Настройка клиентских устройств OpenVPN

  1. Прежде чем вы начнете
  2. Передать учетные данные клиента
  3. Конфигурации на стороне клиента
  4. IOS
  5. Linux
  6. Macos
  7. Windows
  8. Тестирование соединения

Автор Линоде

Используйте промо-код DOCS10 для получения кредита в размере 10 долларов США на новом счете.

Это руководство является третьим из серии из трех частей по настройке защищенной среды OpenVPN. Хотя рекомендуется сначала выполнить части Один и Два это руководство представляет собой общее руководство по настройке клиентов OpenVPN в различных операционных системах.

Хотя рекомендуется сначала выполнить части Один и Два это руководство представляет собой общее руководство по настройке клиентов OpenVPN в различных операционных системах

Прежде чем вы начнете

У вас уже должны быть указанные ниже файлы клиента, готовые для передачи на устройство. Каждому клиенту понадобятся свои копии. Если вам нужны учетные данные клиента, см. Центр сертификации VPN Площадь первой части этой серии.

  • client1.key: эксклюзивно для этого устройства.
  • client1.cert: эксклюзивно для этого устройства.
  • CA.pem: общий для серверов и клиентских устройств.
  • ta.key: общий для серверов и клиентских устройств.
  • client.ovpn: общий для клиентских устройств.

Передать учетные данные клиента

Если вы будете передавать учетные данные клиента на соответствующие устройства по сети, вы должны использовать зашифрованный протокол передачи, такой как SCP или SFTP , FTP или telnet не должны использоваться, потому что эти протоколы передают данные в виде открытого текста. В Windows нет встроенной поддержки SCP или SFTP. Видеть наше руководство по Filezilla для передачи учетных данных VPN с компьютера Windows.

Варианты локальной передачи: Bluetooth, USB или другой внешний носитель. macOS может использовать iTunes для подключения к устройствам iOS, а компьютеру Linux необходим пакет gvfs-backends, установленный для подключения устройств Android и iOS в качестве внешнего хранилища.

Конфигурации на стороне клиента

Android

Существует два основных варианта клиента Android OpenVPN. Первый OpenVPN Connect на Гугл игры , официальный клиент от OpenVPN Technologies, Inc., материнской компании OpenVPN. Второй вариант - OpenVPN для Android на обоих Гугл игры и F-дроид , Два клиента похожи, но OpenVPN для Android имеет открытый исходный код, более многофункциональный и обычно обновляется чаще, поэтому мы будем использовать его для этого руководства.

Примечание.

Если у вас есть компьютер Windows или Linux с установленным пакетом gvfs-backends, вы можете подключить устройство через USB, и оно будет отображаться в файловом менеджере системы как внешнее USB-устройство. Если у вас есть macOS, вам нужно сначала установить Передача файлов Android ,

  1. Убедитесь, что ваше устройство Android полностью обновлено, а затем установите OpenVPN для Android из любого источника, который вы предпочитаете.

  2. Подключите устройство Android к компьютеру по USB. Нажмите на уведомление о настройках USB и переведите устройство в режим передачи файлов. Видеть Вот Чтобы получить больше информации. Скопируйте учетные данные VPN-клиента с локального компьютера на устройство Android. Вы можете поместить их в папку в каталоге ../Internal Storage /.

  3. Отключите устройство от USB и запустите OpenVPN для Android. Чтобы импортировать профиль VPN, нажмите значок «Импорт» в правом верхнем углу.

    Затем вам будет показан файловый браузер. Перейдите к папке, скопированной на устройство на предыдущем шаге, и коснитесь файла client.ovpn, чтобы импортировать его как профиль VPN.

  4. На экране Convert Config File убедитесь, что имена сертификатов и файлов ключей указаны правильно. Затем нажмите на флажок в правом верхнем углу экрана, чтобы завершить процесс импорта.

  5. Чтобы подключиться к VPN-серверу, нажмите только что созданный профиль и подтвердите запрос на подключение. На экране журнала отобразится состояние подключения, и вскоре после этого будет подключено устройство Android. Вы можете дополнительно настроить профиль на вкладке «Настройки» приложения.

  6. После импорта профиля и подтверждения того, что все работает правильно, создайте резервную копию файлов учетных данных клиента на внешнем хранилище и удалите файлы ключей и сертификатов с устройства. После импорта они будут находиться в профиле VPN клиента и больше не будут нуждаться в его внутреннем хранилище, которое доступно для чтения другим приложениям.

IOS

OpenVPN Connect используется для управления соединениями OpenVPN в iOS от Apple для iPhone и iPad. Мы будем использовать iTunes для передачи файла на устройство iOS с компьютера под управлением MacOS или Windows. Компьютер Linux с пакетом gvfs-backends может монтировать устройство iOS как внешнее хранилище.

Заметка

Следующий пример был выполнен на iOS 9.0.2 и macOS 10.10 с использованием iTunes 12 и OpenVPN Connect 1.0.5.

  1. Убедитесь, что ваше устройство iOS полностью обновлено, а затем установите OpenVPN Connect из магазина приложений iTunes.

  2. Подключите устройство iOS к компьютеру под управлением MacOS или Windows. Откройте iTunes.

  3. Выберите значок iPad или iPhone в левом верхнем углу строки меню.

    Заметка

    Если вы впервые подключаете свое устройство iOS к iTunes, вам нужно щелкнуть меню переполнения (три горизонтальные точки) и выбрать « Приложения» , затем нажать « Начать» .

  4. На левой боковой панели выберите « Приложения» и прокрутите вниз до категории « Общий доступ к файлам » в главном окне. Вы увидите значок OpenVPN Connect. Щелкните по нему, а затем нажмите « Добавить» в поле « Документы OpenVPN» . Перейдите к файлу ta.key и клиентскому профилю .opvn в Finder и перетащите их в окно iTunes. Если вы добавляете их по отдельности, добавьте ключ до того, как профиль клиента или OpenVPN Connect не сможет найти ключ.

  5. Откройте приложение OpenVPN Connect на устройстве iOS. Вы увидите область, в которой говорится, что новый профиль OpenVPN доступен для импорта. Нажмите на него, чтобы выделить профиль, затем нажмите зеленую кнопку, чтобы добавить его.

  6. На следующем экране нажмите ползунок « Соединение», чтобы подключиться к вашему VPN-серверу.

  7. Вы увидите уведомление с просьбой разрешить OpenVPN включить соединение. Выберите Да . iOS будет подключен вскоре после.

  8. Настройки приложения OpenVPN Connect можно использовать для дальнейшей настройки соединения. Например, вы можете указать, будет ли VPN использоваться через соединения WiFi, сотовую связь или и то, и другое. Увидеть FAQ по OpenVPN Connect для iOS для объяснения каждого варианта.

  9. После импорта профиля и подтверждения его правильной работы создайте резервную копию файлов учетных данных клиента на внешнем хранилище и удалите файлы ключей и сертификатов с устройства. После импорта они будут находиться в профиле VPN клиента и больше не будут нуждаться в его внутреннем хранилище, которое доступно для чтения другим приложениям.

Linux

Эти шаги предполагают распространение, которое использует NetworkManager. В зависимости от версии NetworkManager, которую предоставляет ваш дистрибутив, окна и приглашения могут немного отличаться от представленных ниже снимков экрана.

  1. Установите пакет network-manager-openvpn или networkmanager-openvpn, в зависимости от вашего дистрибутива. Это принесет необходимые зависимости с ним, включая пакет openvpn.

  2. Некоторые дистрибутивы Linux запускаются и включают службы автоматически после установки. Если у вас нет, запустите и включите службу OpenVPN.

    Для дистрибутивов с systemd:

    sudo systemctl включить openvpn * .service sudo systemctl запустить openvpn * .service

    Для дистрибутивов, которые не используют systemd:

    sudo service openvpn start

  3. Перейдите в меню « Настройки системы» и откройте «Настройки сети» , чтобы добавить новое соединение в NetworkManager. В окне сетевых подключений выберите знак плюс в нижней части окна, чтобы добавить новое подключение.

  4. В появившемся всплывающем окне выберите VPN , затем « Импорт из файла» .

  5. Выбор Import из файла выше откроет браузер файлов. Перейдите к файлу client.ovpn на компьютере и нажмите « Открыть», чтобы импортировать его.

  6. В новом окне « Добавить сетевое соединение» убедитесь, что информация была автоматически заполнена из профиля VPN. Затем выберите IPv6 в левом столбце. Выключите IPv6 и нажмите Добавить .

  7. Клиент VPN настроен и готов к подключению. Как это сделать, будет немного отличаться в зависимости от версии NetworkManager, но после настройки VPN запись для него появится в сетевом меню рабочего стола.

    Заметка

    Перед первым подключением рекомендуется запустить sudo journalctl -f | grep vpn или sudo tail -f / var / log / syslog | grep vpn в терминале на вашем клиенте. Команда выдает в реальном времени результаты регистрации в OpenVPN. Если у вас возникли проблемы с подключением, любые ошибки будут видны в журнале или системном журнале.

  8. После импорта профиля и подтверждения его правильной работы создайте резервную копию файлов учетных данных клиента на внешнем хранилище и удалите файлы ключей и сертификатов с устройства. После импорта они будут находиться в профиле VPN клиента и больше не должны оставаться в его хранилище, которое доступно для чтения другим приложениям.

Macos

Tunnelblick это бесплатное приложение с открытым исходным кодом, которое позволяет подключать OS X и macOS к серверам OpenVPN. Сайт Tunnelblick имеет отличный инструкция по установке поэтому мы не будем повторять это здесь.

Windows

  1. Скачать Установщик OpenVPN и установите его, используя настройки по умолчанию. При появлении запроса о сетевом адаптере TAP обязательно установите его тоже.

    Примечание. OpenVPN предоставляет файл подписи GPG для проверки целостности и подлинности установщика. Вам нужно будет дополнительно установить GnuPG но проверка установщика настоятельно рекомендуется.

  2. Переместите файлы учетных данных клиента в C: \ Program Files \ OpenVPN \ config.

  3. OpenVPN должен быть запущен от имени администратора для правильной работы. Есть два способа сделать это:

    Вариант 1. Щелкните правой кнопкой мыши ярлык OpenVPN на рабочем столе и выберите « Запуск от имени администратора» . Это нужно делать каждый раз, когда вы подключаетесь к VPN.

    Вариант 2. Настройте ярлык для автоматического запуска с правами администратора. Это будет применяться ко всем пользователям в системе. Щелкните правой кнопкой мыши на ярлыке OpenVPN GUI, выберите Свойства . Перейдите на вкладку « Совместимость » и выберите « Изменить настройки для всех пользователей» . Выберите « Запустить эту программу от имени администратора» и нажмите « ОК» .

  4. При запуске приложения OpenVPN его значок появится на панели задач. Щелкните правой кнопкой мыши и выберите « Подключиться» . Значок панели задач OpenVPN станет желтым, и появится диалоговое окно с подробным выводом процесса подключения. При успешном подключении значок станет зеленым и покажет пузырек подтверждения.

Тестирование соединения

  1. При включенном VPN-соединении перейдите на https://dnsleaktest.com/ в веб-браузере от вашего VPN-клиента. Показанный IP-адрес должен соответствовать общедоступному IPv4-адресу вашего Linode.

  2. Выберите Расширенный тест . Полученные IP-адреса должны быть следующими: DNS-распознаватели, используемые в файле server.conf, или DNS-распознаватели, выбранные для клиентского устройства (если применимо).

    Если клиентское устройство, которое вы тестируете, использует OpenVPN Connect с включенным резервным сервером Google DNS, вы можете также увидеть Google в результатах.

  3. Чтобы убедиться, что трафик IPv6 не поступает с сервера VPN, запустите тест по адресу http://test-ipv6.com/ , Ваш общедоступный IP-адрес должен снова совпадать с вашим Linode VPN, и результаты должны показать, что IPv6-адрес не был обнаружен.

предосторожность

Если результаты теста показывают какие-либо IP-адреса, отличные от адресов вашего Linode и предполагаемых DNS-серверов, ваша VPN неправильно туннелирует трафик. Просмотрите журналы на сервере и клиенте, чтобы определить, как устранить неполадки соединения.

Чтобы отменить доступ клиентского устройства к VPN, подключитесь к вашему VPN-серверу по SSH и вернитесь в корневой каталог EasyRSA. Папка ~ / ca использовалась в Центр сертификации VPN раздел первой части этой серии, поэтому мы продолжим с этим местом здесь.

  1. Перейдите в папку easy-rsa и в исходные файлы:

    cd ~ / ca source ./vars

  2. Запустите скрипт revoke-full, заменив client1 именем клиента, сертификат которого вы хотите отозвать:

    ./revoke-full client1

Вы можете обратиться к следующим ресурсам за дополнительной информацией по этой теме. Хотя они предоставляются в надежде, что они будут полезны, обратите внимание, что мы не можем ручаться за точность и своевременность размещенных извне материалов.

Найдите ответы, задайте вопросы и помогите другим.

Это руководство опубликовано под CC BY-ND 4.0 лицензия.

Новости