Цель: я хочу иметь возможность безопасно пользоваться Интернетом через домашний компьютер, когда мой ноутбук подключен к открытой точке доступа / точке доступа.
Я знаю, что могу использовать туннель SSH / SOCKS proxy, но я не хочу возиться с приложениями (заставляя их использовать его, если вообще возможно). Я предполагаю, что мне нужна установка OpenVPN, поэтому я ищу подробное руководство по:
Установка и настройка сервера OpenVPN. Установка клиента OpenVPN (NetworkManager)Версия Ubuntu, над которой должны работать, - 10.10 и 11.04.
я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault:
Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.
во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.
во-первых, установить openvpn сервер. Это так же легко, как [ф20]. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].
сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.
этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.
официальная документация предполагает делать администрация в [ф22]. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.
[dиода d17] создать справочник администрации и скопируйте файлы в нем: [Ф1] редактировать параметры по умолчанию в [ф23] по мере необходимости, например, установка [ф24] потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: [Ф2] если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите [ф26], а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых [ф28]. [Ф3] создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [ф30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: [Ф4] когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке [ф35]: [f36 В] И [фунции f37]. [!dиода d17]создать официальная документация параметр:
[ф5]за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:
[ф6]полученный файл ([ф39]) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.
[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем: [Ф1]создать справочник администрации и скопируйте файлы в нем:
[ф8] редактировать значения по умолчанию в [ф23] по мере необходимости, например, установка [ф24] потому, что вы параноик. создать сертификат клиента [ф41] и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений.если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:
[о d54]создать справочник администрации и скопируйте файлы в нем:
[ф8] скопировать файлы [f45 с], server.crt, ca.crt и dh1024.pem (или dh2048.pem если вы изменили Размер ключа) из каталога ключей в [ф50]. Разрешение 400 (чтение только для владельца) в порядке. [ф11] загрузить переменные и создать раздел каталога с помощью команды: [Ф2] создать сертификат клиента [ф41] и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите [ф26], а затем . vars снова. [!о d54]по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.
создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:
[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.
[ф15]помимо IP-адрес сервера, администратор должен сдать следующие файлы:
Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):
server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)[от f60] в репозиторий Вселенной.
типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого. [кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80] [ф16]в передовые:
[f17 в]если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:
[ф18]если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:
чтобы начать это подключение, запустите:
[зг19]я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault:
Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.
во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.
во-первых, установить openvpn сервер. Это так же легко, как sudo apt-get install openvpn. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].
сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.
этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.
официальная документация предполагает делать администрация в /etc/openvpn. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.
[dиода d17] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
редактировать параметры по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: . vars
если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых ca.crt. ./clean-all
создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [f30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: ./build-key-server server
когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке keys: [f36 В] И [fунции f37]. [!dиода d17] создать официальная документация параметр:
./build-dh
за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:
openvpn --genkey --secret ta.key
полученный файл (ta.key) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.
[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
создать справочник администрации и скопируйте файлы в нем:
. vars
редактировать значения по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:
[о d54]создать справочник администрации и скопируйте файлы в нем:
. vars
скопировать файлы [f45 с], server.crt, ca.crt и dh1024.pem (или dh2048.pem если вы изменили Размер ключа) из каталога ключей в /etc/openvpn. Разрешение 400 (чтение только для владельца) в порядке. sudo cp ~/openvpn-admin/easy-rsa/keys/{server.key,server.crt,ca.crt,dh*.pem} /etc/openvpn
sudo chmod 400 /etc/openvpn/{server.key,server.crt,ca.crt}
загрузить переменные и создать раздел каталога с помощью команды: . vars
создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. [!о d54] по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.
создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:
[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.
sudo apt-get install openvpn network-manager-openvpn
помимо IP-адрес сервера, администратор должен сдать следующие файлы:
Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):
server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)[от f60] в репозиторий Вселенной.
типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого. [кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80]client
dev tap
proto udp
# replace 1.2.3.4 by your server IP
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert you.crt
key you.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
user nobody
group nogroup
verb 3
mute 20
в передовые:
[f17 в]если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:
sudo /etc/init.d/openvpn start client
если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:
чтобы начать это подключение, запустите:
[зг19]я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault:
Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.
во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.
во-первых, установить openvpn сервер. Это так же легко, как sudo apt-get install openvpn. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].
сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.
этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.
официальная документация предполагает делать администрация в /etc/openvpn. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.
