Настройка VPN-клиента Debian

Обновлено: 01.07.2024

Хотите настроить VPN для Ubuntu, Kali или Mint? Тогда вы находитесь в правильном месте! В этом руководстве мы проведем вас через простой процесс установки VPN с использованием графического интерфейса Linux, NetworkManager и других методов.

В этом руководстве мы сосредоточимся на установке VPN в Ubuntu, поскольку он пользуется неизменной популярностью, но все наши инструкции можно применить к Linux Mint, Debian и Kali (основанному на Debian), а также предоставить полезные рекомендации для людей, использующих разные дистрибутивы.

Подробнее о безопасности в Интернете

Если вы хотите узнать больше о том, как защитить свои данные, ознакомьтесь с приведенными ниже руководствами:

Какой дистрибутив Linux лучше всего подходит для обеспечения конфиденциальности?

OpenVPN, IKEv2, PPTP, L2TP/IPSec, SSTP — полное руководство по шифрованию VPN

Установите специальное программное обеспечение Linux для VPN

Для большинства операционных систем проще всего настроить VPN-клиент с помощью специального программного обеспечения провайдера. То же самое относится и к Linux! Однако очень немногие провайдеры VPN на самом деле предлагают собственный клиент Linux с графическим интерфейсом и вместо этого предпочитают разрабатывать приложения для более популярных платформ.

Пользовательские клиенты Linux с графическим интерфейсом, как правило, гораздо проще настроить, чем их аналоги вручную

Хорошей новостью является то, что мы собрали и проверили те службы, которые включают собственный клиент для Linux. Вы можете просмотреть их в таблице ниже или посетить наше руководство по VPN для Linux, чтобы более подробно ознакомиться с каждым провайдером.

Пользовательские клиенты Linux с графическим интерфейсом, как правило, гораздо проще настроить, чем их ручные аналоги, поскольку требуется меньше настроек (и всегда доступны удобные руководства), а также они содержат больше функций. Наши лучшие VPN для Linux обладают такими преимуществами, как функция экстренного отключения от сети, функция блокировки рекламы, смягчение последствий WebRTC и защита от утечек DNS. По сути, вы получите полноценный VPN-сервис, как и пользователи Windows и Mac!

От 2,69 долл. США в месяц

Лучший VPN для Linux. С выделенными клиентами для различных дистрибутивов и полностью настраиваемым клиентом, а также функцией экстренного отключения от сети и блокировщиком рекламы. Также предоставляется 30-дневная гарантия возврата денег.

От 5,50 долларов США в месяц

Лучшее VPN для Linux, ориентированное на конфиденциальность. Поставщик с открытым исходным кодом и нулевым журналом, который предлагает пользователям Linux полный клиент с графическим интерфейсом и все те же функции, доступные для других платформ, а также 30-дневную гарантию возврата денег.

AirVPN

От 3,23 доллара США в месяц

Лучший продвинутый VPN для Linux. Его клиент Eddie является полнофункциональным с переключателем уничтожения и защитой от утечек, а торрент разрешен во всей сети его серверов. Также предоставляется 30-дневная гарантия возврата денег.

От 0,00 долл. США в месяц

Лучший безопасный VPN для Linux. Предлагает элегантный настраиваемый клиент с графическим интерфейсом и комплексную защиту от утечек и отслеживания третьих лиц, а также доступ к геоблокируемому контенту. С 30-дневной гарантией возврата денег.

От 6,67 долл. США в месяц

Лучший многофункциональный VPN для Linux. Отличный выбор для стримеров благодаря молниеносной скорости и широкой серверной сети, а также проприетарному протоколу Lightway. Предлагает 30-дневную гарантию возврата денег.

OpenVPN для Linux через NetworkManager

Помимо выделенных клиентов, вероятно, самый простой способ установить и использовать OpenVPN в большинстве систем Linux — через демон NetworkManager.

Стоит отметить, что AirVPN не рекомендует использовать NetworkManager «из-за многочисленных критических проблем». Однако мне не удалось установить более подробную информацию об этом, и большинство VPN, похоже, с удовольствием его используют.

Установка OpenVPN в Ubuntu GNOME

Зарегистрируйте аккаунт у выбранного VPN-провайдера.

Загрузите файлы конфигурации .ovpn вашего провайдера для серверов, к которым вы хотите подключиться. Их часто можно загрузить пакетно в виде ZIP-файла, и в этом случае вам потребуется разархивировать его перед использованием.

В прошлом NetworkManager не любил встроенные сертификаты и ключи. Из-за этого многие VPN рекомендуют загружать их отдельно. Но в этом больше нет необходимости.

Загрузите и установите пакеты Ubuntu OpenVPN для NetworkManager, открыв окно терминала и введя:

sudo apt-get install network-manager-openvpn-gnome

Убедитесь, что OpenVPN правильно установлен, щелкнув значок NetworkManager на панели уведомлений.

Установка VPN на Ubuntu

Затем выберите VPN Off -> Настройки VPN -> VPN -> и нажмите кнопку +.

настроить VPN в Ubuntu

В поле "Добавить VPN" вы должны увидеть параметр OpenVPN. Если вы не видите OpenVPN, перезагрузите компьютер.

Установите VPN Ubuntu

Если вы видите параметр OpenVPN, не нажимайте его. Вместо этого нажмите «Импорт из файла…». Перейдите туда, куда вы загрузили файлы .ovpn, и дважды щелкните один из них.


Появится окно «Добавить VPN», заполненное настройками VPN сервера. Просто введите имя пользователя и пароль и нажмите "Добавить".


Теперь VPN настроен. Чтобы запустить его, перейдите в NetworkManager -> VPN off -> и выберите сервер, к которому вы хотите подключиться.


Установка OpenVPN напрямую через терминал Linux

Согласно AirVPN, использование OpenVPN через терминал Linux также более безопасно, чем использование NetworkManager, хотя мне не удалось подтвердить это независимо или раскрыть подробности.

Пакет OpenVPN доступен в Debian и многих других репозиториях, но пользователи CentOS и RHEL (например) должны сначала установить репозиторий EPEL в свою систему.

Зарегистрируйте аккаунт у выбранного VPN-провайдера.

Откройте Терминал и установите OpenVPN с помощью обычного менеджера пакетов (например, APT, RPM или YUM).

Например, в дистрибутивах на основе Debian введите:

sudo apt-get установить openvpn или sudo rpm установить openvpn

В CentOS 7+ и Fedora 7+ сначала необходимо установить репозиторий EPEL:

sudo yum установить epel-release

Перед установкой OpenVPN:

ням установить openvpn

Конечно, всегда можно скомпилировать из исходного кода в любой системе Linux. Загрузите архив здесь, распакуйте, перейдите на верхний уровень извлеченного каталога и введите:

Используйте браузер для загрузки некоторых файлов конфигурации OpenVPN с веб-сайта службы VPN. Затем откройте терминал и перейдите в каталог, в который вы их загрузили. Следующий шаг облегчится, если вы переименуете загруженные файлы .ovpn во что-то, что будет легко набирать.

В типе терминала:

sudo openvpn [файл openvpn]


Вы можете отключиться от VPN, закрыв окно терминала, в котором работает OpenVPN.

Обратите внимание, что при прямом использовании OpenVPN DNS-запросы не будут направляться на DNS-серверы VPN-провайдера. Утечки IP-адресов можно устранить, изменив resolvconf для передачи DNS на DNS-серверы вашей VPN.

Кроме того, вы можете вручную настроить брандмауэр iptables, чтобы весь трафик (включая DNS-запросы) проходил через VPN-сервер. Это, по крайней мере, гарантирует, что все DNS-запросы будут проксироваться вашей VPN. Он также будет действовать как аварийный выключатель.

Настройка VPN для Linux вручную с использованием PPTP через NetworkManager

PPTP не является безопасным VPN-протоколом, поэтому мы обычно рекомендуем вам его избегать. Однако NetworkManager поставляется с поддержкой PPTP «из коробки», что может сделать PPTP полезным «быстрым и грязным» решением, когда безопасность не имеет высокого приоритета.

Перейдите в Диспетчер сети -> Настройки VPN. Щелкните значок + рядом с полем VPN -> Протокол туннелирования точка-точка (PPTP):

настройка Ubuntu VPN

Заполните настройки PPTP, предоставленные вам VPN. Обратите внимание, что эти параметры не являются специфическими для Linux, поэтому вы можете использовать общие параметры или параметры, заданные для другой платформы.

Добавьте VPN в Ubuntu Linux

Настройка VPN для Linux вручную с использованием L2TP/IPsec

Как не используется в нашем Полном руководстве по шифрованию VPN, L2TP – это протокол туннелирования, который не обеспечивает никакого шифрования или конфиденциальности проходящего через него трафика, поэтому обычно он реализуется с помощью набора средств проверки подлинности IPsec (L2TP/IPsec).

