OpenVPN¶

Այս հոդվածում

Տեղակայման հնարավորություններ

Սկսել OpenVPN-ի տեղակայումից հետո

Միացում սերվերին և մուտք կառավարման համակարգ

Օգտատերերի պրոֆիլների կարգավորում

Օգտատերերի մուտքի կարգավորում

Տեսանյութ OpenVPN-ի կարգավորման համար

Սերվերի պատվեր OpenVPN-ով API-ի միջոցով

Տեղեկատվություն

OpenVPN-ը բաց կոդով ծրագրային ապահովում է անվտանգ վիրտուալ մասնավոր ցանցեր (VPN) ստեղծելու համար: Լուծումը օգտագործում է SSL/TLS արձանագրություններ՝ անվտանգությունն ապահովելու համար՝ ապահովելով հուսալի տվյալների շифրում և ինքնությունի հաստատում: OpenVPN-ը աշխատում է TCP կամ UDP արձանագրություններով, կարող է անցնել կրակապատնեշների և պրոքսի սերվերների միջով՝ ապահովելով բարձր ճկունություն տարբեր ցանցային միջավայրերում:

Տեղակայման հնարավորություններ¶

ID	Ծրագրային ապահովման անվանում	Համատեղելի ՕՀ	VM	BM	VGPU	GPU	Նվազագույն CPU (միջուկներ)	Նվազագույն RAM (ԳԲ)	Նվազագույն HDD/SSD (ԳԲ)	Սեփական դոմեն	Ակտիվ
298	OpenVPN	Ubuntu 22.04	+	+	+	+	1	1	-	Ոչ	ՊԱՏՎԻՐԵԼ

Սկսել OpenVPN-ի տեղակայումից հետո¶

Պատվերի վճարումից հետո գրանցման ժամանակ նշված էլ. փոստին կուղարկվի ծանուցում սերվերի պատրաստ լինելու մասին: Այն կներառի VPS-ի IP հասցեն, ինչպես նաև մուտքի համար նախատեսված հավատարմագրեր: Մեր ընկերության հաճախորդները սարքավորումները կառավարում են կառավարման վահանակի և API-ի միջոցով - Invapi:

Ինքնությունի հաստատման տվյալները կարելի է գտնել սերվերի կառավարման վահանակի Configuration >> Tags թերթիկում կամ ուղարկված էլ. փոստում.

Login և Password սերվերի վարչական կառավարման համար. ստացվում է էլ. փոստով սերվերի տեղակայումից հետո: Այն համընկնում է սերվերի root գաղտնաբառի հետ:

Միացում սերվերին և մուտք կառավարման համակարգ¶

Տեղեկատվություն

OpenVPN-ը բաղկացած է սերվերի բաղադրիչից, որը տեղադրված է սերվերի վրա, և վերջնական օգտատերերի համար նախատեսված հաճախորդի բաղադրիչից: Սերվերի հավելվածը ապահովում է VPN միացման կարգավորում և կառավարում, մինչդեռ հաճախորդի հավելվածը հասանելի է տարբեր հարթակների համար, ներառյալ Windows, macOS, Android, iOS և Linux:

Միացեք սերվերին SSH-ի միջոցով.
```
ssh root@<server_IP>
```
OpenVPN-ի հիմնական կոնֆիգուրացիոն ֆայլերը գտնվում են /etc/openvpn/ թղթապանակում.
```
ls -la /etc/openvpn/
```
Սերվերի վրա կա նաև հաճախորդի կոնֆիգուրացիաները կարգավորելու սկրիպտ.
```
ls -la /root/openvpn-conf.sh
```
Կարող եք ստուգել OpenVPN սերվերի կարգավիճակը հետևյալ հրամանով.
```
systemctl status openvpn@server
```

Օգտատերերի պրոֆիլների կարգավորում¶

Ձեր սերվերի վրա արդեն կա պատրաստի օգտատերի կոնֆիգուրացիոն ֆայլ (client_hk.ovpn) /root/ թղթապանակում.
```
ls /root/
client_hk.ovpn  openvpn-conf.sh
```

Կարող եք օգտագործել գոյություն ունեցող client_hk.ovpn ֆայլը կամ ստեղծել նորը սկրիպտի միջոցով:

Պատճենեք ցանկալի կոնֆիգուրացիոն ֆայլը ձեր տեղական սարք SCP-ի միջոցով.
```
scp root@<server_IP>:/root/client_hk.ovpn /path/on/local/computer/
```

Նոր օգտատեր ստեղծել¶

Միացեք սերվերին SSH-ի միջոցով.
```
ssh root@<server_IP>
```
Կատարեք OpenVPN-ի կոնֆիգուրացիոն սկրիպտը.
```
/root/openvpn-conf.sh
```

Մենյուում կտեսնեք հետևյալ տարբերակները.

Welcome to OpenVPN-install!
The git repository is available at: https://github.com/angristan/openvpn-install
It looks like OpenVPN is already installed.
What do you want to do?
   1 Add a new user
   2 Revoke existing user
   3 Remove OpenVPN
   4 Exit
Select an option [1-4]:

Ընտրեք 1 տարբերակը՝ նոր օգտատեր ավելացնելու համար.
```
Select an option [1-4]: 1
```
Մուտքագրեք հաճախորդի անունը՝ հետևելով ֆորմատի պահանջներին.
```
Tell me a name for the client.
The name must consist of alphanumeric characters. It may also include an underscore or a dash.
Client name: UserName
```
Տեղեկատվություն

Օգտատերի անունը պետք է պարունակի միայն տառեր, թվեր, ստորգծեր կամ գծիկներ:
Ընտրեք կոնֆիգուրացիոն ֆայլը պաշտպանելու եղանակ.
```
Do you want to protect the configuration file with a password?
(e.g., encrypt the private key with a password)
   1. Add a passwordless client
   2. Use a password for the client
Select an option [1-2]:
```
- Option 1: Ստեղծում է ֆայլ առանց գաղտնաբառի (ավելի պարզ տարբերակ օգտատերերի համար);
- Option 2: Պահանջում է գաղտնաբառ մուտքագրել՝ բանալին պաշտպանելու համար (բարձրացված անվտանգություն):
Եթե ընտրել եք գաղտնաբառով պաշտպանություն (տարբերակ 2), ձեզ կխնդրեն երկու անգամ մուտքագրել գաղտնաբառը.

``` You will be asked for the client password below * Using SSL: openssl OpenSSL 3.0.2 15 Mar 2022 * Using Easy-RSA configuration: /etc/openvpn/easy-rsa/vars

Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ```
Բոլոր քայլերը հաջողությամբ ավարտելուց հետո կտեսնեք նոր օգտատեր ստեղծելու մասին հաղորդագրություն.
```
Client UserName added.
The configuration file has been written to /root/UserName.ovpn.
Download the .ovpn file and import it in your OpenVPN client.
```
.ovpn կոնֆիգուրացիոն ֆայլը կստեղծվի /root/ թղթապանակում՝ օգտատերի անունով.
```
ls -la /root/*.ovpn
```

Օգտատիրոջ մուտքի իրավունքի չեղարկում¶

Կատարեք OpenVPN-ի տեղադրման սկրիպտը.
```
/root/openvpn-conf.sh
```
Ընտրեք 2 տարբերակը՝ գոյություն ունեցող օգտատիրոջ իրավունքը չեղարկելու համար.
```
Select an option [1-4]: 2
```
Ընտրեք օգտատերը ցանկից՝ չեղարկելու համար.
```
Select the client to revoke:
1) User1
2) User2
...
Client: 1
```
Հաստատեք չեղարկումը.
```
Confirm revoke for User1? [y/n]: y
```
Հաջող չեղարկումից հետո կտեսնեք հաղորդագրություն.
```
Certificate for client User1 revoked!
```

Կոնֆիգուրացիոն ֆայլի փոխանցում օգտատիրոջը¶

Պատճենեք .ovpn ֆայլը սերվերից ձեր տեղական համակարգիչ.
```
 scp root@<server_IP>:/root/UserName.ovpn /path/on/local/computer/
```
Փոխանցեք կոնֆիգուրացիոն ֆայլը օգտատիրոջը անվտանգ կապի ալիքով:

Օգտատերերի վկայականների կառավարում¶

Գոյություն ունեցող վկայականների դիտում

Բոլոր թողարկված օգտատերերի վկայականների ցանկը դիտելու համար կատարեք.

cd /etc/openvpn/easy-rsa/pki/issued/
ls -la

Արդյունքի օրինակ.

total 20
drwx------ 2 root root 4096 Apr  4 09:33 .
drwx------ 8 root root 4096 Apr  4 09:33 ..
-rw------- 1 root root 2512 Apr  4 09:33 Testuser.crt
-rw------- 1 root root 2518 Apr  3 14:21 client_hk.crt
-rw------- 1 root root 2705 Apr  3 14:21 server_jGWMj7JIGkP69so7.crt

.crt ընդլայնմամբ յուրաքանչյուր ֆայլ ներկայացնում է օգտատիրոջ վկայական, և ֆայլի անունը համապատասխանում է օգտատերի անվանը:

Օգտատիրոջ վկայականի չեղարկում

Եթե անհրաժեշտ է չեղարկել օգտատիրոջ մուտքի իրավունքը (օրինակ, երբ աշխատակիցը հեռացվում է կամ բանալին խախտվում է), կատարեք հետևյալ քայլերը.

Միացեք Easy-RSA թղթապանակին.
```
cd /etc/openvpn/easy-rsa/
```
Կատարեք վկայականի չեղարկման հրամանը՝ նշելով ճշգրիտ օգտատերի անունը.
```
./easyrsa revoke UserName
```
Կարևոր. Օգտատերի անունը պետք է ճշգրիտ համընկնի վկայականի ֆայլի անվան հետ՝ առանց .crt ընդլայնման և հաշվի առնելով մեծ/փոքր տառերը:

Օրինակ՝ Testuser օգտատիրոջ վկայականը չեղարկելու համար.
```
./easyrsa revoke Testuser
```
Վկայականը հաջողությամբ չեղարկելուց հետո ստեղծեք չեղարկված վկայականների թարմացված ցանկ (CRL).
```
./easyrsa gen-crl
```
Կտեսնեք թարմացված CRL ստեղծելու մասին հաղորդագրություն.
```
Notice
------
An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem
```

Չեղարկված վկայականների ցանկի թարմացում սերվերի վրա

Չեղարկված վկայականները գործարկելու համար թարմացրեք CRL-ը սերվերի վրա.

Պատճենեք թարմացված CRL-ը OpenVPN թղթապանակ.
```
cp /etc/openvpn/easy-rsa/pki/crl.pem /etc/openvpn/
```
Կիրառելու համար վերագործարկեք OpenVPN ծառայությունը.
```
systemctl restart openvpn@server
```

Այս քայլերը ավարտելուց հետո չեղարկված վկայական ունեցող օգտատերը այլևս չի կարողանա միանալ VPN սերվերին՝ նույնիսկ եթե ունի վավեր .ovpn կոնֆիգուրացիոն ֆայլ:

Օգտատերերի մուտքի կարգավորում¶

OpenVPN-ի տեղադրում¶

Միացեք պաշտոնական կայք OpenVPN;
Ներբեռնեք OpenVPN Community Edition-ի վերջին տարբերակը Windows-ի համար;
Կատարեք տեղադրիչը և հետևեք տեղադրման վարդապետի հրահանգներին;
Տեղադրման ընթացքում համոզվեք, որ ընտրված են բոլոր լռելյայն բաղադրիչները, ներառյալ TAP վարորդները:

Windows-ի վրա տեղադրման մանրամասն տեղեկատվություն կարելի է գտնել պաշտոնական ուղեցույցում

Կոնֆիգուրացիոն ֆայլի ստացում¶

OpenVPN-ի կոնֆիգուրացիոն ֆայլը ուղղակիորեն սերվերից պատճենելու համար օգտագործեք SCP հրամանը.

scp root@SERVER_IP:/root/client_hk.ovpn C:\OpenVPN

Որտեղ.

SERVER_IP - Ձեր VPN սերվերի IP հասցե
/root/client_hk.ovpn - կոնֆիգուրացիոն ֆայլի ճանապարհը սերվերի վրա
C:\OpenVPN - տեղական թղթապանակ ձեր համակարգչում, որտեղ ֆայլը կպատճենվի

Հրամանը կատարելուց հետո ձեզ կխնդրեն մուտքագրել սերվերի root հաշվի գաղտնաբառը:

Հաջող պատճենումից հետո կտեսնեք գործընթացի ավարտի և փոխանցված ֆայլի չափի մասին տեղեկատվություն.

Կոնֆիգուրացիայի ներմուծում և օգտագործում¶

Պատճենեք ստացված .ovpn ֆայլը C:\Program Files\OpenVPN\config թղթապանակ
Գործարկեք OpenVPN GUI-ն — ծրագիրը ավտոմատ կերպով մեկնարկում է համակարգի ավարտապանակում Windows-ի մեկնարկի ժամանակ (իկոնը էկրանի ներքևի աջ անկյունում)
Սեղմեք աջ կոճակով OpenVPN-ի իկոնի վրա համակարգի ավարտապանակում
Սահմանային մենյուում ընտրեք Import՝ ձեր կոնֆիգուրացիան ավելացնելու համար.
Եթե ձեր պրոֆիլը արդեն ներմուծված է կամ պատճենված է config թղթապանակ, կտեսնեք այն մենյուում: Ընտրեք Connect և ձեր պրոֆիլի անունը
Մուտքագրեք մուտքի անունը և գաղտնաբառը, եթե անհրաժեշտ է, երբ օգտագործում եք ինքնությունի հաստատում կամ եթե կոնֆիգուրացիոն ֆայլը պաշտպանված է գաղտնաբառով
Հաջող միացումից հետո կտեսնեք հաստատման հաղորդագրություն.

Համակարգի ավարտապանակում OpenVPN-ի իկոնը նույնպես կփոխի գույնը դեպի կանաչ:

Միացումը ստուգելու համար այցելեք whoer.net կամ whatismyip.com

Եթե անհրաժեշտ է կարգավորել OpenVPN-ը այլ օպերացիոն համակարգերի վրա, օգտագործեք պաշտոնական մշակողի հրահանգները.

macOS: OpenVPN Connect Installation Guide for macOS
iOS: iOS Installation Guide
Linux: Connecting to OpenVPN Access Server with Linux
Android: Guide to Using OpenVPN on Android

Նշում

OpenVPN-ի միջոցով միանալիս սարքի բոլոր տրաֆիկներն անցնում են անվտանգ թունելով: Միացումը խզելու համար օգտագործեք Disconnect տարբերակը հաճախորդի հավելվածում: