FilesOpenVPNconfig:

  • ca.crt
  • dh2048.pem/dh1048.pem
  • server.crt
  • server.key

Конфигурация сервера OpenVPN

В дереве найдите каталог HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters. В правой части окна найдите переменную IPEnableRouter, двойным щелчком мыши перейдите в окно редактирования значения и измените его на 1, тем самым разрешив адресацию на VPS.

    Перейдем к настройке непосредственно VPN-сервера, используйте наш файл конфигурации с именем server.ovpn и поместите его в директорию C:Program FilesOpenVPNconfig.

Откройте файл, находим пути до ключей (см. ниже). Проверяем в нем пути до скопированных ранее сертификатов ca.crt, dh1024.pem/dh2048.pem, server.key, server.crt и при необходимости меняем: port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
ca «C:\Program Files\OpenVPN\config\ca.crt»
cert «C:\Program Files\OpenVPN\config\server.crt»
key «C:\Program Files\OpenVPN\config\server.key»
dh «C:\Program Files\OpenVPN\config\dh2048.pem»
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Теперь необходимо разрешить пересылку трафика между адаптерами. Выполните следующие шаги: Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера. Выберете адаптер который смотрит во внешнюю сеть Интернет (TAP-адаптер отвечает за VPN соединение). В нашем примере это Ethernet 2.

С помощью двойного щелчка мыши откройте Свойства адаптера и перейдите во вкладку Доступ, отметьте галочкой все пункты. Сохраните изменения.

Далее нужно включить IP-адресацию.

С помощью поиска Windows найдите приложение REGEDIT.exe.

Автозапуск OpenVPN

Сразу настроим службу OpenVPN на автозапуск при старте системы. Открываем «Службы»(Services) Windows. Находим в списке OpenVPN -> ПКМ -> Свойства (Properties) -> Запуск: Автоматически

На этом базовая настройка сервера виртуальной частной сети завершена. Найдите файл C:Program FilesOpenVPNconfigserver.ovpn -> кликните правой кнопкой мыши -> «Start OpenVPN on this config» для запуска сервера виртуальной частной сети и подготовленного нами файла настроек.

Конфигурация клиента OpenVPN

Клиентские приложения OpenVPN доступны для всех популярных ОС: Windows / Linux / iOS / Android. Для MacOS используется клиент Tunnelblick. Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые различия нескольких опций. Узнать о них вы можете, изучив документацию к своему клиенту OpenVPN. В этом руководстве мы рассмотрим подключение Windows-клиента с использованием того же дистрибутива программы, который мы устанавливали на сервер. При использовании приложений для других операционных систем логика настройки аналогична.

  1. Устанавливаем актуальную версию OpenVPN на клиентский компьютер.
  2. Копируем в директорию C:Program FilesOpenVPNconfig созданные ранее на сервере файлы клиентских сертификатов (2 сертификата с расширением .crt и ключ с расширением .key) и используем наш файл конфигурации клиента client.ovpn. Последний файл после копирования на устройство пользователя удаляем с сервера или переносим из папки config во избежание путаницы в будущем.
  3. Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
    remote 1194

Например: remote 111.222.88.99 1194

  • Находим пути до сертификатов. Указываем в нем пути до скопированных ранее сертификатов ca.crt, client1.key, client1.crt как в примере ниже:
    # See the server config file for more
    # description. It’s best to use
    # a separate .crt/.key file pair
    # for each client. A single ca
    # file can be used for all clients.
    ca «C:\Program Files\OpenVPN\config\ca.crt»
    cert «C:\Program Files\OpenVPN\config\client1.crt»
    key «C:\Program Files\OpenVPN\config\client1.key»
    # This file should be kept secret
  • Сохраните файл. Настройка клиентской части завершена.
  • Проверка правил Брандмауэра Windows

    Внимание! Для корректной работы сервиса OpenVPN требуется, чтобы на севере были открыты соответствующие порты (по-умолчанию UDP 1194). Проверьте соответствующее правило в вашем Firewall’е: Брандмауэре Windows или стороннем антивирусном ПО.