Как установить L2TP/IPsec для NetworkManager

NetworkManager-l2tp — это подключаемый модуль VPN для NetworkManager 1.2+, который включает поддержку L2TP/IPsec.

Для установки запустите Терминал и введите следующие команды:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

sudo apt-получить обновление

sudo apt-get install network-manager-l2tp

Вам может быть предложено установить дополнительные двоичные файлы (например, для GNOME), и в этом случае продолжайте. Перезагрузите компьютер, и теперь L2TP должен быть включен в NetworkManager.

Установка VPN L2TP PPTP

Настройка очень похожа на использование PPTP (см. выше), за исключением того, что вам нужно будет ввести некоторые дополнительные данные аутентификации IPSec. Опять же, ваша VPN должна быть в состоянии обеспечить это, и общие настройки в порядке.

Настройка VPN L2TP и IPsec

Обновление от мая 2018 г. В настоящее время в xl2tpd имеется ошибка, которая может поставить под угрозу его использование с протоколом IPSec. Проблема уже исправлена ​​в Fedora, поэтому я ожидаю, что она скоро будет исправлена ​​​​в Ubuntu и Debian. Подробности и последние обновления см. здесь.

Настройка VPN для Linux вручную с помощью IKEv2

IKEv2 – это безопасный и быстрый протокол VPN, который быстро набирает популярность среди служб VPN. Он поддерживается в Linux через strongSwan. Пакеты strongSwan доступны для большинства версий Linux, или вы можете скомпилировать их самостоятельно.

Как установить IKEv2 для NetworkManager. Вы можете собрать это из исходного кода, или пользователи Debian/Ubuntu могут открыть Терминал и ввести:

sudo apt-get install network-manager-strongswan

При использовании подключаемый модуль работает так же, как описанный выше подключаемый модуль L2PT NetworkManager.

Просто введите настройки IKEv2, предоставляемые вашей VPN (если она поддерживает IKEv2).

IKEv2 VPN для Linux

Как протестировать VPN для Linux

При использовании NetworkManager небольшой значок блокировки сети на панели уведомлений позволяет сразу понять, что вы подключены.

Для дальнейшего подтверждения того, что VPN подключен и работает правильно, вы можете запустить тест на утечку IP…

Проверьте VPN на наличие утечек IP

После подключения к VPN (любым способом) рекомендуется проверить наличие утечек IP-адресов.

Проверка Linux VPN на предмет утечек IP

В приведенном выше примере показан серьезный случай утечки IPv6. Результат IPv4 DNS правильно показывает, что я подключен к VPN-серверу в США, но веб-сайт может видеть мой реальный IPv6-адрес в Великобритании как через обычную утечку DNS, так и через WebRTC. Ошибка!

Для получения дополнительной информации о том, как обеспечить безопасность с помощью VPN в Великобритании или США, ознакомьтесь с руководствами ниже:

Это был недавний запрос в службу поддержки, полученный в нашу службу поддержки Managed VPN Services. Клиент хотел установить OpenVPN на свой сервер Debian.

Часто неправильная конфигурация клиента OpenVPN может привести к ошибкам VPN-подключения.

Сегодня мы увидим, как наши преданные инженеры помогли клиенту установить клиент OpenVPN на сервере Debian.

Шаги по установке клиента OpenVPN в Debian

Как правило, для подключения к серверу OpenVPN есть 2 варианта. Один из них — установить расширение браузера для VPN или настроить VPN-клиент. В отличие от расширения браузера, настройка клиента OpenVPN дает большую гибкость. Вот почему многие пользователи предпочитают устанавливать VPN-клиент на свои компьютеры. Но шаги по установке клиента различаются в зависимости от типа сервера.

Здесь мы в первую очередь сосредоточимся на шагах по установке клиента OpenVPN на сервер Debian.

1. Установите клиентский пакет OpenVPN

Во-первых, наши инженеры службы поддержки обновляют пакеты на сервере Debian. Затем мы устанавливаем клиентский пакет OpenVPN, используя следующие команды.

2. Настройте клиент

На следующем этапе мы настраиваем клиент OpenVPN.

Сервер OpenVPN создает сертификаты для каждой клиентской машины VPN. Эти сертификаты должны быть доступны на клиентском компьютере в каталоге /etc/openvpn. Обычно мы используем команду scp и копируем эти файлы с сервера OpenVPN на машину Debian.

Это позволит получить все клиентские сертификаты с сервера OpenVPN.

Чтобы продолжить, наши преданные инженеры скопируют пример файла конфигурации OpenVPN с помощью команды:

Теперь пришло время внести несколько изменений в файл конфигурации конкретного клиента по адресу /etc/openvpn/client.conf.

Здесь мы устанавливаем адрес сервера OpenVPN, порт, настроенный на сервере OpenVPN, и фактическое имя сертификата и имена файлов ключей. Обычно порт OpenVPN будет 1194.

3. Перезапустите OpenVPN

Наконец, чтобы изменения вступили в силу, мы перезапускаем OpenVPN на машине с Debian с помощью команды

4. Проверка подключения к VPN

Теперь пришло время проверить подключение к VPN-серверу с компьютера Debian. Чтобы обеспечить соединение, наши инженеры службы поддержки сначала выполняют ping-тест для сервера OpenVPN. При успешном подключении мы используем следующую команду для подключения.

И когда OpenVPN показывает сообщение «Последовательность инициализации завершена», значит, вы подключены.

Распространенные ошибки клиента Debian OpenVPN

До сих пор мы видели, как установить клиент OpenVPN на компьютер с Debian. Исходя из нашего опыта управления серверами Debian, мы часто получаем запросы на устранение ошибок, связанных с VPN-клиентом. Давайте рассмотрим типичные проблемы, с которыми мы сталкиваемся.

1. Ограничение брандмауэра

К сожалению, ограничения брандмауэра часто вызывают проблемы при подключении к серверам через VPN. Если порт сервера OpenVPN не открыт на компьютере с Debian, время ожидания соединения прервется с ошибкой.

Чтобы исправить ошибку, наши инженеры службы поддержки открывают необходимые порты OpenVPN на сервере и разрешают подключение. И после этого изменения VPN-подключение работает успешно.

2. Конфликт версий TLS

Точно так же клиент OpenVPN может отказаться подключаться к серверу из-за несовместимости с протоколом Transport Layer Security (TLS).

Типичное сообщение об ошибке сеанса OpenVPN будет выглядеть так:

Эта ошибка возникает из-за того, что сервер OpenVPN не поддерживает версию TLS, используемую на компьютере с Debian. Поэтому, чтобы решить эту проблему, мы рекомендуем клиентам обновить Openvpn до более новой версии, поддерживающей TLS 1.2.

[Нужна помощь в установке клиента OpenVPN в Debian? Наши специалисты по VPN могут настроить его для вас.]

Заключение

Использование OpenVPN — это один из способов обеспечения конфиденциальности в Интернете. Но для этого требуются изменения конфигурации на клиентском компьютере. Сегодня мы увидели, как наши инженеры службы поддержки устанавливают клиент OpenVPN на машину Debian и исправляют с его помощью распространенные ошибки.

Узнайте, как установить клиент OpenVPN в Debian 11 Bullseye Linux, чтобы подключить VPN-сервер для установления безопасного соединения. Он был написан Джеймсом Йонаном и впервые выпущен в 2001 году под лицензией с открытым исходным кодом.

OpenVPN – это популярное бесплатное программное обеспечение с открытым исходным кодом. Он доступен в архитектуре клиент-сервер и может быть установлен на компьютерах, серверах или сетевых устройствах, таких как маршрутизаторы, и поддерживает такие операционные системы, как Windows, Linux, macOS, Solaris, OpenBSD, Android и многие другие.

Его можно использовать для реализации зашифрованных частных сетей между отдельными клиентами или целыми сетями. Чтобы соединение было установлено, программное обеспечение OpenVPN должно быть доступно и соответствующим образом настроено с обеих сторон. Программное обеспечение передает пользовательские данные через пакеты TCP или UDP. Программное обеспечение VPN также можно использовать через границы NAT (NAT — преобразование сетевых адресов). Обмен данными в VPN осуществляется через SSL/TLEncrypted. Для шифрования используется библиотека OpenSSL.

С помощью бесплатного программного обеспечения OpenVPN вы можете настроить виртуальную частную сеть и установить безопасное подключение к Интернету. Это соединение также известно как «туннель».

Шаги по установке клиента OpenVPN в Debian 11 Bullseye Linux

Здесь мы видим только шаги по установке клиента OpenVPN на Debian, которые будут одинаковыми для других похожих на него Linux, таких как Ubuntu, MX Linux, POP OS, Linux Mint и других…

1. Откройте командный терминал

В открытом командном терминале Debian Linux, если вы используете серверную версию CLI, она у вас уже есть.

2. Запустить обновление APT

Первое, с чего следует начать, — это выполнить команду обновления с помощью диспетчера пакетов APT. При этом будут установлены последние доступные обновления, а также обновлен кэш репозитория.

3. Установите OpenVPN на Debian 11

Самое лучшее в OpenVPN то, что он с открытым исходным кодом, поэтому его легко установить, используя стандартный репозиторий Debian 11 с помощью диспетчера пакетов APT.

4. Проверить версию

После завершения установки давайте проверим установленную версию и узнаем, какие параметры доступны для ее использования.

Установить клиент OpenVPN на Debian 11 Bullseye

Чтобы проверить доступный вариант:

команда openvpn параметры

5. Графический интерфейс клиента OpenVPN

Если вы используете интерфейс Gnome по умолчанию в Debian 11, запустите данную команду, чтобы получить графический интерфейс пользователя для простого подключения к серверу OpenVPN.

Открыть настройки Gnome
Подключиться к серверу OpenVPN с помощью GUI-клиента
OpenVPN GUI

6. Как обновить

В будущем просто запустите команду обновления и обновления системы, чтобы получить последнюю доступную версию клиента OpenVPN в Debian 11 Bullseye Linux.

7. Удалить или удалить

Те, кому больше не нужно это клиентское приложение в своей системе Linux на основе Debian, могут удалить его с помощью диспетчера пакетов APT.

install_openvpn_debian_tutorial

Защитите свои данные просмотра: установите OpenVPN на Debian 10

И хотя есть несколько платных VPN-сервисов, которые довольно просты для вашего кошелька.

Если вы пытаетесь защитить свои данные, то зачем доверять их сверхсекретной компании, которая может иметь или не иметь связи с операциями по анализу данных?

Специальное 24-часовое предложение для самых активных пользователей!
Сэкономьте 10% на любом плане VPS, используя код PERFORMANCE10 при оформлении заказа

Ответ: не стоит.

Особенно, когда так просто и доступно настроить собственный быстрый VPN на VPS с SSD-узлами.

Итак, сегодня мы собираемся показать вам, как установить OpenVPN на Debian 10, чтобы ваши данные были в полной безопасности.

Необходимые условия для установки OpenVPN в Debian 10

  • Два VPS под управлением Debian 10, один для размещения службы OpenVPN, а другой для использования в качестве центра сертификации (ЦС). Не рекомендуется использовать сервер OpenVPN в качестве ЦС, так как это делает вашу VPN уязвимой для безопасности.
  • Обычная учетная запись (без полномочий root) с правами sudo. Дополнительную информацию см. в нашем руководстве по ключам SSH.

ПРИМЕЧАНИЕ. Если вы отключите аутентификацию по паролю при настройке этих серверов, вы можете столкнуться с трудностями при передаче файлов между ними позже в этом руководстве. Чтобы решить эту проблему, вы можете повторно включить аутентификацию по паролю на каждом сервере. Или вы можете сгенерировать пару ключей SSH для каждого сервера, а затем добавить открытый ключ SSH сервера OpenVPN в файл author_keys компьютера ЦС и наоборот.

Какое ЛУЧШЕЕ ПРЕДЛОЖЕНИЕ на облачном хостинге?

Разрабатывайте с максимальной скоростью с помощью высокопроизводительного VPS на основе SSD-узлов. Мы УДВОИЛИ объем молниеносно быстрого хранилища NVMe в нашем самом популярном плане и увеличили предложение ЦП в этих планах. На рынке нет ничего подобного, по крайней мере, по таким ценам.

Выиграйте высокопроизводительный VPS объемом 16 ГБ с хранилищем NVMe объемом 160 ГБ всего за 99 долларов США в год в течение ограниченного времени!

Шаг 1. Установите OpenVPN и EasyRSA

Давайте начнем с обновления нашего кеша apt и установки openvpn.

OpenVPN использует SSL/TLS для аутентификации и обмена ключами для шифрования трафика между сервером и клиентами.
Чтобы выдавать доверенные сертификаты, необходимо настроить простой центр сертификации (ЦС). Для этого мы загрузим последнюю версию EasyRSA, которую будем использовать для создания нашей инфраструктуры открытых ключей CA (PKI), из официального репозитория проекта на GitHub.

ПРИМЕЧАНИЕ. В качестве дополнительной меры предосторожности рекомендуется отключать сервер ЦС, когда он не используется для подписи ключей.

Чтобы приступить к созданию инфраструктуры CA и PKI, используйте wget для загрузки последней версии EasyRSA как на свой компьютер CA, так и на сервер OpenVPN.

Затем распакуйте архив:

Вы успешно установили все необходимое программное обеспечение на свой сервер и машину ЦС. Продолжайте настраивать переменные, используемые EasyRSA, и настраивать каталог ЦС, из которого вы будете генерировать ключи и сертификаты, необходимые вашему серверу и клиентам для доступа к VPN.

Шаг 2. Настройте центр сертификации

EasyRSA поставляется вместе с конфигурационным файлом, который можно отредактировать, чтобы определить несколько переменных для вашего центра сертификации.

На своем компьютере CA перейдите в каталог EasyRSA:

Мы можем использовать шаблон easy-rsa, сделав копию существующего файла vars.example в этом каталоге и переименовав его в vars :

Нам нужно отредактировать некоторые переменные, которые помогают решить, как создавать сертификаты. Используйте nano или другой любимый редактор, чтобы открыть файл. Мы будем редактировать некоторые переменные ближе к концу файла.

Найдите настройки, задающие поля по умолчанию для новых сертификатов. Это будет выглядеть примерно так:

Раскомментируйте эти строки и измените выделенные значения на нужные, но не оставляйте их пустыми:

Сохраните и закройте файл после редактирования.

В каталоге EasyRSA находится скрипт easyrsa, который используется для выполнения различных задач, связанных с созданием и управлением ЦС.Запустите этот сценарий с параметром init-pki, чтобы инициировать инфраструктуру открытого ключа на сервере ЦС:

После этого снова вызовите скрипт easyrsa, указав в нем параметр build - ca. При этом создается центр сертификации и два важных файла — ca.crt и ca.key, которые составляют общедоступную и частную части сертификата SSL.

Если вы не хотите, чтобы при каждом взаимодействии с центром сертификации у вас запрашивался пароль, вы можете запустить команду build - ca с параметром nopass:

В выходных данных вам будет предложено подтвердить общее имя для вашего центра сертификации:

Общее имя — это имя, используемое для ссылки на этот компьютер в контексте центра сертификации. Вы можете ввести любую строку символов для общего имени ЦС, но для простоты нажмите ENTER, чтобы принять имя по умолчанию.

После этого ваш ЦС создан и готов начать подписывать запросы на сертификаты.

Шаг 3. Создайте сертификат сервера и открытый/закрытый ключи

Если ЦС настроен правильно, вы можете сгенерировать закрытый ключ и запрос сертификата со своего сервера, а затем передать запрос в ЦС для подписи, создав требуемый сертификат.

Перейдите в каталог EasyRSA на вашем сервере OpenVPN:

Здесь запустите скрипт easyrsa с параметром init - pki. Хотя вы уже выполнили эту команду на машине ЦС, необходимо выполнить ее здесь, поскольку ваш сервер и ЦС будут иметь отдельные каталоги PKI:

Затем снова вызовите сценарий easyrsa, на этот раз с параметром gen - req, за которым следует общее имя машины.
Это может быть что угодно, но для этого урока мы выбираем vpnserver . Включите параметр nopass, в противном случае файл запроса будет защищен паролем, что впоследствии может привести к проблемам с разрешениями:

ПРИМЕЧАНИЕ. Если вы выберете здесь имя, отличное от «сервер», вам придется изменить некоторые из приведенных ниже инструкций. Например, при копировании сгенерированных файлов в каталог /etc/openvpn вам придется подставлять правильные имена. Вам также придется позже изменить файл /etc/openvpn/server.conf, чтобы он указывал на правильные файлы .crt и .key.

Это создаст закрытый ключ для сервера и файл запроса сертификата с именем server.req. Скопируйте ключ сервера в каталог /etc/openvpn/:

Используя безопасный метод (например, SCP в нашем примере ниже), перенесите файл vpnserver.req на свой компьютер CA:

Затем на своем компьютере CA перейдите в каталог EasyRSA:

Снова используя сценарий easyrsa, импортируйте файл vpnserver.req, указав путь к файлу с его общим именем:

Затем подпишите запрос, запустив скрипт easyrsa с параметром sign - req, за которым следует тип запроса и общее имя. Тип запроса может быть клиентским или серверным , поэтому для запроса сертификата сервера OpenVPN обязательно используйте тип запроса сервера:

Если вы зашифровали ключ ЦС, на этом этапе вам будет предложено ввести пароль.

Затем передайте подписанный сертификат обратно на VPN-сервер безопасным способом:

Прежде чем выйти из системы ЦС, также перенесите файл ca.crt на свой сервер:

Затем снова войдите на свой сервер OpenVPN и скопируйте файлы server.crt и ca.crt в каталог /etc/openvpn/:

Затем перейдите в каталог EasyRSA:

Оттуда создайте надежный ключ Диффи-Хеллмана для использования во время обмена ключами, набрав:

Это может занять несколько минут. Как только это произойдет, сгенерируйте подпись HMAC, чтобы усилить возможности проверки целостности TLS сервера:

По завершении команды скопируйте два новых файла в каталог /etc/openvpn/:

Сгенерировав все необходимые файлы сертификатов и ключей, вы можете создать соответствующие сертификаты и ключи, которые будут использоваться вашим клиентским компьютером для доступа к вашему серверу OpenVPN.

Шаг 4. Генерация сертификата клиента и пары ключей

Создайте структуру каталогов в своем домашнем каталоге для хранения сертификата клиента и файлов ключей:

Затем вернитесь в каталог EasyRSA и запустите скрипт easyrsa с параметрами gen-req и nopass, а также общим именем клиента:

ПРИМЕЧАНИЕ. Вам нужно будет передать скрипту уникальное значение имени для каждого клиента. В этом руководстве первая пара сертификат/ключ называется clienta

Нажмите ENTER, чтобы подтвердить общее имя. Затем скопируйте файл clienta.key в созданный ранее каталог /client - configs/keys/:

Затем безопасно перенесите файл clienta.req на свой компьютер CA:

Войдите на свой компьютер CA, перейдите в каталог EasyRSA и импортируйте запрос сертификата:

Затем подпишите запрос, как вы сделали это для сервера на предыдущем шаге. Однако на этот раз обязательно укажите тип запроса клиента:

В ответ на приглашение введите yes, чтобы подтвердить, что вы намерены подписать запрос на сертификат и что он поступил из надежного источника. вы получите следующий вывод

Опять же, если вы зашифровали свой ключ ЦС, вам будет предложено ввести здесь пароль.

При этом будет создан файл сертификата клиента с именем clienta.crt . Передайте этот файл обратно на сервер:

SSH обратно на ваш сервер OpenVPN и скопируйте сертификат клиента в каталог /client - configs/keys/:

Затем скопируйте файлы ca.crt и ta.key в каталог /client - configs/keys/:

Сертификаты и ключи вашего сервера и клиента сгенерированы и сохранены в соответствующих каталогах на вашем сервере.

Шаг 5. Настройте службу OpenVPN

Теперь, когда сертификаты и ключи вашего клиента и сервера сгенерированы, вы можете приступить к настройке службы OpenVPN для работы в Debian 10, используя эти учетные данные.

Начните с копирования примера файла конфигурации OpenVPN в каталог конфигурации, а затем извлеките его, чтобы использовать его в качестве основы для вашей настройки:

Откройте файл конфигурации сервера в предпочитаемом вами текстовом редакторе:

Найдите раздел HMAC по директиве tls - auth. Эта строка уже должна быть раскомментирована, но если нет, то удалите ";" чтобы раскомментировать его. Ниже этой строки добавьте параметр key - direction, установите значение «0»:

Далее найдите раздел о криптографических шифрах, выполнив поиск закомментированных строк шифра. Шифр AES-256-CBC предлагает хороший уровень шифрования и хорошо поддерживается. Опять же, эта строка уже должна быть раскомментирована, но если это не так, просто удалите ";" перед ним:

Ниже добавьте директиву auth, чтобы выбрать алгоритм дайджеста сообщения HMAC. Для этого SHA256 — хороший выбор:

Если, как и в этом руководстве, вы ранее выбрали другое имя во время команды ./build-key-server, измените строки сертификата и ключа, чтобы они указывали на соответствующие файлы .crt и .key. По умолчанию используется server , а в этом руководстве используется vpnserver.

