VPN serveri se uglavnom koriste u poslovnom svetu: zaposleni mogu da ih koriste za siguran pristup mreži kompanije dok su na putu ili od kuće. Ipak, VPN server takođe može biti od koristi kada ste na putu i želite da bezbednije pristupite internetu ili ako želite da pristupite datotekama na svojoj kućnoj mreži.
Savet 01: VPN protokoli
Postoji mnogo VPN usluga, a neke čak možete koristiti i besplatno bez previše ograničenja, kao što je ProtonVPN. Preko klijentskog softvera na vašem mobilnom uređaju ili računaru povezujete se na jedan od ponuđenih VPN servera, nakon čega možete pristupiti internetu preko takvog servera.
Pristup ovog članka je ambiciozniji: mi ćemo postaviti sopstveni VPN server u okviru naše kućne mreže. VPN je skraćenica od virtuelne privatne mreže (na holandskom se naziva i virtuelna privatna mreža) i to znači da povezujete mreže koje su fizički odvojene jedna od druge. Takva veza se obično odvija preko interneta i to nije baš najbezbednije okruženje. Zbog toga je sav saobraćaj podataka šifrovan preko takve VPN veze: virtuelni tunel se stvara između dve mreže, takoreći.
Dostupno je nekoliko VPN protokola, uključujući pptp, sstp, ikev2, l2tp/ipsec, OpenVPN i WireGuard. Ovo poslednje obećava, ali je još uvek u razvoju i još uvek nije široko podržano. Ovde biramo OpenVPN jer je otvorenog koda, ima jaku enkripciju i dostupan je na skoro svim platformama.
Trenutno se OpenVPN i dalje smatra boljim VPN protokolomruter
U stvari, vaš ruter je najbolje mesto za postavljanje VPN servera u vašoj kućnoj mreži. Na kraju krajeva, sav saobraćaj podataka sa veb lokacija koje posećujete na putu će prvo proći kroz vaš VPN server. Ako je to vaš ruter, taj saobraćaj se vraća direktno na vaš mobilni uređaj. Ako je vaš VPN server na NAS-u ili PC-u, saobraćaj podataka mora prvo da ide od vašeg rutera do tog uređaja, a odatle nazad do vašeg rutera. Dodatni srednji korak, ali u praksi nećete mnogo primetiti ovo kašnjenje.
Nažalost, mnogi tipični kućni ruteri nemaju ugrađenu opciju za podešavanje VPN servera. Ako vašem ruteru zaista nedostaje VPN usluga, DD-WRT firmver može ponuditi izlaz. Surfajte ovde i unesite svoj model rutera. Uz malo sreće biće да u koloni Подржан i možete preuzeti datoteku firmvera da biste njome flešovali ruter. Imajte na umu da tako osetljivu operaciju izvodite u potpunosti na sopstvenu odgovornost! Možete otići ovde za uputstva.
Savet 02: Instalacija na NAS
Prvo ćemo vam pokazati kako da instalirate OpenVPN server na NAS. Poznati proizvođači NAS-a kao što su QNAP i Synology nude sopstvenu aplikaciju za dodavanje VPN servera. Pogledaćemo kako to da uradimo na Synology NAS-u sa najnovijom verzijom DiskStation Manager-a (DSM). Povežite se sa veb interfejsom DSM-a, adresa je podrazumevano :5000 ili :5001.
Отворите га Paket centar, придружити Svi paketi traži aplikaciju VPN server i kliknite ovde за инсталацију. Nakon instalacije kliknite na За отварање: server može da rukuje nekim vpn protokolima, navedenim PPTP, L2TP/IPSec и OpenVPN. U principu, mogu čak biti i aktivni u isto vreme, ali mi se ograničavamo na OpenVPN protokol. кликните на OpenVPN i stavi ček pored Omogućite OpenVPN server. Podesite virtuelnu internu IP adresu za vaš vpn server. Podrazumevano, ovo je podešeno na 10.8.0.1, što znači da će VPN klijenti u principu dobiti adresu između 10.8.0.1 i 10.8.0.254. Možete birati između IP opsega između 10.0.0.1 i 10.255.255.1, između 172.16.0.1 i 172.31.255.1 i između 192.168.0.1 i 192.168.255.1. Samo se uverite da se opseg ne preklapa sa IP adresama koje se trenutno koriste u vašoj lokalnoj mreži.
Na nekim nas uređajima imate ovako instaliran OpenVPN server Savet 03: Izbor protokola
U istom prozoru za konfiguraciju takođe navodite maksimalan broj istovremenih veza, kao i port i protokol. Podrazumevano, port 1194 i protokol UDP i to obično dobro funkcioniše. Ako već imate drugu uslugu koja radi na tom portu, naravno da ćete postaviti drugi broj porta.
Štaviše, takođe možete izabrati tcp umesto udp. Tcp ima ugrađenu korekciju grešaka i proverava da li je svaki bit stigao ispravno. Ovo obezbeđuje veću stabilnost veze, ali je nešto sporije. Udp je, s druge strane, 'protokol bez stanja' bez ispravljanja grešaka, što ga čini pogodnijim za usluge striminga, gde je gubitak određenog broja bitova obično manje ozbiljan.
Naš savet: prvo isprobajte udp. Možda posle toga možete eksperimentisati i izabrati tcp port 8080, ili čak https port 443, jer je obično manje verovatno da će ih blokirati zaštitni zid (kompanije). Imajte na umu da takođe morate da podesite izabrani protokol u podešavanjima za prosleđivanje portova (pogledajte savet 5).
Druge opcije prozora konfiguracije možete normalno ostaviti netaknute. Potvrdite svoje izbore sa Да се пријаве.
Savet 04: Izvezite konfiguraciju
Na dnu prozora ćete pronaći dugme Izvezi konfiguraciju. Ovo izvozi zip datoteku koja, kada se raspakuje, daje i sertifikat (.crt) i profil konfiguracije (.ovpn). Potrebna vam je ovpn datoteka za vaše OpenVPN klijente (pogledajte i savete 6 do 8). Otvorite ovpn datoteku pomoću programa Notepad. U (trećem) redu zamenite indikaciju YOUR_SERVER_IP na udaljenom YOUR_SERVER_IP 1194 eksternom IP adresom vašeg rutera i oznakom 1194 prema portu koji ste postavili u prozoru za konfiguraciju OpenVPN-a. Brz način da saznate ovu spoljnu IP adresu je kada sa svoje interne mreže odete na sajt kao što je www.whatismyip.com (pogledajte okvir „Ddns“). Uzgred, ovu IP adresu takođe možete zameniti imenom hosta, kao što je ime ddns usluge (pogledajte isti okvir).
Malo dalje u ovpn datoteci vidite red #redirect-gateway def1. Ovde uklanjate heš, pa preusmerite-gateway def1. U principu, ova opcija osigurava da se sav mrežni saobraćaj usmerava kroz VPN. Ako ovo uzrokuje probleme, možete vratiti originalnu liniju. Saznajte više o ovome (i drugim OpenVPN tehničkim problemima) ovde.
Sačuvajte uređenu datoteku sa istom ekstenzijom.
ddns
Spolja, obično pristupate svojoj kućnoj mreži preko javne IP adrese vašeg rutera. Tu adresu saznate kada surfujete sa svoje mreže na sajt kao što je www.whatismyip.com. Šanse su da je vaš provajder dinamički dodelio ovu IP adresu, tako da nemate garanciju da će ova IP adresa uvek ostati ista. To je neugodno ako redovno želite da dođete do svoje mreže (i vašeg OpenVPN servera) spolja.
Dinamička DNS usluga (ddns) nudi mogući izlaz. Ovo osigurava da je fiksno ime domena povezano sa tom IP adresom i čim se adresa promeni, pridruženi ddns alat (koji radi lokalno negde u vašoj mreži kao što je vaš ruter, NAS ili PC) najavljuje novu adresu. ddns servis, koji odmah ažurira vezu. Jedan od najfleksibilnijih besplatnih ddns provajdera je Dynu.
Savet 05: Prosleđivanje portova
Pojaviće se poruka koja vam govori da proverite prosleđivanje portova i postavke zaštitnog zida za port koji ste postavili (podrazumevano je 1194 udp).
Počećemo sa zaštitnim zidom. Trebalo bi da pristupite OpenVPN serveru preko udp porta 1194 i onda morate biti sigurni da vaš zaštitni zid ne blokira taj port. Možete pronaći zaštitni zid na svom NAS preko Kartica Kontrolna tabla / Sigurnost / Zaštitni zid. Kada je zaštitni zid omogućen, proverite preko dugmeta Uredite pravila da dotični port nije zaključan. Ovo se takođe odnosi na zaštitni zid na vašem ruteru, ako je omogućen.
Koncept prosleđivanja porta je složeniji. Ako želite da dođete do OpenVPN servera izvan vaše interne mreže, moraćete da koristite javnu IP adresu vašeg rutera. Kada uputite zahtev preko ove IP adrese za OpenVPN konekciju sa udp portom 1194, vaš ruter mora da zna na koju mašinu treba da prosledi zahtev za saobraćaj tog porta, a to je u našem slučaju interna IP adresa vašeg nosa.
Pogledajte uputstvo za ruter da biste saznali kako da pravilno podesite prosleđivanje portova ili posetite http://portforward.com/router za više uputstava.
Generalno, to ide ovako: prijavite se na veb interfejs vašeg rutera, potražite (pod)odeljak kao Prosleđivanje porta i dodajte unos sa sledećim informacijama: naziv aplikacije, IP adresa NAS-a, interni port, eksterni port i protokol. Na primer, to može biti: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Potvrdite promene.
Vaš OpenVPN server će možda i dalje zahtevati neki rad sa zaštitnim zidom i ruterom Odvojeni OpenVPN server
Ako nemate NAS, a vaš ruter takođe ne podržava OpenVPN, i dalje možete sami da podesite takav OpenVPN server na računaru sa Linux-om ili Windows-om.
Takav postupak je malo glomazan. Morate proći kroz različite korake, a takođe i pod Windowsom to se dešava uglavnom iz komandne linije. Nakon instaliranja softvera OpenVPN Server (pogledajte savet 8) potrebno je da kreirate CA sertifikat, a zatim kreirate sertifikate za server i neophodne OpenVPN klijente. Takođe su vam potrebni takozvani DH parametri (Diffie-Hellman) kao i TLS ključ (bezbednost transportnog sloja). Konačno, ovde takođe morate da kreirate i izmenite ovpn datoteke i da se uverite da vaš server dozvoljava neophodan saobraćaj.
Preko ove veze ćete pronaći plan korak po korak za Windows 10, za Ubuntu preko ove veze.
Savet 06: Profil mobilnog klijenta
Podešavanje OpenVPN servera je prvi korak, ali nakon toga morate da se povežete na server sa jednog ili više VPN klijenata (kao što je vaš laptop, telefon ili tablet). Počnimo sa povezivanjem mobilnog klijenta.
I za iOS i za Android, postavljanje veze je najlakše pomoću OpenVPN klijentske aplikacije ako je besplatna OpenVPN Connect. Ovu aplikaciju možete pronaći u zvaničnim prodavnicama aplikacija za Android i Apple.
Uzmimo Android kao primer. Preuzmite i instalirajte aplikaciju. Pre nego što pokrenete aplikaciju, uverite se da je datoteka ovpn profila na vašem mobilnom uređaju (pogledajte savet 4). Ako je potrebno, to možete učiniti obilaznim putem preko usluge kao što je WeTransfer ili usluge skladištenja u oblaku kao što je Dropbox ili Google Drive. Почетак OpenVPN Connect na i biraj OVPN Profil. Potvrdite sa Допустити, pogledajte preuzetu datoteku VPNconfig.ovpn i izaberite Увоз. Ako nakon toga želite da dodate dodatne profile, to jednostavno možete učiniti preko dugmeta plus.
Savet 07: Povežite klijenta
Dajte odgovarajuće ime svojoj VPN vezi i unesite ispravne detalje корисничко име и Лозинка. Ovi podaci za prijavu moraju naravno imati pristup vašem VPN serveru, na Synology NAS-u na kojem otvarate VPN server kategoriju prava i stavite kvačicu pored ciljanog korisnika(a) OpenVPN. Opciono, možete izabrati da se lozinka zapamti, ako smatrate da je dovoljno bezbedna. Potvrdite sa Додати. Profil je dodat, dodirnite ga da biste započeli vezu.
Aplikacija se može žaliti da datoteka profila nema sertifikat klijenta (ima sertifikat servera), pošto ga Synology NAS ne generiše samo. To je doduše malo manje bezbedno jer ne proverava da li je to ovlašćeni klijent, ali vam je potrebno korisničko ime i lozinka da biste zaista dobili pristup. Dakle, možete ovde Настави izaberite. Ako je sve u redu, veza će biti uspostavljena nakon nekog vremena. Ovo možete primetiti, između ostalog, po ikoni ključa na vrhu početnog ekrana.
Savet 08: Windows klijent
Za Windows, preuzmite Windows 10 instalater sa OpenVPN GUI, postoji i verzija za Windows 7 i 8(.1). Instalirajte alat. Ako takođe planirate da instalirate OpenVPN server u Windows (pogledajte polje „Odvojeni OpenVPN server“), označite polje za potvrdu tokom instalacije. EasyRSA 2 skripte za upravljanje sertifikatima. Takođe dozvolite da se instalira TAP drajver ako se to zatraži.
Nakon toga ćete pronaći ikonu OpenVPN GU na radnoj površini. Ako nije, pokrenite program iz podrazumevane fascikle za instalaciju C:\ProgramDatoteke\OpenVPN\bin. Instalacija bi trebalo da eliminiše potrebu za pokretanjem alata kao administrator. Ako iz nekog razloga to nije uspelo, kliknite desnim tasterom miša na programsku datoteku i izaberite Покрени као администратор.
Pokažite programu put do datoteke vašeg ovpn profila (pogledajte savet 4). Kliknite desnim tasterom miša na ikonu OpenVPN GU u Windows sistemskoj paleti i izaberite Uvezi datoteku, a zatim izaberite datoteku VPNConfig.ovpn. U ovom istom meniju kliknite na Повезати i unesite potrebne podatke za prijavu. U prozoru statusa možete pratiti podešavanje VPN veze i takođe možete pročitati dodeljenu IP adresu na dnu.
Ako naiđete na probleme, kliknite u meniju na Prikaži datoteku evidencije. OpenVPN usluga podrazumevano počinje zajedno sa Windows-om: ovo možete urediti preko Podešavanja, na Генерал. Takođe proverite da vaš zaštitni zid ne blokira vezu.
