OpenVPNを簡単に調理するためのレシピ。 順を追った説明

こんにちは、habralyudi。 伝統的な「これはHabréに関する私の最初のトピックです。厳密に判断しないでください。」 それどころか、正当化された批判は歓迎されます。 私は記事を書いた経験があまりないので、どんな反応にも感謝します。



警告の回数。 この投稿は、おそらく、ネットワークの世界の第一人者にとって興味深いものではないでしょう。 主にITの世界の他の分野に関心がある人に向けられていますが、彼らは好奇心が特徴であり、すべての新しいことに興味があります。 したがって、「主題」にある人々にとって、テキストはよく知られた真実とプラティチュードの集まりのように見えるかもしれません。 紳士、私はあなたを驚かせるのではなく、この分野のあまり進歩していない人を助けるために努力します。 以下はすべて、異なるバージョンのWindowsを実行しているコンピューターにのみ適用されます。

警告ナンバ火。 また、私は自分自身を第一人者とは見なしておらず、一部の発言や判断で間違いや不正確なことがあります。 ただし、調整のためのアクションのアルゴリズムは機能しており、個人的に検証されています。

警告3。 たくさんの手紙。 その結果、私は意図的に詳細に、広範囲に書き込みます。

上記で怖がらない場合は、始めましょう。



まず、wikiを使用して、VPNとは何か、実際にはどのように役立つかを思い出します。 VPN（Eng。Virtual Private Network）は、1つ以上のネットワーク接続（論理ネットワーク）を別のネットワーク（たとえば、インターネット）経由で許可する技術の一般的な名前です。 今ロシア語で。 必要に応じて、任意のリモートコンピューターを安全に組み合わせて、インターネットアクセスさえあれば、すべての利点と設備を備えた同じローカルネットワークのメンバーであると見なすことができます。



例1：あなたのホームプロバイダーは二重の関税、ローカル（安価でスマートな接続）と外部の「世界へ」（より高価で遅い）を持っています。 アクセスできる非家庭用コンピューターの1つ（たとえば、稼働中のコンピューター）には、高速のanlim-internetがあります。 私たちは道徳的、倫理的、法的側面を捨てますが、純粋に技術的な側面に興味があります-ローカルトラフィックの速度で上記のanlimチャンネルを通じて世界にアクセスできますか？ 答えは、VPNが私たちを助けることができるということです。



例2：自宅から離れている場合、自宅のコンピューター上のファイルにアクセスする必要があります。 ネットワークには（おそらくローカルの）初心者のKulhackerが十分に存在し、それらの多くはスプーフィング、TCP / IPスタック、およびその他のトリッキーな「モデル」に関するおおよその概念さえ持っていないため、アクセスは確実に暗号化する必要がありますが、実行方法は知っています「Cain＆Abel」のようなプログラムは、到達可能なネットワークセグメントで送信されるパスワードの大部分を傍受できるだけでなく、暗号化されているがあまり選択されていないパスワードをブルートフォースすることもできます。 他の方法と同様に、VPNは再び役立ちます。すべてのトラフィックは、長年にわたってオープンで実績のあるアルゴリズムとメカニズムを使用して安全に暗号化されます。



VPNを編成するには、編成されているチャネルの少なくとも片側に「正直な」IPアドレスがあることが望ましい。 NATまたはプロキシサーバーの背後にあるグレーのIPアドレスを持つ2つのプライベートネットワーク間で実装できます。追加でHamachiを利用するか、またはポートフォワーディング（プロキシの「接続」方法）を行う必要があります。サーバー/ルーターの設定。 さらに、私はまさにそのような場合を検討します。



仮想プライベートチャンネルを整理するためのオプションはたくさんあります。名前が示すように、無料で公開されているそのうちの1つ、つまりOpenVPNについてお話したいと思います。 このソフトウェアのもう1つの利点は、クロスプラットフォームであることです。 接続されたコンピューターは、* nixを含むさまざまなOSを持つことができますが、このようなマシンのセットアップはこの記事の範囲外です。







