Aby nedošlo k přeplatku za služby VPN třetích stran, doporučujeme vám použít tuto příručku k instalaci vlastního serveru VPN na virtuální počítač se systémem Linux. Vaše data tak budou zcela pod vaší kontrolou a chráněna před škodlivými útoky.
Serverová část byla nainstalována na VPS s Ubuntu 18.04. Ukážeme si také, jak nainstalovat klienta pro protokol OpenVPN na Windows 10 PC.
VPN (Virtual Private Network) je uzavřená a bezpečná logická síť nad nezabezpečenou sítí – internetem. Více o VPN a o tom, jak ji používat, se dočtete v našem článku na blogu „Výhody a nevýhody technologie VPN pro podnikání“.
Jak nainstalovat serverovou část OpenVPN ze skriptu
OpenVPN je dnes jedním z nejstabilnějších a nejspolehlivějších protokolů technologie VPN s otevřeným zdrojovým kódem. OpenVPN se vyznačuje velkým množstvím implementací pro většinu používaných platforem.
K instalaci serverové části VPN na virtuální server jsme použili open-source script openvpn-install. openvpn-install.
Hotový skript vám umožní snadno a jednoduše nainstalovat a nakonfigurovat VPN. Instalační proces je v tomto případě sada jednoduchých kroků:
- připojení k serveru
- v případě potřeby předběžná aktualizace operačního systému;
- stažení a aktivace instalačního skriptu;
- vytvoření kopie konfiguračního souboru;
- zdravotní prohlídka.
Upoutejte pozornost! Použitý skript funguje s distribucemi CentOS od verze 7, Debian od verze 9, Ubuntu od verze 17 (pro verzi 16 použijte skript vpn1604).
Začněme instalovat skript na VPS s Ubuntu 18.04.
Krok 1. Připojte se k serveru
Při objednávce jste obdrželi e-mail s informacemi nezbytnými pro připojení k vašemu virtuálnímu serveru: IP adresa vašeho serveru, přihlašovací jméno a heslo správce serveru (root), URL ovládacího panelu serveru a také přihlašovací jméno a heslo pro přístup - zde můžete vyberte požadovaný operační systém.
Pro připojení k VPS doporučujeme použít libovolného ssh klienta: PuTTY, Xshell atd. Spusťte příkaz:
ssh root@ХХ.ХХХ.ХХХ.ХХ
kde ХХ.ХХХ.ХХХ.ХХ je adresa IP vašeho serveru.
Pokud jste dříve vytvořili na virtuálním serveru z bezpečnostních důvodů neprivilegovaného uživatele a umožnili mu dočasně získat vyšší úroveň oprávnění pomocí příkazu sudo
, pak nezapomeňte tento příkaz použít pokaždé pro všechny akce, které vyžadují práva správce.
Chcete-li se přihlásit jako neprivilegovaný uživatel, spusťte příkaz:
ssh -l user ХХ.ХХХ.ХХХ.ХХ
kde ХХ.ХХХ.ХХХ.ХХ je adresa IP vašeho serveru, uživatel je jméno neprivilegovaného uživatele.
Krok 2: Aktualizujte svůj operační systém
Tento krok můžete přeskočit, pokud na vašem serveru běží pravidelné aktualizace operačního systému. Pokud jste nedávno nainstalovali Ubuntu, aktualizujte jej pomocí příkazů pro uživatele root:
apt-get update apt-get upgrade -y
nebo pro jednoduchého uživatele:
sudo apt-get update sudo apt-get upgrade -y
Krok 3: Stáhněte a spusťte instalační skript serveru VPN
Následující příkaz vám umožní stáhnout a spustit skript:
wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
nebo
sudo wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Nejprve se zobrazí uvítací obrazovka a několik otázek:
Welcome to this OpenVPN road warrior installer! Which protocol should OpenVPN use? 1) UDP (recommended) 2) TCP Protocol [1]: What port should OpenVPN listen to? Port [1194]: Select a DNS server for the clients: 1) Current system resolvers 2) Google 3) 1.1.1.1 4) OpenDNS 5) Quad9 6) AdGuard DNS server [1]: Enter a name for the first client: Name [client]: OpenVPN installation is ready to begin. Press any key to continue…
V našem příkladu spouštíme skript na serveru s jedinou IP adresou, takže na všechny otázky lze odpovědět stisknutím klávesy Enter. Bude vybrána první možnost ze všech nabízených, a to:
- IP adresa bude určena automaticky. Pokud je na serveru několik adres, pak vás skript vyzve k ručnímu výběru jedné;
- Protokol: UDP;
- Port pro připojení: 1194;
- Servery DNS: Current system resolvers;
- Jméno klienta certifikátu: client
Dále skript nainstaluje úložiště, potřebné balíčky, vygeneruje klíče RSA, nainstaluje certifikáty, konfigurační soubory pro server i klienta, nakonfiguruje síťový filtr a přímo spustí službu openvpn-server.
Po dokončení instalace skript zobrazí zprávu o umístění konfiguračního souboru klienta. Pro administrátora bude soubor nainstalován do domovského adresáře uživatele root: /root/client.ovpn
. Pokud byl skript nainstalován jménem jednoduchého uživatele s dočasnými právy sudo, bude soubor umístěn v domovském adresáři tohoto uživatele. Tento soubor je nutné přenést do počítače nebo jiného zařízení, které bude použito pro připojení k serveru. Konfigurační soubor serveru se nachází zde: /etc/openvpn/server/server.conf
.
Krok 4: Zkopírujte konfigurační soubor klienta
Dále musíte do počítače nebo jiného zařízení přenést konfigurační soubor klienta, který byl vytvořen během skriptu. V našem případě jej přeneseme do počítače se systémem Windows 10.
Soubor můžete přenést pomocí programu WinSCP, utility pscp od Putty nebo vestavěné implementace protokolu OpenSSH na vašem zařízení.
Více o programu WinSCP se můžete dozvědět na oficiálních stránkách vývojáře:
Zvažte příkaz pro nástroj pscp z Putty. V příkazovém řádku systému Windows spuštěném s právy správce zadejte cestu ke konfiguračnímu adresáři programu, serveru a klienta, který vypadá takto:
C:\Program Files\PuTTY\pscp.exe root@ХХ.ХХХ.ХХХ.ХХ:/root/client.ovpn "C:\Program Files\OpenVPN\config"
kde
- ХХ.ХХХ.ХХХ.ХХ – IP adresa vašeho serveru,
/root/client.ovpn
– domovský adresář uživatele root na serveru,- Documents
C:\Program Files\OpenVPN\config
– toto je cesta, kam bude uložen konfigurační soubor klienta.
Dále možná budete muset přijmout otisk prstu serveru. Zadejte heslo pro uživatele root.
Pokud je na vašem počítači nainstalován OpenSSH, příkaz pro přenos je:
scp root@ХХ.ХХХ.ХХХ.ХХ:/root/client.ovpn .
Tečka na konci příkazu informuje uživatele, že soubor se přenáší do stejné složky, ze které byl příkaz spuštěn.
Chceme upoutat vaši pozornost! Pokud jste skript spustili na uživatelském účtu s oprávněními, budete muset zadat jeho adresář namísto adresáře uživatele root.
Krok 5: Ověřte, že server VPN funguje
Před navázáním připojení k serveru VPN doporučujeme provést určité kontroly stavu služby, a to následovně:
-
kontrola stavu serveru:
systemctl status openvpn
● openvpn.service - OpenVPN service Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled) Active: active (exited) since Sun 2022-10-07 13:25:16 MSK; 1h 19 min ago …
Pozornost! Pokud ve stavu serveru zjistíte hodnotu neaktivní (mrtvou), spusťte příkaz: systemctl restart openvpn a znovu zkontrolujte stav.
-
kontrola stavu socketa:
ss -4nlup | grep 1194
UNCONN 24960 0 XX.XXX.XX.XX:1194 *:* users:(("openvpn",pid=481,fd=8))
-
kontrola stavu přepěťové ochrany:
iptables -nL | grep 1194
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
Pokud jste v důsledku kontrol viděli podobné výsledky provedených příkazů, pak vám blahopřejeme, udělali jste vše správně a nyní se můžete připojit k serveru OpenVPN.
Jak se připojit k serveru OpenVPN
Chcete-li navázat připojení k serveru VPN, musíte provést následující úkoly:
- nainstalovajte klienta VPN na osobní počítač, chytrý telefon nebo jiné zařízení;
- navázajte spojení;
- zkontrolujte kvalitu navázaného spojení.
Krok 1: Nainstalujte klienta OpenVPN GUI na Windows 10
Pro počítače a notebooky se systémem Windows se používá klient OpenVPN GUI. Instalace nezpůsobuje potíže, ale pokud se vyskytnou, můžete si přečíst oficiální pokyny z webu vývojářů. Ve výchozím nastavení je cesta k nainstalovanému programu: C:\Program Files\OpenVPN\
.
Krok 2. Navažte připojení k serveru
Nainstalovaného klienta lze spustit přes nabídku Start. Zkopírovaný konfigurační soubor bude automaticky použit a bude navázáno spojení. Pokud jste již měli na svém zařízení nainstalované OpenVPN GUI a je k dispozici několik konfiguračních souborů VPN, vyberte ze seznamu ten, který jste právě vytvořili, a klikněte na “Připojit”.
Pokud je spojení úspěšně navázáno, ikona změní barvu na zelenou.
Prostřednictvím ikony na hlavním panelu můžete odpojit připojení, znovu jej připojit, stejně jako zkontrolovat stav připojení a mnoho dalšího.
Krok 3: Zkontrolujte, zda je připojení správné
Zda skutečně přistupujete k internetu pomocí VPN, můžete zkontrolovat na následujících stránkách https://whatismyipaddress.com/ nebo https://www.whatismyip.com/.
Měli byste vidět IP adresu vašeho serveru, když je připojení VPN aktivováno, a IP adresu přidělenou vaším ISP, když je připojení odpojeno
Chcete-li nainstalovat klienta VPN na MacOS, použijte program Tunnelblick.
Oficiální dokumentaci a podrobné pokyny k protokolu OpenVPN naleznete na webu vývojáře:
Upozorňujeme na naše další průvodce VPN:
Dále bez zakladatele: Igor Sysoev náhle opustil svůj legendární webový server
Igor Sysoev, zakladatel Nginx, opouští projekt po 20 letech práce na něm. V materiálu — o historii vzniku a vývoje serveru, o významných akcionářích, také o zpětném odkupu platformy a důvodech odchodu Igora Sysoeva.