Press "Enter" to skip to content

Hogyan készítsünk kettős VPN-t

Dupla VPN egy kattintással. Mennyire könnyű megosztani a belépési pont és a kilépés IP-címét

TL; Dr A cikk leírja a VPN-kiszolgáló konfigurálásának legegyszerűbb módját, hogy a VPN-ügyfelek csatlakoztatásának IP-címe eltér az IP-címtől, amelyből az ügyfelek online mennek.

Használja a VPN-t, hogy megvédje a magánéletet az interneten, és bérelje személyes szerverét erre? Ugyanakkor Ön az egyetlen olyan ügyfél, amely a világ minden táján összekapcsolódik? Nehéz megtalálni a valódi IP-címét, mint gondolod? A Yarovaya csomag hatálybalépésével sokkal könnyebb lesz.

Dupla VPN– Népszerű téma, amely körül sok spekuláció. Gyakran ez a kifejezés az úgynevezett teljesen más technológiák, de szinte mindig ez a elemet, amely bizonyos szinten az IP-címek a csatlakozó és az internetet. A VPN-kiszolgáló konfigurálásának legegyszerűbb módját veszünk figyelembe ebben a módban, amely nem igényel további konfigurációt a kiszolgáló oldalon, és lehetővé teszi a maximális sebesség és a legalacsonyabb késések megszerzését.

Modell fenyegetés

Annak érdekében, hogy megvédje magukat valamitől, világosan meg kell értened a fenyegetésmodellt. Nem vitatkozunk az új törvényekről, amelyek előírják a szolgáltatókat az összes ügyfélforgalom tárolására, de pontosan elmondható, hogy a kapcsolatokra vonatkozó adatok, T.N. NetFlow, elég egyszerűen tárolt, és sikeresen megtörtént. Azaz a feltétel, hogy a feltételes IP-címet a címre egy bizonyos időben rögzítjük.

Hozzáférés az ilyen információkhoz a szolgáltató, a város vagy az ország skáláján, elegendő megállapítani, hogy ki pontosan rejtve van a VPN számára.

A VPN használatakor a magánélet szintjének növelése érdekében meg kell osztania a kapcsolódási pontot és az internet-hozzáférési pontot az IP-ben. A fenti képen felhasználója a kerítés mögött van, az Irina Yarova szorosabb figyelem mellett. Minden kapcsolat áthalad a kerítésen, Irina szigorúan emlékszik. A felhasználó, mint tisztességes állampolgár, csatlakozik a címhez, és visszaadja a címet . Ennek eredményeképpen ezek a két kapcsolat nem kapcsolódik össze Irina számára.

Mi a kettős vpn

A “Dupla” név alatt a VPN gyakran megérti a különböző dolgokat, de szinte mindig azt jelenti, hogy elhelyezett területi vagy a hálózati szintű kapcsolatok és az internet-hozzáférési csomópontok. Néha egyszerűen a VPN szolgáltatók marketing trükkje, amely nem jelent semmit, az ilyen szolgáltatásokat “hármas” és “Quad” VPN-nek nevezhetjük.

Elemezzük a gyakorlatban alkalmazandó leginkább jellemző rendszereket.

VPN a szerverek között

A leggyakoribb módon. Ebben az üzemmódban az ügyfél csak az első kiszolgálóra telepíti a VPN-kapcsolatot. Az első kiszolgálón az alagút a másodikra ​​van konfigurálva, és az ügyfél összes forgalma a második kiszolgálóhoz, így tovább. A köztes szerverek többek lehetnek. Ebben az esetben a kiszolgálók közötti alagút bármely más protokollra telepíthető, amelyen az ügyfél csatlakozik, mint például az IPsec, vagy egyáltalán titkosítás nélkül, mint a GRE vagy az iPIP. Ebben az üzemmódban az összes közbenső szerver az útvonal nyomában látható. Ellenőrizze, hogy a köztes szerverek hogyan vannak csatlakoztatva az ügyfél oldalán, nincs lehetőség, így csak a szolgáltatóban bízhat.

A teljes követési útvonalon a minimális MTU (maximális átviteli egység) megegyezik az első alagút értékével, és minden közbülső szerver hozzáférhet a dekódolt ügyfélforgalomhoz.

