Konfiguracja VPN poprzez PPTP

W przeszłości pojawił sie post Własny serwer VPN (OpenVPN), który daje nam wyższy poziom bezpieczeństwa niż PPTP może nam zaoferować.

Po co w takim razie stosować PPTP? Ponieważ, jest on szybszy i zużywa mniej zasobów (procesor) niż OpenVPN. Dzięki temu możesz zadecydować, które rozwiązanie spełni twoje oczekiwania w danej sytuacji. Dodatkowym atutem PPTP jest to że wiele urządzeń/systemów wspiera go natywnie.

Instalacja:

apt-get install pptpd

1	apt-get install pptpd

#edycja /etc/pptpd.conf
localip 10.0.0.1
remoteip 10.0.0.100-200

#edycja /etc/ppp/chap-secrets
# client     server    secret      IP address
client1      pptpd     password123 *
client2      pptpd     password2   *

#edycja /etc/ppp/pptpd-options
ms-dns 8.8.8.8
ms-dns 8.8.4.4

#edycja /etc/pptpd.conf

localip 10.0.0.1

remoteip 10.0.0.100-200

#edycja /etc/ppp/chap-secrets

# client server secret IP address

client1 pptpd password123 *

client2 pptpd password2 *

#edycja /etc/ppp/pptpd-options

ms-dns 8.8.8.8

ms-dns 8.8.4.4

zrestartujmy usługę:

service pptpd restart

1	service pptpd restart

sprzewdźmy czy pptp nasługuje na porcie 1723:

netstat -alpn | grep :1723

1	netstat -alpn \| grep :1723

ustawmy parametry związane z siecią:

#edycja /etc/sysctl.conf 
net.ipv4.ip_forward = 1

1 2	#edycja /etc/sysctl.conf net.ipv4.ip_forward = 1

w konsoli:

sysctl -p
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save

# jeżeli chcesz wyłączyć izolację klientów:
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

sysctl -p

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save

# jeżeli chcesz wyłączyć izolację klientów:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE

iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT

iptables --append FORWARD --in-interface eth0 -j ACCEPT

To wszytko po stronie serwera.

Konfiguracja klienta:

apt-get install pptp
# dodaj wymagany moduł kernela
modprobe ppp_mppe

apt-get install pptp

# dodaj wymagany moduł kernela

modprobe ppp_mppe

Stwórzmy plik konfiguracyjny:

touch /etc/ppp/peers/pptpserver
#edycja /etc/ppp/peers/pptpserver
pty "pptp server_ip_address --nolaunchpppd"
name client1
password password123
remotename PPTP
require-mppe-128

touch /etc/ppp/peers/pptpserver

#edycja /etc/ppp/peers/pptpserver

pty "pptp server_ip_address --nolaunchpppd"

name client1

password password123

remotename PPTP

require-mppe-128

Możemy nawiązać połączenie z serwerem ( używając nazwy pliku konfiguracyjnego – pptpserver):

pppd call pptpserver

1	pppd call pptpserver

ip route add 10.0.0.0/8 dev ppp0

1	ip route add 10.0.0.0/8 dev ppp0

Bezpieczne połączenie do sieci (Android + OpenVPN)

Być może korzystacie z darmowego internetu w kawiarenkach, restauracjach czy na lotniskach.

Może wasz operator GSM sprzedając pakiety internetu śledzi co robicie, oczywiście na potrzeby celów marketingowych (Kiwam do Was T-Mobile, ach te czasy kiedy T-Mobile wstrzykiwało swoje reklamy w Twittera etc…)

Zagrożeń płynących z dostępu do internetu w miejscach publicznych jest tak dużo lub więcej niż zalet.

Co robić? Jak żyć?

A co gdybym powiedział, że można dalej korzystać z mało bezpiecznych puntów dostępu, bez bycia śledzonym przez operatora…

Tym rozwiązaniem, właśnie jest korzystanie z VPN

Nie potrzebujemy mieć zROOTowanego telefonu by cieszyć się vpn-em.

„OpenVPN for Android” do działania naszego bezpiecznego połączenia wymagany jest serwer VPN obcy (wykupiona usługa) lub Nasz (sprawdź jak uruchomić własny serwer OpenVPN)

Zaawansowane opcje wspierające baterie:

Wiadomo nie od dzisiaj, że VPN lubi zjadać baterię, dlaczego ? Ponieważ co 30 sekund ponownie łączy się do serwera by sprawdzić czy połączenie nie zostało zerwane w czasie kiedy nie wysyłamy/odbieramy żadnych danych. Oczywiście tylko wtedy kiedy mamy go włączonego – chociaż domyślnie powinniśmy mieć go łączonego cały czas 😉 Jak temu zapobiec ?

Zmieńmy 2 opcje na serwerze /etc/openvpn/server.conf:

proto tcp
keepalive 1800 3600

1 2	proto tcp keepalive 1800 3600

Otwórzmy port na serwerze, żeby dało się do niego połączyć:

ufw allow 1194/tcp

1	ufw allow 1194/tcp

oraz 1 na kliencie

proto tcp

proto tcp

Pamiętajmy o zresetowani usługi na serwerze, a następnie połączenia na komórce.

Uwaga: należy pamiętać, że protokół TCP nie był tworzony z myślą o połączeniach VPN, na bardzo niestabilnym internecie można odczuć problemy, za to zużycie baterii w porównaniu do UDP spadnie diametralnie ! 🙂

Własny serwer VPN (OpenVPN)

Dostawca internetu zbiera informacje o tym co robisz w internecie ? (Operatorzy GSM)

Chcesz mieć dostęp do sieci domowej w sposób bezpieczny ?

Virtual Private Network, czyli VPN to rozwiązanie dla Ciebie !

1.Instalacja

apt-get install openvpn easy-rsa

1	apt-get install openvpn easy-rsa

2.Konfiguracja serwera openvpn

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf 
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

keepalive 10 120

cipher AES-256-CBC

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

3.Zmiany w systemie

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf
net.ipv4.ip_forward=1

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf

net.ipv4.ip_forward=1

4.Instalacja i konfiguracja nakładki ułatwiającej zarządzanie iptables (firewall)

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
*filter

ufw enable
ufw status | grep '1194/udp'

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules

# rules.before

# Rules that should be run before the ufw command line added rules. Custom

# rules should be added to one of these chains:

# ufw-before-input

# ufw-before-output

# ufw-before-forward

# START OPENVPN RULES

# NAT table rules

*nat

:POSTROUTING ACCEPT [0:0]

# Allow traffic from OpenVPN client to eth0

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE

COMMIT

# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors

*filter

ufw enable

ufw status | grep '1194/udp'

5.Generowanie CA, certyfikatu i klucza serwera

cp -r /usr/share/easy-rsa/ /etc/openvpn 
mkdir /etc/openvpn/easy-rsa/keys 

#edytuj /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="KRAJ"
export KEY_PROVINCE="WOJEWODZTWO"
export KEY_CITY="Miasto"
export KEY_ORG="Nazwa organizacji/firmy"
export KEY_EMAIL="email@"
export KEY_OU="Nazwa jednostki"
# X509 Subject Field (nazwa klucza)
export KEY_NAME="server"

openssl dhparam -out /etc/openvpn/dh2048.pem 2048 

cd /etc/openvpn/easy-rsa 
. ./vars
./clean-all
./build-ca

cp -r /usr/share/easy-rsa/ /etc/openvpn

mkdir /etc/openvpn/easy-rsa/keys

#edytuj /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="KRAJ"

export KEY_PROVINCE="WOJEWODZTWO"

export KEY_CITY="Miasto"

export KEY_ORG="Nazwa organizacji/firmy"

export KEY_EMAIL="email@"

export KEY_OU="Nazwa jednostki"

# X509 Subject Field (nazwa klucza)

export KEY_NAME="server"

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all

./build-ca

Mamy już przygotowane środowisko do generowania i podpisywania certyfikatów dzięki certyfikatowi CA (Certificate Authority).

Teraz czas na pozostałe certyfikaty

cd /etc/openvpn/easy-rsa
./build-key-server server 
# hasło i 'company name' pozostawmy puste 
Sign the certificate?
Y

cd /etc/openvpn/easy-rsa

./build-key-server server

# hasło i 'company name' pozostawmy puste

Sign the certificate?

Wygenerowaliśmy certyfikat i klucz dla serwera, przenieśmy je:

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

1	cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

I sprawdźmy czy serwer się uruchamia:

service openvpn start
service openvpn status

1 2	service openvpn start service openvpn status

6.Generowanie certyfikatu i klucza dla klienta:

cd /etc/openvpn/easy-rsa
./build-key klient1 
# hasło i 'company name' pozostawiamy puste
Sign the certificate? Y

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/klient.ovpn 
#edytujemy /etc/openvpn/easy-rsa/keys/klient.ovpn 
client
dev tun
proto udp
remote ip_serwera 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3

cd /etc/openvpn/easy-rsa

./build-key klient1

# hasło i 'company name' pozostawiamy puste

Sign the certificate? Y

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/klient.ovpn

#edytujemy /etc/openvpn/easy-rsa/keys/klient.ovpn

client

dev tun

proto udp

remote ip_serwera 1194

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

remote-cert-tls server

cipher AES-256-CBC

comp-lzo

verb 3

Uwaga: ustawienie user/group jest niekompatybilne z Window

Bardziej spostrzegawczy zauważą, że w pliku konfiguracyjnym brakuje konfiguracji certyfikatów/klucza 🙂

7a. Generowanie zunifikowanego pliku profilu openvpn

‚Zunifikowany’ plik zawiera wszelkie informacje wymagane do uruchomienia usługi w sobie samym, bez dodatkowych plików certyfikatów, kluczy.

echo '<ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn 

echo '<cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/easy-rsa/keys/klient.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn 

echo '<key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/easy-rsa/keys/klient.key >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/easy-rsa/keys/klient.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/easy-rsa/keys/klient.key >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

7b. Być może nie odpowiada wam plik profilu z kluczem i certyfikatem wbudowanym w niego:

Wtedy dodajemy:

ca ca.crt
cert klient.crt
key klient.key

ca ca.crt

cert klient.crt

key klient.key

I pamiętamy by dostarczyć powyższe pliki wraz z profilem .ovpn

Luty 2019
P	W	Ś	C	P	S	N
« Gru
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28