Ward
Опытный user
- Регистрация
- 6 Апр 2016
- Сообщения
- 183
- Реакции
- 16
Личный Дабл Впн За 15 Минут!
Итак, для начала нам понадобятся 2 сервера, физических или VPS, идеально для этих целей подойдет VPS с виртуализацией XEN или KVM (а вот OpenVZ контейнер должен быть с модулем tun), дистрибутив я предпочитаю Debian, поэтому в мануале все примеры я буду приводить под этот дистрибутив.Принцип работы правильного DoubleVPN слудующий:Клиент коннектится к первому серверу, а его трафик маршрутизируется на второй сервер. Второй сервер не знает IP клиента, а интернет провайдер не знает IP основного VPN сервера, через который заходили на ресурс.Для наших целей отлично подойдут серваки в недружественных друг для друга странах вроде России и Украины, США и Ирана и тдПодготовительный этап.Имеем 2 сервера, 1ый сервер = промежуточный, 2ой сервер = конечный.Подключаемся к обоим серверам через PuTTY и включаем на обоих форвардинг:
echo 1 > /proc/sys/net/ipv4/ip_forwardТеперь пропишем его в /etc/sysctl.conf, чтобы включался после перезагрузки серверов:
net.ipv4.ip_forward=1Готово, теперь обновим списки репозиториев и установим OpenVPN:
apt-get updateapt-get install openvpn -yДалее сгенерим сертификаты для клиента и сервера (эту процедуру нужно проделать на обоих серверах), есть для этих целей пакет easy-rsa:
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0редактируем скрипт vars:
nano varsи комментируем следующие строки (в самом конце):
#export KEY_EMAIL="[email protected]"#export [email protected]#export KEY_CN=changeme#export KEY_NAME=changeme#export KEY_OU=changeme#export PKCS11_MODULE_PATH=changeme#export PKCS11_PIN=1234Готово, теперь запускаем этот скрипт:
. ./varsИ генерим сертификаты по порядку, отвечая на все вопросы по умолчанию (Enter):
./build-ca./build-key-server server./build-key client1./build-dhТеперь копируем папку keys в /etc/openvpn, для удобства:
cp -r keys /etc/openvpn | rm -rf keys | cd /etc/openvpnПриступаем к настройке конфига на сервере 1:создаем конфиг сервера:
nano server.confсо следующим содержанием:
mode serverdaemonport 443proto tcpdev tun0ca keys/ca.crtcert keys/server.crtkey keys/server.keydh keys/dh1024.pemtls-serverserver 10.8.0.0 255.255.255.0push "redirect-gateway def1"ifconfig-pool-persist ipp.txtcipher AES-256-CBCkeepalive 10 120comp-lzopersist-keypersist-tunverb 0log /dev/nullСерверный конфиг готов, теперь принимаемся за настройку клиентского конфига на сервере 1.Перенесем с сервера 2 клиентские сертификаты и положим их в папку /etc/openvpn/clientca.crt, client1.crt, client1.keyТеперь создадим сам клиентский конфиг:
nano client.confclientdev tun1proto tcp-clientremote IP_SERVER2 443resolv-retry infinitens-cert-type serverca client/ca.crtcert client /client1.crtkey client /client1.keypersist-keypersist-tuncipher AES-256-CBCnobindverb 0log /dev/nullcomp-lzoreneg-sec 0keepalive 10 120route-nopullup '/sbin/ip rule add from 10.8.0.0/24 lookup double pref 20000 | /sbin/ip route add default dev tun0 table double'down '/sbin/ip rule del from 10.8.0.0/24'script-security 3 systemСоздаем таблицу маршрутизации:
echo "1 double" >> /etc/iproute2/rt_tablesСоздаем правило iptables (tun1 - интерфейс клиента):
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADEЗапускаем
service openvpn startГотово! Самое сложное позади, теперь принимаемся за настройку сервера 2:Создаем конфиг со следующим содержанием:
nano /etc/openvpn/server.confmode serverdaemonport 443proto tcpdev tun0ca keys/ca.crtcert keys/server.crtkey keys/server.keydh keys/dh1024.pemtls-serverserver 10.0.8.0 255.255.255.0push "redirect-gateway def1"ifconfig-pool-persist ipp.txtcipher AES-256-CBCkeepalive 10 120comp-lzopersist-keypersist-tunverb 0log /dev/nullИ прописываем правило iptables:
iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADEИ запускаем
service openvpn startЧтобы правило iptables запускалось автоматом после ребута, сохраним его в файле:
iptables-save > /etc/iptablesИ пропишем в настройках сетевого интерфейса /etc/network/interface:
nano /etc/network/interfacesiface eth0 inet staticaddress 192.168.0.1netmask 255.255.255.0up /sbin/iptables-restore < /etc/iptablesТеперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPNСоздаем клиентский конфиг, под Windows:
Код:
clientdev tunproto tcpremote SERVER_1 443resolv-retry infinitens-cert-type serverca ca.crtcert client1.crtkey client1.keypersist-keypersist-tuncipher AES-256-CBCroute-method exenobindverb 3mssfixcomp-lzoreneg-sec 0Под *nix:nano double.confclientdev tunproto tcpremote SERVER_1 443resolv-retry infinitens-cert-type serverca ca.crtcert client1.crtkey client1.keypersist-keypersist-tuncipher AES-256-CBCnobindverb 3comp-lzoreneg-sec 0На этом все, всем удачи в настройке!
