So servermi VPN sa stretávate hlavne v podnikovom svete: umožňujú zamestnancom bezpečný prístup k firemnej sieti na cestách alebo z domu. Napriek tomu môže byť server VPN vhodný aj vtedy, keď ste na cestách sami a chcete mať bezpečnejší prístup na internet alebo k súborom v domácej sieti.
Tip 01: Protokoly VPN
Existuje veľa služieb VPN a niektoré môžete používať zadarmo aj bez prílišného obmedzenia, napríklad ProtonVPN. Cez klientsky softvér vo vašom mobilnom zariadení alebo počítači sa potom pripojíte k jednému z ponúkaných serverov VPN, po ktorom môžete cez tento server pokračovať na internete.
Prístup tohto článku je ambicióznejší: v rámci našej domácej siete nastavíme vlastný server VPN. Vpn znamená virtuálna súkromná sieť (v holandčine sa tiež nazýva virtuálna súkromná sieť), čo znamená, že pripájate siete, ktoré sú od seba fyzicky oddelené. Takéto pripojenie bežne funguje cez internet, čo nie je práve najbezpečnejšie prostredie. Preto je všetka dátová prevádzka šifrovaná pomocou takéhoto pripojenia VPN: medzi týmito dvoma sieťami sa vytvára virtuálny tunel.
K dispozícii je niekoľko protokolov VPN, napríklad pptp, sstp, ikev2, l2tp / ipsec, OpenVPN a WireGuard. Posledný menovaný je veľmi sľubný, ale stále je v plnom vývoji a zatiaľ nie je široko podporovaný. Vyberáme si tu OpenVPN, pretože je to open source, má silné šifrovanie a je k dispozícii takmer na všetkých platformách.
V súčasnosti sa OpenVPN stále považuje za lepší protokol VPNRouter
Váš router je v skutočnosti najlepším miestom na nastavenie servera VPN vo vašej domácej sieti. Nakoniec, všetka dátová prevádzka z webov, ktoré navštívite na cestách, najskôr pôjde cez váš server VPN. Ak je to váš smerovač, táto prevádzka sa okamžite vráti späť do vášho mobilného zariadenia. Ak je váš server VPN na NAS alebo PC, dátový prenos musí najskôr smerovať z vášho smerovača do tohto zariadenia a odtiaľ späť do vášho smerovača. Medzikrok navyše, ale v praxi si toto oneskorenie moc nevšimnete.
Mnoho bežných domácich smerovačov bohužiaľ nemá možnosť nastaviť server VPN. Ak vášmu smerovaču skutočne chýba služba VPN, firmvér DD-WRT môže ponúknuť cestu von. Prejdite tu a zadajte model smerovača. Pri troche šťastia sa hovorí Áno v stĺpci Podporované a môžete si stiahnuť súbor s firmvérom, aby s ním flashoval váš smerovač. Nezabudnite, že takúto citlivú operáciu vykonáte výlučne na svoje vlastné riziko! Pokyny nájdete tu.
Tip 02: Inštalácia na nas
Najprv si ukážeme, ako nainštalovať server OpenVPN na NAS. Známi výrobcovia zariadení NAS, ako sú QNAP a Synology, ponúkajú vlastnú aplikáciu na pridanie servera VPN. Pozrime sa, ako to urobiť na zariadení Synology NAS s najnovšou verziou programu DiskStation Manager (DSM). Vytvorte spojenie s webovým rozhraním systému DSM, predvolená adresa je: 5 000 alebo: 5001.
