Du kommer over VPN-servere hovedsakelig i bedriftens verden: de lar ansatte trygt få tilgang til bedriftsnettverket på veien eller hjemmefra. Likevel kan en VPN-server også være nyttig når du er på farten selv og ønsker å få tilgang til internett tryggere, eller få tilgang til filer i hjemmenettverket.
Tips 01: VPN-protokoller
Det er mange VPN-tjenester, og noen kan du bruke gratis selv uten for mange begrensninger, for eksempel ProtonVPN. Via klientprogramvare på din mobile enhet eller datamaskin kobler du deg deretter til en av VPN-serverne som tilbys, hvoretter du kan fortsette på internett via en slik server.
Tilnærmingen til denne artikkelen er mer ambisiøs: vi skal sette opp vår egen VPN-server i vårt hjemmenettverk. Vpn står for virtuelt privat nettverk (også kalt virtuelt privat nettverk på nederlandsk) og det betyr at du kobler nettverk som er fysisk atskilt fra hverandre. En slik forbindelse går normalt via internett, noe som ikke akkurat er det tryggeste miljøet. Derfor krypteres all datatrafikk via en slik VPN-forbindelse: det opprettes en virtuell tunnel mellom de to nettverkene.
Flere VPN-protokoller er tilgjengelige, inkludert pptp, sstp, ikev2, l2tp / ipsec, OpenVPN og WireGuard. Sistnevnte er veldig lovende, men fortsatt i full utvikling og ikke støttet allment ennå. Vi velger OpenVPN her fordi det er åpen kildekode, har sterk kryptering og er tilgjengelig på nesten alle plattformer.
For øyeblikket blir OpenVPN fortsatt sett på som den bedre VPN-protokollenRuter
Faktisk er ruteren din det beste stedet å sette opp en VPN-server i hjemmenettverket. Tross alt vil all datatrafikk fra nettstedene du besøker på veien først gå gjennom VPN-serveren din. Hvis det er ruteren din, vil den trafikken umiddelbart gå tilbake til mobilenheten din. Hvis VPN-serveren din er på en NAS eller PC, må datatrafikken først gå fra ruteren din til den enheten og derfra tilbake til ruteren. Et ekstra mellomtrinn, men i praksis vil du ikke merke denne forsinkelsen mye.
Dessverre har mange vanlige hjemmerutere ikke muligheten til å sette opp en VPN-server. Hvis ruteren din faktisk mangler en VPN-tjeneste, kan firmwaren til DD-WRT tilby en vei ut. Surf her og skriv inn rutermodellen din. Med litt flaks står det ja i kolonnen Støttet og du kan laste ned fastvarefilen for å blinke ruteren din med den. Husk deg, du utfører en så følsom operasjon helt på egen risiko! For instruksjoner kan du gå her.
Tips 02: Installasjon på en nas
Vi viser deg først hvordan du installerer en OpenVPN-server på en NAS. Kjente NAS-produsenter som QNAP og Synology tilbyr sin egen app for å legge til en VPN-server. Vi ser på hvordan du gjør det på en Synology NAS med en nylig versjon av DiskStation Manager (DSM). Opprett en forbindelse med nettgrensesnittet til DSM, standardadressen er: 5000 eller: 5001.
Åpne den Pakkesenter, bli med Alle pakker leter etter appen VPN-server og klikk på den å installere. Etter installasjonen, klikk på Å åpne: serveren kan håndtere noen VPN-protokoller, er oppført PPTP, L2TP / IPSec og OpenVPN. I prinsippet kan de til og med være aktive samtidig, men vi begrenser oss til OpenVPN-protokollen. klikk på OpenVPN og sett et hake ved siden av Aktiver OpenVPN-serveren. Angi en virtuell intern IP-adresse for VPN-serveren din. Som standard er dette satt til 10.8.0.1, noe som betyr at VPN-klientene i utgangspunktet vil motta en adresse mellom 10.8.0.1 og 10.8.0.254. Du kan velge mellom et IP-område mellom 10.0.0.1 og 10.255.255.1, mellom 172.16.0.1 og 172.31.255.1 og mellom 192.168.0.1 og 192.168.255.1. Forsikre deg om at rekkevidden ikke overlapper med IP-adresser som for øyeblikket brukes i ditt lokale nettverk.
På noen nas-enheter har du en OpenVPN-server installert på kort tid Tips 03: Valg av protokoll
I det samme konfigurasjonsvinduet definerer du også maksimalt antall samtidige tilkoblinger, samt port og protokoll. Standard er porten 1194 og protokollen UDP og det fungerer normalt greit. Hvis du allerede har en annen tjeneste som kjører på den porten, vil du selvsagt angi et annet portnummer.
Videre kan du også velge tcp i stedet for udp. Tcp har innebygd feilretting og sjekker at hver bit har kommet riktig. Dette gir mer tilkoblingsstabilitet, men er litt tregere. Udp er derimot en "statsløs protokoll" uten feilretting, noe som gjør den mer egnet for streamingtjenester, hvor tapet av et antall biter vanligvis er mindre dårlig.
Vårt råd: prøv udp først. Du kan eksperimentere etterpå og velge for eksempel TCP-port 8080, eller til og med https-port 443, fordi det vanligvis er mindre sannsynlig at de blir blokkert av en (firma) brannmur. Husk at du også må sette den valgte protokollen i innstillingene for portvideresending (se tips 5).
Du kan normalt la de andre alternativene i konfigurasjonsvinduet være uberørt. Bekreft valgene dine med Å søke.
Tips 04: Eksporter konfigurasjon
Nederst i vinduet finner du knappen Eksporter konfigurasjon. Dette eksporterer en zip-fil som pakkes ut og produserer både et sertifikat (.crt) og en konfigurasjonsprofil (.ovpn). Du trenger ovpn-filen for dine OpenVPN-klienter (se også tips 6 til 8). Åpne ovpn-filen med Notisblokk-programmet. Bytt ut indikasjonen i (tredje) linje DIN_SERVER_IP i fjernkontrollen YOUR_SERVER_IP 1194 av den eksterne IP-adressen til ruteren din og betegnelsen 1194 av porten du angir i OpenVPN-konfigurasjonsvinduet. En rask måte å finne ut denne eksterne IP-adressen er når du går fra det interne nettverket til et nettsted som www.whatismyip.com (se ruten "Ddns"). Du kan også erstatte denne IP-adressen med et vertsnavn, for eksempel en ddns-tjeneste (se samme rute).
Litt lenger i ovpn-filen vil du se linjen # redirect-gateway def1. Her fjerner du hashen, så omdirigering-gateway def1. Dette alternativet sikrer at i utgangspunktet all nettverkstrafikk blir rutet forbi VPN. Hvis dette forårsaker problemer, må du tilbakestille den opprinnelige linjen. Mer informasjon om dette (og om andre tekniske problemer med OpenVPN) finner du her.
Lagre den redigerte filen med samme utvidelse.
Ddns
Fra utsiden får du vanligvis tilgang til hjemmenettverket ditt via den offentlige IP-adressen til ruteren din. Du finner ut den adressen når du surfer fra nettverket ditt til et nettsted som www.whatismyip.com. Sjansen er at leverandøren din har tildelt denne IP-adressen dynamisk, så du har ingen garanti for at denne IP-adressen alltid vil være den samme. Det er irriterende hvis du regelmessig vil nå nettverket ditt (og OpenVPN-serveren) utenfra.
En dynamisk dns-tjeneste (ddns) gir en mulig vei ut. Dette sikrer at et fast domenenavn er koblet til den IP-adressen, og så snart adressen endres, gjør det tilknyttede ddns-verktøyet (som kjører lokalt et sted i nettverket ditt, som på ruteren, NAS eller PC), den nye adressen kjent. ddns-tjenesten, som oppdaterer lenken umiddelbart. En av de mest fleksible gratis ddns-leverandørene er Dynu.
Tips 05: Videresending av havn
Det vises en melding som forteller deg om å sjekke innstillingene for videresending av port og brannmur med hensyn til den angitte porten (så som standard 1194 udp).
Vi starter med brannmuren. Du skal ha tilgang til OpenVPN-serveren via udp port 1194, og så må du være sikker på at brannmuren din ikke blokkerer den porten. Du finner brannmuren på nas via Kontrollpanel / kategorien Sikkerhet / Brannmur. Med brannmuren aktivert, sjekk via knappen Rediger regler om den aktuelle havnen ikke er låst. Dette gjelder også brannmuren på ruteren din, hvis den er aktivert.
Konseptet med port forwarding er mer komplekst. Hvis du vil nå OpenVPN-serveren din utenfor det interne nettverket, må du bruke den offentlige IP-adressen til ruteren din. Når du ber om en OpenVPN-forbindelse med UDP-port 1194 via denne IP-adressen, må ruteren din vite hvilken maskin den skal videresende forespørselen om den havnetrafikken, og i vårt tilfelle er den interne IP-adressen til din nas.
Se i ruteren din for å finne ut hvordan du konfigurerer videresending av port riktig, eller besøk http://portforward.com/router for flere instruksjoner.
Generelt går det slik: Logg deg på nettgrensesnittet til ruteren din, se etter en (under) seksjon som Port videresending og legg til et element med følgende informasjon: applikasjonsnavn, nas ip-adresse, intern port, ekstern port og protokoll. Dette kan for eksempel være: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Bekreft endringene.
Din OpenVPN-server kan kreve noe nøkkelarbeid på brannmuren og ruteren Separat OpenVPN-server
Hvis du ikke har en NAS, og ruteren din ikke støtter OpenVPN, kan du fortsatt konfigurere en slik OpenVPN-server selv på en datamaskin med Linux eller Windows.
En slik prosedyre tar noe å gjøre. Du må gå gjennom forskjellige trinn, og også under Windows gjøres dette hovedsakelig fra ledeteksten. Etter at du har installert OpenVPN Server-programvaren (se tips 8), må du opprette et CA-sertifikat, etterfulgt av opprettelsen av sertifikater for serveren og de nødvendige OpenVPN-klientene. Du trenger også såkalte DH-parametere (Diffie-Hellman) samt en TLS-nøkkel (transportlagsikkerhet). Til slutt, også her, må du opprette og endre ovpn-filer, og sørge for at serveren din tillater nødvendig trafikk.
Via denne lenken finner du en trinnvis plan for Windows 10, for Ubuntu via denne lenken.
Tips 06: Mobil klientprofil
Å sette opp en OpenVPN-server er et første trinn, men etter det må du koble til serveren fra en eller flere VPN-klienter (for eksempel din bærbare datamaskin, telefon eller nettbrett). Vi starter med å koble til en mobil klient.
For både iOS og Android er det enklest å opprette en forbindelse med en OpenVPN-klientapp hvis den er gratis OpenVPN Connect. Du finner denne appen i de offisielle appbutikkene til både Android og Apple.
Vi tar Android som et eksempel. Last ned og installer appen. Før du starter appen, må du sørge for at ovpn-profilfilen er på mobilenheten din (se tips 4). Om nødvendig kan du gjøre dette via en omkjøring via en tjeneste som WeTransfer eller en skylagringstjeneste som Dropbox eller Google Drive. Start OpenVPN Connect og velg OVPN-profil. Bekreft med Å tillate, se den nedlastede filen VPNconfig.ovpn og velg Import. Hvis du vil legge til ekstra profiler etterpå, kan du ganske enkelt bruke pluss-knappen.
Tips 07: Koble til klienten
Skriv inn et passende navn for VPN-tilkoblingen din og fyll ut riktig informasjon Brukernavn og Passord. Disse påloggingsopplysningene må selvfølgelig ha tilgang til VPN-serveren din, på Synology nas du åpner på VPN-server kategorien Rettigheter og plasser en sjekk ved siden av den / de tiltenkte brukerne OpenVPN. Du kan velge å huske passordet hvis du anser det som trygt nok. Bekreft med Legge til. Profilen er lagt til, trykk på den for å starte tilkoblingen.
Appen klager kanskje på at profilfilen ikke har et klientsertifikat (den har et serversertifikat), ettersom en Synology NAS ikke genererer det akkurat slik. Dette er litt mindre sikkert fordi det ikke er bekreftet om det er en autorisert klient, men selvfølgelig trenger du brukernavn og passord for å faktisk få tilgang. Så du kan her Kontinuerlige å velge. Hvis alt går bra, vil forbindelsen bli etablert litt senere. Du vil legge merke til dette fra nøkkelikonet øverst på startskjermen.
Tips 08: Windows-klient
For Windows laster du ned Windows 10-installasjonsprogrammet fra OpenVPN GUI, det er også en versjon for Windows 7 og 8 (.1). Installer verktøyet. Hvis du planlegger å installere en OpenVPN-server også i Windows (se ruten "Separat OpenVPN-server"), merker du av ved siden av EasyRSA 2 Certificate Management Scripts. Tillat også å installere en TAP-driver når du blir bedt om det.
Etterpå finner du ikonet OpenVPN GUI på skrivebordet. Hvis ikke, start programmet fra standard installasjonsmappe C: \ ProgramFiler \ OpenVPN \ bin. Installasjonen skal sikre at du ikke trenger å kjøre verktøyet som administrator. Hvis det ikke fungerte av en eller annen grunn, høyreklikker du på programfilen og velger fortsatt Kjør som administrator.
Vis programmet veien til ovpn-profilfilen din (se tips 4). Høyreklikk på ikonet for OpenVPN GUI i systemstatusfeltet i Windows og velg Importer fil, og velg deretter VPNConfig.ovpn-filen. Klikk deretter på i samme meny Å koble og fyll inn nødvendige påloggingsdetaljer. I statusvinduet kan du følge oppsettet av VPN-tilkoblingen, og du kan også lese den tildelte IP-adressen nederst.
Hvis du får problemer, klikker du på i menyen Vis loggfil. Som standard starter OpenVPN-tjenesten sammen med Windows: du kan gjøre det via Innstillinger på fanen Generell. Sjekk også at brannmuren ikke blokkerer tilkoblingen.
