כך הגדרת שרת VPN משלך

אתה נתקל בשרתי VPN בעיקר בעולם הארגוני: הם מאפשרים לעובדים לגשת בבטחה לרשת החברה בכביש או מהבית. עם זאת, שרת VPN יכול גם להיות שימושי כשאתה בדרכים בעצמך ורוצה לגשת לאינטרנט בצורה בטוחה יותר, או לגשת לקבצים ברשת הביתית שלך.

טיפ 01: פרוטוקולי VPN

יש הרבה שירותי VPN ובחלקם אתה יכול להשתמש בחינם גם ללא יותר מדי הגבלות, כגון ProtonVPN. באמצעות תוכנת לקוח במכשיר הנייד או במחשב שלך אתה מתחבר לאחד משרתי ה- VPN המוצעים, ולאחר מכן תוכל להמשיך באינטרנט באמצעות שרת כזה.

הגישה של מאמר זה שאפתנית יותר: אנו הולכים להקים שרת VPN משלנו ברשת הביתית שלנו. Vpn מייצג רשת פרטית וירטואלית (נקראת גם הולנדית פרטית וירטואלית) וזה אומר שאתה מחבר רשתות המופרדות פיזית זו מזו. חיבור כזה פועל בדרך כלל דרך האינטרנט וזו לא בדיוק הסביבה הבטוחה ביותר. זו הסיבה שכל תעבורת הנתונים מוצפנת באמצעות חיבור VPN כזה: נוצרת מנהרה וירטואלית בין שתי הרשתות, כביכול.

קיימים מספר פרוטוקולי VPN, כולל pptp, sstp, ikev2, l2tp / ipsec, OpenVPN ו- WireGuard. האחרון מבטיח מאוד, אך עדיין נמצא בפיתוח ועדיין לא נתמך באופן נרחב. אנו בוחרים כאן ב- OpenVPN מכיוון שהיא קוד פתוח, יש לה הצפנה חזקה והיא זמינה כמעט בכל הפלטפורמות.

כרגע, OpenVPN עדיין נתפס כפרוטוקול ה- VPN הטוב יותר

נתב

למעשה, הנתב שלך הוא המקום הטוב ביותר להתקין שרת VPN ברשת הביתית שלך. אחרי הכל, כל תעבורת הנתונים מאתרי האינטרנט שאתה מבקר בכביש תעבור תחילה דרך שרת ה- VPN שלך. אם זה הנתב שלך, התנועה תחזור מיד למכשיר הנייד שלך. אם שרת ה- VPN שלך נמצא ב- NAS או PC, תחילה על תעבורת הנתונים לעבור מהנתב שלך למכשיר זה ומשם חזרה לנתב שלך. שלב ביניים נוסף, אך בפועל לא תבחינו בעיכוב זה הרבה.

למרבה הצער, לנתבי בית נפוצים רבים אין אפשרות להגדיר שרת VPN. אם הנתב שלך אכן חסר שירות VPN, הקושחה של DD-WRT עשויה להציע דרך החוצה. גלוש כאן והזן את דגם הנתב שלך. עם מזל, כן יגיד בעמודה הנתמכת ותוכל להוריד את קובץ הקושחה כדי להבהב את הנתב שלך. שימו לב, אתם מבצעים פעולה כל כך רגישה לחלוטין על אחריותכם בלבד! לחץ כאן לקבלת הוראות.

טיפ 02: התקנה על nas

ראשית נראה לך כיצד להתקין שרת OpenVPN ב- NAS. יצרני NAS ידועים כמו QNAP ו- Synology מציעים אפליקציה משלהם להוספת שרת VPN. אנו בוחנים כיצד לעשות זאת ב- NAS Synology עם גרסה עדכנית של DiskStation Manager (DSM). צור חיבור לממשק האינטרנט של DSM, כתובת ברירת המחדל היא: 5000 או: 5001.

