как создать VPN-сервер

Question 1

Мне нужно иметь возможность подключать пользователей Windows к моему серверу Ubuntu через VPN через Интернет, чтобы они могли просматривать общую папку после подключения к серверу. Я в основном уже установил 2 NIC. Вот мой etc / network / Интерфейс конфигурации FYI. У меня есть 2 виртуальных сервера, работающих на Ubuntu, и второй жесткий диск, на котором я делюсь своими файлами.

auto lo
iface lo inet loopback

#The Primary network interface
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address 192.168.2.100
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1
dns-nameservers 208.67.222.222 208.67.220.220
dns-search google.com

bridge_ports eth0
bridge_stp off
bridge_fd 0
bridge_hello 2
bridge_maxwait 0
post-up ip link set br0 address 00:10:18:77:5e:46

#Secondary network interface
# auto eth1
# iface eth1 inet static
# address 192.168.2.150
# netmask 255.255.255.0
# network 192.168.2.0
# broadcast 192.168.2.255
# gateway 192.168.2.1
# dns-nameserver 192.168.2.1 8.8.8.8

Любая помощь очень ценится. Также обратите внимание, что я не эксперт, а новичок.

Question 2

Можно использовать программное обеспечение OpenVPN для создания сервера VPN.

На Ubuntu, sudo apt-get install openvpn.

необходимо создать конфигурационный файл в /etc/openvpn для сервера:

port 1194
proto tcp
dev tun
pkcs12 openvpn.p12
dh dh1024.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun

Просто имя этот файл server.conf, например, и запускают Ваш экземпляр OpenVPN:

sudo service openvpn start

Это запустит сервер VPN с помощью устройства БОЧКИ, работающего на всем IP сервера на порте TCP 1194. Туннели VPN будут в подсети 192.168.10.0/24, где сервер получает эти 192.168.10.1 адресов.
сжатие LZO активируется, и файл, ipp.txt будет использоваться для сохранения IP, данного клиентам к, дал им все время тот же IP.

Указанный горячекатаный параметр является файлом, который необходимо будет генерировать сами с помощью следующей команды:

openssl dhparam -out dh1024.pem 1024

хитрый часть в этой конфигурации является использованием сертификатов. Здесь я использую файл PKCS12, которые содержат закрытый ключ и его сертификат и сертификат о Приблизительно

, Чтобы управлять ключами и сертификатами, экспортировать их легко, я нашел инструмент GUI tinyca2, что можно установить на Ubuntu с sudo apt-get install tinyca2. Этот инструмент создаст локальный и автономный CA, который можно использовать, чтобы генерировать и экспортировать частный & открытые ключи и сертификаты X.509.

Все файлы упомянули в конфигурации, которая не имеет абсолютного пути, расположены в /etc/openvpn каталог.

, После того как Ваш сервер OpenVPN работает, необходимо будет загрузить версию OpenVPN для Windows (бесплатно) и установить его на клиенты Windows.

Эта информация & программное обеспечение доступно на веб-сайт OpenVPN .

Question 3

Question 4

Необходимо выполнить несколько точек:

1. Выберите свою технологию

Выберите, который протоколы будут Вы использовать для реализации VPN.

Основные опции: PPTP, L2TP/IPsec и OpenVPN.

PPTP

Протокол туннелирования точка-точка был вокруг больше 15 лет (Windows 95 уже имел клиент!). Это - своего рода ремейк PPP Microsoft. Аутентификация и шифрование полагаются в самом PPP, таким образом, это может поддерживать несколько методов. Для создания, короче говоря, не используют его. Безопасность можно считать поврежденной в наше время.

L2TP/IPsec

Уровень 2. протокола туннелирования (L2TP) не обеспечивает шифрование отдельно также. Это обеспечивается IPsec вместо этого. Это - хорошо поддерживаемая конфигурация в средах Windows. Конфигурирование его на Linux может иногда быть неприятным, но это мог бы быть Ваш лучший выбор, так как Ваши клиенты запускают Windows.

OpenVPN

Выборка из Википедии:

Это использует пользовательский протокол системы защиты, который использует SSL/TLS для ключевого обмена. Это способно к пересечению преобразователей сетевых адресов (NATs) и брандмауэров.

при конфигурировании OpenVPN можно выбрать между созданием адаптера бочки или адаптера касания.

Адаптер бочки работает на уровне 3, что означает, что можно присвоить ему IP и думать о нем как маршрутизатор следующего перехода для сети VPN позади туннеля.
Адаптер касания работает на уровне 2, таким образом, можно объединить оба конца в той же сети. Это может быть действительно полезно при необходимости в запросах/ответах ARP (или какая-либо широковещательная передача уровня 2) для достижения другого конца туннеля VPN. Оборотная сторона: больше использования пропускной способности.

Это - самая легкая конфигурация и должно удовлетворить большинство потребностей на средах GNU/Linux.

