Vytvořte si vlastní VPN v pouhých 13 krocích: Kompletní kurz

Dnes vám představujeme kompletní průvodcejak si vytvořit vlastní VPN doma jen v několika relativně bezbolestných krocích. Náš návod vás provede procesem instalace a konfigurace vaší DIY VPN. Nenechte se zastrašit, nepotřebujete pokročilé kódovací dovednosti; postupujte podle našich pokynů krok za krokem a vy budete připraveni a provozujete výkonné připojení OpenVPN v žádném okamžiku.

Virtuální soukromé sítě získávají na popularitěi mezi těmi nejobvyklejšími uživateli internetu. Není žádným překvapením, protože jsou snadno ovladatelné, cenově dostupné a mají spoustu užitečných funkcí, které chrání vaše soukromí online. Místo registrace se službou VPN se však někteří lidé rozhodli nainstalovat a nakonfigurovat vlastní osobní VPN pomocí virtuálního soukromého serveru a OpenVPN.

Vytvoření vlastní sítě VPN však není snadné. Tento proces vyžaduje mnoho kroků a zahrnuje hodně práce na příkazovém řádku. Důrazně doporučujeme, abyste si před začátkem obeznámili své znalosti šifrovacích a příkazových příkazů nebo prostředí PowerShell.

Pokud jste na splnění úkolu, spusťtevlastní VPN vám může poskytnout úroveň soukromí, které prostě nemůže odpovídat služba třetí strany. Budete mít plnou kontrolu nad svými daty a budete si moci bezpečně prohlížet internet s vědomím, že nikdo vaši aktivitu špehuje.

Doporučené externí hostitele VPN

Než se ponoříme do podrobností o vytvoření vašehovlastní VPN, stojí za zmínku, že již existuje řada skutečně vynikajících služeb. Pokud nejste mocný uživatel s velmi specifickými požadavky, zjistíte, že následující služby VPN více než uspokojí vaše potřeby s minimálními problémy. Není třeba procházet zdlouhavými instalačními procesy nebo upravovat stránky konfiguračních souborů; jednoduše se zaregistrujte, nainstalujte a je dobré jít!

1. ExpressVPN

ExpressVPN je rychlý, snadno použitelný a neuvěřitelnězajistit. Společnost provozuje síť více než 3 000 serverů v 94 různých zemích, z nichž každý přináší neuvěřitelně vysoké rychlosti připojení po celém světě. Získáte silné 256bitové šifrování pro veškerý online provoz, stejně jako neomezenou šířku pásma, žádná omezení na torrent nebo P2P a přísnou politiku protokolování nula, která udržuje vaše data v naprostém bezpečí.

Přečtěte si naši úplnou recenzi ExpressVPN.

2. IPVanish

IPVanish je další vynikající volbou pro rychléa zabezpečené VPN. Tato služba přichází s úžasnými funkcemi ochrany osobních údajů, jako je 256bitové šifrování AES, ochrana proti úniku DNS a automatický přepínač zabíjení. To vše je podporováno zásadou nulování protokolování a absolutně bez omezení šířky pásma nebo rychlosti. IPVanish provozuje síť více než 1300 serverů v 60 různých zemích, což vám dává spoustu možností pro obcházení bloků cenzury a anonymní stahování torrent souborů.

Přečtěte si naši úplnou recenzi IPVanish.

Vytvořte si vlastní domácí VPN - Podrobný průvodce

Níže projdeme proces vytváření vašehovlastní VPN. Zatímco tento proces vyžaduje určité úsilí, válečníci pro kutily i ořechy na ochranu soukromí se budou radovat z převzetí plné kontroly nad jejich soukromí. Bez dalšího povyku, začněme.

Krok 1: Získejte vzdálený server, na kterém běží Ubuntu

Existuje celá řada služeb, které nabízejíškálovatelné možnosti virtuálního soukromého serveru, ale jednou z nejjednodušších a nejdostupnějších je digitální oceán. Společnost má fantastického průvodce instalací a konfigurací vlastního serveru Ubuntu 16.04, který byste měli dodržovat před zahájením zbývající části tohoto průvodce VPN. Po dokončení budete mít nakonfigurovaný server kapiček a připravený k provozu.

Krok 2: Nainstalujte OpenVPN

Se spuštěným serverem Ubuntu aprvním krokem bude instalace OpenVPN. Nejprve se přihlaste k serveru pomocí pověření uživatele pomocí příkazového řádku. Dále spusťte každý z následujících příkazů. To nainstaluje OpenVPN a balíček easy-rsa, který nám pomůže v dalším kroku.

Můžete zadat níže uvedené příkazy nebo je zkopírovat / vložit.

$ sudo apt-get update
$ sudo apt-get install openvpn easy-rsa

Krok 3: Nakonfigurujte adresář certifikační autority

Aby mohl OpenVPN šifrovat provoz a odesílatmezi zdroji musí být schopna používat důvěryhodné certifikáty. Obvykle pocházejí z externí certifikační autority (CA), ale protože je náš ekosystém VPN zcela uzavřený (provozujeme jej, spravujeme, pouze jej budeme používat), je možné na našem serveru Ubuntu nastavit jednoduchou autoritu CA .

Do příkazového řádku zadejte následující příkaz:

$ make-cadir ~/openvpn-ca

Dále přejděte do složky, kterou jste právě vytvořili. Pokud si nejste jisti, jak to provést, jednoduše zadejte do příkazového řádku následující příkaz:

$ cd ~/openvpn-ca

Krok 4: Konfigurace certifikační autority

Nyní připravíme náš CA s některými základními informacemi. Zadejte následující příkaz a stiskněte klávesu Enter. Otevře textový editor a zobrazí soubor vars:

$ nano vars

Většinu obsahu souboru vars nemusíte měnit. Přejděte dolů a vyhledejte následující řádky:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="My-Organization"
export KEY_EMAIL="[email protected]"
export KEY_OU="MyOrganizationalUnit"

Změňte řetězce v uvozovkách naodrážejí vaše vlastní informace. Dokud nebudou prázdné, budete v pořádku. Poté přejděte dolů a vyhledejte řádek KEY_NAME. Změňte řetězec tak, aby odpovídal následujícímu:

export KEY_NAME="server"

Uložte soubor a zavřete jej, prozatím jsme dokončili úpravy.

Krok 5: Vytvoření certifikační autority

Se zavedenými informacemi je čas vytvořit certifikační autoritu. Ujistěte se, že jste stále v adresáři CA, který jsme vytvořili dříve:

$ cd ~/openvpn-ca

Do příkazového řádku zadejte následující příkaz:

$ source vars

Pokud vše proběhlo hladce, mělo by se na obrazovce objevit něco jako následující:

POZNÁMKA: Pokud spustíte ./clean-all, budu dělat rm-rf na / home / sammy / openvpn-ca / keys

Vyčistěte prostředí zadáním následujícího:

$ ./clean-all

Nyní vytvořte kořenový CA:

$ ./build-ca

Řada výzev se objeví, zatímco váš server bude postupovat podle pokynů, které jste mu právě dali. Jednoduše stiskněte klávesu Enter na každé z nich, dokud se proces nedokončí.

Krok 6: Vytvoření šifrovacích souborů serveru

Se zavedenou certifikační autoritou můžeme nyní začít generovat skutečné šifrovací klíče. Začněte vytvořením certifikátu serveru OpenVPN spolu s jeho párem klíčů:

$ ./build-key-server server

Přijměte výchozí hodnoty, které server navrhuje. Nezapomeňte zadat „y“, když vás výstup požádá o potvrzení vytvoření certifikátu. Dále vytvoříme několik dalších různých souborů, které musí OpenVPN fungovat. Do příkazového řádku zadejte následující příkaz:

$ ./build-dh

Počkejte několik minut, než to bude dokončeno. Nebojte se, může to chvíli trvat. Poté vytvořte podpis pro posílení procesu ověřování zadáním následujícího:

$ openvpn --genkey --secret keys/ta.key

To je pro tento krok. Nemějte obavy, pokud některé z těchto příkazů nedávají velký smysl. Server potřebuje specializované nástroje, aby mohl vše zašifrovat a ověřit, a tento krok pomůže těm, kteří je zavedou.

Krok 7: Vytvoření klientského certifikátu

V tomto kroku vytvoříme certifikát a pár klíčů pro klienta (vaše zařízení), který bude použit při připojení. Do příkazového řádku jednoduše zadejte následující příkazy:

$ cd ~/openvpn-ca
$ source vars
$ ./build-key client1

Použijte výchozí nastavení, které výstup navrhuje, tím, že stisknete „enter“ na výzvu.

Krok 8: Konfigurace OpenVPN

Se všemi vytvořenými certifikáty a páry klíčů můžeme konečně začít nastavovat OpenVPN. Začneme přesunutím některých souborů, které jsme právě vytvořili, do složky „openvpn“:

$ cd ~/openvpn-ca/keys
$ sudo cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn

Nyní přidáme ukázkový konfigurační soubor, abychom jej mohli sami otevřít a upravit:

$ gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Po dokončení rozbalení otevřete konfigurační soubor následujícím způsobem:

$ sudo nano /etc/openvpn/server.conf

Při otevření souboru server.conf v editoru nano vyhledejte řádek, který odpovídá níže uvedenému textu:

;tls-auth ta.key 0 # This file is secret

Odstraňte středník ze začátku tohoto řádku a odkomentujte jej. Na řádek přímo pod ním přidejte následující:

key-direction 0

Přejděte a najděte sekci naplněnou šifry (klávesy). Zde si vybereme sílu našeho šifrování. Najděte řádek níže a odstraňte středník, abyste povolili 128bitové šifrování AES:

;cipher AES-128-CBC

Těsně pod tímto řádkem přidejte následující:

auth SHA256

Dále vyhledejte nastavení uživatele a skupiny a odstraňte středník, abyste je zrušili. Po dokončení by tyto řádky měly vypadat takto:

user nobody
group nogroup

I když máme server.conf soubor otevřít, můžeme také provést některé další změny pohodlí. Nejprve vyhledejte následující řádek a odstraňte středník, aby již nebyl přidán komentář. To umožňuje VPN směrovat veškerý váš provoz:

;push "redirect-gateway def1 bypass-dhcp"

Pod tímto řádkem uvidíte několik řádků označených jako možnost dhcp. Uvolněte je odstraněním středníku:

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Dále budete chtít změnit port, který OpenVPN používá. Výchozí hodnota je 1194, což je v pořádku pro většinu uživatelů a většinu instancí. Chystáme se o trochu větší použitelnost a přejdeme na port 443, zřídka blokovaný port, který vám poskytne lepší přístup k webu v omezujících prostředích tím, že vaši VPN zajistí až na nedetekovatelnou. Vyhledejte řádky „# Optional!“ A změňte port na 443:

# Volitelné!

port 443

Nyní změňte nastavení UDP na TCP:

# Volitelné!

proto tcp

Uložte soubor a zavřete jej.

Krok 9: Úprava nastavení sítě

V tomto kroku nakonfigurujeme OpenVPN tak, aby mohl předávat provoz, což je základní funkce jakékoli VPN. Začneme otevřením konfiguračního souboru a provedením některých úprav.

$ sudo nano /etc/sysctl.conf

Vyhledejte níže uvedený řádek a odeberte hash znak (číselný znak nebo #), čímž zrušíte nastavení:

# net.ipv4.ip_forward=1

Uložte a zavřete soubor a poté spusťte tento příkaz pro úpravu hodnot:

$ sudo sysctl -p

Now we"ll set the server"s firewall so it can properly manipulate traffic. The first thing to do is find the public network interface of our server machine. Type the following into the command prompt:
$ ip route | grep default

Výstup zobrazí řádek informací. Těsně za slovo „dev“ by mělo být jméno rozhraní. V níže uvedeném příkladu je tento název „wlp11s0“, i když vaše bude pravděpodobně jiné:

default via 203.0.113.1 dev wlp11s0  proto static  metric 600

Nyní upravíme soubor pravidel tak, abychom na příslušné místo přidali výše uvedený název. Začněte zadáním do příkazového řádku:

$ sudo nano /etc/ufw/before.rules

Vyhledejte blok textu začínající následující komentovanou frází:

# PRAVIDLA ZAČÁTEK OPENVPN

Pod tím uvidíte řádek, který začíná „-A POSTROUTING“. Zde zadejte název rozhraní shora a XXXX nahraďte správným textem:

-A POSTROUTING -s 10.8.0.0/8 -o XXXX -j MASQUERADE

Nyní uložte a zavřete soubor.

Další v seznamu říká našemu firewallu, aby předával pakety. Otevřete soubor brány firewall zadáním následujícího příkazu:

$ sudo nano /etc/default/ufw

Vyhledejte řádek označený „DEFAULT_FORWARD_POLICY“. Změňte „DROP“ na „ACCEPT“. Až budete hotovi, mělo by to vypadat takto:

DEFAULT_FORWARD_POLICY="ACCEPT"

Nyní uložte a zavřete soubor.

V poslední části tohoto kroku upravíme nastavení brány firewall tak, aby umožňovala provoz na OpenVPN. Do příkazového řádku zadejte následující příkazy pomocí nastavení portu, které jsme nakonfigurovali výše:

$ sudo ufw allow 443/tcp
$ sudo ufw allow OpenSSH

Nyní vypneme a znovu povolíme bránu firewall, aby načítala právě provedené změny. Do příkazového řádku zadejte každý z těchto příkazů:

$ sudo uwf disable
$ sudo uwf enable

Server je nyní nastaven tak, aby zvládal provoz OpenVPN, a vaše VPN je mnohem blíž připravenosti.

Krok 10: Spuštění služby OpenVPN

Díky většině základních konfigurací můžeme konečně spustit OpenVPN a uvést server do provozu. Začněte zadáním následujícího řádku do příkazového řádku:

$ sudo systemctl start openvpn@server

Zobrazí se obrazovka s výstupním textem. Druhý řádek označený „aktivní“ by měl říkat „aktivní (spuštěný) od…“ následovaný datem. Zadejte následující řádek, aby se OpenVPN automaticky spustil při každém spuštění serveru:

$ sudo systemctl enable openvpn@server

Krok 11: Konfigurace klienta

Nyní připravíme váš server k přijetíklienti, známí také jako vaše zařízení připojená k internetu. Většina těchto kroků souvisí s bezpečností a je navržena tak, aby zajistila, že se na váš server nedostane nic kromě vašeho vlastního počítače. Nejprve vytvoříme adresář, ve kterém budou uloženy soubory související s klienty, a poté změníme oprávnění, aby byl uzamčen:

$ mkdir -p ~/client-configs/files
$ chmod 700 ~/client-configs/files

Nyní zkopírujeme příklad konfiguračního souboru, abychom jej mohli upravit:

$ cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

Otevřete soubor v textovém editoru:

$ nano ~/client-configs/base.conf

Vyhledejte řádek, který začíná směrnicí „vzdálené“. Upravte jej tak, aby odrážel port, který jste vybrali výše, který by měl být 443:

remote server_IP_address 443

Změňte řádek pod označením „proto“ na „tcp“ a znovu nastavte možnosti, které jsme nastavili výše:

proto tcp

Najděte řádky „uživatel“ a „skupina“ a zrušte jejich odstranění odstraněním středníku:

user nobody
group nogroup

Vyhledejte řádky ca, cert a key a přidejte na začátek hash. Až budete hotovi, měli by vypadat takto:

#ca ca.crt
#cert client.crt
#key client.key

Změňte nastavení „šifra“ a „autor“ podle výše uvedených nastavení. Pokud jste postupovali podle tohoto průvodce, budou řádky vypadat takto, až budete hotovi:

cipher AES-128-CBC
auth SHA256

Dále kdekoli v souboru přidejte nový řádek a zadejte následující příkaz:

key-direction 1

Nakonec zkopírujte a vložte následující řádky s komentářem do dolní části souboru:

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

Uložte změny a ukončete editor.

Dalším krokem je vytvoření skriptu, který budekompilovat vše, co jsme právě udělali, konfigurační soubory, certifikáty, šifrovací klíče a vše. Začněte vytvořením souboru v adresáři ~ / client-configs s názvem „make_config.sh“ a poté jej otevřete pomocí nano. Vložte do skriptu následující kód:

#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
cat ${BASE_CONFIG} 
<(echo -e "<ca>") 
${KEY_DIR}/ca.crt 
<(echo -e "</ca>n<cert>") 
${KEY_DIR}/${1}.crt 
<(echo -e "</cert>n<key>") 
${KEY_DIR}/${1}.key 
<(echo -e "</key>n<tls-auth>") 
${KEY_DIR}/ta.key 
<(echo -e "</tls-auth>") 
> ${OUTPUT_DIR}/${1}.ovpn

Uložte soubor a ukončete. Poté vytvořte spustitelný soubor zadáním následujícího příkazu:

$ chmod 700 ~/client-configs/make_config.sh

Krok 12: Nastavení zařízení

Už jste skoro tam! V tomto kroku vytvoříme soubory, které řeknou serveru, jak komunikovat s klienty. Základní certifikáty jsme již vytvořili v předchozích krocích, nyní musíme pouze vytvořit konfigurace přesunutím věcí do nového adresáře. Použijte následující příkazy:

$ cd ~/client-configs
$ ./make_config.sh client1

Nyní přeneseme tyto konfigurační souborynaše zařízení. K tomu budete muset stáhnout klienta FPT, který je schopen připojení SFTP. Filezilla je bezplatný a otevřený zdrojový program, který funguje na operačních systémech Windows, Linux a Mac. Nainstalujte software a připojte se k serveru pomocí SFTP (ne prostého FTP) pomocí výše uvedených přihlašovacích údajů. Poté přejděte do následujícího adresáře na serveru:

/client-configs/files

Stáhněte soubor označený „client1.ovpn“. To obsahuje všechny informace, které bude potřeba lokální kopie OpenVPN připojit k vašemu serveru.

Nyní budete muset nainstalovat OpenVPN do počítače, smartphonu, tabletu a jakéhokoli jiného zařízení, které plánujete používat s VPN.

Okna:

• Stáhněte si OpenVPN a nainstalujte ji do počítače.
• Zkopírujte soubor client1.ovpn do instalačního adresáře OpenVPN a vložte jej do adresáře „config“.
• Klikněte pravým tlačítkem myši na zástupce OpenVPN na ploše a přejděte na „Vlastnosti“
• Klikněte na „Kompatibilita“ a poté na „Změnit nastavení pro všechny uživatele“
• V dalším okně zaškrtněte políčko Spustit tento program jako správce.
• Spusťte OpenVPN jako správce. Pokud se zobrazí varovné zprávy, přijměte je.
• Užijte si procházení webu pomocí vlastní virtuální soukromé sítě!

Mac:

• Stáhněte si a nainstalujte Tunnelblick, bezplatný a open source OpenVPN klient pro Mac.
• Když se instalace zeptá, zda máte nějaké konfigurační soubory, jednoduše řekněte „Ne“.
• Poté otevřete okno vyhledávače a dvakrát klikněte na „client1.ovpn“.
• Spusťte aplikaci Tunnelblick.
• Klikněte na ikonu v horním rohu obrazovky a vyberte „Připojit“
• Vyberte připojení „client1“.
• Užijte si svou osobní VPN!

Linux:

Nainstalujte OpenVPN pomocí následujících řádků příkazového řádku:

$ sudo apt-get update
$ sudo apt-get install openvpn

Nyní upravte konfigurační soubor, který jste stáhli v předchozím kroku:

$ nano client1.ovpn

Zrušte následující tři řádky:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Uložte a zavřete soubor. Nyní se můžete připojit k VPN pomocí následujícího příkazu:

$ sudo openvpn --config client1.ovpn

Android:

• Nainstalujte klienta OpenVPN pro Android.
• Přeneste client1.ovpn do svého zařízení, buď prostřednictvím připojení USB nebo prostřednictvím cloudového úložiště.
• Spusťte aplikaci OpenVPN a klepněte na tlačítko nabídky vpravo nahoře.
• Zvolte „Import“, přejděte do umístění souboru ovpn a importujte soubor
• Klepněte na tlačítko „Připojit“ z hlavní nabídky OpenVPN.

iOS:

• Nainstalujte OpenVPN pro iOS.
• Připojte zařízení iOS k počítači a zkopírujte soubor client1.ovpn do OpenVPN prostřednictvím iTunes.
• Odpojte a spusťte OpenVPN. Zobrazí se upozornění, že je k dispozici nový profil.
• Klepnutím na zelené znaménko plus importujte nastavení.
• Chcete-li používat VPN, posuňte tlačítko připojení na „zapnuto“.

Krok 13: Vyzkoušejte svou VPN

Nyní, když jste prošli celým tímto procesem,je čas ověřit, zda vaše VPN funguje! Musíte pouze zakázat VPN a poté přejít na DNSLeakTest. Měla by zobrazovat vaši aktuální skutečnou polohu. Nyní povolte VPN a obnovte stránku. Měla by se objevit nová IP adresa, což znamená, že jste v bezpečí za zdí šifrování VPN.

ZÍSKEJTE VÍCE: Jak testovat úniky DNS

Funguje to?

Dáváme vám vyčerpávající kroky k nastavení vašehovlastní VPN pomocí různých metod. Narazili jste na nějaké potíže podél cesty? Oslovte nás v komentářích níže a pokusíme se vás vyřešit.