間違いなく、願望と特定の永続性を持つ誰もがこのクライアントサーバーソフトウェアのインストール方法と構成方法を独自に把握できるため、この記事の目的は、他人が自分の分析を行う時間を節約するために私が偶然盗んだレーキについて警告することです。 それで（最終的に！）何をどのように行うのですか？



1. ソフトウェアをダウンロードする



2.入れます。 最初に将来のサーバーの側に。 次に、クライアント側で繰り返します（これは少し簡単です）が、順序は重要ではありません。 私は怠laな生き物として、デフォルトのインストールパス（C：\ Program Files \ OpenVPN \）に同意しました。

問題：作業中、ソフトウェアはスペースを含む構成ファイルへのパスを誤って処理します。

解決策：名前にスペースを含まない別のサブフォルダーにディスクのルートを配置するか、後で構成内のそのようなパスを引用符で「スクリーニング」します。 スクリーニングを行いましたが、詳細な説明は標準のインストールパスに基づいています。



3.リモートマシンとの暗号化された接続を確立するには、仮想チャネルの両側の証明書が必要になります。これにより、自分が本人であることが正確に確認されます。 多くの認証機関（CA）の1つで購入できます（最大90日間の試用オプションがありますが、年間数百ドル）。 このようなソリューションの利点は、オペレーティングシステムやブラウザが、証明書が不明なベンダーと「所有者、あなたが信じているかどうかを考える」によって発行されたことをヒステリーしないことです。 欠点は明らかです-コスト。 2番目のオプションは、個人のニーズに合わせて独自のローカルCAを構築することにより、このような証明書を自分で作成することです。 これを行うには多くの方法があります。OpenVPNで掌握し、これらがあなたが作成したものではないことを確認する既製の証明書のパラメーターを注意深く検討することだけが重要です（つまり、生成およびデプロイされた「指紋」（指紋またはハッシュ）を比較すること）ビジネス通信のヌードガールフレンドの写真のアーカイブ全体を盗もうとする悪意のあるハッカー。VPNを使用する計画を見つけ、何らかの方法で証明書を自分のものに置き換えます。 もちろん、状況はほとんど信じられないほどで、率直に言って妄想ですが、セキュリティはセキュリティです。 これはおそらく、証明書とキーを使用するというアイデアの最も脆弱なポイントです。CAからVPNチャネルのサイドへのネットワークを介した単一送信中の置換と中間者攻撃の実装です。



証明書を作成する方法は2つしかありません。 1つはサーバーWindowsを使用することです。 手順は最速で最も明白ではありませんが、非常に実行可能です。 ただし、この場合は、2つ目のWindowsのOpenVPN自体の組み込みツールを使用する方が便利です。



すぐに他の人の間違いを繰り返すことを恐れない人のために：キーと証明書の作成について以下に書かれているすべては、ファイルC：\ Program Files \ OpenVPN \ easy-rsa \ README.txtに英語で要約されています。

私はより詳細に書いて、問題が私にあったものをあなたに話します。

認証局、キー、証明書

a。 C：\ Program Files \ OpenVPN \ easy-rsaに移動します



b。 openssl.cnf.sampleを開き、必要に応じて編集します。 「わからない-触らない」という標準的なルールがあります。 ちなみに、このファイルはまったく変更できません。デフォルト設定は非常に機能しています。 しかし、手の悩み：たとえば、証明書を作成するときにユーザーが入力する変数値が必要になる場合がありますが、デフォルトで事前に設定でき、角括弧内の回答オプションとして表示され、Enterキーを押すだけで適用できます。 このような変数は一致によって示されます。 不要なパラメーターは「オプション」で示されます。 毎回手動で入力する必要のある入力必須パラメータと一意のパラメータには、「提供済み」のマークが付けられています（このような変数を別のステータスに転送することはお勧めしません）。

証明書の有効期間（デフォルトでは10年）、ユーザー連絡先情報の長さの制限などを構成できます。 openssl.cnfとして保存します。



c。 init-config.batを実行します

注意、 熊手は可能です！ このファイルとそれに続くすべての* .batファイルは、ダブルクリックではなくWindowsコンソールで起動することをお勧めします。 それを使用する人にとっては、パスをコピーして目的のフォルダにすばやく移動することで、あなたの生活を少し楽にすることができることはほとんど思い出せません。 エクスプローラー->フォルダーへのパスを選択->コピー->コンソールに移動（win + r-> cmd）->マウスの右ボタン->貼り付け（Ctrl + Vは機能しません！） パスをコンソールからバッファにコピーする必要がある場合：マウスの右ボタン->マーク->目的のテキストを選択-> Enter。