2. Настройте сервер

Это зависит, конечно, выбора, который Вы сделали прежде. Вместо того, чтобы отправить полную пошаговую демонстрацию, позвольте мне указать на Вас некоторые полезные руководства:

PPTP - Установка сервера PPTP в Сервере Ubuntu 12.4. Не должно очень отличаться для текущей версии.
L2TP/IPsec - Здесь необходимо настроить 2 подсистемы: частью IPsec управляет Openswan, но мог управлять другой как strongSwan или ipsec-инструменты. 3 подобных руководства для Вас для выбора: Сервер Ubuntu 12.4, Сервер Ubuntu 14.04 и универсальный. Все они полагаются на Openswan.
OpenVPN - это - безусловно более легкий путь, но имеет тяжелый недостаток: никакая собственная поддержка окон. Это не огромная проблема, потому что она поддерживается в Windows также, но его установка не таким образом бесшовная. У Вас есть замечательный гид в Общественной Справке Wiki.

Кроме того, Вы столкнетесь с другой проблемой: как клиенты аутентифицируют себя, PSK или PKI?

Предобщий ключ (PSK): Если у Ваших клиентов есть динамический дюйм/с, или Вы хотите, чтобы они смогли переместиться свободно и все еще смочь соединиться с Вашим сервером, все клиенты должны будут совместно использовать тот же PSK. Это означает (по крайней мере, при работе с решением IPsec), который сервер не сможет отличить, кто то, кто (при конфигурировании туннеля).
Инфраструктура открытых ключей (PKI): это - сложная конфигурация с одним сертификатом на клиент и Корень CA для управления их всех (или ПОДАВАРИЯ). На всякий случай Вы выбираете сертификаты, позволяете мне указать на Вас на другой ресурс.

3. Настройте клиенты

Просто, потому что PPTP и L2TP/IPsec являются собственным компонентом Windows, это не означает, что Вы не столкнетесь с проблемой.

PPTP является видом наследия, у Вас не должно быть проблем с этим.
L2TP/IPsec: необходимо будет скопировать Корневой сертификат и настроить соединение, чтобы использовать его или настроить PSK IPsec
OpenVPN: установка Windows должна быть довольно простой, но она "должна" быть выполнена как администратор. Если Вы не хотите, или это не опция, возможно работать как неадминистратор.

Заключение

Не используйте PPTP.
Даже если L2TP/IPsec может быть лучшим выбором для сред Windows, конфигурация сверхуничтожения и установка могут мешать Вам считать это выполнимым. Не говоря уже об обоюдоостром преимуществе собственных протоколов Windows: клиентский не всегда благоприятно для Linux.
OpenVPN не является стандартным решением, но легко установить и настроить, это вполне расширяется в мире Linux и существует много поддержки и в сообществах Linux и в Windows.

Benoit · Answer 1 · 7 July 2014 в 13:15

Можно использовать программное обеспечение OpenVPN для создания сервера VPN.

На Ubuntu, sudo apt-get install openvpn.

необходимо создать конфигурационный файл в /etc/openvpn для сервера:

port 1194
proto tcp
dev tun
pkcs12 openvpn.p12
dh dh1024.pem
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun

Просто имя этот файл server.conf, например, и запускают Ваш экземпляр OpenVPN:

sudo service openvpn start

Это запустит сервер VPN с помощью устройства БОЧКИ, работающего на всем IP сервера на порте TCP 1194. Туннели VPN будут в подсети 192.168.10.0/24, где сервер получает эти 192.168.10.1 адресов.
сжатие LZO активируется, и файл, ipp.txt будет использоваться для сохранения IP, данного клиентам к, дал им все время тот же IP.

Указанный горячекатаный параметр является файлом, который необходимо будет генерировать сами с помощью следующей команды:

openssl dhparam -out dh1024.pem 1024

хитрый часть в этой конфигурации является использованием сертификатов. Здесь я использую файл PKCS12, которые содержат закрытый ключ и его сертификат и сертификат о Приблизительно

, Чтобы управлять ключами и сертификатами, экспортировать их легко, я нашел инструмент GUI tinyca2, что можно установить на Ubuntu с sudo apt-get install tinyca2. Этот инструмент создаст локальный и автономный CA, который можно использовать, чтобы генерировать и экспортировать частный & открытые ключи и сертификаты X.509.

Все файлы упомянули в конфигурации, которая не имеет абсолютного пути, расположены в /etc/openvpn каталог.

, После того как Ваш сервер OpenVPN работает, необходимо будет загрузить версию OpenVPN для Windows (бесплатно) и установить его на клиенты Windows.

Эта информация & программное обеспечение доступно на веб-сайт OpenVPN .

CijcoSistems · Answer 2 · 7 July 2014 в 13:15

Необходимо выполнить несколько точек:

1. Выберите свою технологию

Выберите, который протоколы будут Вы использовать для реализации VPN.