VPN a proxy segítségével

Szintén meglehetősen közös. Gyakran használják a VPN forgalmat egy másik protokoll alatt, például Kínában. Ilyen módon kényelmesebb lánc a proxy-tól, mert a VPN segítségével könnyen irányíthatja az összes rendszerforgalmat az alagútba. Vannak olyan eszközök is, az elfogó rendszert kihívások és irányítja a proxy: ProxyCap, Proxifier, de ezek kevésbé stabilak, ahogy néha hiányzik kéréseket, és mennek már proxy vagy munkahelyi hibásan egyes programok.

Ebben az üzemmódban a proxykiszolgáló nem látható az útvonal nyomában.

VPN belsejében VPN

A legtöbb paranoiás és lassú módon: az összes alagutak emelkednek az ügyfél oldalán, egymással a másikban. Ez a módszer megköveteli az ügyféloldali útvonalak ravasz beállítását és az összes VPN-ügyfelet a kívánt sorrendben. Ez rosszul befolyásolja a késedelmeket és a teljesítményt, de a köztes szerverek nem férnek hozzá a nyitott ügyfélforgalomhoz. Az összes kapszulázási költséget felszámolják, és a maximális csomagméret (MTU) az ügyfél eredményeként megfizethető, az alagutak számától függően csökken. Közbenső szerverek nem láthatók a nyomkövetési útvonalakban.

A VDS létrehozása

A VPN konfigurálásának legegyszerűbb módja osztott bemeneti és kimeneti pontokkal – Csatlakoztasson több IP-címet egy virtuális kiszolgálóhoz. Ez a módszer lehetővé teszi, hogy megkapja a maximális sebességet és a minimális késedelmeket, mert valójában a forgalom egy kiszolgálón megszűnik. Mi, a Hab-ban teheti meg magad a kezelőpanelből. Míg az IPv4 vége a mindenhol, további IP-címeket adunk ki akár 60 rubel szervereken is!

Elemezzük a fázisú kiszolgáló beállításait.

Válassza ki a kiszolgálót

Megfelelő sebességgel rendelünk VDS-t, a kívánt adatközpontban. Tekintettel a feladatunkra, válassza ki az adatközpontot, Hollandiában;)

Csatlakoztasson egy további IP-címet

További IP-cím megvásárlása után az utasítások szerint kell beállítani.

Az egyértelműség érdekében hozzárendelje a PTR felvételt az IP-n. Ez egy olyan domain név, amelyet látni fog, amikor egy IP-címet konvertál a tartományban. Lehet, hogy bármilyen érték, beleértve egy nem létező tartományt is.

Például használunk ilyen értékeket:

Két IP ellenőrzése

Fontos megjegyezni, hogy a kiszolgálón telepített IP-cím kezdetben a kimeneti pont lesz, az új cím lesz a belépési pont. Az SSH csatlakoztatása a kiszolgálóhoz, és ellenőrizze, hogy melyik címet használják külső.

Ehhez a legegyszerűbb a konzol használja a HAB szolgáltatás kérésekor a göndör, visszatér az IP-címet, amelyhez a kérelmet benyújtották.

A legfrissebb számjegyek szerint a külső címünk valóban megfelel a kimeneti pontnak. Próbáljuk meg ellenőrizni a második IP működésének helyességét a belépési pontként. Ehhez egyszerűen használja a SOCKS-proxy beépített SSH funkciót.

A parancsokat az ügyfélen végzik:

Az első parancs az SSH a HAB cím és egyidejűleg aktiválja a SOCKS proxy belül ezen az ülésen, amely elérhető a helyi kikötői. A második teszi a szokásos HTTP kérést ezen a proxy segítségével.
Fontos megjegyezni, hogy a találmányunk során feltaláló tartományneveket használnak. Csak a PTR megoldásnál jelennek meg, és a teljes kérés, hogy tegye őket, nem fog működni. Ezért ebben a szakaszban meg kell kezelned a kiszolgálót az IP-címen keresztül.

IKEV2 szerver beállítása

IPSec IKEV2 – Modern VPN protokoll, amelyet szinte minden operációs rendszert támogat a dobozból. Alapértelmezett protokollként szolgál Windows, Macos és iOS-ban. Nem igényel harmadik féltől származó szoftver telepítését, és a legtöbb esetben a legtöbb esetben gyorsabb OpenVPN. A ügyéről, ott már cikkeket felállításához IKEv2 szerver, de mindannyian leírják a saját maga által aláírt tanúsítvány és kényelmetlen az a tény, hogy meg kell telepíteni a Gyökértanúsítvány a VPN kliens oldalon.

Elemezzünk egy példát a kiszolgáló konfigurálása egy megbízható tanúsítvány használatával a titkosításból. Ez lehetővé teszi, hogy ne telepítsen idegen gyökér tanúsítványokat az ügyfélnek, hanem csak bejelentkezési és jelszót adjon meg.

Kiszolgáló előkészítése

Az Ubuntu alapú kiszolgálót fogjuk használni, de az utasítás is alkalmas a legmodernebb eloszlásokra is.

Frissítjük a rendszert, és telepítjük a kívánt csomagokat

Tanúsítványkibocsátás

A megbízható tanúsítvány kiadása, igazi tartományt kell küldenie a belépési pont IP-címére. Ezt a cikket részletesen nem fogjuk figyelembe venni, mivel meghaladja a cikkeket. Például egy fiktív tartományt fogunk használni Hab

Ha már rendelkezik webkiszolgálót a kiszolgálón, használja a megfelelő módszert a tanúsítvány kiadására a Certbot vagy más ügyfél számára, hogy titkosítjuk. Ebben a példában feltételezzük, hogy a http (80) kikötője nem foglalt.

A mester kérdések megválaszolása? Egy aláírt tanúsítványt és kulcsot kapunk

Az IKEV2 szerver hitelesítéséhez ugyanazokat az X-os szervereket használják
HTTPS. Az erőssugárhoz használhatja ezeket a tanúsítványokat, ezeket át kell másolni a mappába / etc / ipsec.D.

Így van a tanúsítványok:

Mivel a tanúsítványok gyakran újratelepülnek, manuálisan kényelmetlenek. Ezért automatizálja ezt a folyamatot a Certbot horog segítségével.

A parancsfájl feladata három fájlt másol a kívánt mappába, amikor a tanúsítvány frissítette, majd küldje el az erősen olvasható tanúsítványok újraindítását.

Hozzon létre egy fájlt / Etc / letsencrypt / megújítási horgok / telepítés / hab és végrehajthatóvá tegye.

Most, miután minden egyes tanúsítvány újrakiadása, a szkript az új fájlokat a StrongSwan mappát, és küldje el a parancsot újra olvasni tanúsítványokat.

Erősség beállítása

Add hozzá a Config Strongswan-t / etc / Hab

A VPN-ügyfelek bejelentkezése és jelszavai a fájlban vannak beállítva / etc / Habs

Ebben a fájlban meg kell adnia a privát kulcs nevét is, amelyet korábban másoltunk a letsencrypt mappából:

Ebben a szakaszban újraindíthatja az erőssugárzó kiszolgálót, és ellenőrizheti, hogy az új konfiguráció aktiválva van-e:

Láthatja, hogy a konfiguráció sikeresen aktiválva van, és a tanúsítvány csatlakoztatva van. Ebben a szakaszban már csatlakozhat a VPN-kiszolgálóhoz, de internet-hozzáférés nélkül lesz. Az ügyfelek az interneten történő kiadása érdekében engedélyeznie kell a NAT továbbítását és konfigurálását.

NAT felállítása

A továbbítási csomagok aktiválása:

Kapcsolja be a NAT-ot. Fontos, hogy szem előtt tartsuk, hogy ez csak egy példa a minimális iptables konfigurációra. Állítsa be a fennmaradó szabályokat az Ön igényeitől függően.

Etname0– Cserélje ki az interfész nevét
24– IP-címek tartománya, amelyeket a VPN-ügyfeleknek adnak ki. Megkérdeztük tőle / etc / Hab
– A kimeneti pont IP-címe, példánkban a Hab-cím

Hibakeresés

A beállítás ezen szakaszában egy teljesen működő kiszolgálót kell kapnunk, amelyhez az ügyfelek már csatlakozhatnak. A folytatás előtt jobb, ha a kapcsolat ellenőrzése.

Csatlakozási problémák esetén a naplót valós időben megtekintheti:

Autostart betöltéskor

Ha minden sikeres, akkor az autorun-hoz hozzáadhat, ha betöltés:

Az iptables szabályok mentése

Az újraindítás után az iptables szabályok megmentése érdekében van egy speciális csomag iptables-personistent. Fontos megjegyezni, hogy megmenti az aktuális szabálykészletet, és hozzáadja az Autoloadhoz.

Az ügyfelek beállítása

Az ügyféloldali beállítások rendkívül egyszerűek – csak mondd el a kiszolgáló címét, a bejelentkezést és a jelszót. Macos és iOS esetében létrehozhat autoconfiguration profilokat, amelyek elegendően aktiválódnak két kattintással.

Ablakok beállításaA Windows IKEV2 új verzióiban konfigurálja az egyszerű varázslót, amelyet a WiFi kapcsolat menüjéből lehet hívni.

A Windows nem állítja be az alapértelmezett útvonalat egy ilyen kapcsolathoz, így telepítse kézzel. A VPN tulajdonságaiban a TCP / IPv4 tulajdonságokhoz -> Továbbá telepítse a “Gateway használata egy távoli hálózatban” jelölőnégyzetet

Clichabelno

Macos felállításaA MacOS támogatja az IKEV2-t a verzióból (El Capitan). A kapcsolat létrehozása a hálózati beállítások menüben történik.

Új kapcsolat hozzáadása. Mivel a kapcsolat neve bármilyen tetszőleges nevet állít be.

A tanúsítvány hitelességének ellenőrzéséhez meg kell adnia a tartománynevet. Ugyanakkor, a kiszolgáló cím mezőjében megadhatja a kiszolgáló IP-címét, és a tartományt csak a “távoli azonosítóban”, akkor nem lesz DNS megoldás a csatlakozáshoz, és ez egy kicsit gyorsabb lesz.

Felhasználónév és felhasználói jelszó A fájlból jelzi / etc / Habs

Az iOS felállítása

Az iOS beállítása manuálisan végezhető el a mesteren keresztül, de sokkal kényelmesebb a MobileConfig autoconfiguration profil használatához.

Kézi konfiguráció az asztalhoz hasonlóan:

Beállítások -> VPN -> Konfiguráció hozzáadása VPN

Apple eszközök automatikus konfigurációs profilja
Az autoconfiguration profiljai .MobileConfig jelentése XML fájl olyan beállításokat beállítani semmit: SSL tanúsítványok VPN kapcsolatok.

A felhasználó elég ahhoz, hogy kattintson a fájlra, és az összes kívánt beállítás automatikusan települ.

Config Példa az IKEV2 szerverhez való csatlakozáshoz.
A fájl beállítása a konfiguráció alatt, elegendő több paramétert szerkeszteni ebben a sablonban:

Szerzői név– Felhasználónév a fájlból / etc / Habs
Authpassword– A felhasználó jelszava / etc / Habs
Remoteadress– A szerver domain vagy IP-címe
Távirányító– olyan tartomány, amelyre a tanúsítvány felszabadul

Android beállítás

Sajnos Android az egyetlen olyan népszerű operációs rendszerek, amelyek még mindig nincs beépített IKEV2 támogatás. A Connectivity számára a Playmarket hivatalos Strongswan klienst használhatja

Eredmény

Megmutattuk a legegyszerűbb lehetőséget, hogy a kiszolgálót a bemeneti és kimenet elválasztott pontjaival. Ez a konfiguráció lehetővé teszi, hogy megkapja a maximális VPN sebességet, mivel nem használ további alagutakat a szerverek között, annak ellenére, hogy a bemeneti és kilépési pontok IP-címei különböző alhálózatokban vannak. Ez a megközelítés lehetővé teszi, hogy kísérletezzen és tovább csatlakozhasson több mint két IP-címet a kiszolgálóhoz.

Az IKEV2 protokoll tökéletes a mindennapi munkák asztali operációs rendszerének használatához, mivel a leggyakrabban a rendszerbe integrálódott, és más dolgok egyenlőek, lehetővé teszik, hogy több sebességet kapjon, mint a harmadik féltől származó VPN programok.

Related posts:

  1. Hogyan lehet az almalé a keverőre
  2. Hogyan lehet kemény visszaállítani Mey-t
  3. Hogyan készítsünk fagyasztott húsgombócokat
  4. Hogyan készítsünk egy képernyőképet az iPhone-on

Published in Blog

Comments are closed, but trackbacks and pingbacks are open.