Otvor to Centrum balíkov, pripojiť sa Všetky balenia hľadá aplikáciu Server VPN a kliknite na ňu inštalovať. Po inštalácii kliknite na Na otvorenie: server dokáže spracovať niektoré protokoly VPN, sú uvedené v zozname PPTP, L2TP / IPSec a OpenVPN. V zásade môžu byť dokonca aktívne súčasne, obmedzujeme sa však na protokol OpenVPN. kliknite na OpenVPN a vedľa neho začiarknite políčko Povoliť server OpenVPN. Nastavte virtuálnu internú adresu IP pre váš server vpn. Predvolene je nastavená na 10.8.0.1, čo znamená, že klienti VPN dostanú v zásade adresu medzi 10.8.0.1 a 10.8.0.254. Môžete si vybrať z rozsahu adries IP medzi 10.0.0.1 a 10.255.255.1, medzi 172.16.0.1 a 172.31.255.1 a medzi 192.168.0.1 a 192.168.255.1. Skontrolujte, či sa rozsah neprekrýva s adresami IP, ktoré sa momentálne používajú v miestnej sieti.
Na niektorých zariadeniach nas máte server OpenVPN nainštalovaný behom okamihu Tip 03: Voľba protokolu
V rovnakom konfiguračnom okne tiež definujete maximálny počet súčasných pripojení, ako aj port a protokol. Predvolený je port 1194 a protokol UDP a to normálne funguje dobre. Ak už na danom porte máte spustenú inú službu, samozrejme nastavíte iné číslo portu.
Ďalej môžete tiež zvoliť tcp namiesto udp. Tcp má zabudovanú korekciu chýb a kontroluje, či každý bit dorazil správne. To poskytuje väčšiu stabilitu pripojenia, ale je o niečo pomalšie. Udp je na druhej strane „protokol bez štátnej príslušnosti“ bez korekcie chýb, vďaka čomu je vhodnejší pre streamovacie služby, kde je strata počtu bitov zvyčajne menej zlá.
Naša rada: najskôr vyskúšajte udp. Potom môžete experimentovať a zvoliť napríklad port TCP 8080 alebo dokonca port https 443, pretože je zvyčajne menej pravdepodobné, že ich zablokuje (firemný) firewall. Nezabúdajte, že v nastaveniach presmerovania portov musíte nastaviť aj vybraný protokol (pozri tip 5).
Ostatné možnosti v konfiguračnom okne môžete zvyčajne nechať nedotknuté. Svoje voľby potvrďte pomocou Uplatňovať.
Tip 04: Exportujte konfiguráciu
V spodnej časti okna nájdete tlačidlo Exportovať konfiguráciu. Týmto sa exportuje súbor ZIP, ktorý sa rozbalil, a vytvorí sa certifikát (.crt) aj konfiguračný profil (.ovpn). Pre svojich klientov OpenVPN potrebujete súbor ovpn (pozri tiež tipy 6 až 8). Otvorte súbor ovpn pomocou programu Poznámkový blok. Nahraďte údaj v (treťom) riadku YOUR_SERVER_IP vo vzdialenom YOUR_SERVER_IP 1194 externou IP adresou vášho smerovača a označením 1194 podľa portu, ktorý ste nastavili v konfiguračnom okne OpenVPN. Túto externú adresu IP zistíte rýchlo, keď prejdete z internej siete na web ako www.whatismyip.com (pozri rámček „Ddns“). Túto adresu IP môžete tiež nahradiť názvom hostiteľa, napríklad službou ddns (pozri rovnaké políčko).
O niečo ďalej v súbore ovpn uvidíte riadok # redirect-gateway def1. Tu odstránite hash, takže redirect-gateway def1. Táto možnosť zaisťuje, že v podstate je všetok sieťový prenos smerovaný cez VPN. Ak to spôsobuje problémy, obnovte pôvodný riadok. Viac informácií o tomto (a o ďalších technických problémoch s OpenVPN) nájdete tu.
Uložte upravený súbor s rovnakou príponou.
Ddns
Z vonkajšej strany sa zvyčajne dostanete do domácej siete prostredníctvom verejnej adresy IP smerovača. Túto adresu zistíte, keď surfujete zo svojej siete na stránky ako www.whatismyip.com. Je pravdepodobné, že váš poskytovateľ pridelil túto adresu IP dynamicky, takže nemáte záruku, že táto adresa IP zostane vždy rovnaká. To je nepríjemné, ak sa pravidelne chcete dostať do svojej siete (a na svoj server OpenVPN) zvonku.
Dynamická služba dns (ddns) ponúka možné východisko. To zaisťuje, že pevný doménový názov je prepojený s touto IP adresou a akonáhle sa adresa zmení, pridružený nástroj ddns (ktorý beží lokálne niekde vo vašej sieti, napríklad na vašom smerovači, NAS alebo PC) oznámi novú adresu. služba ddns, ktorá odkaz okamžite aktualizuje. Jedným z najflexibilnejších poskytovateľov bezplatných sietí ddns je Dynu.
Tip 05: Presmerovanie prístavu
Zobrazí sa správa s výzvou na kontrolu nastavení presmerovania portov a brány firewall s ohľadom na nastavený port (štandardne teda 1194 udp).
Začíname s bránou firewall. Mali by ste sa k serveru OpenVPN dostať cez port udp 1194 a potom musíte mať istotu, že brána firewall tento port neblokuje. Firewall vo vašom NAS nájdete cez Karta Ovládací panel / Zabezpečenie / Brána firewall. Ak je povolený firewall, skontrolujte pomocou tlačidla Upraviť pravidlá či daný port nie je zamknutý. To platí aj pre bránu firewall na smerovači, ak je povolená.
Koncept presmerovania portov je zložitejší. Ak sa chcete na server OpenVPN dostať z vonkajšej strany svojej internej siete, budete musieť použiť verejnú adresu IP smerovača. Ak požadujete pripojenie OpenVPN s portom UDP 1194 prostredníctvom tejto adresy IP, musí váš smerovač vedieť, na ktorý počítač má postúpiť požiadavku na prenos tohto portu, a v našom prípade to je interná adresa IP vášho servera nas.
V príručke k smerovaču nájdete informácie o správnom nastavení presmerovania portov. Ďalšie pokyny nájdete na stránke http://portforward.com/router.
Spravidla to vyzerá takto: prihláste sa do webového rozhrania smerovača, vyhľadajte (pod) sekciu ako Presmerovanie prístavu a pridajte položku s nasledujúcimi informáciami: názov aplikácie, nas ip adresa, interný port, externý port a protokol. Môže to byť napríklad: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Potvrďte zmeny.
Váš server OpenVPN môže vyžadovať určité kľúčové práce na bráne firewall a smerovači Samostatný server OpenVPN
Ak nemáte NAS a váš smerovač nepodporuje OpenVPN, môžete si tento server OpenVPN nastaviť sami v počítači so systémom Linux alebo Windows.
Takýto postup si určite vyžaduje. Musíte prejsť rôznymi krokmi a tiež pod Windows sa to deje hlavne z príkazového riadku. Po inštalácii softvéru OpenVPN Server (pozri tip 8) je potrebné vytvoriť certifikát CA a následne vytvoriť certifikáty pre server a potrebných klientov OpenVPN. Potrebujete tiež takzvané parametre DH (Diffie-Hellman), ako aj kľúč TLS (zabezpečenie transportnej vrstvy). Nakoniec aj tu musíte vytvoriť a upraviť súbory ovpn a ubezpečiť sa, že váš server umožňuje potrebný prenos.
Cez tento odkaz nájdete podrobný plán pre Windows 10, pre Ubuntu cez tento odkaz.
Tip 06: Profil mobilného klienta
Nastavenie servera OpenVPN je prvý krok, ale potom sa k serveru musíte pripojiť z jedného alebo viacerých klientov VPN (napríklad z vášho notebooku, telefónu alebo tabletu). Začíname pripojením mobilného klienta.
