Se servery VPN se setkáváte hlavně v podnikovém světě: umožňují zaměstnancům bezpečný přístup k firemní síti na silnici nebo z domova. Server VPN se však může hodit, i když jste na cestách sami a chcete bezpečněji přistupovat k internetu nebo přistupovat k souborům v domácí síti.
Tip 01: Protokoly VPN
Existuje spousta služeb VPN a některé můžete používat zdarma i bez příliš mnoha omezení, například ProtonVPN. Prostřednictvím klientského softwaru ve vašem mobilním zařízení nebo počítači se poté připojíte k jednomu z nabízených serverů VPN a poté můžete přes takový server pokračovat na internetu.
Přístup tohoto článku je ambicióznější: v rámci naší domácí sítě nastavíme vlastní server VPN. Vpn znamená virtuální privátní síť (v holandštině se také nazývá virtuální privátní síť), což znamená, že propojujete sítě, které jsou od sebe fyzicky oddělené. Takové připojení běžně probíhá přes internet, což není zrovna nejbezpečnější prostředí. Proto je veškerý datový provoz šifrován prostřednictvím takového připojení VPN: mezi oběma sítěmi je vytvořen virtuální tunel.
K dispozici je několik protokolů VPN, včetně pptp, sstp, ikev2, l2tp / ipsec, OpenVPN a WireGuard. Ta druhá je velmi slibná, ale stále v plném vývoji a zatím není široce podporována. Zde jsme si vybrali OpenVPN, protože je to open source, má silné šifrování a je k dispozici téměř na všech platformách.
V tuto chvíli je OpenVPN stále považován za lepší protokol VPNRouter
Ve skutečnosti je váš router tím nejlepším místem pro nastavení serveru VPN ve vaší domácí síti. Nakonec veškerý datový provoz z webů, které navštívíte na silnici, nejprve projde vaším serverem VPN. Pokud je to váš směrovač, tento provoz se okamžitě vrátí zpět do vašeho mobilního zařízení. Pokud je váš server VPN na NAS nebo PC, musí datový provoz nejprve směřovat z vašeho routeru do tohoto zařízení a odtud zpět do vašeho routeru. Další přechodný krok, ale v praxi si toto zpoždění moc nevšimnete.
Mnoho běžných domácích směrovačů bohužel nemá možnost nastavit server VPN. Pokud ve vašem routeru skutečně chybí služba VPN, může firmware DD-WRT nabídnout cestu ven. Procházejte zde a zadejte model routeru. S trochou štěstí to říká Ano ve sloupci Podporováno a můžete si stáhnout soubor s firmwarem, pomocí kterého bude váš router blikat. Nezapomeňte, že tak citlivou operaci provádíte výhradně na své vlastní riziko! Pokyny najdete zde.
Tip 02: Instalace na nas
Nejprve vám ukážeme, jak nainstalovat server OpenVPN na NAS. Známí výrobci NAS, jako jsou QNAP a Synology, nabízejí vlastní aplikaci pro přidání serveru VPN. Podíváme se, jak to udělat na zařízení Synology NAS s nedávnou verzí DiskStation Manager (DSM). Navažte spojení s webovým rozhraním DSM, výchozí adresa je: 5000 nebo: 5001.
Otevři to Centrum balíčků, připojit Všechny balíčky hledá aplikaci Server VPN a klikněte na něj instalovat. Po instalaci klikněte na Otevřít: server dokáže zpracovat některé protokoly VPN, jsou uvedeny PPTP, L2TP / IPSec a OpenVPN. V zásadě mohou být dokonce aktivní současně, ale omezujeme se na protokol OpenVPN. klikněte na OpenVPN a vedle něj zaškrtněte Povolte server OpenVPN. Nastavte virtuální interní IP adresu pro váš server vpn. Ve výchozím nastavení je nastavena na 10.8.0.1, což znamená, že klienti VPN v zásadě dostanou adresu mezi 10.8.0.1 a 10.8.0.254. Můžete si vybrat z rozsahu IP adres mezi 10.0.0.1 a 10.255.255.1, mezi 172.16.0.1 a 172.31.255.1 a mezi 192.168.0.1 a 192.168.255.1. Ujistěte se, že se rozsah nepřekrývá s IP adresami, které se aktuálně používají ve vaší místní síti.
Na některých zařízeních nas máte okamžitě nainstalovaný server OpenVPN Tip 03: Volba protokolu
Ve stejném konfiguračním okně také definujete maximální počet současných připojení, stejně jako port a protokol. Výchozí je port 1194 a protokol UDP a to normálně funguje dobře. Pokud již na tomto portu máte spuštěnou jinou službu, samozřejmě nastavíte jiné číslo portu.
Kromě toho můžete také zvolit tcp místo udp. Tcp má vestavěnou opravu chyb a kontroluje, zda každý bit dorazil správně. To poskytuje větší stabilitu připojení, ale je o něco pomalejší. Udp je naproti tomu „protokol bez státní příslušnosti“ bez opravy chyb, díky čemuž je vhodnější pro streamovací služby, kde je ztráta počtu bitů obvykle méně špatná.
Naše rada: nejprve vyzkoušejte udp. Poté můžete experimentovat a zvolit například port TCP 8080 nebo dokonce port https 443, protože je obvykle méně pravděpodobné, že budou blokovány (firemním) firewallem. Pamatujte, že musíte také nastavit vybraný protokol v nastavení přesměrování portů (viz tip 5).
Ostatní možnosti v konfiguračním okně můžete obvykle nechat nedotčené. Potvrďte své volby pomocí Použít.
Tip 04: Exportujte konfiguraci
Ve spodní části okna najdete tlačítko Exportovat konfiguraci. Tím se exportuje soubor ZIP, který se rozbalil, a vytvoří se certifikát (.crt) i konfigurační profil (.ovpn). Soubor ovpn potřebujete pro své klienty OpenVPN (viz také tipy 6 až 8). Otevřete soubor ovpn pomocí programu Poznámkový blok. Vyměňte indikaci v (třetím) řádku YOUR_SERVER_IP ve vzdáleném YOUR_SERVER_IP 1194 externí IP adresou vašeho routeru a označením 1194 podle portu nastaveného v konfiguračním okně OpenVPN. Tuto externí IP adresu zjistíte rychle, když přejdete z interní sítě na web jako www.whatismyip.com (viz rámeček „Ddns“). Tuto IP adresu můžete také nahradit názvem hostitele, například službou ddns (viz stejné pole).
O něco dále v souboru ovpn uvidíte řádek # redirect-gateway def1. Zde odeberete hash, takže redirect-gateway def1. Tato možnost zajišťuje, že v podstatě veškerý síťový provoz je směrován přes VPN. Pokud to způsobí problémy, resetujte původní řádek. Více informací o tomto (a o dalších technických problémech OpenVPN) najdete zde.
Uložte upravený soubor se stejnou příponou.
Ddns
Zvenku obvykle přistupujete k domácí síti prostřednictvím veřejné IP adresy routeru. Tuto adresu zjistíte, když procházíte ze své sítě na stránky jako www.whatismyip.com. Je pravděpodobné, že váš poskytovatel přidělil tuto adresu IP dynamicky, takže nemáte žádnou záruku, že tato adresa IP zůstane vždy stejná. To je nepříjemné, pokud chcete pravidelně přistupovat k vaší síti (a vašemu serveru OpenVPN) zvenčí.
Dynamická služba dns (ddns) nabízí možnou cestu ven. Tím je zajištěno, že pevný název domény je propojen s touto IP adresou a jakmile se adresa změní, přidružený nástroj ddns (který běží lokálně někde ve vaší síti, například na vašem routeru, NAS nebo PC), dá novou adresu vědět. služba ddns, která odkaz okamžitě aktualizuje. Jedním z nejflexibilnějších poskytovatelů bezplatných ddns je Dynu.
Tip 05: Přesměrování portů
Zobrazí se zpráva s výzvou ke kontrole nastavení přesměrování portů a brány firewall s ohledem na nastavený port (standardně tedy 1194 udp).
Začínáme s firewallem. Měli byste přistupovat k serveru OpenVPN přes port udp 1194 a pak si musíte být jisti, že váš firewall tento port neblokuje. Bránu firewall na svém nas naleznete přes Karta Ovládací panely / Zabezpečení / Brána firewall. Je-li firewall povolen, zkontrolujte pomocí tlačítka Upravit pravidla zda dotyčný port není uzamčen. To platí také pro bránu firewall na routeru, pokud je povolena.
Koncept přesměrování portů je složitější. Chcete-li se k serveru OpenVPN dostat z vnějšku své interní sítě, budete muset použít veřejnou IP adresu vašeho routeru. Pokud požadujete připojení OpenVPN s portem UDP 1194 prostřednictvím této adresy IP, musí váš směrovač vědět, na který počítač má předat požadavek na provoz tohoto portu, a v našem případě to je interní adresa IP vašeho nas.
V příručce k routeru se dozvíte, jak správně nastavit přesměrování portů, nebo navštivte stránky http://portforward.com/router, kde najdete další pokyny.
Obecně to vypadá takto: přihlaste se do webového rozhraní routeru, vyhledejte (pod) sekci jako Přesměrování portů a přidejte položku s následujícími informacemi: název aplikace, nas ip adresa, interní port, externí port a protokol. Může to být například: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Potvrďte změny.
Váš server OpenVPN může vyžadovat nějakou klíčovou práci na bráně firewall a směrovači Samostatný server OpenVPN
Pokud nemáte NAS a váš router nepodporuje OpenVPN, můžete si takový server OpenVPN nastavit sami v počítači s Linuxem nebo Windows.
Takový postup je třeba udělat. Musíte projít různými kroky a také pod Windows se to děje hlavně z příkazového řádku. Po instalaci softwaru OpenVPN Server (viz tip 8) je třeba vytvořit certifikát CA, následovaný vytvořením certifikátů pro server a potřebné klienty OpenVPN. Potřebujete také takzvané parametry DH (Diffie-Hellman) a také klíč TLS (zabezpečení transportní vrstvy). Nakonec i zde musíte vytvořit a upravit soubory ovpn a ujistit se, že váš server umožňuje potřebný provoz.
Prostřednictvím tohoto odkazu najdete podrobný plán pro Windows 10, pro Ubuntu prostřednictvím tohoto odkazu.
Tip 06: Profil mobilního klienta
Nastavení serveru OpenVPN je prvním krokem, ale poté se k serveru musíte připojit z jednoho nebo více klientů VPN (například notebooku, telefonu nebo tabletu). Začneme připojením mobilního klienta.
Pro iOS i Android je navázání připojení nejjednodušší s klientskou aplikací OpenVPN, pokud je zdarma OpenVPN Connect. Tuto aplikaci najdete v oficiálních obchodech s aplikacemi pro Android i Apple.
Jako příklad si vezmeme Android. Stáhněte a nainstalujte si aplikaci. Před spuštěním aplikace se ujistěte, že je soubor profilu ovpn ve vašem mobilním zařízení (viz tip 4). V případě potřeby to můžete provést objížďkou prostřednictvím služby, jako je WeTransfer, nebo služby cloudového úložiště, jako je Dropbox nebo Disk Google. Start OpenVPN Connect a vybrat Profil OVPN. Potvrďte pomocí Dovolit, vyhledejte stažený soubor VPNconfig.ovpn a vyberte Import. Pokud chcete později přidat další profily, můžete jednoduše použít tlačítko plus.
Tip 07: Připojení klienta
Zadejte vhodný název pro vaše připojení VPN a vyplňte správné informace Uživatelské jméno a Heslo. Tyto přihlašovací údaje musí samozřejmě mít přístup k vašemu serveru VPN na serveru Synology nas, který otevřete Server VPN kategorie Práva a umístit šek vedle zamýšlených uživatelů OpenVPN. Můžete si vybrat, zda si chcete heslo zapamatovat, pokud to považujete za dostatečně bezpečné. Potvrďte pomocí Přidat. Profil byl přidán, klepnutím na něj zahájíte připojení.
Aplikace si možná stěžuje, že soubor profilu nemá certifikát klienta (má certifikát serveru), protože zařízení Synology NAS to takhle negeneruje. To je o něco méně bezpečné, protože není ověřeno, zda se jedná o autorizovaného klienta, ale samozřejmě potřebujete uživatelské jméno a heslo, abyste skutečně získali přístup. Takže můžete tady Kontinuální vybrat. Pokud vše půjde dobře, připojení bude navázáno o něco později. To si všimnete na ikoně klíče v horní části úvodní obrazovky.
Tip 08: Klient Windows
Pro Windows si stáhnete instalační program Windows 10 z grafického uživatelského rozhraní OpenVPN, existuje také verze pro Windows 7 a 8 (.1). Nainstalujte nástroj. Pokud plánujete instalaci serveru OpenVPN také ve Windows (viz rámeček „Samostatný server OpenVPN“), zaškrtněte políčko vedle Skripty pro správu certifikátů EasyRSA 2. Po zobrazení výzvy také povolte instalaci ovladače TAP.
Poté najdete ikonu OpenVPN GUI na ploše. Pokud ne, spusťte program z výchozí instalační složky C: \ ProgramSoubory \ OpenVPN \ bin. Instalace by měla zajistit, že nemusíte nástroj spouštět jako správce. Pokud to z jakéhokoli důvodu nefungovalo, klepněte pravým tlačítkem myši na soubor programu a vyberte stále Spustit jako administrátor.
Ukažte programu cestu k souboru profilu ovpn (viz tip 4). Klikněte pravým tlačítkem na ikonu OpenVPN GUI na hlavním panelu systému Windows a vyberte Importovat soubor, pak vyberte soubor VPNConfig.ovpn. Poté klikněte na ve stejné nabídce Pro připojení a vyplňte potřebné přihlašovací údaje. Ve stavovém okně můžete sledovat nastavení připojení VPN a dole můžete také přečíst přidělenou IP adresu.
Pokud narazíte na problémy, klikněte v nabídce na Zobrazit soubor protokolu. Ve výchozím nastavení se služba OpenVPN spouští společně s Windows: můžete to provést pomocí Nastavení na kartě Všeobecné. Zkontrolujte také, zda váš firewall neblokuje připojení.
