Kako varno in popolnoma nastaviti VPN z OpenVPN

Če iščete zanesljiv način za zaščito svojih povezav ali dostop do omrežja od koder koli, OpenVPN je eden najbolj varnih in vsestranskih protokolov ki jih lahko implementirate doma ali v svojem podjetju. Ta priročnik vam bo pomagal od začetka: kaj je to, kaj potrebujete, kako to nastaviti v Linux, Windows in usmerjevalnike ter kako povezati odjemalce v različnih sistemih.

Več kot le vklop in izklop, Naučili se boste, kako konfigurirati sodobno šifriranje, se izogniti tipičnim napakam, preizkusiti puščanje DNS/IPv6 in optimizirati delovanje.Vključuje načina TUN in TAP, tls-crypt proti tls-auth, uporabo strežnika Access Server, uvedbe na Omada in ASUS ter Tricks ključ za CG-NAT, poti in požarne zidove.

Kaj je VPN in zakaj OpenVPN?

A VPN ustvari šifriran tunel med vašo napravo in strežnikom, tako da Vaš pravi IP je skrit in vaši podatki potujejo zaščitenoTo omogoča varno delo na daljavo, dostop do notranjih virov in odgovorno izogibanje geografskim blokadam.

OpenVPN pa je brezplačna programska oprema in široko revidiran protokol, ki deluje v sistemih Windows, macOS, GNU/Linux, iOS y Android, kot tudi v mnogih usmerjevalnikihTemelji na SSL/TLS, podpira digitalna potrdila in dodatno preverjanje pristnosti z uporabniškim imenom in geslom.

Prednosti in slabosti uporabe VPN-ja

Med najjasnejšimi prednostmi boste našli zasebnost in varnost: Promet je šifriran, sledenje je zmanjšano na minimum in brskate lahko z večjo brezskrbnostjo.Omogoča tudi varen oddaljeni dostop do notranjih omrežij, kar je ključnega pomena v profesionalnih okoljih.

Poleg tega mnogi ljudje uporabljajo VPN za dostop do vsebin, ki so na voljo v drugih državah ali v omrežjih, ki uporabljajo blokade, pri čemer vedno spoštujemo zakone in pogoje storitve posamezne platforme.

Na manj prijazni strani, Na hitrost lahko vplivata šifriranje in odbijanje paketov., especialmente en servicios gratuitos o si se elige mal el algoritmo en hardware sin aceleración. También hay que vigilar el origen de las aplikacije da se izognete zlonamerni programski opremi.

Zmogljivost OpenVPN: hitrost, zakasnitev in stabilnost

S pravilno nastavitvijo, OpenVPN ponuja dosledne hitrosti, dobro zakasnitev in visoko stabilnost.Na splošno uporaba UDP zmanjša stroške v primerjavi s TCP in je v večini scenarijev hitrejša.

V računalnikih brez AES-NI (strojno pospeševanje), ChaCha20-Poly1305 se na splošno obnese bolje kot AES-GCMČe vaš procesor pospeši AES, poskusite oba, da se odločite; včasih AES-GCM zmaga v prepustnosti.

Kakšen je namen nastavitve OpenVPN doma ali v službi?

Z nastavitvijo lastnega strežnika lahko varno brskate tudi po javnem omrežju Wi-Fi, Pojdite na splet, kot da bi bili doma, in dostopajte do internih storitev kot so datoteke, tiskalniki, IP-kamere ali NAS strežniki.

Seveda boste potrebovali, da ima vaša povezava javni IP ali rešitev za Izogibajte se CG-NAT (Carrier-Grade NAT), saj brez odprtih vrat ne boste prejemali dohodnih povezav.Povezave z dobrimi hitrostmi nalaganja (npr. 30 Mbps ali več) močno izboljšajo izkušnjo.

Načina TUN in TAP: katerega naj izberem?

OpenVPN lahko deluje na 3. plasti (TUN) ali 2. plasti (TAP). TUN ustvari IP tunel od točke do točke in je najpogostejši način za usmerjanje ločenih podomrež z manj režijskih stroškov.

Način TAP deluje kot ethernetni most in enkapsulira L2 okvirje, kar je uporabno, če želite, da so končne točke v istem podomrežju, vendar doda več prometa in morebitne konflikte, ko se podomrežja prekrivajo.

Priporočene različice kriptografije in TLS

Za potrdila je danes zelo pogosto uporabljati EC (eliptične krivulje) s secp521r1 in SHA-512 kot zgoščena vrednost, če so odjemalci in strežniki združljivi in ​​posodobljeni.

Na krmilnem kanalu (TLS), minimiziraj na TLS 1.2 in omogoči TLS 1.3, če je na voljo z zbirkami, kot sta TLS_AES_256_GCM_SHA384 ali TLS_CHACHA20_POLY1305_SHA256. Prisoten mora biti PFS prek ECDHE.

Za podatkovni kanal, AES-256-GCM ali CHACHA20-POLY1305 sta robustni možnostiOba šifriranja sta AEAD, zato ne zahtevata ločene avtentikacije. Izogibata se starejšim šifram, kot je BF-CBC.

Krepi prvo fazo pogajanj z tls-kripta (ali tls-crypt-v2, kjer je primerno) za ublažitev DoS in skrivanje začetnih metapodatkov paketa. tls-auth zagotavlja podporo za starejše različice, tls-crypt pa zagotavlja šifriranje kanalov HMAC.

Bistvene priprave

Pred začetkom: Preverite svoj javni IP, odprite vrata na usmerjevalnik in se prepričajte, da niste za CG-NATČe nimate fiksnega IP-naslova, razmislite o uporabi DDNS-a za povezovanje domene z vašim dinamičnim IP-naslovom.

Na strežnikih Linux pripravite Easy-RSA 3 za PKI in Poskrbite za posodabljanje OpenVPN in kripto knjižnicV sistemu Windows se namesti grafični uporabniški vmesnik OpenVPN vozniki TAP in ponuja primere konfiguracije.

Namestitev in konfiguracija v GNU/Linuxu (Debian/Ubuntu) z Easy-RSA 3

Namestite paket z APT: posodobitev sudo apt in namestitev openvpn s pomočjo sudo aptNato prenesite Easy-RSA 3, ga razpakirajte in konfigurirajte datoteko vars z želenimi parametri EC, krivulje in zgoščevanja.

Uporabni primeri: set_var EASYRSA_ALGO ec; set_var EASYRSA_CURVE secp521r1; set_var EASYRSA_DIGEST 'sha512'Če želite poenostaviti DN-je na splošno ime, uporabite način cn_only.

Inicializirajte PKI z ./easyrsa init-pki, ustvarite svojega overitelja potrdil z ./easyrsa build-ca (z geslom za zasebni ključ overitelja potrdil, zelo priporočljivo) in generira zahteve in ključe za strežnik in vsakega odjemalca z ./easyrsa ime generične zahteve.

Podpišite potrdilo strežnika z ./easyrsa strežnik za zahtevo po podpisu ime_strežnika in tiste strank z ./easyrsa odjemalec zahteve za podpis ime_odjemalcaNato ustvarite ključ HMAC z openvpn –genkey –secret ta.key za tls-crypt.

Organizirajte mape, da se ne boste izgubili: strežnik (ca.crt, strežnik.crt, strežnik.ključ, ta.ključ) in enega na stranko z njihovimi crt, key, ca in ta.key.

Primer konfiguracije strežnika OpenVPN (Linux)

Nastavite vrata in protokol (priporočeno UDP), Izberite razvojni tun, definirajte šifre in šifrirne pakete TLS, krivuljo ECDH in minimalno različico TLSPrav tako nastavi virtualno podomrežje, DNS, ki ga boste pošiljali, in uporabniška dovoljenja za demon.

Okostje strežnika (prilagodite ga svojemu okolju): Uporabite lokalne poti, DNS in šifriranje, ki jih podpirajo vaši odjemalciNe pozabite, da pri šifriranju AEAD ne potrebujete ločene avtorizacije.

port 1194
proto udp
dev tun

ca ca.crt
cert servidor.crt
key servidor.key
dh none

# HMAC y ocultación del canal inicial
tls-crypt ta.key

# Cifrado y TLS (comprobar compatibilidad)
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
tls-version-min 1.2
ecdh-curve secp521r1
reneg-sec 0

# Topología y red virtual
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Rutas y DNS para clientes
push 'route 192.168.1.0 255.255.255.0'
push 'redirect-gateway def1'
push 'dhcp-option DNS 208.67.222.222'
push 'dhcp-option DNS 208.67.220.220'

client-to-client
keepalive 10 120
max-clients 100

user nobody
group nogroup
persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Začnite z sudo openvpn strežnik.conf in počakajte na sporočilo Inicializacijsko zaporedje je končano. Če se ne prikaže, preverite poti datotek in združljivost šifer.

Konfiguracija odjemalca (Linux/Windows/macOS)

Za vsako stranko ustvarite profil z enakimi nastavitvami šifriranja in TLS kot strežnik. Ključne razlike so direktiva »odjemalec«, »oddaljeni« z IP-jem ali domeno in njegove identitetne datoteke..

client
dev tun
proto udp
remote ejemplo.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert cliente1.crt
key cliente1.key

remote-cert-tls server
cipher AES-256-GCM
# Para TLS 1.3 si aplica
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

# HMAC/ocultación
tls-crypt ta.key

verb 3

V sistemu Windows shranite datoteko .ovpn in potrdila v mapo z grafičnim uporabniškim vmesnikom OpenVPN (privzeto v 'C:\\Uporabniki\\VašUporabnik\\OpenVPN\\config') in povezava prek ikone v območju za obvestilaV sistemu macOS uporabite OpenVPN Connect ali združljivega odjemalca.

Poti in NAT v vašem omrežju

Če želite, da so računalniki v oddaljenem lokalnem omrežju (LAN) dostopni prek VPN-ja, Na usmerjevalniku bo morda potrebna statična pot kaže na podomrežje 10.8.0.0/24 s strežnikom OpenVPN kot prehodom.

Če želite ves promet odjemalcev usmeriti prek VPN-ja, uporabite 'push redirect-gateway def1' in ponudite DNS zanesljivo. Preprečite uhajanje DNS-a s prilagajanjem odjemalskih razreševalcev in požarnih zidov.

Uporaba strežnika OpenVPN Access Server v Linuxu

OpenVPN Access Server poenostavlja administracijo prek spletne konzole: Namestite paket, dostopate do https://IP:943/admin, sprejmete pogoje in aktivirate storitev.Za vsak sistem lahko ustvarite uporabnike, prenesete profile in odjemalce.

V brezplačni različici obstajajo omejitve (npr. dve sočasni povezavi) in napredne možnosti, kot so samodejni prijavni profili ali onemogočanje stiskanja, če povzroča težave.

Odjemalci v sistemih Windows, macOS, Linux, Android in iOS

V sistemih Windows in macOS lahko uporabite OpenVPN Connect ali grafični uporabniški vmesnik skupnosti; Uvozite profil .ovpn in ga overiteV Linuxu namestite paket openvpn, profil postavite v '/etc/openvpn' in zaženite storitev.

V sistemih Android in iOS aplikacija OpenVPN Connect omogoča Uvozite profil prek URL-ja strežnika ali z nalaganjem datoteke .ovpnPrepričajte se, da vnesete pravilna vrata, uporabniško ime in, če je primerno, geslo ali 2FA.

Konfiguracija usmerjevalnikov in krmilnikov: ASUS in Omada

Številni usmerjevalniki ASUS imajo vgrajen strežnik OpenVPN: Omogočite ga na spletni strani usmerjevalnika, izberite vrata, ustvarite uporabnike in izvozite datoteko .ovpn.Najbolje deluje z javnim WAN IP-jem in posodobljeno vdelano programsko opremo.

V okoljih Omada lahko nastavite pravilnik VPN od odjemalca do spletnega mesta: Določa OpenVPN kot strežnik, vrata, celoten ali razdeljen tunel, DNS in uporabnikeIzvozite profil .ovpn za odjemalce.