[dиода d17] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
редактировать параметры по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: . vars
если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых ca.crt. ./clean-all
создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [f30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: ./build-key-server server
когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке keys: [f36 В] И [fунции f37]. [!dиода d17] создать официальная документация параметр:
./build-dh
за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:
openvpn --genkey --secret ta.key
полученный файл (ta.key) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.
[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
создать справочник администрации и скопируйте файлы в нем:
. vars
редактировать значения по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:
[о d54]создать справочник администрации и скопируйте файлы в нем:
. vars
скопировать файлы [f45 с], server.crt, ca.crt и dh1024.pem (или dh2048.pem если вы изменили Размер ключа) из каталога ключей в /etc/openvpn. Разрешение 400 (чтение только для владельца) в порядке. sudo cp ~/openvpn-admin/easy-rsa/keys/{server.key,server.crt,ca.crt,dh*.pem} /etc/openvpn
sudo chmod 400 /etc/openvpn/{server.key,server.crt,ca.crt}
загрузить переменные и создать раздел каталога с помощью команды: . vars
создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. [!о d54] по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.
создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:
[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.
sudo apt-get install openvpn network-manager-openvpn
помимо IP-адрес сервера, администратор должен сдать следующие файлы:
Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):
server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)[от f60] в репозиторий Вселенной.
типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого. [кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80]client
dev tap
proto udp
# replace 1.2.3.4 by your server IP
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert you.crt
key you.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
user nobody
group nogroup
verb 3
mute 20
в передовые:
[f17 в]если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:
sudo /etc/init.d/openvpn start client
если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:
чтобы начать это подключение, запустите:
[зг19]я уже несколько месяцев назад на точный вопрос, но кроме того, я хотел иметь подключение к IPv6, если это возможно. Вы можете быть заинтересованы в моих вопросах на Serverfault:
Как настроить openvpn для доступа в Интернет с одной сетевой карты? Как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство?я только одного сетевого адаптера ("сетевой интерфейс") на моем сервере для использования. В моей установке, networkmanager был не достаточно, потому что мне нужно запустить специальный скрипт для поддержки IPv6. Для простоты, однако, я буду использовать здесь networkmanager и опустить поддержка IPv6.
во-первых, просто принять решение о методе проверки подлинности. Я буду использовать более безопасный способ сертификат, который работает SSL, например: во время рукопожатия выбрали общий секрет, который будет использоваться для сеанса. Другие методы общий ключ; имя пользователя и пароль.
во-первых, установить openvpn сервер. Это так же легко, как sudo apt-get install openvpn. Самой сложной частью является настройка его. Конфигурация присутствует в [клавиши f21].
сервер нужны сертификаты для идентификации себя и своих клиентов. Эти сертификат извлекаются из центра сертификации (Общие полномочия). Создание сертификатов и закрытых ключей, связанных с можно сделать на любой машине, это не должно быть сделано на сервере. Если вы действительно параноик, вы должны сделать его на компьютере, который не подключен к сети, и использовать флешку для переноса сертификатов.
этот шаг надо сделать один раз, если ваш закрытый ключ ЦС переврали. В этом случае действительные сертификаты могут быть созданы, которые будут приняты сервером, в результате чего происходит нарушение безопасности.
официальная документация предполагает делать администрация в /etc/openvpn. Я не большой поклонник работает все, как корень, так что я положил его в другой каталог.
[dиода d17] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
редактировать параметры по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. Загрузить переменные и создать раздел каталога с помощью команды: . vars
если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. Если это ваш первый раз, используя этот центр сертификации, подготовить среду ключи. Не выполняйте эту команду, если вы хотите сохранить ранее созданную Калифорния. Это потребует развертывания новых ca.crt. ./clean-all
создать центр сертификации путем выполнения ./build-ca. Вы можете заполнить какие-либо подробности в Вы хотите, но учтите, что эта информация будет видна в файлах журнала, когда клиенты подключаются к серверу. При этом будут созданы файлы [f30 и ф31] в папке [f32 из]. Сохранить ca.key файл секрет при любых обстоятельствах. Невыполнение этого требования позволит никому с ключом для подключения к вашему серверу. Если у вас есть предыдущий сертификат, который потерян или просрочен, нужно аннулировать старую сначала с ./revoke-full server. В противном случае вы получите ошибку базы данных. Создать сертификат для сервера с помощью команды: ./build-key-server server
когда просят пароль, оставьте это поле пустым, если Вы не хотите вводить пароль при каждом запуске сервера (не рекомендуется). Подтверждения о подписании сертификата и его совершении. Две новые файлы появятся в папке keys: [f36 В] И [fунции f37]. [!dиода d17] создать официальная документация параметр:
./build-dh
за советы закаливания, использовать tls-auth. Для этого сгенерировать общий секретный ключ, используя:
openvpn --genkey --secret ta.key
полученный файл (ta.key) должны быть распространены на клиентов, а также, но Вы не должны положить его в общественных местах.
[и D40]создать сертификаты для клиентов[!и D40] [dрайвер d41]для каждого клиента, эти шаги должны быть повторены:[!dрайвер d41] создать справочник администрации и скопируйте файлы в нем:mkdir ~/openvpn-admin
cd ~/openvpn-admin
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ ./easy-rsa
cd easy-rsa
создать справочник администрации и скопируйте файлы в нем:
. vars
редактировать значения по умолчанию в vars по мере необходимости, например, установка KEY_SIZE=2048 потому, что вы параноик. создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если ты пропустил ЦС создания шаг, потому что вы уже одна, вам нужно загрузить переменные из первых:
[о d54]создать справочник администрации и скопируйте файлы в нем:
. vars
скопировать файлы [f45 с], server.crt, ca.crt и dh1024.pem (или dh2048.pem если вы изменили Размер ключа) из каталога ключей в /etc/openvpn. Разрешение 400 (чтение только для владельца) в порядке. sudo cp ~/openvpn-admin/easy-rsa/keys/{server.key,server.crt,ca.crt,dh*.pem} /etc/openvpn
sudo chmod 400 /etc/openvpn/{server.key,server.crt,ca.crt}
загрузить переменные и создать раздел каталога с помощью команды: . vars
создать сертификат клиента you.key и соответствующий сертификат you.crt: [F9] и в CommonName должно быть уникальным. Оставить пустой пароль, если вы используете KDE, так как это не поддерживается по состоянию на 10.10. Как с генерацией сертификата сервера, подтвердить подписание сертификата и внесения изменений. если вы получаете сообщение об ошибке, что [f25 привод датчика] запустите ln -s openssl-1.0.0.cnf openssl.cnf, а затем . vars снова. [!о d54] по умолчанию openvpn работает как корень, когда принимать соединения. Не очень хорошая идея, если услуга занимает от злого Интернета.
создать файл /etc/openvpn/server.conf и поместить следующие строки в нем:
[г70] Как настроить openvpn для доступа в Интернет с одной сетевой карты? server.crt: для проверки сервера и общение с ним как я могу настроить openvpn с IPv4 и IPv6 с помощью крана устройство? you.crt: идентифицировать себя с сервера you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца) [!г70]если вы создали сертификатов на сервер, это хорошая идея, чтобы зашифровать его или переместить его с сервера. В любом случае, не теряйте ca.key и server.key. В первом случае другие пользователи смогут подключиться к вашему серверу. В последнем случае закаливание советы возможно.
sudo apt-get install openvpn network-manager-openvpn
помимо IP-адрес сервера, администратор должен сдать следующие файлы:
Устанавливаем openvpn и через networkmanager плагин (подходит для KDE и GNOME):
server.crt: для проверки сервера и взаимодействовать с ней типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) you.crt: идентифицировать себя с сервера сертификат пользователя: путь к you.crt you.key: это как пароль, права доступа к файлам должен быть 400 (чтение только для владельца)[от f60] в репозиторий Вселенной.
типа: "сертификаты (СС)" (GNOME) или "сертификат X. 509" (в KDE) использовать сжатие данных ЛЗО: включено сертификат пользователя: путь к you.crt использовать водопроводную устройства: Шифр включено: проверка подлинности по умолчанию КСОМ: использовать TLS по умолчанию проверка подлинности: включено укажите путь к имеющемуся ключевому файлу для [64-го фокуса] и выберите "ключевым направлением", чтобы [камера f65]. (тодо - проверить его) сервера раздвигает шлюз по умолчанию весь трафик идет через VPN-соединение. В последний раз я проверил, сети-менеджер-плагин для openvpn не сделал этого. [кадрах, снятых D80]на панели управления, используйте следующие детали:[!кадрах, снятых D80]client
dev tap
proto udp
# replace 1.2.3.4 by your server IP
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert you.crt
key you.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
user nobody
group nogroup
verb 3
mute 20
в передовые:
[f17 в]если Вы не можете сделать networkmanager не работает или не хотите использовать его, положить файлы (ca.crt, ...) в /etc/openvpn и создать файл [f68 не]:
sudo /etc/init.d/openvpn start client
если Вы не хотите, чтобы включить этот VPN на время загрузки, редактирования /etc/default/openvpn и раскомментируйте следующую строку, удалив [р70]:
чтобы начать это подключение, запустите:
[зг19]Вам действительно не нужно возиться с любыми приложениями. Это работает так же, как VPN.
Сначала установите пакет tsocks (временные носки):sudo apt-get install tsocks
Затем отредактируйте /etc/tsocks.conf и введите server = 127.0.0.1
server_port = 3333
. Теперь откройте терминал и введите (это связывает вас): ssh -ND 3333 ssh.url.to.your.home.machine
Запуск ( через другой терминал или ALT-F2): tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Он работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
Вам действительно не нужно возиться с любыми приложениями. Это работает так же, как VPN.
Сначала установите пакет tsocks (временные носки):sudo apt-get install tsocks
Затем отредактируйте /etc/tsocks.conf и введите server = 127.0.0.1
server_port = 3333
. Теперь откройте терминал и введите (это связывает вас): ssh -ND 3333 ssh.url.to.your.home.machine
Запуск ( через другой терминал или ALT-F2): tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Он работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
Вам действительно не нужно возиться с любыми приложениями. Это работает так же, как VPN.
Сначала установите пакет tsocks (временные носки):sudo apt-get install tsocks
Затем отредактируйте /etc/tsocks.conf и введите server = 127.0.0.1
server_port = 3333
. Теперь откройте терминал и введите (это связывает вас): ssh -ND 3333 ssh.url.to.your.home.machine
Запуск ( через другой терминал или ALT-F2): tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Он работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
Вам действительно не нужно возиться с любыми приложениями. Это работает так же, как VPN.
Сначала установите пакет tsocks (временные носки):sudo apt-get install tsocks
Затем отредактируйте /etc/tsocks.conf и введите server = 127.0.0.1
server_port = 3333
. Теперь откройте терминал и введите (это связывает вас): ssh -ND 3333 ssh.url.to.your.home.machine
Запуск ( через другой терминал или ALT-F2): tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Он работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
На самом деле вам не нужно возиться с любыми приложениями. Это работает так же, как VPN.
tsocks
(временные носки): sudo apt-get install tsocks
/etc/tsocks.conf
и введите server = 127.0.0.1 server_port = 3333
ssh -ND 3333 ssh.url.to.your.home.machine
tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Это работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
На самом деле вам не нужно возиться с любыми приложениями. Это работает так же, как VPN.
tsocks
(временные носки): sudo apt-get install tsocks
/etc/tsocks.conf
и введите server = 127.0.0.1 server_port = 3333
ssh -ND 3333 ssh.url.to.your.home.machine
tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Это работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
На самом деле вам не нужно возиться с любыми приложениями. Это работает так же, как VPN.
tsocks
(временные носки): sudo apt-get install tsocks
/etc/tsocks.conf
и введите server = 127.0.0.1 server_port = 3333
ssh -ND 3333 ssh.url.to.your.home.machine
tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Это работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
Решение SSH-туннеля проще, чем вы думаете. Программа gSTM запускает / останавливает туннели для вас с помощью графического интерфейса. Затем просто откройте «Сетевой прокси» и измените его с «Прямое подключение к Интернету» на «Ручная настройка прокси», нажмите «Применить в системном масштабе», и все ваши приложения должны отправлять свои данные по туннелю - нет необходимости возиться с каждым отдельно.
На самом деле вам не нужно возиться с любыми приложениями. Это работает так же, как VPN.
tsocks
(временные носки): sudo apt-get install tsocks
/etc/tsocks.conf
и введите server = 127.0.0.1 server_port = 3333
ssh -ND 3333 ssh.url.to.your.home.machine
tsocks firefox
Теперь Firefox передает все сообщения через сервер SOCKS на вашем компьютере, созданный SSH. Это дополнительно туннелируется на вашей домашней машине, где она идет в Интернет. Все, что вам нужно на вашей домашней машине, - это SSH-сервер. После первого раза просто повторите шаги 3 и 4.
Это работает как шарм! Увы, хром не любит tsocks, но эй, Firefox работает.