Paano gumawa ng iyong sariling libreng VPN sa Amazon Web Services

Ang mga gumagamit ng Internet ay nasira para sa pagpili pagdating sa mga serbisyo ng VPN, ngunit nangangailangan din sila ng isang buwanang subscription, hindi ligtas, o sadyang mabagal lamang. Sa kabutihang palad, ang mga kahalili ay umiiral. Nangangailangan sila ng kaunti pang teknikal na kaalaman, ngunit kung nais mo ng isang bagay na tama, kailangan mong gawin ito sa iyong sarili.

Upang malaman kung paano gumawa ng iyong sariling VPN, maaari mong panoorin ang video o basahin ang artikulo. Tandaan na ang artikulo ay naglalaman ng ilang mga kapaki-pakinabang na mga utos at teksto ng pagsasaayos na maaari mong kopyahin at i-paste para sa iyong kaginhawaan. I-update: ang video ay gumagamit ng isang lumang bersyon ng madaling-rsa na hindi na magagamit. Kapag nakarating ka sa 8-minutong marka, mangyaring sumangguni sa artikulong ito para sa madaling-rsa 3 na pagsasaayos.

Nagsisimula

Nag-aalok ang Mga Serbisyo sa Web ng isang taon ng libreng virtual na puwang ng server, kung gagamitin mong mas mababa sa tinukoy na halaga ng bandwidth, oras, at puwang. Kahit na lumampas ka sa limitasyong iyon, ang gastos ng pagpapatakbo ng isang imahe ng server sa Elastic Compute Cloud ng Amazon ay marahil mas mababa kaysa sa babayaran mo para sa isang VPN subscription.

Narito ipaliwanag namin ang dalawang magkakaibang paraan upang magamit ang serbisyo ng Amazon na Elastic Cloud, na tinawag din na EC2, upang ilipat ang iyong koneksyon sa pamamagitan ng isang pribadong lokasyon na iyong pinili: SSH Tunneling at OpenVPN. Ang bawat isa ay may mga pakinabang at kawalan, kaya gamitin ang isa na nahanap mo na mas angkop sa iyong mga pangangailangan. Hindi mahalaga kung alin ang iyong pinili, kakailanganin mo ang sumusunod:

  • Isang account sa Amazon Web Services. Nangangailangan ito ng isang credit card, ngunit sisingilin ka lamang para sa iyong ginagamit, na malamang na wala ka kung ikaw ay masinop tungkol sa iyong ginagawa.
  • PuTTy, kung nasa Windows ka. Ang OpenSSH sa pamamagitan ng Cygwin ay isa pang pagpipilian, ngunit natagpuan kong ito ay isang sakit. Ang mga computer ng Linux at Mac ay mayroon nang mga senyales ng SSH na binuo sa kanilang mga kahon at mga terminal. Kakailanganin mo din ang programa ng pangunahing henerasyong henerasyon ng PuTTy, ang PuttyGen.
  • WinSCP, o isang katumbas na kliyente ng FTP upang ilipat ang mga file sa pagitan ng iyong lokal na computer at iyong halimbawa ng EC2.
  • Ang isang pangunahing kaalaman sa pagtatrabaho ng mga utos ng Unix at kung paano gumagana ang mga server sa mga kliyente ay malaki ang maitutulong sa pag-aayos ng isang bagay na hindi pumunta nang eksakto tulad ng pinlano.
  • Ang OpenVPN GUI, na naka-install sa default na lokasyon at kasama ang mga default na setting sa iyong PC

Pag-set up ng AWS

Kapag nag-sign up ka para sa isang account sa Amazon Web Services, narito kung paano ilulunsad ang server na gagamitin namin para sa aming VPN ::

