Cách thiết lập server OpenVPN trên Ubuntu 14.04
Bạn muốn truy cập Internet một cách an toàn và bảo mật từ điện thoại thông minh hoặc notebook của bạn khi được kết nối với mạng không tin cậy như WiFi của khách sạn hoặc quán cà phê? Mạng riêng ảo (VPN) cho phép bạn truyền qua các mạng không tin cậy một cách riêng tư và an toàn đến DigitalOcean Server như thể bạn đang ở trên một mạng riêng tư và an toàn. Lưu lượng truy cập xuất hiện từ Server và tiếp tục hành trình đến đích.Khi được kết hợp với kết nối HTTPS , cài đặt này cho phép bạn bảo mật thông tin đăng nhập và giao dịch không dây của bạn . Bạn có thể phá vỡ các giới hạn địa lý và kiểm duyệt, đồng thời che chắn vị trí của bạn và lưu lượng truy cập HTTP không được mã hóa khỏi mạng không tin cậy .
OpenVPN là giải pháp VPN Lớp cổng bảo mật (SSL) open-souce đầy đủ tính năng, có thể đáp ứng nhiều loại cấu hình. Trong hướng dẫn này, ta sẽ cài đặt server OpenVPN trên Server và sau đó cấu hình quyền truy cập vào nó từ Windows, OS X, iOS và Android. Hướng dẫn này sẽ giữ cho các bước cài đặt và cấu hình đơn giản nhất có thể cho các cài đặt này.
Lưu ý: OpenVPN có thể được cài đặt tự động trên Server bằng cách thêm tập lệnh này vào Dữ liệu user của nó khi chạy nó. Hãy xem hướng dẫn này để tìm hiểu thêm về Dữ liệu user Server.
Yêu cầu
Yêu cầu duy nhất là có một Ubuntu 14.04 Server được cài đặt và chạy. Bạn cần quyền truy cập root để hoàn thành hướng dẫn này.
- Tùy chọn: Sau khi hoàn thành hướng dẫn này, bạn nên tạo một account user tiêu chuẩn với các quyền sudo để thực hiện bảo trì chung trên server của bạn.
Bước 1 - Cài đặt và cấu hình môi trường server của OpenVPN
Hoàn thành các bước này để cài đặt phía server của bạn.
Cấu hình OpenVPN
Trước khi ta cài đặt bất kỳ gói nào, trước tiên ta sẽ cập nhật danh sách repository của Ubuntu.
apt-get update
Sau đó, ta có thể cài đặt OpenVPN và Easy-RSA.
apt-get install openvpn easy-rsa
Tệp cấu hình server VPN mẫu cần được extract sang /etc/openvpn
để ta có thể kết hợp nó vào cài đặt của bạn . Điều này có thể được thực hiện bằng một lệnh:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Sau khi extract , hãy mở server.conf
trong editor . Hướng dẫn này sẽ sử dụng Vim nhưng bạn có thể sử dụng bất kỳ trình soạn thảo nào bạn thích.
vim /etc/openvpn/server.conf
Có một số thay đổi cần thực hiện trong file này. Bạn sẽ thấy một phần giống như sau:
# Diffie hellman parameters. # Generate your own with: # openssl dhparam -out dh1024.pem 1024 # Substitute 2048 for 1024 if you are using # 2048 bit keys. dh dh1024.pem
Chỉnh sửa dh1024.pem
để nói:
dh2048.pem
Điều này sẽ tăng gấp đôi độ dài khóa RSA được sử dụng khi tạo khóa server và client .
Vẫn trong server.conf
, bây giờ hãy tìm phần này:
# If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push "redirect-gateway def1 bypass-dhcp"
Uncomment push "redirect-gateway def1 bypass-dhcp"
để server VPN chuyển lưu lượng truy cập web của khách hàng đến đích của nó. Nó sẽ trông như thế này khi hoàn thành:
push "redirect-gateway def1 bypass-dhcp"
Chỉnh sửa tiếp theo cần thực hiện trong lĩnh vực này:
# Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push "dhcp-option DNS 208.67.222.222" ;push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 208.67.222.222"
chú push "dhcp-option DNS 208.67.222.222"
và push "dhcp-option DNS 208.67.220.220"
. Nó sẽ trông như thế này khi hoàn thành:
push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Điều này yêu cầu server đẩy OpenDNS đến các client được kết nối để phân giải DNS nếu có thể. Điều này có thể giúp ngăn các yêu cầu DNS bị rò rỉ ra bên ngoài kết nối VPN. Tuy nhiên, điều quan trọng là phải chỉ định các trình phân giải DNS mong muốn trong các thiết bị khách. Mặc dù OpenDNS là mặc định được OpenVPN sử dụng, bạn có thể sử dụng bất kỳ dịch vụ DNS nào bạn thích.
Khu vực cuối cùng để thay đổi trong server.conf
là ở đây:
# You can uncomment this out on # non-Windows systems. ;user nobody ;group nogroup
Bỏ ghi chú cả user nobody
và user nobody
group nogroup
. Nó sẽ trông như thế này khi hoàn thành:
user nobody group nogroup
Theo mặc định, OpenVPN chạy với quyền là user root và do đó có toàn quyền truy cập root vào hệ thống. Thay vào đó, ta sẽ giới hạn OpenVPN với user không ai cả và group nogroup . Đây là user không có quyền không có khả năng đăng nhập mặc định, thường được dành để chạy các ứng dụng không tin cậy như server giao diện web.
Bây giờ hãy lưu các thay đổi và thoát Vim.
Chuyển tiếp gói
Đây là một cài đặt sysctl yêu cầu kernel của server chuyển tiếp lưu lượng truy cập từ các thiết bị khách ra Internet. Nếu không, lưu lượng sẽ dừng lại ở server . Bật chuyển tiếp gói trong thời gian chạy bằng lệnh lệnh sau:
echo 1 > /proc/sys/net/ipv4/ip_forward
Ta cần đặt điều này vĩnh viễn để server vẫn chuyển tiếp lưu lượng truy cập sau khi khởi động lại.
vim /etc/sysctl.conf
Ở gần đầu file sysctl, bạn sẽ thấy:
# Uncomment the next line to enable packet forwarding for IPv4 #net.ipv4.ip_forward=1
Uncomment net.ipv4.ip_forward
. Nó sẽ trông như thế này khi hoàn thành:
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Lưu các thay đổi và thoát.
Tường lửa không phức tạp (ufw)
ufw là giao diện user cho iptables và việc cài đặt ufw không khó. Theo mặc định, nó có trong Ubuntu 14.04, vì vậy ta chỉ cần thực hiện một vài luật và chỉnh sửa cấu hình, sau đó bật firewall . Để tham khảo thêm về cách sử dụng ufw, hãy xem Cách cài đặt Tường lửa với UFW trên Server Đám mây Ubuntu và Debian .
Đầu tiên hãy đặt ufw để cho phép SSH. Trong dấu nhắc lệnh, ENTER
:
ufw allow ssh
Hướng dẫn này sẽ sử dụng OpenVPN qua UDP, vì vậy ufw cũng phải cho phép lưu lượng UDP qua cổng 1194
.
ufw allow 1194/udp
Chính sách chuyển tiếp ufw cũng cần được cài đặt . Ta sẽ thực hiện việc này trong file cấu hình chính của ufw.
vim /etc/default/ufw
Tìm DEFAULT_FORWARD_POLICY="DROP"
. Điều này phải được thay đổi từ DROP thành CHẤP NHẬN . Nó sẽ trông như thế này khi hoàn thành:
DEFAULT_FORWARD_POLICY="ACCEPT"
Tiếp theo, ta sẽ thêm các luật ufw bổ sung để dịch địa chỉ mạng và giả mạo IP của các client được kết nối.
vim /etc/ufw/before.rules
Làm cho phần trên cùng của file before.rules
của bạn trông giống như bên dưới. Khu vực có màu đỏ cho OPENVPN RULES phải được thêm vào:
# # rules.before # # Rules that should be run before the ufw command line added rules. Custom # rules should be added to one of these chains: # ufw-before-input # ufw-before-output # ufw-before-forward # # START OPENVPN RULES # NAT table rules *nat :POSTROUTING ACCEPT [0:0] # Allow traffic from OpenVPN client to eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES # Don't delete these required lines, otherwise there will be errors *filter
Với những thay đổi được thực hiện đối với ufw, giờ đây ta có thể kích hoạt nó. Nhập vào dấu nhắc lệnh:
ufw enable
Bật ufw sẽ trả về dấu nhắc sau:
Command may disrupt existing ssh connections. Proceed with operation (y|n)?
Trả lời y
. Kết quả sẽ là kết quả này:
Firewall is active and enabled on system startup
Để kiểm tra các luật firewall chính của ufw:
ufw status
Trạng thái lệnh sẽ trả về các mục sau:
Status: active To Action From -- ------ ---- 22 ALLOW Anywhere 1194/udp ALLOW Anywhere 22 (v6) ALLOW Anywhere (v6) 1194/udp (v6) ALLOW Anywhere (v6)
Bước 2 - Tạo Tổ chức phát hành certificate và Khóa & certificate phía server
OpenVPN sử dụng certificate để mã hóa lưu lượng.
Cấu hình và xây dựng Tổ chức phát hành certificate
Bây giờ là lúc để cài đặt Tổ chức phát hành certificate (CA) của riêng ta và tạo certificate và khóa cho server OpenVPN. OpenVPN hỗ trợ xác thực hai chiều dựa trên certificate , nghĩa là client phải xác thực certificate server và server phải xác thực certificate client trước khi cài đặt sự tin cậy lẫn nhau. Ta sẽ sử dụng các tập lệnh của Easy RSA mà ta đã sao chép trước đó để thực hiện việc này.
Sao chép đầu tiên qua các tập lệnh tạo Easy-RSA.
cp -r /usr/share/easy-rsa/ /etc/openvpn
Sau đó tạo folder lưu trữ khóa.
mkdir /etc/openvpn/easy-rsa/keys
Easy-RSA có file biến mà ta có thể chỉnh sửa để tạo certificate dành riêng cho cá nhân, doanh nghiệp của ta hoặc bất kỳ thực thể nào mà ta chọn. Thông tin này được sao chép vào các certificate và khóa và sẽ giúp xác định khóa sau này.
vim /etc/openvpn/easy-rsa/vars
Các biến bên dưới được đánh dấu màu đỏ sẽ được thay đổi theo sở thích của bạn.
export KEY_COUNTRY="US" export KEY_PROVINCE="TX" export KEY_CITY="Dallas" export KEY_ORG="My Company Name" export KEY_EMAIL="sammy@example.com" export KEY_OU="MYOrganizationalUnit"
Trong cùng một file vars
, cũng chỉnh sửa dòng này được hiển thị bên dưới. Để đơn giản, ta sẽ sử dụng server
làm tên khóa. Nếu bạn muốn sử dụng một tên khác, bạn cũng cần phải cập nhật file cấu hình OpenVPN tham chiếu server.key
và server.crt
.
export KEY_NAME="server"
Ta cần tạo các tham số Diffie-Hellman; quá trình này có thể mất vài phút.
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Bây giờ, hãy thay đổi các folder để ta đang làm việc trực tiếp từ nơi ta đã chuyển các tập lệnh của Easy-RSA sang trước đó trong Bước 2.
cd /etc/openvpn/easy-rsa
Khởi tạo PKI (Cơ sở hạ tầng public key ). Chú ý đến dấu chấm (.) Và khoảng ./vars
phía trước lệnh ./vars
. Điều đó biểu thị folder làm việc hiện tại (nguồn).
. ./vars
Kết quả từ lệnh trên được hiển thị bên dưới. Vì ta chưa tạo bất kỳ thứ gì trong folder keys
, nên cảnh báo không có gì đáng lo ngại.
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
Bây giờ ta sẽ xóa folder làm việc của bất kỳ khóa cũ hoặc ví dụ nào có thể có để nhường chỗ cho những khóa mới của ta .
./clean-all
Lệnh cuối cùng này xây dựng cơ quan cấp certificate (CA) bằng cách gọi một lệnh OpenSSL tương tác. Đầu ra sẽ nhắc bạn xác nhận các biến Tên phân biệt đã được nhập trước đó vào file biến của Easy-RSA (tên quốc gia, tổ chức, v.v.).
./build-ca
Chỉ cần nhấn ENTER
để chuyển qua từng dấu nhắc . Nếu phải thay đổi điều gì đó, bạn có thể thực hiện điều đó từ bên trong dấu nhắc .
Tạo Chứng chỉ và Khóa cho Server
Vẫn hoạt động từ /etc/openvpn/easy-rsa
, bây giờ hãy nhập lệnh để xây dựng khóa của server . Nơi bạn thấy server
được đánh dấu màu đỏ là biến export KEY_NAME
mà ta đã đặt trong file vars
của Easy-RSA trước đó ở Bước 2.
./build-key-server server
Đầu ra tương tự được tạo như khi ta chạy ./build-ca
và bạn có thể nhấn ENTER
để xác nhận từng dòng của Tên phân biệt. Tuy nhiên, lần này có hai dấu nhắc bổ sung:
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Cả hai đều nên để trống, vì vậy chỉ cần nhấn ENTER
để chuyển qua từng cái.
Hai truy vấn bổ sung ở cuối yêu cầu phản hồi tích cực ( y
):
Sign the certificate? [y/n] 1 out of 1 certificate requests certified, commit? [y/n]
Dấu nhắc cuối cùng ở trên phải hoàn thành với:
Write out database with 1 new entries Data Base Updated
Di chuyển certificate và khóa server
OpenVPN mong đợi thấy CA, certificate và khóa của server trong /etc/openvpn
. Hãy sao chép chúng vào vị trí thích hợp.
cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn
Bạn có thể xác minh sao chép thành công bằng:
ls /etc/openvpn
Bạn sẽ thấy certificate và các file khóa cho server .
Đến đây, server OpenVPN đã sẵn sàng hoạt động. Khởi động nó và kiểm tra trạng thái.
service openvpn start service openvpn status
Trạng thái lệnh sẽ trả về:
VPN 'server' is running
Xin chúc mừng! Server OpenVPN của bạn đang hoạt động. Nếu thông báo trạng thái cho biết VPN không chạy, thì hãy xem file /var/log/syslog
để biết các lỗi như:
Options error: --key fails with 'server.key': No such file or directory
Lỗi đó cho biết server.key
không được sao chép chính xác vào /etc/openvpn
. Sao chép lại file và thử lại.
Bước 3 - Tạo certificate và khóa cho khách hàng
Lúc này, ta đã cài đặt và cấu hình server OpenVPN, tạo Tổ chức phát hành certificate và tạo certificate và private key của server . Trong bước này, ta sử dụng CA của server để tạo certificate và khóa cho từng thiết bị khách sẽ kết nối với VPN. Các file này sau đó sẽ được cài đặt vào các thiết bị khách như notebook hoặc điện thoại thông minh.
Xây dựng khóa và certificate
Điều lý tưởng là mỗi client kết nối với VPN phải có certificate và khóa duy nhất của riêng nó. Điều này thích hợp hơn khi tạo một certificate và khóa chung để sử dụng giữa tất cả các thiết bị khách.
Lưu ý: Theo mặc định, OpenVPN không cho phép kết nối đồng thời đến server từ các client sử dụng cùng một certificate và khóa. (Xem
duplicate-cn
trong/etc/openvpn/server.conf
.)
Để tạo thông tin xác thực riêng biệt cho từng thiết bị bạn định kết nối với VPN, bạn nên hoàn thành bước này cho từng thiết bị, nhưng hãy thay đổi tên client1 bên dưới thành tên khác như client2 hoặc iphone2 . Với thông tin xác thực riêng biệt cho mỗi thiết bị, sau đó chúng có thể được hủy kích hoạt riêng lẻ tại server , nếu cần. Các ví dụ còn lại trong hướng dẫn này sẽ sử dụng client1 làm tên thiết bị khách hàng mẫu của ta .
Như ta đã làm với khóa của server , bây giờ ta tạo một khóa cho ví dụ client1 của ta . Bạn vẫn phải làm việc với /etc/openvpn/easy-rsa
.
./build-key client1
, bạn cần thay đổi hoặc xác nhận các biến Tên phân biệt và hai dấu nhắc này sẽ được để trống. Nhấn ENTER
để chấp nhận các giá trị mặc định.
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Như trước đây, hai xác nhận này ở cuối quá trình xây dựng yêu cầu phản hồi ( y
):
Sign the certificate? [y/n] 1 out of 1 certificate requests certified, commit? [y/n]
Nếu quá trình tạo khóa thành công, kết quả kết quả sẽ là:
Write out database with 1 new entries Data Base Updated
Tệp cấu hình ứng dụng client mẫu cũng phải được sao chép vào folder khóa Easy-RSA. Ta sẽ sử dụng nó làm mẫu sẽ được download thiết bị khách để chỉnh sửa. Trong quá trình sao chép, ta sẽ thay đổi tên của file ví dụ từ client.conf
thành client.ovpn
vì phần mở rộng file .ovpn
là những gì khách hàng sẽ mong đợi sử dụng.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn
Bạn có thể lặp lại phần này cho từng client , thay thế client1 bằng tên client thích hợp trong suốt.
Chuyển certificate và key cho thiết bị khách
Nhớ lại các bước ở trên mà ta đã tạo các certificate và khóa ứng dụng client và chúng được lưu trữ trên server OpenVPN trong folder /etc/openvpn/easy-rsa/keys
.
Đối với mỗi client , ta cần chuyển certificate client , khóa và file mẫu profile vào một folder trên máy tính local của ta hoặc thiết bị khách khác.
Trong ví dụ này, thiết bị client1 của ta certificate request và khóa của nó, nằm trên server ở:
-
/etc/openvpn/easy-rsa/keys/ client1 .crt
-
/etc/openvpn/easy-rsa/keys/ client1 .key
Các file ca.crt
và client.ovpn
là giống nhau cho tất cả các client . Download cả hai file này; lưu ý file ca.crt
nằm trong một folder khác với các folder khác.
-
/etc/openvpn/easy-rsa/keys/client.ovpn
-
/etc/openvpn/ca.crt
Mặc dù các ứng dụng chính xác được sử dụng để thực hiện quá trình chuyển này sẽ tùy thuộc vào lựa chọn của bạn và hệ điều hành của thiết bị, nhưng bạn muốn ứng dụng sử dụng SFTP (giao thức truyền file SSH) hoặc SCP (Bản sao bảo mật) trên chương trình backend . Điều này sẽ vận chuyển các file xác thực VPN của khách hàng của bạn qua một kết nối được mã hóa.
Đây là một ví dụ về lệnh SCP bằng ví dụ client1 của ta . Nó đặt file client1.key
vào folder Downloads trên máy tính local .
scp root@your-server-ip:/etc/openvpn/easy-rsa/keys/client1.key Downloads/
Dưới đây là một số công cụ và hướng dẫn để truyền file an toàn từ server sang máy tính local :
- WinSCP
- Cách sử dụng SFTP để truyền file an toàn bằng server từ xa
- Cách sử dụng Filezilla để truyền và quản lý file an toàn trên VPS của bạn
Ở cuối phần này, hãy đảm bảo bạn có bốn file sau trên thiết bị khách của bạn :
-
client1 .crt
-
client1 .key
-
client.ovpn
-
ca.crt
Bước 4 - Tạo profile OpenVPN hợp nhất cho thiết bị khách
Có một số phương pháp để quản lý file khách hàng nhưng cách dễ nhất là sử dụng một cấu hình thống nhất . Điều này được tạo bằng cách sửa đổi file mẫu client.ovpn
để bao gồm Tổ chức phát hành certificate của server và certificate của khách hàng và khóa của nó. Sau khi hợp nhất, chỉ profile client.ovpn
duy nhất cần được nhập vào ứng dụng OpenVPN của khách hàng.
Ta sẽ tạo một cấu hình duy nhất cho thiết bị client1 của ta trên máy tính local mà ta đã download tất cả các file khách hàng. Bản thân máy tính local này có thể là một client dự kiến hoặc chỉ là một khu vực làm việc tạm thời để hợp nhất các file xác thực. Tệp mẫu client.ovpn
root phải được sao chép và đổi tên. Cách bạn thực hiện việc này sẽ phụ thuộc vào hệ điều hành của máy tính local của bạn.
Lưu ý: Tên của client.ovpn
sao chép của bạn không cần phải liên quan đến thiết bị khách. Ứng dụng OpenVPN phía client sẽ sử dụng tên file làm định danh cho chính kết nối VPN. Thay vào đó, bạn nên sao chép client.ovpn
thành bất kỳ thứ gì bạn muốn thẻ tên của VPN có trong hệ điều hành của bạn. Ví dụ: work.ovpn sẽ được xác định là cơ quan , school.ovpn là trường học , v.v.
Trong hướng dẫn này, ta sẽ đặt tên cho kết nối VPN là DigitalOcean nên DigitalOcean.ovpn
sẽ là tên file được tham chiếu từ thời điểm này. Sau khi được đặt tên, sau đó ta phải mở DigitalOcean.ovpn
trong editor ; bạn có thể sử dụng bất kỳ trình soạn thảo nào bạn thích.
Khu vực chú ý đầu tiên sẽ là địa chỉ IP của Server. Ở gần đầu file , thay đổi my-server-1 để phản ánh IP VPN của bạn.
# The hostname/IP and port of the server. # You can have multiple remote entries # to load balance between the servers. remote my-server-1 1194
Tiếp theo, tìm khu vực được hiển thị bên dưới và bỏ ghi chú user nobody
và group nogroup
, giống như ta đã làm trong server.conf
ở Bước 1. Lưu ý: Điều này không áp dụng cho Windows nên bạn có thể bỏ qua. Nó sẽ trông như thế này khi hoàn thành:
# Downgrade privileges after initialization (non-Windows only) user nobody group nogroup
Khu vực được cung cấp bên dưới cần có ba dòng hiển thị để được comment để thay vào đó, ta có thể đưa certificate và khóa trực tiếp vào file DigitalOcean.ovpn
. Nó sẽ trông như thế này khi hoàn thành:
# SSL/TLS parms. # . . . #ca ca.crt #cert client.crt #key client.key
Để hợp nhất các file riêng lẻ thành một cấu hình thống nhất, nội dung của các file ca.crt , client1 .crt và client1 .key được dán trực tiếp vào .ovpn
hình .ovpn
bằng cú pháp giống XML cơ bản. XML ở cuối file sẽ có dạng sau:
<ca> (insert ca.crt here) </ca> <cert> (insert client1.crt here) </cert> <key> (insert client1.key here) </key>
Khi hoàn thành, phần cuối của file sẽ tương tự như ví dụ viết tắt này:
<ca> -----BEGIN CERTIFICATE----- . . . -----END CERTIFICATE----- </ca> <cert> Certificate: . . . -----END CERTIFICATE----- . . . -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- . . . -----END PRIVATE KEY----- </key>
Tệp client1.crt
có một số thông tin bổ sung trong đó; chỉ cần bao gồm toàn bộ file là được.
Lưu các thay đổi và thoát. Bây giờ ta có một profile ứng dụng client OpenVPN thống nhất để cấu hình ứng dụng khách1 của ta .
Bước 5 - Cài đặt profile khách hàng
Bây giờ ta sẽ thảo luận về việc cài đặt cấu hình VPN ứng dụng client trên Windows, OS X, iOS và Android. Không có hướng dẫn nào trong số các hướng dẫn dành cho khách hàng này phụ thuộc vào nhau, do đó bạn có thể bỏ qua hướng dẫn nào phù hợp với mình.
Lưu ý kết nối sẽ được gọi là bất cứ thứ gì bạn đặt tên cho file .ovpn
. Trong ví dụ của ta , vì file được đặt tên là DigitalOcean.ovpn
, kết nối sẽ được đặt tên là DigitalOcean .
các cửa sổ
Đang cài đặt
Ứng dụng khách OpenVPN dành cho Windows có thể được tìm thấy trên trang Download của OpenVPN . Chọn version trình cài đặt thích hợp cho version Windows của bạn.
Lưu ý: OpenVPN cần có quyền quản trị để cài đặt.
Sau khi cài đặt OpenVPN, hãy sao chép profile DigitalOcean.ovpn
hợp nhất sang:
C:\Program Files\OpenVPN\config
Khi bạn chạy OpenVPN, nó sẽ tự động xem profile và làm cho nó có sẵn.
OpenVPN phải được chạy với quyền administrator mỗi khi nó được sử dụng, ngay cả bởi account quản trị. Để thực hiện việc này mà không cần phải nhấp chuột phải và chọn Run as administrator mỗi khi sử dụng VPN, bạn có thể đặt trước điều này nhưng phải thực hiện từ account quản trị. Điều này cũng nghĩa là user tiêu chuẩn cần nhập password của administrator để sử dụng OpenVPN. Mặt khác, user tiêu chuẩn không thể kết nối đúng cách với server trừ khi OpenVPN trên client có quyền quản trị, do đó, các quyền nâng cao là cần thiết.
Để đặt ứng dụng OpenVPN luôn chạy với quyền administrator , hãy nhấp chuột phải vào biểu tượng lối tắt của nó và đi tới Thuộc tính . Ở cuối tab Tương thích , nhấp vào nút để Thay đổi cài đặt cho tất cả user . Trong cửa sổ mới, chọn Chạy chương trình này với quyền administrator .
Đang kết nối
Mỗi lần bạn chạy OpenVPN GUI, Windows sẽ hỏi bạn có muốn cho phép chương trình áp dụng các thay đổi đối với máy tính của bạn hay không. Nhấp vào Có . Chạy ứng dụng client OpenVPN chỉ đặt applet vào khay hệ thống để VPN có thể được kết nối và ngắt kết nối khi cần; nó không tạo kết nối VPN.
Sau khi OpenVPN được khởi động, hãy bắt đầu kết nối bằng cách vào applet khay hệ thống và nhấp chuột phải vào biểu tượng applet OpenVPN. Thao tác này sẽ mở menu ngữ cảnh. Chọn DigitalOcean ở đầu menu (đó là profile DigitalOcean.ovpn
của ta ) và chọn Kết nối .
Một cửa sổ trạng thái sẽ mở ra hiển thị kết quả log trong khi kết nối được cài đặt và một thông báo sẽ hiển thị khi client được kết nối.
Ngắt kết nối khỏi VPN theo cách tương tự: Vào applet khay hệ thống, nhấp chuột phải vào biểu tượng applet OpenVPN, chọn cấu hình client và nhấp vào Ngắt kết nối .
OS X
Đang cài đặt
Tunnelblick là ứng dụng client OpenVPN open-souce miễn phí dành cho Mac OS X. Bạn có thể download hình ảnh đĩa mới nhất từ trang Download Tunnelblick . Nhấp đúp vào file .dmg
download và làm theo dấu nhắc để cài đặt.
Vào cuối quá trình cài đặt, Tunnelblick sẽ hỏi bạn có file cấu hình nào không. Có thể dễ dàng hơn khi trả lời Không và để Tunnelblick kết thúc. Mở cửa sổ Finder và nhấp đúp vào DigitalOcean.ovpn
. Tunnelblick sẽ cài đặt profile khách hàng. Đặc quyền quản trị là bắt buộc.
Đang kết nối
Chạy Tunnelblick bằng cách nhấp đúp vào Tunnelblick trong folder Ứng dụng . Khi Tunnelblick đã được chạy , sẽ có biểu tượng Tunnelblick trong thanh menu ở trên cùng bên phải của màn hình để kiểm soát các kết nối. Nhấp vào biểu tượng, sau đó nhấp vào mục menu Kết nối để bắt đầu kết nối VPN. Chọn kết nối DigitalOcean .
iOS
Đang cài đặt
Từ iTunes App Store, tìm kiếm và cài đặt OpenVPN Connect , ứng dụng client OpenVPN chính thức của iOS. Để chuyển profile ứng dụng client iOS của bạn vào thiết bị, hãy kết nối trực tiếp với máy tính.
Việc hoàn tất quá trình chuyển bằng iTunes sẽ được trình bày ở đây. Mở iTunes trên máy tính và nhấp vào iPhone > ứng dụng . Cuộn xuống dưới cùng đến phần Chia sẻ file và nhấp vào ứng dụng OpenVPN.Cửa sổ trống ở bên phải, Tài liệu OpenVPN , là để chia sẻ file . Kéo file .ovpn
vào cửa sổ Tài liệu OpenVPN.
Bây giờ chạy ứng dụng OpenVPN trên iPhone. Sẽ có một thông báo rằng một profile mới đã sẵn sàng để nhập. Nhấn vào dấu cộng màu xanh lục để nhập nó.
Đang kết nối
OpenVPN hiện đã sẵn sàng để sử dụng với cấu hình mới. Bắt đầu kết nối bằng cách trượt nút Kết nối sang vị trí Bật . Ngắt kết nối bằng cách trượt nút tương tự sang Tắt .
Lưu ý: Không thể sử dụng lựa chọn VPN trong Cài đặt để kết nối với VPN. Nếu cố gắng, bạn sẽ nhận được thông báo chỉ kết nối bằng ứng dụng OpenVPN.
Android
Đang cài đặt
Mở Cửa hàng Google Play. Tìm kiếm và cài đặt Android OpenVPN Connect , ứng dụng client Android OpenVPN chính thức.
Cấu .ovpn
có thể được chuyển bằng cách kết nối thiết bị Android với máy tính của bạn bằng USB và sao chép file qua. Ngoài ra, nếu bạn có đầu đọc thẻ SD, bạn có thể tháo thẻ SD của thiết bị, sao chép profile vào nó và sau đó lắp thẻ trở lại thiết bị Android.
Khởi động ứng dụng OpenVPN và nhấn vào menu để nhập profile .
Sau đó chuyển đến vị trí của profile đã lưu (ảnh chụp màn hình sử dụng /sdcard/Download/
) và chọn file . Ứng dụng sẽ ghi chú rằng profile đã được nhập.
Đang kết nối
Để kết nối, chỉ cần nhấn vào nút Kết nối . Bạn sẽ được hỏi liệu bạn có tin tưởng ứng dụng OpenVPN hay không. Chọn OK để bắt đầu kết nối. Để ngắt kết nối khỏi VPN, hãy quay lại ứng dụng OpenVPN và chọn Ngắt kết nối .
Bước 6 - Kiểm tra kết nối VPN của bạn
Khi mọi thứ đã được cài đặt, một kiểm tra đơn giản xác nhận mọi thứ đang hoạt động bình thường. Nếu không bật kết nối VPN, hãy mở trình duyệt và truy cập DNSLeakTest .
Trang web sẽ trả lại địa chỉ IP được chỉ định bởi nhà cung cấp dịch vụ internet của bạn và khi bạn xuất hiện với phần còn lại của thế giới. Để kiểm tra cài đặt DNS của bạn thông qua cùng một trang web, hãy nhấp vào Kiểm tra mở rộng và nó sẽ cho bạn biết bạn đang sử dụng server DNS nào.
Bây giờ, hãy kết nối ứng dụng OpenVPN với VPN của Server và làm mới trình duyệt. Địa chỉ IP hoàn toàn khác của server VPN của bạn bây giờ sẽ xuất hiện. Đó là cách bạn xuất hiện với thế giới. , Kiểm tra mở rộng của DNSLeakTest sẽ kiểm tra cài đặt DNS của bạn và xác nhận bạn hiện đang sử dụng trình phân giải DNS do VPN của bạn đẩy.
Xin chúc mừng! Như vậy, bạn đang duyệt qua internet một cách an toàn, bảo vệ danh tính, vị trí và lưu lượng truy cập của bạn khỏi những kẻ rình mò và kiểm duyệt.
Các tin liên quan
Cách cài đặt và cấu hình server truy cập OpenVPN trên CentOS 6.52014-04-04
Cách bảo mật lưu lượng truy cập giữa các VPS bằng OpenVPN
2013-09-26
Cách thiết lập và cấu hình server OpenVPN trên Debian 6
2013-05-03
Cách thiết lập và cấu hình server OpenVPN trên CentOS 6
2013-05-02