Máy chủ VPN chủ yếu được sử dụng trong thế giới kinh doanh: nhân viên có thể sử dụng chúng để truy cập an toàn vào mạng công ty khi đang trên đường hoặc từ nhà. Tuy nhiên, máy chủ VPN cũng có thể hữu ích khi bạn đang di chuyển và muốn truy cập internet an toàn hơn hoặc nếu bạn muốn truy cập các tệp trên mạng gia đình của mình.
Mẹo 01: Giao thức VPN
Có rất nhiều dịch vụ VPN và một số bạn thậm chí có thể sử dụng miễn phí mà không có quá nhiều hạn chế, chẳng hạn như ProtonVPN. Thông qua phần mềm máy khách trên thiết bị di động hoặc máy tính của bạn, bạn kết nối với một trong các máy chủ VPN được cung cấp, sau đó bạn có thể truy cập internet thông qua máy chủ đó.
Cách tiếp cận của bài viết này đầy tham vọng hơn: chúng tôi sẽ thiết lập máy chủ VPN của riêng mình trong mạng gia đình của chúng tôi. VPN là viết tắt của mạng riêng ảo (trong tiếng Hà Lan còn được gọi là mạng riêng ảo) và điều đó có nghĩa là bạn kết nối các mạng cách xa nhau về mặt vật lý. Một kết nối như vậy thường chạy qua internet và đó không phải là môi trường an toàn nhất. Đó là lý do tại sao tất cả lưu lượng dữ liệu được mã hóa thông qua một kết nối VPN như vậy: một đường hầm ảo được tạo ra giữa hai mạng như ban đầu.
Một số giao thức VPN có sẵn, bao gồm pptp, sstp, ikev2, l2tp / ipsec, OpenVPN và WireGuard. Phần sau đầy hứa hẹn, nhưng vẫn đang trong quá trình phát triển và chưa được hỗ trợ rộng rãi. Chúng tôi chọn OpenVPN ở đây vì nó là mã nguồn mở, có mã hóa mạnh và có sẵn trên hầu hết các nền tảng.
Hiện tại, OpenVPN vẫn được coi là giao thức VPN tốt hơnbộ định tuyến
Trên thực tế, bộ định tuyến của bạn là nơi tốt nhất để thiết lập máy chủ VPN trong mạng gia đình của bạn. Sau cùng, tất cả lưu lượng dữ liệu từ các trang web bạn truy cập trên đường trước tiên sẽ đi qua máy chủ VPN của bạn. Nếu đó là bộ định tuyến của bạn, lưu lượng truy cập đó sẽ chuyển thẳng trở lại thiết bị di động của bạn. Nếu máy chủ VPN của bạn nằm trên NAS hoặc PC, trước tiên lưu lượng dữ liệu phải đi từ bộ định tuyến của bạn đến thiết bị đó và từ đó trở lại bộ định tuyến của bạn. Một bước trung gian bổ sung, nhưng trong thực tế, bạn sẽ không nhận thấy sự chậm trễ này nhiều.
Thật không may, nhiều bộ định tuyến gia đình điển hình không có tùy chọn tích hợp để thiết lập máy chủ VPN. Nếu bộ định tuyến của bạn thực sự thiếu dịch vụ VPN, chương trình cơ sở DD-WRT có thể cung cấp một lối thoát. Lướt qua đây và nhập kiểu bộ định tuyến của bạn. Với một chút may mắn sẽ có đúng trong cột Được hỗ trợ và bạn có thể tải xuống tệp phần sụn để cài đặt bộ định tuyến của mình với nó. Xin lưu ý, bạn thực hiện một thao tác nhạy cảm như vậy hoàn toàn tự chịu rủi ro! Bạn có thể vào đây để xem hướng dẫn.
Mẹo 02: Cài đặt trên NAS
Đầu tiên chúng tôi sẽ hướng dẫn bạn cách cài đặt máy chủ OpenVPN trên NAS. Các nhà sản xuất NAS nổi tiếng như QNAP và Synology cung cấp ứng dụng riêng của họ để thêm máy chủ VPN. Chúng ta sẽ xem xét cách thực hiện điều đó trên NAS Synology với phiên bản gần đây của DiskStation Manager (DSM). Tạo kết nối với giao diện web của DSM, địa chỉ theo mặc định là: 5000 hoặc: 5001.
Mở nó ra Trung tâm trọn gói, tham gia Tất cả các gói tìm kiếm ứng dụng Máy chủ VPN và bấm vào đây để cài đặt. Sau khi cài đặt, nhấp vào Mở: máy chủ có thể xử lý một số giao thức vpn, được liệt kê PPTP, L2TP / IPSec và OpenVPN. Về nguyên tắc, chúng thậm chí có thể hoạt động cùng lúc, nhưng chúng tôi tự giới hạn mình trong giao thức OpenVPN. bấm vào OpenVPN và đặt một tấm séc bên cạnh Bật máy chủ OpenVPN. Đặt một địa chỉ ip nội bộ ảo cho máy chủ vpn của bạn. Theo mặc định, điều này được đặt thành 10.8.0.1, có nghĩa là các máy khách VPN về nguyên tắc sẽ nhận được địa chỉ từ 10.8.0.1 đến 10.8.0.254. Bạn có thể chọn dải IP từ 10.0.0.1 đến 10.255.255.1, từ 172.16.0.1 đến 172.31.255.1 và từ 192.168.0.1 đến 192.168.255.1. Chỉ cần đảm bảo rằng phạm vi không trùng lặp với các địa chỉ IP hiện đang được sử dụng trong mạng cục bộ của bạn.
Trên một số thiết bị nas, bạn có một máy chủ OpenVPN được cài đặt như thế này Mẹo 03: Lựa chọn giao thức
Trong cùng một cửa sổ cấu hình, bạn cũng chỉ định số lượng kết nối đồng thời tối đa, cũng như cổng và giao thức. Theo mặc định, cổng 1194 và giao thức UDP và điều đó thường hoạt động tốt. Nếu bạn đã có một dịch vụ khác đang chạy trên cổng đó, tất nhiên bạn sẽ đặt một số cổng khác.
Hơn nữa, bạn cũng có thể chọn tcp thay vì udp. Tcp đã tích hợp tính năng sửa lỗi và kiểm tra xem từng bit đã đến chính xác chưa. Điều này giúp kết nối ổn định hơn, nhưng hơi chậm hơn. Mặt khác, Udp là một 'giao thức không trạng thái' không có sửa lỗi, điều này làm cho nó phù hợp hơn với các dịch vụ phát trực tuyến, nơi mà việc mất một số bit thường ít nghiêm trọng hơn.
Lời khuyên của chúng tôi: hãy thử udp trước. Có thể bạn có thể thử nghiệm sau đó và chọn cổng tcp 8080 hoặc thậm chí là cổng https 443, vì chúng thường ít bị tường lửa (công ty) chặn hơn. Hãy nhớ rằng bạn cũng phải đặt giao thức đã chọn trong cài đặt cho chuyển tiếp cổng (xem mẹo 5).
Thông thường, bạn có thể để nguyên các tùy chọn khác của cửa sổ cấu hình. Xác nhận lựa chọn của bạn với Để áp dụng.
Mẹo 04: Xuất cấu hình
Ở cuối cửa sổ, bạn sẽ thấy nút Xuất cấu hình. Thao tác này xuất một tệp zip, khi được giải nén, sẽ mang lại cả chứng chỉ (.crt) và cấu hình (.ovpn). Bạn cần tệp ovpn cho khách hàng OpenVPN của mình (xem thêm mẹo 6 đến 8). Mở tệp ovpn bằng chương trình Notepad. Trong dòng (thứ ba), thay thế chỉ báo YOUR_SERVER_IP ở xa YOUR_SERVER_IP 1194 bởi địa chỉ IP bên ngoài của bộ định tuyến của bạn và ký hiệu 1194 theo cổng bạn đặt trong cửa sổ cấu hình OpenVPN. Một cách nhanh chóng để tìm ra địa chỉ IP bên ngoài này là khi bạn đi từ mạng nội bộ của mình đến một trang web như www.whatismyip.com (xem hộp 'Ddns'). Ngẫu nhiên, bạn cũng có thể thay thế địa chỉ IP này bằng tên máy chủ, chẳng hạn như tên của dịch vụ ddns (xem cùng hộp).
Xa hơn một chút trong tệp ovpn, bạn thấy dòng # redirect-gateway def1. Ở đây bạn loại bỏ băm, vì vậy redirect-gateway def1. Về nguyên tắc, tùy chọn này đảm bảo rằng tất cả lưu lượng mạng được định tuyến thông qua VPN. Nếu điều này gây ra sự cố, bạn có thể khôi phục lại dòng ban đầu. Tìm hiểu thêm về điều này (và các vấn đề kỹ thuật OpenVPN khác) tại đây.
Lưu tệp đã chỉnh sửa với cùng một phần mở rộng.
ddns
Từ bên ngoài, bạn thường truy cập mạng gia đình của mình thông qua địa chỉ IP công cộng của bộ định tuyến. Bạn tìm ra địa chỉ đó khi bạn lướt từ mạng của mình đến một trang web như www.whatismyip.com. Rất có thể nhà cung cấp của bạn đã chỉ định động địa chỉ IP này, vì vậy bạn không có gì đảm bảo rằng địa chỉ IP này sẽ luôn giữ nguyên. Điều đó thật khó chịu nếu bạn thường xuyên muốn truy cập mạng của mình (và máy chủ OpenVPN) từ bên ngoài.
Dịch vụ dns động (ddns) cung cấp một cách khả thi. Điều này đảm bảo rằng một tên miền cố định được liên kết với địa chỉ IP đó và ngay khi địa chỉ thay đổi, công cụ ddns được liên kết (chạy cục bộ ở đâu đó trong mạng của bạn chẳng hạn như trên bộ định tuyến, nas hoặc PC của bạn) sẽ thông báo địa chỉ mới tới dịch vụ ddns, cập nhật liên kết ngay lập tức. Một trong những nhà cung cấp ddns miễn phí linh hoạt nhất là Dynu.
Mẹo 05: Chuyển tiếp cổng
Một thông báo sẽ xuất hiện yêu cầu bạn kiểm tra cài đặt tường lửa và chuyển tiếp cổng cho cổng bạn đã đặt (mặc định là 1194 udp).
Chúng ta sẽ bắt đầu với tường lửa. Bạn phải truy cập máy chủ OpenVPN qua cổng udp 1194 và sau đó bạn phải chắc chắn rằng tường lửa của bạn không chặn cổng đó. Bạn có thể tìm thấy tường lửa trên nas của mình qua Bảng điều khiển / Tab Bảo mật / Tường lửa. Khi tường lửa được bật, hãy kiểm tra qua nút Chỉnh sửa quy tắc rằng cổng được đề cập không bị khóa. Điều này cũng áp dụng cho tường lửa trên bộ định tuyến của bạn, nếu nó được bật.
Khái niệm về giao nhận cảng phức tạp hơn. Nếu bạn muốn truy cập máy chủ OpenVPN từ bên ngoài mạng nội bộ, bạn sẽ phải sử dụng địa chỉ IP công cộng của bộ định tuyến. Khi bạn đưa ra yêu cầu qua địa chỉ IP này cho kết nối OpenVPN với cổng udp 1194, bộ định tuyến của bạn phải biết nó sẽ chuyển tiếp yêu cầu cho lưu lượng cổng đó tới máy nào và trong trường hợp của chúng tôi là địa chỉ IP nội bộ của mũi bạn.
Tham khảo sách hướng dẫn sử dụng bộ định tuyến của bạn để tìm hiểu cách thiết lập chuyển tiếp đúng cách hoặc truy cập http://portionary.com/router để biết thêm hướng dẫn.
Nói chung, nó sẽ như thế này: đăng nhập vào giao diện web của bộ định tuyến của bạn, tìm phần (phụ) như Cổng chuyển tiếp và thêm một mục nhập với các thông tin sau: tên ứng dụng, địa chỉ ip của nas, cổng nội bộ, cổng bên ngoài và giao thức. Ví dụ, đó có thể là: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Xác nhận các thay đổi của bạn.
Máy chủ OpenVPN của bạn có thể vẫn yêu cầu một số hoạt động của tường lửa và bộ định tuyến Máy chủ OpenVPN riêng biệt
Nếu bạn không có NAS và bộ định tuyến của bạn cũng không hỗ trợ OpenVPN, bạn vẫn có thể tự thiết lập máy chủ OpenVPN như vậy trên máy tính chạy Linux hoặc Windows.
Thủ tục như vậy hơi rườm rà. Bạn phải thực hiện các bước khác nhau và cũng trong Windows, điều này chủ yếu xảy ra từ Command Prompt. Sau khi cài đặt phần mềm OpenVPN Server (xem mẹo 8), bạn cần tạo chứng chỉ CA, tiếp theo là tạo chứng chỉ cho máy chủ và các máy khách OpenVPN cần thiết. Bạn cũng cần cái gọi là tham số DH (Diffie-Hellman) cũng như khóa TLS (bảo mật lớp truyền tải). Cuối cùng, bạn cũng phải tạo và sửa đổi các tệp ovpn ở đây và đảm bảo rằng máy chủ của bạn cho phép lưu lượng truy cập cần thiết.
Qua liên kết này, bạn sẽ tìm thấy kế hoạch từng bước cho Windows 10, cho Ubuntu qua liên kết này.
Mẹo 06: Hồ sơ khách hàng di động
Thiết lập máy chủ OpenVPN là bước đầu tiên, nhưng sau đó bạn phải kết nối với máy chủ từ một hoặc nhiều máy khách VPN (chẳng hạn như máy tính xách tay, điện thoại hoặc máy tính bảng của bạn). Hãy bắt đầu bằng cách kết nối một ứng dụng khách di động.
Đối với cả iOS và Android, thiết lập kết nối dễ dàng nhất với ứng dụng khách OpenVPN nếu nó miễn phí Kết nối OpenVPN. Bạn có thể tìm thấy ứng dụng này trong các cửa hàng ứng dụng chính thức của cả Android và Apple.
Hãy lấy Android làm ví dụ. Tải xuống và cài đặt ứng dụng. Trước khi bạn khởi động ứng dụng, hãy đảm bảo rằng tệp hồ sơ ovpn có trên thiết bị di động của bạn (xem mẹo 4). Nếu cần, bạn có thể thực hiện việc này thông qua đường vòng qua dịch vụ như WeTransfer hoặc dịch vụ lưu trữ đám mây như Dropbox hoặc Google Drive. Bắt đầu Kết nối OpenVPN vào và chọn Hồ sơ OVPN. Xác nhận với Cho phép, hãy tham khảo tệp VPNconfig.ovpn đã truy xuất và chọn Nhập khẩu. Nếu bạn muốn thêm các cấu hình bổ sung sau đó, bạn có thể chỉ cần làm như vậy thông qua nút dấu cộng.
Mẹo 07: Kết nối máy khách
Đặt tên phù hợp cho kết nối VPN của bạn và điền vào các chi tiết chính xác tên tài khoản và mật khẩu mở khóa. Các chi tiết đăng nhập này tất nhiên phải có quyền truy cập vào máy chủ VPN của bạn, trên NAS Synology mà bạn mở tại Máy chủ VPN danh mục quyền lợi và đặt một séc bên cạnh (những) người dùng dự định OpenVPN. Theo tùy chọn, bạn có thể chọn ghi nhớ mật khẩu, nếu bạn cho rằng mật khẩu đủ an toàn. Xác nhận với Thêm vào. Cấu hình đã được thêm, hãy nhấn vào nó để bắt đầu kết nối.
Ứng dụng có thể phàn nàn rằng tệp hồ sơ không có chứng chỉ máy khách (nó có chứng chỉ máy chủ), vì NAS Synology không chỉ tạo ra nó. Điều đó được thừa nhận là hơi kém an toàn vì nó không xác minh xem đó có phải là ứng dụng khách được ủy quyền hay không, nhưng bạn cần tên người dùng và mật khẩu để thực sự có quyền truy cập. Vì vậy, bạn có thể ở đây Tiếp tục lựa chọn. Nếu tất cả đều ổn, kết nối sẽ được thiết lập sau một thời gian. Bạn nhận thấy điều này, trong số những thứ khác, bởi biểu tượng chìa khóa ở đầu màn hình bắt đầu.
Mẹo 08: Máy khách Windows
Đối với Windows, tải xuống trình cài đặt Windows 10 từ OpenVPN GUI, cũng có phiên bản dành cho Windows 7 và 8 (.1). Cài đặt công cụ. Nếu bạn cũng dự định cài đặt máy chủ OpenVPN trong Windows (xem hộp 'Máy chủ OpenVPN riêng biệt'), hãy chọn hộp trong khi cài đặt. Tập lệnh quản lý chứng chỉ EasyRSA 2. Đồng thời cho phép cài đặt trình điều khiển TAP nếu được yêu cầu.
Sau đó, bạn sẽ tìm thấy biểu tượng OpenVPN GU trên máy tính để bàn của bạn. Nếu không, hãy khởi động chương trình từ thư mục cài đặt mặc định C: \ Chương trìnhTệp \ OpenVPN \ bin. Việc cài đặt sẽ loại bỏ sự cần thiết phải chạy công cụ với tư cách quản trị viên. Nếu vì lý do nào đó mà nó không hoạt động, hãy nhấp chuột phải vào tệp chương trình và chọn Chạy như quản trị viên.
Hiển thị chương trình theo cách đến tệp hồ sơ ovpn của bạn (xem mẹo 4). Nhấp chuột phải vào biểu tượng OpenVPN GU trong khay hệ thống Windows và chọn Nhập tệp, sau đó chọn tệp VPNConfig.ovpn. Trong cùng một menu này, hãy nhấp vào Kết nối và nhập các chi tiết đăng nhập cần thiết. Trong cửa sổ trạng thái, bạn có thể theo dõi quá trình thiết lập kết nối VPN và bạn cũng có thể đọc địa chỉ IP được chỉ định ở phía dưới.
Nếu bạn gặp sự cố, hãy nhấp vào menu trên Hiển thị tệp nhật ký. Theo mặc định, dịch vụ OpenVPN bắt đầu cùng với Windows: bạn có thể sắp xếp điều này thông qua Cài đặt, trên Tổng quan. Đồng thời kiểm tra xem tường lửa của bạn không chặn kết nối.
