Как поднять vpn сервер на ubuntu

Как поднять VPN сервер на Ubuntu

VPN (Virtual Private Network) позволяет создать защищённое соединение через интернет, обеспечивая конфиденциальность и безопасность данных. В этой статье описаны основные шаги по созданию VPN-сервера на операционной системе Ubuntu с использованием одного из самых популярных решений — OpenVPN.

Установка необходимых пакетов

Для того чтобы поднять VPN сервер на Ubuntu, необходимо сначала установить несколько ключевых пакетов. Один из самых распространённых инструментов для этого — OpenVPN. Он предоставляет гибкие настройки и обеспечит высокую степень безопасности.

1. Обновите список пакетов:

   sql
   CopyEdit
   sudo apt update
   

2. Установите OpenVPN:

   nginx
   CopyEdit
   sudo apt install openvpn
   

3. Также понадобится утилита для генерации ключей:

   nginx
   CopyEdit
   sudo apt install easy-rsa
   

После завершения установки можно приступать к настройке.

Настройка Easy-RSA

Easy-RSA — это набор скриптов для создания собственной инфраструктуры публичных ключей. Он необходим для генерации сертификатов, которые обеспечат безопасную передачу данных по VPN.

1. Создайте директорию для работы с Easy-RSA:

   bash
   CopyEdit
   make-cadir ~/openvpn-ca
   

2. Перейдите в эту директорию:

   bash
   CopyEdit
   cd ~/openvpn-ca
   

3. Инициализируйте переменные:

   bash
   CopyEdit
   cp /usr/share/easy-rsa/* ./
   

4. Откройте файл vars для настройки переменных (например, названия страны, штата, организации и пр.):

   python
   CopyEdit
   nano vars
   

   Здесь нужно указать данные для сертификатов. Обычно это имя страны, провинции и так далее.

5. После настройки переменных выполните следующие команды для генерации сертификатов:

   bash
   CopyEdit
   source vars
   ./clean-all
   ./build-ca
   

Это создаст корневой сертификат, который будет использоваться для подписи серверных и клиентских сертификатов.

Генерация серверного сертификата и ключа

Теперь необходимо создать серверный сертификат и ключ. Для этого выполните следующие шаги:

1. Генерируйте сертификат и ключ для сервера:

   pgsql
   CopyEdit
   ./build-key-server server
   

2. Сгенерируйте Diffie-Hellman параметры для ключа обмена:

   bash
   CopyEdit
   ./build-dh
   

3. Скопируйте файлы в директорию с конфигурацией OpenVPN:

   bash
   CopyEdit
   cd ~/openvpn-ca/keys
   sudo cp server.crt server.key ca.crt dh2048.pem /etc/openvpn
   

Настройка конфигурации OpenVPN

Далее необходимо настроить конфигурационный файл для сервера. Этот файл определяет все параметры работы VPN сервера, включая протоколы, порты и пути к сертификатам.

1. Создайте конфигурационный файл OpenVPN:

   swift
   CopyEdit
   sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
   

2. Разархивируйте файл:

   bash
   CopyEdit
   sudo gzip -d /etc/openvpn/server.conf.gz
   

3. Откройте файл server.conf для редактирования:

   bash
   CopyEdit
   sudo nano /etc/openvpn/server.conf
   

4. Внесите изменения в параметры, такие как путь к сертификатам и ключам:

   bash
   CopyEdit
   ca /etc/openvpn/ca.crt
   cert /etc/openvpn/server.crt
   key /etc/openvpn/server.key
   dh /etc/openvpn/dh2048.pem
   

5. Настройте другие параметры, такие как диапазон IP-адресов для клиентов, порты и протоколы.

Настройка маршрутизации и файрвола

Для того чтобы VPN сервер мог передавать трафик между клиентом и интернетом, необходимо настроить маршрутизацию и открыть порты в файрволе.

1. Включите пересылку пакетов в системных настройках:

   Откройте файл /etc/sysctl.conf:

   bash
   CopyEdit
   sudo nano /etc/sysctl.conf
   

   Разкомментируйте строку:

   ini
   CopyEdit
   net.ipv4.ip_forward=1
   

2. Примените изменения:

   css
   CopyEdit
   sudo sysctl -p
   

3. Настройте файрвол с помощью ufw (если используется):

   bash
   CopyEdit
   sudo ufw allow 1194/udp
   sudo ufw enable
   sudo ufw status
   

4. Включите маршрутизацию с помощью iptables:

   css
   CopyEdit
   sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
   

   Замените eth0 на интерфейс, через который сервер подключён к интернету.

Создание клиентских сертификатов

Теперь нужно создать сертификаты для клиентов, которые будут подключаться к серверу.

1. Для каждого клиента выполните команду:

   bash
   CopyEdit
   ./build-key client_name
   

2. Скопируйте соответствующие сертификаты на клиентские устройства. Обычно для клиента нужны следующие файлы:

   • client_name.crt

   • client_name.key

   • ca.crt

   Эти файлы нужно будет передать на клиентские устройства, где будет настроено VPN-соединение.

Запуск и проверка VPN сервера

Теперь можно запустить сервер и проверить его работоспособность.

1. Запустите OpenVPN:

   sql
   CopyEdit
   sudo systemctl start openvpn@server
   

2. Чтобы сервер автоматически запускался при старте системы, выполните команду:

   nginx
   CopyEdit
   sudo systemctl enable openvpn@server
   

3. Для проверки статуса сервера используйте команду:

   nginx
   CopyEdit
   sudo systemctl status openvpn@server
   

Если сервер запущен успешно, можно приступать к подключению клиентов.

FAQ

Как проверить, что VPN сервер работает?
Проверьте статус сервиса с помощью команды:

nginx
CopyEdit
sudo systemctl status openvpn@server

Если сервис работает, статус будет "active".

Как добавить новый клиент?
Для добавления нового клиента создайте для него новый сертификат с помощью команды ./build-key client_name, а затем передайте соответствующие файлы на устройство клиента.

Какие порты необходимо открыть для VPN сервера?
Для OpenVPN используется порт 1194 по умолчанию. Убедитесь, что этот порт открыт в файрволе.

Можно ли использовать другие протоколы помимо UDP?
Да, OpenVPN поддерживает как UDP, так и TCP. Для этого необходимо изменить настройки в конфигурационном файле сервера и клиента.

Как обеспечить дополнительную безопасность?
Используйте сильные пароли для ключей, а также настройте двухфакторную аутентификацию для клиентов.