Поднимаем свой VPN сервер

В связи с последними событиями вокруг сикретс лайн решил опубликовать небольшую статью.

Просьба вендоров по безопасности не пинать мну сильно
Сразу скажу что статья не претендует на полноту освещения проблематики.
Ну и просьба особо не пинать – это мой первый опыт написания статей подобного рода

Итак для нас потребуется выделенный сервер с установленной операционной системой CentOS 5.

Установка и настройка своего vpn сервера.

Создавать впн сервер будем на базе исходников openvpn.net.
Поднимать сервер буду на базе оси centos 5.

итак идем на сайт и скачиваем дистрибутив серверного клиента.
http://openvpn.net/index.php/access-…vpn-as-sw.html
выбираем Centos или другую ось которая стоит на серваке

http://h1964807.stratoserver.net/fil…67n1uUd5ag.jpg

тут выбираем конкретную версию оси которая установлена на нашем серваке. В нашем случае это Centos 5 32 бита

скачиваем пакет.

Далее с помощью фтп менеджера заливаем дистрибутив на сервер. Советую использовать менеджер winscp – он бесплатен и обладает практически всем необходимым функционалом.

http://h1964807.stratoserver.net/fil…956w56Sdtg.jpg

подлючаемся к серваку, выбираем директорию куда закачиваем файл, я например закачиваю в директорию /home/ и начинаем копирование.

http://h1964807.stratoserver.net/fil…B9bqzH6nwg.jpg

как только копирование завершилось, подключаемся к серверу по ssh используя популярный клиент putty

http://h1964807.stratoserver.net/fil…lxoUPdjxIQ.jpg

вводим логин, пароль, затем выполняем команды:

http://h1964807.stratoserver.net/fil…QsSgzPGcSA.jpg

cd /home/
rpm -i openvpn-as-1.8.3-CentOS5.i386.rpm

далее нам должно выдать то что есть на скрине

http://h1964807.stratoserver.net/fil…QsSgzPGcSA.jpg

The Access Server has been successfully installed in /usr/local/openvpn_as
Configuration log file has been written to /usr/local/openvpn_as/init.log
Please enter "passwd openvpn" to set the initial
administrative password, then login as "openvpn" to continue
configuration here: https://ip сервера:943/admin
To reconfigure manually, use the /usr/local/openvpn_as/bin/ovpn-init tool.

Access Server web UIs are available here:
Admin UI: https://ip сервера:943/admin
Client UI: https://ip сервера:943/

далее конфигурируем созданного дефолтного пользователя для админки, устанавливаем ему пароль командой
passwd openvpn

http://h1964807.stratoserver.net/fil…OSmcyJjGAA.jpg
Далее идем по адресу:

https://ip сервера:943/admin

вводим логин openvpn и пароль который только что мы установили, принимаем все необходимые лицензионные соглашенния

http://h1964807.stratoserver.net/fil…jlaQ3S1KXg.jpg

Это вид админ панели нашего сервера

http://h1964807.stratoserver.net/fil…iUoL37BTpA.jpg

Впринципе все дефолтные настройки нас вполне устраивают, на сайте openvpn.net кому интересно могут почитать о них более подробно, там все расписано досконально.

Я остановлюсь на нескольких моментах:

По дефолту на нащем сервере доступно создание только 2х пользователей нашего сервиса. Если хотите увеличить количество – то необходимо докупить лицензии на дополнительных пользователей. Сделать это можно на сайте openvpn.net

по ссылке user permission мы можем конфигуриировать пользователей нашего сервера. Давать им админ права, запрещать доступ временно или постоянно, удалять добавлять пользователей.

добавление юзера:

http://h1964807.stratoserver.net/fil…TSWeV1aveg.jpg

http://h1964807.stratoserver.net/fil…nJXZqr0U3g.jpg

далее подключаемся к серверу по ssh и добавляем пользователя из командной строки:

adduser user1
passwd user1

http://h1964807.stratoserver.net/fil…aTfK0ndGpQ.jpg

Далее нажимаем кнопку start the server на главной странице,
все сервер готов к работе.

Для непосредственного подключения к впн необходимо:
пройти по адресу

https://ip сервера:943/

вводим тут логин и пасс нашего пользователя впн

http://h1964807.stratoserver.net/fil…vbLhCfEu7A.jpg

на данной странице скачиваем клиент, устанавливаем его на своей рабочей машине

после чего нажимаем кнопку Connect
и принимаем все необходимые сертификаты.

http://h1964807.stratoserver.net/fil…PMPnF42Zvg.jpg

Статус запущенной программы по мере подключения будет меняться, как только станет:

http://h1964807.stratoserver.net/fil…MuEnsGbaMg.jpg

мы подключены к сети впн.

Дополнительные рекомендации по поводу впн, необходимые с моей точки зрения:
1) впн – это лишь один из многих способов обеспечения своей безопасности, не стоит считать что если вы работаете через впн – то этого достаточно.
2) для впн необходимо брать именно выделенный сервер. Не vds или vps. Это более относится к безопасности чем к работоспособности клиента.
3) мое мнение – нет особой разницы какой впн вы используете – дабл квадро или сингл. При желании вас найти – вас не спасут никакие дабл. Потому при выборе точки базирования впн сервера следует обратить внимание не на хороший пинг иили канал этого сервера, а на законы страны в которой сервер расположен, а так же на то как хорошо сотрудничают правоохранительные органы рекомой страны с тем регионом где мы собираемся работать.
Потому имхо дебилизм брать даблвпн юк-де и работать по еу – элементарный запрос вас вычислит. Старайтесь для сервера найти локации со слабым законодательством с сфере высоких технологий в сочетании с плохими отношениями с мировым сообществом.

Ну и не стоит работать в том регионе где вы находитесь физически и где расположен сервер вашего впн.

(С) ender 2011. Перепечатка, копирование только с моего согласия

PS буду рад замечаниям дополнениям комментариям

Оставьте комментарий