Vpn подключение как настроить: Настроить VPN-соединение на рабочем месте сотрудника

Выбор виртуальной частной сети или VPN может показаться сложным из-за всех доступных вариантов.Как узнать, нужен ли он вам? Как это работает? Что это для тебя значит? Мы ответим на все эти вопросы в этой информационной статье и сделаем это так, чтобы облегчить вам принятие решения.

Melpomenem

Независимо от того, есть ли у вас одно устройство для подключения к Интернету или 20, для вас найдется поставщик VPN. Если вы ищете способ защитить свои данные дома или в любом другом месте, где используется общедоступная сеть Wi-Fi, служба VPN — отличный способ сделать это. Прочтите, чтобы получить советы по выбору службы, понять, как она защищает вашу конфиденциальность в Интернете, а также получить помощь в настройке VPN на ваших компьютерах и мобильных устройствах.

Как получить VPN

1. Решите, нужен ли вам VPN. Первый вопрос, который вы должны задать себе: нужен ли мне VPN? Хотя виртуальная частная сеть может принести пользу большинству пользователей Интернета, подумайте о том, как вы взаимодействуете с Интернетом. Если вы регулярно используете общедоступный Wi-Fi или точку доступа Wi-Fi, вам следует подумать об использовании службы VPN, поскольку эти подключения, как правило, не так безопасны, как ваша домашняя сеть.
2. Подумайте, какой VPN вам следует купить. Изучив, как вы взаимодействуете с Интернетом, вы захотите определить, какой VPN вам подходит. Такие факторы, как цена, количество одновременных подключений, страна юрисдикции и общее количество серверов, — это лишь некоторые из факторов, которые помогут вам определить, какой VPN лучше всего подходит для вас. К счастью, услуги VPN бывают самых разных форм и размеров, поэтому, если у вас ограниченный бюджет или вам нужно одновременно подключать множество устройств, в нашем рейтинге Лучшие VPN-сервисы 2021 года будет вариант, отвечающий вашим потребностям.
3. Определите свой бюджет. После того, как вы выяснили, какие VPN лучше всего подходят для вас, вы, вероятно, захотите узнать, сколько стоит VPN. При покупке VPN важно знать, что вы можете сэкономить много денег, если приобретете годовой план. Частный доступ в Интернет можно приобрести всего за 3,33 доллара в месяц при подписке на годовой план. Однако, если вы решите использовать ежемесячный план, средняя цена компаний в нашем рейтинге лучших VPN составляет 11 долларов.79. Ваши потребности могут быть удовлетворены с помощью одного из наших лучших бесплатных VPN-сервисов 2021 года.
4. Установите программное обеспечение и приложения VPN. Когда вы решили, какой VPN получить, все, что стоит между вами и безопасным доступом в Интернет, — это его настройка. В зависимости от выбранной вами VPN вам, скорее всего, придется настроить несколько совместимых устройств. Ниже мы рассмотрим, как настроить VPN на наиболее распространенных устройствах, на которых вы будете его использовать, и объясним вам, как использовать новую VPN.

Что такое VPN-соединение?

VPN, или виртуальная частная сеть, секретно туннелирует вашу информацию из точки A (вы) в точку B.«Работа в Интернете или совершение транзакций в незащищенной сети Wi-Fi означает, что вы можете раскрыть свою личную информацию и свои привычки просмотра», — утверждает Norton, компания, производящая антивирусное программное обеспечение и программное обеспечение для обеспечения безопасности. Он называет VPN «обязательным условием для всех, кто обеспокоен своей сетевой безопасностью и конфиденциальностью».

Ваш IP-адрес — это ваше «имя» или идентификатор, который передает, кто и где вы находитесь — ваши цифровые координаты, если хотите. VPN шифрует или преобразует в код ваш IP-адрес и любые данные, которые вы отправляете, а затем расшифровывает их на принимающей стороне.Это может создать впечатление, что ваше соединение исходит из другой страны, что может разблокировать некоторые веб-сайты с географическим ограничением.

«Вспомните, сколько раз вы были в пути, читали электронные письма, стоя в очереди в кафе, или проверяли свой банковский счет, ожидая в кабинете врача», — объясняет Нортон. «Если вы не вошли в частную сеть Wi-Fi, для которой требуется пароль, любые данные, передаваемые во время вашего онлайн-сеанса, могут быть уязвимы для прослушивания посторонними, использующими ту же сеть.

«Шифрование и анонимность, предоставляемые VPN, помогают защитить ваши действия в Интернете: отправку электронных писем, совершение покупок в Интернете или оплату счетов. VPN также помогают сохранять анонимность при просмотре веб-страниц ».

Хороший VPN также блокирует большинство рекламных трекеров, которые бомбардируют вас целевой рекламой и сообщениями, которых вы хотите избежать.

Это виртуальная версия трубок, которые тянут капсулу с вашими чеками, дебетовой картой и удостоверением личности к кассиру в вашем местном банке. Со своей стороны, вы защищаете свои личные данные в цилиндре и отправляете их через пневматическую трубку (шифрование).Кассир банка получает капсулу и надежно ее открывает, показывая отправленные вами данные (расшифровка). Между тем ваша информация защищена во время путешествия слоем пластика (туннелирование).

Нужен ли мне VPN?

Плюсы:

• Защищает ваши пароли от посторонних глаз

• Защищает все ваши передачи от хакеров, когда вы находитесь в общедоступных сетях Wi-Fi

• Удаляет географические ограничения, позволяя вам получить доступ ваши местные потоковые сервисы, когда вы путешествуете в другие страны

• Позволяет вам просматривать анонимно

• Безопасно подключается к сайтам в регионах, которые ограничивают социальные сети и цензурируют контент

Минусы:

• Стоимость, которая варьируется от поставщика VPN к провайдеру VPN

• Выбор VPN без полной безопасности при обрыве подключения к Интернету подвергает риску ваши данные

• Не защищает вас от вирусов и не блокирует все вредоносные веб-сайты

Ваши пароли, медицинские история, личные разговоры, финансовая информация и многое другое — это ваше личное дело.Использование VPN при ведении любого вида личного бизнеса защищает вашу информацию от хакеров, пока вы подключены к общедоступной сети.

VPN также полезны для ведения бизнеса. Независимо от того, работаете ли вы удаленно или внештатно в кафе, VPN — отличный способ обеспечить безопасность вашего бизнеса и защиту конфиденциальной информации от посторонних глаз. Если у вас есть бизнес, а ваши сотрудники используют общедоступный Wi-Fi или незащищенную домашнюю сеть, надежная VPN-сервис поддерживает ваш бизнес с помощью комплексной политики конфиденциальности и гарантирует, что интернет-активность вашей компании нигде не сохраняется и не записывается.

Однако VPN делает упор на конфиденциальность, а не на защиту. Хотя хакер не сможет отслеживать вашу активность в Интернете, вы по-прежнему уязвимы для вредоносных программ и других угроз безопасности. Поэтому лучше всего сочетать VPN с хорошим блокировщиком вредоносных программ и антивирусным программным обеспечением. Этот пакет программного обеспечения безопасности работает вместе, как налокотники и шлем, когда вы катаетесь на скейтборде, защищая все ваши уязвимые места.

В то время как преимущества использования VPN обычно перевешивают недостатки, VPN может замедлить ваше соединение, если вы используете VPN-серверы, которые полностью загружены.«Использование VPN означает перенаправление большей части или всех ваших сетевых коммуникаций через провайдера VPN, который добавляет еще один переход к любому пути, по которому обычно проходят ваши коммуникации. Этот дополнительный переход увеличит задержку и может съесть часть вашей пропускной способности, если серверы провайдера VPN будут перегружены », — говорит старший инженер-программист SitePen Джейсон Читхэм. «Шифрование и дешифрование требуют некоторой вычислительной мощности. На телефоне это может привести к сокращению срока службы батареи. И на настольных компьютерах, и на телефонах он может потреблять некоторую пропускную способность.”

Большинство VPN-подключений к компаниям с самым высоким рейтингом являются достаточно быстрыми, хотя общая скорость может варьироваться от одного к другому. Если вы никогда раньше не использовали VPN, ознакомьтесь с гарантиями возврата денег для выбранной вами VPN (если применимо), если эта услуга в целом ухудшает вашу работу в сети. Изменение некоторых настроек также может помочь улучшить вашу скорость. Например, использование сервера поблизости от вашего местоположения может помочь уменьшить задержку.

Какой VPN мне подходит?

Сравнение характеристик VPN

• Сколько устройств вы планируете защитить?
• Хотите статический IP-адрес (виртуальный IP-адрес, который всегда один и тот же)?
• Каков ваш бюджет на услугу VPN?
• Довольны ли вы провайдером VPN, чья страна юрисдикции находится в пределах Five Eyes?
• Есть ли у компании VPN серверы в местах, которые соответствуют вашим потребностям?

Все эти и многие другие вопросы определят, как выбрать поставщика VPN, который будет соответствовать и превосходить ваши ожидания.Например, если цена является фактором, взгляните на наш список лучших бесплатных VPN-сервисов в 2021 году. TunnelBear предлагает бесплатную версию своей VPN, но вы захотите обратить внимание на ограничения данных для вашего ежемесячного сервиса, потому что он включает до 500 МБ. Windscribe, базирующийся в Канаде, включает программное обеспечение для блокировки рекламы даже в бесплатной версии. Бесплатный сервис ProtonVPN, базирующийся в Швейцарии, дает вам доступ к множеству потоковых сервисов и аварийному переключателю, среди других функций.

Федеральная торговая комиссия (FTC) рекомендует изучить любое приложение VPN, прежде чем использовать его.«Вы доверяете VPN потенциально весь свой трафик», — заявляет Федеральная торговая комиссия. «Прежде чем скачать приложение VPN, узнайте о нем как можно больше. Ищите сторонние обзоры из уважаемых вами источников ».

Когда дело доходит до безопасности ваших данных, обратите внимание на шифрование AES-256, которое многие службы будут продавать как «военного уровня» или «государственного уровня». AES-256 — золотой стандарт, действительно используемый правительством и военными США; он также поддерживает идеальную секретность пересылки, которая постоянно меняет ключ (или код), так что даже если хакер сможет точно определить ваш ключ за один сеанс, он сразу станет бесполезным.

«Основная цель VPN — зашифровать обмен данными между вашим компьютером и провайдером VPN. Пока это работает надежно, VPN выполняет свою работу », — говорит Читам. «Другие функции, которые могут быть полезны, включают оптимизацию данных для уменьшения использования мобильных данных при использовании VPN, улучшенные гарантии конфиденциальности и возможность автоматического включения VPN, когда вы находитесь в ненадежной сети».

VPN для смартфонов и планшетов

VPN-приложения, адаптированные для смартфонов и планшетов, упрощают использование сервиса, где бы вы ни находились в сети.Например, для iPhone или iPad перейдите прямо в Apple App Store, чтобы получить приложение и подписаться на подписку. В некоторых случаях вы можете настроить платеж через свой Apple ID. Тем не менее, прочтите мелкий шрифт на любых гарантиях возврата денег, потому что не все VPN вернут вам деньги через Apple, и вам придется решать это с ними отдельно. Вы даже можете настроить Siri на своем устройстве iOS для включения и выключения службы с помощью голосовой команды.

Узнайте о приложениях VPN и о том, как настроить VPN на устройстве iOS или Android, ниже.

В большинстве VPN есть настольные приложения для компьютеров Windows и Mac, а некоторые также поддерживают операционную систему Linux. Расширения браузера для Chrome, Firefox и Opera также распространены. Самый простой способ установить программное обеспечение VPN на свой компьютер — это перейти непосредственно на веб-сайт поставщика услуг VPN. После того, как вы загрузите настольное приложение или расширение для браузера, VPN проведет вас пошагово через весь процесс.

Если вы используете компьютер для работы или личного бизнеса, VPN — отличный способ гарантировать, что ваши данные и ваша личность останутся в секрете от других.Если вы относитесь к высокому уровню технически подкованных пользователей, вы можете выбрать более индивидуальную настройку. Подробнее читайте в нашем руководстве по установке ниже.

Почему важны VPN-серверы?

Когда дело доходит до серверов VPN, чем больше, тем лучше. Если вы думаете об огромном количестве одновременных подключений к любой конкретной службе VPN, большее количество серверов означает, что нагрузка распределяется более равномерно. Это помогает избежать зависания одного сервера из-за слишком большой активности из-за слишком большого количества подключений.Имея больше серверов для подключения в непосредственной географической близости, вы можете помочь уменьшить любую задержку скорости вашего интернета, которая может возникнуть при использовании VPN. Вам также следует подумать, нужен ли вам провайдер со всеми собственными выделенными серверами или вам удобно, если он использует арендованные или виртуальные VPN-серверы. Хотя оба решения в целом безопасны, вы можете чувствовать себя комфортно, зная, что используемые вами VPN-серверы являются частными.

Еще одна причина узнать, где у вашего VPN есть серверы, — это географические ограничения.Если вы живете или часто путешествуете в стране с жесткими географическими ограничениями, наличие доступа к VPN-серверам в других странах может позволить вам достичь ваших целей, будь то потоковая передача контента для развлечений или поиск более конфиденциальной информации.

Лучшие данные о местоположении VPN

годовой план

Стоимость VPN зависит от продолжительности вашего тарифного плана выбирать.На основе лучших VPN-сервисов, попавших в наш рейтинг, средняя цена ежемесячного контракта составляет 11,79 доллара США, в то время как средний годовой план стоит всего 5,31 доллара США в месяц. Каждая VPN-компания в нашем списке дешевле при подписке на годовой план по сравнению с ежемесячным планом. Например, одна из самых дорогих услуг в нашем сравнении — CyberGhost по цене 12,99 доллара в месяц. Однако при покупке годового плана с CyberGhost ежемесячная плата снижается до 3,99 долларов США и является одним из самых дешевых планов в нашем списке.

Если вы хотите попробовать перед покупкой, большинство VPN-сервисов предоставят вам такую ​​возможность. Однако, если пробный период не предлагается, вы можете рассмотреть вопрос о первоначальном месячном контракте, чтобы убедиться, что VPN отвечает всем вашим потребностям. Многие компании из нашего рейтинга лучших VPN-сервисов 2021 года также предлагают гарантии возврата денег. Например, NordVPN предлагает 30-дневный пробный период и 30-дневную гарантию возврата денег без каких-либо вопросов.

Если у вас ограниченный бюджет или вы просто хотите сначала попробовать использовать VPN, взгляните на наш список лучших бесплатных VPN в 2021 году.Бесплатные сервисы сильно различаются, включая уменьшенные версии их платных версий. Четыре компании в нашем рейтинге с бесплатной версией:

• Hotspot Shield, с ежедневным лимитом данных 500 МБ для одного устройства и скоростью соединения до 2 Мбит / с
• ProtonVPN, который дает вам туннель средней скорости, но не высокоскоростной вариант его платной версии
• TunnelBear с бесплатной версией, которая ограничивает вас до 500 МБ в месяц и одно устройство
• Windscribe, который ограничивает вас 10 из 62 доступных серверов

Некоторые поставщики VPN также предлагают дополнительные функции за дополнительную ежемесячную плату.Например, вы можете получить выделенный IP-адрес от таких компаний, как Private Internet Access и Windscribe, за дополнительные 5-8 долларов в месяц. Однако Surfshark бесплатно предоставит вам статический IP-адрес.

Какие VPN-сервисы самые лучшие?

3,3 из 5

Наше сравнение лучших VPN 2021 года включает оценку количества серверов, расположения серверов, доступных протоколов, стоимости, политики отсутствия журналов и многого другого.Эти подробные профили объясняют различия между ними, их преимущества и недостатки. Независимо от того, нужна ли вам очень простая услуга VPN или более комплексная, настраиваемая VPN для различных целей, вы найдете то, что вам нужно в нашем списке.

Как настроить VPN

Совместимость с лучшими устройствами VPN

Все службы VPN в нашем списке легко настроить с помощью нескольких щелчков мыши или прикосновения к экрану.По сути, вы создаете учетную запись и выбираете тип оплаты, который хотите использовать. Варианты оплаты часто включают кредитные карты и PayPal, иногда криптовалюту, такую ​​как биткойны, а некоторые даже принимают подарочные карты или наличные, чтобы сохранить вашу личность анонимной.

Вы также можете установить VPN на домашний маршрутизатор, который защитит все ваши умные устройства, от радионяни до умного холодильника и т. Д.

Самый быстрый способ установить VPN на iPhone — перейти прямо в App Store.

• Подтвердите покупку, используя свой Apple ID и пароль.
• Следуйте инструкциям приложения, чтобы завершить установку и настройку.
• Если вы столкнетесь с затруднением или запутаетесь, посмотрите, предлагает ли VPN на своем сайте учебное пособие или руководство по установке, которые есть у большинства.

Вы также можете получить доступ к VPN через встроенные настройки телефона. В категории «Общие» в разделе «Настройки» найдите VPN, а затем «Добавить конфигурацию VPN». Вы даже можете добавить более одной VPN за раз, если захотите.

Если вы хотите установить VPN на устройство Android, вы можете легко настроить его через приложение или меню «Настройки». Если вы устанавливаете приложение, вам достаточно нажать на него, чтобы купить, и оно поможет вам выбрать все возможные варианты.

Собираетесь вручную? Это ваш путь:

1. Откройте настройки.
2. Нажмите на Wi-Fi и Интернет или Беспроводной доступ и сети.
3. Коснитесь VPN.
4. Коснитесь знака «плюс» в правом верхнем углу или меню дополнительных параметров (три вертикальные точки).
5. Введите запрашиваемую информацию (например, адрес сервера, имя пользователя и пароль).

У каждой VPN могут быть разные системные требования, поэтому сначала проверьте разделы поддержки или помощи на сайте компании. ExpressVPN, например, требует Mac OS X 10.10 (Yosemite), 10.11 (El Capitan), macOS 10.12 (Сьерра), 10,13 (Высокая Сьерра), 10,14 (Мохаве) или 10,15 (Каталина). Не знаете свою версию macOS? Щелкните «Об этом Mac» в меню Apple.

Вы можете легко настроить VPN на Mac, если в Mac App Store есть приложение. Загрузите приложение, установите его в соответствии с инструкциями и следуйте инструкциям по настройке учетной записи. Затем войдите в систему и выберите сервер или страну по вашему выбору. Каждая из VPN в нашем списке включает руководства по настройке и помощь по устранению неполадок при установке macOS.

Если у вас нет приложения, вы можете настроить его вручную, выполнив следующие действия:

1. Найдите свои Системные настройки и выберите Сеть.
2. В левом нижнем углу щелкните значок «плюс», чтобы создать новое сетевое соединение.
3. Выберите интерфейс (VPN) и протокол, назовите свое соединение и нажмите «Создать».
4. Добавьте адрес сервера и имя пользователя
5. Выберите настройки аутентификации
6. Введите свое имя пользователя и пароль, выберите «Применить», а затем нажмите «Подключиться», чтобы активировать VPN.
7. Значок VPN в строке меню подтвердит, что ваше соединение активно.

Если вы используете Windows 10, посетите Microsoft Store, чтобы узнать, есть ли приложение для этой службы, или перейдите на веб-сайт службы VPN, чтобы проверить настройки и найдите ссылку для загрузки настольного приложения. Вы также можете настроить свою VPN вручную через OpenVPN, хотя это лучше всего для тех, кто обладает глубокими знаниями, чтобы убедиться, что соединение установлено правильно и без утечек.Процесс для других версий Windows очень похож на этот.

Вы также можете выполнить следующие действия, чтобы вручную добавить VPN на свой компьютер:

1. В меню «Настройки» перейдите в раздел «Сеть и Интернет» и нажмите «VPN».
2. Выберите «Добавить подключение VPN», затем выберите Windows (встроенная для поставщика VPN.
3. Назовите свое соединение, введите адрес VPN-сервера и выберите тип протокола VPN, который использует ваша компания или поставщик VPN.
4. Введите данные для входа, например имя пользователя и пароль.Сохраните ваши настройки.

Смарт-устройства удобны, но не обязательно безопасны. С небольшими усилиями кто-то может взломать ваши умные замки, радионяни с поддержкой Wi-Fi, а также умную стиральную машину и сушилку. Кроме того, если кто-то взломает одно устройство в вашей домашней сети, он также получит доступ ко всей системе. Вот почему это разумная идея — защитить свою семью, установив VPN на домашнем маршрутизаторе.

«Поскольку все больше и больше пользователей выражают озабоченность по поводу отслеживания и желают сохранить некоторую конфиденциальность в Интернете, услуги VPN, которые когда-то были ограничены сферой применения опытных ИТ-сотрудников, работающих на дому, теперь все чаще используются пользователями, не имеющими отношения к ИТ», — говорит Жан Таггарт, старший исследователь безопасности в Malwarebytes, компании, производящей программное обеспечение для кибербезопасности.«Однако настройка VPN на множестве устройств, составляющих наши типичные домашние сети, может быть довольно сложной задачей. Есть некоторые устройства, такие как смарт-телевизоры, игровые консоли и устройства настройки, которые не поддерживают такую ​​конфигурацию, но все же раскрывают личную информацию при их использовании ».

Вот тут-то и пригодятся маршрутизаторы. Однако не все маршрутизаторы созданы равными, и не все из них будут поддерживать все протоколы, которые может использовать VPN. TunnelBear и Private Internet Access не предоставляют свои услуги на маршрутизаторах.А в случае NordVPN L2TP / IPsec и PPTP больше не поддерживаются, что означает, что некоторые маршрутизаторы больше не будут работать. Суть заключается в том, чтобы прочитать руководство по вашему маршрутизатору и сопоставить его с руководством на сайте VPN, чтобы убедиться, что у вас есть соединение.

Как использовать VPN

Совместимость Best VPN в социальных сетях

VPN передает ваши данные в безопасном туннеле, скрывая ваши данные. перемещается между вашим устройством в пункт назначения.Проверяете ли вы свою электронную почту из другой страны, транслируете ли вы контент со всего мира или защищаете свою онлайн-активность от посторонних глаз, VPN может вам помочь.

Социальные сети, например, стали частью нашей жизни, и мы рассчитываем на различные каналы для получения новостей, связей, обмена информацией и создания сетей. К сожалению, как и все остальное в Интернете, каналы социальных сетей могут быть основным местом охоты для похитителей личных данных, а в некоторых странах доступ к социальным сайтам блокируется.Фактически, за последний год интерес к VPN многократно вырос в ответ на угрозы правительства запретить Tik Tok в США, включая 34% -ное увеличение количества запросов в первый день запрета, согласно CNBC. интервью с Дэниелом Маркусоном из NordVPN.

Лучшим началом является обеспечение безопасности паролей и включение двухэтапной аутентификации.

Основные шаги для использования VPN:

1. Решите, какую VPN вы хотите использовать, и подпишитесь на бесплатную, ежемесячную или годовую подписку.
2. Войдите и настройте свои предпочтения.
3. Если вы пытаетесь получить доступ к контенту в определенной стране, выберите сервер в этой стране.
4. Откройте браузер, приложение, потоковую службу или другие платформы и выполняйте любые другие действия в Интернете, как обычно; вы защищены, пока активна ваша VPN. Если в вашей VPN есть аварийный выключатель (см. Выше), утечки данных не будет, даже если произойдет сбой подключения к Интернету.
5. Используйте сеть Tor и свой VPN для дополнительной безопасности.Сначала подключаемся к вашей VPN, а затем к Tor (луковому маршрутизатору), который называется Tor через VPN или Onion через VPN. Если ваш VPN позволяет это, он дает вам еще один уровень защиты, чтобы скрыть ваш IP-адрес, и дает вам доступ к Tor, даже если он ограничен организацией или регионом.

Следуйте этим советам по устранению неполадок, чтобы исправить многие распространенные проблемы:

• Подключитесь к серверу в стране с более открытым доступом. Не каждая страна хочет, чтобы ее граждане или посетители имели доступ без цензуры к сайтам социальных сетей, потоковым сервисам и многому другому.Если вы сталкиваетесь с большим количеством блоков, выберите сервер в другой стране.
• Измените серверы или расположение серверов. Если у вас проблемы с низкой скоростью, измените местоположение вашего сервера на другой в той же стране или выберите сервер, который географически близок к вашему текущему физическому местоположению.
• Выберите другой протокол. Некоторые VPN предлагают несколько вариантов различных протоколов, которые вы можете использовать. Например, NordVPN рекомендует переключить порт OpenVPN с TCP на UDP для более плавной потоковой передачи в реальном времени и более быстрой игры.

Как использовать VPN при потоковой передаче

Совместимость с потоковой передачей Best VPN

Благодаря большему количеству подписок и других сервисов потоковой передачи люди могут предложить в Netflix, Disney +, Hulu, Amazon Prime Video и другие.VPN часто позволяет получить доступ к материалам с географическим ограничением. Например, если вы посещаете Великобританию и хотите получить доступ к шоу в США на Netflix, вы можете использовать сервер в США для просмотра того, что вы хотите. Или, если вы находитесь в стране, которая полностью блокирует потоковую службу, ваша VPN скрывает ваш IP-адрес, чтобы вы все еще могли войти. Обратите внимание, что вам все равно нужна подписка на потоковую службу, чтобы смотреть шоу и фильмы из этого источника.

«VPN не только помогает защитить вашу личную информацию от любых потенциальных угроз, но также позволяет настраивать параметры местоположения вашего устройства», — сообщает Cyber ​​Florida , центр кибербезопасности при Университете Южной Флориды.Это дает вам возможность использовать потоковые сервисы, «которые недоступны в некоторых странах из-за лицензионных или юридических проблем».

Возникли проблемы с доступом к потоковой службе на вашем компьютере? Попробуйте это:

1. Проверьте герметичность. Ваш VPN должен показывать какую-то индикацию на вашей панели инструментов или где-либо еще, что вы подключены к его серверам и, следовательно, можете осуществлять потоковую передачу. Если VPN не активен, включите его снова.
2. Вы на правильном сервере? Убедитесь, что вы находитесь на правильном сервере библиотеки, к которой хотите получить доступ.Например, если вы хотите смотреть BBC, вам, вероятно, потребуется выбрать сервер в Великобритании
3. Очистите кеш. Проверьте настройки браузера и следуйте инструкциям по очистке кеша.
4. Перезапустите приложение VPN. Для большинства устройств, включая смартфоны и маршрутизаторы, просто перезапустите устройство.
5. Посетите раздел самопомощи вашего провайдера VPN. Потоковые службы часто блокируют VPN-подключения. Если вы не можете разблокировать медиа-сайт, когда ваше VPN-соединение активно, проверьте, не может ли служба больше работать с этим потоковым сайтом.

Как использовать VPN для торрентов

Торренты — это все равно что превратить большой файл в головоломку, разбить его на части и дать каждому из ваших друзей кусочек, который они позже могут поделиться с вами, чтобы собрать заново. Данные разделяются на более мелкие пакеты, а затем передаются по торрент-сети, чтобы люди могли позже их получить. «Сидер» — это сторона, в которой находится исходный файл, а «пировщики» (или партнеры) — это те, кто хранит разные части этого файла. Совместное использование большого файла между пользователями, также называемое одноранговым (P2P) совместным использованием, происходит быстрее, чем при загрузке данных из одного источника.

Сам процесс загрузки торрентов не является незаконным. Примерами легального торрент-скачивания являются большие образовательные или юридические файлы, а также обновления некоторых игровых программ.

Однако иногда приложения P2P или торрент-клиенты используются для загрузки защищенных авторским правом, пиратских материалов и даже менее интересного контента. У некоторых интернет-провайдеров есть сторожевые псы, которые отслеживают торрент-файлы, и они устанавливают блокировку, чтобы вы не могли получить доступ к торрент-файлам.

Интернет-провайдеры часто наблюдают за использованием BitTorrent, который является протоколом связи для обмена файлами P2P вместе с uTorrent, и блокируют сайт.Ваш интернет-провайдер может в качестве альтернативы снизить скорость вашего интернета (так называемое регулирование), если он считает, что вы используете торрент, поскольку в процессе часто используется большой объем данных. Вы можете активировать VPN перед тем, как начать торрент, чтобы скачивать легитимные файлы в частном порядке и без ограничения доступа интернет-провайдера.

Лучшие VPN-сервисы 2021 года

Узнать больше

Все еще ищете дополнительную информацию о VPN или пытаетесь найти лучший VPN для себя? Изучите каталог ниже, чтобы узнать больше об этих услугах.

360 Методология оценки VPN

Мы объясняем, что наиболее важно для потребителей, экспертов и профессиональных обозревателей, когда речь идет о VPN. Затем мы предоставляем объективную оценку VPN, доступных на момент обзора. Наша цель — предоставить потребителям информацию и инструменты, необходимые для принятия обоснованных решений. Более подробная информация о нашей методологии 360 Reviews для оценки VPN-компаний: , здесь .

U.S. News 360 Reviews беспристрастно подходит к нашим рекомендациям.Когда вы используете наши ссылки для покупки продуктов, мы можем получать комиссию, но это никоим образом не влияет на нашу редакционную независимость.

Как настроить VPN-сервер в Windows 10 • Pureinfotech

Виртуальная частная сеть (VPN) — один из самых популярных методов доступа к файлам и ресурсам (таким как приложения, веб-сайты интрасети и принтеры) с использованием зашифрованного соединения из удаленного места и через Интернет.

Обычно компании используют VPN для расширения своей частной сети, чтобы позволить сотрудникам получать доступ к ресурсам через общедоступную сеть, как если бы они были напрямую подключены к сети компании.

Windows 10, как и другие версии операционной системы, имеет функцию под названием «Входящее соединение», которая позволяет вам настроить VPN-сервер для удаленного подключения к вашей домашней сети для доступа к файлам и периферийным устройствам вашего компьютера и даже к другим компьютерам в сеть.

В этом руководстве вы узнаете, как настроить VPN-сервер на вашем компьютере с Windows 10 без необходимости в дополнительном программном обеспечении в домашней или профессиональной версии операционной системы.

Как найти информацию о вашем IP-адресе

Первое, что вам нужно знать, это общедоступный IP-адрес, который был назначен вам вашим интернет-провайдером (ISP).Эта информация понадобится вам для удаленной связи с вашим VPN-сервером.

Чтобы узнать ваш текущий публичный IP-адрес, выполните следующие действия:

1. Откройте ваш веб-браузер.

2. Откройте поисковую систему, например Google или Bing .

3. Поиск «Какой у меня IP?»

4. Подтвердите информацию о вашем публичном адресе в первом результате.

   Проверить публичный IP-адрес

Если вы настраиваете функцию «Входящее соединение» на своем домашнем компьютере, у вас, вероятно, есть динамический общедоступный IP-адрес, который может измениться в любое время.В этом случае вам необходимо настроить DDNS (динамическую систему доменных имен) на вашем маршрутизаторе, чтобы избежать необходимости настраивать настройку VPN каждый раз при изменении вашего общедоступного IP-адреса.

Вот инструкции, которые помогут вам настроить DDNS на вашем маршрутизаторе. Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить дополнительную помощь по настройке DDNS.

Как настроить переадресацию портов на роутере

Чтобы иметь возможность подключаться через общедоступную сеть (например, Интернет) к домашнему VPN-серверу, вам потребуется перенаправить порт 1723 (протокол туннелирования точка-точка (PPTP)), чтобы разрешить VPN-подключения.

Вот инструкции, которые помогут вам настроить переадресацию портов на вашем маршрутизаторе. Вы также можете посетить веб-сайт производителя вашего маршрутизатора, чтобы получить более конкретную помощь по настройке перенаправления портов.

Как настроить VPN-сервер в Windows 10

После того, как вы настроили DDNS для использования доменного имени вместо сложного IP-адреса и перенаправили порт 1723, теперь вы готовы настроить VPN-сервер на своем устройстве.

Чтобы создать VPN-сервер в Windows 10, выполните следующие действия:

1. Откройте панель управления в Windows 10.

2. Щелкните Центр управления сетями и общим доступом .

3. На левой панели щелкните ссылку Изменить параметры адаптера .

   Центр управления сетями и общим доступом

4. В «Сетевые подключения» откройте меню File , нажав клавишу Alt , и выберите опцию New Incoming Connection .

5. Отметьте пользователей, которым вы хотите иметь доступ через VPN к вашему компьютеру, и нажмите кнопку Далее .

   Кроме того, вы можете нажать кнопку Добавить кого-нибудь , чтобы создать нового пользователя VPN:

6. Проверьте опцию Через Интернет .

7. Нажмите кнопку Далее .

8. На странице сетевого программного обеспечения выберите опцию Internet Protocol Version 4 (TCP / IPv4) .

9. Нажмите кнопку Properties .

10. Установите флажок Разрешить вызывающим абонентам доступ к моей локальной сети .

11. В разделе «Назначение IP-адреса» щелкните опцию Укажите IP-адреса и настройте количество клиентов, которым разрешен доступ с помощью VPN-подключения.

    Подсказка: В этом параметре вы укажете количество пользователей, которые могут получить доступ к сети, указав диапазон IP-адресов. Рекомендуется использовать диапазон IP-адресов высокого порядка, чтобы избежать конфликтов в сети с IP-адресами, распределенными вашим маршрутизатором.Чтобы узнать диапазон IP-адресов, которые вы можете использовать, перейдите на страницу настроек вашего маршрутизатора и найдите настройки DHCP.

12. Нажмите кнопку ОК .

13. Нажмите кнопку Разрешить доступ .

14. Нажмите кнопку Close , чтобы завершить настройку VPN-сервера в Windows 10.

После выполнения этих шагов сервер VPN будет создан, но он не будет работать, пока вы не настроите брандмауэр для разрешения подключений.

Как разрешить VPN-подключения через брандмауэр

При настройке функции входящего подключения в Windows 10 должны автоматически открываться необходимые порты брандмауэра Windows, но вы хотите убедиться, что брандмауэр настроен правильно.

Чтобы разрешить VPN-подключения через брандмауэр в Windows 10, выполните следующие действия:

1. Открыть Пуск в Windows 10.

2. Найдите Разрешите приложение через брандмауэр Windows и щелкните верхний результат, чтобы открыть интерфейс.

3. Нажмите кнопку Изменить настройки .

4. Прокрутите вниз и убедитесь, что Маршрутизация и удаленный доступ разрешен на Private и Public .

5. Нажмите кнопку ОК .

После выполнения этих шагов VPN-сервер Windows 10 теперь сможет получать подключения удаленно с других компьютеров.

Как настроить VPN-соединение в Windows 10

После того, как вы закончите настройку VPN-сервера в Windows 10, вам нужно будет настроить устройства, которые могут получить удаленный доступ к локальной сети.Вы можете настроить любое устройство и телефон (включая Android и iPhone). Вот инструкции по настройке VPN-соединения в Windows 10.

После добавления VPN-подключения на ваш компьютер вам необходимо настроить параметры, выполнив следующие действия:

1. Откройте панель управления .

2. Щелкните Сеть и Интернет .

3. Щелкните Центр управления сетями и общим доступом .

4. Щелкните ссылку Изменить параметры адаптера на левой панели.

5. Щелкните правой кнопкой мыши адаптер VPN и выберите параметр Properties .

6. На вкладке General убедитесь, что вы используете правильный домен, который вы создали при настройке DDNS — или, по крайней мере, вы используете правильный общедоступный IP-адрес.

7. Щелкните вкладку Security .

8. Используйте раскрывающееся меню «Тип VPN» и выберите вариант Point to Point Tunneling Protocol (PPTP) .

9. Используйте раскрывающееся меню «Шифрование данных» и выберите параметр « Максимальная стойкость» (отключение при отказе сервера) .

10. Нажмите кнопку ОК .

11. Щелкните вкладку Networking .

12. Снимите отметку с опции Internet Protocol Version 6 (TCP / IPv6) .

13. Отметьте опцию Internet Protocol Version 4 (TCP / IPv4) .

14. Выберите опцию Internet Protocol Version 4 (TCP / IPv4) .

15. Нажмите кнопку Properties .

16. Нажмите кнопку Advanced .

17. Очистите «Использовать шлюз по умолчанию в удаленной сети» .

    Важно: Мы отключаем этот параметр, чтобы ваш веб-трафик не проходил через удаленное соединение, что может замедлить работу в Интернете.Однако, если вы хотите получить доступ к Интернету через VPN-соединение, не изменяйте этот последний параметр.

18. Нажмите кнопку ОК .

19. Нажмите кнопку ОК еще раз.

20. Нажмите кнопку ОК еще раз.

21. Откройте Настройки .

22. Щелкните Сеть и Интернет .

23. Щелкните VPN .

24. Выберите вариант VPN-подключение и нажмите кнопку Подключить .

    Удаленное подключение к Windows 10 с помощью VPN

Хотя существует множество решений, позволяющих пользователям удаленно подключаться к частной сети с помощью VPN-соединения, вы можете настроить свой собственный сервер с помощью инструментов, встроенных в Windows 10, без необходимости в дополнительном программном обеспечении.

Кроме того, одним из лучших преимуществ настройки VPN-сервера на ПК с Windows 10 является то, что он не только безопасен и надежен, но и является отличной альтернативой для пользователей, которые все еще скептически относятся к облачным службам для хранения своих данных.Более того, через виртуальную частную сеть вы даже можете получить доступ к своему устройству с помощью функции удаленного рабочего стола в Windows 10.

Обновление , 1 марта 2021 г .: Это руководство было первоначально опубликовано в мае 2016 г. и пересмотрено в марте 2021 г. для последней версии Windows 10.

How To Guide: Set Up & Configure OpenVPN Client / server VPN

OpenVPN — это полнофункциональный SSL VPN, который реализует безопасное сетевое расширение OSI уровня 2 или 3 с использованием стандартного протокола SSL / TLS, поддерживает гибкие методы аутентификации клиента на основе сертификаты, смарт-карты и / или учетные данные имени пользователя и пароля, а также позволяет использовать политики управления доступом для конкретных пользователей или групп с использованием правил брандмауэра, применяемых к виртуальному интерфейсу VPN.OpenVPN не является прокси-сервером веб-приложения и не работает через веб-браузер.

OpenVPN 2.0 расширяет возможности OpenVPN 1.x, предлагая масштабируемый режим клиент / сервер, позволяющий нескольким клиентам подключаться к одному процессу сервера OpenVPN через один порт TCP или UDP. OpenVPN 2.3 включает в себя большое количество улучшений, включая полную поддержку IPv6 и поддержку PolarSSL.

Этот документ предоставляет пошаговые инструкции по настройке OpenVPN 2.x клиент / сервер VPN, включая:

Этот HOWTO предполагает, что читатели обладают предварительным пониманием основных сетевых концепций, таких как IP-адреса, имена DNS, маски сети и т. Д. подсети, IP-маршрутизация, маршрутизаторы, сетевые интерфейсы, локальные сети, шлюзы и правила брандмауэра.

Оригинальный OpenVPN 1.x HOWTO по-прежнему доступен и остается актуальным для конфигураций точка-точка или статических ключей.

Хотя этот HOWTO поможет вам настроить масштабируемую клиент-серверную VPN с использованием X509 PKI (инфраструктура открытого ключа с использованием сертификатов и закрытых ключей), это может оказаться излишним, если вы ищете только простую настройку VPN с сервером, который может справиться с одним клиентом.

Если вы хотите быстро запустить VPN с минимальной конфигурацией, вы можете проверить Static Key Mini-HOWTO.

Исходный код OpenVPN и установщики Windows можно скачать здесь. Последние выпуски (2.2 и новее) также доступны в виде пакетов Debian и RPM; подробности см. в вики OpenVPN.

Исполняемый файл OpenVPN должен быть установлен как на сервере, так и на клиентском компьютере, поскольку один исполняемый файл обеспечивает как клиентские, так и серверные функции.

Если вы используете дистрибутив Linux, который поддерживает пакеты RPM (SuSE, Fedora, Redhat и т. Д.), Лучше всего установить с помощью этого механизма.Самый простой способ — найти существующий двоичный файл RPM для вашего дистрибутива. Вы также можете создать свой собственный двоичный файл RPM:

Кроме того, если вы создаете свой собственный двоичный пакет RPM, существует несколько дополнительных зависимостей:

Дополнительные примечания по созданию пакета RPM для Red Hat Linux см. В файле openvpn.spec. 9 или здание с уменьшенными зависимостями.

Если вы используете Debian, Gentoo или дистрибутив Linux, не основанный на RPM, используйте специфичный для вашего дистрибутива механизм упаковки, такой как apt-get в Debian или emerge в Gentoo.

Также можно установить OpenVPN в Linux, используя универсальный метод ./configure . Сначала разверните файл .tar.gz:

OpenVPN для Windows можно установить из самоустанавливающегося exe-файла на странице загрузки OpenVPN. Помните, что OpenVPN будет работать только в Windows XP или более поздней версии. Также обратите внимание, что OpenVPN должен быть установлен и запущен пользователем с правами администратора (это ограничение налагается Windows, а не OpenVPN). Ограничение можно обойти, запустив OpenVPN в фоновом режиме в качестве службы, и в этом случае даже пользователи без прав администратора смогут получить доступ к VPN после ее установки.Дополнительное обсуждение проблем с привилегиями OpenVPN + Windows.

Официальные установщики OpenVPN для Windows включают OpenVPN-GUI, который позволяет управлять подключениями OpenVPN из апплета на панели задач. Также доступны другие приложения с графическим интерфейсом.

После запуска установщика Windows OpenVPN готов к использованию и будет ассоциироваться с файлами с расширением .ovpn . Чтобы запустить OpenVPN, вы можете:

Некоторые примечания доступны в файле INSTALL для определенных ОС. В общем, можно использовать метод

, или вы можете искать порт или пакет OpenVPN, специфичный для вашей ОС / дистрибутива.

Обзор маршрутизации по сравнению с мостом Ethernet см. В разделе часто задаваемых вопросов. См. Также страницу OpenVPN Ethernet Bridging для получения дополнительных примечаний и деталей по мосту.

В целом, маршрутизация, вероятно, является лучшим выбором для большинства людей, поскольку она более эффективна и проще в настройке (в том, что касается самой конфигурации OpenVPN), чем мост. Маршрутизация также обеспечивает большую возможность выборочного управления правами доступа для конкретного клиента.

Я бы рекомендовал использовать маршрутизацию, если вам не нужна особая функция, которая требует мостового соединения, например:

Настройка VPN часто влечет за собой соединение частных подсетей из разных мест.

Internet Assigned Numbers Authority (IANA) зарезервировал следующие три блока пространства IP-адресов для частных сетей (кодифицированных в RFC 1918):

Хотя адреса из этих сетевых блоков обычно должны использоваться в конфигурациях VPN, важно выбрать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых следует избегать:

Например, предположим, что вы используете популярную подсеть 192.168.0.0/24 в качестве частной подсети LAN.Теперь вы пытаетесь подключиться к VPN из интернет-кафе, которое использует ту же подсеть для своей локальной сети Wi-Fi. У вас будет конфликт маршрутизации, потому что ваш компьютер не будет знать, относится ли 192.168.0.1 к локальному шлюзу WiFi или к тому же адресу в VPN.

В качестве другого примера предположим, что вы хотите связать вместе несколько сайтов с помощью VPN, но каждый сайт использует 192.168.0.0/24 в качестве своей подсети LAN. Это не будет работать без добавления усложняющего слоя преобразования NAT, потому что VPN не будет знать, как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют подсеть, которая их однозначно идентифицирует.

Лучшее решение — избегать использования 10.0.0.0/24 или 192.168.0.0/24 в качестве адресов частной сети LAN. Вместо этого используйте то, что с меньшей вероятностью будет использоваться в Wi-Fi-кафе, аэропорту или отеле, откуда вы можете рассчитывать на удаленное подключение. Лучшими кандидатами являются подсети в центре огромного сетевого блока 10.0.0.0/8 (например, 10.66.77.0/24).

И чтобы избежать конфликтов IP-нумерации между сайтами, всегда используйте уникальную нумерацию для своих подсетей LAN.

Первый шаг в создании OpenVPN 2.x заключается в создании PKI (инфраструктуры открытого ключа). PKI состоит из:

OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента до установления взаимного доверия.

И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в заголовке теперь аутентифицированного сертификата, такую ​​как общее имя сертификата или тип сертификата. (клиент или сервер).

Обратите внимание, что часы сервера и клиента должны быть примерно синхронизированы, иначе сертификаты могут работать некорректно.

В этом разделе мы сгенерируем главный сертификат / ключ CA, сертификат / ключ сервера и сертификаты / ключи для 3 отдельных клиентов.

Для управления PKI мы будем использовать easy-rsa 2 , набор скриптов, который входит в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2.3.x, вам необходимо загрузить easy-rsa 2 отдельно отсюда.

Для управления PKI мы будем использовать easy-rsa 2, набор скриптов, который входит в состав OpenVPN 2.2.x и ранее. Если вы используете OpenVPN 2.3.x, вам может потребоваться загрузить easy-rsa 2 отдельно от страницы проекта easy-rsa-old. На платформах * NIX вам следует рассмотреть возможность использования easy-rsa 3; обратитесь к его собственной документации для получения подробной информации.

Если вы используете Linux, BSD или unix-подобную ОС, откройте оболочку и перейдите в подкаталог easy-rsa с помощью компакт-диска. Если вы установили OpenVPN из файла RPM или DEB, каталог easy-rsa обычно можно найти в / usr / share / doc / packages / openvpn или / usr / share / doc / openvpn (лучше всего скопировать это каталог в другое место, например / etc / openvpn , перед любыми изменениями, чтобы будущие обновления пакета OpenVPN не перезаписали ваши изменения).Если вы установили из файла .tar.gz, каталог easy-rsa будет находиться в каталоге верхнего уровня расширенного дерева исходных текстов.

Если вы используете Windows, откройте окно командной строки и перейдите по адресу \ Program Files \ OpenVPN \ easy-rsa . Запустите следующий командный файл, чтобы скопировать файлы конфигурации на место (это перезапишет все существующие файлы vars.bat и openssl.cnf):

Теперь отредактируйте файл vars (в Windows он называется vars.bat ) и установите KEY_COUNTRY , Параметры KEY_PROVINCE, KEY_CITY, KEY_ORG и KEY_EMAIL.Не оставляйте ни один из этих параметров пустым.

Затем инициализируйте PKI. В Linux / BSD / Unix:

Последняя команда ( build-ca ) создаст сертификат и ключ центра сертификации (CA) путем вызова интерактивной команды openssl :

Обратите внимание, что в приведенной выше последовательности наиболее запрашиваемые параметры по умолчанию были установлены на значения, установленные в файлах vars или vars.bat . Единственный параметр, который необходимо ввести явно, — это Common Name .В приведенном выше примере я использовал «OpenVPN-CA».

Далее мы сгенерируем сертификат и закрытый ключ для сервера. В Linux / BSD / Unix:

Как и в предыдущем шаге, для большинства параметров можно установить значения по умолчанию. Когда запрашивается общее имя , введите «сервер». Два других запроса требуют положительных ответов: «Подписать сертификат? [Y / n]» и «1 из 1 запросов на сертификат сертифицирован, зафиксировать? [Y / n]».

Создание клиентских сертификатов очень похоже на предыдущий шаг.В Linux / BSD / Unix:

Если вы хотите защитить паролем ключи клиента, замените сценарий build-key-pass .

Помните, что для каждого клиента не забудьте ввести соответствующее Common Name при появлении запроса, то есть «client1», «client2» или «client3». Всегда используйте уникальное общее имя для каждого клиента.

Параметры Диффи Хеллмана должны быть сгенерированы для сервера OpenVPN. В Linux / BSD / Unix:

Теперь мы найдем наши вновь сгенерированные ключи и сертификаты в подкаталоге keys .Вот объяснение соответствующих файлов:

Последним шагом в процессе генерации ключа является копирование всех файлов на машины, которые в них нуждаются, заботясь о копировании секретных файлов по защищенному каналу.

А теперь подождите, скажете вы. Разве нельзя установить PKI без уже существующего безопасного канала?

Якобы да. В приведенном выше примере для краткости мы сгенерировали все закрытые ключи в одном месте. Приложив немного больше усилий, мы могли бы сделать это иначе.Например, вместо создания клиентского сертификата и ключей на сервере мы могли бы заставить клиент генерировать свой собственный закрытый ключ локально, а затем отправить запрос на подпись сертификата (CSR) на машину для подписи ключей. В свою очередь, машина для подписания ключей могла обработать CSR и вернуть подписанный сертификат клиенту. Это можно было сделать, даже не требуя, чтобы секретный файл .key покинул жесткий диск машины, на которой он был создан.

Лучше всего использовать образцы файлов конфигурации OpenVPN в качестве отправной точки для вашей собственной конфигурации.Эти файлы также можно найти в

. Обратите внимание, что в Linux, BSD или unix-подобных операционных системах образцы файлов конфигурации называются server.conf и client.conf . В Windows они называются server.ovpn и client.ovpn .

Пример файла конфигурации сервера — идеальная отправная точка для конфигурации сервера OpenVPN. Он создаст VPN с использованием виртуального сетевого интерфейса TUN (для маршрутизации), будет прослушивать клиентские соединения на UDP-порту 1194 (официальный номер порта OpenVPN) и распределять виртуальные адреса для подключающихся клиентов с 10.8.0.0 / 24 подсеть.

Перед тем, как использовать образец файла конфигурации, необходимо сначала отредактировать параметры ca , cert , key и dh , чтобы они указывали на файлы, созданные в разделе PKI выше.

На этом этапе файл конфигурации сервера можно использовать, однако вы все равно можете захотеть его дополнительно настроить:

Если вы хотите запустить несколько экземпляров OpenVPN на одном компьютере, каждый из которых использует другой файл конфигурации, это возможно, если вы :

Пример файла конфигурации клиента ( client.conf в Linux / BSD / Unix или client.ovpn в Windows) отражает директивы по умолчанию, установленные в примере файла конфигурации сервера.

Сначала убедитесь, что сервер OpenVPN доступен из Интернета. Это означает:

Чтобы упростить устранение неполадок, лучше сначала запустить сервер OpenVPN из командной строки (или щелкнуть правой кнопкой мыши файл .ovpn в Windows), а не запускать его как демон или службу:

A нормальный запуск сервера должен выглядеть так (вывод будет зависеть от платформы):

Запуск клиента

Как и в конфигурации сервера, лучше всего изначально запустить сервер OpenVPN из командной строки (или в Windows, щелкнув правой кнопкой мыши на клиенте .ovpn ), а не запускать его как демон или службу:

  openvpn [файл конфигурации клиента]  

Обычный запуск клиента в Windows будет похож на вывод сервера выше и должен заканчиваться сообщением Initialization Sequence Completed .

Теперь попробуйте выполнить эхо-запрос через VPN от клиента. Если вы используете маршрутизацию (например, dev tun в файле конфигурации сервера), попробуйте:

  пинг 10.8.0,1  

Если вы используете мост (т. Е. dev, нажмите в файле конфигурации сервера), попробуйте проверить связь с IP-адресом машины в подсети Ethernet сервера.

Если пинг прошел успешно, поздравляем! Теперь у вас есть работающая VPN.

Устранение неисправностей

Если проверка связи не удалась или инициализация клиента OpenVPN не была завершена, вот контрольный список общих симптомов и их решений:

• Появляется сообщение об ошибке: Ошибка TLS: не удалось согласовать ключ TLS в течение 60 секунд (проверьте подключение к сети) .Эта ошибка указывает на то, что клиенту не удалось установить сетевое соединение с сервером. Решения :
  • Убедитесь, что клиент использует правильное имя хоста / IP-адрес и номер порта, которые позволят ему подключиться к серверу OpenVPN.
  • Если сервер OpenVPN представляет собой блок с одной сетевой картой в защищенной локальной сети, убедитесь, что вы используете правильное правило переадресации портов на межсетевом экране шлюза сервера. Например, предположим, что ваш OpenVPN-сервер находится по адресу 192.168.4.4 внутри брандмауэра и прослушивает клиентские подключения на UDP-порту 1194.Шлюз NAT, обслуживающий подсеть 192.168.4.x, должен иметь правило переадресации портов, согласно которому перенаправляет UDP-порт 1194 с моего общедоступного IP-адреса на 192.168.4.4 .
  • Откройте брандмауэр сервера, чтобы разрешить входящие подключения к порту UDP 1194 (или к любому другому порту TCP / UDP, который вы настроили в файле конфигурации сервера).
• Вы получаете сообщение об ошибке: Последовательность инициализации завершена с ошибками — Эта ошибка может возникнуть в Windows, если (а) у вас не запущена служба клиента DHCP или (б) вы используете определенные сторонние персональные брандмауэры на XP SP2. Решение : Запустите клиентский сервер DHCP и убедитесь, что вы используете персональный брандмауэр, который, как известно, правильно работает на XP SP2.
• Вы получаете сообщение Initialization Sequence Completed , но тест ping не проходит. Обычно это означает, что брандмауэр на сервере или клиенте блокирует сетевой трафик VPN путем фильтрации на интерфейсе TUN / TAP. Решение : Отключите брандмауэр клиента (если он существует) от фильтрации интерфейса TUN / TAP на клиенте.Например, в Windows XP SP2 это можно сделать, перейдя в Центр безопасности Windows -> Брандмауэр Windows -> Расширенный и сняв флажок, соответствующий адаптеру TAP-Windows (отключение брандмауэра клиента от фильтрации адаптера TUN / TAP обычно разумно с точки зрения безопасности, поскольку вы, по сути, говорите брандмауэру не блокировать аутентифицированный трафик VPN). Также убедитесь, что интерфейс TUN / TAP на сервере не фильтруется брандмауэром (при этом обратите внимание, что выборочный брандмауэр интерфейса TUN / TAP на стороне сервера может дать определенные преимущества безопасности.См. Раздел политики доступа ниже).
• Соединение останавливается при запуске при использовании конфигурации proto udp , файл журнала сервера показывает эту строку:
  

   TLS: начальный пакет от x.x.x.x: x, sid = xxxxxxxx xxxxxxxx 

  , однако в журнале клиента нет эквивалентной строки.

  Решение : У вас одностороннее соединение от клиента к серверу. Направление от сервера к клиенту блокируется брандмауэром, обычно на стороне клиента.Брандмауэр может быть (а) персональным программным брандмауэром, работающим на клиенте, или (б) шлюзом маршрутизатора NAT для клиента. Измените брандмауэр, чтобы разрешить возвращающим UDP-пакетам с сервера достичь клиента.

Дополнительные сведения об устранении неполадок см. В разделе часто задаваемых вопросов.

Настройка OpenVPN для автоматического запуска при запуске системы

Отсутствие стандартов в этой области означает, что большинство операционных систем имеют другой способ настройки демонов / служб для автозапуска при загрузке.Лучший способ настроить эту функцию по умолчанию — установить OpenVPN в виде пакета, например, через RPM в Linux или с помощью установщика Windows.

Linux

Если вы устанавливаете OpenVPN через пакет RPM или DEB в Linux, установщик установит исходный сценарий . При выполнении сценарий инициализации будет сканировать файлы конфигурации .conf в / etc / openvpn и, если они найдены, запустит отдельный демон OpenVPN для каждого файла.

Окна

Программа установки Windows настроит служебную оболочку, но оставит ее отключенной по умолчанию.Чтобы активировать его, перейдите в Панель управления / Администрирование / Службы, выберите службу OpenVPN, щелкните правой кнопкой мыши свойства и установите для параметра Тип запуска значение Автоматический. Это настроит службу для автоматического запуска при следующей перезагрузке.

При запуске служебная оболочка OpenVPN просканирует папку \ Program Files \ OpenVPN \ config на наличие файлов конфигурации .ovpn , запустив отдельный процесс OpenVPN для каждого файла.

Управление запущенным процессом OpenVPN

Работает в Linux / BSD / Unix

OpenVPN принимает несколько сигналов:

• SIGUSR1 — условный перезапуск, предназначенный для перезапуска без прав root
• SIGHUP — Жесткий перезапуск
• SIGUSR2 — Вывод статистики подключений в файл журнала или системный журнал
• SIGTERM , SIGINT — Выход

Используйте директиву writepid для записи PID демона OpenVPN в файл, чтобы вы знали, куда отправлять сигнал (если вы запускаете openvpn с исходным скриптом , сценарий может уже передавать —writepid в командной строке openvpn ).

Работает в Windows как графический интерфейс

См. Страницу с графическим интерфейсом OpenVPN.

Запуск в окне командной строки Windows

В Windows вы можете запустить OpenVPN, щелкнув правой кнопкой мыши файл конфигурации OpenVPN (файл .ovpn ) и выбрав «Запустить OpenVPN в этом файле конфигурации».

После запуска в этом режиме доступны несколько клавиатурных команд:

• F1 — Условный перезапуск (не закрывает / не открывает повторно адаптер TAP)
• F2 — Показать статистику подключений
• F3 — Жесткий перезапуск
• F4 — Выход

Работает как служба Windows

Когда OpenVPN запускается как служба в Windows, единственный способ управлять им — это:

• Через диспетчер управления службами (Панель управления / Администрирование / Службы), который обеспечивает управление запуском / остановкой.
• Через интерфейс управления (см. Ниже).

Изменение конфигурации реального сервера

Хотя для большинства изменений конфигурации требуется перезапуск сервера, в частности, есть две директивы, которые относятся к файлам, которые можно динамически обновлять на лету, и которые немедленно вступят в силу на сервере без необходимости перезапуска серверного процесса.

client-config-dir — Эта директива устанавливает каталог конфигурации клиента, который сервер OpenVPN будет сканировать при каждом входящем соединении в поисках файла конфигурации для конкретного клиента (дополнительную информацию см. На странице руководства).Файлы в этом каталоге можно обновлять «на лету» без перезапуска сервера. Обратите внимание, что изменения в этом каталоге вступят в силу только для новых подключений, но не для существующих. Если вы хотите, чтобы изменение файла конфигурации для конкретного клиента немедленно вступило в силу для подключенного в данный момент клиента (или того, который отключился, но у которого сервер не истек тайм-аут для своего объекта экземпляра), уничтожьте объект экземпляра клиента, используя команду управления интерфейс (описан ниже). Это заставит клиента повторно подключиться и использовать новый файл client-config-dir .

crl-verify — эта директива именует файл со списком отзыва сертификатов , описанный ниже в разделе «Отзыв сертификатов». Файл CRL можно изменять на лету, и изменения вступят в силу немедленно для новых подключений или существующих подключений, которые повторно согласовывают свой канал SSL / TLS (по умолчанию происходит один раз в час). Если вы хотите убить подключенного в данный момент клиента, чей сертификат только что был добавлен в CRL, используйте интерфейс управления (описанный ниже).

Файл состояния

В файле server.conf по умолчанию есть строка

  статус openvpn-status.log  

, который будет выводить список текущих клиентских подключений в файл openvpn-status.log один раз в минуту.

Использование интерфейса управления

Интерфейс управления OpenVPN позволяет в значительной степени контролировать запущенный процесс OpenVPN. Вы можете использовать интерфейс управления напрямую, подключившись через Telnet к порту интерфейса управления, или косвенно, используя графический интерфейс OpenVPN, который сам подключается к интерфейсу управления.

Чтобы включить интерфейс управления на сервере или клиенте OpenVPN, добавьте это в файл конфигурации:

  управление localhost 7505  

Это указывает OpenVPN прослушивать TCP-порт 7505 для клиентов интерфейса управления (порт 7505 — произвольный выбор — вы можете использовать любой свободный порт).

После запуска OpenVPN вы можете подключиться к интерфейсу управления с помощью клиента telnet . Например:

 ai: ~ # telnet localhost 7505
Пробуем 127.] '.
> ИНФОРМАЦИЯ: Версия 1 интерфейса управления OpenVPN - введите help для получения дополнительной информации
помощь
Интерфейс управления для OpenVPN 2.0_rc14 i686-suse-linux [SSL] [LZO] [EPOLL] построен 15 февраля 2005 г.
Команды:
echo [on | off] [N | all]: Аналогично журналу, но отображаются только сообщения в буфере эха.
exit | quit: закрыть сеанс управления.
help: распечатать это сообщение.
hold [on | off | release]: установить / показать флаг удержания в состояние включения / выключения, или
                         отпустить текущую задержку и начать туннель.kill cn: убить клиентские экземпляры с общим именем cn.
kill IP: port: убить экземпляр клиента, подключающийся с IP: port.
log [on | off] [N | all]: включить / выключить отображение журнала в реальном времени.
                         + показать последние N строк или «все» для всей истории.
mute [n]: установить уровень отключения звука журнала на n или показать уровень, если n отсутствует.
net: (только Windows) Показать информацию о сети и таблицу маршрутизации.
тип пароля p: введите пароль p для запрашиваемого пароля OpenVPN.signal s: отправить сигнал s демону,
                         s = SIGHUP | SIGTERM | SIGUSR1 | SIGUSR2.
state [on | off] [N | all]: как журнал, но показывает историю состояний.
status [n]: показать информацию о текущем статусе демона в формате #n.
test n: вывести n строк вывода для тестирования / отладки.
username type u: введите имя пользователя u для запрашиваемого имени пользователя OpenVPN.
verb [n]: установить уровень детализации журнала на n или показать, если n отсутствует.версия: показать номер текущей версии.
КОНЕЦ
выход
Соединение прервано внешним хостом.
ai: ~ # 

Для получения дополнительной информации см. Документацию по интерфейсу управления OpenVPN.

Расширение области VPN за счет включения дополнительных машин в подсети клиента или сервера.

Включение нескольких машин на стороне сервера при использовании маршрутизируемой VPN (dev tun)

После того, как VPN будет работать в режиме «точка-точка» между клиентом и сервером, может быть желательно расширить область действия VPN, чтобы клиенты могли подключаться к нескольким машинам в серверной сети, а не только к самому серверу.

Для целей этого примера мы предположим, что локальная сеть на стороне сервера использует подсеть 10.66.0.0/24 , а пул IP-адресов VPN использует 10.8.0.0/24 , как указано в директиве server . в файле конфигурации сервера OpenVPN.

Во-первых, вы должны объявить подсеть 10.66.0.0/24 клиентам VPN как доступную через VPN. Это легко сделать с помощью следующей директивы файла конфигурации на стороне сервера:

  push "маршрут 10.66.0.0 255.255.255.0 " 

Затем вы должны настроить маршрут на серверном шлюзе LAN для маршрутизации подсети VPN-клиента ( 10.8.0.0/24 ) на сервер OpenVPN (это необходимо только в том случае, если сервер OpenVPN и шлюз LAN отличаются машины).

Убедитесь, что вы включили пересылку IP и TUN / TAP на сервере OpenVPN.

Включение нескольких машин на стороне сервера при использовании мостовой VPN (dev tap)

Одним из преимуществ использования моста Ethernet является то, что вы получаете его бесплатно без какой-либо дополнительной настройки.

Включение нескольких машин на стороне клиента при использовании маршрутизируемой VPN (dev tun)

В типичном сценарии «дорожный воин» или удаленного доступа клиентский компьютер подключается к VPN как единый компьютер. Но предположим, что клиентская машина является шлюзом для локальной LAN (например, домашнего офиса), и вы хотите, чтобы каждая машина в клиентской LAN могла маршрутизировать через VPN.

В этом примере мы предположим, что клиентская LAN использует подсеть 192.168.4.0/24 , а VPN-клиент использует сертификат с общим именем client2 .Наша цель — настроить VPN таким образом, чтобы любой компьютер в клиентской локальной сети мог связываться с любым компьютером в серверной локальной сети через VPN.

Перед настройкой необходимо выполнить несколько основных условий:

• Клиентская подсеть LAN (192.168.4.0/24 в нашем примере) не должна экспортироваться в VPN сервером или любыми другими клиентскими сайтами, которые используют ту же подсеть. Каждая подсеть, подключенная к VPN через маршрутизацию, должна быть уникальной.
• Клиент должен иметь уникальное общее имя в своем сертификате (в нашем примере «client2»), и флаг duplicate-cn не должен использоваться в файле конфигурации сервера OpenVPN.

Сначала убедитесь, что на клиентском компьютере включена пересылка IP и TUN / TAP.

Далее мы займемся необходимыми изменениями конфигурации на стороне сервера. Если файл конфигурации сервера в настоящее время не ссылается на каталог конфигурации клиента, добавьте его сейчас:

  каталог конфигурации клиента ccd  

В приведенной выше директиве ccd должно быть именем каталога, который был предварительно создан в каталоге по умолчанию, в котором запускается демон сервера OpenVPN.В Linux это обычно / etc / openvpn , а в Windows это обычно \ Program Files \ OpenVPN \ config . Когда новый клиент подключается к серверу OpenVPN, демон проверяет этот каталог на наличие файла, который соответствует общему имени подключающегося клиента. Если соответствующий файл найден, он будет прочитан и обработан для применения дополнительных директив файла конфигурации к указанному клиенту.

Следующим шагом является создание файла с именем client2 в каталоге ccd .Этот файл должен содержать строку:

  iroute 192.168.4.0 255.255.255.0  

Это сообщит серверу OpenVPN, что подсеть 192.168.4.0/24 должна быть маршрутизирована на client2 .

Затем добавьте следующую строку в файл конфигурации основного сервера (не файл ccd / client2 ):

  маршрут 192.168.4.0 255.255.255.0  

Почему используются избыточные операторы route и iroute , спросите вы? Причина в том, что route управляет маршрутизацией от ядра к серверу OpenVPN (через интерфейс TUN), а iroute управляет маршрутизацией от сервера OpenVPN к удаленным клиентам.Оба необходимы.

Затем спросите себя, хотите ли вы разрешить сетевой трафик между подсетью client2 (192.168.4.0/24) и другими клиентами сервера OpenVPN. Если да, добавьте в файл конфигурации сервера следующее.

  клиент-клиент
нажмите "маршрут 192.168.4.0 255.255.255.0"  

Это приведет к тому, что сервер OpenVPN объявит подсеть client2 другим подключающимся клиентам.

Последний шаг, о котором часто забывают, — это добавить маршрут к шлюзу локальной сети сервера, который направляет 192.168.4.0 / 24 в ящик сервера OpenVPN (он вам не понадобится, если ящик сервера OpenVPN является шлюзом для локальной сети сервера). Предположим, вы пропустили этот шаг и пытались пропинговать машину (не сам сервер OpenVPN) в локальной сети сервера с адреса 192.168.4.8? Исходящий пинг, вероятно, достигнет машины, но тогда он не будет знать, как маршрутизировать ответ, потому что не будет знать, как достичь 192.168.4.0/24. Эмпирическое правило, которое следует использовать, заключается в том, что при маршрутизации всей локальной сети через VPN (когда VPN-сервер не является той же машиной, что и шлюз локальной сети), убедитесь, что шлюз для локальной сети направляет все подсети VPN на машину VPN-сервера.

Точно так же, если клиентский компьютер, на котором запущен OpenVPN, не является также шлюзом для клиентской LAN, тогда шлюз для клиентской LAN должен иметь маршрут, который направляет все подсети, которые должны быть доступны через VPN, на клиентский компьютер OpenVPN.

Включение нескольких машин на стороне клиента при использовании мостовой VPN (подключение для разработчиков)

Это требует более сложной настройки (возможно, не более сложной на практике, но более сложной для подробного объяснения):

• Вы должны соединить клиентский TAP-интерфейс с сетевым адаптером, подключенным к локальной сети, на клиенте.
• Необходимо вручную установить IP / маску сети TAP-интерфейса на клиенте.
• Вы должны настроить клиентские машины для использования IP / сетевой маски, которая находится внутри мостовой подсети, возможно, путем запроса DHCP-сервера на стороне сервера OpenVPN VPN.

Передача параметров DHCP клиентам

Сервер OpenVPN может передавать клиентам такие параметры DHCP, как адреса серверов DNS и WINS (о некоторых предостережениях следует помнить). Клиенты Windows могут принимать проталкиваемые параметры DHCP изначально, в то время как клиенты, отличные от Windows, могут принимать их с помощью клиентского сценария — , который анализирует список переменных среды foreign_option_ n .См. Справочную страницу для документации и примеров сценариев, отличных от Windows foreign_option_ n .

Например, предположим, что вы хотите подключать клиентов для использования внутреннего DNS-сервера 10.66.0.4 или 10.66.0.5 и WINS-сервера 10.66.0.8. Добавьте это в конфигурацию сервера OpenVPN:

  нажмите "dhcp-option DNS 10.66.0.4"
нажмите "dhcp-option DNS 10.66.0.5"
нажмите "dhcp-option WINS 10.66.0.8"  

Чтобы протестировать эту функцию в Windows, запустите следующее из окна командной строки после того, как машина подключится к серверу OpenVPN:

  ipconfig / все  

Запись для адаптера TAP-Windows должна отображать параметры DHCP, которые были отправлены сервером.

Настройка клиентских правил и политик доступа

Предположим, мы настраиваем корпоративную VPN и хотим установить отдельные политики доступа для 3 разных классов пользователей:

• Системные администраторы — полный доступ ко всем машинам в сети
• Сотрудники — доступ только к Samba / почтовому серверу
• Контрагенты — доступ только к специальному серверу

Основной подход, который мы примем, — это (а) выделить каждый класс пользователей в свой собственный диапазон виртуальных IP-адресов и (б) управлять доступом к машинам, установив правила брандмауэра, которые отключают виртуальный IP-адрес клиента.

В нашем примере предположим, что у нас есть переменное количество сотрудников, но только один системный администратор и два подрядчика. Наш подход к распределению IP-адресов будет заключаться в том, чтобы поместить всех сотрудников в пул IP-адресов, а затем выделить фиксированные IP-адреса для системного администратора и подрядчиков.

Обратите внимание, что одним из предварительных условий этого примера является наличие программного брандмауэра, работающего на сервере OpenVPN, который дает вам возможность определять определенные правила брандмауэра.В нашем примере мы предположим, что это брандмауэр Linux iptables .

Во-первых, давайте создадим карту виртуальных IP-адресов в соответствии с классом пользователя:

Теперь давайте переведем эту карту в конфигурацию сервера OpenVPN. Прежде всего, убедитесь, что вы выполнили описанные выше шаги, чтобы сделать подсеть 10.66.4.0/24 доступной для всех клиентов (пока мы настроим маршрутизацию, чтобы разрешить клиентский доступ ко всем 10.66.4.0 / 24, мы наложим ограничения доступа с помощью правил брандмауэра для реализации приведенной выше таблицы политик).

Сначала определите статический номер устройства для нашего интерфейса tun , чтобы мы могли ссылаться на него позже в наших правилах брандмауэра:

  dev tun0  

В файле конфигурации сервера определите пул IP-адресов сотрудников:

  сервер 10.8.0.0 255.255.255.0  

Добавьте маршруты для диапазонов IP-адресов системного администратора и подрядчика:

  маршрут 10.8.1.0 255.255.255.0
маршрут 10.8.2.0 255.255.255.0  

Поскольку мы будем назначать фиксированные IP-адреса для конкретных системных администраторов и подрядчиков, мы будем использовать каталог конфигурации клиента:

  каталог конфигурации клиента ccd  

Теперь поместите специальные файлы конфигурации в подкаталог ccd , чтобы определить фиксированный IP-адрес для каждого VPN-клиента, не являющегося сотрудником.

ccd / sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2  

ccd / подрядчик1

  ifconfig-push 10.8.2.1 10.8.2.2  

ccd / подрядчик2

  ifconfig-push 10.8.2.5 10.8.2.6  

Каждая пара адресов ifconfig-push представляет конечные IP-точки виртуального клиента и сервера. Они должны быть взяты из последовательных подсетей / 30 для совместимости с клиентами Windows и драйвером TAP-Windows. В частности, последний октет IP-адреса каждой пары конечных точек должен быть взят из этого набора:

 [1, 2] [5, 6] [9, 10] [13, 14] [17, 18]
[21, 22] [25, 26] [29, 30] [33, 34] [37, 38]
[41, 42] [45, 46] [49, 50] [53, 54] [57, 58]
[61, 62] [65, 66] [69, 70] [73, 74] [77, 78]
[81, 82] [85, 86] [89, 90] [93, 94] [97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141 142] [145 146] [149 150] [153 154] [157 158]
[161 162] [165 166] [169 170] [173 174] [177 178]
[181 182] [185 186] [189 190] [193 194] [197 198]
[201 202] [205 206] [209 210] [213 214] [217 218]
[221 222] [225 226] [229 230] [233 234] [237 238]
[241 242] [245 246] [249 250] [253 254] 

На этом настройка OpenVPN завершена.Последний шаг — добавить правила брандмауэра для завершения политики доступа. В этом примере мы будем использовать правила брандмауэра в синтаксисе Linux iptables :

  # Правило сотрудников
iptables -A ВПЕРЕД -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ПРИНЯТЬ

# Правило системного администратора
iptables -A ВПЕРЕД -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ПРИНЯТЬ

# Правило подрядчика
iptables -A ВПЕРЕД -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ПРИНЯТЬ  

Использование альтернативных методов аутентификации

OpenVPN 2.0 и более поздних версий включают функцию, которая позволяет серверу OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию в качестве основы для аутентификации клиента.

Чтобы использовать этот метод аутентификации, сначала добавьте в конфигурацию клиента директиву auth-user-pass . Он направит клиент OpenVPN запросить у пользователя имя пользователя / пароль, передав его на сервер по безопасному каналу TLS.

Затем настройте сервер на использование подключаемого модуля проверки подлинности, который может быть сценарием, общим объектом или DLL.Сервер OpenVPN будет вызывать плагин каждый раз, когда VPN-клиент пытается подключиться, передавая ему имя пользователя / пароль, введенные на клиенте. Плагин аутентификации может контролировать, разрешает ли сервер OpenVPN клиенту соединение, возвращая значение ошибки (1) или успеха (0).

Использование подключаемых модулей сценариев

Script можно использовать, добавив директиву auth-user-pass-verify в файл конфигурации на стороне сервера. Например:

  auth-user-pass-verify auth-pam.pl через-файл  

будет использовать Perl-скрипт auth-pam.pl для аутентификации имени пользователя и пароля подключающихся клиентов. См. Описание auth-user-pass-verify на странице руководства для получения дополнительной информации.

Сценарий auth-pam.pl включен в дистрибутив исходного файла OpenVPN в подкаталог sample-scripts . Он будет аутентифицировать пользователей на сервере Linux с помощью модуля аутентификации PAM, который, в свою очередь, может реализовать теневой пароль, аутентификацию RADIUS или LDAP. auth-pam.pl в первую очередь предназначен для демонстрационных целей. Для реальной аутентификации PAM используйте плагин общего объекта openvpn-auth-pam , описанный ниже.

Использование общих объектов или подключаемых модулей DLL

Плагины общих объектов или DLL обычно представляют собой скомпилированные модули C, которые загружаются сервером OpenVPN во время выполнения. Например, если вы используете пакет OpenVPN на основе RPM в Linux, плагин openvpn-auth-pam должен быть уже собран. Чтобы использовать его, добавьте это в файл конфигурации на стороне сервера:

  плагин / usr / share / openvpn / plugin / lib / openvpn-auth-pam.так что войдите  

Это укажет серверу OpenVPN проверить имя пользователя / пароль, введенные клиентами с помощью модуля login PAM.

Для реального производственного использования лучше использовать плагин openvpn-auth-pam , потому что он имеет несколько преимуществ перед скриптом auth-pam.pl :

• Общий объект openvpn-auth-pam Плагин использует модель выполнения с разделенными привилегиями для повышения безопасности. Это означает, что сервер OpenVPN может работать с ограниченными привилегиями, используя директивы user nobody , group nobody и chroot , и по-прежнему сможет аутентифицироваться в файле теневых паролей, доступном только для чтения root.
• OpenVPN может передавать имя пользователя / пароль плагину через виртуальную память, а не через файл или среду, что лучше для локальной безопасности на сервере.
• Скомпилированные на C подключаемые модули обычно работают быстрее, чем сценарии.

Если вам нужна дополнительная информация о разработке собственных подключаемых модулей для использования с OpenVPN, см. Файлы README в подкаталоге plugin исходного дистрибутива OpenVPN.

Чтобы собрать подключаемый модуль openvpn-auth-pam в Linux, перейдите в каталог plugin / auth-pam в исходном дистрибутиве OpenVPN и запустите make .

Использование аутентификации по имени пользователя и паролю как единственная форма аутентификации клиента

По умолчанию, использование auth-user-pass-verify или подключаемого модуля проверки имени пользователя / пароля на сервере включит двойную аутентификацию, требуя, чтобы аутентификация как по сертификату клиента, так и по имени пользователя / паролю прошла успешно, чтобы клиент мог выполнить быть аутентифицированным.

Хотя это не рекомендуется с точки зрения безопасности, также можно отключить использование клиентских сертификатов и принудительно использовать только аутентификацию по имени пользователя и паролю.На сервере:

  клиент-сертификат не требуется  

В таких конфигурациях обычно следует также установить:

  имя пользователя как общее имя  

, который сообщает серверу использовать имя пользователя для целей индексации, поскольку он будет использовать общее имя клиента, который аутентифицировался через сертификат клиента.

Обратите внимание, что client-cert-not-required не устранит необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует client-cert-not-required , может удалить cert и ключ директивы из файла конфигурации клиента, но не директивы ca , потому что клиенту необходимо проверить сертификат сервера.

Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием клиентских смарт-карт

О двухфакторной аутентификации

Двухфакторная аутентификация — это метод аутентификации, который сочетает в себе два элемента: то, что у вас есть, и то, что вы знаете.

Что-то у вас должно быть устройством, которое нельзя дублировать; таким устройством может быть криптографический токен, содержащий закрытый секретный ключ. Этот закрытый ключ создается внутри устройства и никогда не покидает его.Если пользователь, владеющий этим токеном, пытается получить доступ к защищенным службам в удаленной сети, процесс авторизации, который предоставляет или запрещает доступ к сети, может с высокой степенью уверенности установить, что пользователь, ищущий доступ, физически владеет известным сертифицированным токеном. .

Что-то, что вы знаете, может быть паролем, представленным криптографическому устройству. Без правильного пароля вы не сможете получить доступ к закрытому секретному ключу. Еще одна особенность криптографических устройств — запретить использование закрытого секретного ключа, если неправильный пароль был представлен более разрешенного количества раз.Такое поведение гарантирует, что если пользователь потеряет свое устройство, то его использование другим человеком будет невозможным.

Криптографические устройства обычно называются «смарт-картами» или «токенами» и используются вместе с PKI (инфраструктурой открытых ключей). Сервер VPN может проверить сертификат X.509 и убедиться, что пользователь владеет соответствующим секретным секретным ключом. Поскольку устройство не может быть дублировано и требует действующего пароля, сервер может аутентифицировать пользователя с высокой степенью уверенности.

Двухфакторная аутентификация намного надежнее аутентификации на основе пароля, потому что в худшем случае только один человек может одновременно использовать криптографический токен. Пароли можно угадывать и открывать другим пользователям, поэтому в худшем случае бесконечное количество людей может попытаться получить несанкционированный доступ, когда ресурсы защищены с использованием аутентификации только по паролю.

Если вы храните секретный закрытый ключ в файле, ключ обычно зашифровывается паролем.Проблема с этим подходом заключается в том, что зашифрованный ключ подвергается атакам дешифрования или шпионскому / вредоносному ПО, запущенному на клиентском компьютере. В отличие от использования криптографического устройства, файл не может стереть себя автоматически после нескольких неудачных попыток дешифрования.

Что такое PKCS # 11?

Этот стандарт определяет API, называемый Cryptoki, для устройств, которые хранят криптографическую информацию и выполняют криптографические функции. Cryptoki, произносится как «криптоключ» и сокращенно от интерфейса криптографического токена, следует простому объектно-ориентированному подходу, решая задачи технологической независимости (любого типа устройства) и совместного использования ресурсов (несколько приложений, обращающихся к нескольким устройствам), предоставляя приложениям общее логическое представление устройства, называемое криптографическим токеном.

Источник: RSA Security Inc. https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm.

Подводя итог, PKCS # 11 — это стандарт, который может использоваться прикладным программным обеспечением для доступа к криптографическим токенам, таким как смарт-карты и другие устройства. Большинство поставщиков устройств предоставляют библиотеку, реализующую интерфейс поставщика PKCS # 11 — эта библиотека может использоваться приложениями для доступа к этим устройствам. PKCS # 11 — это кроссплатформенный бесплатный стандарт, не зависящий от производителя.

Поиск библиотеки поставщика PKCS # 11

Первое, что вам нужно сделать, это найти библиотеку провайдера, она должна быть установлена ​​вместе с драйверами устройств. У каждого поставщика есть своя библиотека. Например, поставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Как настроить криптографический токен

Вы должны следовать процедуре регистрации:

• Инициализировать токен PKCS # 11.
• Сгенерировать пару ключей RSA на токене PKCS # 11.
• Создайте запрос сертификата на основе пары ключей, для этого вы можете использовать OpenSC и OpenSSL.
• Отправьте запрос сертификата в центр сертификации и получите сертификат.
• Загрузите сертификат в маркер, отмечая при этом, что атрибуты id и label сертификата должны совпадать с атрибутами закрытого ключа.

Настроенный маркер — это маркер, который имеет объект закрытого ключа и объект сертификата, причем оба имеют одинаковые атрибуты id и label.

Простая утилита регистрации — Easy-RSA 2.0, которая является частью серии OpenVPN 2.1. Следуйте инструкциям, указанным в файле README, а затем используйте pkitool для регистрации.

Инициализируйте токен с помощью следующей команды:

 $ ./pkitool --pkcs11-slots / usr / lib / pkcs11 /
$ ./pkitool --pkcs11-init / usr / lib / pkcs11 /
 

Зарегистрируйте сертификат, используя следующую команду:

 $ ./pkitool --pkcs11 / usr / lib / pkcs11 / client1
 

Как изменить конфигурацию OpenVPN для использования криптографических токенов

У вас должен быть OpenVPN 2.1 или выше, чтобы использовать функции PKCS # 11.

Определите правильный объект

Каждый провайдер PKCS # 11 может поддерживать несколько устройств. Для просмотра списка доступных объектов вы можете использовать следующую команду:

 $ openvpn --show-pkcs11-ids / usr / lib / pkcs11 /

Следующие объекты доступны для использования.
Каждый объект, показанный ниже, может использоваться как параметр для
--pkcs11-id, пожалуйста, не забудьте использовать одинарные кавычки.

Сертификат
       DN: / CN = Пользователь1
       Серийный номер: 490B82C4000000000075
       Серийный идентификатор: aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600 

Каждая пара сертификат / закрытый ключ имеет уникальную строку «Сериализованный идентификатор».Строка сериализованного идентификатора запрошенного сертификата должна быть указана для параметра pkcs11-id с использованием одинарных кавычек.

  pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Использование OpenVPN с PKCS # 11

Типичный набор опций OpenVPN для PKCS # 11

  pkcs11-провайдеры / usr / lib / pkcs11 /
pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Будет выбран объект, соответствующий строке pkcs11-id.

Расширенные параметры OpenVPN для PKCS # 11

  pkcs11-провайдеры /usr/lib/pkcs11/provider1.so /usr/lib/pkcs11/provider2.so
pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
pkcs11-контактный кэш 300
демон
auth-retry nointeract
удержание управления
сигнал управления
управление 127.0.0.1 8888
управление-запрос-пароли
  

Это загрузит двух провайдеров в OpenVPN, будет использовать сертификат, указанный в опции pkcs11-id , и использовать интерфейс управления для запроса паролей.Демон вернется в состояние удержания при наступлении события, когда к токену будет невозможно получить доступ. Токен будет использоваться в течение 300 секунд, после чего пароль будет повторно запрошен, сеанс будет отключен, если сеанс управления отключится.

Рекомендации по реализации PKCS # 11

Многие провайдеры PKCS # 11 используют потоки, чтобы избежать проблем, вызванных реализацией LinuxThreads (setuid, chroot), настоятельно рекомендуется обновить glibc до Native POSIX Thread Library (NPTL), если вы собираетесь использовать PKCS #. 11.

OpenSC PKCS # 11 провайдер

Поставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Разница между PKCS # 11 и Microsoft Cryptographic API (CryptoAPI)

PKCS # 11 — это бесплатный кроссплатформенный стандарт, независимый от поставщиков. CryptoAPI — это специальный API Microsoft. Большинство поставщиков смарт-карт обеспечивают поддержку обоих интерфейсов. В среде Windows пользователь должен выбрать, какой интерфейс использовать.

Текущая реализация OpenVPN, использующая MS CryptoAPI (опция cryptoapicert ), работает хорошо, пока вы не запускаете OpenVPN как службу. Если вы хотите запустить OpenVPN в административной среде с помощью службы, реализация не будет работать с большинством смарт-карт по следующим причинам:

• Большинство поставщиков смарт-карт не загружают сертификаты в хранилище локального компьютера, поэтому реализация не сможет получить доступ к сертификату пользователя.
• Если клиент OpenVPN работает как служба без прямого взаимодействия с конечным пользователем, служба не может запросить у пользователя пароль для смарт-карты, что приведет к сбою процесса проверки пароля на смарт-карте.

Используя интерфейс PKCS # 11, вы можете использовать смарт-карты с OpenVPN в любой реализации, поскольку PKCS # 11 не имеет доступа к магазинам Microsoft и не обязательно требует прямого взаимодействия с конечным пользователем.

Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN

Обзор

По умолчанию, когда клиент OpenVPN активен, через VPN будет проходить только сетевой трафик к и от сайта сервера OpenVPN.Например, общий просмотр веб-страниц будет осуществляться с помощью прямых подключений в обход VPN.

В некоторых случаях такое поведение может быть нежелательным — вы можете захотеть, чтобы VPN-клиент туннелировал весь сетевой трафик через VPN, включая общий просмотр веб-страниц в Интернете. Хотя этот тип конфигурации VPN приведет к снижению производительности клиента, он дает администратору VPN больший контроль над политиками безопасности, когда клиент одновременно подключен как к общедоступному Интернету, так и к VPN.

Реализация

Добавьте следующую директиву в файл конфигурации сервера:

  push "redirect-gateway def1"  

Если ваша настройка VPN осуществляется через беспроводную сеть, где все клиенты и сервер находятся в одной беспроводной подсети, добавьте локальный флаг :

  push "локальный def1 шлюз перенаправления"  

Передача клиентам опции redirect-gateway приведет к тому, что весь сетевой трафик IP, исходящий на клиентских машинах, будет проходить через сервер OpenVPN.Сервер необходимо настроить так, чтобы он каким-то образом обрабатывал этот трафик, например, путем преобразования его в Интернет с помощью NAT или маршрутизации через HTTP-прокси серверного сайта.

В Linux вы можете использовать такую ​​команду для NAT трафика клиента VPN в Интернет:

  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE  

Эта команда предполагает, что подсеть VPN — это 10.8.0.0/24 (взято из директивы server в конфигурации сервера OpenVPN) и что локальный интерфейс Ethernet — eth0 .

Когда используется шлюз перенаправления , клиенты OpenVPN будут маршрутизировать DNS-запросы через VPN, и VPN-серверу потребуется их обрабатывать. Этого можно добиться, отправив адрес DNS-сервера подключающимся клиентам, который заменит их обычные настройки DNS-сервера во время активности VPN. Например:

  push "dhcp-option DNS 10.8.0.1"  

настроит клиентов Windows (или клиентов, отличных от Windows с некоторыми дополнительными сценариями на стороне сервера) для использования 10.8.0.1 в качестве их DNS-сервера. Любой адрес, доступный для клиентов, может использоваться в качестве адреса DNS-сервера.

Предупреждения

Перенаправление всего сетевого трафика через VPN не совсем без проблем. Вот несколько типичных ошибок, о которых следует знать:

• Многие клиентские машины OpenVPN, подключенные к Интернету, будут периодически взаимодействовать с DHCP-сервером, чтобы продлить аренду своих IP-адресов. Параметр redirect-gateway может помешать клиенту достичь локального DHCP-сервера (поскольку сообщения DHCP будут маршрутизироваться через VPN), что приведет к потере аренды IP-адреса.
• Существуют проблемы с отправкой DNS-адресов клиентам Windows.
• Скорость просмотра веб-страниц на клиенте будет заметно ниже.

Для получения дополнительной информации о механизме директивы redirect-gateway см. Страницу руководства.

Запуск сервера OpenVPN на динамическом IP-адресе

Хотя клиенты OpenVPN могут легко получить доступ к серверу через динамический IP-адрес без какой-либо специальной настройки, все становится более интересным, когда сам сервер находится на динамическом адресе.Хотя у OpenVPN нет проблем с обработкой ситуации с динамическим сервером, требуется некоторая дополнительная настройка.

Первый шаг — получить динамический DNS-адрес, который можно настроить так, чтобы он «следил» за сервером при каждом изменении IP-адреса сервера. Доступно несколько поставщиков услуг динамического DNS, например dyndns.org.

Следующим шагом является настройка механизма, при котором каждый раз при изменении IP-адреса сервера динамическое DNS-имя будет быстро обновляться с новым IP-адресом, позволяя клиентам находить сервер по его новому IP-адресу.Для этого есть два основных способа:

• Используйте устройство NAT-маршрутизатора с поддержкой динамического DNS (например, Linksys BEFSR41 ). Большинство недорогих устройств NAT-маршрутизатора, которые широко доступны, имеют возможность обновлять динамическое DNS-имя каждый раз, когда от ISP получена новая аренда DHCP. Эта установка идеальна, когда сервер OpenVPN представляет собой машину с одним сетевым адаптером внутри брандмауэра.
• Используйте клиентское приложение динамического DNS, такое как ddclient, для обновления динамического адреса DNS при изменении IP-адреса сервера.Эта установка идеальна, когда машина, на которой запущен OpenVPN, имеет несколько сетевых адаптеров и действует как межсетевой экран / шлюз на уровне всего сайта. Чтобы реализовать эту настройку, вам необходимо настроить сценарий, который будет запускаться вашим программным обеспечением DHCP-клиента каждый раз, когда происходит изменение IP-адреса. Этот сценарий должен (а) запустить ddclient , чтобы уведомить вашего поставщика динамических DNS о вашем новом IP-адресе, и (б) перезапустить демон сервера OpenVPN.

Клиент OpenVPN по умолчанию распознает изменение IP-адреса сервера, если в конфигурации клиента используется удаленная директива , которая ссылается на динамическое DNS-имя.Обычная цепочка событий состоит в том, что (а) клиент OpenVPN не может своевременно получать сообщения поддержки активности со старого IP-адреса сервера, вызывая перезапуск, и (б) перезапуск вызывает повторное изменение имени DNS в директиве remote . разрешено, что позволяет клиенту повторно подключиться к серверу по его новому IP-адресу.

Более подробную информацию можно найти в FAQ.

Подключение к серверу OpenVPN через HTTP-прокси.

OpenVPN поддерживает соединения через HTTP-прокси со следующими режимами аутентификации:

• Без аутентификации прокси
• Базовая проверка подлинности прокси-сервера
• Аутентификация прокси NTLM

Прежде всего, использование прокси-сервера HTTP требует, чтобы вы использовали TCP в качестве протокола передачи туннеля.Поэтому добавьте следующее в конфигурацию клиента и сервера:

  протокол протокола TCP  

Убедитесь, что все строки proto udp в файлах конфигурации удалены.

Затем добавьте директиву http-proxy в файл конфигурации клиента (полное описание этой директивы см. На странице руководства).

Например, предположим, что у вас есть прокси-сервер HTTP в клиентской локальной сети по адресу 192.168.4.1 , который прослушивает соединения на порту 1080 .Добавьте это в конфигурацию клиента:

  http-прокси 192.168.4.1 1080  

Предположим, прокси-сервер HTTP требует базовой проверки подлинности:

  http-прокси 192.168.4.1 1080 stdin базовый  

Предположим, прокси-сервер HTTP требует проверки подлинности NTLM:

  http-прокси 192.168.4.1 1080 stdin ntlm  

Два приведенных выше примера аутентификации заставят OpenVPN запрашивать имя пользователя / пароль из стандартного ввода.Если вместо этого вы хотите поместить эти учетные данные в файл, замените stdin именем файла и поместите имя пользователя в строку 1 этого файла и пароль в строку 2.

Подключение к общему ресурсу Samba через OpenVPN

Этот пример предназначен для демонстрации того, как клиенты OpenVPN могут подключаться к общему ресурсу Samba через маршрутизируемый туннель dev tun . Если вы используете мост Ethernet ( dev tap ), вам, вероятно, не нужно следовать этим инструкциям, поскольку клиенты OpenVPN должны видеть серверные машины в своем сетевом окружении.

В этом примере мы предположим, что:

• серверная LAN использует подсеть 10.66.0.0/24 ,
• пул IP-адресов VPN использует 10.8.0.0/24 (как указано в директиве server в файле конфигурации сервера OpenVPN),
• , сервер Samba имеет IP-адрес 10.66.0.4 и
• , сервер Samba уже настроен и доступен из локальной сети.

Если серверы Samba и OpenVPN работают на разных машинах, убедитесь, что вы следовали разделу о расширении возможностей VPN за счет включения дополнительных машин.

Затем отредактируйте файл конфигурации Samba ( smb.conf ). Убедитесь, что хосты разрешают директиву , разрешающую подключение клиентов OpenVPN из подсети 10.8.0.0/24 . Например:

  хостов allow = 10.66.0.0/24 10.8.0.0/24 127.0.0.1  

Если вы используете серверы Samba и OpenVPN на одном компьютере, вам может потребоваться отредактировать директиву interfaces в файле smb.conf , чтобы также прослушивать подсеть интерфейса TUN 10.8.0.0 / 24 :

  интерфейсов = 10.66.0.0/24 10.8.0.0/24  

Если вы используете серверы Samba и OpenVPN на одном компьютере, подключитесь с клиента OpenVPN к общему ресурсу Samba, используя имя папки:

  \ 10.8.0.1 \ sharename  

Если серверы Samba и OpenVPN находятся на разных машинах, используйте имя папки:

  \\ 10.66.0.4 \ sharename  

Например, из окна командной строки:

  чистое использование z: \ 10.66.0.4 \ sharename / ПОЛЬЗОВАТЕЛЬ: myusername  

Реализация конфигурации балансировки нагрузки / переключения при отказе

Клиент

Конфигурация клиента OpenVPN может ссылаться на несколько серверов для балансировки нагрузки и переключения при отказе. Например:

  удаленный server1.mydomain
удаленный server2.mydomain
удаленный server3.mydomain  

укажет клиенту OpenVPN попытаться установить соединение с server1, server2 и server3 в указанном порядке.Если существующее соединение разорвано, клиент OpenVPN повторит попытку последнего подключенного сервера, а в случае сбоя перейдет к следующему серверу в списке. Вы также можете указать клиенту OpenVPN случайным образом распределить список серверов при запуске, чтобы клиентская нагрузка была вероятностно распределена по пулу серверов.

  удаленно-случайный  

Если вы также хотите, чтобы из-за сбоев разрешения DNS клиент OpenVPN перешел на следующий сервер в списке, добавьте следующее:

  повторная попытка разрешения 60  

Параметр 60 сообщает клиенту OpenVPN попробовать разрешить каждое удаленное DNS-имя в течение 60 секунд, прежде чем перейти к следующему серверу в списке.

Список серверов также может относиться к нескольким демонам сервера OpenVPN, запущенным на одном компьютере, каждый из которых прослушивает соединения на другом порту, например:

  удаленный smp-server1.mydomain 8000
удаленный smp-server1.mydomain 8001
удаленный smp-server2.mydomain 8000
удаленный smp-server2.mydomain 8001  

Если ваши серверы являются многопроцессорными машинами, запуск нескольких демонов OpenVPN на каждом сервере может быть выгодным с точки зрения производительности.

OpenVPN также поддерживает директиву remote , относящуюся к DNS-имени, которое имеет несколько записей A в конфигурации зоны для домена. В этом случае клиент OpenVPN будет случайным образом выбирать одну из записей A каждый раз при разрешении домена.

Сервер

Самый простой подход к конфигурации балансировки нагрузки / переключения при отказе на сервере заключается в использовании эквивалентных файлов конфигурации на каждом сервере в кластере, за исключением использования разных пулов виртуальных IP-адресов для каждого сервера.Например:

сервер1

  сервер 10.8.0.0 255.255.255.0  

сервер2

  сервер 10.8.1.0 255.255.255.0  

сервер3

  сервер 10.8.2.0 255.255.255.0  

Повышение безопасности OpenVPN

Один из часто повторяемых принципов сетевой безопасности заключается в том, что нельзя доверять одному компоненту безопасности настолько, чтобы его отказ стал причиной катастрофического нарушения безопасности.OpenVPN предоставляет несколько механизмов для добавления дополнительных уровней безопасности для защиты от такого исхода.

tls-auth

Директива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам подтверждения SSL / TLS для проверки целостности. Любой пакет UDP, не содержащий правильной подписи HMAC, может быть отброшен без дальнейшей обработки. Подпись tls-auth HMAC обеспечивает дополнительный уровень безопасности, превышающий уровень, обеспечиваемый SSL / TLS. Может защитить от:

• DoS-атаки или наводнение порта на UDP-порту OpenVPN.
• Сканирование портов для определения того, какие UDP-порты сервера находятся в состоянии прослушивания.
• Уязвимости переполнения буфера в реализации SSL / TLS.
• инициирований установления связи SSL / TLS с неавторизованных машин (хотя такие рукопожатия в конечном итоге не будут проходить аутентификацию, tls-auth может отключить их на гораздо более раннем этапе).

Использование tls-auth требует, чтобы вы сгенерировали общий секретный ключ, который используется в дополнение к стандартному сертификату / ключу RSA:

  openvpn --genkey --secret ta.ключ  

Эта команда сгенерирует статический ключ OpenVPN и запишет его в файл ta.key . Этот ключ следует скопировать по уже существующему защищенному каналу на сервер и все клиентские машины. Его можно разместить в том же каталоге, что и файлы RSA .key и .crt .

В конфигурации сервера добавить:

  tls-auth ta.key 0  

В конфигурации клиента добавить:

  tls-auth ta.ключ 1  

протокол udp

Хотя OpenVPN позволяет использовать протокол TCP или UDP в качестве VPN-соединения, протокол UDP обеспечивает лучшую защиту от DoS-атак и сканирования портов, чем TCP:

  протокол протокола udp  

пользователь / группа (не для Windows)

OpenVPN был очень тщательно разработан, чтобы позволить отбрасывать привилегии root после инициализации, и эту функцию всегда следует использовать в Linux / BSD / Solaris.Без привилегий root запущенный демон сервера OpenVPN предоставляет злоумышленнику гораздо менее заманчивую цель.

  пользователь никто
группа никто  

Непривилегированный режим (только Linux)

В Linux OpenVPN можно запускать совершенно непривилегированно. Эта конфигурация немного сложнее, но обеспечивает лучшую безопасность.

Для работы с этой конфигурацией OpenVPN должен быть настроен для использования интерфейса iproute, это делается путем указания —enable-iproute2 для скрипта настройки.Пакет sudo также должен быть доступен в вашей системе.

Эта конфигурация использует возможность Linux изменять разрешение устройства tun, чтобы непривилегированный пользователь мог получить к нему доступ. Он также использует sudo для выполнения iproute, чтобы можно было изменить свойства интерфейса и таблицу маршрутизации.

Конфигурация OpenVPN:

• • Напишите следующий сценарий и поместите его в: / usr / local / sbin / unpriv-ip:

  #! / Bin / sh
sudo / sbin / ip $ *
  

• • Выполните visudo и добавьте следующее, чтобы позволить пользователю user1 выполнить / sbin / ip:

  user1 ALL = (ALL) NOPASSWD: / sbin / ip  

• Вы также можете включить группу пользователей с помощью следующей команды:

 % пользователей ALL = (ALL) NOPASSWD: / sbin / ip  

• • Добавьте в конфигурацию OpenVPN следующее:

  разработчик tunX / tapX
iproute / usr / местный / sbin / unpriv-ip  

• Обратите внимание, что вы должны выбрать постоянный X и указать tun или tap не одновременно.
  • В качестве пользователя root добавьте постоянный интерфейс и разрешите пользователю и / или группе управлять им, выполните следующие действия: создайте tunX (замените своим собственным) и разрешите пользователям user1 и group доступ к нему.

  openvpn --mktun --dev tunX --type tun --user user1 --group users  

• Запустите OpenVPN в контексте непривилегированного пользователя.

Дополнительные ограничения безопасности могут быть добавлены путем проверки параметров в сценарии / usr / local / sbin / unpriv-ip.

chroot (только не для Windows)

Директива chroot позволяет заблокировать демон OpenVPN в так называемой chroot jail , где демон не сможет получить доступ к какой-либо части файловой системы хост-системы, за исключением конкретного каталога, указанного в качестве параметра для директива. Например,

  chroot jail  

заставит демон OpenVPN перейти в подкаталог jail при инициализации, а затем переориентирует свою корневую файловую систему в этот каталог, чтобы после этого демон не мог получить доступ к любым файлам за пределами jail и его дерева подкаталогов .Это важно с точки зрения безопасности, потому что даже если бы злоумышленник смог скомпрометировать сервер с помощью эксплойта вставки кода, эксплойт был бы заблокирован для большей части файловой системы сервера.

Предостережения: поскольку chroot переориентирует файловую систему (только с точки зрения демона), необходимо поместить все файлы, которые могут понадобиться OpenVPN после инициализации, в каталог jail , например:

• файл crl-verify или
• каталог client-config-dir .

Большие ключи RSA

Размер ключа RSA контролируется переменной KEY_SIZE в файле easy-rsa / vars , которая должна быть установлена ​​до создания любых ключей. В настоящее время по умолчанию установлено 1024, это значение может быть разумно увеличено до 2048 без отрицательного влияния на производительность VPN-туннеля, за исключением немного более медленного квитирования повторного согласования SSL / TLS, которое происходит один раз для каждого клиента в час, и гораздо более медленного одноразового подтверждения Диффи. Процесс генерации параметров Хеллмана с помощью сценария easy-rsa / build-dh .

Симметричные ключи большего размера

По умолчанию OpenVPN использует Blowfish , 128-битный симметричный шифр.

OpenVPN автоматически поддерживает любой шифр, который поддерживается библиотекой OpenSSL, и, как таковой, может поддерживать шифры с ключами большого размера. Например, 256-битную версию AES (Advanced Encryption Standard) можно использовать, добавив следующее в файлы конфигурации сервера и клиента:

  шифр AES-256-CBC  

Сохранить корневой ключ (

Одним из преимуществ безопасности использования PKI X509 (как это делает OpenVPN) является то, что корневой ключ CA ( ca. key ) не обязательно должен присутствовать на сервере OpenVPN. В среде с высоким уровнем безопасности вам может потребоваться специально назначить машину для целей подписания ключей, обеспечить хорошую физическую защиту машины и отключить ее от всех сетей. При необходимости можно использовать дискеты для перемещения ключевых файлов вперед и назад.Такие меры чрезвычайно затрудняют кражу корневого ключа злоумышленнику, за исключением физического кражи машины для подписи ключей.

Отзыв сертификатов

Отзыв сертификата означает аннулирование ранее подписанного сертификата, чтобы его больше нельзя было использовать для целей аутентификации.

Типичные причины отзыва сертификата:

• Закрытый ключ, связанный с сертификатом, скомпрометирован или украден.
• Пользователь зашифрованного закрытого ключа забывает пароль на ключе.
• Вы хотите прекратить доступ пользователя VPN.

Пример

В качестве примера мы отзовем сертификат client2 , который мы сгенерировали выше в разделе «генерация ключей» HOWTO.

Сначала откройте оболочку или окно командной строки и перейдите в каталог easy-rsa , как вы это делали в разделе «генерация ключей» выше. В Linux / BSD / Unix:

 ../vars
./revoke-full client2
  

В Windows:

  вари
revoke-full client2
  

Вы должны увидеть примерно такой результат:

 Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
ОТЛАДКА [load_index]: unique_subject = "да"
Отзыв сертификата 04.
База данных обновлена
Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
ОТЛАДКА [load_index]: unique_subject = "да"
клиент2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/[email protected]
ошибка 23 при поиске глубины 0: сертификат отозван 

Обратите внимание на «ошибку 23» в последней строке. Это то, что вы хотите увидеть, поскольку это указывает на то, что проверка сертификата отозванного сертификата не удалась.

Сценарий revoke-full создаст файл CRL (список отзыва сертификатов) с именем crl.pem в подкаталоге keys . Файл должен быть скопирован в каталог, в котором сервер OpenVPN может получить к нему доступ, затем проверка CRL должна быть включена в конфигурации сервера:

  crl-verify crl.pem  

Теперь все подключающиеся клиенты будут иметь свои клиентские сертификаты, проверенные по списку отзыва сертификатов, и любое положительное совпадение приведет к разрыву соединения.

CRL Примечания

• Когда в OpenVPN используется опция crl-verify , файл CRL будет перечитываться каждый раз, когда подключается новый клиент или существующий клиент повторно согласовывает соединение SSL / TLS (по умолчанию один раз в час). Это означает, что вы можете обновлять файл CRL во время работы демона сервера OpenVPN, а новый CRL немедленно вступает в силу для вновь подключающихся клиентов.Если клиент, чей сертификат вы отзываете, уже подключен, вы можете перезапустить сервер с помощью сигнала (SIGUSR1 или SIGHUP) и сбросить все клиенты, или вы можете telnet к интерфейсу управления и явно убить конкретный объект экземпляра клиента на сервере, не мешая другие клиенты.
• Хотя директива crl-verify может использоваться как на сервере OpenVPN, так и на клиентах, обычно нет необходимости распространять файл CRL клиентам, если сертификат сервера не был отозван.Клиентам не нужно знать о других клиентских сертификатах, которые были отозваны, потому что клиенты не должны принимать прямые соединения от других клиентов в первую очередь.
• Файл CRL не является секретным и должен быть доступен для чтения всем, чтобы демон OpenVPN мог прочитать его после того, как были отброшены привилегии root.
• Если вы используете директиву chroot , обязательно поместите копию файла CRL в каталог chroot, поскольку в отличие от большинства других файлов, которые читает OpenVPN, файл CRL будет прочитан после выполнения вызова chroot, а не до .
• Распространенной причиной отзыва сертификатов является то, что пользователь шифрует свой закрытый ключ паролем, а затем забывает его. Отозвав исходный сертификат, можно сгенерировать новую пару сертификат / ключ с исходным общим именем пользователя.

Важное примечание о возможной атаке «Человек посередине», если клиенты не проверяют сертификат сервера, к которому они подключаются.

Чтобы избежать возможной атаки Man-in-the-Middle, когда авторизованный клиент пытается подключиться к другому клиенту, выдавая себя за сервер, убедитесь, что клиенты используют какую-то проверку сертификата сервера.В настоящее время для этого существует пять различных способов, перечисленных в порядке предпочтения:

• [OpenVPN 2.1 и выше] Создайте сертификаты сервера с конкретным использованием ключей и расширенным использованием ключей. RFC3280 определяет, что для TLS-соединений должны быть предоставлены следующие атрибуты:
  

  Mode	Использование ключа	Использование расширенного ключа
  Клиент	цифровая подпись	Аутентификация веб-клиента TLS
  	ключ Соглашение
  	цифровая Подпись, ключ Договор
  Сервер	цифровая подпись, ключ шифрования	Аутентификация веб-сервера TLS
  	цифровая Подпись, ключ Соглашение

  Сертификаты сервера можно создать с помощью сценария build-key-server (дополнительную информацию см. В документации easy-rs).Это будет обозначать сертификат как сертификат только для сервера путем установки правильных атрибутов. Теперь добавьте следующую строку в конфигурацию вашего клиента:

    удаленный сервер сертификатов tls  

• [OpenVPN 2.0 и ниже] Создайте сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. В документации easy-rsa). Это обозначит сертификат как сертификат только для сервера, установив nsCertType = server.Теперь добавьте следующую строку в конфигурацию вашего клиента:
  

    сервер типа ns-cert  

  Это заблокирует подключение клиентов к любому серверу, в сертификате которого отсутствует обозначение сервера nsCertType =, даже если сертификат был подписан файлом ca в файле конфигурации OpenVPN.

• Используйте директиву tls-remote на клиенте, чтобы принять / отклонить соединение с сервером на основе общего имени сертификата сервера.
• Используйте сценарий или подключаемый модуль tls-verify , чтобы принять / отклонить соединение с сервером на основе пользовательской проверки сведений о субъекте X509, встроенных в сертификат сервера.
• Подписывайте сертификаты сервера с помощью одного ЦС, а сертификаты клиента — с помощью другого ЦС. Директива конфигурации клиента ca должна ссылаться на файл CA подписи сервера, тогда как директива конфигурации сервера ca должна ссылаться на файл CA подписи клиента.

Как настроить VPN-соединение на любом устройстве: простое руководство

Виртуальная частная сеть (VPN) может обеспечить безопасность и конфиденциальность в Интернете.Однако настройка VPN может быть неприятной для тех, у кого нет опыта работы с VPN. Если вы уже пытались установить VPN на одном из своих устройств, то знаете, что это может оказаться трудным и трудоемким процессом. Но не волнуйтесь! Это простое руководство научит вас настраивать VPN-соединения на любом устройстве всего за несколько минут!

Пропустите ручную настройку и получите приложение VPN

Прежде чем приступить к делу, не кажется ли вам, что настройка VPN вручную является сложной задачей? Лучшим вариантом является использование поставщика услуг VPN, который предлагает приложения VPN, которые можно настроить двойным щелчком кнопки.Surfshark предлагает приложения для широкого спектра устройств, поэтому вам не нужно беспокоиться о настройке VPN вручную или чтении остальной части этого руководства.

Примечание: Невозможно настроить VPN без сервера. Эти руководства предназначены для использования сертификатов, предоставленных вашим провайдером VPN (вы можете найти Surfshark на странице своей учетной записи).

Итак, первое, что вам нужно сделать, это получить эти сертификаты для вашего устройства и ОС.Обычно вы найдете их на странице аккаунта вашего VPN-провайдера.

А теперь посмотрим, что мы можем с ними сделать.

Как настроить VPN в Windows

Большинство служб VPN предоставляют приложение для Windows. Как только вы разрешите приложению доступ, оно автоматически настроит устройства. Если ваша компания VPN не предлагает приложение VPN, вот как настроить VPN с помощью IKEv2 / IPSec для Windows:

1. Щелкните кнопку Windows. Перейдите в Настройки > Сеть и Интернет. Затем выберите VPN . Щелкните Добавить VPN-соединение .
2. Выберите Windows (встроенный) в качестве поставщика VPN в поле меню. Это устанавливает для вашего типа VPN значение Автоматический . Вы можете выбрать другие варианты протокола (мы рекомендуем придерживаться IPSec / IKEv2, поскольку никакой другой вариант не является более безопасным).
3. В разделе Имя подключения укажите имя вашей VPN. Заполните оставшиеся поля данными сертификата поставщика VPN .Обязательно Сохранить.
4. Вернитесь к настройкам VPN , чтобы подключиться. Выберите свой VPN , щелкнув его имя.
5. Следующий шаг не обязателен, но настоятельно рекомендуется. Перейдите на Дополнительные параметры и введите имя пользователя и пароль для дополнительной безопасности. Здесь вы также можете изменить настройки подключения, очистить данные для входа или настроить прокси.
6. Выберите Подключиться .

Примечание. Если вы предпочитаете OpenVPN, вот как его настроить (он предназначен для Surfshark, но должен работать для любого провайдера).

Перед настройкой VPN вручную на Mac убедитесь, что ваш провайдер VPN не предлагает приложение Mac для автоматической настройки. Если у вашего провайдера нет приложения, вот как настроить VPN вручную с помощью протокола IKEv2 VPN:

1. Перейдите в Системные настройки > Сеть .
2. Щелкните значок + в левом нижнем углу, затем выберите свой VPN в раскрывающемся списке Интерфейс.
3. Используйте данные своего VPN-провайдера, чтобы заполнить поля VPN Type и Service Name .
4. Щелкните Создать . Заполните соответствующие поля IP-адресом VPN-сервера, удаленным идентификатором и локальным идентификатором.
5. Выберите Настройки аутентификации. Введите имя пользователя и пароль VPN, которые можно настроить в приложении VPN.
6. Щелкните OK , затем Connect .

Если вы хотите узнать больше, у нас есть все, что вам нужно знать о настройке VPN на macOS .

Настройка VPN в Linux вручную требует времени, поэтому перед началом работы убедитесь, что у вашего поставщика VPN нет более быстрого метода, например специального приложения. Если это не так, вот как вручную настроить VPN в Linux с помощью OpenVPN:

1. Откройте терминал, нажав Ctrl + Alt + T. Сначала установите OpenVPN. Чтобы получить пакеты, выполните следующую команду: sudo apt-get install openvpn unzip. Введите учетные данные администратора вашего компьютера, если вас попросят ввести пароль.
2. Чтобы получить доступ к каталогу OpenVPN, запустите следующее: cd / etc / openvpn
3. Загрузите файлы конфигурации OpenVPN вашего провайдера VPN. Если вы знаете, где находятся эти файлы, выполните команду: sudo wget https://account.surfshark.com/api/v1/server/configurations (замените URL местоположением файла конфигурации VPN вашего провайдера).
4. Извлеките файлы конфигурации из zip-папки с помощью команды: unzip configs Просмотрите список доступных серверов с помощью команды: ls
5. Подключитесь к одному из перечисленных серверов с помощью следующей команды: sudo openvpn [имя файла] (пример: sudo openvpn us-dal.prod.surfshark.com udp.ovpn).
6. Обратитесь к своему провайдеру VPN, если вас попросят предоставить учетные данные службы. Это НЕ имя пользователя и пароль вашей учетной записи VPN.
7. Как только вы увидите в журнале терминала Initialization Sequence Completed , ваше соединение установлено успешно.

Остались вопросы? У нас есть ответы о том, как настроить VPN в Linux .

Настроить VPN на устройстве Android очень просто.Но если вы хотите настроить его вручную, а не позволять приложению автоматически настраивать параметры за вас, вот как это сделать:

1. Получите файлы конфигурации OpenVPN вашего провайдера. Распакуйте файлы в любой каталог.
2. Загрузите клиент OpenVPN . Для максимальной безопасности и удобства используйте OpenVPN Connect . После загрузки выберите Профиль OVPN .
3. Откройте меню в левом верхнем углу. Щелкните Импорт в правом верхнем углу и откройте папку с файлами конфигурации, которую вы распаковали ранее.
4. Заполните данные:
5. Подключитесь к , щелкнув свой новый профиль. Нажмите OK , если вас спросят, доверяете ли вы источнику этой службы.

Некоторые службы VPN предоставляют приложения для Android TV. Просто найдите приложение вашего VPN-провайдера на Android Market. Если ваш провайдер VPN не предлагает отдельного приложения, вам нужно будет сделать это вручную с помощью графического интерфейса OpenVPN:

1. На свой Android TV загрузите OpenVPN Connect и Google Chrome из магазина Google Play.
2. Загрузите файлы конфигурации OpenVPN с веб-сайта вашего провайдера VPN. Если вы недавно установили Google Chrome, вам нужно разрешить ему записывать файлы на ваше устройство.
3. Чтобы импортировать , откройте OpenVPN Connect и щелкните стрелку, направленную вниз, в верхнем правом углу.
4. Выберите файлы конфигурации, которые вы загрузили с веб-сайта поставщика услуг VPN, и сохраните их.
5. Вернитесь к экрану своего профиля, щелкните только что загруженный файл и введите свои учетные данные службы VPN (это не ваши обычные учетные данные.Вам нужно будет получить их у своего провайдера). Щелкните ОК .

Примечание. Графический интерфейс OpenVPN обычно используется с сенсорным экраном или мышью; может быть сложно маневрировать с игровым контроллером или пультом дистанционного управления. Кроме того, вы должны повторно открыть программное обеспечение OpenVPN, чтобы отключить VPN или изменить серверы VPN.

Ознакомьтесь с нашим руководством, если вы хотите узнать больше о настройке VPN на Android TV.

Хотя загрузка собственного приложения для службы VPN прямо из App Store — это самый простой способ настроить мобильные устройства iOS, вот как это сделать вручную с помощью протокола IKEv2:

1. Загрузите сертификат протокола IKEv2 у поставщика услуг.Surfshark’s можно скачать с этой страницы.
2. Выберите Настройки. Вкладка «Профиль загружен» должна появиться под вкладкой вашего профиля. Щелкните по нему . После загрузки щелкните Установить в правом верхнем углу приглашения.
3. Ваше устройство попросит вас доверять корневому сертификату вашего провайдера. Для этого снова нажмите Установить в правом верхнем углу. Щелкните Готово .
4. Чтобы выбрать сервер VPN, вам потребуются имя хоста сервера и учетные данные службы.Это не ваша обычная регистрационная информация, поэтому спросите своего провайдера или найдите Surfshark здесь.
5. После копирования имени хоста перейдите в Настройки > Общие > VPN > Добавьте конфигурацию VPN .
6. Вам нужно будет заполнить важную информацию:
   • Тип — IKEv2.
   • Описание — назовите свое соединение как хотите.
   • Server — вставьте имя хоста VPN-сервера, которое вы получили на шаге 2 .
   • Remote ID — введите то же имя хоста, что и в строке Server.
   • Local ID — ничего вводить не нужно.
   • Проверка подлинности пользователя — выберите Имя пользователя.
   • Имя пользователя — имя пользователя с учетными данными, которое вы получили в Шаге 2.
   • Пароль — пароль учетных данных, которые вы получили в Шаге 2.
7. После этого нажмите Готово .Для подключения просто переместите кнопку Not Connected на Connect .

Нужна дополнительная информация? Ознакомьтесь с нашим руководством по настройке VPN на устройствах iOS.

Лучший способ использовать VPN на Firestick — это загрузить собственное приложение вашего VPN-провайдера. Подключение вручную требует больше работы. Но это возможно с APK-файлами Firestick для Android! Вот как настроить VPN-соединение на Firestick:

1. Перейдите в Настройки > Устройство > Developer Options. Включить Разрешить приложения из неизвестных источников.
2. Теперь перейдите к экрану поиска и введите Downloader .
3. Установить и Запустить загрузчик .
4. Как только вы перейдете на главную страницу, выберите адресную строку URL и введите веб-сайт службы VPN ’ s Android APK скачать . (Например, https://downloads.surfshark.com/android/Surfshark.apk)
5. Выберите Загрузить.APK , если он не запускается автоматически.
6. После загрузки запустите программу установки и следуйте подсказкам. Вам потребуется добавить свои учетные данные для службы VPN (спросите об этом у своего провайдера или получите Surfshark на странице учетной записи).
7. По завершении вы захотите вернуться к Настройки > Устройство > Параметры разработчика , затем отключить Разрешить приложения из неизвестных источников.

Apple затрудняет внесение каких-либо изменений в свои продукты.Чтобы использовать VPN на Apple TV, вам понадобится интеллектуальный DNS. Перед выполнением следующих шагов убедитесь, что ваш поставщик услуг VPN включил интеллектуальный DNS и предоставил вам требуемый IP-адрес:

1. Перейдите в Настройки > Сеть .
2. Выберите соединение , которое ваш Apple TV в настоящее время использует для подключения к Интернету. В большинстве случаев вы выбираете Wi-Fi.
3. Щелкните сеть, к которой вы подключены, на следующем экране.
4. Выберите Настроить DNS .Выберите Manual в разделе Configure DNS.
5. Введите IP-адрес , предоставленный вашим поставщиком услуг VPN для использования Smart DNS.

Узнайте больше о настройке VPN на Apple TV в нашем специальном руководстве.

не поддерживают виртуальные частные сети, но вы можете легко настроить Xbox или Playstation на их использование, если ваш провайдер VPN поддерживает интеллектуальный DNS. Smart DNS не является VPN-клиентом и не предоставляет зашифрованный туннель, но может разблокировать материал, такой как VPN.Некоторые поставщики VPN предлагают приложения для ручной настройки на Xbox, Samsung TV и других устройствах. Вот как это сделать вручную:

1. Перейдите в Настройки > Сеть > Настройте подключение к Интернету . В зависимости от вашего подключения выберите Wi-Fi или кабель LAN.
2. Выберите Custom для настройки подключения к Интернету.
3. Выберите Автоматический в настройках IP-адреса.
4. В качестве имени хоста DHCP выберите Не указывать .
5. Щелкните Manual в настройках DNS.
6. Выберите Primary DNS , введите интеллектуальный IP-адрес DNS-провайдера и нажмите Done . Smart DNS может быть включен в вашей учетной записи Surfshark.
7. Нажмите Далее , когда будет предложено ввести вторичный DNS-адрес.
8. Выберите Автоматический в настройках MTU.
9. Выберите Не использовать для прокси-сервера.
10. Проверьте подключение к Интернету. Затем выключите PS4, а затем перезапустите его через 30 секунд.

Дополнительную информацию о настройке VPN на PlayStation см. В нашем руководстве.

sudo apt-get update
sudo apt-get установить сетевой менеджер-l2tp
sudo apt-get установить сетевой менеджер-l2tp-gnome
 

Общий ключ: введите общий ключ в разделе Безопасность и SD-WAN> Настроить> Клиентская VPN.
Алгоритмы фазы 1: aes128-sha1-modp1024,3des-sha1-modp1024!
Алгоритмы Phase2: aes128-sha1-modp1024,3des-sha1-modp1024!