  1. Mag-log in sa iyong Amazon Web Service account at magtungo sa EC2 dashboard.
    aws vpn update 1
  2. Sa kanang tuktok, maaari mong piliin ang lokasyon kung saan mai-set up namin ang iyong VPN. I-click ang Pag-install ng Pag-install.ec2 vpn 1
  3. Piliin ang kung ano ang nakalista sa Linux AMI bilang “libreng tier na karapat-dapat.” Sa oras ng pagsulat ng artikulong ito, iyon ang Amazon Linux AMI. Pumunta sa susunod na hakbang.ec2 vpn 2
  4. Dito pumili ng isang halimbawa ng t2.micro na libre din ang tier na karapat-dapat. I-click ang “Suriin at Ilunsad.”ec2 vpn 3
  5. Sa susunod na pahina, mag-click I-edit ang Mga Grupo ng Seguridad.
  6. Kailangan mong i-edit ang pangkat ng seguridad upang payagan lamang ang trapiko mula sa iyong computer na ma-access ang VPN o proxy. Dapat mayroon kang isang patakaran na nasa lugar para sa pagkonekta sa iyong server sa pamamagitan ng SSH, na gagamitin namin sa ibang pagkakataon. Kailangan naming magdagdag ng isa pa upang payagan ang mga koneksyon sa OpenVPN, na gumagamit ng port 1194 bilang default. Para sa pagiging simple, sa ilalim ng Papasok tab, i-click ang Magdagdag ng panuntunan pindutan. Itakda ang Uri sa Pasadyang UDP, ang Saklaw ng Port sa 1194, at ang Pinagmulan sa Kahit saan.Ang EC2 ay nagdagdag ng pindutan ng panuntunan ng seguridad ng grupo
  7. Tumama I-save.Ang grupo ng seguridad ng EC2 saanman sa port 1194
  8. I-click ang “pagsusuri at paglunsad,” pagkatapos ay “ilunsad” sa susunod na pahina.
  9. Ngayon ay nais mong lumikha ng isang pangunahing pares, na uri ng gumagana tulad ng isang password na gagamitin mo upang kumonekta sa virtual server na iyong nilikha. Piliin ang “lumikha ng isang bagong key pares” mula sa menu ng pagbagsak at pangalanan ito kahit anong gusto mo. I-click ang pindutan upang i-download ang pangunahing pares. Itago ito nang ligtas.ec2 vpn 5
  10. Ang susunod na pahina ay dapat alerto sa iyo na ang halimbawa ay naglulunsad. Mag-scroll sa ibaba at pindutin ang “Tingnan ang mga pagkakataon.” Narito makikita mo ang isang listahan ng anumang mga pagkakataon na iyong inilunsad, na kung ito ang iyong unang pagkakataon gamit ang EC2 ay isa lamang.

Kumonekta sa server gamit ang PuTTy

Maaari kaming kumonekta sa aming EC2 halimbawa sa PuTTy, ngunit kailangan muna namin ng isang tamang key file upang makakonekta. Kapag na-install mo ang PuTTy, dapat mo ring na-install ang PuTTygen. Sige at patakbuhin mo na ito. Ang PuTTy at PuTTygen ay parehong tumatakbo palabas ng kahon bilang mga file na .exe na hindi kailangang mai-install.ec2 vpn 7

  1. Buksan ang PuTTygen, i-click ang I-load.
  2. Mag-navigate sa .pem key pares ng file na iyong nai-download bago at i-load ito sa Puttygen. Kailangan mong piliin ang pagpipilian upang maipakita ang lahat ng mga uri ng file para sa .pem key upang ipakita. Pindutin ang “I-save ang Pribadong Key.” Ang file name ay dapat magkapareho sa .pem key. Maaari kang lumikha ng isang passphrase para sa pribadong key kung nais mo.ec2 vpn 6
  3. Ngayon ay malapit na sa labas ng PuTTygen at buksan ang PuTTy. Kopyahin ang pampublikong IP ng iyong halimbawa mula sa console ng EC2 papunta sa PuTTy. Mag-type ng isang pangalan para sa iyong session at pindutin ang pag-save.ec2 vpn 8
  4. Sa kaliwang pane, mag-navigate sa “Mga May-akda” sa ilalim ng SSH. I-click ang pindutan ng pag-browse sa ibaba at mag-navigate sa pribadong key na nilikha mo lamang.
  5. Bumalik sa pangunahing pahina ng Session, pangalan at i-save ang iyong profile ng session upang mabilis mong kumonekta sa susunod na gumamit ka ng PuTTy. Pagkatapos I-click ang Buksan.
  6. Lilitaw ang isang prompt na humihiling sa iyo ng isang username. Ito ay naiiba batay sa kung anong uri ng server na iyong itinakda sa simula. Para sa Amazon Linux AMI, ito ay “ec2-user”.

SSH Tunneling (opsyonal)

Upang magsimula, magre-reroute lang kami sa web traffic sa pagkakataong nilikha namin gamit ang SSH tunneling at isang proxy. Ito ay isang mabilis at maruming paraan upang makakuha ng paligid ng isang firewall o geographic na lockout. Ito ay hindi masyadong isang VPN – ito ay pinakamahusay para sa light web traffic at hindi gagana sa lahat-ngunit mas simple ang i-set up. Gayunpaman, ang pag-set up ng SSH tunneling ay ganap na opsyonal, kaya huwag mag-atubiling laktawan ang susunod na seksyon.

ec2 vpn 9

Buksan ang PuTTy at mag-navigate sa Mga Tunnels sa kaliwang sakit. Magdagdag ng port 8080 gamit ang Auto at Dynamic na napili. Bumalik sa pahina ng Session at pindutin ang I-save muli upang hindi mo na kailangan itong gawin muli. Pagkatapos ay i-click ang Buksan.

ec2 vpn 10

Ngayon nakakonekta ka sa iyong server, ngunit kailangan mo pa ring ruta ang trapiko ng iyong web browser sa pamamagitan nito. Kung gumagamit ka ng Firefox, maaari itong gawin sa iyong mga setting ng browser. Kung gumagamit ka ng Chrome, i-download ang extension ng Proxy Switchy. Kung mas gusto mong lumikha ng isang ganap na gumaganang VPN sa halip na isang proxy lamang para sa iyong browser, laktawan ang susunod na seksyon ngayon.

Sa Firefox:

  • Pumunta sa Mga Tool > Mga Pagpipilian > Advanced > Network > Koneksyon > Mga setting > Ang manu-manong pagsasaayos ng proxy
  • Itakda ang SOCKS Host bilang 127.0.0.1 at ang port bilang 8080 (o anuman ang itinakda mo sa tunnel port sa PuTTy).
  • Mag-click sa OK upang makatipid

Sa Chrome Proxy Switchy

  • Ang isang pahina ng pag-setup ay dapat lumitaw sa sandaling i-install mo ang extension, o i-click ang icon sa kanang tuktok ng Chrome at i-click ang Opsyon.
  • Pangalanan ang profile kahit anong gusto mo. Sa ilalim ng Manu-manong Pag-configure, itakda ang host ng SOCKS sa 127.0.0.1 at ang daungan hanggang 8080 (o kung ano man ang inilagay mo sa tunnel port sa PuTTy. Iwanan ang lahat ng iba pang blangko.
  • Pindutin ang I-save, pagkatapos ay i-click ang icon muli upang piliin ang iyong profile sa proxy.

ec2 vpn 11

Voila! Ang iyong trapiko ng browser ay ngayon ay pinapagana sa iyong halimbawa ng EC2. Gagana ito para sa pangunahing pag-browse, ngunit ang ilang mga website ay maaaring tumakbo sa mga problema at apps maliban sa iyong web browser ay gagamit pa rin ng direktang koneksyon. Upang lumikha ng isang full-on na VPN na muling nagreresulta sa lahat ng iyong trapiko sa internet, basahin.

I-set up ang OpenVPN sa server at kliyente

Ang OpenVPN ay isang libreng bukas na tool na mapagkukunan na hahayaan kang magpatakbo ng isang full-on na VPN sa pamamagitan ng iyong halimbawa sa Amazon EC2. Nangangahulugan ito na ang lahat ng iyong trapiko sa internet ay dumadaan dito, hindi lamang ang iyong web browser traffic tulad ng proxy sa itaas. Ang mga programa sa desktop tulad ng singaw o Spotify ay mas mahusay na gumagana sa pamamaraang ito.

ec2 vpn 12

Kumonekta sa iyong EC2 halimbawa gamit ang PuTTy ayon sa mga tagubilin sa itaas. Dapat kang magkaroon ng isang command prompt sa harap mo na nagsasabing ang Amazon Linux AMI. Patakbuhin ang sumusunod na mga utos (i-type o kopyahin / i-paste ang mga ito at pindutin ang enter):

sudo yum install -y openvpn
sudo modprobe iptable_nat
echo 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A POSTROUTING -s 10.4.0.1/2 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Isang mabilis lang na tala dito. Maaaring napansin mo sa screenshot na hindi ko wastong sinubukan upang i-download at i-install ang OpenVPN gamit ang “apt-get” na utos sa halip na “yum”. Ang ilan pang mga bersyon ng Linux ay gumagamit pa rin ng apt-get, kaya kung hindi gumana ang yum para sa iyo, subukang utos ang utos na ito:

sudo apt-get install -y openvpn

Ang isang bungkos ng teksto ay kumikislap sa command prompt habang ini-install nito ang OpenVPN. Ang iba pang tatlong mga utos ay nag-set up ng pagpapasa ng IP, na kinakailangan para gumana ang VPN.

Pamamaraan # 1: Ang pag-set up ng pagpapatotoo ng PKI nang madaling rsa (inirerekomenda)

Sa orihinal na bersyon ng tutorial na ito, nag-set up kami ng OpenVPN na may static na pag-encrypt at isang file na .ovpn. Habang gumagana ito, pinapayagan lamang ang isang aparato na konektado sa isang pagkakataon, at ang katotohanan na gumagamit ka lamang ng isang key ay nangangahulugang hindi gaanong ligtas. Inirerekumenda namin ngayon ang mga mambabasa na gumamit ng madaling rsa upang mag-set up ng pagpapatunay, na kung saan ay mas ligtas at pinapayagan ang anumang bilang ng mga aparato na magkakasabay na konektado. Gayunpaman, kung nais mo ang lumang bersyon na may static na pag-encrypt, laktawan ito sa pamamagitan ng pag-click dito.

Mayo 2018 update: Ang artikulong ito ay na-update para sa paggamit nang madaling-rsa 3.

OpenVPN at easyrsa setup ng server

Sa isip, bubuo ka ng lahat ng mga susi at sertipiko na kailangan mo sa isang hiwalay na aparato mula sa VPN server para sa maximum na seguridad. Gayunman, maaari itong maging nakakapagod, gayunpaman, kaya bubuo lang tayo ng parehong mga kredensyal ng kliyente at server sa server, pagkatapos ay ilipat ang mga file kung saan kailangan natin sila mula doon.

  1. Ang Easy-rsa ay hindi magagamit sa listahan ng default na yum package, kaya kakailanganin naming paganahin ang pag-install ng EPEL repo. I-type ang sumusunod sa terminal ng PuTTy at pindutin ang Enter:
    • sudo yum install easy-rsa -y –enablerepo = epel
  2. Gumawa ng isang madaling rsa direktoryo sa iyong direktoryo ng pag-install ng OpenVPN. Kopyahin ang mga file mula sa iyong madaling pag-install rsa (pinakabagong bersyon ay 3.0.3 ng oras ng pagsulat) sa bagong direktoryo:
    • sudo mkdir / etc / openvpn / madaling-rsa
      cd / etc / openvpn / madaling-rsa
      sudo cp -Rv /usr/share/easy-rsa/3.0.3/*
  3. Ngayon handa na kaming i-set up ang aming awtoridad sa sertipiko Magsimula sa pamamagitan ng pagsisimula ng isang bagong direktoryo ng PKI (pampublikong susi), pagkatapos ay magtayo ng isang keypair ng awtoridad sa sertipiko.
    • sudo ./easyrsa init-pki
      sudo ./easyrsa build-ca
  4. Maglagay ng passphrase ng PEM. Hindi ito kinakailangan ngunit inirerekomenda. Kung ang isang tao ay nakakakuha ng iyong CA kahit papaano, hindi nila magagawang lumikha ng mga susi o mga sertipiko sa pag-sign nang wala ang password.
  5. Sasabihan ka na magpasok ng isang karaniwang pangalan. Tawagan ito kahit anong gusto mo o pindutin lang Ipasok upang iwanan ito bilang default na halaga.
  6. Susunod, gagawa kami ng isang susi sa diffie-Hellman, na nagbibigay ng perpektong pasulong na lihim:
    • sudo ./easyrsa gen-dh
  7. Ang utos na ito ay maaaring tumagal sandali. Ito ay bubuo ng isang file na tinatawag dh.pem. Kapag natapos na, lumipat kami sa mga kredensyal ng server. Para sa kaginhawahan, hindi namin protektahan ang mga ito, ngunit tiyak na malugod mong tatanggapin kung nais mo kahit na mas mahirap na seguridad.
    • sudo ./easyrsa gen-req server nopass
  8. Tumama Ipasok upang iwanan ang karaniwang pangalan bilang server. Kapag nabuo ang pangunahing pares, pirmahan ang sertipiko:
    • sudo ./easyrsa sign-req server server
  9. Uri oo upang kumpirmahin at ipasok ang iyong CA password kung nagtakda ka ng isa nang mas maaga.
  10. Ngayon itatatag namin ang kliyente. Muli, hindi kami magtatakda ng isang password dito ngunit malugod kang malugod. Tandaan na kung nais mong i-configure ang awtomatikong pagsisimula ng VPN, mas mahusay na huwag magtakda ng isang password.
    • ./ easyrsa gen-req client nopass
  11. Tumama Ipasok upang iwanan ang karaniwang pangalan bilang kliyente. Ngayon lagdaan ito:
    • sudo ./easyrsa sign-req client client
  12. Uri oo upang kumpirmahin at ipasok ang iyong CA password kung nagtakda ka ng isa.
  13. Susunod, gagawa kami ng isang susi ng TLS para sa perpektong pasulong na lihim sa OpenVPN, na tinitiyak na ang mga datos ng nakaraang sesyon ay hindi mai-encrypt kahit na ang isang magsasalakay ay hawakan ang aming pribadong key.
    • cd / etc / openvpn
      openvpn –genkey –secret pfs.key
  14. Nabuo na namin ngayon ang lahat ng mga kredensyal na file na kailangan namin. Susunod, gagawa kami ng isang file ng pagsasaayos ng server ng OpenVPN. Mayroon kaming isang isulat para sa iyo sa ibaba, kaya ang kailangan mo lang gawin ay kopyahin at i-paste kung sumunod ka mula sa simula. Magsimula sa pamamagitan ng pag-navigate sa direktoryo ng OpenVPN at paglikha ng isang bagong file:
    • cd / etc / openvpn
      sudo nano server.conf
  15. Nasa kasalukuyan ka na sa editor ng teksto ng nano. Kopyahin at i-paste ang sumusunod na config, pagkatapos ay pindutin ang CTRL + O isalba, Ipasok upang kumpirmahin, at CTRL + X para lumabas. (Pahiwatig: maaari kang mag-paste ng teksto mula sa iyong clipboard sa PuTTy sa pamamagitan lamang ng pag-click sa kanan)
    • port 1194
      proto udp
      dev tun
      ca /etc/openvpn/easy-rsa/pki/ca.crt
      sertipiko /etc/openvpn/easy-rsa/pki/issued/server.crt
      key /etc/openvpn/easy-rsa/pki/private/server.key
      dh /etc/openvpn/easy-rsa/pki/dh.pem
      cipher AES-256-CBC
      authAng SHA512
      server 10.8.0.0 255.255.255.0
      itulak "pag-redirect-gateway def1 bypass-dhcp"
      itulak "dhcp-pagpipilian DNS 8.8.8.8"
      itulak "dhcp-pagpipilian DNS 8.8.4.4"
      ifconfig-pool-persist ipp.txt
      mapapanatiling 10 120
      comp-lzo
      magpapatuloy-susi
      magpatuloy-tun
      status openvpn-status.log
      log-append openvpn.log
      pandiwa 3
      tls-server
      tls-auth /etc/openvpn/pfs.key
  16. Naka-configure na ngayon ang server. Kailangan lang nating simulan ang OpenVPN. Sisimulan namin ito bilang isang serbisyo upang kahit na matapos mong isara ang PuTTy, magpapatuloy itong tatakbo hanggang ma-shut down ang server o manu-mano mong tapusin ang serbisyo.
    • magsimula ang serbisyo ng sudo openvpn