Pre iOS aj Android je nadviazanie spojenia najjednoduchšie pomocou klientskej aplikácie OpenVPN, ak je bezplatná OpenVPN Connect. Túto aplikáciu nájdete v oficiálnych obchodoch s aplikáciami pre Android aj Apple.
Ako príklad si berieme Android. Stiahnite a nainštalujte si aplikáciu. Pred spustením aplikácie sa uistite, že je súbor profilu ovpn vo vašom mobilnom zariadení (pozri tip 4). V prípade potreby to môžete urobiť obchádzkou prostredníctvom služby ako WeTransfer alebo služby cloudového úložiska ako Dropbox alebo Google Drive. Štart OpenVPN Connect a vyber si Profil OVPN. Potvrďte pomocou Dovoliť, pozrite si stiahnutý súbor VPNconfig.ovpn a vyberte Import. Ak chcete neskôr pridať ďalšie profily, môžete jednoducho použiť tlačidlo plus.
Tip 07: Pripojenie klienta
Zadajte vhodný názov pre vaše pripojenie VPN a vyplňte správne informácie Užívateľské meno a Heslo. Tieto prihlasovacie údaje musia samozrejme mať prístup k vášmu serveru VPN na serveri Synology nas, ktorý otvoríte na Server VPN kategórie Práva a umiestniť šek vedľa zamýšľaných používateľov OpenVPN. Možno si zvolíte, že si chcete heslo zapamätať, ak to považujete za dostatočne bezpečné. Potvrďte pomocou Pridať. Profil bol pridaný, klepnutím naň spustíte pripojenie.
Aplikácia si môže sťažovať, že súbor profilu nemá certifikát klienta (má certifikát servera), pretože server Synology NAS to len tak negeneruje. To je o niečo menej bezpečné, pretože sa neoveruje, či ide o autorizovaného klienta, ale na získanie skutočného prístupu samozrejme potrebujete používateľské meno a heslo. Takže môžete tu Kontinuálne vyberte. Ak všetko pôjde dobre, spojenie sa nadviaže o niečo neskôr. To si všimnete na ikone kľúča v hornej časti úvodnej obrazovky.
Tip 08: Klient Windows
Pre Windows si stiahnete inštalačný program Windows 10 z grafického používateľského rozhrania OpenVPN, k dispozícii je aj verzia pre Windows 7 a 8 (.1). Nainštalujte nástroj. Ak plánujete inštaláciu servera OpenVPN aj v systéme Windows (pozri rámček „Samostatný server OpenVPN“), začiarknite políčko vedľa Skripty na správu certifikátov EasyRSA 2. Po výzve tiež povoliť inštaláciu ovládača TAP.
Potom nájdete ikonu OpenVPN GUI na pracovnej ploche. Ak nie, spustite program z predvoleného inštalačného priečinka C: \ ProgramSúbory \ OpenVPN \ bin. Inštalácia by mala zabezpečiť, aby ste nástroj nemuseli spúšťať ako správca. Ak to z akéhokoľvek dôvodu nefungovalo, kliknite pravým tlačidlom myši na súbor programu a vyberte možnosť stále Spustiť ako správca.
Ukážte programu cestu k vášmu profilovému súboru ovpn (pozri tip 4). Pravým tlačidlom myši kliknite na ikonu OpenVPN GUI na systémovej lište Windows a zvoľte Importovať súbor, potom vyberte súbor VPNConfig.ovpn. Potom kliknite na v rovnakom menu Spojiť a vyplňte potrebné prihlasovacie údaje. V stavovom okne môžete sledovať nastavenie pripojenia VPN a dole si môžete prečítať aj pridelenú adresu IP.
Ak narazíte na problém, kliknite na v ponuke Zobraziť súbor denníka. V predvolenom nastavení sa služba OpenVPN spúšťa spolu s Windows: môžete to urobiť v časti Nastavenia na karte Všeobecné. Skontrolujte tiež, či brána firewall neblokuje pripojenie.