    Проверка OpenVPN-соединения

    Запустите OpenVPN сервер, для этого перейдите в директорию C:Program FilesOpenVPNconfig и выберите файл конфигурации сервера (у нас server.ovpn -> ПКМ -> «Start OpenVPN on this config file»).

    Запустите клиент, для этого перейдите в директорию C:Program FilesOpenVPNconfig и выберите файл конфигурации клиента (у нас client.ovpn -> ПКМ -> «Start OpenVPN on this config file»).

    На экране отобразится окно статуса подключения. Через несколько секунд оно будет свернуто в трей. Зеленый индикатор ярлыка OpenVPN в области уведомлений говорит об успешном подключении.

    Проверим доступность с клиентского устройства сервера OpenVPN по его внутреннему адресу частной сети:

    1. Нажимаем клавиши Win+R и появившемся окне вводим cmd для открытия командной строки.
    2. Выполняем команду ping до адреса нашего сервера в виртуальной частной сети (10.8.0.1): ping 10.8.0.1
    3. В случае корректной настройки VPN начнется обмен пакетами с сервером

    С помощью утилиты tracert проверим по какому маршруту идут пакеты от клиента. В консоли введите следующую команду: tracert ya.ru
    Из результата работы утилиты мы видим, что сначала пакеты отправляются на сервер VPN, а уже потом во внешнюю сеть.

    Теперь вы имеете готовую к работе виртуальную частную сеть, позволяющую осуществлять безопасные сетевые подключения между ее клиентами и сервером, используя открытые и территориально удаленные точки подключения к сети интернет.

    Настройка VPN сервера на Windows 7

    В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта

    Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.

    Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.

    Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:

    • Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
    • Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
    • VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
    • Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
    • Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)

    Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.

    Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.

    Затем зажмите кнопку Alt, щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.

    В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.

    Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.

    Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.

    Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).

    После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.

    Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.

    Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.

    Настройка межсетевых экранов

    Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.

    Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723

    Проброс портов

    Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).

    Настройка VPN подключения

    Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение

    Для этого для нового VPN соединения задайте следующие параметры:

    • Щелкните правой кнопкой по VPN подключению и выберите Properties.
    • На вкладке Security в поле TypeofVPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines).
    • Нажмите OK , чтобы сохранить настройки

    Что такое VPN от Ростелекома

    Сервер VPN от Ростелекома не потребует приобретения специального оборудование и его обслуживания. Это значительно снижает затраты корпоративных клиентов, так как необходимость вложения средств в техническую составляющую отсутствует и, следовательно, нанимать IT-специалиста для поддержки корректной работы сервера не нужно.

    Как же работает VPN сервер от Ростелекома? Все оборудование, которая нужно для работы сервиса, находится на стороне провайдера. Оператор обеспечивает круглосуточный мониторинг серверов, исключая возможные падения системы.

    Подключение вашей компании к VPN серверу от Ростелекома не займет много времени, так как все оборудование уже собрано и готово к работе и к нему нужно лишь правильно подключить компьютеры рабочей группы.

    Узнайте, как правильно подключить PLC адаптер для использования в сети Ростелекома.

    Прочитайте здесь о возможных решениях проблемы, связанных с зависанием телевизионной приставки.

    VPN позволяет обмениваться информацией (в любом формате – медиа или текст) между пользователями, сохраняя полную конфиденциальность данных. Такая сеть скрыта от интернета. Благодаря технологиям виртуальной сети компании могут иметь доступ к своим базам данных и работать с ними совместно из любой точки планеты. Контролировать инфраструктуры теперь становиться проще.

    Стоимость услуги VPN сервера

    Услуги Ростелекома по предоставлению VPN серверов поддерживают широкий диапазон возможностей и могут быть использованы в разных сферах работы. Стоимость серверов зависит от масштабов предприятий, желаемой скорости передачи данных, а также дополнительных возможностей, которые нужно внедрить в сеть. Так как все VPN оборудование находится на стороне провайдера, тарифы Ростелекома зависят от используемых мощностей удаленного сервера.