Далее найдите строку, содержащую директиву dh, определяющую параметры Диффи-Хеллмана. Из-за некоторых недавних изменений, внесенных в EasyRSA, имя файла для ключа Диффи-Хеллмана может отличаться от того, что указано в примере файла конфигурации сервера. При необходимости измените имя файла, указанное здесь, удалив 2048, чтобы оно совпадало с ключом, созданным на предыдущем шаге:

Наконец, найдите настройки пользователя и группы и удалите ";" в начале каждой, чтобы раскомментировать эти строки:

Изменения, которые вы внесли в образец файла server.conf до этого момента, необходимы для работы OpenVPN.
По завершении сохраните и закройте файл.

После проверки и внесения любых изменений в конфигурацию OpenVPN вашего сервера, необходимых для вашего конкретного случая использования, вы можете начать вносить некоторые изменения в сеть вашего сервера.

Шаг 6. Запуск и включение службы OpenVPN

Прежде чем настраивать наши клиенты, давайте удостоверимся, что сервер OpenVPN работает так, как мы надеемся.

Обязательно включите TUN/TAP на панели управления SSD-узлами.

Вы можете дважды проверить, работает ли OpenVPN, с помощью команды systemctl status:

Вам также потребуется настроить iptables для правильного направления трафика. Сначала найдите интерфейс по умолчанию.

Ваш вывод будет выглядеть следующим образом:

Поле eth0 — это то, что нам нужно. Затем настраиваем iptables. Чтобы убедиться, что это правило сохраняется между перезагрузками, установите пакет iptables — persistence, который предложит вам сохранить существующие правила. Выберите «Да», и ваши правила будут сохранены в дальнейшем.

Шаг 7. Настройка клиентов

Наконец, вам нужно создать конфигурации клиента. Вы можете хранить их в любой папке — их не нужно держать в секрете — если это не папка /etc/openvpn. Для этой цели мы создадим домашний каталог.

Теперь скопируйте образец конфигурации клиента в этот новый каталог, а затем откройте его в nano для редактирования.

Ищите следующий блок строк. Вам нужно будет изменить my-server-1 на общедоступный IP-адрес этого VPS. Вы можете найти эту информацию на панели инструментов SSD Nodes или ввести команду ifconfig и найти поле inet, которое не похоже на 127.0.0.x.

Далее раскомментируйте следующие две строки, удалив точку с запятой.

После:

Поскольку мы будем добавлять ключи и сертификаты непосредственно в файл .ovpn, давайте закомментируем следующие строки, добавив точку с запятой в начале.

После:

Наконец, перейдите в конец файла и добавьте следующие строки. Первые два отражают параметры шифрования/аутентификации, которые мы ранее добавили в файл server.conf, а третий устанавливает, что эти файлы будут использоваться для подключения к серверу, а не наоборот.

Мы также добавляем три закомментированных файла, которые следует раскомментировать для систем на базе Linux, использующих update-resolv-conf .

Наконец, вам нужно встроить ключи и сертификаты в файл .ovpn, используя base.conf в качестве основы. Скопируйте всю эту команду и выполните ее, чтобы внедрить ключи и создать окончательный файл client1.ovpn.

В этом руководстве не будут подробно рассматриваться конфигурации клиента, но мы расскажем об одном простом способе передачи файла .ovpn на ваш клиент Linux или OS X. Эта команда подключится к вашему VPS по ssh, а затем с помощью команды cat запишет новый файл client1.ovpn на ваш локальный компьютер.

После того как вы настроите свой клиент, вы сможете подключиться к VPN и получить через него доступ к более широкому Интернету.

Теперь вы используете OpenVPN в Debian 10, чтобы сохранить конфиденциальность ваших данных в Интернете.

Поздравляем! Теперь вы можете просматривать Интернет в основном анонимно. Ваш VPN может скрыть от вашего интернет-провайдера данные о ваших просмотрах и добавить дополнительный уровень шифрования для важной информации.

Однако VPN не является полным плащом-невидимкой.

Это не означает, что вы перестали существовать. Некоторую деятельность все еще можно отследить, особенно со стороны правоохранительных органов. Поэтому узнайте, что он может и чего не может сделать для вас, чтобы не навлечь на себя неприятности.

Если вам нужен более автоматизированный метод установки OpenVPN, а также несколько других вариантов VPN, рассмотрите возможность попробовать наш учебник Streisand, чтобы узнать о другом популярном VPN, который вы можете использовать на своем VPS.

Читайте также: