VPN своими руками

[Cartographer]

Впринципе часто поднимаеться вопрос собственной безопасности в среде андеграунда
Решения множество но пожалуй сейчас хочу рассказать о самом главном козыре хацкера , это сокрытие следов от провайдера и посторонних глаз
тоесть сейчас я расскажу как можно сделать собственный сервер OpenVPN
где вы будете полноправным хозяином и сами будете распоряжаться своими ресурсами
Статью буду описывать на примере собственного опыта
так что все описанные решение рабочеспособны и по сей день
И так жертвой своих истезаний я выбрал простое и очень дешовое решение
у хостинг провайдера firstvds.ru
Для начало я арендовал за 160рублей/месяц самый дешовый VPS на базе Linux Debian (другая ось не работает для VPN)

И собственно после того как ваш новоиспеченный сервер заработает
мы просто заходим в консоль под рутом и начинаем устанавливать сам дистрибутив
установка будет производиться чкерез менеджер пакетов - поехали

HTML Code:

apt-get install -y openvpn

После успешной установки командой apt-get install openvpn необходимо будет создать ключи шифрования, которые будут использоваться для авторизации на OpenVPN сервере

Создание криптографических ключей

Скопируйте файлы (утилиты для создания ключей) в папку файлов конфигурации openvpn выполнив команду:

HTML Code:

cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/

Перейдите в папку с утилитами для создания ключей командой:

HTML Code:

cd /etc/openvpn/

и выполните следующие команды для инициализации переменных окружения:

HTML Code:

. ./vars 
source ./vars

Инициализируйте каталог с ключами (ВНИМАНИЕ! Команда удалит старые ключи если они уже были созданы до этого) командой:

HTML Code:

./clean-all

Создайте корневой сертификат (Certificate Authority) сервера:

HTML Code:

./build-ca

Создайте сертификат и ключ для сервера:

HTML Code:

./build-key-server server

При создании указываем все необходимые данные, в поле Common name обязательно указать имя server (оно также указано по-умолчанию).

Следующим действием, после создания файлов сертификатов сервера, создается файл ключей (параметров) DH (Диффи и Хеллмэна), для его создания следует использовать скрипт build-dh:

HTML Code:

./build-dh

Создание сертификатов и ключей для сервера закончено. Теперь необходимо создать ключи и сертификаты для подключения клиентов:

Указываете имя клиента (например, carder1) при создании сертификата и выполните команду:

HTML Code:

./build-key carder1

После завершения создания всех файлов рекомендую сохранить резервную копию папки /etc/openvpn/keys где-либо в безопасном месте

В каталоге /etc/openvpn/keys нас интересуют 3 файла со следующими именами:
ca.crt
carder1.crt
carder1.key

Их необходимо будет скопировать на компьютер с которого будет осуществляться подключение. Копирование можно осуществить, например, используя протокол SCP/SFTP, а в качестве клиентского программного обеспечения для операционной системы Microsoft Windows использовать для этого программу WinSCP либо тупо через панель ISPmanager

Настройка файлов конфигурации OpenVPN

После создания ключей следует настроить сервер. Скопируйте пример файлов конфигурации в каталог /etc/openvpn/ и разархивируйте его выполнив следующие команды:

HTML Code:

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn 
cd /etc/openvpn 
gunzip server.conf.gz

Теперь в каталоге /etc/openvpn находится файл конфигурации с именем server.conf

Внесите в него следующие необходимые изменения (укажите полные пути к файлам ключей):

HTML Code:

ca /etc/openvpn/keys/ca.crt 
cert /etc/openvpn/keys/server.crt 
key /etc/openvpn/keys/server.key 
dh /etc/openvpn/keys/dh1024.pem

Остальные параметры оставляем такие какие были, то есть по-умолчанию.

Также для ведения логов (после настройки необходимо отключить) для поиска возможных проблем в работе можно в файле конфигурации OpenVPN сервера /etc/openvpn/server.conf добавить строку

HTML Code:

log /var/log/openvpn.log

После окончания настройки запустите сервер и убедитесь в том, что он запускается с помощью следующих команд:

HTML Code:

/etc/init.d/openvpn start 
Starting virtual private network daemon: server. 
ps ax|grep openvpn 
 5175 ? Ss 0:00 /usr/sbin/openvpn --writepid /var/run/openvpn.server.pid --daemon ovpn-server --cd /etc/openvpn --config /etc/openvpn/server.conf

Настройка трансляции адресов (NAT) для выхода в интернет через сервер с установленным OpenVPN

Сервер настроен, однако выход в интернет после подключения к нему невозможен (возможна только установка VPN-тунеля до сервера).
Необходимо в файле конфигурации /etc/openvpn/server.conf указать необходимые маршруты (для перенаправления default gateway клиента на сервер):

HTML Code:

push "redirect-gateway"

также необходимо поменять DNS-сервера, поскольку серверы интернет-провайдера могут запрещать рекурсивные запросы с чужих адресов, например, указав (DNS-сервер предварительно должен быть настроен на VDS) сервер 10.8.0.1 или какие-либо публичные DNS, например, Google Public DNS. Для этого в конфигурационный файл /etc/openvpn/server.conf также следует добавить строки:

HTML Code:

push "dhcp-option DNS 8.8.8.8" 
push "dhcp-option DNS 8.8.4.4"

Если необходимо, чтобы клиенты, которые подключаются к серверу могли "видеть" друг-друга (отправлять к другу-другу пакеты и тем самым ходить "через сервер"), то необходимо раскоментировать параметр

HTML Code:

client-to-client

Для работы NAT (трансляции адресов) необходимо настроить правила в firewall используя интерфейс управления фильтром пакетов iptables.

Для этого пропишите в файле /etc/rc.local следующие строки:

HTML Code:

/sbin/iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE 
/sbin/iptables -A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
/sbin/iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT

для того, чтобы они автоматически выполнялись при каждой загрузке виртуального выделенного сервера.

Выполните эти команды вручную чтобы применить необходимые правила, либо перезагрузите VDS чтобы убедиться что сервисы openvpn и правила iptables (их можно посмотреть командой iptables-save) запускаются автоматически.

На этом настройка OpenVPN сервера на VDS с операционной системой Debian Linux закончена непалитесь господа