    Провайдер предоставляет множество возможностей, которые не ограничиваются лишь передачей данных между компьютерами сотрудников компании, но и включают в себя способы расширения диапазона для приема звонков от ваших клиентов из любой точки мира посредствам IP телефонии.

    Как настроить VPN сервер

    VPN сервер от Ростелекома потребует детальной настройки виртуальной сети, которую вы можете выполнить как сами, так и предоставить ее специалистам провайдера. Все действия по отладке сети зависят от ваших потребностей. Настройка параметров выполняется на удаленном сервере, который может работать на основе операционных систем Linux (Ubuntu или других серверных сборок) или Windows.

    В самой операционной системе создается сеть, в которой задается начальный адрес VPN сервера, а также устанавливается дополнительное программное обеспечение.

    Когда настройки серверной части будут завершены, понадобится выполнить подключение всех компьютеров рабочей группы к только что созданной сети. Способы подключения к сети зависит от используемой операционной системы (Windows, Linux, MacOS).

    10.4 Настройка OpenVPN

    OpenVPN используется для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. OpenVPN позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном через один сетевой порт UDP или TCP.

    1. Предварительная подготовка сервера

    1.1 Переводим selinux в режим уведомлений

    В файле замените текст SELINUX=enforcing на SELINUX=permissive
    Выполните:

    Более подробно см.ссылку

    1.2 Настройка Firewalld

    Если Firewalld активен, то следует открыть порт для OpenVPN. По умолчанию OpenVPN работает на 1194 порту.

    1.3 Установка OpenVPN и Easy-RSA
    Выполните команду:

    1.4 Создание файла vars
    Создадим файл vars, который будет использоваться как шаблон, чтобы упростить и ускорить процесс создания ключей. В нем указаны параметры для создаваемых ключей.
    Перейдите в каталог cd /usr/share/easy-rsa/3
    Создайте файл с именем vars , ниже приведен пример содержимого файла:

    Данную информацию потом можно увидеть в свойствах сертификата ca.crt
    Описание параметров:
    KEY_COUNTRY — двух буквенная аббревиатура страны проживания;
    KEY_PROVINCE — штат/область/регион;
    KEY_CITY — город;
    KEY_ORG — название вашей организации;
    KEY_EMAIL — электронная почта, которая будет привязана к сертификату;
    KEY_OU — Organizational Unit – название команды и отдела, для которого предназначен сертификат;
    KEY_CN — название сервера;
    KEY_NAME — адрес, по которому будет выполняться подключение (можно указать полное наименование сервера);
    KEY_ALTNAMES — альтернативный адрес;

    Значения данных полей используются при создании самоподписанного сертификата и никак в дальнейшем не повлияют на работу OpenVPN, однако, для удобства, лучше подставить реальные данные.

    Для создания защищенного соединения между клиентами и сервером минимальный набор ключей и сертификатов будет состоять из следующего списка:

    Сертификат УЦ (CA);
    Сертификат сервера;
    Закрытый ключ сервера;
    Ключевая последовательность Диффи-Хеллмана;
    Закрытый ключ УЦ;
    Сертификат клиента;
    Закрытый ключ клиента.

    2 Генерация ключей и сертификатов

    2.1 Инициализируем PKI (инфраструктура публичных ключей)
    Перейдите в каталог cd /usr/share/easy-rsa/3 и выполните в нем команду:


    в текущем каталоге появится каталог pki.

    2.2 Создание удостоверяющего центра CA
    Генерируем корневой сертификат (CA), им должны быть подписаны все сертификаты используемые OpepVPN сервером.
    Выполните команду:

    На запрос «Enter New CA Key Passphrase» задайте пароль.
    На запрос «Re-Enter New CA Key Passphrase» повторите пароль.
    Этот пароль защищает приватный ключ удостоверяющего центра. Также пароль потребуется каждый раз, когда нужно будет подписывать в удостоверяющем центре сертификаты для серверов и клиентов OpenVPN. На запрос ввести «Common Name» можно просто нажать Enter .
    Кроме этого имеется возможно сформировать CA и без ключа:

    но это менее безопасно.
    В результате выполнения команд будут созданы два ключа в каталоге pki:

    ca.key — приватный(секретный) ключ центра CA, остается на сервере и никому не передается.
    ca.crt — открытый файл сертификата УЦ, он вместе с пользовательскими сертификатами передается клиентам.

    2.3 Создание ключа Диффи-Хеллмана
    Файл Диффи-Хелмана используется для безопасного получения общего секретного ключа в незащищенных каналах связи, применяется для обеспечения защиты трафика от расшифровки между клиентом и сервером.

    при этом будет создан файл /usr/share/easy-rsa/3/pki/dh.pem

    2.4 Создание сертификата сервера
    Для создания сертификата сервера необходимо сначала создать файл запроса.
    Файл запроса для сервера создадим без пароля с помощью опции nopass, иначе придется вводить пароль с консоли при каждом запуске сервера.
    Находясь в каталоге cd /usr/share/easy-rsa/3/ выполните команду:

    на запрос ввода Common Name нажимаем Enter
    В результате будет создан файл запроса /usr/share/easy-rsa/3/pki/reqs/vpn-server.req и файл приватного ключа /usr/share/easy-rsa/3/pki/private/vpn-server.key
    Теперь необходимо подписать запрос на получение сертификата у нашего CA:

    После ввода команды подтверждаем правильность данных, введя yes
    Confirm request details: yes
    Далее вводим пароль, который указывали при создании корневого сертификата.
    В результате сформируется сертификат сервера /usr/share/easy-rsa/3/pki/issued/vpn-server.crt

    2.5 Создание TA ключа
    Для активации tls-auth необходимо сгенерировать дополнительный секретный ключ.
    Сделать это можно с помощью команды:

    Tls-auth добавляет использование еще одной подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Теперь пакет, не имеющий такой подписи, будет сразу отбрасываться. Это обеспечит дополнительный уровень безопасности протокола SSL/TLS, защищая систему от таких атак, как:

    — Сканирование прослушиваемых VPN-сервером портов
    — Инициация SSL/TLS-соединения несанкционированной машиной (tls-auth отсекает их на значительно более раннем этапе, чем при использовании OpenVPN без tls-auth)
    — DoS-атаки и флуд на порты OpenVPN
    — Переполнение буфера SSL/TLS

    3. Перенос готовых сертификатов в /etc/openvpn

    Сертификаты сервера готовы и находятся в каталоге pki. В /etc создадим новый каталог, в котором будем хранить сертификаты:

    Переходим в каталог pki:

    Копируем в /etc/openvpn/server/keys следующие сертификаты:

    4 Настройка и запуск сервера

    4.1 Создаем конфигурационный файл для сервера openvpn

    Содержимое файла server.conf

    4.2 Запуск сервера
    Перед запуском создадим каталог для «лог-файлов» сервера:

    Разрешаем автоматический старт сервиса OpenVPN:

    5. Настройка NAT в Firewalld

    Если необходимо, чтобы клиенты могли выходить через vpn в интернет, то для этого настроим NAT

    Применяем настройки sysctl:

    Добавим правила в firewalld. eth0 — внешний, tun0 — внутренний интерфейс OpenVPN:

    6. Создание сертификата для OpenVPN-клиента

    Для настройки клиента необходимо на сервере создать пользовательские сертификаты, а на клиентском компьютере установить программу OpenVPN и настроить ее. На сервере генерируем сертификаты для клиента.

    6.1 Создание клиентского сертификат
    Для этого переходим в каталог easy-rsa:

    Формирование запрос на клиентский сертификат:

    На запрос подтверждение выпустить сертификат — вводим yes :
    Confirm request details: yes
    В результате создастся сертификат client1.ca и закрытый ключ client1.key
    Для удобства переноса пользовательских ключей на клиентский компьютер, скопируйте на сервере эти ключи во временную директорию (/tmp/keys), выполнив последовательно 3 команды:

    6.2 Сборка единого конфигурационного файла для подключения клиентов к OpenVPN
    Единый файл .ovpn содержит в себе настройки клиента для подключения к OpenVPN серверу, а также все необходимые сертификаты. Для подключению к OpenVPN серверу, достаточно импортировать этот файл и подключение к vpn будет настроено.
    Создаем каталог:

    переходим в каталог:

    Пример содержимого файла base-client.conf :

    Создадим скрипт автоматической сборки файла *.ovpn

    client1 — имя клиентского сертификата
    На выходе будет создан файл client1.ovpn , который содержит все необходимые настройки, ключи и сертификаты для подключения.

    7. Подключение клиента к серверу OpenVPN

    Для подключения клиента к VPN серверу передайте файл client1.ovpn на клиентский ПК. В свойствах сетевого подключения импортируйте файл client1.ovpn, при это будут импортированы настройки подключения к серверу OpenVPN, а также сертификаты и ключи.

    8. Отзыв сертификата

    В нашем примере мы создали сертификат client1, теперь сделаем отзыв этого сертификата. Переходим в каталог:

    Отзываем сертификат командой:

    Подтверждаем действия: Continue with revocation: yes

    и вводим пароль от центра сертификации.

    После этого создаем/обновляем файл crl.pem:

    во время выполнения команды, необходимо будет ввести пароль центра сертификации.

    Копируем файл crl.pem в каталог openvpn:

    Перезагружаем сервис openvpn:

    Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

    Настройка OpenVPN

    Мы приводим пошаговое руководство по настройке программы OpenVPN для трех типовых случаев. В первом случае компьютер Альфа с базой данных программы Тирика-магазин подключен к Интернету напрямую, во втором случае офис, в котором находится компьютер Альфа, подключен к Интернету через маршрутизатор, и, наконец, в третьем случае роль маршрутизатора играет отдельный компьютер

    База данных программы Тирика-Магазин установлена на компьютере, напрямую подключенном к Интернет и обладающем статическим маршрутизируемым IP-адресом

    В центральном офисе имеется компьютер, напрямую подключенный к Интернет и у него есть статический маршрутизируемый IP-адрес. Двум магазинам из филиалов (или из дома) необходимо подключаться к базе данных, работающей в центральном офисе через Интернет. В этом случае, конфигурация будет как на рисунке ниже:

    2. Запустите файл openvpn-2.2.1-install.exe на компьютере, имеющим выход в Интернет со статическим немаршрутизируемым IP-адресом и пройдите процедуру инсталляции, следуя инструкциям программы-установщика и оставляя все опции по умолчанию. Внимание! Нужно подтверждить установку драйвера сетевого адаптера TAP-Win32 Adapter V9, когда Windows это попросит

    4. Скопируйте файлы server.ovpn и ipp.txt из скачанного архива в папку C:Program FilesOpenVPNconfig

    5. Файл серверной конфигурации практически готов к применению, только замените в строчке push «route 192.168.78.0 255.255.255.0» адрес сети на тот, который настроен в вашей локальной сети. Например, на рисунке выше это 192.168.5.0 255.255.255.0.

    6. Теперь самая сложная часть настройки – генерация сертификатов и ключей. Здесь нужно быть предельно внимательным и точно следовать инструкциям.

    6.1 Запустите окно командной строки Пуск – Выполнить – cmd.exe

    6.2 Перейдите в папку C:Program FilesOpenVPNeasy-rsa и выполните команды:

    cd C:Program FilesOpenVPNeasy-rsa
    init-config

    6.3 Отредактируйте файл vars.bat и установите следующие параметры: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL. Эти параметры нельзя оставлять пустыми, остальные можно оставить по умолчанию, например:

    set KEY_COUNTRY=RU
    set KEY_PROVINCE=MO
    set KEY_CITY=Moskow
    set KEY_ORG=GazProm
    set KEY_EMAIL=root@gazprom.ru
    set KEY_CN=changeme
    set KEY_NAME=changeme
    set KEY_OU=changeme
    set PKCS11_MODULE_PATH=changeme
    set PKCS11_PIN=1234

    6.4 Далее выполните следующие команды из того же окна командной строки:

    vars
    clean-all
    build-ca

    Последняя команда build-ca запросит значения параметров. Все параметры можно не менять, нажав Enter, кроме одного – Common Name. Здесь нужно ввести какое-нибудь имя, например, OpenVPN-CA

    6.5 Теперь сгенерируем сертификат и ключ для сервера, выполнив команду:

    build-key-server server

    Также, как и в предыдущей команде, все параметры можно принять по умолчанию, но для Common Nameвведите слово server.

    На последние два вопроса «Sign the certificate? [y/n]» and «1 out of 1 certificate requests certified, commit? [y/n]»ответьте утвердительно, нажав «y»

    6.6 Теперь сгенерируем ключи для клиентов, выполнив команды:

    build-key client1
    build-key client2

    (это команды для двух филиалов, по аналогии можно сделать ключи для большего количества)

    Как и в прошлый раз, принимаем все параметры, кроме Common Name, для которого указываем client1 иclient2 соответственно. На последние вопросы опять ответьте утвердительно.

    6.7 Осталось выполнить еще одну команду:

    build-dh

    6.8 Итак, в результате выполнения всех команд, мы получим в папке C:Program FilesOpenVPNeasy-rskeysряд файлов ключей и сертификатов. Создайте на сервере папку C:vpn_keys и скопируйте туда содержимое папки .easy-rskeys. Скопируйте отдельно следующие файлы для клиентских машин: ca.crt, client1.crt, client1.key, client2.crt, client2.key в безопасное место, затем их нужно будет перенести на компьютеры филиалов

    7. Вот и все с сервером, можно запускать службу OpenVPN Service, можно сделать автоматический запуск службы при необходимости (через Пуск- Панель управления — Службы)

    8. Приступим к настройке клиента из филиала №1 . Клиент OpenVPN устанавливается на компьютере, расположенном в филиале и имеющим выход в Интернет. Необходимо запустить тот же файл openvpn-2.2.1-install.exe и пройти процедуру инсталляции точно так же, как и для сервера.

    9. Скопируйте файл client.ovpn из ранее скачанного архива в папку C:Program FilesOpenVPNconfig

    10. Создайте папку C:vpn_keys и скопируйте туда три ранее сохраненных файла ключей: ca.crt, client1.crt, client1.key

    11. Отредактируйте файл client.ovp. В строке remote my-server 5194 нужно заменить my-server на IP адрес сервера. Не забывайте, что это должен быть реальный Интернет адрес, иначе соединение не получится.

    12. Проверьте связь с VPN-сервером командой ping

    ping 10.218.77.1

    где 10.218.77.1 – адрес сервера OpenVPN (замените этот адрес на тот статически маршрутизируемый IP-адрес, кот. вы получили от вашего интернет-провайдера в главе «Этап 3» — см. выше). Если приходят ответы – отлично. Если получен ответ от сервера, запустите графический интерфейс клиента Пуск – Программы – OpenVPN – OpenVPN GUI. В системном трее появится иконка клиента в виде двух красных компьютеров – щелкните на ней правой клавишей и выберите Connect. Если все настроено успешно, то установится соединение с сервером и иконка позеленеет и можно приступить к настройке программы Тирика-Магазин, как это описано в следующей главе «Этап 5».

    Если проверка не прошла, то нужно внимательно проверить всю настройку по шагам, возможно, вы все-таки сделали ошибку и нужно все повторить еще раз. Однако большая часть проблем при настройке VPN связана с сетевыми экранами (firewall). В Windows встроенный сетевой экран называется брандмауэром Windows. Настоятельно рекомендуем включить брандмауэр в случае, если компьютер напрямую подключен к Интернет! И в этом случае необходимо разрешить доступ к порту, на котором работает сервер OpenVPN для входящих подключений. Для этого убедитесь сперва, что брандмауэр вообще включен, вызвав окно с сетевыми подключениями, щелкните правой кнопкой на то подключение, которое соединено с Интернетом и нажмите Свойства. В Свойствах выберите вкладку Дополнительно, а затем кнопку Параметры. Там должно быть так, как на рисунке ниже:

    Далее в этом же окне перейдите на вкладку Исключения и нажмите кнопку Добавить порт. Введите имя OpenVPN, номер 5194 и порт UPD, как на следующем рисунке:

    Центральный офис подключен напрямую в Интернет через компьютер с реальным статическим IP-адресом, который является маршрутизатором в локальной сети офиса, а база данных Тирика-Магазин находится на другом компьютере в этой же локальной сети.

    В центральном офисе имеется компьютер, напрямую подключенный к Интернет и у него есть статический маршрутизируемый IP-адрес. Этот компьютер (в дальнейшем сервер) может работать на операционных системах Windows XP, Windows 7, Vista или любой серверной версии и имеет два сетевых интерфейса. Один из интерфейсов подключен в локальную сеть офиса, а другой смотрит в Интернет. Двум магазинам из филиалов (или из дома) необходимо подключаться к базе данных, работающей в центральном офисе через Интернет, а сама база установлена на один из других компьютеров в сети офиса. В этом случае, конфигурация будет как на рисунке ниже:

    Собственно, в этом случае настройка VPN-сервера и клиентов никак не отличается от предыдущего варианта, поэтому выполните пункты 1-11 без изменений. В этом варианте подключения база данных Тирика-Магазин находится на другом компьютере в сети, следовательно, нужно обеспечить маршрутизацию пакетов на компьютере, подключенном к Интернету. Запустите через Пуск – Выполнить команду regedit.exe и перейдите в следующий каталог реестра:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

    Там нужно задать параметру IPEnableRouter значение единицы и перегрузить компьютер. Теперь он стал маршрутизатором из виртуальной сети в локальную сеть офиса. Снова вернемся на компьютер клиента и проверим связь с сетевым интерфейсом VPN сервера:

    ping 10.218.77.1

    Получен ответ? Отлично, теперь проверим связь с интерфейсом офисной сети на сервере. Для нашего примера это будет так:

    ping 192.168.5.1

    Снова отвечает? Тогда последняя проверка связи с компьютером, на котором работает база данных Тирика-Магазин, для нашего примера это:

    ping 192.168.5.2

    В случае удачного результата, можем подключаться к базе данных, предварительно указав адрес 192.168.5.2 для программы Тирика-Магазин (см. главу Этап 5).

    Не забудьте сделать исключение в брандмауэре для порта UDP 5194, как описано для предыдущего варианта конфигурации сети.

    Центральный офис подключен напрямую в Интернет через аппаратный маршрутизатор с реальным статическим IP-адресом, база данных Тирика-магазин находится на одном из компьютеров в сети офиса.

    Рассмотрим еще один популярный способ подключения к Интернет – с помощью аппаратного маршрутизатора. В этом случае Интернет-кабель подключается к WAN-порту маршрутизатора, а все компьютеры офиса подключены к внутренним LAN-портам маршрутизатора; база данных Тирика-Магазин и сервер OpenVPN установлены на одном и том же компьютере локальной сети офиса. Как же подключиться к серверу OpenVPN в этом случае? Для этого можно использовать функцию перенаправления портов в маршрутизаторе. При обращении клиента к определенному TCP или UDP порту маршрутизатора, последний перенаправит запрос на компьютер в локальной сети согласно правилу, указанному в настройках. Схема доступа в этой конфигурация будет как на рисунке ниже.

    Настроить перенаправление портов на маршрутизаторе достаточно просто, хотя настройки, конечно, отличаются на устройствах разных производителей. Для примера, рассмотрим перенаправление порта на маршрутизаторе D-Link DIR-655.

    Запустите web-консоль управления DIR-655, затем перейдите на вкладку Advanced и выберите пункт VIRTUAL SERVER из меню слева. Далее нужно настроить правило для перенаправления порта UDP 5194, используемого OpenVPN согласно нашим настройкам. Введите имя приложения «openvpn», в поле IP адрес укажите адрес из внутренней сети сервера OpenVPN, в примере это 192.168.5.2. Порт нужно указать 5194 в полях Public и Private, протокол выбрать UDP. Теперь необходимо сохранить настройки и рестартовать маршрутизатор.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector