Как настроить VPN-соединение — описание, пошаговые инструкции
VPN устанавливает безопасное, зашифрованное соединение между устройством и частным сервером, скрывая трафик от провайдера. Данная технология используется для посещения заблокированных веб-ресурсов, сокрытия своей онлайн-активности, повышения уровня безопасности и конфиденциальности в интернете.
VPN в Windows 10
VPN-соединения обрабатываются специальными программами, такими как ZenMate, Nord, или сторонними универсальными клиентами, такими как OpenVPN, Cisco AnyConnect. Некоторые браузеры предлагают встроенный бесплатный VPN-сервис (например, Opera).
Еще один вариант – это встроенный VPN-клиент Microsoft. Он будет полезен, когда некоторые сервисы не предоставляют свой собственный клиент или требуется протокол IKEv2. Настройка собственной виртуальной частной сети гарантирует, что подключенное к интернету устройство будет надежно защищено.
Недостатком встроенного клиента является то, что нужно самостоятельно выбрать конкретный сервер для использования, а не «прыгать» между различными местоположениями.
Выбор VPN
Для настройки соединения в Windows 10 достаточно найти приложение в Store или в интернете. При этом его желательно заранее изучить, включая отзывы, а затем уже делать выбор. Существует большое количество как бесплатных, так и платных сервисов, поэтому с поиском и выбором проблем не будет.
Настройка VPN-соединения
- Открыть параметры системы путем зажатия сочетания клавиш Win+I.
- Перейти в раздел «Сеть и интернет».
- Выбрать вкладку «VPN».
- Добавить новое подключение, кликнув по соответствующей кнопке.
- После выбора поставщика услуг («Windows») «Тип» изменится на «Автоматический», а вместо «Типа данных для входа» будет «Имя пользователя и пароль».
- В поле «Имя подключения» можно вписать любое имя.
- В поле «Имя или адрес сервера» указываются данные, которые пользователь получает после регистрации на сайте выбранного сервиса.
- Для выбора «Типа подключения» нужно знать, какой именно тип используется организацией или сервисом.
- В полях «Имя пользователя» и «Пароль» указываются регистрационные данные (если это корпоративная организация), которые впоследствии будут использоваться для подключения к защищенной сети.
- Для завершения настройки подключения кликнуть по кнопке «Сохранить».
Подключится к собственной виртуальной частной сети очень просто:
- В параметрах кликнуть левой кнопкой мышки по названию и нажать «Подключиться».
- Правой кнопкой мышки щелкнуть по иконке доступа в интернет (расположенной на панели задач) и выбрать нужное соединение.
- При необходимости ввести имя пользователя и пароль или другие данные.
Настройка VPN-соединения для OS Mac
Процедура похожа на настройку соединения на Windows 10. Необходимо выполнить следующие шаги:
- Открыть системные настройки и зайти в подраздел «Сеть».
- Создать новую службу, кликнув по иконке «+».
- На экране отобразится новое окно. Указать название подключения, выбрать его тип и протокол.
- Вписать адрес сервера и имя учетной записи.
- Настроить аутентификацию, клацнув по одноименной кнопке. Заполнить требуемые поля.
- Открыть дополнительные параметры. Отметить галочкой пункт, который подразумевает отправку трафика через созданное подключение.
- Применить настройки, сохранить изменения.
Настройка VPN-соединения для Android
Для подключения устройства на базе Android к виртуальной частной сети необходимо:
- Зайти в настройки, клацнув по иконке с шестерней.
- Из списка найти нужный раздел. Он может находиться в главном меню или в разделе «Сеть и интернет» – «Дополнительно», «Другие сети».
- Необходимо добавить новую сеть, нажав знак «+».
- Создать свой профиль: добавить имя, тип и адрес сервера. Сохранить внесенные изменения.
- При выборе протокола L2TP/IPSec PSK появится еще несколько полей для заполнения. Также необходимо раскрыть дополнительные параметры.
- Указать имя узла или IP-адрес из пула открытых серверов конкретного сервиса (это может быть идентификатор, заканчивающийся на opengw.net или набор цифр xxx.xxx.xxx.xxx).
- В поле «Маршруты пересылки» ввести 0.0.0.0/0.
- Вернувшись на главный экран VPN, в списке будет отображаться имя добавленной сети.
- Нажать на кнопку «Подключиться».
Настройка VPN-соединения для iOS
Для подключения iPhone/iPad к виртуальной частной сети необходимо:
- Из главного меню перейти в настройки.
- Найти среди разделов «VPN» (может располагаться в «Основных»).
- На странице настроек подключения указать тип «L2TP» и вписать название.
- Указать имя узла или IP-адрес из пула открытых серверов конкретного сервиса (идентификатор, заканчивающийся на opengw.net или набор цифр xxx.xxx.xxx.xxx). Добавить имя и пароль.
- Сохранить настройки и подключиться.
Бесплатный или платный VPN?
Согласно результатам опроса американского издания PCMag, 62,9% пользователей не хотят платить больше 5 долл., а 47,1% предпочитает использовать бесплатный VPN. Но являются ли бесплатные сервисы такими же надежными, как и платные, и за какие услуги платит пользователь?
Цена
Самый главный пункт – цена. Бесплатные VPN подходят, если нет необходимости передавать слишком много личной и финансовой информации. Это отличный вариант для серфинга по заблокированным ресурсам.
Безопасность
Для запуска надежного протокола безопасности требуется развитая инфраструктура, которую большинство бесплатных сервисов не имеют. Они предоставляют 128-битную технологию шифрования и PPTP (является сегодня одним из наименее безопасных протоколов).
Платные пользователи обычно имеют больше возможностей, таких как 256-битное шифрование, OpenVPN (протокол с открытым исходным кодом, использующий шифрование SSL), протокол 2-уровня (L2TP) и комбинация IPsec.
Защита личных данных
Несмотря на то, что многие бесплатные сервисы обещают 100%-ную безопасность персональных данных, обычно это не так. Разработчики – не благотворительные организации, это бизнес-структуры, которые хотят финансировать в свою деятельность и получать прибыль. Поэтому всегда есть вероятность, что данные будут проданы третьей стороне.
В платных VPN, как правило, все наоборот: разработчики получают свой доход от подписки клиентов, поэтому не имеют причин продавать чужие данные. Они должны убедиться, что личные данные их клиентов находятся в безопасности и защищены от хакеров и других сторонних агентств.
Конфиденциальность
Если сервис говорит, что регистрирует активность пользователей, или вообще не указывает свою политику ведения журнала, лучше избегать его.
Рекомендуется проверить, где он юридически базируется. В случае с Панамой и Виргинскими островами трудно выяснить, кто на самом деле владеет или управляет компанией. Но, с другой стороны, недовольному сервисом пользователю может быть трудно вернуть свои деньги.
Качество обслуживания
Платные VPN более надежны и менее уязвимы к отключениям и сбоям, всегда больше шансов получить техническую поддержку.
Windows 8. Настройка VPN-подключения
Windows 8. Настройка VPN-подключения
Для настройки VPN подключения нужно зайти в Панель управления.
- В панели пуск кликаем правой кнопкой мыши, нажимаем снизу справа кнопку Все приложения.
- В открывшемся меню Приложений нажимаем на Панель управления.
- В панели управления выберете пункт Сеть и интернет.
- В открывшемся окне выберете Центр управления сетями и общим доступом.
- В открывшемся окне выберете Настройка нового подключения или сети.
- В открывшемся окне Установка подключения или сети выберете Подключение к рабочему месту, нажмите Далее.
- В открывшемся окне Подключение к рабочему месту выбрать Использовать мое подключение к интернету (VPN).
- В открывшемся окне Подключение к рабочему месту выбрать Отложить настройку.
- В открывшемся окне введите IP-адрес: internet.reutov и имя подключения MSM, затем нажмите Создать.
- В окне Центр управления сетями и общим доступом слева выберете Изменение параметров адаптера.
- В открывшемся окне Сетевые подключения выберите созданное подключение, нажмите на нем правой кнопкой мыши. В открывшейся вкладке нажмите Создать ярлык, после чего на рабочем столе должен создаться Ярлык для MSM.
- Еще раз нажмите созданное подключение правой кнопкой мыши (предыдущий рисунок) и выберите пункт Свойства. В появившемся окне выберите вкладку Безопасность. Выставите настройки:
Тип VPN: Туннельный протокол точка-точка (PPTP)
Шифрование данных: - Запустите созданное подключение можно с помощью ярлыка на рабочем столе или следующим способом. Наводим мышь в правый нижний угол экрана, появляется панелька, в ней нажимаем Параметры.
- В появившемся меню нажимаем на значек Сеть.
- Выбираем созданное подключение и нажимаем Подключить.
- Дальше, вводим логин и пароль с учетной карточки. Нажимаем OK.
Настройка vpn windows 10 | Твой сетевичок
В продолжение темы про безопасное впн-соединение, рассмотрим, как подключиться к сети на современной «десятке». Из других статей нашего сайта вы можете узнать виртуальная сеть vpn windows 10 что это, и как создать подключение через vpn windows 7.
Здесь же мы остановимся на том, как настроить vpn соединение на windows 10 и как отключить vpn, если клиент мешает нормальной работе.
Как создать vpn подключение на windows 10?Итак, настройка vpn windows 10 состоит из следующих этапов:
Сперва нажмите кнопку «Пуск» (1) и выберите «Параметры» (2).
В открытом окне «параметров» кликните подраздел «Сеть и Интернет».
В меню «VPN» (1) перейдите к пункту «Добавление VPN-подключения» (2).
На данном этапе настройки vpn подключения windows 10 появится возможность выбора встроенных методов туннельных протоколов VPN:
Для начала рассмотрим настройку vpn windows 10 с протоколом L2TP/IPsec:
(1) выберите встроенный поставщик услуг VPN: пункт Windows.
(2) имя подключения: придумайте любое запоминающееся для вас соединение.
(3) также необходимо указать имя или адрес сервера. Существует много зарубежных серверов, которые предоставляют свой VPN для разных услуг.
(4) выбрали протокол L2TP/IPsec
(5) для авторизации к VPN-серверу.
(6) поле «ваш логин» должно быть уникальным.
(7) запишите ваш пароль
(8) этот пункт заполняется по желанию
После заполнения нужной информации кликните кнопку «Сохранить».
Ваш vpn-профиль успешно создан (1). Перейдите к разделу «Сопутствующие параметры» и выберите «Центр управления сетями и общим доступом» (2).
В новом окне сведений о сети выберите «изменение параметров адаптера».
На сетевом подключении с именем профиля «vpn» (1) в функциональном меню выберите «свойства» (2).
На вкладке безопасность (1) проверьте тип протокола(2), шифрование(3) , а также установите галочку напротив пункта «протокол проверки chap версии № 2» (4).
Если в вашей сети необходимо использовать ключ согласования, тогда в свойствах туннельного протокола нажмите «Дополнительные параметры» (1) и в новом окне введите (2).
После всех настроек нажмите кнопку «Ок».
Перейдите ко вкладке «сеть»(1) и выберите протокол интернет версии № 4 (2), после чего нажмите кнопку «Свойства»(3).
В сети VPN можно использовать и динамические(1) и статические(2) ip-адреса.
После изменения сетевой конфигурации нажмите кнопку «Ок»(3).
На этом создание vpn подключения windows 10 для протокола L2TP/IPsec закончено.
Настройки VPN для протокола PPTP аналогичны описанной выше инструкции для L2TP.
Не забудьте включить шифрование данных (1), протоколы проверки пароля chap (2) и второй версии от Microsoft (3).
Как подключиться к vpn на windows 10?Для подключения к выбранной сети VPN в правом нижнем углу нажмите на значок сети (1).
Затем выберите сохранённый вами ранее профиль с именем «vpn» (2).
Нажмите на кнопку «подключиться».
Для авторизации введите имя пользователя и пароль к vpn серверу.
Как отключить vpn в windows 10?Чтобы отключить впн на активном соединении выберите «Отключить»
Для полного удаления всех настроек из системы нажмите «Удалить»
Или в разделе меню VPN профилей.
В заключение рекомендуем также ознакомиться со статьями ошибка 800 vpn windows 10 и vpn ошибка 807 windows 10 во избежание наиболее распространенных проблем с подключением в безопасной сети.
Оцените статью: Поделитесь с друзьями!Как создать и настроить свой VPN-сервер
Выбираем хостинг
Для настройки VPN нужен VPS — виртуальный частный сервер. Вы можете выбрать любого хостинг-провайдера, главное, чтобы выполнялись следующие условия:
- Сервер находится в стране, которая не подпадает под юрисдикцию российских органов власти, но находится достаточно близко к вашему реальному местоположению.
- Оперативной памяти (RAM) должно быть не меньше 512 МБ.
- Скорость сетевого интерфейса — 100 МБ/сек и выше.
- Сетевой трафик — 512 ГБ и выше или неограниченный.
Количество выделенного места на жёстком диске и тип накопителя не имеет значения. Найти подходящее решение можно за 3–4 доллара в месяц. Вот несколько самых популярных VPS-провайдеров:
При покупке сервера выбирайте KVM. OpenVZ и Xen тоже подойдут, если у них подключён TUN — об этом нужно спросить в технической службе хостинг-провайдера.
С KVM никаких дополнительных манипуляций производить не придётся, хотя некоторые хостинг-провайдеры и на нём могут ограничить возможность создания VPN. Уточнить это можно также в службе поддержки.
При настройке сервера в пункте «Имя хоста» можно вписать любое значение: например, test.test. Префиксы NS1 и NS2 тоже не важны: пишем ns1.test и ns2.test.
Операционная система — CentOS 8 64 bit или любой другой дистрибутив, принципиальных отличий в настройке нет. Сетевой трафик оставьте 512 ГБ или выберите дополнительный объём, если боитесь, что имеющегося не хватит. Локация — чем ближе, тем лучше. Нидерланды подойдут.
После оплаты на почту придёт письмо со всеми необходимыми данными для настройки VPN. Вы приобрели место на сервере другой страны, осталось перенаправить на него весь трафик.
Настраиваем VPN
Для подключения к серверу и отправки команд мы будем использовать программу Putty. Мне ссылка на неё пришла в письме с регистрационными данными для хостинга. Скачать программу можно здесь. Putty и её аналоги есть и на macOS, настройки будут идентичными.
Запустите Putty. На вкладке Session в поле Host Name введите IP-адрес, который пришёл в письме, и нажмите Open.
При появлении окна с предупреждением об опасности нажмите «Да». После этого запустится консоль, через которую вы будете отправлять команды серверу. Для начала нужно залогиниться — данные для авторизации также есть в письме от хостера. Логин будет root, его напечатайте руками. Пароль скопируйте в буфер обмена. Для вставки пароля в консоль щёлкните правой кнопкой и нажмите Enter. Пароль не отобразится в консоли, но если вы авторизовались, то увидите информацию о системе или номер сервера.
Между вводом логина и пароля не должно пройти много времени. Если появилось сообщение об ошибке, перезапустите Putty и попробуйте ещё раз.
Для настройки VPN я использовал готовый скрипт OpenVPN road warrior. Этот способ не гарантирует полную анонимность, так что при совершении противозаконных действий пользователя легко найти. Но для обхода блокировки его достаточно. Если все VPN-сервисы перестанут работать, это подключение продолжит функционировать, пока я плачу за хостинг.
Чтобы использовать скрипт, вставьте в консоль строчку wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
.
После успешного добавления скрипта запустится диалог с мастером настройки. Он самостоятельно находит оптимальные значения, вам останется только согласиться или выбрать подходящий вариант. Все действия подтверждаются нажатием клавиши Enter. Пойдём по порядку:
- IP-адрес должен совпадать с IP-адресом, который вы получили в письме от хостера.
- Протокол оставьте по умолчанию UDP.
- Port:1194 — согласитесь.
- Какой DNS использовать — выберите Google. Сотрите 1, напишите 3 и нажмите Enter.
- Client name — укажите имя пользователя. Можно оставить client.
- Press any key — ещё раз нажмите Enter и дождитесь окончания настройки.
После завершения настройки необходимо создать файл, через который вы будете подключаться к VPN. Введите команду cat ~/client.ovpn
.
В консоли появится содержимое файла. Прокрутите экран наверх к команде cat ~/client.ovpn
и выделите всё, что появилось ниже, кроме последней строчки. Выделение должно закончиться на </tls-auth>
. Для копирования фрагмента нажмите Ctrl + V.
Запустите «Блокнот», вставьте скопированный фрагмент и сохраните файл на рабочем столе с именем client.ovpn.
Откройте меню «Файл», выберите «Сохранить как», установите тип «Все файлы» и введите имя с расширением — client.ovpn.
Подключаемся к серверу
Для подключения с помощью созданного файла нужен клиент OpenVPN. Версию для компьютера можно скачать здесь. Загрузите и установите программу, но не запускайте. Щёлкните правой кнопкой по файлу client.ovpn и выберите пункт Start OpenVPN.
Появится окно консоли с инициализацией соединения. Если подключение прошло успешно, внизу будет статус Initialization Sequence Completed
. В процессе соединения может появиться окно выбора сети, нажмите на общественную сеть.
Чтобы убедиться, что подключение установлено верно, проверьте IP-адрес. Он должен совпадать с тем, который хостер написал в письме. Чтобы перестать направлять запросы на сервер в другой стране, закройте окно OpenVPN.
У OpenVPN есть также клиенты для мобильных устройств.
Для установки подключения перенесите в память телефона файл client.ovpn. Запустите приложение и выберите пункт OVPN Profile. Укажите путь к файлу и передвиньте ползунок в положение «Включён».
Наверху появится значок подключения через VPN. Чтобы убедиться в том, что трафик перенаправляется через сервер в другой стране, откройте в мобильном браузере любой сервис проверки IP-адреса.
Читайте также 🧐
Настройка подключения по VPN | Записки Web-разработчика
Всем добрый день! Сегодня мы поговорим как настроить VPN (Virtual Private Network) в Windows XP, в Windows Vista или Windows 7 и Lynix.
VPN расшифровывается как Virtual Private Network, что означает «Виртуальная Частная Сеть». VPN создается поверх уже существующей сети, например обычной локальной сети или Интернет, и может объединять компьютеры в различных уголках мира в одну логическую сеть. При этом все передаваемые по такой сети данные обычно зашифровываются для защиты от несанкционированного прослушивания и перехвата. Таким образом, шифрование трафика – одно из главных преимуществ использования технологии виртуальных частных сетей. Если физически компьютеры объединяются между собой кабелем или радиоволнами (wi-fi), то логическое их объединение посредством VPN возможно только с использованием специального оборудования, называемого VPN-сервером. Это может быть просто компьютер, имеющий специальное программное обеспечение. VPN-сервер управляет подключением других (обычных) компьютеров к виртуальной сети.
На компьютере, подключаемом к виртуальной частной сети, настраивается специальное VPN соединение, в конфигурации которого указывается имя VPN-сервера и другие, нужные для успешного подключения, параметры. В каждом конкретном случае эти параметры могут различаться, но последовательность действий при создании VPN подключения одна и та же. Мы рассмотрим её на примере операционных систем Windows Vista и Windows XP.
Настройка VPN-подключения в Windows XP
В этом разделе описывается настройка VPN в Windows XP.
Мастер новых подключений
Нажать кнопку «Пуск» в левом нижнем углу рабочего стола, в появившемся главном меню системы выбрать пункт «Панель управления», если у Вас панель управления имеет вид «Стиль ХР», и Вы не можете найти значок «Сетевые подключения», перейдите к классическому виду панели, выбрав соответствующий пункт в левой части окна:
или выберите «Сетевые подключения» прямо из главного меню «Пуск»:
Если у Вас отображается окно классического вида, найдите в нем значок «Сетевые подключения» и откройте его, в открывшемся окне, найдите и запустите «Мастер новых подключений»:
В первом окне достаточно нажать кнопку «Далее»:
Во втором, выберите «Подключить к сети на рабочем месте» и нажмите кнопу «Далее»:
В третьем выберите «Подключение к виртуальной частной сети» и нажмите кнопу «Далее»:
В четвертом в свободное поле введите название для Вашего подключения, например, «Internet VPN» и нажмите кнопу «Далее»:
На некоторых компьютерах, где есть другие подключения, между шагом 4 и шагом 5 появляется дополнительно окно с предложением выполнить для подключения набор номера. В этом случае нужно отказаться от набора номера и перейти к шагу 5.
В пятом окне введите IP-адрес основного шлюза доступа nas.iksnet (или nas3.iksnet для некоторых абонентов) и нажмите кнопу «Далее» (обратите внимание, что перед и после названия сервера не должно стоять никаких пробелов или других невидимых символов):
В шестом, для удобства работы, отметьте галочкой пункт «Добавить ярлык подключения на рабочий стол» и нажмите кнопку «Готово»:
Свойства подключения
После этого у Вас сразу откроется окно подключения, в нижней части окна найдите кнопку «Свойства» и щелкните по ней:
Или нажмите кнопку «Отмена» и выбрав подключение, нажмите на него правой кнопкой мыши и выберите «Свойства»:
В открывшемся окне выберите вкладку «Параметры», снимите галочку с пункта «Включать домен входа в Windows»:
Во вкладке «Безопасность», снимите галочку с пункта «Требуется шифрование данных» и щелкните по кнопке «ОК»:
На вкладке «Параметры» можно поставить галочку напротив «Перезванивать при разрыве связи», тогда, при неожиданном разрыве, соединение восстановится самостоятельно:
Подключаемся:
Теперь в поле «Пользователь» надо ввести номер своего договора (для тех абонентов, у которых номер договора трёхзначный, спереди надо добавить «0»! Например, договор 111 набирается как 0111.), а в поле «Пароль», свой пароль доступа для просмотра статистики и почты из договора. Обратите внимание на то, что после номера договора в поле «Пользователь» не должно стоять никаких лишних пробелов.
После удачного соединения, для удобства пользования, на вкладке «Параметры» можно снять галочку «Запрашивать имя, пароль, сертификат и т.д.», после этого имя и пароль запрашиваться больше не будут.
Сохранение пароля
Внимание: сохранять пароль в системе не рекомендуется, потому что сохраненные логин и пароль могут быть похищены шпионскими программами или ваш компьютер может быть использован для выхода в интернет в ваше отсутствие.
Обратите внимание на то, что контроль доступа в сеть Интернет осуществляется по имени и паролю, поэтому отнеситесь серьезнее к данному моменту. Не разглашайте эти данные посторонним людям. Если у вас пароль слишком простой и короткий, в целях повышения безопасности, предлагаем изменить его. Вы можете сделать это сами, со своего рабочего места, используя клиентскую часть новой системы расчетов, доступной по ссылке: Статистика, Там вы можете сменить отдельно пароль на вход на страницу статистики и отдельно на выход в интернет. Надеемся, что там Вы еще сможете найти много нового, интересного и полезного!
Примечание
При отключенном соединении VPN, Вы так же, как и раньше, можете беспрепятственно пользоваться ресурсами локальной сети, подключение по VPN нужно только для доступа во внешнюю сеть. Если вы выключили «Подключение по локальной сети», то для создания VPN-соединения обязательно включите «Подключение по локальной сети» иначе VPN-соединение не установится.
Ошибки
Наиболее часто система выдаёт следующие ошибки:
Ошибка 619 или 734
- Возникает, если вы забыли убрать галочку «Требуется шифрование данных» в свойствах подключения вкладка «Безопасность».
Ошибка 629
Эта ошибка возникает в том случае, если ваш логин и пароль уже подключены (вспомните, не давали ли вы кому нибудь из знакомых попользоваться вашим интернетом), если нет, тогда данное соединение неразорвано на сервере. Для этого подождите 10 мин, и попробуйте через это время подключиться заново… Если ничего не помогло с 3-й попытки, то советую обратиться в службу поддержки.
Ошибка 650
«Сервер удаленного доступа не отвечает»:
- Недоступен сервер доступа в Интернет. Проверьте, включено ли «Подключение по локальной сети», исправна ли сетевая карта, исправен ли сетевой кабель, не выставлен ли в настройках IP-соединения какой-то определённый IP-адрес.
Ошибка 651 или 800
Ваш модем (либо другое устройство) сообщило об ошибке» или «Нет связи с сервером VPN соединений»
- Данные ошибки могут возникать, если вы удалили или отключили прежнее подключение «Подключение по локальной сети».
- Или, если вы указали в шаге 5 неверный адрес. Проверьте его, убедитесь, что цифры разделяют точки, а не запятые.
- Брандмауэр блокирует исходящие запросы на VPN соединения.
- Запрос по какой-либо причине не доходит до сервера, т.е. возможно шлюз вашего сегмента не пропускает запрос в силу возникшей нагрузки или сбоя.
- Сервер отправляет ответ о невозможности подключиться т.к. в данный момент наблюдается большое число одновременных попыток соединения.
Возможные исправления
- Проверить работает ли локальная сеть в этот момент времени.
- Проверить прохождение сигнала командой ping до Вашего шлюза, а затем до вашего сервера авторизации.
- Исправить в реестре пару ключей или переустановить Windows
Ошибка 678
«Ответ не получен»
- Попробуйте перезагрузить компьютер
- Если не поможет, то попробуйте пересоздать подключение по VPN заново (обратите внимание на тип подключения, он должен быть PPTP, а не PPPoE или L2TP).
- Также эта ошибка может возникать при отрицательном балансе вашего лицевого счета.
Ошибка 679
- Данная ошибка возникает при отключенном сетевом адаптере. Вам необходимо включить сетевой адаптер пройдя в «ПУСК->Панель Управления->Система->Диспетчер устройств->Оборудование».
Ошибка 691 или 718
«Неверный логин или пароль»
- Проверьте, правильно ли набран логин (номер договора). Он должен быть 4х значным (трёхзначные номера договоров должны дополняться нулём спереди). Попробуйте еще раз набрать логин и пароль. При наборе проконтролируйте, что включена верная раскладка клавиатуры (язык набора), состояние индикатора Caps Lock.
- Или если в данный момент уже создано соединение с вашим логином и паролем. (Если у вас подключено более одного компьютера).
- Некорректно завершена VPN-сессия (сбой подключения, нештатное выключение компьютера). В этом случае нужно подождать несколько минут.
- Достаточно часто бывает так, что Windows «забывает» введённые логин и пароль и тогда их надо ввести заново, предварительно стерев из полей ввода.
- Если операционная система при подключении не предлагает вводить имя пользователя и пароль, то необходимо выполнить следующие действия: Открыть «Панель управления», выбрать «Сетевые подключения», правой кнопкой мыши щелкнуть по вашему VPN соединению и в меню выбрать «Свойства». Откроются свойства VPN-соединения. Теперь нужно перейти во вкладку «Параметры» и поставить галочку напротив «Запрашивать имя, пароль, сертификат и т.д.». После этого подтвердите изменения нажав кнопку «ОК». При следующем подключении появится запрос имени пользователя и пароля.
Ошибка 711
Эта ошибка возникает, если на компьютере не запущена требуемая служба. При этом невозможно подключение к сети, а также в некоторых случаях — установка сетевых адаптеров. Эта проблема может возникнуть, если не запущены все или некоторые из перечисленных ниже служб.
- Поддержка самонастраивающихся устройств Plug and Play
- Диспетчер автоматических подключений удаленного доступа
- Диспетчер подключений удаленного доступа
- Телефония
Для устранения этой ошибки выполните следующие действия для каждой из указанных выше служб.
- Откройте компонент «Администрирование», нажав кнопку Пуск и выбрав пункты Панель управления, Система и ее обслуживание и Администрирование. Требуется разрешение администратора Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.
- Дважды щелкните Службы. Требуется разрешение администратора Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.
- Щелкните правой кнопкой мыши одну из указанных выше служб и затем щелкните Свойства.
- На вкладке Общие в пункте Тип запуска выберите вариант Вручную.
- Нажмите Применить, а затем нажмите Запустить.
Ошибка 720
«Не удается подключится к удаленному компьютеру.»Данная ошибка возникает при повреждении стека сетевых протоколов в Windows. Проверить целостность стека можно с помощью утилиты netdiag.
- Удалите раздел реестра командой REG DELETE HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
- Удалите раздел реестра командой REG DELETE HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
- Перезагрузите компьютер
- Откройте папку %winroot%\inf
- В ней найтите файл nettcpip.inf, сделайте его резервную копию и после откройте его в текстовом редакторе (например Notepad).
- Найдите в нем строки:
[MS_TCPIP.PrimaryInstall] ; TCPIP has properties to display Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE
- Исправить их на:
[MS_TCPIP.PrimaryInstall] ; TCPIP has properties to display Characteristics = 0x80 ; NCF_HAS_UI
- Сохранить изменения в файле nettcpip.inf
- Открыть Network Connections и щелкнув правой кнопкой мыши по свойству нужного нам сетевого подключения выбрать Install->Protocol->Add. Далее выбрать «have disk» и указать путь %winroot%\inf (обычно эта папка скрыта!)
- Выбрать TCP/IP из списка. После этого вы опять попадете в окно свойств сетевого подключения, но для TCP/IP теперь кнопка Uninstall будет активна.
- Выберите в списке This connection uses the following items протокол TCP/IP и нажмите кнопку Uninstall.
- Перезагрузите компьютер
- Установить протокол TCP/IP аналогично шагам 2-5.
Ошибка 733
- Возникает, если вы забыли убрать галочки со всех протоколов, кроме Протокол Интернета и QoS.
Ошибка 734
- Скорее всего у вас вирус WIN32.Sality.
Ошибка 735
- «Запрошенный адрес был отвергнут сервером»: Возникает, если вы ввели IP-адрес в «Свойства TCP/IP» (он должен получаться автоматически).
Ошибки 741 — 743
«Неверно настроены параметры шифрования»
- Зайдите в настройки VPN соединения, и во вкладке «Безопасность» отключите пункт «шифрование данных».
Ошибка 764
«Считыватели смарт-карт не установлены»
- Данная ошибка возникает, если вы неправильно настроили подключение по VPN. Попробуйте его удалить и настроить заново по этой инструкции.
Ошибка 769
«Указанное назначение недостижимо»
- Ошибка возникает из-за отключенного подключения по локальной сети или отсутствия физического линка. Рекомендуется проверить состояние ЛВС (должно быть включено) и физическое подключение к сети (сетевой кабель должен быть подключен).
- Иногда возникает в том случае, если роутер по какой-то причине не выдал правильный IP-адрес по DHCP
Ошибка 781
«Попытка кодирования не удалась, потому что не было найдено ни одного действительного сертификата.»
- Причины возникновения: VPN клиент пытается использовать L2TP/IPSec протокол для подключения.
- Совет: Войдите в настройки подключения VPN-Свойства->Сеть->Тип VPN и выберите PPTP VPN
Ошибка 789
«Выбран неверный тип VPN соединения»
- Зайдите в настройки VPN соединения и на вкладке «Сеть» из списка «Тип VPN» выберите «Автоматически» или «PPTP». Попробуйте повторно подключиться.
- Также эта ошибка возникает, если вы при вводе IP-адреса ошиблись, и вводите запятые вместо точек для разделения октетов.
Ошибка 807
Если используется «Автоматический» тип VPN-соединения, то попробуйте поменять на «PPTP». В свойствах сетевой карты надо поставить Receive-Side Scaling State — disable и Receive Window Auto-Tuning Level — disable. Возможно также, что соединение с сервером доступа блокируется брандмауэром (файрволлом). Можно ещё пересоздать VPN подключение согласно инструкции, если проблема не решится – удалить обновление системы KB958869, либо сделать восстановление системы на более раннее состояние.
Ошибка 809
Возникает при:
1 Использовании типа VPN соединения L2TP в Windows Vista и Windows 7 из-за блокировки соединения брэндмауэром Windows. Решение: Исправить тип VPN подключения на PPPtP. Активировать правило брандмауэра «Маршрутизация и удаленный доступ (PPPtP)»
2 Блокировке со стороны установленного Вами файрвола или антивируса с функцией сетевого экрана Решение: Корректно настройте свой файрвол.
Ошибка 1717
«Неизвестный интерфейс»
- Попробуйте перезагрузить компьютер
- Если не поможет, то запустите из командной строки (проверка целостности системных файлов)
sfc /scannow
Настройка VPN-подключения в Windows Vista/7
Вы можете прочитать о возможных путях решения, если у вас возникли какие-либо проблемы с подключением.
Мастер новых подключений
Аналогично настройке подключения по VPN в Windows XP запускаем «Установка подключения или сети» и выбираем «Подключение по VPN»:
Выбираем создание нового подключения и тип PPTP, после этого нажимаем кнопку Далее:
Если у Вас еще не создано ни одного подключения VPN, то в появившемся окне нужно выбрать «Использовать мое подключение к интернету (VPN)»
Если в системе уже были созданы подключения, то в появившемся окне выбираем «Нет, создать новое подключение»
Заполняем поле для адреса сервера, ставим галочку Не подключаться сейчас и нажимаем кнопку Далее:
Вводим в поле Имя пользователя номер договора, а в поле Пароль— пароль для VPN-соединения (указан в приложении №2 к договору как Пароль для просмотра статистики, почты и VPN-соединения) и нажимаем кнопку Создать:
Свойства VPN-подключения
После этого выбирайте «Свойства VPN-подключения» и исправляйте в отмеченных местах:
Если убрать галочку «Запрашивать имя, пароль, сертификат и т.д.» то при выполнении подключения компьютер не будет выводить окно подключения и запрашивать логин и пароль. В случае, если Windows забудет логин с паролем (а такое случается), то соединение не будет установлено. Отобразится ошибка 691. При этом пользователю не будет предложено заново ввести логин и пароль. Что делать в этом случае.
или
Ярлык соединения на рабочем столе в Windows Vista и 7 можно сделать следующим образом: Открываем «Центр управления сетями и общим доступом», в левой колонке нажимаем ссылку «Изменения параметров адаптера», в открывшемся окне нужно найти ваше «VPN-подключение» (название может быть другим, в зависимости от того как вы указали «Имя местоназначения» в процессе настройки). Нажимаем правой кнопкой на соединении и выбираем «создать ярлык». По умолчанию будет предложено расположить этот ярлык на рабочем столе. Нажимаем «Да».
Ошибки
Ошибка 609
Этот метод решения проблемы срабатывает не всегда.
- Запустите командную строчку (CMD) под правами Администратора
- Введите следующие команды (удаление драверов miniport):
C:\> netcfg -u ms_l2tp C:\> netcfg -u ms_pptp
- Теперь следующие две (установка драйверов miniport):
C:\> netcfg -l %windir%\inf\netrast.inf -c p -i ms_pptp C:\> netcfg -l %windir%\inf\netrast.inf -c p -i ms_l2tp
Ошибка 619
«Порт отключен»
Возможные причины и способы решения:
- Неполадки операционной системы. В этом случае рекомендуем обратиться к специалистам.
- Включен брандмауэр (фаервол). В этом случае рекомендуем отключить фаервол.
Ошибка 651
«Ваш модем (либо другое устройство) сообщило об ошибке.»
Возможные причины и способы решения (в порядке выполнения):
- Сбой операционной системы. В этом случае рекомендуем перезагрузить компьютер.
- Сбиты драйвера сетевой карты. Рекомендуем переустановить драйвера и заново настроить сеть.
- Неполадки в работе ОС. Рекомендуем переустановить операционную систему.
- Неисправна сетевая карта. Рекомендуем заменить сетевую карту.
Ошибка 678
«Нет отклика»
Часто возникает при сбитой привязке MAC-IP. При этом не пингуются VPN-сервера и шлюз. В этом случае рекомендуется позвонить нам и сбросить привязку MAC-IP.
Ошибка может появляться, если происходит попытка подключения к серверу, не поддерживающему PPTP-протокол VPN. Рекомендуем настроить заново VPN-соединение с помошью автоконфигуратора или проверить настройки вручную.
Ошибка 691 (Vista/7)
«Доступ запрещён, поскольку такие имя и пароль недопустимы в этом домене».
Появляется в следующих случаях:
- Введен неверный логин/пароль. Полностью очистите окно ввода логина/пароля и наберите их заново. Логин должен быть 4х значным (трёхзначные номера договоров должны дополняться нулём спереди). При наборе проконтролируйте, что включена верная раскладка клавиатуры (язык набора), состояние индикатора Caps Lock.
- Некорректно завершена VPN-сессия (сбой подключения, нештатное выключение компьютера). В этом случае нужно подождать несколько минут.
- Или если в данный момент уже создано соединение с вашим логином и паролем. (Если у вас подключено более одного компьютера).
- Достаточно часто бывает так, что Windows «забывает» введённые логин и пароль и тогда их надо ввести заново, предварительно стерев из полей ввода.
- Если операционная система при подключении не предлагает вводить имя пользователя и пароль, то необходимо выполнить следующие действия: Открыть «Панель управления», выбрать «Центр управления сетями и общим доступом», в левой колонке перейти по ссылке «Изменение параметров адаптера», правой кнопкой мыши щелкнуть по вашему VPN соединению и в меню выбрать «Свойства». Откроются свойства VPN-соединения. Теперь нужно перейти во вкладку «Параметры» и поставить галочку напротив «Запрашивать имя, пароль, сертификат и т.д.». После этого подтвердите изменения нажав кнопку «ОК». При следующем подключении появится запрос имени пользователя и пароля.
Ошибка 711
выполните в командной строке с правами Администратора:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
для того чтобы запустить командную строку с правами администратора необходимо нажать меню пуск, затем во вкладке выполнить набрать в английской раскладке cmd в меню появится иконка с надписью cmd, кликаем на ней правой кнопкой мыши и выбираем пункт «Запустить с правами администратора»
Ошибка 814
«Не найдено базовое подключение Ethernet»
- Ошибка вызвана недоступностью сетевого адаптера, используемого при этом подключении.
Ошибка 868
«DNS-имя не разрешено»
- Данная ошибка возникает только в «Windows 7». Суть проблемы в том, что в некоторых «сборках» (builds) данной Windows нестабильно работает DNS-клиент.
- Решение:
- Проверить, что адреса DNS-серверов в подключении по локальной сети получаются автоматически (на данный момент должны выдаваться 10.0.1.5 и 192.168.2.1)
- Отключить протокол IPv6 (а лучше — всё, кроме IPv4) в свойствах подключения по локальной сети
- Задать адрес сервера доступа вместо nas.iksnet в виде IP-адреса (10.0.1.11 или 10.0.1.13 на данный момент, а лучше проверить командой
ping nas.iksnet
и перезагрузка компьютера. Если же после этого подключение не восстановилось, то стоит задуматься о переустановке Windows.
Настройка VPN в Linux
Debian
Сначала установите нужный пакет:
$ apt-get install pptp-linux
Потом отредактируйте файл с описанием сетевых интерфейсов. Вот пример:
$ cat /etc/network/interfaces auto lo iface lo inet loopback auto eth0 ppp9 iface eth0 inet dhcp iface ppp9 inet ppp provider iksnet pre-up ip link set eth0 up
Потом отредактируйте файл с описанием вашего VPN-соединения. Он должен быть примерно таким:
$ cat /etc/ppp/peers/iksnet unit 9 lock noauth nobsdcomp nodeflate #mtu 1300 persist maxfail 3 lcp-echo-interval 60 lcp-echo-failure 4 pty "pptp nas.iksnet --nolaunchpppd --loglevel 0" name <name> # Ваш номер договора remotename iksnet ipparam iksnet defaultroute replacedefaultroute usepeerdns #nodebug kdebug 0
После этого внесите ваши учётные данные <name>=номер договора, <password>=пароль для VPN в файл (обратите внимание на кавычки для пароля):
$ cat /etc/ppp/chap-secrets <name> * "<password>" *
А после этого можете вручную подключить VPN:
$ ifup ppp9
И выключить:
$ ifdown ppp9
Наличие соединения можно проверить с помощью команды:
$ ifconfig ppp9 ppp9 Link encap:Point-to-Point Protocol inet addr:89.113.252.65 P-t-P:10.0.1.11 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1450 Metric:1 RX packets:40 errors:0 dropped:0 overruns:0 frame:0 TX packets:418 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:7750 (7.5 KiB) TX bytes:1189 (1.1 KiB)
Оригинал статьи http://www.iksnet.ru/blog/?s=vpn&x=0&y=0#.D0.9D.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B9.D0.BA.D0.B0_VPN-.D0.BF.D0.BE.D0.B4.D0.BA.D0.BB.D1.8E.D1.87.D0.B5.D0.BD.D0.B8.D1.8F_.D0.B2_Windows_XP
Настройка удаленного доступа к компьютеру через VPN
Сейчас аббревиатура VPN у большинства ассоциируется с возможностью доступа к заблокированному на определенной территории контенту, но возможности таких сетей куда шире. VPN, или виртуальная частная сеть — это технология, позволяющая создавать защищенные каналы связи, в которых скрываются реальные IP-адреса пользователей. Принцип действия прост — между двумя или несколькими компьютерами создается зашифрованный и абсолютно закрытый туннель, в котором и происходит обмен информацией.
Подобная частная сеть нужна и при организации удаленной работы пользователей. Когда сотрудник подключается к рабочему месту используя VPN, сначала происходит соединение с ВПН-сервером, а только потом происходит обмен данными с любыми web-сайтами или приложениями. Такой формат обеспечивает основное преимущество виртуальных сетей — все передаваемые между клиентом и сервером данные шифруются, что обеспечивает безопасность информации.
Также, становится возможным:
- осуществлять контроль подключений удаленных работников, что будет указывать на точное фактическое начало и конец рабочего дня каждого сотрудника;
- производить учет трафика и посещенных ресурсов, что позволит сформировать реальную картину сетевой активности персонала;
- производить контентную фильтрацию трафика и блокировать не относящиеся к работе или вредоносные web-ресурсы.
Преимущества использования ИКС для настройки удаленного доступа
VPN-сервер уже встроен в программу ИКС и не требует установки дополнительного программного обеспечения. Кроме того, в нашем сервере представлены:
- Функция NAT, позволяющая производить перенаправление портов внутри виртуальной частной сети. Работникам будет не обязательно указывать Интернет Контроль Сервер в качестве шлюза при подключении.
- Протоколы PPTP, L2TP, OpenVPN — можно выбрать и настроить наиболее подходящий.
- Утилита xauth обеспечивает простоту авторизации к ВПН-серверу.
- Осуществление контроля доступа. На экране подключений будет наглядно продемонстрирована роль и IP-адрес пытающего подключиться пользователя.
- Динамическая адресация, настройка спектра IP-адресов сети.
- Повышенная безопасность подключение и передачи данных, обеспечиваемая работой IPSEC-туннелей.
- Автоматическая маршрутизация для туннелей.
Настройка VPN-сети в ИКС
Создание виртуальной частной сети
Для начала работы необходимо создать эту сеть в клиенте Интернет Контроль Сервер. Эта функция доступна в разделе «Провайдеры и сети» под пунктом «Добавить». В меню выбора необходимо отметить «VPN-сеть». После выполнения данных действии откроется следующее диалоговое окно:
С помощью префикса можно указать диапазон доступных в частной сети IP-адресов. Далее можно отметить галочками необходимые протоколы для подключения, среди них PPTP, L2TP, L2TP/IPsec.
Кликнув на кнопку «Настройки авторизации» можно управлять списком пользователей, которым подключение разрешено.
Настройка пользователей
После создания сети необходимо настроить список разрешенных для подключения к VPN-серверу пользователей. Для этого необходимо перейти к пункту «VPN», далее — «Пользователи». Здесь же будет необходимо настроить пару логин-пароль для авторизации на сервере:
Если в поле «IP-адреса» ничего не прописано, значит при каждом подключении пользователю сети будет присваиваться любой из доступных IP-адресов. Для статической адресации можно прописать адрес вручную — это будет удобно для пользователей, не использующих интернет-шлюз.
В том случае, если требуется подключение к ИКС через PPTP VPN, необходимо разрешить входящие соединения на порт 1723 и разрешить GRE-трафик в настройках межсетевого экрана.
ARP proxy
Чтобы пользователю, подключенному по PPTP или L2TP-протоколу, не указывать каждый раз маршрут до компьютеров локальной сети, можно воспользоваться технологией ARP-прокси. В этом случае каждому подключившемуся будет выдан свободный IP, а обращение к компьютерам ЛВС будет производиться напрямую — так, как будто клиент фактически находится в ней.
Кроме перечисленных ранее протоколов ИКС позволяет использовать протокол OpenVPN, который по определенным признакам сегодня считается наиболее безопасным и удобным для удаленного подключения к корпоративной сети. Настройку VPN и OpenVPN в ИКС мы рассмотрели на вебинаре.
Интернет Контроль Сервер — полнофункциональный UTM-шлюз
Помимо возможности создания и тонкой настройки частных сетей, ИКС обладает множеством функции:
- контроль доступа и скорости передачи данных, управление доступом пользователей на основании гибкой системы ролей и правил;
- защита локальной сети с помощью встроенных антивирусных модулей и утилит fail2ban и ids/ips;
- Application Firewall для контроля запущенных приложений;
- контентная фильтрация по спискам МинЮста для образовательных учреждений;
- счетчик трафика с встроенным мастером построения отчетов;
- файловый и почтовый серверы;
- jabber-сервер;
- сервер IP-телефонии со встроенным софтофоном и поддержкой видеоконференции.
Для знакомства с нашим продуктом мы предлагаем бесплатный полнофункциональный 35-дневный период, в ходе которого вы можете оценить все преимущества Интернет Контроль Сервера. В течение периода тестирования, как и при действующей лицензии, осуществляется техническая поддержка.
Возврат к спискуСоздание VPN соединения автоматически скриптом
На просторах интернета имеется большое количество информации на тему виртуальных частных сетей.Однако очень мало статей, как создать VPN соединение автоматичеки (скриптом). Можно найти как это сделать в UNIX. Мы же опишем как это сделать в Windows, на примере Windows 7. Такой вопрос может встать перед системным администратором (например, если нужно сделать одинаковые настройки VPN соединения на нескольких компьютерах). В других версиях ОС Windows всё делается по аналогии и опытному человеку не составит труда разобраться. Рядовой пользователь может озадачиться данным вопросом с малой вероятностью, поэтому мы пока не будем описывать данный процесс для других операционных систем. Однако постараемся расписать каждый шаг:
- Ручное создание соединения через интерфейс.
- Настройка использования шлюза (как компьютер будет ходить в интернет, через VPN или минуя его).
- Автоматизация подключения уже настроенного соединения.
- Автоматизация создания нового подключения.
Cоздание соединения через интерфейс
Предполагаем, что где-то имеется сервер виртуальной частной сети и нам известны параметры для подключения к нему (адрес, логин и пароль). Заходим: Пуск -> Панель управления -> Центр управления сетями и общим доступом. В разделе Изменение сетевых параметров, щелкнем по Настройка нового подключения или сети. Откроется окно Установка подключения или сети, где будет предложено выбрать вариант. Щелкаем по Подключение к рабочему месту Настройка телефонного или VPN-подключения к рабочему месту и жмём Далее.
Если уже имеются другие настройки, на следующем шаге будет предложено выбрать что-то из них или создать новое. Выбираем создать новое. На следующем шаге выбираем Использовать моё подключение к Интернету.
В появившемся окне вводим: Интерент-адрес — адрес VPN сревера (IP или доменное имя), Имя местоназначения — любое, оно будет отображаться в списке ваших сетей (если планируется дальнейшая автоматизация процессов, рекомендуем использовать в названии только латиницу и/или цифры.
На следующем шаге вводим пользователя и пароль, а так же выбираем запомнить пароль или нет.
По завершению произойдет попытка соедениться, и если всё указано верно коеенкт произойдет.
Если вам известен протокол, по которум работет ваш сервер, рекомендуем настроить его принудительно, это ускорит процесс подключения. Необходимо отключить ваш VPN: в правом нижнем углу (в трее) раскрываем список сетей, на нашей правой кнопкой мыши -> отключить.
Заходим: Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменения параметров адаптера. На нашей сети правой кнопкой мыши -> Свойства. Закладка Безопасность. И выбираем Тип VPN. Если этого не сделать, каждый раз будут попытки соедениться по каждому из протоколов, пока не будет успешной.
Настройка использования шлюза
После типовой настройки, описанной в предыдущем пункте, весь ваш интрнет трафик пойдет через созданный канал, т.е. через сервер. Если сервер имеет интернет канал с пропускной способностью меньше чем у вас, или он прилично нагружен, возможно ощутить замедление скорости доступа в глобальную сеть. Так же, на сайтах или сервисах на которые вы пойдете будет светиться IP адрес сервера, а не ваш. Иногда такое не подходит и есть необходимость, чтобы светился ваш IP адрес. В таком случае необходимо произвести настройку шлюза.
Вновь отключаемся и заходим в свойства соединения как описано чуть выше (в изменениях параметра адаптера). Выбираем закладку Сеть. Выделяем Протокол Интернета версии 4(TCP/IPv4) и жмеме Свойства -> Дополнительно. На закладке Параметры IP снимаем галку Использовать основной шлюз в удаленной сети. Во всех открытых окнах — ОК. Теперь даже при подключенном VPN соединении интернет трафик пойдет через ваш, а не удаленный шлюз.
Автоматизация подключения уже настроенного соединения
Автоматически установит VPN соединение для уже настроенного подоключения, можно не только из интерфейса, но и из-под коммандной стрки, используя команду rasdial.
Формат команды:
rasdial [Имя подключения] [имя пользователя] [пароль]
где Имя подключения — то, что вы указали при создании VPN подключения в Имени местоназначения.
Пример команды:
rasdial myvpn test_user 12345
Используя эту команду, можно, например, настроить автоматическое подключение по VPN при загрузке компьютера. Для этого в планировщике задач необходимо создать нужное задание, в котором указать данную команду. Можно так же создать bat файл с одной строчкой — этой командой, и указать в задании его.
Остается одна проблема. Пароль при этом храниться в открытом виде. Если это решение не устраивает, можно скомпилировать bat файл в exe и пароль не будет явно видно. Переделка bat файла в exe — тема отдельной статьи, которых много в интернете. Воспользовавшись поиском, не составит труда найти, как это делается.
Создание VPN соединения скриптом
А теперь к самому интересному. Все созданные пользователем VPN соединения и их настройки храняться в одном файле — rasphone.pbk, который храниться в системной папке пользователя:
%APPDATA%\Microsoft\Network\Connections\Pbk
или, при типовой настройке Windows
C:\Users\[Имя пользователя]\AppData\Roaming\Microsoft\Network\Connections\Pbk
В этом файле первая строка — имя VPN соединения в квадратных скобках. Далее идут пареметры (настройки) этого соединения. После них через пустую строку идет имя следующего VPN соединения в квадратных скобках (если у вас их два и более) и так далее.
[myvpn]
...
......
...[myvpn2]
...
......
...
Копируем этот файл в другое место, например на флэшку. Если у вас на этом компьютере было несколько настроенных VPN, а вам нужно настраивать на других компьютерах только один или некоторые, открываем скопированный файл в текстовом редакторе (я предпочитаю Notepad++).У даляем лишние соединения вместе с их настройками. Делать это нужно аккуратно, не удалив случайно некоторые из настроек нужных соединений
Создаем bat файл из двух строк
copy /Y rasphone.pbk C:\Users\user\AppData\Roaming\Microsoft\Network\Connections\Pbk
rasdial myvpn test_user 12345
Я кладу созданный bat файл на флэшку в тот же каталог, где находиться отредактированный файл rasphone.pbk. Поэтому в первой строчке скрипта укзываю его имя без пути.
Предполагая, что на комьютере, на котором буду внедрять решение — типовая установка Windows и пользователь называется user, поэтому в первой строке, в комманде copy, каталог назначения имеет такой вид.
/Y означает, что файл в папке назначения будет перезаписан, если существует, без лишних вопросов.
Важно!!! В моей реализации предполагается, что на компьютере внедрения отсутствуют существующие настроенные VPN соединения.
Если они присутствуют, то будут утеряны (удалены) при перезаписи файла, а если найдутся подключенные, то скрипт может выдать ошибку.
Если соединения уже есть, и их необходимо сохранить, потребуется не перезаписывать файл rasphone.pbk, а дописывать в него необходимую текстовую информацию.
Вторая строчка скрипта сразу устанавливает соединение для созданного VPN подключения
Запускаем скрипт и получаем результат. Вариаций реализации данного решения множество и у каждого своя ситуация. Охватить одной статьей все ситуации невозможно, цель — описать общий механизм.
Заключение
Если в данной статье оказалось недостаточно информации, сообщите нам на почту [email protected] и мы постараемся внести дополнения.
Если статья оказалась вам интересна и полезна, помогите найти её другим пользователям — сделайте репост в социалных сетях, используя расположенные ниже кнопки.
Хотите использовать VPN в Windows 10? Вот лучший способ настроить
Настроить VPN в Windows 10 очень просто.
Сара Тью / CNETПланируете ли вы воспользоваться скидками на ноутбук Prime Day и приобрести новый компьютер с Windows 10 (140 долларов на Amazon), или вы пользуетесь им уже много лет и просто с нетерпением ждете предстоящего крупного редизайна Windows от Microsoft, вы может рассмотреть возможность добавления виртуальной частной сети для защиты вашей конфиденциальности в Интернете.
Самый простой способ запустить и запустить свою любимую VPN на устройстве с Windows 10 — просто загрузить приложение VPN из Microsoft Store и установить его, как вы это делали на своем предыдущем устройстве или в версии Windows. Использование приложения VPN также является лучшим способом использовать дополнительные функции этой VPN — от блокировки рекламы до автоматического выбора самых быстрых подключений.
Но для технически любопытных есть еще один вариант — протестировать встроенный VPN-клиент Windows 10. Это может показаться сложным, но процесс занимает от 15 до 20 минут и может быть разбит на два основных компонента: создание профиля VPN и последующее подключение к VPN.Вот пошаговое руководство по настройке VPN в Windows 10. (Кроме того, ознакомьтесь с этими советами по обеспечению безопасности вашего устройства с Windows 10).
Подробнее: Как бесплатно загрузить Windows 10
2 вещи, которые вам понадобятся перед настройкой VPN в Windows 10
Служба VPN
Даже если вы используете Windows 10 для управления подключением к VPN, вам все равно нужно будет выбрать, к какой службе VPN подключаться. Выбранный вами сервис определит, кто будет запускать серверы, к которым вы собираетесь подключиться.
Ознакомьтесь с нашим списком лучших VPN, которые мы протестировали, чтобы быстро понять, какой провайдер может быть лучшим для вас. Вы найдете множество вариантов, включая самые быстрые VPN, лучшие дешевые VPN, лучшие VPN для iPhone и лучшие VPN для Android. Но независимо от того, какую услугу вы выберете, обратите внимание на любые красные флажки, которые могут указывать на менее чем частную услугу.
Выбор протокола
Во время настройки вам будет предложено выбрать протокол из списка. Проще говоря, выбранный вами протокол определяет стойкость вашего шифрования.Есть несколько типов протоколов, используемых VPN, и какой бы VPN вы ни выбрали, он будет использовать один из них. Четыре наиболее распространенных: PPTP, L2TP / IPSec, SSTP и OpenVPN. Во время установки вы сообщите Windows, какой тип протокола использует ваша VPN, выбрав его из списка. Ваш провайдер VPN сообщит вам, что он использует.
Подробнее: Все термины VPN, которые вам необходимо знать
Вы можете использовать стороннюю службу VPN на своем устройстве с Windows 10 или опробовать встроенную опцию Microsoft.
Джош Голдман / CNETСоздайте профиль в клиенте Windows 10 VPN
Вот как настроить и подключиться к VPN через клиент Windows 10 VPN:
1 . На рабочем столе Windows 10 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Параметры » в появившемся меню.
2 . В новом всплывающем окне щелкните Сеть и Интернет , затем выберите VPN из списка вариантов подключения в правой части экрана.
3 . Щелкните Добавить VPN-соединение .
4 . Вы попадете на экран конфигурации. В разделе VPN-провайдер щелкните раскрывающееся меню и выберите вариант с надписью Windows (встроенный) .
Бретт Пирс / CNET5 . В поле Имя соединения введите имя, которое вы хотите дать этому конкретному соединению.Попробуйте создать такое соединение, которое вы легко узнаете как соединение VPN. Если, например, вы используете ExpressVPN и хотите, чтобы это соединение было тем, которое вы используете для подключения к серверу в Нью-Йорке, назовите соединение как-нибудь вроде «ExpressVPN, сервер в Нью-Йорке».
6 . В поле Server name or address введите фактический адрес сервера, к которому вы подключаетесь. Ваш VPN-сервис сможет предоставить эту информацию. Обычно он будет выглядеть как URL-адрес веб-сайта с буквенно-цифровой строкой из пяти или шести символов, за которой следует имя используемой вами службы VPN.
7 . В раскрывающемся списке VPN type вам будет предложено выбрать протокол, как я упоминал выше. Выберите тот, который использует ваш VPN-сервис.
8 . В раскрывающемся меню Тип информации для входа выберите способ входа в новое VPN-соединение. У разных провайдеров VPN есть разные предпочтительные методы, поэтому вы можете узнать у своего провайдера VPN, чтобы быть уверенным, но для большинства коммерчески доступных частных VPN вы будете выбирать имя пользователя и пароль .
Это означает, что всякий раз, когда вы выбираете это новое VPN-соединение на своем компьютере с Windows 10, вам нужно будет войти в него с тем же именем пользователя и паролем, которые вы обычно используете для входа в свою службу VPN на любом другом устройстве.
Подробнее: Как определить хороший VPN: 3 особенности, на которые следует обратить внимание
9 . Нажмите кнопку Сохранить . Вы создали свой профиль VPN, и все, что осталось сделать, — это подключиться к нему.
10 .Вернитесь на страницу настроек Сеть и Интернет и выберите VPN из опций в правой части экрана, как и раньше. Ваше вновь созданное VPN-соединение появится в списке (в нашем примере вы увидите «ExpressVPN, сервер в Нью-Йорке»). Выберите его и нажмите Connect .
Вот и все. Конечно, возможно, вы упускаете некоторые из дополнительных функций, которые в противном случае получили бы при использовании загружаемого приложения вашего VPN-провайдера, но, с другой стороны, теперь у вас также есть больший контроль над своим подключением, и вам не нужно иметь дело с потенциально раздутая программа, постоянно работающая в фоновом режиме.Счастливого пути!
Чтобы узнать больше, ознакомьтесь со всеми советами и рекомендациями по Windows 10, которые вам нужно знать, и тремя замечательными функциями Windows 10, появившимися в прошлом году.
Дополнительные советы по VPN
Сейчас играет: Смотри: Какой VPN выбрать?
4:28
Как настроить VPN | Учебник по VPN 2021
Популярные VPN-сервисы
Лучший VPN 2021 года
- Общий рейтинг 360
- Стоимость месячного плана
- $ 12.95 / месяц
- Стоимость годового плана
- 8,32 долл. США / месяц
- Количество IP-адресов
- Различается
- Количество серверов
- 3,000+
- одновременных подключений
Best с дополнительным выделенным IP
- 360 Общий рейтинг
- Стоимость месячного плана
- 11,95 долларов США в месяц
- Стоимость годового плана
- 6 долларов США.58 / Месяц
- Количество IP-адресов
- 5,502+
- Количество серверов
- 5,502
- Одновременных подключений
- 6
- одновременных подключений
Выбор виртуальной частной сети или VPN может показаться сложным из-за всех доступных вариантов.Как узнать, нужен ли он вам? Как это работает? Что это для тебя значит? Мы ответим на все эти вопросы в этой информационной статье и сделаем это так, чтобы облегчить вам принятие решения.
Melpomenem
Независимо от того, есть ли у вас одно устройство для подключения к Интернету или 20, для вас найдется поставщик VPN. Если вы ищете способ защитить свои данные дома или в любом другом месте, где используется общедоступная сеть Wi-Fi, служба VPN — отличный способ сделать это. Прочтите, чтобы получить советы по выбору службы, понять, как она защищает вашу конфиденциальность в Интернете, а также получить помощь в настройке VPN на ваших компьютерах и мобильных устройствах.
Как получить VPN
- Решите, нужен ли вам VPN. Первый вопрос, который вы должны задать себе: нужен ли мне VPN? Хотя виртуальная частная сеть может принести пользу большинству пользователей Интернета, подумайте о том, как вы взаимодействуете с Интернетом. Если вы регулярно используете общедоступный Wi-Fi или точку доступа Wi-Fi, вам следует подумать об использовании службы VPN, поскольку эти подключения, как правило, не так безопасны, как ваша домашняя сеть.
- Подумайте, какой VPN вам следует купить. Изучив, как вы взаимодействуете с Интернетом, вы захотите определить, какой VPN вам подходит. Такие факторы, как цена, количество одновременных подключений, страна юрисдикции и общее количество серверов, — это лишь некоторые из факторов, которые помогут вам определить, какой VPN лучше всего подходит для вас. К счастью, услуги VPN бывают самых разных форм и размеров, поэтому, если у вас ограниченный бюджет или вам нужно одновременно подключать множество устройств, в нашем рейтинге Лучшие VPN-сервисы 2021 года будет вариант, отвечающий вашим потребностям.
- Определите свой бюджет. После того, как вы выяснили, какие VPN лучше всего подходят для вас, вы, вероятно, захотите узнать, сколько стоит VPN. При покупке VPN важно знать, что вы можете сэкономить много денег, если приобретете годовой план. Частный доступ в Интернет можно приобрести всего за 3,33 доллара в месяц при подписке на годовой план. Однако, если вы решите использовать ежемесячный план, средняя цена компаний в нашем рейтинге лучших VPN составляет 11 долларов.79. Ваши потребности могут быть удовлетворены с помощью одного из наших лучших бесплатных VPN-сервисов 2021 года.
- Установите программное обеспечение и приложения VPN. Когда вы решили, какой VPN получить, все, что стоит между вами и безопасным доступом в Интернет, — это его настройка. В зависимости от выбранной вами VPN вам, скорее всего, придется настроить несколько совместимых устройств. Ниже мы рассмотрим, как настроить VPN на наиболее распространенных устройствах, на которых вы будете его использовать, и объясним вам, как использовать новую VPN.
Что такое VPN-соединение?
VPN, или виртуальная частная сеть, секретно туннелирует вашу информацию из точки A (вы) в точку B.«Работа в Интернете или совершение транзакций в незащищенной сети Wi-Fi означает, что вы можете раскрыть свою личную информацию и свои привычки просмотра», — утверждает Norton, компания, производящая антивирусное программное обеспечение и программное обеспечение для обеспечения безопасности. Он называет VPN «обязательным условием для всех, кто обеспокоен своей сетевой безопасностью и конфиденциальностью».
Ваш IP-адрес — это ваше «имя» или идентификатор, который передает, кто и где вы находитесь — ваши цифровые координаты, если хотите. VPN шифрует или преобразует в код ваш IP-адрес и любые данные, которые вы отправляете, а затем расшифровывает их на принимающей стороне.Это может создать впечатление, что ваше соединение исходит из другой страны, что может разблокировать некоторые веб-сайты с географическим ограничением.
«Вспомните, сколько раз вы были в пути, читали электронные письма, стоя в очереди в кафе, или проверяли свой банковский счет, ожидая в кабинете врача», — объясняет Нортон. «Если вы не вошли в частную сеть Wi-Fi, для которой требуется пароль, любые данные, передаваемые во время вашего онлайн-сеанса, могут быть уязвимы для прослушивания посторонними, использующими ту же сеть.
«Шифрование и анонимность, предоставляемые VPN, помогают защитить ваши действия в Интернете: отправку электронных писем, совершение покупок в Интернете или оплату счетов. VPN также помогают сохранять анонимность при просмотре веб-страниц ».
Хороший VPN также блокирует большинство рекламных трекеров, которые бомбардируют вас целевой рекламой и сообщениями, которых вы хотите избежать.
Это виртуальная версия трубок, которые тянут капсулу с вашими чеками, дебетовой картой и удостоверением личности к кассиру в вашем местном банке. Со своей стороны, вы защищаете свои личные данные в цилиндре и отправляете их через пневматическую трубку (шифрование).Кассир банка получает капсулу и надежно ее открывает, показывая отправленные вами данные (расшифровка). Между тем ваша информация защищена во время путешествия слоем пластика (туннелирование).
Нужен ли мне VPN?
Плюсы:
Защищает ваши пароли от посторонних глаз
Защищает все ваши передачи от хакеров, когда вы находитесь в общедоступных сетях Wi-Fi
Удаляет географические ограничения, позволяя вам получить доступ ваши местные потоковые сервисы, когда вы путешествуете в другие страны
Позволяет вам просматривать анонимно
Безопасно подключается к сайтам в регионах, которые ограничивают социальные сети и цензурируют контент
Минусы:
Стоимость, которая варьируется от поставщика VPN к провайдеру VPN
Выбор VPN без полной безопасности при обрыве подключения к Интернету подвергает риску ваши данные
Не защищает вас от вирусов и не блокирует все вредоносные веб-сайты
Ваши пароли, медицинские история, личные разговоры, финансовая информация и многое другое — это ваше личное дело.Использование VPN при ведении любого вида личного бизнеса защищает вашу информацию от хакеров, пока вы подключены к общедоступной сети.
VPN также полезны для ведения бизнеса. Независимо от того, работаете ли вы удаленно или внештатно в кафе, VPN — отличный способ обеспечить безопасность вашего бизнеса и защиту конфиденциальной информации от посторонних глаз. Если у вас есть бизнес, а ваши сотрудники используют общедоступный Wi-Fi или незащищенную домашнюю сеть, надежная VPN-сервис поддерживает ваш бизнес с помощью комплексной политики конфиденциальности и гарантирует, что интернет-активность вашей компании нигде не сохраняется и не записывается.
Однако VPN делает упор на конфиденциальность, а не на защиту. Хотя хакер не сможет отслеживать вашу активность в Интернете, вы по-прежнему уязвимы для вредоносных программ и других угроз безопасности. Поэтому лучше всего сочетать VPN с хорошим блокировщиком вредоносных программ и антивирусным программным обеспечением. Этот пакет программного обеспечения безопасности работает вместе, как налокотники и шлем, когда вы катаетесь на скейтборде, защищая все ваши уязвимые места.
В то время как преимущества использования VPN обычно перевешивают недостатки, VPN может замедлить ваше соединение, если вы используете VPN-серверы, которые полностью загружены.«Использование VPN означает перенаправление большей части или всех ваших сетевых коммуникаций через провайдера VPN, который добавляет еще один переход к любому пути, по которому обычно проходят ваши коммуникации. Этот дополнительный переход увеличит задержку и может съесть часть вашей пропускной способности, если серверы провайдера VPN будут перегружены », — говорит старший инженер-программист SitePen Джейсон Читхэм. «Шифрование и дешифрование требуют некоторой вычислительной мощности. На телефоне это может привести к сокращению срока службы батареи. И на настольных компьютерах, и на телефонах он может потреблять некоторую пропускную способность.”
Большинство VPN-подключений к компаниям с самым высоким рейтингом являются достаточно быстрыми, хотя общая скорость может варьироваться от одного к другому. Если вы никогда раньше не использовали VPN, ознакомьтесь с гарантиями возврата денег для выбранной вами VPN (если применимо), если эта услуга в целом ухудшает вашу работу в сети. Изменение некоторых настроек также может помочь улучшить вашу скорость. Например, использование сервера поблизости от вашего местоположения может помочь уменьшить задержку.
Какой VPN мне подходит?
Сравнение характеристик VPN
| ||||||||
| ||||||||
| ||||||||
| ||||||||
|
Все эти и многие другие вопросы определят, как выбрать поставщика VPN, который будет соответствовать и превосходить ваши ожидания.Например, если цена является фактором, взгляните на наш список лучших бесплатных VPN-сервисов в 2021 году. TunnelBear предлагает бесплатную версию своей VPN, но вы захотите обратить внимание на ограничения данных для вашего ежемесячного сервиса, потому что он включает до 500 МБ. Windscribe, базирующийся в Канаде, включает программное обеспечение для блокировки рекламы даже в бесплатной версии. Бесплатный сервис ProtonVPN, базирующийся в Швейцарии, дает вам доступ к множеству потоковых сервисов и аварийному переключателю, среди других функций. Федеральная торговая комиссия (FTC) рекомендует изучить любое приложение VPN, прежде чем использовать его.«Вы доверяете VPN потенциально весь свой трафик», — заявляет Федеральная торговая комиссия. «Прежде чем скачать приложение VPN, узнайте о нем как можно больше. Ищите сторонние обзоры из уважаемых вами источников ». Когда дело доходит до безопасности ваших данных, обратите внимание на шифрование AES-256, которое многие службы будут продавать как «военного уровня» или «государственного уровня». AES-256 — золотой стандарт, действительно используемый правительством и военными США; он также поддерживает идеальную секретность пересылки, которая постоянно меняет ключ (или код), так что даже если хакер сможет точно определить ваш ключ за один сеанс, он сразу станет бесполезным. «Основная цель VPN — зашифровать обмен данными между вашим компьютером и провайдером VPN. Пока это работает надежно, VPN выполняет свою работу », — говорит Читам. «Другие функции, которые могут быть полезны, включают оптимизацию данных для уменьшения использования мобильных данных при использовании VPN, улучшенные гарантии конфиденциальности и возможность автоматического включения VPN, когда вы находитесь в ненадежной сети». VPN для смартфонов и планшетовVPN-приложения, адаптированные для смартфонов и планшетов, упрощают использование сервиса, где бы вы ни находились в сети.Например, для iPhone или iPad перейдите прямо в Apple App Store, чтобы получить приложение и подписаться на подписку. В некоторых случаях вы можете настроить платеж через свой Apple ID. Тем не менее, прочтите мелкий шрифт на любых гарантиях возврата денег, потому что не все VPN вернут вам деньги через Apple, и вам придется решать это с ними отдельно. Вы даже можете настроить Siri на своем устройстве iOS для включения и выключения службы с помощью голосовой команды. Узнайте о приложениях VPN и о том, как настроить VPN на устройстве iOS или Android, ниже. VPN для Mac, ПК и ChromeBookВ большинстве VPN есть настольные приложения для компьютеров Windows и Mac, а некоторые также поддерживают операционную систему Linux. Расширения браузера для Chrome, Firefox и Opera также распространены. Самый простой способ установить программное обеспечение VPN на свой компьютер — это перейти непосредственно на веб-сайт поставщика услуг VPN. После того, как вы загрузите настольное приложение или расширение для браузера, VPN проведет вас пошагово через весь процесс. Если вы используете компьютер для работы или личного бизнеса, VPN — отличный способ гарантировать, что ваши данные и ваша личность останутся в секрете от других.Если вы относитесь к высокому уровню технически подкованных пользователей, вы можете выбрать более индивидуальную настройку. Подробнее читайте в нашем руководстве по установке ниже. Почему важны VPN-серверы? Еще одна причина узнать, где у вашего VPN есть серверы, — это географические ограничения.Если вы живете или часто путешествуете в стране с жесткими географическими ограничениями, наличие доступа к VPN-серверам в других странах может позволить вам достичь ваших целей, будь то потоковая передача контента для развлечений или поиск более конфиденциальной информации. Почему важна страна юрисдикции VPN?Лучшие данные о местоположении VPN
Благодаря большему количеству подписок и других сервисов потоковой передачи люди могут предложить в Netflix, Disney +, Hulu, Amazon Prime Video и другие.VPN часто позволяет получить доступ к материалам с географическим ограничением. Например, если вы посещаете Великобританию и хотите получить доступ к шоу в США на Netflix, вы можете использовать сервер в США для просмотра того, что вы хотите. Или, если вы находитесь в стране, которая полностью блокирует потоковую службу, ваша VPN скрывает ваш IP-адрес, чтобы вы все еще могли войти. Обратите внимание, что вам все равно нужна подписка на потоковую службу, чтобы смотреть шоу и фильмы из этого источника. «VPN не только помогает защитить вашу личную информацию от любых потенциальных угроз, но также позволяет настраивать параметры местоположения вашего устройства», — сообщает Cyber Florida , центр кибербезопасности при Университете Южной Флориды.Это дает вам возможность использовать потоковые сервисы, «которые недоступны в некоторых странах из-за лицензионных или юридических проблем». Возникли проблемы с доступом к потоковой службе на вашем компьютере? Попробуйте это:
Как использовать VPN для торрентовТорренты — это все равно что превратить большой файл в головоломку, разбить его на части и дать каждому из ваших друзей кусочек, который они позже могут поделиться с вами, чтобы собрать заново. Данные разделяются на более мелкие пакеты, а затем передаются по торрент-сети, чтобы люди могли позже их получить. «Сидер» — это сторона, в которой находится исходный файл, а «пировщики» (или партнеры) — это те, кто хранит разные части этого файла. Совместное использование большого файла между пользователями, также называемое одноранговым (P2P) совместным использованием, происходит быстрее, чем при загрузке данных из одного источника. Сам процесс загрузки торрентов не является незаконным. Примерами легального торрент-скачивания являются большие образовательные или юридические файлы, а также обновления некоторых игровых программ. Однако иногда приложения P2P или торрент-клиенты используются для загрузки защищенных авторским правом, пиратских материалов и даже менее интересного контента. У некоторых интернет-провайдеров есть сторожевые псы, которые отслеживают торрент-файлы, и они устанавливают блокировку, чтобы вы не могли получить доступ к торрент-файлам. Интернет-провайдеры часто наблюдают за использованием BitTorrent, который является протоколом связи для обмена файлами P2P вместе с uTorrent, и блокируют сайт.Ваш интернет-провайдер может в качестве альтернативы снизить скорость вашего интернета (так называемое регулирование), если он считает, что вы используете торрент, поскольку в процессе часто используется большой объем данных. Вы можете активировать VPN перед тем, как начать торрент, чтобы скачивать легитимные файлы в частном порядке и без ограничения доступа интернет-провайдера. Лучшие VPN-сервисы 2021 годаУзнать большеВсе еще ищете дополнительную информацию о VPN или пытаетесь найти лучший VPN для себя? Изучите каталог ниже, чтобы узнать больше об этих услугах. 360 Методология оценки VPN Мы объясняем, что наиболее важно для потребителей, экспертов и профессиональных обозревателей, когда речь идет о VPN. Затем мы предоставляем объективную оценку VPN, доступных на момент обзора. Наша цель — предоставить потребителям информацию и инструменты, необходимые для принятия обоснованных решений. Более подробная информация о нашей методологии 360 Reviews для оценки VPN-компаний: , здесь . U.S. News 360 Reviews беспристрастно подходит к нашим рекомендациям.Когда вы используете наши ссылки для покупки продуктов, мы можем получать комиссию, но это никоим образом не влияет на нашу редакционную независимость. Как настроить VPN-сервер в Windows 10 • PureinfotechВиртуальная частная сеть (VPN) — один из самых популярных методов доступа к файлам и ресурсам (таким как приложения, веб-сайты интрасети и принтеры) с использованием зашифрованного соединения из удаленного места и через Интернет. Обычно компании используют VPN для расширения своей частной сети, чтобы позволить сотрудникам получать доступ к ресурсам через общедоступную сеть, как если бы они были напрямую подключены к сети компании. Windows 10, как и другие версии операционной системы, имеет функцию под названием «Входящее соединение», которая позволяет вам настроить VPN-сервер для удаленного подключения к вашей домашней сети для доступа к файлам и периферийным устройствам вашего компьютера и даже к другим компьютерам в сеть. В этом руководстве вы узнаете, как настроить VPN-сервер на вашем компьютере с Windows 10 без необходимости в дополнительном программном обеспечении в домашней или профессиональной версии операционной системы. Как найти информацию о вашем IP-адресеПервое, что вам нужно знать, это общедоступный IP-адрес, который был назначен вам вашим интернет-провайдером (ISP).Эта информация понадобится вам для удаленной связи с вашим VPN-сервером. Чтобы узнать ваш текущий публичный IP-адрес, выполните следующие действия:
Если вы настраиваете функцию «Входящее соединение» на своем домашнем компьютере, у вас, вероятно, есть динамический общедоступный IP-адрес, который может измениться в любое время.В этом случае вам необходимо настроить DDNS (динамическую систему доменных имен) на вашем маршрутизаторе, чтобы избежать необходимости настраивать настройку VPN каждый раз при изменении вашего общедоступного IP-адреса. Вот инструкции, которые помогут вам настроить DDNS на вашем маршрутизаторе. Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить дополнительную помощь по настройке DDNS. Как настроить переадресацию портов на роутереЧтобы иметь возможность подключаться через общедоступную сеть (например, Интернет) к домашнему VPN-серверу, вам потребуется перенаправить порт 1723 (протокол туннелирования точка-точка (PPTP)), чтобы разрешить VPN-подключения. Вот инструкции, которые помогут вам настроить переадресацию портов на вашем маршрутизаторе. Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить более конкретную помощь по настройке перенаправления портов. Как настроить VPN-сервер в Windows 10После того, как вы настроили DDNS для использования доменного имени вместо сложного IP-адреса и перенаправили порт 1723, теперь вы готовы настроить VPN-сервер на своем устройстве. Чтобы создать VPN-сервер в Windows 10, выполните следующие действия:
После выполнения этих шагов сервер VPN будет создан, но он не будет работать, пока вы не настроите брандмауэр для разрешения подключений. Как разрешить VPN-подключения через брандмауэрПри настройке функции входящего подключения в Windows 10 должны автоматически открываться необходимые порты брандмауэра Windows, но вы хотите убедиться, что брандмауэр настроен правильно. Чтобы разрешить VPN-подключения через брандмауэр в Windows 10, выполните следующие действия:
После выполнения этих шагов VPN-сервер Windows 10 теперь сможет получать подключения удаленно с других компьютеров. Как настроить VPN-соединение в Windows 10После того, как вы закончите настройку VPN-сервера в Windows 10, вам нужно будет настроить устройства, которые могут получить удаленный доступ к локальной сети.Вы можете настроить любое устройство и телефон (включая Android и iPhone). Вот инструкции по настройке VPN-соединения в Windows 10. После добавления VPN-подключения на ваш компьютер вам необходимо настроить параметры, выполнив следующие действия:
Хотя существует множество решений, позволяющих пользователям удаленно подключаться к частной сети с помощью VPN-соединения, вы можете настроить свой собственный сервер с помощью инструментов, встроенных в Windows 10, без необходимости в дополнительном программном обеспечении. Кроме того, одним из лучших преимуществ настройки VPN-сервера на ПК с Windows 10 является то, что он не только безопасен и надежен, но и является отличной альтернативой для пользователей, которые все еще скептически относятся к облачным службам для хранения своих данных.Более того, через виртуальную частную сеть вы даже можете получить доступ к своему устройству с помощью функции удаленного рабочего стола в Windows 10. Обновление , 1 марта 2021 г .: Это руководство было первоначально опубликовано в мае 2016 г. и пересмотрено в марте 2021 г. для последней версии Windows 10. How To Guide: Set Up & Configure OpenVPN Client / server VPNOpenVPN — это полнофункциональный SSL VPN, который реализует безопасное сетевое расширение OSI уровня 2 или 3 с использованием стандартного протокола SSL / TLS, поддерживает гибкие методы аутентификации клиента на основе сертификаты, смарт-карты и / или учетные данные имени пользователя и пароля, а также позволяет использовать политики управления доступом для конкретных пользователей или групп с использованием правил брандмауэра, применяемых к виртуальному интерфейсу VPN.OpenVPN не является прокси-сервером веб-приложения и не работает через веб-браузер. OpenVPN 2.0 расширяет возможности OpenVPN 1.x, предлагая масштабируемый режим клиент / сервер, позволяющий нескольким клиентам подключаться к одному процессу сервера OpenVPN через один порт TCP или UDP. OpenVPN 2.3 включает в себя большое количество улучшений, включая полную поддержку IPv6 и поддержку PolarSSL. Этот документ предоставляет пошаговые инструкции по настройке OpenVPN 2.x клиент / сервер VPN, включая: Этот HOWTO предполагает, что читатели обладают предварительным пониманием основных сетевых концепций, таких как IP-адреса, имена DNS, маски сети и т. Д. подсети, IP-маршрутизация, маршрутизаторы, сетевые интерфейсы, локальные сети, шлюзы и правила брандмауэра. Оригинальный OpenVPN 1.x HOWTO по-прежнему доступен и остается актуальным для конфигураций точка-точка или статических ключей. Хотя этот HOWTO поможет вам настроить масштабируемую клиент-серверную VPN с использованием X509 PKI (инфраструктура открытого ключа с использованием сертификатов и закрытых ключей), это может оказаться излишним, если вы ищете только простую настройку VPN с сервером, который может справиться с одним клиентом. Если вы хотите быстро запустить VPN с минимальной конфигурацией, вы можете проверить Static Key Mini-HOWTO. Исходный код OpenVPN и установщики Windows можно скачать здесь. Последние выпуски (2.2 и новее) также доступны в виде пакетов Debian и RPM; подробности см. в вики OpenVPN. Исполняемый файл OpenVPN должен быть установлен как на сервере, так и на клиентском компьютере, поскольку один исполняемый файл обеспечивает как клиентские, так и серверные функции. Если вы используете дистрибутив Linux, который поддерживает пакеты RPM (SuSE, Fedora, Redhat и т. Д.), Лучше всего установить с помощью этого механизма.Самый простой способ — найти существующий двоичный файл RPM для вашего дистрибутива. Вы также можете создать свой собственный двоичный файл RPM: Кроме того, если вы создаете свой собственный двоичный пакет RPM, существует несколько дополнительных зависимостей: Дополнительные примечания по созданию пакета RPM для Red Hat Linux см. В файле openvpn.spec. 9 или здание с уменьшенными зависимостями. Если вы используете Debian, Gentoo или дистрибутив Linux, не основанный на RPM, используйте специфичный для вашего дистрибутива механизм упаковки, такой как apt-get в Debian или emerge в Gentoo. Также можно установить OpenVPN в Linux, используя универсальный метод ./configure . Сначала разверните файл .tar.gz: OpenVPN для Windows можно установить из самоустанавливающегося exe-файла на странице загрузки OpenVPN. Помните, что OpenVPN будет работать только в Windows XP или более поздней версии. Также обратите внимание, что OpenVPN должен быть установлен и запущен пользователем с правами администратора (это ограничение налагается Windows, а не OpenVPN). Ограничение можно обойти, запустив OpenVPN в фоновом режиме в качестве службы, и в этом случае даже пользователи без прав администратора смогут получить доступ к VPN после ее установки.Дополнительное обсуждение проблем с привилегиями OpenVPN + Windows. Официальные установщики OpenVPN для Windows включают OpenVPN-GUI, который позволяет управлять подключениями OpenVPN из апплета на панели задач. Также доступны другие приложения с графическим интерфейсом. После запуска установщика Windows OpenVPN готов к использованию и будет ассоциироваться с файлами с расширением .ovpn . Чтобы запустить OpenVPN, вы можете: Некоторые примечания доступны в файле INSTALL для определенных ОС. В общем, можно использовать метод , или вы можете искать порт или пакет OpenVPN, специфичный для вашей ОС / дистрибутива. Обзор маршрутизации по сравнению с мостом Ethernet см. В разделе часто задаваемых вопросов. См. Также страницу OpenVPN Ethernet Bridging для получения дополнительных примечаний и деталей по мосту. В целом, маршрутизация, вероятно, является лучшим выбором для большинства людей, поскольку она более эффективна и проще в настройке (в том, что касается самой конфигурации OpenVPN), чем мост. Маршрутизация также обеспечивает большую возможность выборочного управления правами доступа для конкретного клиента. Я бы рекомендовал использовать маршрутизацию, если вам не нужна особая функция, которая требует мостового соединения, например: Настройка VPN часто влечет за собой соединение частных подсетей из разных мест. Internet Assigned Numbers Authority (IANA) зарезервировал следующие три блока пространства IP-адресов для частных сетей (кодифицированных в RFC 1918): Хотя адреса из этих сетевых блоков обычно должны использоваться в конфигурациях VPN, важно выбрать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых следует избегать: Например, предположим, что вы используете популярную подсеть 192.168.0.0/24 в качестве частной подсети LAN.Теперь вы пытаетесь подключиться к VPN из интернет-кафе, которое использует ту же подсеть для своей локальной сети Wi-Fi. У вас будет конфликт маршрутизации, потому что ваш компьютер не будет знать, относится ли 192.168.0.1 к локальному шлюзу WiFi или к тому же адресу в VPN. В качестве другого примера предположим, что вы хотите связать вместе несколько сайтов с помощью VPN, но каждый сайт использует 192.168.0.0/24 в качестве своей подсети LAN. Это не будет работать без добавления усложняющего слоя преобразования NAT, потому что VPN не будет знать, как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют подсеть, которая их однозначно идентифицирует. Лучшее решение — избегать использования 10.0.0.0/24 или 192.168.0.0/24 в качестве адресов частной сети LAN. Вместо этого используйте то, что с меньшей вероятностью будет использоваться в Wi-Fi-кафе, аэропорту или отеле, откуда вы можете рассчитывать на удаленное подключение. Лучшими кандидатами являются подсети в центре огромного сетевого блока 10.0.0.0/8 (например, 10.66.77.0/24). И чтобы избежать конфликтов IP-нумерации между сайтами, всегда используйте уникальную нумерацию для своих подсетей LAN. Первый шаг в создании OpenVPN 2.x заключается в создании PKI (инфраструктуры открытого ключа). PKI состоит из: OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента до установления взаимного доверия. И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в заголовке теперь аутентифицированного сертификата, такую как общее имя сертификата или тип сертификата. (клиент или сервер). Обратите внимание, что часы сервера и клиента должны быть примерно синхронизированы, иначе сертификаты могут работать некорректно. В этом разделе мы сгенерируем главный сертификат / ключ CA, сертификат / ключ сервера и сертификаты / ключи для 3 отдельных клиентов. Для управления PKI мы будем использовать easy-rsa 2 , набор скриптов, который входит в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2.3.x, вам необходимо загрузить easy-rsa 2 отдельно отсюда. Для управления PKI мы будем использовать easy-rsa 2, набор скриптов, который входит в состав OpenVPN 2.2.x и ранее. Если вы используете OpenVPN 2.3.x, вам может потребоваться загрузить easy-rsa 2 отдельно от страницы проекта easy-rsa-old. На платформах * NIX вам следует рассмотреть возможность использования easy-rsa 3; обратитесь к его собственной документации для получения подробной информации. Если вы используете Linux, BSD или unix-подобную ОС, откройте оболочку и перейдите в подкаталог easy-rsa с помощью компакт-диска. Если вы установили OpenVPN из файла RPM или DEB, каталог easy-rsa обычно можно найти в / usr / share / doc / packages / openvpn или / usr / share / doc / openvpn (лучше всего скопировать это каталог в другое место, например / etc / openvpn , перед любыми изменениями, чтобы будущие обновления пакета OpenVPN не перезаписали ваши изменения).Если вы установили из файла .tar.gz, каталог easy-rsa будет находиться в каталоге верхнего уровня расширенного дерева исходных текстов. Если вы используете Windows, откройте окно командной строки и перейдите по адресу \ Program Files \ OpenVPN \ easy-rsa . Запустите следующий командный файл, чтобы скопировать файлы конфигурации на место (это перезапишет все существующие файлы vars.bat и openssl.cnf): Теперь отредактируйте файл vars (в Windows он называется vars.bat ) и установите KEY_COUNTRY , Параметры KEY_PROVINCE, KEY_CITY, KEY_ORG и KEY_EMAIL.Не оставляйте ни один из этих параметров пустым. Затем инициализируйте PKI. В Linux / BSD / Unix: Последняя команда ( build-ca ) создаст сертификат и ключ центра сертификации (CA) путем вызова интерактивной команды openssl : Обратите внимание, что в приведенной выше последовательности наиболее запрашиваемые параметры по умолчанию были установлены на значения, установленные в файлах vars или vars.bat . Единственный параметр, который необходимо ввести явно, — это Common Name .В приведенном выше примере я использовал «OpenVPN-CA». Далее мы сгенерируем сертификат и закрытый ключ для сервера. В Linux / BSD / Unix: Как и в предыдущем шаге, для большинства параметров можно установить значения по умолчанию. Когда запрашивается общее имя , введите «сервер». Два других запроса требуют положительных ответов: «Подписать сертификат? [Y / n]» и «1 из 1 запросов на сертификат сертифицирован, зафиксировать? [Y / n]». Создание клиентских сертификатов очень похоже на предыдущий шаг.В Linux / BSD / Unix: Если вы хотите защитить паролем ключи клиента, замените сценарий build-key-pass . Помните, что для каждого клиента не забудьте ввести соответствующее Common Name при появлении запроса, то есть «client1», «client2» или «client3». Всегда используйте уникальное общее имя для каждого клиента. Параметры Диффи Хеллмана должны быть сгенерированы для сервера OpenVPN. В Linux / BSD / Unix: Теперь мы найдем наши вновь сгенерированные ключи и сертификаты в подкаталоге keys .Вот объяснение соответствующих файлов: Последним шагом в процессе генерации ключа является копирование всех файлов на машины, которые в них нуждаются, заботясь о копировании секретных файлов по защищенному каналу. А теперь подождите, скажете вы. Разве нельзя установить PKI без уже существующего безопасного канала? Якобы да. В приведенном выше примере для краткости мы сгенерировали все закрытые ключи в одном месте. Приложив немного больше усилий, мы могли бы сделать это иначе.Например, вместо создания клиентского сертификата и ключей на сервере мы могли бы заставить клиент генерировать свой собственный закрытый ключ локально, а затем отправить запрос на подпись сертификата (CSR) на машину для подписи ключей. В свою очередь, машина для подписания ключей могла обработать CSR и вернуть подписанный сертификат клиенту. Это можно было сделать, даже не требуя, чтобы секретный файл .key покинул жесткий диск машины, на которой он был создан. Лучше всего использовать образцы файлов конфигурации OpenVPN в качестве отправной точки для вашей собственной конфигурации.Эти файлы также можно найти в . Обратите внимание, что в Linux, BSD или unix-подобных операционных системах образцы файлов конфигурации называются server.conf и client.conf . В Windows они называются server.ovpn и client.ovpn . Пример файла конфигурации сервера — идеальная отправная точка для конфигурации сервера OpenVPN. Он создаст VPN с использованием виртуального сетевого интерфейса TUN (для маршрутизации), будет прослушивать клиентские соединения на UDP-порту 1194 (официальный номер порта OpenVPN) и распределять виртуальные адреса для подключающихся клиентов с 10.8.0.0 / 24 подсеть. Перед тем, как использовать образец файла конфигурации, необходимо сначала отредактировать параметры ca , cert , key и dh , чтобы они указывали на файлы, созданные в разделе PKI выше. На этом этапе файл конфигурации сервера можно использовать, однако вы все равно можете захотеть его дополнительно настроить: Если вы хотите запустить несколько экземпляров OpenVPN на одном компьютере, каждый из которых использует другой файл конфигурации, это возможно, если вы : Пример файла конфигурации клиента ( client.conf в Linux / BSD / Unix или client.ovpn в Windows) отражает директивы по умолчанию, установленные в примере файла конфигурации сервера. Сначала убедитесь, что сервер OpenVPN доступен из Интернета. Это означает: Чтобы упростить устранение неполадок, лучше сначала запустить сервер OpenVPN из командной строки (или щелкнуть правой кнопкой мыши файл .ovpn в Windows), а не запускать его как демон или службу: A нормальный запуск сервера должен выглядеть так (вывод будет зависеть от платформы): Запуск клиентаКак и в конфигурации сервера, лучше всего изначально запустить сервер OpenVPN из командной строки (или в Windows, щелкнув правой кнопкой мыши на клиенте .ovpn ), а не запускать его как демон или службу: openvpn [файл конфигурации клиента] Обычный запуск клиента в Windows будет похож на вывод сервера выше и должен заканчиваться сообщением Initialization Sequence Completed . Теперь попробуйте выполнить эхо-запрос через VPN от клиента. Если вы используете маршрутизацию (например, dev tun в файле конфигурации сервера), попробуйте: пинг 10.8.0,1 Если вы используете мост (т. Е. dev, нажмите в файле конфигурации сервера), попробуйте проверить связь с IP-адресом машины в подсети Ethernet сервера. Если пинг прошел успешно, поздравляем! Теперь у вас есть работающая VPN. Устранение неисправностейЕсли проверка связи не удалась или инициализация клиента OpenVPN не была завершена, вот контрольный список общих симптомов и их решений:
Дополнительные сведения об устранении неполадок см. В разделе часто задаваемых вопросов. Настройка OpenVPN для автоматического запуска при запуске системыОтсутствие стандартов в этой области означает, что большинство операционных систем имеют другой способ настройки демонов / служб для автозапуска при загрузке.Лучший способ настроить эту функцию по умолчанию — установить OpenVPN в виде пакета, например, через RPM в Linux или с помощью установщика Windows. LinuxЕсли вы устанавливаете OpenVPN через пакет RPM или DEB в Linux, установщик установит исходный сценарий . При выполнении сценарий инициализации будет сканировать файлы конфигурации .conf в / etc / openvpn и, если они найдены, запустит отдельный демон OpenVPN для каждого файла. ОкнаПрограмма установки Windows настроит служебную оболочку, но оставит ее отключенной по умолчанию.Чтобы активировать его, перейдите в Панель управления / Администрирование / Службы, выберите службу OpenVPN, щелкните правой кнопкой мыши свойства и установите для параметра Тип запуска значение Автоматический. Это настроит службу для автоматического запуска при следующей перезагрузке. При запуске служебная оболочка OpenVPN просканирует папку \ Program Files \ OpenVPN \ config на наличие файлов конфигурации .ovpn , запустив отдельный процесс OpenVPN для каждого файла. Управление запущенным процессом OpenVPNРаботает в Linux / BSD / UnixOpenVPN принимает несколько сигналов:
Используйте директиву writepid для записи PID демона OpenVPN в файл, чтобы вы знали, куда отправлять сигнал (если вы запускаете openvpn с исходным скриптом , сценарий может уже передавать —writepid в командной строке openvpn ). Работает в Windows как графический интерфейсСм. Страницу с графическим интерфейсом OpenVPN. Запуск в окне командной строки WindowsВ Windows вы можете запустить OpenVPN, щелкнув правой кнопкой мыши файл конфигурации OpenVPN (файл .ovpn ) и выбрав «Запустить OpenVPN в этом файле конфигурации». После запуска в этом режиме доступны несколько клавиатурных команд:
Работает как служба WindowsКогда OpenVPN запускается как служба в Windows, единственный способ управлять им — это:
Изменение конфигурации реального сервераХотя для большинства изменений конфигурации требуется перезапуск сервера, в частности, есть две директивы, которые относятся к файлам, которые можно динамически обновлять на лету, и которые немедленно вступят в силу на сервере без необходимости перезапуска серверного процесса. client-config-dir — Эта директива устанавливает каталог конфигурации клиента, который сервер OpenVPN будет сканировать при каждом входящем соединении в поисках файла конфигурации для конкретного клиента (дополнительную информацию см. На странице руководства).Файлы в этом каталоге можно обновлять «на лету» без перезапуска сервера. Обратите внимание, что изменения в этом каталоге вступят в силу только для новых подключений, но не для существующих. Если вы хотите, чтобы изменение файла конфигурации для конкретного клиента немедленно вступило в силу для подключенного в данный момент клиента (или того, который отключился, но у которого сервер не истек тайм-аут для своего объекта экземпляра), уничтожьте объект экземпляра клиента, используя команду управления интерфейс (описан ниже). Это заставит клиента повторно подключиться и использовать новый файл client-config-dir . crl-verify — эта директива именует файл со списком отзыва сертификатов , описанный ниже в разделе «Отзыв сертификатов». Файл CRL можно изменять на лету, и изменения вступят в силу немедленно для новых подключений или существующих подключений, которые повторно согласовывают свой канал SSL / TLS (по умолчанию происходит один раз в час). Если вы хотите убить подключенного в данный момент клиента, чей сертификат только что был добавлен в CRL, используйте интерфейс управления (описанный ниже). Файл состоянияВ файле server.conf по умолчанию есть строка .статус openvpn-status.log , который будет выводить список текущих клиентских подключений в файл openvpn-status.log один раз в минуту. Использование интерфейса управленияИнтерфейс управления OpenVPN позволяет в значительной степени контролировать запущенный процесс OpenVPN. Вы можете использовать интерфейс управления напрямую, подключившись через Telnet к порту интерфейса управления, или косвенно, используя графический интерфейс OpenVPN, который сам подключается к интерфейсу управления. Чтобы включить интерфейс управления на сервере или клиенте OpenVPN, добавьте это в файл конфигурации: управление localhost 7505 Это указывает OpenVPN прослушивать TCP-порт 7505 для клиентов интерфейса управления (порт 7505 — произвольный выбор — вы можете использовать любой свободный порт). После запуска OpenVPN вы можете подключиться к интерфейсу управления с помощью клиента telnet . Например: ai: ~ # telnet localhost 7505 Пробуем 127.] '. > ИНФОРМАЦИЯ: Версия 1 интерфейса управления OpenVPN - введите help для получения дополнительной информации помощь Интерфейс управления для OpenVPN 2.0_rc14 i686-suse-linux [SSL] [LZO] [EPOLL] построен 15 февраля 2005 г. Команды: echo [on | off] [N | all]: Аналогично журналу, но отображаются только сообщения в буфере эха. exit | quit: закрыть сеанс управления. help: распечатать это сообщение. hold [on | off | release]: установить / показать флаг удержания в состояние включения / выключения, или отпустить текущую задержку и начать туннель.kill cn: убить клиентские экземпляры с общим именем cn. kill IP: port: убить экземпляр клиента, подключающийся с IP: port. log [on | off] [N | all]: включить / выключить отображение журнала в реальном времени. + показать последние N строк или «все» для всей истории. mute [n]: установить уровень отключения звука журнала на n или показать уровень, если n отсутствует. net: (только Windows) Показать информацию о сети и таблицу маршрутизации. тип пароля p: введите пароль p для запрашиваемого пароля OpenVPN.signal s: отправить сигнал s демону, s = SIGHUP | SIGTERM | SIGUSR1 | SIGUSR2. state [on | off] [N | all]: как журнал, но показывает историю состояний. status [n]: показать информацию о текущем статусе демона в формате #n. test n: вывести n строк вывода для тестирования / отладки. username type u: введите имя пользователя u для запрашиваемого имени пользователя OpenVPN. verb [n]: установить уровень детализации журнала на n или показать, если n отсутствует.версия: показать номер текущей версии. КОНЕЦ выход Соединение прервано внешним хостом. ai: ~ # Для получения дополнительной информации см. Документацию по интерфейсу управления OpenVPN. Расширение области VPN за счет включения дополнительных машин в подсети клиента или сервера.Включение нескольких машин на стороне сервера при использовании маршрутизируемой VPN (dev tun)После того, как VPN будет работать в режиме «точка-точка» между клиентом и сервером, может быть желательно расширить область действия VPN, чтобы клиенты могли подключаться к нескольким машинам в серверной сети, а не только к самому серверу. Для целей этого примера мы предположим, что локальная сеть на стороне сервера использует подсеть 10.66.0.0/24 , а пул IP-адресов VPN использует 10.8.0.0/24 , как указано в директиве server . в файле конфигурации сервера OpenVPN. Во-первых, вы должны объявить подсеть 10.66.0.0/24 клиентам VPN как доступную через VPN. Это легко сделать с помощью следующей директивы файла конфигурации на стороне сервера: push "маршрут 10.66.0.0 255.255.255.0 " Затем вы должны настроить маршрут на серверном шлюзе LAN для маршрутизации подсети VPN-клиента ( 10.8.0.0/24 ) на сервер OpenVPN (это необходимо только в том случае, если сервер OpenVPN и шлюз LAN отличаются машины). Убедитесь, что вы включили пересылку IP и TUN / TAP на сервере OpenVPN. Включение нескольких машин на стороне сервера при использовании мостовой VPN (dev tap)Одним из преимуществ использования моста Ethernet является то, что вы получаете его бесплатно без какой-либо дополнительной настройки. Включение нескольких машин на стороне клиента при использовании маршрутизируемой VPN (dev tun)В типичном сценарии «дорожный воин» или удаленного доступа клиентский компьютер подключается к VPN как единый компьютер. Но предположим, что клиентская машина является шлюзом для локальной LAN (например, домашнего офиса), и вы хотите, чтобы каждая машина в клиентской LAN могла маршрутизировать через VPN. В этом примере мы предположим, что клиентская LAN использует подсеть 192.168.4.0/24 , а VPN-клиент использует сертификат с общим именем client2 .Наша цель — настроить VPN таким образом, чтобы любой компьютер в клиентской локальной сети мог связываться с любым компьютером в серверной локальной сети через VPN. Перед настройкой необходимо выполнить несколько основных условий:
Сначала убедитесь, что на клиентском компьютере включена пересылка IP и TUN / TAP. Далее мы займемся необходимыми изменениями конфигурации на стороне сервера. Если файл конфигурации сервера в настоящее время не ссылается на каталог конфигурации клиента, добавьте его сейчас: каталог конфигурации клиента ccd В приведенной выше директиве ccd должно быть именем каталога, который был предварительно создан в каталоге по умолчанию, в котором запускается демон сервера OpenVPN.В Linux это обычно / etc / openvpn , а в Windows это обычно \ Program Files \ OpenVPN \ config . Когда новый клиент подключается к серверу OpenVPN, демон проверяет этот каталог на наличие файла, который соответствует общему имени подключающегося клиента. Если соответствующий файл найден, он будет прочитан и обработан для применения дополнительных директив файла конфигурации к указанному клиенту. Следующим шагом является создание файла с именем client2 в каталоге ccd .Этот файл должен содержать строку: iroute 192.168.4.0 255.255.255.0 Это сообщит серверу OpenVPN, что подсеть 192.168.4.0/24 должна быть маршрутизирована на client2 . Затем добавьте следующую строку в файл конфигурации основного сервера (не файл ccd / client2 ): маршрут 192.168.4.0 255.255.255.0 Почему используются избыточные операторы route и iroute , спросите вы? Причина в том, что route управляет маршрутизацией от ядра к серверу OpenVPN (через интерфейс TUN), а iroute управляет маршрутизацией от сервера OpenVPN к удаленным клиентам.Оба необходимы. Затем спросите себя, хотите ли вы разрешить сетевой трафик между подсетью client2 (192.168.4.0/24) и другими клиентами сервера OpenVPN. Если да, добавьте в файл конфигурации сервера следующее. клиент-клиент нажмите "маршрут 192.168.4.0 255.255.255.0" Это приведет к тому, что сервер OpenVPN объявит подсеть client2 другим подключающимся клиентам. Последний шаг, о котором часто забывают, — это добавить маршрут к шлюзу локальной сети сервера, который направляет 192.168.4.0 / 24 в ящик сервера OpenVPN (он вам не понадобится, если ящик сервера OpenVPN является шлюзом для локальной сети сервера). Предположим, вы пропустили этот шаг и пытались пропинговать машину (не сам сервер OpenVPN) в локальной сети сервера с адреса 192.168.4.8? Исходящий пинг, вероятно, достигнет машины, но тогда он не будет знать, как маршрутизировать ответ, потому что не будет знать, как достичь 192.168.4.0/24. Эмпирическое правило, которое следует использовать, заключается в том, что при маршрутизации всей локальной сети через VPN (когда VPN-сервер не является той же машиной, что и шлюз локальной сети), убедитесь, что шлюз для локальной сети направляет все подсети VPN на машину VPN-сервера. Точно так же, если клиентский компьютер, на котором запущен OpenVPN, не является также шлюзом для клиентской LAN, тогда шлюз для клиентской LAN должен иметь маршрут, который направляет все подсети, которые должны быть доступны через VPN, на клиентский компьютер OpenVPN. Включение нескольких машин на стороне клиента при использовании мостовой VPN (подключение для разработчиков)Это требует более сложной настройки (возможно, не более сложной на практике, но более сложной для подробного объяснения):
Передача параметров DHCP клиентамСервер OpenVPN может передавать клиентам такие параметры DHCP, как адреса серверов DNS и WINS (о некоторых предостережениях следует помнить). Клиенты Windows могут принимать проталкиваемые параметры DHCP изначально, в то время как клиенты, отличные от Windows, могут принимать их с помощью клиентского сценария — , который анализирует список переменных среды foreign_option_ n .См. Справочную страницу для документации и примеров сценариев, отличных от Windows foreign_option_ n . Например, предположим, что вы хотите подключать клиентов для использования внутреннего DNS-сервера 10.66.0.4 или 10.66.0.5 и WINS-сервера 10.66.0.8. Добавьте это в конфигурацию сервера OpenVPN: нажмите "dhcp-option DNS 10.66.0.4" нажмите "dhcp-option DNS 10.66.0.5" нажмите "dhcp-option WINS 10.66.0.8" Чтобы протестировать эту функцию в Windows, запустите следующее из окна командной строки после того, как машина подключится к серверу OpenVPN: ipconfig / все Запись для адаптера TAP-Windows должна отображать параметры DHCP, которые были отправлены сервером. Настройка клиентских правил и политик доступаПредположим, мы настраиваем корпоративную VPN и хотим установить отдельные политики доступа для 3 разных классов пользователей:
Основной подход, который мы примем, — это (а) выделить каждый класс пользователей в свой собственный диапазон виртуальных IP-адресов и (б) управлять доступом к машинам, установив правила брандмауэра, которые отключают виртуальный IP-адрес клиента. В нашем примере предположим, что у нас есть переменное количество сотрудников, но только один системный администратор и два подрядчика. Наш подход к распределению IP-адресов будет заключаться в том, чтобы поместить всех сотрудников в пул IP-адресов, а затем выделить фиксированные IP-адреса для системного администратора и подрядчиков. Обратите внимание, что одним из предварительных условий этого примера является наличие программного брандмауэра, работающего на сервере OpenVPN, который дает вам возможность определять определенные правила брандмауэра.В нашем примере мы предположим, что это брандмауэр Linux iptables . Во-первых, давайте создадим карту виртуальных IP-адресов в соответствии с классом пользователя:
Теперь давайте переведем эту карту в конфигурацию сервера OpenVPN. Прежде всего, убедитесь, что вы выполнили описанные выше шаги, чтобы сделать подсеть 10.66.4.0/24 доступной для всех клиентов (пока мы настроим маршрутизацию, чтобы разрешить клиентский доступ ко всем 10.66.4.0 / 24, мы наложим ограничения доступа с помощью правил брандмауэра для реализации приведенной выше таблицы политик). Сначала определите статический номер устройства для нашего интерфейса tun , чтобы мы могли ссылаться на него позже в наших правилах брандмауэра: dev tun0 В файле конфигурации сервера определите пул IP-адресов сотрудников: сервер 10.8.0.0 255.255.255.0 Добавьте маршруты для диапазонов IP-адресов системного администратора и подрядчика: маршрут 10.8.1.0 255.255.255.0 маршрут 10.8.2.0 255.255.255.0 Поскольку мы будем назначать фиксированные IP-адреса для конкретных системных администраторов и подрядчиков, мы будем использовать каталог конфигурации клиента: каталог конфигурации клиента ccd Теперь поместите специальные файлы конфигурации в подкаталог ccd , чтобы определить фиксированный IP-адрес для каждого VPN-клиента, не являющегося сотрудником. ccd / sysadmin1ifconfig-push 10.8.1.1 10.8.1.2 ccd / подрядчик1ifconfig-push 10.8.2.1 10.8.2.2 ccd / подрядчик2ifconfig-push 10.8.2.5 10.8.2.6 Каждая пара адресов ifconfig-push представляет конечные IP-точки виртуального клиента и сервера. Они должны быть взяты из последовательных подсетей / 30 для совместимости с клиентами Windows и драйвером TAP-Windows. В частности, последний октет IP-адреса каждой пары конечных точек должен быть взят из этого набора: [1, 2] [5, 6] [9, 10] [13, 14] [17, 18] [21, 22] [25, 26] [29, 30] [33, 34] [37, 38] [41, 42] [45, 46] [49, 50] [53, 54] [57, 58] [61, 62] [65, 66] [69, 70] [73, 74] [77, 78] [81, 82] [85, 86] [89, 90] [93, 94] [97, 98] [101,102] [105,106] [109,110] [113,114] [117,118] [121,122] [125,126] [129,130] [133,134] [137,138] [141 142] [145 146] [149 150] [153 154] [157 158] [161 162] [165 166] [169 170] [173 174] [177 178] [181 182] [185 186] [189 190] [193 194] [197 198] [201 202] [205 206] [209 210] [213 214] [217 218] [221 222] [225 226] [229 230] [233 234] [237 238] [241 242] [245 246] [249 250] [253 254] На этом настройка OpenVPN завершена.Последний шаг — добавить правила брандмауэра для завершения политики доступа. В этом примере мы будем использовать правила брандмауэра в синтаксисе Linux iptables : # Правило сотрудников iptables -A ВПЕРЕД -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ПРИНЯТЬ # Правило системного администратора iptables -A ВПЕРЕД -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ПРИНЯТЬ # Правило подрядчика iptables -A ВПЕРЕД -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ПРИНЯТЬ Использование альтернативных методов аутентификацииOpenVPN 2.0 и более поздних версий включают функцию, которая позволяет серверу OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию в качестве основы для аутентификации клиента. Чтобы использовать этот метод аутентификации, сначала добавьте в конфигурацию клиента директиву auth-user-pass . Он направит клиент OpenVPN запросить у пользователя имя пользователя / пароль, передав его на сервер по безопасному каналу TLS. Затем настройте сервер на использование подключаемого модуля проверки подлинности, который может быть сценарием, общим объектом или DLL.Сервер OpenVPN будет вызывать плагин каждый раз, когда VPN-клиент пытается подключиться, передавая ему имя пользователя / пароль, введенные на клиенте. Плагин аутентификации может контролировать, разрешает ли сервер OpenVPN клиенту соединение, возвращая значение ошибки (1) или успеха (0). Использование подключаемых модулей сценариевПлагиныScript можно использовать, добавив директиву auth-user-pass-verify в файл конфигурации на стороне сервера. Например: auth-user-pass-verify auth-pam.pl через-файл будет использовать Perl-скрипт auth-pam.pl для аутентификации имени пользователя и пароля подключающихся клиентов. См. Описание auth-user-pass-verify на странице руководства для получения дополнительной информации. Сценарий auth-pam.pl включен в дистрибутив исходного файла OpenVPN в подкаталог sample-scripts . Он будет аутентифицировать пользователей на сервере Linux с помощью модуля аутентификации PAM, который, в свою очередь, может реализовать теневой пароль, аутентификацию RADIUS или LDAP. auth-pam.pl в первую очередь предназначен для демонстрационных целей. Для реальной аутентификации PAM используйте плагин общего объекта openvpn-auth-pam , описанный ниже. Использование общих объектов или подключаемых модулей DLLПлагины общих объектов или DLL обычно представляют собой скомпилированные модули C, которые загружаются сервером OpenVPN во время выполнения. Например, если вы используете пакет OpenVPN на основе RPM в Linux, плагин openvpn-auth-pam должен быть уже собран. Чтобы использовать его, добавьте это в файл конфигурации на стороне сервера: плагин / usr / share / openvpn / plugin / lib / openvpn-auth-pam.так что войдите Это укажет серверу OpenVPN проверить имя пользователя / пароль, введенные клиентами с помощью модуля login PAM. Для реального производственного использования лучше использовать плагин openvpn-auth-pam , потому что он имеет несколько преимуществ перед скриптом auth-pam.pl :
Если вам нужна дополнительная информация о разработке собственных подключаемых модулей для использования с OpenVPN, см. Файлы README в подкаталоге plugin исходного дистрибутива OpenVPN. Чтобы собрать подключаемый модуль openvpn-auth-pam в Linux, перейдите в каталог plugin / auth-pam в исходном дистрибутиве OpenVPN и запустите make . Использование аутентификации по имени пользователя и паролю как единственная форма аутентификации клиентаПо умолчанию, использование auth-user-pass-verify или подключаемого модуля проверки имени пользователя / пароля на сервере включит двойную аутентификацию, требуя, чтобы аутентификация как по сертификату клиента, так и по имени пользователя / паролю прошла успешно, чтобы клиент мог выполнить быть аутентифицированным. Хотя это не рекомендуется с точки зрения безопасности, также можно отключить использование клиентских сертификатов и принудительно использовать только аутентификацию по имени пользователя и паролю.На сервере: клиент-сертификат не требуется В таких конфигурациях обычно следует также установить: имя пользователя как общее имя , который сообщает серверу использовать имя пользователя для целей индексации, поскольку он будет использовать общее имя клиента, который аутентифицировался через сертификат клиента. Обратите внимание, что client-cert-not-required не устранит необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует client-cert-not-required , может удалить cert и ключ директивы из файла конфигурации клиента, но не директивы ca , потому что клиенту необходимо проверить сертификат сервера. Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием клиентских смарт-картО двухфакторной аутентификацииДвухфакторная аутентификация — это метод аутентификации, который сочетает в себе два элемента: то, что у вас есть, и то, что вы знаете. Что-то у вас должно быть устройством, которое нельзя дублировать; таким устройством может быть криптографический токен, содержащий закрытый секретный ключ. Этот закрытый ключ создается внутри устройства и никогда не покидает его.Если пользователь, владеющий этим токеном, пытается получить доступ к защищенным службам в удаленной сети, процесс авторизации, который предоставляет или запрещает доступ к сети, может с высокой степенью уверенности установить, что пользователь, ищущий доступ, физически владеет известным сертифицированным токеном. . Что-то, что вы знаете, может быть паролем, представленным криптографическому устройству. Без правильного пароля вы не сможете получить доступ к закрытому секретному ключу. Еще одна особенность криптографических устройств — запретить использование закрытого секретного ключа, если неправильный пароль был представлен более разрешенного количества раз.Такое поведение гарантирует, что если пользователь потеряет свое устройство, то его использование другим человеком будет невозможным. Криптографические устройства обычно называются «смарт-картами» или «токенами» и используются вместе с PKI (инфраструктурой открытых ключей). Сервер VPN может проверить сертификат X.509 и убедиться, что пользователь владеет соответствующим секретным секретным ключом. Поскольку устройство не может быть дублировано и требует действующего пароля, сервер может аутентифицировать пользователя с высокой степенью уверенности. Двухфакторная аутентификация намного надежнее аутентификации на основе пароля, потому что в худшем случае только один человек может одновременно использовать криптографический токен. Пароли можно угадывать и открывать другим пользователям, поэтому в худшем случае бесконечное количество людей может попытаться получить несанкционированный доступ, когда ресурсы защищены с использованием аутентификации только по паролю. Если вы храните секретный закрытый ключ в файле, ключ обычно зашифровывается паролем.Проблема с этим подходом заключается в том, что зашифрованный ключ подвергается атакам дешифрования или шпионскому / вредоносному ПО, запущенному на клиентском компьютере. В отличие от использования криптографического устройства, файл не может стереть себя автоматически после нескольких неудачных попыток дешифрования. Что такое PKCS # 11?Этот стандарт определяет API, называемый Cryptoki, для устройств, которые хранят криптографическую информацию и выполняют криптографические функции. Cryptoki, произносится как «криптоключ» и сокращенно от интерфейса криптографического токена, следует простому объектно-ориентированному подходу, решая задачи технологической независимости (любого типа устройства) и совместного использования ресурсов (несколько приложений, обращающихся к нескольким устройствам), предоставляя приложениям общее логическое представление устройства, называемое криптографическим токеном. Источник: RSA Security Inc. https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm. Подводя итог, PKCS # 11 — это стандарт, который может использоваться прикладным программным обеспечением для доступа к криптографическим токенам, таким как смарт-карты и другие устройства. Большинство поставщиков устройств предоставляют библиотеку, реализующую интерфейс поставщика PKCS # 11 — эта библиотека может использоваться приложениями для доступа к этим устройствам. PKCS # 11 — это кроссплатформенный бесплатный стандарт, не зависящий от производителя. Поиск библиотеки поставщика PKCS # 11Первое, что вам нужно сделать, это найти библиотеку провайдера, она должна быть установлена вместе с драйверами устройств. У каждого поставщика есть своя библиотека. Например, поставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows. Как настроить криптографический токенВы должны следовать процедуре регистрации:
Настроенный маркер — это маркер, который имеет объект закрытого ключа и объект сертификата, причем оба имеют одинаковые атрибуты id и label. Простая утилита регистрации — Easy-RSA 2.0, которая является частью серии OpenVPN 2.1. Следуйте инструкциям, указанным в файле README, а затем используйте pkitool для регистрации. Инициализируйте токен с помощью следующей команды: $ ./pkitool --pkcs11-slots / usr / lib / pkcs11 / $ ./pkitool --pkcs11-init / usr / lib / pkcs11 / Зарегистрируйте сертификат, используя следующую команду: $ ./pkitool --pkcs11 / usr / lib / pkcs11 / client1 Как изменить конфигурацию OpenVPN для использования криптографических токеновУ вас должен быть OpenVPN 2.1 или выше, чтобы использовать функции PKCS # 11. Определите правильный объектКаждый провайдер PKCS # 11 может поддерживать несколько устройств. Для просмотра списка доступных объектов вы можете использовать следующую команду: $ openvpn --show-pkcs11-ids / usr / lib / pkcs11 / Следующие объекты доступны для использования. Каждый объект, показанный ниже, может использоваться как параметр для --pkcs11-id, пожалуйста, не забудьте использовать одинарные кавычки. Сертификат DN: / CN = Пользователь1 Серийный номер: 490B82C4000000000075 Серийный идентификатор: aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600 Каждая пара сертификат / закрытый ключ имеет уникальную строку «Сериализованный идентификатор».Строка сериализованного идентификатора запрошенного сертификата должна быть указана для параметра pkcs11-id с использованием одинарных кавычек. pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600' Использование OpenVPN с PKCS # 11Типичный набор опций OpenVPN для PKCS # 11pkcs11-провайдеры / usr / lib / pkcs11 / pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600' Будет выбран объект, соответствующий строке pkcs11-id. Расширенные параметры OpenVPN для PKCS # 11pkcs11-провайдеры /usr/lib/pkcs11/provider1.so /usr/lib/pkcs11/provider2.so pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600' pkcs11-контактный кэш 300 демон auth-retry nointeract удержание управления сигнал управления управление 127.0.0.1 8888 управление-запрос-пароли Это загрузит двух провайдеров в OpenVPN, будет использовать сертификат, указанный в опции pkcs11-id , и использовать интерфейс управления для запроса паролей.Демон вернется в состояние удержания при наступлении события, когда к токену будет невозможно получить доступ. Токен будет использоваться в течение 300 секунд, после чего пароль будет повторно запрошен, сеанс будет отключен, если сеанс управления отключится. Рекомендации по реализации PKCS # 11Многие провайдеры PKCS # 11 используют потоки, чтобы избежать проблем, вызванных реализацией LinuxThreads (setuid, chroot), настоятельно рекомендуется обновить glibc до Native POSIX Thread Library (NPTL), если вы собираетесь использовать PKCS #. 11. OpenSC PKCS # 11 провайдерПоставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows. Разница между PKCS # 11 и Microsoft Cryptographic API (CryptoAPI)PKCS # 11 — это бесплатный кроссплатформенный стандарт, независимый от поставщиков. CryptoAPI — это специальный API Microsoft. Большинство поставщиков смарт-карт обеспечивают поддержку обоих интерфейсов. В среде Windows пользователь должен выбрать, какой интерфейс использовать. Текущая реализация OpenVPN, использующая MS CryptoAPI (опция cryptoapicert ), работает хорошо, пока вы не запускаете OpenVPN как службу. Если вы хотите запустить OpenVPN в административной среде с помощью службы, реализация не будет работать с большинством смарт-карт по следующим причинам:
Используя интерфейс PKCS # 11, вы можете использовать смарт-карты с OpenVPN в любой реализации, поскольку PKCS # 11 не имеет доступа к магазинам Microsoft и не обязательно требует прямого взаимодействия с конечным пользователем. Маршрутизация всего клиентского трафика (включая веб-трафик) через VPNОбзорПо умолчанию, когда клиент OpenVPN активен, через VPN будет проходить только сетевой трафик к и от сайта сервера OpenVPN.Например, общий просмотр веб-страниц будет осуществляться с помощью прямых подключений в обход VPN. В некоторых случаях такое поведение может быть нежелательным — вы можете захотеть, чтобы VPN-клиент туннелировал весь сетевой трафик через VPN, включая общий просмотр веб-страниц в Интернете. Хотя этот тип конфигурации VPN приведет к снижению производительности клиента, он дает администратору VPN больший контроль над политиками безопасности, когда клиент одновременно подключен как к общедоступному Интернету, так и к VPN. РеализацияДобавьте следующую директиву в файл конфигурации сервера: push "redirect-gateway def1" Если ваша настройка VPN осуществляется через беспроводную сеть, где все клиенты и сервер находятся в одной беспроводной подсети, добавьте локальный флаг : push "локальный def1 шлюз перенаправления" Передача клиентам опции redirect-gateway приведет к тому, что весь сетевой трафик IP, исходящий на клиентских машинах, будет проходить через сервер OpenVPN.Сервер необходимо настроить так, чтобы он каким-то образом обрабатывал этот трафик, например, путем преобразования его в Интернет с помощью NAT или маршрутизации через HTTP-прокси серверного сайта. В Linux вы можете использовать такую команду для NAT трафика клиента VPN в Интернет: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE Эта команда предполагает, что подсеть VPN — это 10.8.0.0/24 (взято из директивы server в конфигурации сервера OpenVPN) и что локальный интерфейс Ethernet — eth0 . Когда используется шлюз перенаправления , клиенты OpenVPN будут маршрутизировать DNS-запросы через VPN, и VPN-серверу потребуется их обрабатывать. Этого можно добиться, отправив адрес DNS-сервера подключающимся клиентам, который заменит их обычные настройки DNS-сервера во время активности VPN. Например: push "dhcp-option DNS 10.8.0.1" настроит клиентов Windows (или клиентов, отличных от Windows с некоторыми дополнительными сценариями на стороне сервера) для использования 10.8.0.1 в качестве их DNS-сервера. Любой адрес, доступный для клиентов, может использоваться в качестве адреса DNS-сервера. ПредупрежденияПеренаправление всего сетевого трафика через VPN не совсем без проблем. Вот несколько типичных ошибок, о которых следует знать:
Для получения дополнительной информации о механизме директивы redirect-gateway см. Страницу руководства. Запуск сервера OpenVPN на динамическом IP-адресеХотя клиенты OpenVPN могут легко получить доступ к серверу через динамический IP-адрес без какой-либо специальной настройки, все становится более интересным, когда сам сервер находится на динамическом адресе.Хотя у OpenVPN нет проблем с обработкой ситуации с динамическим сервером, требуется некоторая дополнительная настройка. Первый шаг — получить динамический DNS-адрес, который можно настроить так, чтобы он «следил» за сервером при каждом изменении IP-адреса сервера. Доступно несколько поставщиков услуг динамического DNS, например dyndns.org. Следующим шагом является настройка механизма, при котором каждый раз при изменении IP-адреса сервера динамическое DNS-имя будет быстро обновляться с новым IP-адресом, позволяя клиентам находить сервер по его новому IP-адресу.Для этого есть два основных способа:
Клиент OpenVPN по умолчанию распознает изменение IP-адреса сервера, если в конфигурации клиента используется удаленная директива , которая ссылается на динамическое DNS-имя.Обычная цепочка событий состоит в том, что (а) клиент OpenVPN не может своевременно получать сообщения поддержки активности со старого IP-адреса сервера, вызывая перезапуск, и (б) перезапуск вызывает повторное изменение имени DNS в директиве remote . разрешено, что позволяет клиенту повторно подключиться к серверу по его новому IP-адресу. Более подробную информацию можно найти в FAQ. Подключение к серверу OpenVPN через HTTP-прокси.OpenVPN поддерживает соединения через HTTP-прокси со следующими режимами аутентификации:
Прежде всего, использование прокси-сервера HTTP требует, чтобы вы использовали TCP в качестве протокола передачи туннеля.Поэтому добавьте следующее в конфигурацию клиента и сервера: протокол протокола TCP Убедитесь, что все строки proto udp в файлах конфигурации удалены. Затем добавьте директиву http-proxy в файл конфигурации клиента (полное описание этой директивы см. На странице руководства). Например, предположим, что у вас есть прокси-сервер HTTP в клиентской локальной сети по адресу 192.168.4.1 , который прослушивает соединения на порту 1080 .Добавьте это в конфигурацию клиента: http-прокси 192.168.4.1 1080 Предположим, прокси-сервер HTTP требует базовой проверки подлинности: http-прокси 192.168.4.1 1080 stdin базовый Предположим, прокси-сервер HTTP требует проверки подлинности NTLM: http-прокси 192.168.4.1 1080 stdin ntlm Два приведенных выше примера аутентификации заставят OpenVPN запрашивать имя пользователя / пароль из стандартного ввода.Если вместо этого вы хотите поместить эти учетные данные в файл, замените stdin именем файла и поместите имя пользователя в строку 1 этого файла и пароль в строку 2. Подключение к общему ресурсу Samba через OpenVPNЭтот пример предназначен для демонстрации того, как клиенты OpenVPN могут подключаться к общему ресурсу Samba через маршрутизируемый туннель dev tun . Если вы используете мост Ethernet ( dev tap ), вам, вероятно, не нужно следовать этим инструкциям, поскольку клиенты OpenVPN должны видеть серверные машины в своем сетевом окружении. В этом примере мы предположим, что:
Если серверы Samba и OpenVPN работают на разных машинах, убедитесь, что вы следовали разделу о расширении возможностей VPN за счет включения дополнительных машин. Затем отредактируйте файл конфигурации Samba ( smb.conf ). Убедитесь, что хосты разрешают директиву , разрешающую подключение клиентов OpenVPN из подсети 10.8.0.0/24 . Например: хостов allow = 10.66.0.0/24 10.8.0.0/24 127.0.0.1 Если вы используете серверы Samba и OpenVPN на одном компьютере, вам может потребоваться отредактировать директиву interfaces в файле smb.conf , чтобы также прослушивать подсеть интерфейса TUN 10.8.0.0 / 24 : интерфейсов = 10.66.0.0/24 10.8.0.0/24 Если вы используете серверы Samba и OpenVPN на одном компьютере, подключитесь с клиента OpenVPN к общему ресурсу Samba, используя имя папки: \ 10.8.0.1 \ sharename Если серверы Samba и OpenVPN находятся на разных машинах, используйте имя папки: \\ 10.66.0.4 \ sharename Например, из окна командной строки: чистое использование z: \ 10.66.0.4 \ sharename / ПОЛЬЗОВАТЕЛЬ: myusername Реализация конфигурации балансировки нагрузки / переключения при отказеКлиентКонфигурация клиента OpenVPN может ссылаться на несколько серверов для балансировки нагрузки и переключения при отказе. Например: удаленный server1.mydomain удаленный server2.mydomain удаленный server3.mydomain укажет клиенту OpenVPN попытаться установить соединение с server1, server2 и server3 в указанном порядке.Если существующее соединение разорвано, клиент OpenVPN повторит попытку последнего подключенного сервера, а в случае сбоя перейдет к следующему серверу в списке. Вы также можете указать клиенту OpenVPN случайным образом распределить список серверов при запуске, чтобы клиентская нагрузка была вероятностно распределена по пулу серверов. удаленно-случайный Если вы также хотите, чтобы из-за сбоев разрешения DNS клиент OpenVPN перешел на следующий сервер в списке, добавьте следующее: повторная попытка разрешения 60 Параметр 60 сообщает клиенту OpenVPN попробовать разрешить каждое удаленное DNS-имя в течение 60 секунд, прежде чем перейти к следующему серверу в списке. Список серверов также может относиться к нескольким демонам сервера OpenVPN, запущенным на одном компьютере, каждый из которых прослушивает соединения на другом порту, например: удаленный smp-server1.mydomain 8000 удаленный smp-server1.mydomain 8001 удаленный smp-server2.mydomain 8000 удаленный smp-server2.mydomain 8001 Если ваши серверы являются многопроцессорными машинами, запуск нескольких демонов OpenVPN на каждом сервере может быть выгодным с точки зрения производительности. OpenVPN также поддерживает директиву remote , относящуюся к DNS-имени, которое имеет несколько записей A в конфигурации зоны для домена. В этом случае клиент OpenVPN будет случайным образом выбирать одну из записей A каждый раз при разрешении домена. СерверСамый простой подход к конфигурации балансировки нагрузки / переключения при отказе на сервере заключается в использовании эквивалентных файлов конфигурации на каждом сервере в кластере, за исключением использования разных пулов виртуальных IP-адресов для каждого сервера.Например: сервер1 сервер 10.8.0.0 255.255.255.0 сервер2 сервер 10.8.1.0 255.255.255.0 сервер3 сервер 10.8.2.0 255.255.255.0 Повышение безопасности OpenVPNОдин из часто повторяемых принципов сетевой безопасности заключается в том, что нельзя доверять одному компоненту безопасности настолько, чтобы его отказ стал причиной катастрофического нарушения безопасности.OpenVPN предоставляет несколько механизмов для добавления дополнительных уровней безопасности для защиты от такого исхода. tls-authДиректива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам подтверждения SSL / TLS для проверки целостности. Любой пакет UDP, не содержащий правильной подписи HMAC, может быть отброшен без дальнейшей обработки. Подпись tls-auth HMAC обеспечивает дополнительный уровень безопасности, превышающий уровень, обеспечиваемый SSL / TLS. Может защитить от:
Использование tls-auth требует, чтобы вы сгенерировали общий секретный ключ, который используется в дополнение к стандартному сертификату / ключу RSA: openvpn --genkey --secret ta.ключ Эта команда сгенерирует статический ключ OpenVPN и запишет его в файл ta.key . Этот ключ следует скопировать по уже существующему защищенному каналу на сервер и все клиентские машины. Его можно разместить в том же каталоге, что и файлы RSA .key и .crt . В конфигурации сервера добавить: tls-auth ta.key 0 В конфигурации клиента добавить: tls-auth ta.ключ 1 протокол udpХотя OpenVPN позволяет использовать протокол TCP или UDP в качестве VPN-соединения, протокол UDP обеспечивает лучшую защиту от DoS-атак и сканирования портов, чем TCP: протокол протокола udp пользователь / группа (не для Windows)OpenVPN был очень тщательно разработан, чтобы позволить отбрасывать привилегии root после инициализации, и эту функцию всегда следует использовать в Linux / BSD / Solaris.Без привилегий root запущенный демон сервера OpenVPN предоставляет злоумышленнику гораздо менее заманчивую цель. пользователь никто группа никто Непривилегированный режим (только Linux)В Linux OpenVPN можно запускать совершенно непривилегированно. Эта конфигурация немного сложнее, но обеспечивает лучшую безопасность. Для работы с этой конфигурацией OpenVPN должен быть настроен для использования интерфейса iproute, это делается путем указания —enable-iproute2 для скрипта настройки.Пакет sudo также должен быть доступен в вашей системе. Эта конфигурация использует возможность Linux изменять разрешение устройства tun, чтобы непривилегированный пользователь мог получить к нему доступ. Он также использует sudo для выполнения iproute, чтобы можно было изменить свойства интерфейса и таблицу маршрутизации. Конфигурация OpenVPN:
#! / Bin / sh sudo / sbin / ip $ *
user1 ALL = (ALL) NOPASSWD: / sbin / ip
% пользователей ALL = (ALL) NOPASSWD: / sbin / ip
разработчик tunX / tapX iproute / usr / местный / sbin / unpriv-ip
openvpn --mktun --dev tunX --type tun --user user1 --group users
Дополнительные ограничения безопасности могут быть добавлены путем проверки параметров в сценарии / usr / local / sbin / unpriv-ip. chroot (только не для Windows)Директива chroot позволяет заблокировать демон OpenVPN в так называемой chroot jail , где демон не сможет получить доступ к какой-либо части файловой системы хост-системы, за исключением конкретного каталога, указанного в качестве параметра для директива. Например, chroot jail заставит демон OpenVPN перейти в подкаталог jail при инициализации, а затем переориентирует свою корневую файловую систему в этот каталог, чтобы после этого демон не мог получить доступ к любым файлам за пределами jail и его дерева подкаталогов .Это важно с точки зрения безопасности, потому что даже если бы злоумышленник смог скомпрометировать сервер с помощью эксплойта вставки кода, эксплойт был бы заблокирован для большей части файловой системы сервера. Предостережения: поскольку chroot переориентирует файловую систему (только с точки зрения демона), необходимо поместить все файлы, которые могут понадобиться OpenVPN после инициализации, в каталог jail , например:
Большие ключи RSAРазмер ключа RSA контролируется переменной KEY_SIZE в файле easy-rsa / vars , которая должна быть установлена до создания любых ключей. В настоящее время по умолчанию установлено 1024, это значение может быть разумно увеличено до 2048 без отрицательного влияния на производительность VPN-туннеля, за исключением немного более медленного квитирования повторного согласования SSL / TLS, которое происходит один раз для каждого клиента в час, и гораздо более медленного одноразового подтверждения Диффи. Процесс генерации параметров Хеллмана с помощью сценария easy-rsa / build-dh . Симметричные ключи большего размераПо умолчанию OpenVPN использует Blowfish , 128-битный симметричный шифр. OpenVPN автоматически поддерживает любой шифр, который поддерживается библиотекой OpenSSL, и, как таковой, может поддерживать шифры с ключами большого размера. Например, 256-битную версию AES (Advanced Encryption Standard) можно использовать, добавив следующее в файлы конфигурации сервера и клиента: шифр AES-256-CBC Сохранить корневой ключ (ок.ключ ) на автономном компьютере без сетевого подключенияОдним из преимуществ безопасности использования PKI X509 (как это делает OpenVPN) является то, что корневой ключ CA ( ca. key ) не обязательно должен присутствовать на сервере OpenVPN. В среде с высоким уровнем безопасности вам может потребоваться специально назначить машину для целей подписания ключей, обеспечить хорошую физическую защиту машины и отключить ее от всех сетей. При необходимости можно использовать дискеты для перемещения ключевых файлов вперед и назад.Такие меры чрезвычайно затрудняют кражу корневого ключа злоумышленнику, за исключением физического кражи машины для подписи ключей. Отзыв сертификатовОтзыв сертификата означает аннулирование ранее подписанного сертификата, чтобы его больше нельзя было использовать для целей аутентификации. Типичные причины отзыва сертификата:
ПримерВ качестве примера мы отзовем сертификат client2 , который мы сгенерировали выше в разделе «генерация ключей» HOWTO. Сначала откройте оболочку или окно командной строки и перейдите в каталог easy-rsa , как вы это делали в разделе «генерация ключей» выше. В Linux / BSD / Unix: ../vars ./revoke-full client2 В Windows: вари revoke-full client2 Вы должны увидеть примерно такой результат: Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf ОТЛАДКА [load_index]: unique_subject = "да" Отзыв сертификата 04. База данных обновлена Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf ОТЛАДКА [load_index]: unique_subject = "да" клиент2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/[email protected] ошибка 23 при поиске глубины 0: сертификат отозван Обратите внимание на «ошибку 23» в последней строке. Это то, что вы хотите увидеть, поскольку это указывает на то, что проверка сертификата отозванного сертификата не удалась. Сценарий revoke-full создаст файл CRL (список отзыва сертификатов) с именем crl.pem в подкаталоге keys . Файл должен быть скопирован в каталог, в котором сервер OpenVPN может получить к нему доступ, затем проверка CRL должна быть включена в конфигурации сервера: crl-verify crl.pem Теперь все подключающиеся клиенты будут иметь свои клиентские сертификаты, проверенные по списку отзыва сертификатов, и любое положительное совпадение приведет к разрыву соединения. CRL Примечания
Важное примечание о возможной атаке «Человек посередине», если клиенты не проверяют сертификат сервера, к которому они подключаются.Чтобы избежать возможной атаки Man-in-the-Middle, когда авторизованный клиент пытается подключиться к другому клиенту, выдавая себя за сервер, убедитесь, что клиенты используют какую-то проверку сертификата сервера.В настоящее время для этого существует пять различных способов, перечисленных в порядке предпочтения:
Как настроить VPN-соединение на любом устройстве: простое руководствоВиртуальная частная сеть (VPN) может обеспечить безопасность и конфиденциальность в Интернете.Однако настройка VPN может быть неприятной для тех, у кого нет опыта работы с VPN. Если вы уже пытались установить VPN на одном из своих устройств, то знаете, что это может оказаться трудным и трудоемким процессом. Но не волнуйтесь! Это простое руководство научит вас настраивать VPN-соединения на любом устройстве всего за несколько минут! Пропустите ручную настройку и получите приложение VPNПрежде чем приступить к делу, не кажется ли вам, что настройка VPN вручную является сложной задачей? Лучшим вариантом является использование поставщика услуг VPN, который предлагает приложения VPN, которые можно настроить двойным щелчком кнопки.Surfshark предлагает приложения для широкого спектра устройств, поэтому вам не нужно беспокоиться о настройке VPN вручную или чтении остальной части этого руководства. Настройка VPN вручнуюПримечание: Невозможно настроить VPN без сервера. Эти руководства предназначены для использования сертификатов, предоставленных вашим провайдером VPN (вы можете найти Surfshark на странице своей учетной записи). Итак, первое, что вам нужно сделать, это получить эти сертификаты для вашего устройства и ОС.Обычно вы найдете их на странице аккаунта вашего VPN-провайдера. А теперь посмотрим, что мы можем с ними сделать. Как настроить VPN в Windows Большинство служб VPN предоставляют приложение для Windows. Как только вы разрешите приложению доступ, оно автоматически настроит устройства. Если ваша компания VPN не предлагает приложение VPN, вот как настроить VPN с помощью IKEv2 / IPSec для Windows:
Примечание. Если вы предпочитаете OpenVPN, вот как его настроить (он предназначен для Surfshark, но должен работать для любого провайдера). Как настроить VPN на MacПеред настройкой VPN вручную на Mac убедитесь, что ваш провайдер VPN не предлагает приложение Mac для автоматической настройки. Если у вашего провайдера нет приложения, вот как настроить VPN вручную с помощью протокола IKEv2 VPN:
Если вы хотите узнать больше, у нас есть все, что вам нужно знать о настройке VPN на macOS . Как настроить VPN в LinuxНастройка VPN в Linux вручную требует времени, поэтому перед началом работы убедитесь, что у вашего поставщика VPN нет более быстрого метода, например специального приложения. Если это не так, вот как вручную настроить VPN в Linux с помощью OpenVPN: .
Остались вопросы? У нас есть ответы о том, как настроить VPN в Linux . Как настроить VPN на AndroidНастроить VPN на устройстве Android очень просто.Но если вы хотите настроить его вручную, а не позволять приложению автоматически настраивать параметры за вас, вот как это сделать:
Некоторые службы VPN предоставляют приложения для Android TV. Просто найдите приложение вашего VPN-провайдера на Android Market. Если ваш провайдер VPN не предлагает отдельного приложения, вам нужно будет сделать это вручную с помощью графического интерфейса OpenVPN: .
Примечание. Графический интерфейс OpenVPN обычно используется с сенсорным экраном или мышью; может быть сложно маневрировать с игровым контроллером или пультом дистанционного управления. Кроме того, вы должны повторно открыть программное обеспечение OpenVPN, чтобы отключить VPN или изменить серверы VPN. Ознакомьтесь с нашим руководством, если вы хотите узнать больше о настройке VPN на Android TV. Как настроить VPN на iOSХотя загрузка собственного приложения для службы VPN прямо из App Store — это самый простой способ настроить мобильные устройства iOS, вот как это сделать вручную с помощью протокола IKEv2:
Нужна дополнительная информация? Ознакомьтесь с нашим руководством по настройке VPN на устройствах iOS. Как настроить VPN на FirestickЛучший способ использовать VPN на Firestick — это загрузить собственное приложение вашего VPN-провайдера. Подключение вручную требует больше работы. Но это возможно с APK-файлами Firestick для Android! Вот как настроить VPN-соединение на Firestick:
Apple затрудняет внесение каких-либо изменений в свои продукты.Чтобы использовать VPN на Apple TV, вам понадобится интеллектуальный DNS. Перед выполнением следующих шагов убедитесь, что ваш поставщик услуг VPN включил интеллектуальный DNS и предоставил вам требуемый IP-адрес:
Узнайте больше о настройке VPN на Apple TV в нашем специальном руководстве. Настройка Smart DNS на Xbox и PlayStation Игровые консолине поддерживают виртуальные частные сети, но вы можете легко настроить Xbox или Playstation на их использование, если ваш провайдер VPN поддерживает интеллектуальный DNS. Smart DNS не является VPN-клиентом и не предоставляет зашифрованный туннель, но может разблокировать материал, такой как VPN.Некоторые поставщики VPN предлагают приложения для ручной настройки на Xbox, Samsung TV и других устройствах. Вот как это сделать вручную: Как настроить Smart DNS на PlayStation
Дополнительную информацию о настройке VPN на PlayStation см. В нашем руководстве. Как настроить Smart DNS на Xbox
Настройка VPN на маршрутизаторе дает несколько преимуществ. Во-первых, вам не нужно беспокоиться о подключении всех ваших устройств к VPN в вашей домашней сети. Подключив VPN к маршрутизатору, вы защитите всю свою сеть. Plus, вы можете обойти ограничения веб-сайтов и предотвратить наблюдение со стороны интернет-провайдеров! VPN на маршрутизаторе не так проста, как загрузка приложений VPN, и процесс отличается в зависимости от типа маршрутизатора, но у нас есть специальное руководство для этого, см .: Как настроить VPN на роутере . Даже если вы не используете Surfshark, процесс должен быть довольно схожим, если не идентичным. Заключительные мысли: Следует ли мне настроить виртуальную частную сеть на моем устройстве?В современных условиях защита вашей конфиденциальности, данных и интернет-трафика должна быть главным приоритетом, особенно когда речь идет о вашем доме или сети Wi-Fi. Technology сделала это возможным на любом устройстве. Настроить подключение к виртуальной частной сети очень просто.Итак, побалуйте себя немного цифровой безопасности и конфиденциальности. Если вы все еще не определились, Surfshark упрощает настройку множества устройств. В приложениях почти для каждой операционной системы, платформы, браузера и устройства редко требуется выполнять ручные настройки, описанные выше. Даже в этом случае Surfshark предлагает круглосуточную службу поддержки клиентов, которая может вам помочь. Получите Surfshark, если вам нужна подписка на VPN, которая легко работает на всех ваших устройствах. Конфигурация ОС клиента VPN— Cisco MerakiВ этой статье приводятся инструкции по настройке клиентского VPN-подключения в часто используемых операционных системах.Для получения дополнительной информации о клиентской VPN см. Нашу документацию Client VPN Overview . Для устранения неполадок см. Нашу документацию Troubleshooting Client VPN . AndroidЧтобы настроить Android-устройство для подключения к клиентской VPN, выполните следующие действия:
При подключении вам будет предложено ввести учетные данные. Chrome OSУстройства на базе Chrome OS можно настроить для подключения к клиентской функции VPN на устройствах безопасности MX. Это позволяет удаленным пользователям безопасно подключаться к локальной сети. В этой статье рассказывается, как настроить VPN-соединение на устройстве Chrome OS.Для получения дополнительной информации о том, как настроить клиентскую функцию VPN MX или как подключиться из других операционных систем, посетите документацию Client VPN Overview .
Для получения дополнительных сведений о настройке VPN-подключений в Chrome OS посетите страницу службы поддержки Google . Чтобы настроить устройство iOS для подключения к клиентской VPN, выполните следующие действия:
macOSВ настоящее время поддерживаются только следующие механизмы аутентификации:
При использовании аутентификации на сервере Meraki настройка учетной записи / имени пользователя VPN на клиентских устройствах (например,грамм. ПК или Mac) — это адрес электронной почты пользователя, введенный на панели управления. Приведенные ниже инструкции протестированы на Mac OS 10.7.3 (Lion). Откройте Системные настройки> Сеть из меню приложений Mac. Нажмите кнопку «+», чтобы создать новую службу, выберите VPN в качестве типа интерфейса и выберите L2TP поверх IPsec в раскрывающемся меню.
Щелкните Authentication Settings и введите следующую информацию:
Щелкните OK , чтобы вернуться на главную страницу настроек VPN, затем щелкните Advanced и включите опцию Отправлять весь трафик через VPN-соединение . Соединение VPN не будет установлено, если вы не включите Отправлять весь трафик через соединение VPN. Windows 7В настоящее время поддерживаются только следующие механизмы аутентификации:
При использовании аутентификации на сервере Meraki настройка учетной записи / имени пользователя VPN на клиентских устройствах (например, ПК или Mac) — это адрес электронной почты пользователя, введенный на панели управления. Откройте меню «Пуск» > Панель управления , щелкните Сеть и Интернет, щелкните Просмотрите состояние сети и задачи . Во всплывающем окне Настроить соединение или сеть выберите Подключиться к рабочему месту (настройте коммутируемое или VPN-подключение к своему рабочему месту). Выберите Использовать мое подключение к Интернету (VPN) в диалоговом окне Подключиться к рабочей области . В диалоговом окне Connect to a Workplace введите:
Выберите Не подключаться сейчас; просто настройте его, чтобы я мог подключиться позже . Щелкните Далее . В следующем диалоговом окне введите учетные данные пользователя и нажмите Create . Закройте мастер подключения VPN. Перейдите в Центр управления сетями и общим доступом и нажмите Изменить Настройки адаптераВ окне Сетевые подключения щелкните правой кнопкой мыши новые настройки VPN-подключения и выберите Свойства . На вкладке Общие проверьте имя хоста (например, .com) или активный IP-адрес WAN (например, XXX.ХХХ.ХХХ) . Рекомендуется использовать имя хоста вместо активного IP-адреса WAN, поскольку оно более надежно в случае переключения WAN при отказе. Администратор может найти их на панели управления в разделе Устройство безопасности > Монитор > Состояние устройства . На вкладке Options снимите флажок Include Windows logon domain . На вкладке Security выберите Layer 2 Tunneling Protocol с IPsec (L2TP / IPSec) . Отметьте Незашифрованный пароль (PAP) и снимите отметки со всех остальных опций. Щелкните Дополнительные настройки . Несмотря на название «Незашифрованный PAP», пароль клиента отправляется зашифрованным по туннелю IPsec между клиентским устройством и MX. Пароль полностью защищен и никогда не пересылается в виде открытого текста по WAN или LAN. В диалоговом окне «Дополнительные свойства » выберите « Использовать общий ключ для аутентификации » и введите общий ключ, созданный администратором в устройстве безопасности > Настроить > Параметры VPN клиента . Щелкните ОК . В окне Сетевые подключения щелкните правой кнопкой мыши VPN-подключение и выберите Подключиться. Подтвердите свое имя пользователя и нажмите Connect. Окна 8В настоящее время поддерживаются только следующие механизмы аутентификации:
При использовании аутентификации на сервере Meraki настройка учетной записи / имени пользователя VPN на клиентских устройствах (например, ПК или Mac) — это адрес электронной почты пользователя, введенный на панели управления. Откройте меню «Пуск» > Центр управления сетями и общим доступом и щелкните «Параметры » . В Центре управления сетями и общим доступом щелкните Настроить новое соединение или сеть . Во всплывающем окне Настройка подключения или сети выберите Подключиться к рабочему месту . Выберите Использовать мое подключение к Интернету (VPN) в диалоговом окне Подключиться к рабочей области . В диалоговом окне Connect to a Workplace введите:
Щелкните Создать . Вернитесь в центр управления сетями и общим доступом и щелкните Изменить параметры адаптера . В окне Сетевые подключения щелкните правой кнопкой мыши значок VPN подключения и выберите Свойства . На вкладке General проверьте имя хоста (например, .com) или активный IP-адрес WAN (e.грамм. ХХХ.ХХХ.ХХХ) . Рекомендуется использовать имя хоста вместо активного IP-адреса WAN, поскольку оно более надежно в случае переключения WAN при отказе. Администратор может найти их на панели управления в разделе Устройство безопасности > Монитор > Состояние устройства . На вкладке Security выберите Layer 2 Tunneling Protocol с IPsec (L2TP / IPSec) . Отметьте Незашифрованный пароль (PAP) и снимите отметки со всех остальных опций. Щелкните Расширенные настройки. Несмотря на название «Незашифрованный PAP», пароль клиента отправляется зашифрованным по туннелю IPsec между клиентским устройством и MX. Пароль полностью защищен и никогда не пересылается в виде открытого текста по WAN или LAN. В диалоговом окне Advanced Properties выберите Use prehared key for authentication и введите предварительный ключ, созданный администратором в Security Appliance > Configure> Client VPN settings . Щелкните ОК . Вернитесь в окно Сетевые подключения , щелкните правой кнопкой мыши VPN-подключение и выберите Подключить / Отключить . Найдите свой профиль VPN и щелкните Connect . Введите ваше имя пользователя и пароль. Щелкните ОК. Окна 10В настоящее время поддерживаются только следующие механизмы аутентификации:
При использовании аутентификации на сервере Meraki настройка учетной записи / имени пользователя VPN на клиентских устройствах (например, ПК или Mac) — это адрес электронной почты пользователя, введенный на панели управления. Откройте меню «Пуск» > Найдите «VPN»> нажмите «Изменить виртуальные частные сети (VPN)». На странице настроек VPN нажмите Добавить VPN-соединение . В диалоговом окне Добавить VPN-соединение :
Нажмите Сохранить. После создания VPN-подключения щелкните Изменить параметры адаптера в разделе Связанные параметры . Щелкните правой кнопкой мыши VPN Connection в списке адаптеров и выберите Properties . На вкладке Безопасность выберите Требовать шифрование (отключиться при отказе сервера) в разделе Шифрование данных . Затем выберите Разрешить эти протоколы в разделе Аутентификация . В списке протоколов отметьте Незашифрованный пароль (PAP) и снимите отметки со всех остальных опций. Щелкните Дополнительные настройки . Несмотря на название «Незашифрованный PAP», пароль клиента отправляется зашифрованным по туннелю IPsec между клиентским устройством и MX. Пароль полностью защищен и никогда не пересылается в виде открытого текста по WAN или LAN. В диалоговом окне Advanced Properties выберите « Use prehared key for authentication » и введите предварительный ключ, созданный администратором в Security device> Configure> Client VPN settings . Вернитесь в окно Сетевые подключения , щелкните правой кнопкой мыши VPN-подключение и выберите Подключить / Отключить . Найдите свой профиль VPN и щелкните Connect . Введите ваше имя пользователя и пароль. Щелкните ОК. Windows XPВ настоящее время поддерживаются только следующие механизмы аутентификации:
При использовании аутентификации на сервере Meraki используйте адрес электронной почты для учетной записи / имени пользователя VPN. Откройте меню «Пуск» > Панель управления , щелкните «Сетевые подключения ». В разделе Network Tasks щелкните Create a new connection . Выберите Подключиться к сети на моем рабочем месте в окне Мастер нового подключения . Выберите Virtual Private Network connection в следующем разделе. Затем дайте имя для этого соединения. Это может быть что угодно, например «Рабочий VPN». Введите имя хоста (например, .com) или активный IP-адрес WAN (например, XXX.XXX.XXX) . Рекомендуется использовать имя хоста вместо активного IP-адреса WAN, поскольку оно более надежно в случае переключения WAN при отказе.Администратор может найти их на панели управления в разделе Устройство безопасности > Монитор > Состояние устройства . В поле Connect <Имя соединения> щелкните Свойства : На вкладке Общие проверьте имя хоста (например, .com) или активный IP-адрес WAN (например, XXX.XXX.XXX) . Рекомендуется использовать имя хоста вместо активного IP-адреса WAN, поскольку оно более надежно в случае переключения WAN при отказе.Администратор может найти их на панели управления в разделе Устройство безопасности > Монитор > Состояние устройства . На вкладке Options снимите флажок Include Windows logon domain На вкладке Security выберите Advanced (пользовательские настройки) . Щелкните «Настройки ». На странице Advanced Security Settings выберите Optional encryption из раскрывающегося меню Data encryption . Выберите Незашифрованный пароль (PAP) из Разрешите эти протоколы параметры и снимите все остальные флажки. Несмотря на название «Незашифрованный PAP», пароль клиента отправляется зашифрованным по туннелю IPsec между клиентским устройством и MX. Пароль полностью защищен и никогда не пересылается в виде открытого текста по WAN или LAN. Вернитесь на вкладку Security , щелкните IPSec Settings . Проверка Используйте предварительный общий ключ для аутентификации и введите предварительный ключ, созданный администратором в Устройство безопасности> Настроить> Настройки VPN клиента . Щелкните ОК . На вкладке Networking выберите L2TP IPSec VPN из опций Type of VPN . Вернитесь в окно Сетевые подключения , щелкните правой кнопкой мыши VPN-подключение и выберите Подключиться. Подтвердите свое имя пользователя и нажмите Connect. LinuxПоскольку клиентская VPN использует стандарт L2TP поверх IPsec, подойдет любой клиент Linux, который должным образом поддерживает этот стандарт. Обратите внимание, что более новые версии Ubuntu не поставляются с VPN-клиентом, поддерживающим L2TP / IP, и поэтому для них потребуется сторонний VPN-клиент, поддерживающий протокол. Примечание: Пакет xl2tp неправильно отправляет учетные данные пользователя в MX при использовании аутентификации Meraki Cloud Controller, и это приводит к сбою запроса аутентификации.Вместо этого для успешной аутентификации можно использовать аутентификацию Active Directory или RADIUS. Настройка Ubuntu 20.04Ubuntu по умолчанию не поддерживает L2TP VPN. Вам нужно будет установить несколько программных пакетов, чтобы включить эту функцию. Приведенные ниже инструкции были написаны для Ubuntu 20.04 LTS в среде рабочего стола Gnome. Версии Ubuntu 16.04 и 18.04 можно настроить аналогичным образом. Однако из-за большого количества доступных версий Linux невозможно задокументировать каждую поддерживаемую версию Ubuntu. Чтобы начать настройку VPN, откройте окно терминала. Сделайте это, выполнив поиск Терминал в списке приложений. Щелкните значок Terminal , чтобы открыть новый сеанс. Как только появится окно терминала, вам нужно будет ввести несколько команд: sudo apt-get update sudo apt-get установить сетевой менеджер-l2tp sudo apt-get установить сетевой менеджер-l2tp-gnome Примечание: Для установки этих пакетов вам необходимо быть частью группы «sudoers».Если вы получаете сообщение об ошибке типа «<имя пользователя> отсутствует в файле sudoers», вам нужно будет либо настроить свои разрешения, либо обратиться к администратору, чтобы добавить вашу учетную запись в качестве администратора, либо попросить их установить программное обеспечение для вас. После установки пакетов вы можете открыть Network Settings , выполнив поиск Settings в списке приложений или щелкнув значок Network в правом верхнем углу экрана и выбрав Wired (или Беспроводная связь) Настройки . Как только появится окно Network Settings , вы увидите, что в нем есть раздел VPN . Щелкните значок + , чтобы установить новое VPN-соединение. Выберите тип Layer 2 Tunneling Protocol (L2TP) VPN в модальном всплывающем окне. Если L2TP не указан как вариант, см. Первый шаг по установке необходимых пакетов. После выбора опции L2TP появится новое модальное окно с названием Добавить VPN .Заполните здесь поля Name , Gateway , User name и Password . Примечание: Чтобы сохранить пароль на этом экране, необходимо выбрать соответствующий вариант из вопросительного знака в поле пароля. Затем нажмите кнопку IPsec Settings , чтобы открыть модальное окно L2TP IPsec Options . Когда появится модальное окно, разверните параметры Advanced и введите следующее: Общий ключ: введите общий ключ в разделе Безопасность и SD-WAN> Настроить> Клиентская VPN. Алгоритмы фазы 1: aes128-sha1-modp1024,3des-sha1-modp1024! Алгоритмы Phase2: aes128-sha1-modp1024,3des-sha1-modp1024! Выберите ОК , чтобы продолжить.Вы вернетесь обратно в модальное окно Добавить VPN . Нажмите кнопку PPP Settings . В модальном окне L2TP PPP Options выберите только метод аутентификации PAP . Убедитесь, что другие методы аутентификации не выбраны. Все остальные параметры можно оставить по умолчанию. Выберите ОК , чтобы продолжить. Выберите Добавить в правом верхнем углу модального окна Добавить VPN , чтобы завершить настройку VPN. Теперь вы можете подключить свой VPN, нажав кнопку на странице Network Settings : Или выбрав опцию Connect в правом верхнем углу меню. После успешного подключения значок VPN появится рядом со значком сети в строке состояния. Примечание: Версия network-manager-l2tp , установленная вместе с xl2tpd , является , которая, как известно, вызывает проблемы при подключении к устройствам Meraki.Чтобы облегчить это, вы должны отключить службу xl2tpd при использовании графического интерфейса сетевого менеджера для подключения к Meraki VPN. Чтобы остановить службу xl2tpd один раз, используйте эту команду терминала: служба sudo xl2tpd stop Чтобы остановить службу xl2tpd для всех последующих перезагрузок, используйте эту команду терминала: sudo update-rc.d xl2tpd отключить Как настроить личный Windows VPNНастройте свой собственный VPN без дорогостоящего программного обеспечения Эрик Гейер Если вам нужен безопасный доступ к вашей сети, когда вы находитесь вне офиса, вы можете настроить виртуальную частную сеть (VPN).Вы можете подключиться через Интернет и безопасно получить доступ к своим общим файлам и ресурсам. Вам не нужно покупать дорогой VPN-сервер, если у вас мало пользователей. Windows фактически предоставляет функции VPN-сервера и клиента. В этом руководстве мы настроим сервер VPN для Windows 7 или Vista и подключимся к Windows XP, Vista или 7. Теперь приступим! Предотвращение конфликтов IPПоскольку VPN-соединения связывают сети вместе, вы должны быть осторожны с подсетью и IP-адресацией, чтобы не возникло никаких конфликтов.В сети, в которой размещен VPN-сервер, следует использовать необычный IP-адрес маршрутизатора по умолчанию, например 192.168.50.1. Если у вас несколько офисов, назначьте каждому из них разные необычные IP-адреса или подсети, например 192.168.51.1, 192.168.52.1 и т. Д. Рисунок 1Создать входящее VPN-соединение в WindowsЧтобы настроить сервер Windows VPN, вы делаете то, что Microsoft описывает как «создание входящего соединения». Это будет сервер или хост VPN. Помимо прочего, вы укажете пользователей, которых хотите подключить.Выполните следующие действия, чтобы создать входящее соединение:
Теперь вам нужно получить доступ к свойствам вновь созданного входящего сетевого подключения и определить диапазон IP-адресов для VPN-клиентов:
Настроить сторонние брандмауэрыWindows автоматически разрешает VPN-подключения через брандмауэр Windows при настройке входящего подключения на главном ПК.Однако, если на главном компьютере установлен сторонний брандмауэр, необходимо убедиться, что трафик VPN разрешен. Возможно, вам придется вручную ввести номера портов 47 и 1723. Настройте свой IP-адрес, динамический DNS и маршрутизаторЧтобы включить VPN-подключения к главному компьютеру из Интернета, вы должны настроить маршрутизатор для пересылки их на ПК с Windows, который принимает входящие подключения. Вы указываете хост-компьютер, вводя его локальный IP-адрес. Поэтому перед настройкой переадресации порта убедитесь, что IP-адрес не изменится. Начните с входа в веб-панель управления маршрутизатора. Затем перейдите в настройки сети или DHCP и посмотрите, можете ли вы зарезервировать IP-адрес для ПК, чтобы он всегда получал один и тот же. Это может называться резервированием DHCP или статическим DHCP. Некоторые маршрутизаторы не имеют этой функции. В этом случае вам нужно будет вручную назначить компьютеру статический IP-адрес в настройках TCP / IP сетевого подключения в Windows. После определения IP-адреса найдите виртуальный сервер или настройки переадресации портов на веб-панели управления маршрутизатора.Затем создайте порт пересылки записей 1723 на локальный IP-адрес ПК, как показано на экране 6. Не забудьте сохранить изменения! Рисунок 6. Если ваше Интернет-соединение использует динамический IP-адрес, а не статический, вам следует зарегистрироваться и настроить динамическую службу DNS. Это связано с тем, что при настройке удаленных клиентов необходимо ввести IP-адрес в Интернете того места, где находится хост-компьютер. Это будет проблемой, если IP изменится. Однако вы можете подписаться на бесплатную услугу, например, с No-IP, и ввести данные своей учетной записи в маршрутизатор, чтобы он обновил имя хоста с вашим IP.Затем у вас будет имя хоста (например, yourname.no-ip.org) для ввода в удаленные клиенты, которое всегда будет указывать на текущий IP-адрес вашего хост-компьютера в Интернете. Теперь все на стороне сервера должно быть настроено и готово к работе. Далее вам нужно настроить клиентов. Создание исходящих VPN-подключений в Windows Теперь, когда у вас настроен сервер, вам нужно настроить компьютеры, с которых вы хотите подключиться, так называемые клиенты VPN. Вот как это сделать в Windows Vista и 7:
Windows может по умолчанию назначить соединение как общедоступную сеть, ограничивая функциональность общего доступа.Поэтому вы, вероятно, захотите это изменить. Если вам не предлагается сделать это, откройте Центр управления сетями и общим доступом и нажмите Настроить (Windows Vista) или ссылку Public network под именем подключения (Windows 7). Затем во всплывающем окне выберите Work Network . Вот как создать исходящее VPN-соединение в Windows XP:
Ограничение VPN-трафикаПо умолчанию весь Интернет-трафик на VPN-клиенте будет проходить через VPN, а не через локальный Интернет, к которому они подключены. Это замечательно, если они используют общедоступное соединение, например порт в отеле или точку доступа Wi-Fi, поскольку это сохраняет их конфиденциальность при просмотре. Однако, если они находятся в надежной сети, например, дома или в удаленном офисе, это может просто тратить полосу пропускания. Чтобы ограничить трафик, проходящий через VPN-соединение:
Теперь VPN-клиент будет использовать локальное Интернет-соединение при просмотре веб-сайтов. Он будет использовать VPN-соединение только в том случае, если сервер или IP-адрес недоступны через Интернет, например, при доступе к общим ресурсам в сети хоста VPN. Подключение к VPNВ Windows XP можно подключаться и отключаться, открыв окно Сетевые подключения и щелкнув правой кнопкой мыши VPN-подключение. В Windows Vista вы можете щелкнуть значок сети на панели задач, щелкнуть Подключиться к , а затем выбрать подключение. В Windows 7 щелкните значок сети на панели задач и выберите VPN-соединение. После подключения у вас должен быть доступ к общим ресурсам в сети хоста VPN.Иметь ввиду; вам, возможно, придется вручную получить доступ к общим ресурсам (например, ip_address_of_computer или file: // имя_компьютера /) вместо просмотра в Мое сетевое окружение или Сеть. |