Hogyan készíthet saját ingyenes VPN-t az Amazon Web Services segítségével

Az Internet-felhasználók elkényeztetik a választást a VPN-szolgáltatások vonatkozásában, ám havi előfizetésre van szükségük, nem biztonságosak, vagy egyszerűen lassúak. Szerencsére vannak alternatívák. Egy kicsit több technikai know-how-t igényelnek, de ha azt akarja, hogy valami helyesen történjen, akkor ezt magának is meg kell tennie.


A saját VPN elkészítésének megismeréséhez nézze meg a videót, vagy olvassa el a cikket. Vegye figyelembe, hogy a cikk néhány hasznos parancsot és konfigurációs szöveget tartalmaz, amelyeket Ön kényelme érdekében másolhat és beilleszthet. frissítés: a videó az easy-rsa régi verzióját használja, amely már nem érhető el. Amikor elérte a 8 perces jelet, kérjük, olvassa el ezt a cikket az rsa 3 egyszerű konfigurálásához.

Elkezdeni

Az Amazon Web Services egyéves ingyenes virtuális szerverterületet kínál, feltéve, hogy kevesebb, mint előre meghatározott mennyiségű sávszélességet, időt és helyet használ fel. Még ha meg is haladja ezt a korlátot, a szerverkép futtatásának költségei az Amazon Elastic Compute Cloud-ban valószínűleg alacsonyabbak, mint amennyit fizetne egy VPN-előfizetésért.

Az alábbiakban két különféle módszert ismertetünk az Amazon Elastic Cloud szolgáltatásának, más néven EC2-nek a felhasználására, az Ön kapcsolata elterelésére a választott magánhelyen: SSH Tunneling és OpenVPN. Mindegyiknek vannak előnyei és hátrányai, ezért használja az Ön igényeinek jobban megfelelőt. Nem számít, melyiket választja, a következőkre lesz szüksége:

  • Egy Amazon Web Services-fiók. Ehhez hitelkártya szükséges, de csak azért számít fel számláját, amit használ, ami valószínűleg semmi, ha körültekintően gondolkodik arról, amit csinál.
  • PuTTy, ha Windows rendszeren van. Az OpenSSH a Cygwin-en keresztül egy másik lehetőség, de fájdalomnak találtam. A Linux és a Mac számítógépeknek már vannak SSH kéréseik beépítve a dobozba és a terminálba. Szüksége lesz még a PuTTy nővére kulcsgeneráló programjára, a PuttyGenre is.
  • WinSCP vagy azzal egyenértékű FTP-kliens fájlok áthelyezésére a helyi számítógép és az EC2 példány között.
  • Az Unix-parancsok és a kiszolgálók együttműködése az ügyfelekkel kapcsolatos alapvető ismeretek nagyban segítenek a hibaelhárításban, ha valami nem a tervek szerint működik pontosan.
  • Az OpenVPN GUI, telepítve az alapértelmezett helyre és a számítógép alapértelmezett beállításaival

Az AWS beállítása

Miután feliratkozott egy Amazon Web Services-fiókra, a következő módon indíthatjuk el a VPN-hez használt szervert:

  1. Jelentkezzen be az Amazon Web Service fiókjába, és lépjen az EC2 irányítópultra.
    aws vpn frissítés 1
  2. A jobb felső sarokban kiválaszthatja azt a helyet, ahol a VPN-t beállítjuk. Kattintson a Példány indítása elemre.ec2 vpn 1
  3. Válassza ki azt a Linux AMI-t, amely fel van sorolva az „ingyenes réteg támogatható” kategóriába. A cikk írásakor ez az Amazon Linux AMI. Folytassa a következő lépéssel.ec2 vpn 2
  4. Itt válasszon egy t2.micro példányt, amely szintén ingyenes réteg támogatható. Kattintson a „Review and Launch” elemre.ec2 vpn 3
  5. A következő oldalon kattintson a gombra A biztonsági csoportok szerkesztése.Hogyan készíthet saját ingyenes VPN-t az Amazon Web Services segítségével
  6. A biztonsági csoportot szerkesztenie kell, hogy csak a számítógépről érkező forgalom engedélyezzék a VPN vagy a proxy elérését. Egy szabálynak már rendelkeznie kell az SSH-n keresztül a szerverhez történő kapcsolódáshoz, amelyet később használunk. Az OpenVPN kapcsolatok engedélyezéséhez, amelyek alapértelmezés szerint az 1194-es portot használják, újabb bejegyzést kell hozzáadnunk. Az egyszerűség kedvéért, a Bejövő lapon kattintson a Szabály hozzáadása gomb. Állítsa be a típus nak nek Egyedi UDP, az Port tartomány nak nek 1194, és a Forrás Bárhol.EC2 biztonsági csoport hozzáadása szabály gomb
  7. Találat Megment.EC2 biztonsági csoport bárhol az 1194-es porton
  8. Kattintson a „áttekintés és elindítás” elemre, majd a következő oldalon az „indítás” elemre.
  9. Most szeretne létrehozni egy kulcspárt, amely hasonlóan működik, mint például egy jelszó, amelyet a létrehozott virtuális szerverhez való csatlakozáshoz használ. Válassza a legördülő menüből az „új kulcspár létrehozása” elemet, és nevezze el, amit szeretne. Kattintson a gombra a kulcspár letöltéséhez. Tárolja biztonságosan valahol.ec2 vpn 5
  10. A következő oldalnak figyelmeztetnie kell arra, hogy a példány elindul. Görgessen az aljára és nyomja meg a „Példányok megtekintése” lehetőséget. Itt láthatja az összes elindított példány listáját, amely ha ez az első alkalom, hogy használja az EC2-t, akkor csak egy.