Основные опции: PPTP, L2TP/IPsec и OpenVPN.

PPTP

Протокол туннелирования точка-точка был вокруг больше 15 лет (Windows 95 уже имел клиент!). Это - своего рода ремейк PPP Microsoft. Аутентификация и шифрование полагаются в самом PPP, таким образом, это может поддерживать несколько методов. Для создания, короче говоря, не используют его. Безопасность можно считать поврежденной в наше время.

L2TP/IPsec

Уровень 2. протокола туннелирования (L2TP) не обеспечивает шифрование отдельно также. Это обеспечивается IPsec вместо этого. Это - хорошо поддерживаемая конфигурация в средах Windows. Конфигурирование его на Linux может иногда быть неприятным, но это мог бы быть Ваш лучший выбор, так как Ваши клиенты запускают Windows.

OpenVPN

Выборка из Википедии:

Это использует пользовательский протокол системы защиты, который использует SSL/TLS для ключевого обмена. Это способно к пересечению преобразователей сетевых адресов (NATs) и брандмауэров.

при конфигурировании OpenVPN можно выбрать между созданием адаптера бочки или адаптера касания.

Адаптер бочки работает на уровне 3, что означает, что можно присвоить ему IP и думать о нем как маршрутизатор следующего перехода для сети VPN позади туннеля.
Адаптер касания работает на уровне 2, таким образом, можно объединить оба конца в той же сети. Это может быть действительно полезно при необходимости в запросах/ответах ARP (или какая-либо широковещательная передача уровня 2) для достижения другого конца туннеля VPN. Оборотная сторона: больше использования пропускной способности.

Это - самая легкая конфигурация и должно удовлетворить большинство потребностей на средах GNU/Linux.

2. Настройте сервер

Это зависит, конечно, выбора, который Вы сделали прежде. Вместо того, чтобы отправить полную пошаговую демонстрацию, позвольте мне указать на Вас некоторые полезные руководства:

PPTP - Установка сервера PPTP в Сервере Ubuntu 12.4. Не должно очень отличаться для текущей версии.
L2TP/IPsec - Здесь необходимо настроить 2 подсистемы: частью IPsec управляет Openswan, но мог управлять другой как strongSwan или ipsec-инструменты. 3 подобных руководства для Вас для выбора: Сервер Ubuntu 12.4, Сервер Ubuntu 14.04 и универсальный. Все они полагаются на Openswan.
OpenVPN - это - безусловно более легкий путь, но имеет тяжелый недостаток: никакая собственная поддержка окон. Это не огромная проблема, потому что она поддерживается в Windows также, но его установка не таким образом бесшовная. У Вас есть замечательный гид в Общественной Справке Wiki.

Кроме того, Вы столкнетесь с другой проблемой: как клиенты аутентифицируют себя, PSK или PKI?

Предобщий ключ (PSK): Если у Ваших клиентов есть динамический дюйм/с, или Вы хотите, чтобы они смогли переместиться свободно и все еще смочь соединиться с Вашим сервером, все клиенты должны будут совместно использовать тот же PSK. Это означает (по крайней мере, при работе с решением IPsec), который сервер не сможет отличить, кто то, кто (при конфигурировании туннеля).
Инфраструктура открытых ключей (PKI): это - сложная конфигурация с одним сертификатом на клиент и Корень CA для управления их всех (или ПОДАВАРИЯ). На всякий случай Вы выбираете сертификаты, позволяете мне указать на Вас на другой ресурс.

3. Настройте клиенты

Просто, потому что PPTP и L2TP/IPsec являются собственным компонентом Windows, это не означает, что Вы не столкнетесь с проблемой.

PPTP является видом наследия, у Вас не должно быть проблем с этим.
L2TP/IPsec: необходимо будет скопировать Корневой сертификат и настроить соединение, чтобы использовать его или настроить PSK IPsec
OpenVPN: установка Windows должна быть довольно простой, но она "должна" быть выполнена как администратор. Если Вы не хотите, или это не опция, возможно работать как неадминистратор.

Заключение

Не используйте PPTP.
Даже если L2TP/IPsec может быть лучшим выбором для сред Windows, конфигурация сверхуничтожения и установка могут мешать Вам считать это выполнимым. Не говоря уже об обоюдоостром преимуществе собственных протоколов Windows: клиентский не всегда благоприятно для Linux.
OpenVPN не является стандартным решением, но легко установить и настроить, это вполне расширяется в мире Linux и существует много поддержки и в сообществах Linux и в Windows.

как создать VPN-сервер

2 ответа

1. Выберите свою технологию

PPTP

L2TP/IPsec

OpenVPN

2. Настройте сервер

3. Настройте клиенты

Заключение

Другие вопросы по тегам:

Похожие вопросы: