Зробіть власну VPN всього за 13 кроків: Повний підручник

Сьогодні ми представляємо вам повне керівництво прояк зробити власний VPN в домашніх умовах за кілька порівняно безболісних кроків. Наші покрокові інструкції допоможуть вам ознайомитись із процесом встановлення та налаштування DIY VPN. Не лякайтеся, вам не потрібні передові навички кодування; просто дотримуйтесь наших покрокових інструкцій, і ви швидко зможете встановити потужне OpenVPN-з'єднання.

Віртуальні приватні мережі набирають популярностісеред навіть самих випадкових користувачів Інтернету. І це не дивно, бо ви бачите, як вони прості у використанні, доступні та мають багато корисних функцій, що захищають вашу конфіденційність в Інтернеті. Замість того, щоб підписатись на сервіс VPN, деякі люди вирішили встановити та налаштувати свій особистий VPN за допомогою віртуального приватного сервера та OpenVPN.

Однак створити власну VPN непросто. Процес вимагає багатьох кроків і включає багато роботи в командному рядку. Ми настійно рекомендуємо ознайомитись із ознайомленням із шифруванням та командними підказками або PowerShell перед початком роботи.

Якщо ви вирішили завдання, проте, запустіть своєвласна VPN може забезпечити вам рівень конфіденційності, який просто не може відповідати сторонній службі. Ви матимете повний контроль над своїми даними та зможете переглядати Інтернет в безпеці, знаючи, що ніхто не шпигує за вашою діяльністю.

Рекомендовані зовнішні хости VPN

Перш ніж ми заглибимося в деталі створення вашоговласний VPN, варто згадати, що там вже є цілий ряд справді чудових сервісів. Якщо ви не користувач енергії з дуже конкретними вимогами, ви побачите, що наступні VPN-послуги більш ніж задовольнять ваші потреби з мінімальними клопотами. Не потрібно проходити тривалі процеси встановлення або редагувати сторінки конфігураційних файлів; просто підпишіться, встановіть, і вам добре йти!

1. ExpressVPN

ExpressVPN - швидкий, простий у використанні та неймовірнозахищений. Компанія працює з мережею понад 3000 серверів у 94 різних країнах, кожен з яких забезпечує надзвичайно великі швидкості з'єднання по всьому світу. Ви отримаєте сильне 256-бітове шифрування для всього вашого трафіку в Інтернеті, а також необмежену пропускну здатність, відсутність обмежень за торрент або P2P, а також сувору політику нульового журналу, яка забезпечує безпеку ваших даних.

Прочитайте наш повний огляд ExpressVPN.

2. IPVanish

IPVanish - ще один відмінний вибір для швидкої роботиі захистити VPN. У сервісі є чудові функції конфіденційності, такі як 256-бітове шифрування AES, захист від витоку DNS та автоматичний вимикач знищення, всі вони розроблені так, щоб ваша особа ніколи не прослизала через тріщини. Все це підкріплено політикою нульового реєстрації та абсолютно не обмежує пропускну здатність чи швидкість. На додаток до цього, IPVanish запускає мережу з понад 1300 серверів у 60 різних країнах, надаючи безліч варіантів обходу блоків цензури та анонімного завантаження торент-файлів.

Прочитайте наш повний огляд IPVanish.

Зробіть власну домашню VPN - Покрокове керівництво

Нижче ми проходимо процес створення вашоговласна VPN. Хоча процес вимагає певних зусиль, воїни-майстрині та гайки конфіденційності будуть шануватися повним контролем над їх приватністю. Без зайвих прихильностей, почнемо.

Крок 1: Отримайте віддалений сервер, який запускає Ubuntu

Існують різноманітні послуги, які пропонуютьсяпараметри масштабованого віртуального приватного сервера, але одним із найпростіших у використанні та найдоступнішим є Digital Ocean. Компанія має фантастичний посібник із встановлення та налаштування власного сервера Ubuntu 16.04, якого слід дотримуватися, перш ніж розпочати решту цього посібника VPN. Після завершення у вас буде налаштований сервер крапель і готовий до роботи.

Крок 2: Встановіть OpenVPN

З запущеним і запущеним сервером Ubuntu, вашПершим кроком буде встановлення OpenVPN. По-перше, увійдіть у свій сервер за допомогою облікових даних користувачів через командний рядок. Далі запустіть кожну з наступних команд. Це встановить OpenVPN, а також easy-rsa, пакет, який допоможе нам у наступному кроці.

Ви можете ввести команди, перелічені нижче, або скопіювати / вставити.

$ sudo apt-get update
$ sudo apt-get install openvpn easy-rsa

Крок 3: Налаштуйте каталог сертифікатів

Для того, щоб OpenVPN шифрував трафік та надсилавміж джерелами, вона повинна мати можливість використовувати довірені сертифікати. Зазвичай вони походять від зовнішнього сертифікаційного органу (CA), але оскільки наша екосистема VPN повністю закрита (ми запускаємо її, ми керуємо нею, лише ми будемо її використовувати), можливо, на нашому сервері Ubuntu можна встановити просту власність CA .

Введіть таку команду в підказку:

$ make-cadir ~/openvpn-ca

Далі перейдіть до створеної вами папки. Якщо ви не впевнені, як це зробити, просто введіть у командному рядку наступне:

$ cd ~/openvpn-ca

Крок 4: Налаштування органу сертифікації

Тепер ми створимо наш КА з базовою інформацією. Введіть наступну команду та натисніть клавішу Enter. Він відкриває текстовий редактор і відображає файл vars:

$ nano vars

Вам не потрібно змінювати більшість значень у файлі vars. Прокрутіть донизу та знайдіть наступні рядки:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="My-Organization"
export KEY_EMAIL="[email protected]"
export KEY_OU="MyOrganizationalUnit"

Змініть рядки в лапках навідображають власну інформацію. Поки вони не будуть порожніми, ви будете добре. Далі прокрутіть униз, щоб знайти лінію KEY_NAME. Змініть рядок, щоб він відповідав наступному:

export KEY_NAME="server"

Збережіть файл і закрийте його, ми вже закінчили редагування.

Крок 5: Створіть орган сертифікації

З наявною інформацією настав час створити орган сертифікації. Переконайтеся, що ви все ще перебуваєте в створеному раніше каталозі CA

$ cd ~/openvpn-ca

Потім введіть у командний рядок наступне:

$ source vars

Якщо все пройшло гладко, на екрані ви побачите щось подібне:

ПРИМІТКА: Якщо ви запустите ./clean-all, я буду робити rm -rf on / home / sammy / openvpn-ca / keys

Очистіть середовище, ввівши наступне:

$ ./clean-all

Тепер побудуйте кореневий CA:

$ ./build-ca

Коли ваш сервер виконує вказівки, які ви щойно дали, з'явиться ряд підказок. Просто натисніть клавішу Enter на кожному з них, поки процес не завершиться.

Крок 6: Створення файлів шифрування сервера

Якщо створений орган сертифікації, ми можемо почати створювати фактичні ключі шифрування. Почніть зі створення сертифіката сервера OpenVPN разом із його ключовою парою:

$ ./build-key-server server

Прийміть значення за замовчуванням, які пропонує сервер. Обов’язково введіть "y", коли вихідні дані просять підтвердити створення сертифіката. Далі ми створимо кілька інших різних файлів, з якими OpenVPN потрібно працювати. Введіть наступне в командний рядок:

$ ./build-dh

Зачекайте кілька хвилин, щоб це завершилося. Не хвилюйтесь, це може зайняти деякий час. Після цього створіть підпис для посилення процесу перевірки, ввівши наступне:

$ openvpn --genkey --secret keys/ta.key

Це все для цього кроку Не хвилюйтеся, якщо деякі з цих команд не мають великого сенсу. Серверу потрібні спеціалізовані інструменти, щоб шифрувати та перевіряти все, і цей крок допомагає поставити їх на місце.

Крок 7: Створення сертифіката клієнта

На цьому кроці ми створимо сертифікат і пару ключів для клієнта (вашого пристрою), який буде використовуватися під час з'єднання. Просто введіть у підказку такі команди:

$ cd ~/openvpn-ca
$ source vars
$ ./build-key client1

Використовуйте параметри за замовчуванням, які пропонує результат, натиснувши на клавішу "enter".

Крок 8: Налаштування OpenVPN

Зі всіма створеними сертифікатами та парами ключів ми можемо нарешті розпочати налаштування OpenVPN. Почнемо з переміщення деяких створених файлів у папку "openvpn":

$ cd ~/openvpn-ca/keys
$ sudo cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn

Тепер ми додамо зразок файлу конфігурації, щоб ми могли самостійно його відкрити та відредагувати:

$ gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Після завершення розпакування введіть наступне, щоб відкрити файл конфігурації:

$ sudo nano /etc/openvpn/server.conf

З відкритим файлом server.conf у наноредакторі шукайте рядок, який відповідає наведеному нижче тексту:

;tls-auth ta.key 0 # This file is secret

Видаліть напівколонку з початку цього рядка, щоб відміняти його. У рядку безпосередньо під ним додайте наступне:

key-direction 0

Прокрутіть, щоб знайти розділ, заповнений шифрами (клавішами). Тут ми будемо вибирати силу нашого шифрування. Знайдіть рядок нижче та видаліть крапку з двокрапкою, щоб увімкнути 128-бітове шифрування AES:

;cipher AES-128-CBC

Трохи під цим рядком додайте наступне:

auth SHA256

Далі знайдіть налаштування користувача та групи та видаліть крапку з двокрапкою, щоб їх скаментувати. Рядки повинні виглядати приблизно так, коли ви закінчите:

user nobody
group nogroup

Поки у нас є сервер.конф-файл відкритий, ми можемо також внести ще кілька зручностей. Спочатку знайдіть наступний рядок і видаліть крапку з двокрапкою, щоб вона більше не коментувалася. Це дозволяє VPN маршрутизувати весь ваш трафік:

;push "redirect-gateway def1 bypass-dhcp"

Під цим рядком ви побачите кілька рядків із позначкою dhcp-option. Відлучіть їх, видаливши крапку з двокрапки:

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Далі вам потрібно змінити порт, який використовує OpenVPN. За замовчуванням - 1194, що добре для більшості користувачів та більшості примірників. Ми підемо на додаткову зручність і будемо переходити до порту 443, рідко заблокованого порту, який надасть вам більший доступ до Інтернету в обмежувальних середовищах, зробивши ваш VPN все, але невизначним. Шукайте рядки «# Необов’язково!» Та змініть порт на 443:

# Необов’язково!

port 443

Тепер, щоб змінити налаштування UDP на TCP:

# Необов’язково!

proto tcp

Збережіть файл і закрийте його.

Крок 9: Налаштування мережевих налаштувань

На цьому кроці ми налаштуємо OpenVPN, щоб він міг пересилати трафік, що є найважливішою функцією будь-якої VPN. Почнемо з відкриття конфігураційного файлу та деякого редагування.

$ sudo nano /etc/sysctl.conf

Знайдіть рядок, перелічений нижче, і видаліть хеш-символ (знак числа або #), щоб відміняти налаштування:

# net.ipv4.ip_forward=1

Збережіть і закрийте файл, після чого запустіть цю команду для налаштування значень:

$ sudo sysctl -p

Now we"ll set the server"s firewall so it can properly manipulate traffic. The first thing to do is find the public network interface of our server machine. Type the following into the command prompt:
$ ip route | grep default

На виході відображатиметься рядок інформації. Одразу після слова "dev" має бути назва інтерфейсу. У наведеному нижче прикладі це ім’я "wlp11s0", хоча ваше, ймовірно, буде іншим:

default via 203.0.113.1 dev wlp11s0  proto static  metric 600

Тепер ми редагуємо файл правил, щоб додати вищезгадане ім’я у відповідне місце. Почніть з введення цього в командному рядку:

$ sudo nano /etc/ufw/before.rules

Шукайте блок тексту, що починається з наступної коментованої фрази:

# ЗАВАНТАЖЕННЯ ВІДКРИТИХ ВІДКР

Внизу ви побачите рядок, який починається з "-A РОЗМІСТЕННЯ". Додайте сюди своє ім'я інтерфейсу, замінивши XXXX правильним текстом:

-A POSTROUTING -s 10.8.0.0/8 -o XXXX -j MASQUERADE

Тепер збережіть і закрийте файл.

Далі в списку повідомляється нашому брандмауеру переслати пакети. Відкрийте файл брандмауера, ввівши команду нижче:

$ sudo nano /etc/default/ufw

Шукайте рядок із позначкою "DEFAULT_FORWARD_POLICY". Змініть "DROP" на "ACCEPT". Коли ви закінчите, це має виглядати наступним чином:

DEFAULT_FORWARD_POLICY="ACCEPT"

Тепер збережіть і закрийте файл.

В останній частині цього кроку ми відрегулюємо налаштування брандмауера, щоб дозволити трафік до OpenVPN. Введіть у підказку наступні команди, використовуючи налаштування портів, які ми налаштували вище:

$ sudo ufw allow 443/tcp
$ sudo ufw allow OpenSSH

Тепер ми відключимо, а потім знову включимо брандмауер для завантаження щойно внесених змін. Введіть кожну з цих команд у підказку:

$ sudo uwf disable
$ sudo uwf enable

Тепер сервер налаштований для обробки трафіку OpenVPN, і ваш VPN набагато ближче до готовності працювати.

Крок 10: Запуск служби OpenVPN

Зважаючи на більшість базових конфігурацій, ми можемо нарешті запустити OpenVPN і розпочати роботу нашого сервера. Почніть з введення наступного рядка в командному рядку:

$ sudo systemctl start openvpn@server

Ви отримаєте екран вихідного тексту. У другому рядку, позначеному "активний", повинно бути "активне (працює) з ...", а потім дата. Введіть наступний рядок, щоб OpenVPN запускався автоматично щоразу, коли ваш сервер завантажується:

$ sudo systemctl enable openvpn@server

Крок 11: Конфігурації клієнта

Тепер ми підготуємо ваш сервер до прийняттяклієнтів, також відомих як ваші пристрої, підключені до Інтернету. Більшість із цих кроків пов'язані з безпекою і розроблені так, щоб нічого не потрапляло на ваш сервер, окрім власного комп’ютера. Спочатку ми створимо каталог для зберігання файлів, пов’язаних із клієнтом, а потім змінимо дозволи, щоб заблокувати його:

$ mkdir -p ~/client-configs/files
$ chmod 700 ~/client-configs/files

Тепер ми скопіюємо приклад конфігураційного файла, щоб ми могли його редагувати:

$ cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

Відкрийте файл у текстовому редакторі:

$ nano ~/client-configs/base.conf

Прокрутіть, щоб знайти рядок, що починається з "віддаленої" директиви. Відредагуйте його так, щоб він відображав порт, який ви вибрали вище, який має бути 443:

remote server_IP_address 443

Змініть рядок під позначкою "прото", щоб сказати "tcp", знову збігаючись з параметрами, які ми встановили вище:

proto tcp

Знайдіть рядки «користувач» та «груповий» та відменте їх, видаливши крапку з двокрапкою:

user nobody
group nogroup

Знайдіть ca, cert та ключові лінії та прокоментуйте їх, додавши хеш на початку. Коли ви закінчите, вони повинні виглядати так:

#ca ca.crt
#cert client.crt
#key client.key

Змініть налаштування “шифру” та “автентичності”, щоб відповідати встановленим вище. Якщо ви дотримувались цього посібника, після завершення рядки виглядатимуть так:

cipher AES-128-CBC
auth SHA256

Далі будь-де у файлі додайте новий рядок і введіть таке:

key-direction 1

І нарешті, скопіюйте та вставте наступні коментовані рядки в нижню частину файлу:

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

Збережіть свої зміни та вийдіть із редактора.

Наступним кроком є ​​створення сценарію, який будекомпілювати все, що ми тільки що зробили, файли конфігурації, сертифікати, шифрові ключі тощо. Почніть зі створення файлу в каталозі ~ / client-configs під назвою “make_config.sh”, а потім відкрийте його за допомогою nano. Вставте наступний код у сценарій:

#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
cat ${BASE_CONFIG} 
<(echo -e "<ca>") 
${KEY_DIR}/ca.crt 
<(echo -e "</ca>n<cert>") 
${KEY_DIR}/${1}.crt 
<(echo -e "</cert>n<key>") 
${KEY_DIR}/${1}.key 
<(echo -e "</key>n<tls-auth>") 
${KEY_DIR}/ta.key 
<(echo -e "</tls-auth>") 
> ${OUTPUT_DIR}/${1}.ovpn

Збережіть файл та вийдіть. Далі зробіть файл виконуваним, ввівши таку команду:

$ chmod 700 ~/client-configs/make_config.sh

Крок 12: Налаштування пристроїв

Ви майже там! На цьому кроці ми створимо файли, які вказують серверу, як взаємодіяти з клієнтами. Ми вже зробили базові сертифікати в попередніх кроках, тепер все, що нам потрібно зробити, - це створити конфігурації, перемістивши речі в новий каталог. Для цього використовуйте наступні команди:

$ cd ~/client-configs
$ ./make_config.sh client1

Тепер ми передамо ці файли конфігурації внаші пристрої. Для цього вам потрібно завантажити клієнт FPT, здатний виконати з'єднання SFTP. Filezilla - це безкоштовна програма з відкритим кодом, яка працює в операційних системах Windows, Linux та Mac. Встановіть програмне забезпечення та підключіться до свого сервера через SFTP (не звичайний FTP), використовуючи дані, наведені вище. Потім перейдіть до наступного каталогу на вашому сервері:

/client-configs/files

Завантажте файл із позначкою "client1.ovpn". Тут міститься вся інформація, яку ваша локальна копія OpenVPN знадобиться для підключення до вашого сервера.

Тепер вам потрібно буде встановити OpenVPN на комп’ютер, смартфон, планшет та будь-який інший пристрій, який ви плануєте використовувати зі своїм VPN.

Windows:

• Завантажте OpenVPN і встановити його на комп’ютер.
• Скопіюйте файл client1.ovpn в каталог встановлення OpenVPN і покладіть його в каталог "config".
• Клацніть правою кнопкою миші на ярлику робочого столу OpenVPN та перейдіть до "Властивості"
• Натисніть "Сумісність", а потім "Змінити налаштування для всіх користувачів"
• У наступному вікні поставте прапорець "Запустити цю програму як адміністратор"
• Запустіть OpenVPN як адміністратор. Якщо в ньому з’являються попереджувальні повідомлення, прийміть їх.
• Насолоджуйтесь серфінгом в Інтернеті за допомогою власної віртуальної приватної мережі!

Мак:

• Завантажте та встановіть Tunnelblick, безкоштовний та відкритий код OpenVPN-клієнта для Mac.
• Коли інсталяція запитує, чи є у вас файли конфігурації, просто скажіть «Ні».
• Після цього відкрийте вікно пошуку та двічі клацніть «client1.ovpn».
• Запустіть Tunnelblick.
• Клацніть на піктограму у верхньому куті екрана та виберіть "Підключити"
• Виберіть підключення "client1".
• Насолоджуйтесь своїм особистим VPN!

Linux:

Встановіть OpenVPN, використовуючи наступні рядки командного рядка:

$ sudo apt-get update
$ sudo apt-get install openvpn

Тепер відредагуйте файл конфігурації, який ви завантажили на кроці вище:

$ nano client1.ovpn

Відмініть такі три рядки:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Збережіть і закрийте файл. Тепер ви можете підключитися до VPN за допомогою наступної команди:

$ sudo openvpn --config client1.ovpn

Android:

• Встановіть клієнт OpenVPN для Android.
• Перенесіть client1.ovpn на свій пристрій через з'єднання USB або через хмарний накопичувач.
• Запустіть додаток OpenVPN і торкніться кнопки меню у верхньому правому куті.
• Виберіть "Імпорт", а потім перейдіть до місця розташування файлу ovpn та імпортуйте файл
• Торкніться кнопки «Підключити» у головному меню OpenVPN.

iOS:

• Встановіть OpenVPN для iOS.
• Підключіть свій пристрій iOS до комп'ютера та скопіюйте файл client1.ovpn у OpenVPN через iTunes.
• Відключіть і запустіть OpenVPN. З'явиться повідомлення про те, що новий профіль доступний.
• Торкніться знака зелений плюс, щоб імпортувати налаштування.
• Перемістіть кнопку підключення до “включеного”, щоб використовувати вашу VPN.

Крок 13: Перевірте свою VPN

Тепер, коли ви пройшли весь цей процес,прийшов час перевірити, чи працює ваш VPN! Все, що вам потрібно зробити - це відключити VPN, а потім перейти до DNSLeakTest. Він повинен відображати ваше поточне, реальне місцезнаходження. Тепер увімкніть VPN та оновіть сторінку. З'явиться нова IP-адреса, що означає, що ви в безпеці за стіною шифрування VPN.

ВЧИ БІЛЬШЕ: Як перевірити на витік DNS

Отже, це працює?

Ми надаємо вам вичерпні кроки, щоб налаштувати свійдуже власні VPN з використанням різних методів. Ви натрапили на якусь проблему на шляху? Зверніться до нас у коментарях нижче, і ми спробуємо розібратися з вами.