C：\ Program Files \ OpenVPN \ easy-rsaフォルダーのコンソールに移動し、init-config.batを実行します。



d。 エクスプローラーでeasy-rsaに戻り、vars.batファイルを編集します（ワードパッドで開くことをお勧めします。Explorerのコンテキストメニューから「変更」メニューを開くと、別のレーキを取得できます。途中ですべて同じギャップ）。 すべてのパラメーターにはコメントが付いており、何が簡単なのかがわかります。 概して、すべてをデフォルトでそこに残すこともできますが、愛国的な理由から、国、都市を変更したり、電子メールを入力したりできます。 これは何にも影響しませんが、証明書の情報として単に表示されます。 変数KEY_DIR = keysに注意してください。 これは、vars.batをeasy-rsaに保存した後に作成する必要があるサブフォルダーの名前で、暗号化に必要なキーと証明書が含まれます。 名前は変更できますが、変数KEY_DIRに表示することを忘れないでください。



e。 キーフォルダーまたは名前オプションを作成することを忘れないでください。



f。 キーに新しい空の「index.txt」および「serial」ファイルを作成します。 Easy-rsaにはすでにindex.txt.startファイルとserial.startファイルが含まれています。これらのファイルをキーにコピーし、.start拡張子を削除して名前を変更できます。 シリアルでは、発行されたCA証明書の数（最初はCA自体の証明書）、index.txt-発行された証明書に関する情報になります。



g。 vars.batを開始し、clean-all.batを開始します（コンソールで再び忘れないでください！）



h。 認証局キーを作成します：vars.batを起動し、build-ca.batを起動して質問に答えます。 提案されたデフォルトオプションを使用してEnterキーですべてに答えることができますが、「Common Name」質問に対する一意の答え（つまり、名前またはコンピューター名）を除きます。 意図を数回確認し、署名に同意します。

結果：Keysフォルダー内のCA証明書ファイルca.crtおよびCA ca.key秘密鍵ファイル。 すべての秘密鍵は安全に保存する必要があり、それらをすべて厳重かつ慎重に暗号化して復号化できます。



i。 Diffie-Hellmanキーを作成します（その内容と理由-Wikiで読むことができます。怠けている場合は、必要であるという事実を受け入れてください）：vars.batを実行し、build-dh.batを実行し、少し待ってからプロセスを楽しんでください。 コンソールではなくマウスを使用してbuild-dh.batを実行すると、何も起こりません。繰り返しますが、このレーキに数時間を費やしました。



j。 サーバーの秘密鍵と証明書を作成します：vars.batを実行し、build-key-server.bat <servername>を実行します。 サーバー名をパラメーターとして指定することを強くお勧めします。起動時にバッチファイルの名前にスペースで区切って指定することをお勧めします。デフォルトでは、同じ拡張子を持つ名前のないキーファイルと証明書ファイルを受け取るため、場合によっては名前なしで作成された他の証明書とキーを上書きできます（もう1つのレーキ ）。



k。 クライアントの秘密鍵を作成します：vars.batを実行し、build-key.bat <client_name>を実行します。 名前による推奨も同様です-示すことが望ましいです。 その結果、キーをPEM形式で取得します。 （このため、build-key.bat <customer_name>の代わりにPKCS N12形式でキーを作成することができます。build-key-pkcs12.bat<customer_name>を実行する必要があります。形式の違いについては説明しません。必要に応じてGoogleで検索できます）。



l。 それだけです 30分もかからずに、クライアントとサーバーに必要なキーと証明書を作成し、数百ドルを節約しました。

カスタマイズ

4. OpenVPNの実際の構成。 繰り返しますが、設定ファイルを編集する必要があります。これはプログラムのlinux-rootsの遺産です。 C：\ Program Files \ OpenVPN \ sample-configに移動し、そこからclient.ovpnとserver.ovpnをコピーして、C：\ Program Files \ OpenVPN \ configに配置します。

a。 クライアントのセットアップ

C：\ Program Files \ OpenVPN \ configでclient.ovpnを開き（単純にダブルクリックできます）、各変数のコメントを読み、必要なものを変更します。 コメントアウトされたオプションは、「;」で始まり、有効（推奨）です。先頭にセミコロンはありません。 推奨されるパラメーターのほとんどに同意できます。少なくとも次のパラメーターを変更する必要があります。



「Ca ca.crt」。 ここでは、証明機関の証明書へのフルパスを指定する必要があります。 インストールパスが私のインストールパスと一致する場合、easy-rsa \キーにあります。 注意、 rake ：ファイルパスのサーバーとクライアントの構成では、単一ではなく二重のスラッシュを使用する必要があります。 これはプログラムの機能です。 先にもう1つレーキについて説明しました。パスにはスペースが含まれているため、引用符で囲む必要があります。 ca変数は次のようになります。

ca "C：\\プログラムファイル\\ OpenVPN \\ easy-rsa \\キー\\ ca.crt"



certおよびキークライアント変数でも同じことを行います。

cert "C：\\プログラムファイル\\ OpenVPN \\ easy-rsa \\キー\\ <customer_name> .crt"

key "C：\\ Program Files \\ OpenVPN \\ easy-rsa \\ keys \\ <customer_name> .key"



remote：ここでは、サーバーのIPアドレスと、スペースの後に着信接続をリッスンするポートを指定する必要があります（ポートはサーバーの構成時に構成されます）。

小さな余談。 クライアントサーバーモデルの接続のイニシエーターはクライアントであるため、「正直な」IPアドレスを持つ必要があるのはサーバーであるか、少なくともアクセスできるサーバー/ルーターの背後にある必要があります。 作業中の（NATの背後にある）コンピューターと自宅の（同様に）コンピューターの間にVPNを設定します。自宅のコンピューターは「灰色」のIPアドレスを持っていますが、ルーターのポート（7000を選択）をこのコンピューターに転送することで簡単に解決できました。そして「正直な」ネットワークアドレス。



残りの変数はデフォルトで残しましたが、必要なものを変更できます。それらはよく説明されています。

b。 サーバーのセットアップ

ポート変数-サーバーがリッスンするUDPポート（または、proto変数でプロトコルを変更した場合は、クライアント側とサーバー側で一致するproto値のみが必要です）を示します。 1025から65535までの任意の値を選択できます。他のサーバーソフトウェア（または、トレントダウンロードなどの特定のポートに関連付けることができる他のプログラム）と競合しないことが重要です。



クライアント変数、キーおよび証明書変数と同様：

ca "C：\\ Program Files \\ OpenVPN \\ easy-rsa \\ keys \\ ca.crt"（CA証明書は同じです。同じことがクライアントとサーバーに指定されています）



cert "C：\\プログラムファイル\\ OpenVPN \\ easy-rsa \\キー\\ <サーバー名> .crt"



key "C：\\ Program Files \\ OpenVPN \\ easy-rsa \\ keys \\ <サーバー名> .key"



さらに、Diffie-Hellmanキー：

dh "C：\\プログラムファイル\\ OpenVPN \\ easy-rsa \\キー\\ dh1024.pem"



サーバー変数。 接続されたコンピューターのIPアドレスが選択される範囲から、プライベート（「グレー」）ネットワークを定義します。 OpenVPNを使用してVPNを整理すると、サーバーとクライアントに新しい仮想ネットワークインターフェイスが表示されます。Windowsは、含まれているドライバーのおかげで、完全に機能する実際のネットワークカードであると見なします。 それらの設定は、この変数によって決定されます。 ほとんどの場合、デフォルトのままにしておくことができます。



他の変数も変更せずに残すことができます;動詞変数についてのみ言及します。 すべてのイベントとエラーについてサーバー側で維持されるログの詳細を決定します。 値1は最も詳細度が低く、値9は印象的です。 そのため、接続試行が1回失敗すると、約600 kbのログファイルを受け取りました。 エラーの徹底的な分析を3のままにするか、必要に応じて4〜5に増やすのが妥当です。



5.ここで、サーバー側とクライアント側に必要なファイルを配置する必要があります。 最も簡単なオプションは、プログラムを両側にインストールし、上記のアルゴリズムに従って構成されたすべてのファイルを適切なフォルダーにコピーすることです。 慎重かつ標準的にアプローチする場合-クライアント側では、クライアントキー、証明書、および証明機関の証明書のみを残し、CAおよびサーバーに関連するすべてを削除し、サーバー側では、すべてのクライアントキーを削除します。 合理的-事前バックアップ。

起動します。

6.セットアップが完了しました。これをすべて実行してみてください。 （ファイアウォールで必要なポートとIPアドレスを開くことを忘れないでください！）これには2つのオプションがあります。



a。 C：\ Program Files \ OpenVPN \ configのサーバーに移動し、server.ovpnを右クリックして、この構成ファイルでOpenVPNを起動します。 client.ovpnファイルを使用したクライアント側でも同様です。 いずれの場合も、メッセージを観察し、クライアントが幸運である場合、最後の行に表示されます。

「初期化シーケンスが完了しました」



または

b。 グラフィカルシェルCを起動します：\ Program Files \ OpenVPN \ bin \ openvpn-gui-1.0.3.exe-トレイアイコンを右クリック-サーバー-接続（クライアント-クライアント-接続） クライアントで成功した場合、トレイビューからポップアップウィンドウが表示されます。

「割り当てられたIP：10.8.0.6」とアイコンが緑色に変わります。



7.もう1つ、私が偶然出会った最後のレーキ 。 「DHCPクライアント」システムサービスがクライアントで実行されていない場合（マシンのIPアドレスが一定であるため、Windowsをインストールした直後に意図的に無効にしました）、サーバーが提供しようとするIPアドレスを取得できません。 さらに、グラフィカルシェルはアドレスが受信されたことを報告しますが、システムルーティングテーブルのネットワーク接続には表示されません。

申込み

8.コミュニケーションは今、何ですか？ そして今-それはすべてあなたの想像力に依存します。 仮想チャンネルのIPアドレスをリッスンするFTPサーバーを自宅に置くことができます（さよなら、FTP経由のオープンログインとパスワードの問題）、R-Adminまたはその無料のTightVNCのようなものを使用できます、あなたは家に行くことができますリモートゲートウェイ経由のインターネット（例1、ただし、このためには、リモートゲートウェイでのルーティングを少し変更する（少なくとも有効にする）必要があります。デフォルトゲートウェイをリモートゲートウェイに変更するだけで、トンネルとともにインターネットが失われることを忘れないでください。コメントを解除するのに便利です Roykoサーバー変数プッシュ«リダイレクトゲートウェイDEF1バイパス-DHCP»）。 リモートファイル同期を構成できます。 一般に、ローカルネットワークでできることはすべて実行できます。 そしてそれは安全です。 トンネルはOSIトランスポートレベルで上昇するため、ネットワークアプリケーションはその中に「ラップ」できます。

また、Wake-On-Lanをこれに固定すると、さまざまなアプリケーションにとって非常に便利なことがわかります。

PSだから避けるために。OpenVPNプロジェクトとは関係ありません。

PPS写真は正直に盗まれ、リンクが存在します。

UPD。書式設定が少し修正されました。

さらに、明確にする必要があります。私は「Open VPNテーマを公開する」というタスクを自分で設定しませんでした。このために、詳細なドキュメントが記載された対応するサイトがあります。私は、設定内のすべての変数を説明するという目標を自分で設定しませんでした。それらは、構成ファイル自体ですでに説明されており、それぞれに最小の段落があります。そして、このような詳細なプレゼンテーションでは、この記事はまったく読めず、巨大で退屈なものになっていたでしょう。すべてを開始するために最低限必要なアクションのセットを説明したかったのです。さらに、特定のタスクとネットワーク構成のさらなるチューニングと微調整-これは別の記事のトピックです。



UPD-2。ソフトウェアはOpenVPN 2.1.1（2009.12.11にリリース）に更新されたため、記事のリンクが更新されました。変更点はこちら。