פתח את מרכז החבילות , מצא את אפליקציית שרת ה- VPN תחת כל החבילות ולחץ על התקן . לאחר ההתקנה, לחץ על פתח : השרת יכול להתמודד עם מספר פרוטוקולי VPN, PPTP, L2TP / IPSec ו- OpenVPN מופיעים ברשימה . באופן עקרוני הם יכולים אפילו להיות פעילים במקביל, אך אנו מגבילים את עצמנו לפרוטוקול OpenVPN. לחץ על OpenVPN וסמן הפעל שרת OpenVPN. הגדר כתובת IP פנימית וירטואלית עבור שרת ה- VPN שלך. כברירת מחדל זה מוגדר ל- 10.8.0.1, מה שאומר שלקוחות ה- VPN בעצם יקבלו כתובת בין 10.8.0.1 ל- 10.8.0.254. תוכלו לבחור בין טווח IP בין 10.0.0.1 ל- 10.255.255.1, בין 172.16.0.1 ל- 172.31.255.1 ובין 192.168.0.1 ל- 192.168.255.1. ודא שהטווח אינו חופף לכתובות IP המשמשות כרגע ברשת המקומית שלך.

באפשרותך להתקין שרת OpenVPN במכשירי nas מסוימים

טיפ 03: בחירת פרוטוקול

באותו חלון תצורה אתה מגדיר גם את המספר המרבי של חיבורים בו זמנית, כמו גם את היציאה והפרוטוקול. כברירת מחדל, היציאה היא 1194 והפרוטוקול UDP , שהוא בדרך כלל בסדר. אם כבר פועל בשירות זה יציאה אחרת, תגדיר כמובן מספר יציאה אחר.

יתר על כן, אתה יכול גם לבחור tcp במקום udp. ל- Tcp יש תיקון שגיאות מובנה ובודק שכל ביט הגיע נכון. זה מספק יציבות חיבור רבה יותר, אך מעט איטי יותר. לעומת זאת, Udp הוא 'פרוטוקול חסר מדינה' ללא תיקון שגיאות, מה שהופך אותו למתאים יותר לשירותי סטרימינג, כאשר אובדן מספר ביטים בדרך כלל פחות חמור.

העצה שלנו: נסה קודם את ה- UDP. לחלופין, תוכלו להתחיל להתנסות לאחר מכן ולבחור, למשל, את יציאת TCP 8080, או אפילו את יציאת https 443 מכיוון שאלה בדרך כלל חסומים פחות מהר על ידי חומת אש (חברה). זכור כי אתה עדיין צריך להגדיר את הפרוטוקול הנבחר בהגדרות העברת יציאות (ראה טיפ 5).

בדרך כלל ניתן להשאיר את האפשרויות האחרות בחלון התצורה ללא פגע. אשר את הבחירות שלך באמצעות החל .

טיפ 04: תצורת תצוגה

בתחתית החלון תמצא את כפתור תצורת התצוגה . פעולה זו מייצאת קובץ zip שפורק ומייצר גם אישור (.crt) וגם פרופיל תצורה (.ovpn). אתה זקוק לקובץ ovpn עבור לקוחות OpenVPN שלך (ראה גם טיפים 6 עד 8). פתח את קובץ ovpn עם התוכנית Notepad. בשורה (השלישית), החלף את הכינוי YOUR_SERVER_IP בשלט רחוק YOUR_SERVER_IP 1194לפי כתובת ה- IP החיצונית של הנתב שלך והייעוד 1194 לפי היציאה שהגדרת בחלון התצורה של OpenVPN. דרך מהירה לגלות כתובת IP חיצונית זו היא כאשר אתה עובר מהרשת הפנימית שלך לאתר כמו www.whatismyip.com (ראה תיבה 'Ddns'). תוכל גם להחליף כתובת IP זו בשם מארח, כגון זה של שירות ddns (ראה אותה תיבה).

קצת יותר רחוק בקובץ ovpn תראה את השורה # redirect-gateway def1. כאן אתה מסיר את הגיבוב, אז def1 של שער הפניה מחדש. אפשרות זו מבטיחה שבעצם כל תעבורת הרשת מנותבת מעבר ל- VPN. אם זה גורם לבעיות, אפס את השורה המקורית. מידע נוסף על כך (ועל בעיות טכניות אחרות של OpenVPN) ניתן למצוא כאן.

שמור את הקובץ הערוך עם אותה סיומת.

Ddns

מבחוץ בדרך כלל אתה ניגש לרשת הביתית שלך באמצעות כתובת ה- IP הציבורית של הנתב שלך. תגלה את הכתובת הזו כשאת גולשת מהרשת שלך לאתר כמו www.whatismyip.com. רוב הסיכויים שהספק שלך הקצה את כתובת ה- IP הזו באופן דינמי, כך שאין לך שום אחריות שכתובת IP זו תמיד תישאר זהה. זה מעצבן אם אתה רוצה להגיע באופן קבוע לרשת שלך (ולשרת OpenVPN שלך) מבחוץ.

שירות dns דינמי (ddns) מציע דרך אפשרית. זה מבטיח כי שם דומיין קבוע מקושר לכתובת IP זו וברגע שהכתובת משתנה, הכלי ה- ddns המשויך (הפועל באופן מקומי איפשהו ברשת שלך, למשל בנתב, ב- NAS או במחשב האישי שלך) מגלה את הכתובת החדשה שירות ה- ddns, שמעדכן מיד את הקישור. אחד מספקי ה- DVD החינמיים הגמישים ביותר הוא Dynu.

טיפ 05: העברת נמל

תופיע הודעה המורה לך לבדוק את הגדרות העברת הנמל ואת חומת האש ביחס ליציאה המוגדרת (תקן 1194 udp).

אנחנו מתחילים עם חומת האש. אתה אמור לגשת לשרת OpenVPN דרך יציאת udp 1194 ואז עליך להיות בטוח שחומת האש שלך לא חוסמת יציאה זו. אתה יכול למצוא את חומת האש ב- NAS שלך דרך כרטיסיית לוח הבקרה / אבטחה / חומת אש . כאשר חומת האש מופעלת, בדוק באמצעות כפתור עריכת הכללים אם היציאה המדוברת אינה נעולה. זה חל גם על חומת האש בנתב שלך, אם היא מופעלת.

הרעיון של העברת נמל מורכב יותר. אם ברצונך להגיע לשרת OpenVPN שלך מחוץ לרשת הפנימית שלך, תצטרך להשתמש בכתובת ה- IP הציבורית של הנתב שלך. כאשר אתה מבקש חיבור OpenVPN עם יציאת UDP 1194 דרך כתובת IP זו, על הנתב שלך לדעת לאיזה מכונה עליו להעביר את הבקשה לתעבורת נמל זו, שהיא במקרה שלנו כתובת ה- IP הפנימית של ה- NAS שלך.

עיין במדריך של הנתב שלך כדי לברר כיצד להגדיר העברת יציאות כהלכה, או בקר בכתובת http://portforward.com/router לקבלת הוראות נוספות.

באופן כללי זה הולך ככה: היכנס לממשק האינטרנט של הנתב שלך, חפש כותרת (תת) כמו העברת יציאות והוסף פריט עם המידע הבא: שם היישום, כתובת ה- iP של ה- nas, יציאה פנימית, חיצוני יציאה ופרוטוקול. לדוגמה, זה יכול להיות: OpenVPN, 192.168.0.200, 1194, 1194, UDP. אשר את השינויים שלך.

שרת OpenVPN שלך עשוי לדרוש עבודת מפתח מסוימת בחומת האש ובנתב

שרת OpenVPN נפרד

אם אין לך NAS והנתב שלך לא תומך ב- OpenVPN, אתה עדיין יכול להגדיר שרת OpenVPN כזה בעצמך במחשב עם לינוקס או Windows.

הליך כזה הוא די מסובך. אתה צריך לעבור שלבים שונים וגם תחת Windows זה נעשה בעיקר משורת הפקודה. לאחר התקנת תוכנת שרת OpenVPN (ראו טיפ 8) עליכם ליצור אישור CA, ואחריו יצירת אישורים לשרת ולקוחות OpenVPN הדרושים. אתה צריך גם מה שמכונה פרמטרים של DH (Diffie-Hellman) וכן מפתח TLS (אבטחת שכבת תחבורה). לבסוף, גם כאן עליכם ליצור ולשנות קבצי ovpn, ולוודא שהשרת שלכם מאפשר את התעבורה הדרושה.

באמצעות קישור זה תוכלו למצוא תוכנית שלב אחר שלב עבור Windows 10, עבור אובונטו באמצעות קישור זה.

טיפ 06: פרופיל לקוח נייד

הגדרת שרת OpenVPN היא צעד ראשון, אך לאחר מכן עליכם להתחבר לשרת מלקוח VPN אחד או יותר (כגון המחשב הנייד, הטלפון או הטאבלט). אנו מתחילים בחיבור לקוח נייד.

הן עבור iOS והן עבור אנדרואיד, הגדרת חיבור עובדת בצורה הקלה ביותר עם אפליקציית לקוח OpenVPN כגון OpenVPN Connect בחינם . תוכלו למצוא אפליקציה זו בחנויות האפליקציות הרשמיות של Android ו- Apple.

אנו לוקחים את אנדרואיד כדוגמה. הורד והתקן את האפליקציה. לפני שתתחיל את האפליקציה, ודא שקובץ הפרופיל ovpn נמצא במכשיר הנייד שלך (ראה טיפ 4). במידת הצורך, תוכל לעשות זאת דרך עקיפה דרך שירות כגון WeTransfer או שירות אחסון ענן כגון Dropbox או Google Drive. התחל את OpenVPN Connect ובחר בפרופיל OVPN . אשר עם אפשר , עיין בקובץ ה- VPNconfig.ovpn שהורדת ובחר ייבא . אם ברצונך להוסיף פרופילים נוספים לאחר מכן, תוכל פשוט לעשות זאת באמצעות כפתור הפלוס.

טיפ 07: חבר לקוח

הזן שם מתאים חיבור VPN שלך ומלא את הפרטים הנכונים על שם משתמש ו סיסמא . פרטי הכניסה הללו חייבים כמובן לקבל גישה לשרת ה- VPN שלכם, ב- Synology NAS, לפתוח את קטע הזכויות בשרת VPN ולהציב סימן ליד המשתמש / ים המיועדים ב- OpenVPN . אתה יכול לבחור לזכור את הסיסמה, אם אתה מחשיב אותה כבטוחה מספיק. אשר באמצעות הוסף . הפרופיל נוסף, הקש עליו כדי להתחיל את החיבור.

ייתכן שהאפליקציה מתלוננת כי לקובץ הפרופיל אין אישור לקוח (יש לו אישור שרת), מכיוון ש- Synology NAS לא רק מייצר אותו. זה מעט פחות מאובטח מכיוון שלא אומת אם מדובר בלקוח מורשה, אך כמובן שאתה צריך את שם המשתמש והסיסמה כדי לקבל גישה בפועל. אז אתה יכול לבחור המשך כאן . יש להגדיר את החיבור מעט מאוחר יותר. תוכלו להבחין בכך בסמל המקשים בראש מסך ההתחלה.

טיפ 08: לקוח Windows

עבור Windows אתה מוריד את מתקין Windows 10 מ- OpenVPN GUI, יש גם גרסה עבור Windows 7 ו- 8 (.1). התקן את הכלי. אם בכוונתך להתקין שרת OpenVPN גם ב- Windows (ראה תיבה 'שרת OpenVPN נפרד'), סמן את התיבה לצד סקריפטים לניהול אישורים EasyRSA 2 במהלך ההתקנה . כשתתבקש, אפשר גם להתקין מנהל התקן TAP.

לאחר מכן תמצא את סמל ה- GUI של OpenVPN על שולחן העבודה שלך. אם לא, הפעל את התוכנית מתיקיית ההתקנה המוגדרת כברירת מחדל C: \ Program Files \ OpenVPN \ bin . ההתקנה צריכה להבטיח שלא תצטרך להפעיל את הכלי כמנהל. אם זה לא עבד מכל סיבה שהיא, לחץ לחיצה ימנית על קובץ התוכנית ובחר הפעל כמנהל .

כוון את התוכנית לקובץ פרופיל ovpn שלך (ראה טיפ 4). לחץ לחיצה ימנית על סמל ה- GUI של OpenVPN במגש המערכת של Windows ובחר ייבוא ​​קובץ , ואז בחר קובץ VPNConfig.ovpn. באותו תפריט, לחץ על התחבר והזן את פרטי הכניסה הדרושים. בחלון הסטטוס תוכלו לעקוב אחר הגדרת חיבור ה- VPN ותוכלו גם לקרוא את כתובת ה- IP שהוקצתה בתחתית.

אם נתקלת בבעיות, לחץ על הצג קובץ יומן בתפריט . כברירת מחדל, שירות OpenVPN מופעל יחד עם Windows: אתה יכול לעשות זאת באמצעות הגדרות, בכרטיסיה כללי . בדוק גם שחומת האש שלך אינה חוסמת את החיבור.