Csatlakozzon a szerverhez a PuTTy segítségével

Csatlakozhatunk az EC2 példányunkhoz a PuTTy segítségével, de először szükségünk van egy megfelelő kulcsfájlra a csatlakozáshoz. A PuTTy telepítésekor telepítenie kellett a PuTTygen-t is. Menj, és futtasd most. A PuTTy és a PuTTygen egyaránt kifogynak a dobozból .exe fájlok formájában, telepítés nélkül.ec2 vpn 7

  1. Nyissa meg a PuTTygen szoftvert, kattintson a Betöltés gombra.
  2. Keresse meg a korábban letöltött .pem kulcspár fájlt, és töltse be a Puttygenbe. Ki kell választania a megjelenő .pem kulcs összes fájltípusának megjelenítését. Találja meg a „Privát kulcs mentése” menüpontot. A fájlnévnek meg kell egyeznie a .pem kulccsal. Készíthet egy jelmondatot a magánkulcshoz, ha akar.ec2 vpn 6
  3. Most zárja be a PuTTygen-t és nyissa meg a PuTTy-t. Másolja a példány nyilvános IP-jét az EC2 konzolról a PuTTy-ba. Írja be a munkamenet nevét, és nyomja meg a Mentés gombot.ec2 vpn 8
  4. A bal oldali ablaktáblában keresse meg az „Auth” pontot az SSH alatt. Kattintson az alul lévő Tallózás gombra, és keresse meg az éppen létrehozott privát kulcsot.
  5. Visszatérve a Munkamenet fő oldalára, nevezze el és mentse el a munkamenet profilját, így a PuTTy legközelebbi használatakor gyorsan csatlakozhat. Ezután kattintson a Megnyitás gombra.
  6. Megjelenik egy prompt, amely felhasználónevet kér. Ez attól függ, milyen típusú kiszolgálót állított be az elején. Az Amazon Linux AMI esetében az „ec2-felhasználó”.

SSH alagút (opcionális)

Először is, csak a webes forgalmat irányítjuk az SSH alagút és egy proxy segítségével létrehozott példányon keresztül. Ez egy gyors és piszkos módszer a tűzfal vagy a földrajzi zárolás megkerülésére. Nem egészen VPN - ez a legmegfelelőbb a könnyű internetes forgalomhoz, és nem működik együtt mindennel - de a beállítás sokkal egyszerűbb. azonban, az SSH alagút beállítása teljesen opcionális, ezért nyugodtan ugorjon a következő szakaszra.

ec2 vpn 9

Nyissa fel a PuTTy-t, és bal fájdalom alatt keresse meg az Alagút lehetőséget. Adja hozzá a 8080-as portot az Auto és a Dinamika kiválasztásával. Menjen vissza a Munkamenet oldalra, és nyomja meg újra a Mentés gombot, így nem kell mindent újra tennie. Ezután kattintson a Megnyitás gombra.

ec2 vpn 10

Most már csatlakozik a szerverhez, de még mindig át kell irányítania a böngésző forgalmát rajta. Ha Firefoxot használ, ezt megteheti a böngésző beállításain. Ha Chrome-ot használ, töltse le a Proxy Switchy kiterjesztést. Ha inkább egy teljesen működőképes VPN-t kíván létrehozni, nem pedig csak böngészőjének proxyját, ugorjon a következő szakaszra.

Firefoxban:

  • Lépjen az Eszközök elemre > Opciók > Fejlett > Hálózat > Kapcsolat > Beállítások > Proxy kézi konfigurálása
  • Állítsa a SOCKS Hostot 127.0.0.1-re, a portot pedig 8080-ra (vagy bármire, amelyet az alagút-portra állítottál a PuTTy-n).
  • A mentéshez kattintson az OK gombra

A Chrome Proxy kapcsolójában

  • A telepítő oldalnak meg kell jelennie, amint telepíti a bővítményt, vagy kattintson a Chrome jobb felső sarkában lévő ikonra, majd az Opciók elemre.
  • Nevezze meg a profilt, amit csak akar. A Kézi konfigurálás alatt állítsa a SOCKS gazdagépet 127.0.0.1-re, és a portot 8080-ra (vagy bármire, amit az alagút-portra állítottál a PuTTy-ben. Hagyja, hogy minden más üres legyen).
  • Kattintson a Mentés gombra, majd kattintson újra az ikonra a proxy profiljának kiválasztásához.

ec2 vpn 11

Voálá! A böngésző forgalmát most az EC2-példányon keresztül csatornázzák. Ez jól működik az alapvető böngészésnél, de előfordulhat, hogy egyes webhelyek problémákba ütköznek, és az Ön böngészőjétől eltérő alkalmazások továbbra is a közvetlen kapcsolatot használják. Olvassa el a teljes bekapcsolt VPN-t, amely átirányítja az összes internetes forgalmat.

Állítsa be az OpenVPN-t a kiszolgálón és az ügyfélen

Az OpenVPN egy ingyenes nyílt forráskódú eszköz, amely lehetővé teszi a teljes beépített VPN futtatását az Amazon EC2 példányán keresztül. Ez azt jelenti, hogy az összes internetes forgalom megy keresztül, nem csak a böngésző forgalma, mint például a fenti proxy. Az asztali programok, például a Steam vagy a Spotify jobban működnek ezzel a megközelítéssel.

ec2 vpn 12

Csatlakoztassa az EC2 példányhoz a PuTTy segítségével a fenti utasításoknak megfelelően. Előtted kell lennie egy parancssornak, amelyben az Amazon Linux AMI van. Futtassa a következő parancsokat (írja be vagy másolja / illessze be őket, és nyomja meg az enter billentyűt):

sudo yum install -y openvpn
sudo modprobe iptable_nat
visszhang 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A POSTROUTING -s 10.4.0.1/2 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Csak egy gyors megjegyzés itt. Lehet, hogy a képernyőképen észrevette, hogy helytelenül próbáltam letölteni és telepíteni az OpenVPN-t az „apt-get” paranccsal, a „yum” helyett. A Linux néhány más verziója továbbra is az apt-get-t használja, tehát ha a yum nem működik érted, próbáld helyette ezt a parancsot:

sudo apt-get install -y openvpn

Az OpenVPN telepítésekor egy csomó szöveg villog a parancssorban. A másik három parancs beállítja az IP továbbítást, amely a VPN működéséhez szükséges.

1. módszer: PKI-hitelesítés beállítása az rsa segítségével (ajánlott)

Az oktatóanyag eredeti változatában statikus titkosítással és .ovpn fájllal állítottuk be az OpenVPN-t. Noha ez működik, egyszerre csak egy eszköz csatlakoztatását teszi lehetővé, és az a tény, hogy csak egy kulcsot használ, azt jelenti, hogy kevésbé biztonságos. Most azt javasoljuk az olvasóknak, hogy az easy-rsa segítségével állítsák be a hitelesítést, amely biztonságosabb és lehetővé teszi számtalan eszköz egyidejű csatlakoztatását. Ha azonban a régi statikus titkosítással rendelkező verziót szeretné használni, akkor kattintson ide.

2018. május frissítés: Ezt a cikket az easy-rsa 3 alkalmazáshoz frissítették.

Az OpenVPN és az easyrsa szerver beállítása

Ideális esetben az összes szükséges kulcsot és igazolást a VPN-kiszolgálótól különálló eszközön generálná a maximális biztonság érdekében. Ez azonban nagyon unalmas lehet, tehát csak az ügyfél és a szerver hitelesítő adatait generáljuk a szerveren, majd onnan áthelyezzük a fájlokat oda, ahova szükségünk van rájuk..

  1. Az Easy-rsa nem érhető el az alapértelmezett yum csomagok listájában, ezért engedélyezni kell az EPEL repo telepítését. Írja be a következőt a PuTTy terminálba és nyomja meg az Enter billentyűt:
    • sudo yum install easy-rsa -y --enablerepo = epel
  2. Készítsen egy Easy-rsa könyvtárat az OpenVPN telepítési könyvtárába. Másolja át az Easy-rsa telepítésből származó fájlokat (a legfrissebb verzió az írás időpontjában a 3.0.3) az új könyvtárba:
    • sudo mkdir / etc / openvpn / easy-rsa
      CD / etc / openvpn / easy-rsa
      sudo cp -Rv /usr/share/easy-rsa/3.0.3/*
  3. Most készen állunk a tanúsító hatóság felállítására. Kezdje egy új PKI (nyilvános kulcsú infrastruktúra) könyvtár inicializálásával, majd hozzon létre egy igazolási jogosultsági kulcspárt.
    • sudo ./easyrsa init-pki
      sudo ./easyrsa build-ca
  4. Írja be a PEM jelmondatot. Erre nincs szükség, de ajánlott. Ha valaki valamilyen módon megszerezte az ön hitelesítésszolgáltatóját, akkor nem tud kulcsot létrehozni vagy aláírni tanúsítványokat jelszó nélkül.
  5. A rendszer felszólítja a közös név megadására. Hívja, amit csak akar, vagy csak nyomja meg Belép hogy hagyja alapértelmezett értékként.
  6. Ezután előállítunk egy Diffie-Hellman kulcsot, amely tökéletes előzetes titkot biztosít:
    • sudo ./easyrsa gen-dh
  7. Ez a parancs eltarthat egy ideig. Ez létrehoz egy fájlt, az úgynevezett dh.pem. A befejezés után továbblépünk a szerver hitelesítő adataira. A kényelem kedvéért ezeket nem védjük meg jelszóval, ám mindenképpen szívesen megteszünk, ha még erősebb biztonságot akarunk.
    • sudo ./easyrsa gen-req szerver nopass
  8. Találat Belép hogy hagyja el a köznevet szerver. Miután a kulcspárt létrehozta, írja alá a tanúsítványt:
    • sudo ./easyrsa sign-req szerver kiszolgáló
  9. típus Igen megerősítéséhez és a CA jelszó megadásához, ha korábban beállította.
  10. Most felállítjuk az ügyfelet. Újra, nem fogunk beállítani erre a jelszóra, de szívesen látjuk. Vegye figyelembe, hogy ha az automatikus VPN indítást szeretné konfigurálni, akkor a legjobb, ha nem állít be jelszót.
    • ./ easyrsa gen-req kliens nopass
  11. Találat Belép hogy hagyja el a köznevet ügyfél. Most írja alá:
    • sudo ./easyrsa sign-req kliens kliens
  12. típus Igen megerősítéséhez és a CA jelszó megadásához, ha beállította.
  13. Ezután előállítunk egy TLS-kulcsot az OpenVPN-ben a tökéletes előremeneti titoktartáshoz, amely biztosítja, hogy a korábbi munkamenet adatait nem lehessen visszafejteni, még akkor sem, ha a támadó megkapja a privát kulcsunkat..
    • CD / etc / openvpn
      openvpn --genkey --secret pfs.key
  14. Most elkészítettük az összes szükséges hitelesítő fájlt. Ezután létrehozunk egy OpenVPN szerver konfigurációs fájlt. Az alábbiakban már készítettünk egyet neked, tehát mindössze annyit kell tennie, hogy lemásolja és beilleszti, ha már az elején követte. Először keresse meg az OpenVPN könyvtárat, és hozzon létre egy új fájlt:
    • CD / etc / openvpn
      sudo nano server.conf
  15. Most a nano szövegszerkesztőben vagy. Másolja és illessze be a következő konfigurációt, majd nyomja meg a gombot CTRL + O menteni, Belép megerősítésre, és CTRL + X kilépni. (Tipp: a jobb egérgombbal kattintva beilleszthet szöveget a vágólapra a PuTTy-be)
    • 1194-es port
      proto udp
      dev tun
      ca /etc/openvpn/easy-rsa/pki/ca.crt
      cert /etc/openvpn/easy-rsa/pki/issued/server.crt
      kulcs /etc/openvpn/easy-rsa/pki/private/server.key
      dh /etc/openvpn/easy-rsa/pki/dh.pem
      rejtjel AES-256-CBC
      auth SHA512
      szerver 10.8.0.0 255.255.255.0
      nyom "átirányítás-átjáró def1 bypass-dhcp"
      nyom "dhcp-option DNS 8.8.8.8"
      nyom "dhcp-option DNS 8.8.4.4"
      ifconfig-pool-persist ipp.txt
      tartósan 10 120
      comp-LZO
      fennállnak-kulcs
      fennállnak-tun
      status openvpn-status.log
      log-append openvpn.log
      3. ige
      tls-szerver
      tls-auth /etc/openvpn/pfs.key
  16. A szerver most konfigurálva van. Csak el kell indítanunk az OpenVPN-t. Szolgáltatásként indítjuk, így még a PuTTy bezárása után is folytatódni fog, amíg a szervert le nem állítják, vagy a szolgáltatást manuálisan nem fejezi be..
    • sudo service openvpn start

edit: Néhány olvasó rámutatott, hogy VPN szervereik a szerver újraindítás vagy karbantartás után megszűnnek. Ez alkalmanként fordul elő mikro-szintű EC2 esetekben. Ennek megakadályozása érdekében parancsot és bash script-t használunk Matt Doyle jóvoltából a megjegyzések részben. Kezdje ezzel a paranccsal:

sudo chkconfig openvpn on

Amíg még az etc / openvpn-ben vagy, használd nano server.sh új szövegfájl létrehozásához és a következő szöveg beillesztéséhez:

#! / Bin / sh
visszhang 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A POSTROUTING -s 10.4.0.1/2 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Használat CTRL + O menteni és CTRL + X kilépni.

A parancs biztosítja, hogy az OpenVPN elinduljon, amikor a kiszolgáló elindul, és a szkript biztosítja a szükséges útvonalak beállítását az iptable-kben az OpenVPN forgalom engedélyezéséhez..

Az OpenVPN és az easyrsa kliens beállítása

Most, hogy a szerver konfigurálva van, be kell állítanunk az ügyfelet. Ehhez a szükséges tanúsítványokat és kulcsfájlokat át kell helyeznünk szerverünkről kliens eszközünkre. Mivel a PuTTy még nyitva van és root felhasználóként fut, először meg kell változtatnunk a fájlok engedélyét, hogy hozzáférhessünk hozzájuk. Mindegyiket egy helyen helyezzük el, hogy egy kicsit könnyebbé váljunk.

  1. Ezeknek a fájloknak a eléréséhez root felhasználónak kell lennünk. Ehhez írja be:
    • sudo su
  2. Ez a root felhasználóvá teszi és adminisztratív jogosultságokat biztosít. Most írja be a következő parancsokat. Az utolsó parancs csökkenti a fájlok eléréséhez szükséges engedélyeket. Vegye figyelembe, hogy fontos, ha kész.
    • CD / etc / openvpn
      mkdir kulcsok
      cp pfs.key kulcsok
      cp /etc/openvpn/easy-rsa/pki/dh.pem kulcsok
      cp /etc/openvpn/easy-rsa/pki/ca.crt kulcsok
      cp /etc/openvpn/easy-rsa/pki/private/ca.key kulcsok
      cp /etc/openvpn/easy-rsa/pki/private/client.key kulcsok
      cp /etc/openvpn/easy-rsa/pki/issued/client.crt kulcsok
      chmod 777 *
  3. Ahhoz, hogy kiszolgálóinkról és a számítógépünkre visszük a fájlokat, a WinSCP nevű ingyenes programot használjuk. Csak használja az alapértelmezett telepítési lehetőségeket. Ha ez megtörtént, megjelenik egy ablak, amely felszólítja Önt, hogy importálja a szerver hitelesítési adatait a PuTTy alkalmazásból. Válasszon egyet, amelyet fent állítottunk, és folytassa.ec2 vpn 14
  4. Válassza ki a myvpn fájlt (vagy bármit, amit nevednek nevezte), és nyomja meg a Szerkesztés gombot. Begépel EC2-felhasználó felhasználói név alatt. Kattintson a Bejelentkezés elemre.
  5. Ha ez nem az első alkalom a WinSCP használatával, akkor a PuTTy alkalmazásban használt .ppk fájlt a szerkesztése és Fejlett. Menj SSH > Hitelesítés > Privát kulcsfájl és keresse meg a PPK fájlt.
  6. A főoldal gazdagépnév mezőjébe megadhatja az EC2 példány IP-címét vagy domainjét. Ne felejtse el menteni a beállításokat, majd nyomja meg a gombot Belépés.easyrsa 6
  7. A jobb oldali ablaktáblában keresse meg a kulcsfájlokat tartalmazó mappát, ebben az esetben / Etc / openvpn / kulcsokeasyrsa 7
  8. Jelölje ki a hat fájlt, amelyre szüksége lesz: client.crt, client.key, ca.crt, dh.pempfs.key, és ca.key (nem jelenik meg a cikk frissítése miatt). Hit a zöld Letöltés gomb. Nem igazán számít, hová mennek a bal oldali ablaktáblán, mindaddig, amíg nincs hozzá rendszergazdai jogosultság a hozzáféréshez. Az egyszerűség kedvéért az asztalra tesszük a fájlokat. A ca.key fájlt azonban biztonságosan tárolni kell, például egy USB-meghajtót.
  9. Az utolsó laza vég, amelyet meg kell kötnünk a ca.key fájl eltávolítása a szerverről. A hitelesítésszolgáltatót vagy igazolási hatóságot használják az ügyféltanúsítványok aláírására, és ha ez bármikor veszélybe kerül, soha többé nem bízhat az adott hitelesítésszolgáltató által kiadott tanúsítványokban. Míg a VPN működéséhez ez nem szükséges, erősen javasoljuk, hogy tegye, különösen, ha nem állított be jelszót a hitelesítésszolgáltatóhoz. A fájl eltávolítása előtt minden csatlakoztatni kívánt eszköz kulcsát és tanúsítványát meg kell adnia. Ha később még többet szeretne hozzáadni, akkor a ca.key fájlt vissza kell helyeznie a szerverre.
  10. Miután a CA-kulcsot biztonságosan tárolta a kiszolgálón kívül, menjen a PuTTy-ba, és távolítsa el az eredeti ca.key-t és a szerverről készült másolatot is:
    • sudo rm /etc/openvpn/easy-rsa/pki/private/ca.key
      sudo rm /etc/openvpn/keys/ca.key
  11. Miután a fájlok letöltöttek, vissza kell állítanunk a szigorúbb engedélyeket a szerveren, hogy nem csak bárki férhessen hozzá hozzájuk. Vissza a PuTTy-be:
    • CD / etc / openvpn / kulcsok
      sudo chmod 600 *
  12. A számítógépen vágja ki és illessze be az öt fájlt, ahonnan letöltötte őket, az OpenVPN konfigurációs mappájába. Ebben az esetben ez az C: // Program Files // OpenVPN // config.
  13. Végül létre kell hoznunk egy ügyfélkonfigurációs fájlt. Nyissa meg a kedvenc szöveges szerkesztőjét (a Notepad jól működik) a jobb egérgombbal kattintva és kiválasztva Futtatás rendszergazdaként illessze be a következő beállítást, helyettesítve a YOUR.EC2.INSTANCE.IP-t az EC2-példány IP-címével:
    • ügyfél
      dev tun
      proto udp
      távoli YOUR.EC2.INSTANCE.IP 1194
      ca cacrt
      tanúsító kliens.crt
      kulcs client.key
      tls-version-min 1.2
      TLS-rejtjel TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256: TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256: TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 : TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
      rejtjel AES-256-CBC
      auth SHA512
      végtelen felbontás
      automatikus újrapróbálkozás nincs
      nobind
      fennállnak-kulcs
      fennállnak-tun
      ns-cert típusú szerver
      comp-LZO
      3. ige
      tls-kliens
      tls-auth pfs.key
  14. Ez egy Windows konfigurációs fájl az OpenVPN grafikus felhasználói felülethez, tehát a következő formátumban tároljuk client.ovpn. Más OpenVPN kliensek inkább a .conf kiterjesztést használhatják. Akárhogy is legyen, ügyeljen arra, hogy a szövegszerkesztő a mentés után ne adjon hozzá .txt kiterjesztést. Mentse ugyanabba a helyre, ahol a kulcs és a tanúsító fájlok: C: \\ programfájlok \\ OpenVPN \\ konfigureasyrsa 8
  15. Most futtassa a OpenVPN GUI rendszergazda módban a jobb egérgombbal kattintva és kiválasztva Futtatás rendszergazdaként. Kattintson a jobb gombbal a tálcán lévő ikonra, és csatlakozzon a ügyfél konfiguráció, amelyet éppen beállítottunk. A képernyőn sok állapotban lévő állapotképernyő villog, majd az ikon zöldre vált.

Gratulálunk! Most már csatlakozik a házi VPN-hez.

2. módszer: Statikus titkosítás (könnyebb, de nem ajánlott)

Ebben a módszerben létrehozunk egy megosztott kulcsot a hitelesítéshez. Olyan, mint egy fájl, amely jelszóként működik. Könnyebb beállítani, de csak egyetlen eszköz egyidejű csatlakoztatását teszi lehetővé a VPN-hez, és kevésbé biztonságos, mint a fenti easy-rsa módszer..

  1. A PuTTy mezőbe írja be a következő parancsokat és nyomja meg az enter billentyűt:
    • CD / etc / openvpn
      sudo openvpn --genkey --secret ovpn.key
  2. Most létrehozunk egy szerver konfigurációs fájlt a VPN-hez. Írja be a következő parancsot egy üres szövegfájl létrehozásához egy nagyon egyszerű szövegszerkesztőben a terminálon belül:
    • sudo nano openvpn.conf
  3. Írja be a következő konfigurációt. További lehetőségeket találhat az OpenVPN webhelyen, ha később ezzel szeretne játszani, de győződjön meg róla, hogy tudja, mit csinál először.ec2 vpn 13
    • 1194-es port
      proto tcp-server dev tun1
      ifconfig 10.4.0.1 10.4.0.2
      status server-tcp.log
      3. ige
      titkos ovpn.key
  4. Most nyomja meg a CTRL + O billentyűkombinációt (az „O” betű nem nulla), és nyomja meg az Enter billentyűt a fájl mentéséhez. Ezután nyomja meg a CTRL + X billentyűt a szövegszerkesztőből való kilépéshez. Vissza a parancssorba, itt az ideje, hogy aktiválja az OpenVPN-t:
    • sudo service openvpn start
  5. Ezután meg kell szereznünk a megosztott kulcsot a szerverről a helyi számítógépre. Először meg kell változtatnunk a fájl engedélyét, hogy a következő paranccsal férhessünk hozzá:
    • sudo chmod 777 ovpn.key
  6. Ha bármikor véletlenül bezárja a PuTTy-t, vagy csak kikerül, akkor a következő parancs segítségével történő újbóli csatlakozás után visszatérhet a megnyitott VPN-telepítési könyvtárba:
    • CD / etc / openvpn
  7. Annak érdekében, hogy ez a lehető legegyszerűbb legyen, töltse le és telepítse ezt az ingyenes alkalmazást, a WinSCP-t (a Mac felhasználóknak meg kell találniuk egy másik FTP-klienst. Ne aggódj, nagyon sok ilyen van). Csak használja az alapértelmezett telepítési lehetőségeket. Ha ez megtörtént, megjelenik egy ablak, amely felszólítja Önt, hogy importálja a szerver hitelesítési adatait a PuTTy alkalmazásból. Válasszon egyet, amelyet fent készítettünk, és folytassa.ec2 vpn 14
  8. Válassza ki a myvpn fájlt (vagy bármit, amit nevednek nevezte), és nyomja meg a Szerkesztés gombot. Írja be az „ec2-user” felhasználónevet. Kattintson a Bejelentkezés elemre.ec2 vpn 15
  9. Most áthelyezheti a fájlokat az EC2 példánykiszolgáló és a helyi számítógép között. A jobb oldali panelen navigáljon, amennyire csak tud, majd lépjen az etc / openvpn oldalra. Itt található az ovpn.key fájl, amelyre szükségünk van. Kattintson és húzza a választott mappába, de ne feledje, hová helyezte, mert később át akarja helyezni.ec2 vpn 16
  10. Most, hogy megvan a kulcsa, újra kell alkalmaznunk a régi engedélyeket, hogy nem csak bárki megragadhatja azt. A PuTTy terminálon adja meg:
    • sudo chmod 600 ovpn.key
  11. Ideje letölteni az OpenVPN klienst és a felhasználói számítógépet a helyi számítógéphez. Lépjen az OpenVPN letöltések oldalra, és válassza ki az operációs rendszerének megfelelő verziót. Telepítse az alapértelmezett beállításokkal.
  12. Indítsa el az OpenVPN-t, és ikonként jelenjen meg a tálcán. Nyisson meg egy fájlkezelőt, és keresse meg az OpenVPN telepítésének helyét, valószínűleg a Program Files mappában. Helyezze át a szerverről letöltött opvn.key fájlt az itt található konfigurációs mappába (C: / Program Files / OpenVPN / config…, ha az alapértelmezett telepítési könyvtárat használta Windows rendszeren).
  13. Ezután létre kell hoznunk egy konfigurációs fájlt a helyi gép számára, hogy megfeleljen a szerverünkön készített fájlnak. Nyissa meg a Jegyzettömböt, és illessze be az alábbiakat, és az „IP” címet a „távoli” után cserélje ki az EC2 példányának IP-jére (ha elfelejtette, találja meg az AWS konzolban az EC2 példányok alatt). Ezenkívül ismételje meg, hogy a kulcsra mutató teljes fájl elérési út helyes-e.
    • proto tcp-kliens
      távoli
      1194-es port
      dev tun
      titok "C: \\ programfájlok \\ OpenVPN \\ config \\ ovpn.key"
      átirányítás-átjáró def1
      ifconfig 10.4.0.2 10.4.0.1
  14. Mentse el myconfig.ovpn formátumban (győződjön meg róla, hogy a szövegszerkesztő nem véletlenül nem tette hozzá Myconfig.ovpn.txt fájlként) az OpenVPN telepítésének konfigurációs mappájába, ugyanabba a helyre, mint az opvn.key fájl..ec2 vpn 17
  15. Kattintson a jobb egérgombbal a tálcán lévő OpenVPN ikonra, és kattintson a Kilépés gombra a kilépéshez. Most indítsa el újra - akár az asztali parancsikonból, vagy a Program Files mappából -, de ezúttal használja a jobb gombbal, és nyomja meg a “Futtatás rendszergazdaként” elemet. Ha nem futtatja az OpenVPN-t rendszergazdaként a Windows rendszeren, akkor valószínűleg nem fog működni.ec2 vpn 18
  16. Kattintson a jobb gombbal a tálca ikonra, majd kattintson a Csatlakozás gombra. Az OpenVPN grafikus felhasználói felületének fel kell lépnie, amely megmutatja a kapcsolat állapotát. Feltéve, hogy működött, a tálca ikon zöldre vált. Lépjen a Google-ba, írja be a „Mi az én IP-cím?” Elemet, és ennek vissza kell adnia az Amazon EC2 példány IP-címét.ec2 vpn 19

Gratulálunk, éppen létrehozta a saját VPN-jét!

További megjegyzések

Ha védni szeretné VPN-jét a mély csomagmegfigyelés ellen, egy olyan módszerrel, amelyet cenzúra-rendszerek használnak olyan helyeken, mint Kína és Szíria az OpenVPN kapcsolatok blokkolására, olvassa el az Obfsproxy beállításáról szóló útmutatót. Ne feledje, hogy ez az oktatóanyag a cikk második régebbi módszerének folytatásaként készült, tehát ha az Easy-rsa-t használta, akkor további konfigurációra lesz szükség.

Ne felejtse el tartani a sávszélességet az Amazon ingyenes szintjein belül. Ennek legegyszerűbb módja az, ha jobb egérgombbal kattint a példányra az AWS konzolban, és kattintson az „Riasztások hozzáadása / szerkesztése” linkre. Beállíthatja, hogy a kiszolgáló néhány óra tétlenség után leálljon, vagy akár leálljon. Az ingyenes réteg havonta 750 órát tesz lehetővé (amely az egész hónapot lefedi), tehát ezt nem kell tennie. Azok a felhasználók, akik már lejárták az első ingyenes szolgálati évüket, vagy többet csináltak a szerverükkel, meg tudják akadályozni a fel nem használt szerveridejért járó felesleges díjakat.

A bemutató valahol valószínűleg rosszul fog történni az ön számára. Ha valóban VPN-t akar, de nem hajlandó eleget tenni a hibaelhárításnak, akkor valószínűleg a legjobb, ha fizetős VPN-szolgáltatást választ. Ezenkívül lehetővé teszik az internetes forgalom több földrajzi helyre történő irányítását, míg az EC2 példány csak egyre korlátozódik. Nézze meg a VPN-véleményünket itt!

A DNS-kiszolgálók merev kódolása a VPN-be

Ha beállítania kell a DNS-kiszolgálók használatát a VPN-sel, akkor van néhány lehetőség.

A DNS-kiszolgáló ügyfélhez történő „tolásához” adjuk hozzá ezt a sort a kiszolgáló konfigurációjához. Ez az összes, a VPN-hez csatlakozó eszközt érinti (az idézetek mellékelve):

nyom "dhcp-option DNS 45.56.117.118"

Másik lehetőségként beállíthatja a DNS-t egy egyedi ügyfélkonfigurációban a következők használatával:

dhcp-option DNS 45.56.117.118

Ezekben a példákban az OpenNIC nyilvános DNS-kiszolgálót használtam névtelen naplózással az Egyesült Államokban. Megtalálhatja az OpenNIC szervert a választott országban, és itt szűrheti olyan szolgáltatásokkal, mint például a névtelen naplózás és a DNSCrypt..

Külön köszönet Dctr Watson blogjának, amelyre forrásként támaszkodtam a cikk írásakor.

Jon Watson (szerintem nincs kapcsolat) hozzájárult ehhez a cikkhez.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

3 + 3 =