I-edit: Ang ilang mga mambabasa ay itinuro na ang kanilang mga VPN server ay tumigil sa pagtatrabaho pagkatapos ng isang pag-reboot sa server o pagpapanatili. Nangyayari ito paminsan-minsan sa mga micro tier EC2 instances. Upang maiwasan ito, gumamit kami ng isang utos at bash script ng kagandahang-loob ni Matt Doyle sa seksyon ng mga komento. Magsimula sa utos na ito:

sudo chkconfig openvpn sa

Habang nasa etc / openvpn pa rin, gamitin nano server.sh upang lumikha ng isang bagong file ng teksto at i-paste ang sumusunod sa ito:

#! / bin / sh
echo 1 | sudo tee / proc / sys / net / ipv4 / ip_forward
sudo iptables -t nat -A POSTROUTING -s 10.4.0.1/2 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Gumamit CTRL + O upang makatipid at CTRL + X para lumabas.

Tiyakin ng utos na magsisimula ang OpenVPN kapag ang server boots, at tiyakin ng script ang mga kinakailangang ruta ay naka-set up sa mga iptables upang payagan ang trapiko ng OpenVPN.

OpenVPN at easyrsa client setup

Ngayon na ang server ay na-configure, kailangan naming i-set up ang client. Upang magawa iyon, kailangan nating ilipat ang kinakailangang sertipiko at mga pangunahing file mula sa aming server sa aming aparato sa kliyente. Sa PuTTy bukas pa rin at tumatakbo bilang ugat, kailangan muna nating baguhin ang mga pahintulot sa mga file na ito upang ma-access namin ito. Inilalagay din namin ang lahat sa isang lugar upang gawing mas madali ang mga bagay.

  1. Upang ma-access ang ilan sa mga file na ito, kailangan nating maging root user. Upang gawin iyon, i-type ang:
    • sudo su
  2. Gagawin ka nitong gumagamit ng ugat at bibigyan ng mga pribilehiyo sa administratibo. Ipasok ang sumusunod na mga utos. Ang huling utos ay nagpapababa sa mga kinakailangang pahintulot upang ma-access ang mga file na ito. Tandaan na mahalagang baguhin ang mga ito kapag natapos.
    • cd / etc / openvpn
      mkdir key
      cp pfs.key key
      cp /etc/openvpn/easy-rsa/pki/dh.pem key
      cp /etc/openvpn/easy-rsa/pki/ca.crt key
      cp /etc/openvpn/easy-rsa/pki/private/ca.key key
      cp /etc/openvpn/easy-rsa/pki/private/client.key key
      cp /etc/openvpn/easy-rsa/pki/issued/client.crt key
      chmod 777 *
  3. Upang maalis ang mga file ng aming server at papunta sa aming PC, gumagamit kami ng isang libreng programa na tinatawag na WinSCP. Gumamit lamang ng mga pagpipilian sa default na pag-install. Kapag natapos na ito, dapat na mag-pop up ang isang window na mag-udyok sa iyo na mag-import ng mga detalye ng pagpapatunay ng iyong server mula sa PuTTy. Piliin ang isa na ginawa namin sa itaas at magpatuloy.ec2 vpn 14
  4. Piliin ang myvpn (o kung ano ang pinangalanan mo) at pindutin ang pindutan ng I-edit. Mag-type sa gumagamit ng ec2 sa ilalim ng pangalan ng gumagamit. Mag-click sa Pag-login.
  5. Kung hindi ito ang iyong unang pagkakataon gamit ang WinSCP, maaari mong itakda ang .ppk file na ginamit mo sa PuTTy sa pamamagitan ng pag-click I-edit at Advanced. Pumunta sa SSH > Pagpapatunay > Pribadong key file at mag-navigate sa iyong file ng PPK.
  6. Sa patlang ng host name sa pangunahing pahina, maaari mong ipasok ang alinman sa IP address o domain ng iyong EC2 halimbawa. Siguraduhing i-save ang iyong mga setting, pagkatapos ay pindutin ang Mag log in.easyrsa 6
  7. Sa kanang pane, mag-navigate sa direktoryo na naglalaman ng iyong mga pangunahing file, sa kasong ito / etc / openvpn / keyeasyrsa 7
  8. I-highlight ang anim na mga file na kakailanganin mo: client.crt, client.key, ca.crt, dh.pempfs.key, at ca.key (hindi ipinakita dahil sa pag-update ng artikulo). Pindutin ang berde Pag-download pindutan. Hindi mahalaga kung saan sila pumunta sa kaliwang pane hangga’t hindi mo kailangan ng mga pribilehiyo sa admin na mai-access ito. Inilalagay namin ang mga file sa aming desktop para sa kapakanan. Gayunpaman, nais mong mag-imbak ng ca.key file sa isang lugar na ligtas, tulad ng isang USB drive.
  9. Ang huling maluwag na pagtatapos na kailangan nating gawin itali pagtanggal ng ca.key file mula sa server. Ang CA, o awtoridad ng sertipiko, ay ginagamit upang mag-sign sa mga sertipiko ng kliyente, at, kung ito ay kailanman ay nakompromiso, hindi ka maaaring magtiwala sa mga sertipiko na inisyu ng CA na muli. Bagaman hindi ito kinakailangan para sa VPN na gumana, masidhi naming inirerekumenda na gawin ito, lalo na kung hindi ka nag-set up ng isang password para sa CA. Tiyaking nasa iyo ang lahat ng mga susi at sertipiko para sa bawat aparato na nais mong kumonekta bago alisin ang file. Kung nais mong magdagdag ng higit pa sa ibang pagkakataon, kailangan mong ilipat ang ca.key file pabalik sa server.
  10. Kapag mayroon kang ligtas na CA na ligtas na nakaimbak sa ibang lugar maliban sa server, pumunta sa PuTTy at alisin ang parehong orihinal na ca.key at ang kopya na ginawa namin mula sa server:
    • sudo rm /etc/openvpn/easy-rsa/pki/private/ca.key
      sudo rm /etc/openvpn/keys/ca.key
  11. Kapag na-download na ang mga file, kailangan nating ibalik ang kanilang mga mas mahigpit na pahintulot sa server upang hindi lamang ma-access ang sinuman. Bumalik sa PuTTy:
    • cd / etc / openvpn / key
      sudo chmod 600 *
  12. Sa iyong PC, gupitin at i-paste ang limang mga file mula sa kung saan mo nai-download ang mga ito sa iyong folder ng OpenVPN config. Sa kasong ito C: // Program Files // OpenVPN // config.
  13. Panghuli, kailangan nating lumikha ng isang file ng pagsasaayos ng kliyente. Buksan ang iyong mga paboritong editor ng plaintext (Gumagana ang fine Notepad) sa pamamagitan ng pag-click at pagpili Tumakbo bilang tagapangasiwa at i-paste ang sumusunod na config, na pinapalitan ang IYONG.EC2.INSTANCE.IP sa IP address ng iyong EC2 halimbawa:
    • kliyente
      dev tun
      proto udp
      malayuang IYONG.EC2.INSTANCE.IP 1194
      ca ca.crt
      cert client.crt
      key client.key
      tls-bersyon-min 1.2
      tls-cipher TLS-ECDHE-RSA-MAY-AES-128-GCM-SHA256: TLS-ECDHE-ECDSA-MAY-AES-128-GCM-SHA256: TLS-ECDHE-RSA-MAY-AES-256-GCM-SHA384 : TLS-DHE-RSA-MAY-AES-256-CBC-SHA256
      cipher AES-256-CBC
      authAng SHA512
      resolv-retry walang hanggan
      auth-retry wala
      marangal
      magpapatuloy-susi
      magpatuloy-tun
      ns-cert-type server
      comp-lzo
      pandiwa 3
      tls-client
      tls-auth pfs.key
  14. Ito ay isang Windows config file para sa OpenVPN GUI, kaya mai-save namin ito kliyente.ovpn. Ang iba pang mga kliyente ng OpenVPN ay maaaring gumamit ng extension .conf sa halip. Anuman ang kaso, siguraduhin na ang iyong text editor ay hindi magdagdag ng .txt extension pagkatapos i-save. I-save ito sa parehong lokasyon tulad ng iyong key at sertipikasyon file: C: \\ Program Files \\ OpenVPN \\ configeasyrsa 8
  15. Ngayon patakbuhin ang OpenVPN GUI sa mode ng administrator sa pamamagitan ng pag-click sa kanan at pagpili Tumakbo bilang tagapangasiwa. I-right-click ang icon sa tray ng iyong system at kumonekta sa kliyente pagsasaayos lamang namin. Ang isang screen ng katayuan na may maraming mga teksto ay mag-flash sa buong screen, at pagkatapos ang icon ay magiging berde.

Binabati kita! Nakakonekta ka na ngayon sa iyong gawang bahay na VPN.

Paraan # 2: Static encryption (mas madali, ngunit hindi inirerekomenda)

Sa pamamaraang ito, gagawa kami ng isang ibinahaging susi para sa pagpapatunay. Ito ay uri ng tulad ng isang file na gumaganap bilang isang password. Mas madaling i-set up ngunit pinapayagan lamang ang isang solong aparato na konektado sa VPN sa anumang oras, at hindi gaanong ligtas kaysa sa madaling rsa na pamamaraan sa itaas.

  1. Sa PuTTy Type sa sumusunod na mga utos at pindutin ang ipasok ang:
    • cd / etc / openvpn
      sudo openvpn –genkey –secret ovpn.key
  2. Ngayon ay gagawa kami ng isang server config file para sa aming VPN. I-type ang sumusunod na utos upang lumikha ng isang blangko na file ng teksto sa isang napaka basic text editor sa loob ng terminal:
    • sudo nano openvpn.conf
  3. I-type ang sumusunod na pagsasaayos. Maaari kang makahanap ng higit pang mga pagpipilian sa OpenVPN website kung nais mong i-play sa bandang huli, ngunit tiyaking alam mo kung ano ang una mong ginagawa.ec2 vpn 13
    • port 1194
      proto tcp-server dev tun1
      ifconfig 10.4.0.1 10.4.0.2
      katayuan ng server-tcp.log
      pandiwa 3
      lihim na ovpn.key
  4. Ngayon pindutin ang CTRL + O (iyon ang titik na ‘O’ hindi zero) at pindutin ang ipasok upang i-save ang file. Pagkatapos ay pindutin ang CTRL + X upang lumabas sa text editor. Bumalik sa command prompt, oras na upang ma-burn ang OpenVPN:
    • magsimula ang serbisyo ng sudo openvpn
  5. Susunod na kailangan nating makuha ang ibinahaging key mula sa server patungo sa iyong lokal na computer. Una kailangan nating baguhin ang mga pahintulot sa file na ito upang ma-access natin ito gamit ang sumusunod na utos:
    • sudo chmod 777 ovpn.key
  6. Kung sa anumang oras ay hindi mo sinasadyang isara ang PuTTy o bumagsak lamang ito, maaari kang mag-navigate pabalik sa iyong bukas na direktoryo ng pag-install ng VPN pagkatapos muling kumonekta gamit ang utos na ito:
    • cd / etc / openvpn
  7. Upang gawing madali ito hangga’t maaari, i-download at i-install ang libreng application na ito, ang WinSCP (Kailangang makahanap ng mga gumagamit ng Mac ang isa pang FTP client. Huwag mag-alala, maraming mga ito). Gumamit lamang ng mga pagpipilian sa default na pag-install. Kapag natapos na ito, dapat na mag-pop up ang isang Window upang ma-import ang iyong mga detalye sa pagpapatunay ng server mula sa PuTTy. Piliin ang isa na ginawa namin sa itaas at magpatuloy.ec2 vpn 14
  8. Piliin ang myvpn (o kung ano ang pinangalanan mo) at pindutin ang pindutan ng I-edit. I-type ang “ec2-user” sa ilalim ng pangalan ng gumagamit. Mag-click sa Pag-login.ec2 vpn 15
  9. Ngayon ay maaari mong ilipat ang mga file sa pagitan ng iyong server ng EC2 at ang iyong lokal na computer. Sa kanang panel ng kamay, mag-navigate hangga’t maaari, pagkatapos ay pumunta sa etc / openvpn. Dito makikita mo ang ovpn.key file na kailangan namin. I-click at i-drag ito sa folder na iyong pinili, ngunit tandaan kung saan mo ito inilagay ayon sa nais naming ilipat ito sa ibang pagkakataon.ec2 vpn 16
  10. Ngayon na mayroon ka ng susi, kailangan naming muling mag-aplay ng mga lumang pahintulot upang hindi lamang makuha ng sinuman. Bumalik sa iyong terminal ng PuTTy, ipasok ang:
    • sudo chmod 600 ovpn.key
  11. Panahon na upang i-download ang OpenVPN client at GUI para sa iyong lokal na computer. Pumunta sa pahina ng pag-download ng OpenVPN at piliin ang naaangkop na bersyon para sa iyong operating system. I-install ito gamit ang mga default na setting.
  12. Ilunsad ang OpenVPN at dapat itong lumitaw bilang isang icon sa iyong tray ng system. Magbukas ng isang file explorer at mag-navigate sa kung saan mo na-install ang OpenVPN, marahil sa iyong folder ng Program Files. Ilipat ang file na opvn.key na na-download namin mula sa server sa folder ng config na matatagpuan dito (C: / Program Files / OpenVPN / config … kung ginamit mo ang default na direktoryo ng pag-install sa Windows).
  13. Susunod, kailangan naming lumikha ng isang config file para sa lokal na makina upang tumugma sa isang ginawa namin sa aming server. Buksan ang Notepad at i-paste ang sumusunod, palitan ang IP address pagkatapos ng “liblib” sa IP ng iyong EC2 halimbawa (kung nakalimutan mo ito, hanapin ito sa iyong AWS Console sa ilalim ng EC2 Instances). Gayundin, dobleng suriin na ang buong landas ng file na tumuturo sa iyong susi ay tama.
    • proto tcp-client
      liblib
      port 1194
      dev tun
      lihim "C: \\ Program Files \\ OpenVPN \\ config \\ ovpn.key"
      pag-redirect-gateway def1
      ifconfig 10.4.0.2 10.4.0.1
  14. I-save ito bilang myconfig.ovpn (tiyaking hindi na-apend ito ng iyong editor ng teksto bilang myconfig.ovpn.txt nang hindi pagkakamali) sa config folder ng iyong pag-install ng OpenVPN, sa parehong lugar tulad ng iyong opvn.key file.ec2 vpn 17
  15. Mag-right click sa icon ng OpenVPN sa tray ng iyong system at i-click ang Exit upang huminto. Ngayon simulan muli ito – alinman sa desktop na shortcut o mula sa folder ng Program Files – ngunit ang oras na ito ay gumamit ng tamang pag-click at pindutin ang “Tumakbo bilang tagapangasiwa”. Kung hindi mo patakbuhin ang OpenVPN bilang tagapangasiwa sa Windows, marahil ay hindi ito gagana.ec2 vpn 18
  16. Mag-right click ang icon ng tray ng system at i-click ang Kumonekta. Dapat buksan ang OpenVPN GUI na nagpapakita sa iyo ng katayuan ng koneksyon. Sa pag-aakalang nagtrabaho ito, ang icon ng tray ng system ay magiging berde. Pumunta sa Google at i-type ang “Ano ang aking IP?”, At dapat itong ibalik ang IP address ng iyong Amazon EC2 Instance.ec2 vpn 19

Binabati kita, ginawa mo lang ang iyong sariling VPN!

Mga karagdagang tala

Kung nais mong protektahan ang iyong VPN mula sa malalim na inspeksyon ng packet, isang pamamaraan na ginagamit ng mga rehimen ng censorship sa mga lugar tulad ng China at Syria upang harangan ang mga koneksyon sa OpenVPN, suriin ang aming tutorial sa pag-set up ng Obfsproxy. Tandaan na ang tutorial na ito ay isinulat bilang isang uri ng sumunod na pangyayari sa mas matandang Pamamaraan # 2 sa artikulong ito, kaya kung ginamit mo ang madaling rsa, kakailanganin ito ng ilang karagdagang pagsasaayos.

Tandaan na panatilihin ang iyong bandwidth sa loob ng mga libreng limitasyon ng tier ng Amazon. Ang pinakamadaling paraan upang gawin ito ay ang pag-right click sa iyong halimbawa sa AWS Console at mag-click sa link na “Add / Edit Alarm”. Maaari mong itakda ang iyong server upang ihinto o kahit na magwawakas pagkatapos ng ilang oras na hindi aktibo. Pinapayagan ng libreng tier ng 750 na oras bawat buwan (na sumasaklaw sa buong buwan), kaya hindi mo kailangang gawin ito. Ang mga gumagamit ay lumipas ang kanilang unang libreng taon ng serbisyo o paggawa ng higit pa sa kanilang server, gayunpaman, ay maaaring maiwasan ang mga hindi kinakailangang singil para sa hindi nagamit na oras ng server.

Sa isang lugar sa tutorial na ito, maaaring may mali sa iyo. Kung gusto mo talaga ng isang VPN ngunit ayaw mong gawin ang iyong patas na bahagi ng pag-aayos, marahil pinakamahusay na mag-opt para sa isang bayad na serbisyo ng VPN. Pinapayagan ka nila na ma-channel ang iyong trapiko sa internet sa pamamagitan ng maraming mga lokasyon sa heograpiya, samantalang ang isang halimbawa ng EC2 ay limitado sa isa lamang. Tingnan ang aming mga pagsusuri sa VPN dito!

Hardcoding DNS server sa iyong VPN

Kung kailangan mong magtakda ng mga tukoy na server ng DNS upang magamit sa iyong VPN, mayroong isang pagpipilian ng ilang.

Upang “itulak” ang DNS server sa client, idagdag ang linyang ito sa server config. Makakaapekto ito sa lahat ng mga aparato na kumonekta sa iyong VPN (kasama ang mga quote):

itulak "dhcp-pagpipilian DNS 45.56.117.118"

Bilang kahalili, maaari mong itakda ang DNS sa isang indibidwal na config ng kliyente gamit ang:

dhcp-pagpipilian DNS 45.56.117.118

Sa mga halimbawang ito, gumamit ako ng isang OpenNIC public DNS server na may hindi nagpapakilalang pag-log na matatagpuan sa US. Maaari kang makahanap ng isang OpenNIC server sa bansa na iyong pinili at filter sa pamamagitan ng mga tampok tulad ng hindi nagpapakilalang pag-log at DNSCrypt dito.

Espesyal na pasasalamat sa blog ng Cltrtr Watson, na aking sinaligan bilang isang mapagkukunan sa pagsulat ng artikulong ito.

Si Jon Watson (walang kaugnayan, sa palagay ko) ay nag-ambag sa artikulong ito.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map