วิธีตั้งค่าเซิร์ฟเวอร์ OpenVPN บน Ubuntu 20.04

สุดยอดคู่มือการตั้งค่าเซิร์ฟเวอร์ OpenVPN ที่ปลอดภัยบน Ubuntu 20.04

เครือข่ายส่วนตัวเสมือน (VPN) ช่วยให้คุณเชื่อมต่อกับเครือข่ายส่วนตัวระยะไกลได้อย่างปลอดภัยและเป็นส่วนตัว เช่น เครือข่ายสำนักงานของคุณ หรืออินเทอร์เน็ตในลักษณะที่เหมือนกับว่าคุณเชื่อมต่อโดยตรงกับเครือข่ายส่วนตัว

VPN ทำงานในสถาปัตยกรรมไคลเอนต์เซิร์ฟเวอร์ เซิร์ฟเวอร์ VPN ถูกปรับใช้บนเครื่องและสามารถเข้าถึงได้โดยสาธารณะทางอินเทอร์เน็ต สามารถกำหนดค่าเซิร์ฟเวอร์ VPN เพื่ออนุญาตให้เชื่อมต่อกับ LAN ส่วนตัว เช่น เครือข่ายสำนักงาน หรืออนุญาตการเชื่อมต่ออินเทอร์เน็ต ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ VPN โดยใช้ไคลเอนต์ VPN บนเครื่องของเขา การสื่อสารระหว่างเซิร์ฟเวอร์ VPN และไคลเอนต์เกิดขึ้นโดยใช้โปรโตคอลทันเนลที่ปลอดภัย สำหรับอินเทอร์เน็ตดูเหมือนว่าปลายทางของการรับส่งข้อมูลคือเซิร์ฟเวอร์ VPN อย่างไรก็ตาม ทราฟฟิกส่งผ่านไปยังไคลเอนต์ผ่านเซิร์ฟเวอร์

VPN มีประโยชน์หลายอย่างในชีวิตประจำวัน เช่น การเชื่อมต่อกับเครือข่าย Wifi สาธารณะอย่างปลอดภัย ซึ่งมักจะถูกบุกรุกหรือเลี่ยงการจำกัดทางภูมิศาสตร์ในบางเว็บไซต์โดยเชื่อมต่อกับ VPN ในประเทศที่เว็บไซต์อนุญาต

OpenVPN เป็นการใช้งาน VPN ที่ใช้กันอย่างแพร่หลาย ซึ่งช่วยให้กำหนดค่าและตัวเลือกได้หลากหลาย ใช้โปรโตคอล Secure Sockets Layer (SSL) สำหรับการเข้ารหัสข้อมูลและคีย์ที่แชร์ล่วงหน้า ชื่อผู้ใช้/รหัสผ่าน หรือใบรับรองสำหรับการรับรองความถูกต้องของไคลเอ็นต์ VPN ในบทความนี้ เราจะมาดูวิธีตั้งค่าเซิร์ฟเวอร์ VPN และไคลเอนต์ VPN บน Ubuntu 20.04

การติดตั้ง

OpenVPN มีอยู่ในที่เก็บอย่างเป็นทางการของ Ubuntu ในแพ็คเกจ openvpn. แพ็คเกจนี้ติดตั้งทั้งเซิร์ฟเวอร์ OpenVPN และไคลเอนต์

sudo apt ติดตั้ง openvpn

ดังที่ได้กล่าวไว้ก่อนหน้านี้ OpenVPN ใช้ใบรับรอง SSL เพื่อเข้ารหัสข้อมูลระหว่างเซิร์ฟเวอร์และไคลเอนต์ เราจำเป็นต้องตั้งค่าผู้ออกใบรับรอง (CA) ของเราเองเพื่อออกใบรับรองสำหรับ VPN โปรดทราบว่าสิ่งนี้ควรตั้งค่าบนเครื่องอื่นที่ไม่ใช่เครื่องที่ตั้งค่า OpenVPN; เหตุผลก็คือหากอยู่บนเซิร์ฟเวอร์เดียวกันและหากถูกบุกรุก ผู้โจมตีจะสามารถเข้าถึงคีย์ส่วนตัวและโจมตีการเชื่อมต่อ VPN ได้

เราจะใช้เครื่องมือที่เรียกว่า 'Easy-RSA' เพื่อตั้งค่าผู้ออกใบรับรอง ในการติดตั้ง ให้เรียกใช้สิ่งต่อไปนี้บนเครื่อง CA, เครื่องเซิร์ฟเวอร์ OpenVPN และเครื่องไคลเอนต์ เนื่องจากจำเป็นต้องมีการกำหนดค่าในทั้งสามเครื่องนี้เพื่อตั้งค่า CA

sudo apt ติดตั้ง easy-rsa

ในตอนนี้ เราจะกำหนดค่าผู้ออกใบรับรองในเครื่อง CA ก่อน และดำเนินการขั้นตอนการกำหนดค่าที่จำเป็นบางอย่างสำหรับสิ่งเดียวกันบนเครื่องเซิร์ฟเวอร์ Open VPN

การตั้งค่าผู้ออกใบรับรอง

การตั้งค่าเริ่มต้นบนเครื่อง CA

ตอนนี้แพ็คเกจนี้ติดตั้งคำสั่งที่เรียกว่า make-cadir ซึ่งใช้ในการสร้างโฟลเดอร์สำหรับการกำหนดค่าผู้ออกใบรับรอง มาสร้างโฟลเดอร์โดยใช้สิ่งนี้และเข้าสู่โฟลเดอร์

make-cadir cert_authority && cd cert_authority

เปิดไฟล์ชื่อ vars สร้างขึ้นในไดเร็กทอรีนี้ ไฟล์นี้มีตัวแปรการกำหนดค่าบางอย่างที่เราจำเป็นต้องแก้ไข ค่าที่ต้องแก้ไขอยู่ในบรรทัดที่ 91-96 หลังข้อคิดเห็นเกี่ยวกับ สาขาองค์กร ซึ่งอธิบายฟิลด์เหล่านี้ ยกเลิกการใส่เครื่องหมายบรรทัดและเติมค่าที่เหมาะสมแทนค่าตัวอย่าง

บันทึกและออกจากไฟล์. หากคุณกำลังใช้โปรแกรมแก้ไข vim ให้กด เอสค, พิมพ์ :wq แล้วกด เข้า เพื่อบันทึกและออก

ต่อไปเราจะเรียกใช้ easyrsa โปรแกรมในไดเร็กทอรีเพื่อตั้งค่าโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) ซึ่งจะใช้ในการสร้างคีย์สาธารณะและใบรับรอง

./easyrsa init-pki

ขั้นตอนต่อไปจะสร้างคีย์ CA และใบรับรอง เมื่อคำสั่งพร้อมท์ให้ใส่รหัสผ่าน ให้ป้อนรหัสผ่านสำหรับคีย์ CA นอกจากนี้ ให้ป้อนชื่อสามัญเมื่อได้รับแจ้ง หากคุณเว้นว่างไว้ ระบบจะใช้ชื่อเริ่มต้น Easy-RSA CA

./easyrsa build-ca

ดังที่เราเห็นจากผลลัพธ์ ใบรับรองและคีย์ได้ถูกสร้างขึ้น คีย์นี้จะใช้ในการลงนามในใบรับรองไคลเอ็นต์และเซิร์ฟเวอร์ ดังนั้นจึงไม่ควรแตะต้อง/แก้ไข

ตอนนี้ เรามีการตั้งค่า PKI ขั้นตอนต่อไปคือการสร้างคีย์เซิร์ฟเวอร์และใบรับรองบนเครื่องที่เราจะใช้เป็นเซิร์ฟเวอร์ OpenVPN ใบรับรองนี้จะถูกลงนามโดยเครื่อง CA ในภายหลัง

การสร้างรหัสเซิร์ฟเวอร์และใบรับรองบนเครื่องเซิร์ฟเวอร์

เราได้ติดตั้ง Easy RSA บนเครื่องเซิร์ฟเวอร์แล้ว ตอนนี้ ดำเนินการสามขั้นตอนบนเครื่องเซิร์ฟเวอร์ ซึ่งเราดำเนินการบนเครื่อง CA ก่อนหน้านี้ กล่าวคือ การสร้างไดเร็กทอรี CA โดยใช้ make-cadir และเข้าไปข้างในแก้ไขตัวแปรใน vars ไฟล์และสร้าง PKI โดยใช้ ./easyrsa init-pki สั่งการ.

ต่อไป เราต้องเรียกใช้คำสั่งเพื่อสร้างคำขอใบรับรองเซิร์ฟเวอร์และคีย์

./easyrsa gen-req เซิร์ฟเวอร์ nopass

โปรดทราบว่าเราผ่านตัวเลือก nopass เพื่อไม่ให้คำสั่งให้เราป้อนรหัสผ่านสำหรับคีย์เซิร์ฟเวอร์ ระบบจะยังคงถามชื่อทั่วไปสำหรับเซิร์ฟเวอร์ ซึ่งคุณสามารถป้อนอะไรก็ได้ หรือเว้นว่างไว้สำหรับชื่อเริ่มต้น (เซิร์ฟเวอร์) ที่จะใช้

ย้ายไฟล์คีย์ที่สร้างขึ้นภายใน /etc/openvpn ไดเร็กทอรี

sudo mv pki/private/server.key /etc/openvpn

ส่งคำขอใบรับรองไปยังเครื่อง CA เราจะใช้คำสั่ง scp เพื่อจุดประสงค์นี้.

scp pki/reqs/server.req user@CA_MACHINE_HOSTNAME:/directory

ในภาพหน้าจอด้านบน โฮสต์ 45.79.125.41 คือเครื่อง CA เราได้คัดลอกใบรับรองในไดเร็กทอรี /root

ขณะนี้ ใบรับรองของเซิร์ฟเวอร์ได้ถูกคัดลอกไปยังเครื่อง CA แล้ว ขั้นตอนต่อไปคือการกลับไปที่เครื่อง CA และลงนามในใบรับรองนี้

การลงนามใบรับรองเซิร์ฟเวอร์ใน CA

ขั้นแรก ให้ตรวจสอบว่าได้คัดลอกไฟล์คำขอใบรับรองจากเซิร์ฟเวอร์ในเครื่อง CA แล้วหรือยัง ไปที่ไดเร็กทอรีที่เราคัดลอกไฟล์ (/root ในตัวอย่างของฉัน) และเรียกใช้ ลส.

:~# cd /root && ls cert_authority server.req

อย่างที่เราเห็นไฟล์ server.req มีอยู่ ถัดไป ไปที่ไดเร็กทอรี CA และนำเข้าคำขอนี้

cd cert_authority ./easyrsa import-req /root/server.req เซิร์ฟเวอร์

หากต้องการลงนามในคำขอนี้ ให้รันคำสั่งต่อไปนี้

./easyrsa sign-req เซิร์ฟเวอร์เซิร์ฟเวอร์

อาร์กิวเมนต์แรกคือประเภทของคำขอ กล่าวคือ เซิร์ฟเวอร์, และอาร์กิวเมนต์ที่สองคือชื่อทั่วไปของเครื่องเซิร์ฟเวอร์ ซึ่งก่อนหน้านี้เราใช้ค่าเริ่มต้น กล่าวคือ เซิร์ฟเวอร์

ใส่วลี ใช่, และรหัสผ่านสำหรับคีย์ CA เมื่อได้รับแจ้ง

ตอนนี้ เราสามารถลบไฟล์คำขอใบรับรองและคัดลอกใบรับรองที่สร้างขึ้นสำหรับเซิร์ฟเวอร์ รวมถึงใบรับรองสาธารณะของ CA กลับไปที่เครื่องเซิร์ฟเวอร์

rm /root/server.req scp pki/issued/server.crt [email protected]:/root scp pki/ca.crt [email protected]:/root

ต่อไป เราต้องดำเนินการอีกสองสามขั้นตอนเพื่อให้แน่ใจว่าการเชื่อมต่อ VPN นั้นปลอดภัย

การสร้างพารามิเตอร์ DH

การแลกเปลี่ยนคีย์ DH (Diffie-Hellman) เป็นอัลกอริทึมเพื่อให้แน่ใจว่ามีการแลกเปลี่ยนคีย์เข้ารหัสลับอย่างปลอดภัยผ่านช่องทางที่ไม่ปลอดภัย ก่อนอื่น ให้ย้ายใบรับรองที่ได้รับและใบรับรองสาธารณะของ CA ไปที่ /etc/openvpn.

mv /root/ca.crt /root/server.crt /etc/openvpn

ไปที่โฟลเดอร์ CA บนเครื่องเซิร์ฟเวอร์และเรียกใช้คำสั่งต่อไปนี้เพื่อสร้างพารามิเตอร์ DH อาจใช้เวลานานในการสร้าง

./easyrsa gen-dh

ตอนนี้ ย้ายไฟล์ที่สร้างไปที่ /etc/openvpn.

mv /root/cert_authority/pki/dh.pem /etc/openvpn

กำลังสร้างคีย์ TA

OpenVPN ใช้มาตรการรักษาความปลอดภัยเพิ่มเติมอื่นโดยใช้คีย์การตรวจสอบสิทธิ์ TLS ในการสร้างคีย์การตรวจสอบสิทธิ์ TLS ให้เรียกใช้:

openvpn --genkey --secret tls_auth.key

และย้ายกุญแจไปที่ /etc/openvpn.

mv tls_auth.key /etc/openvpn

การกำหนดค่าคีย์เซิร์ฟเวอร์และการตั้งค่าผู้ออกใบรับรองเสร็จสิ้นแล้ว ให้เราย้ายไปที่การกำหนดค่าจริงของเซิร์ฟเวอร์ VPN ทันที

การกำหนดค่าเซิร์ฟเวอร์ OpenVPN

ไฟล์การกำหนดค่าสำหรับเซิร์ฟเวอร์ OpenVPN ไม่ได้ถูกสร้างขึ้นโดยอัตโนมัติ แต่เราสามารถใช้ไฟล์การกำหนดค่าเทมเพลตจาก openvpn บรรจุุภัณฑ์.

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz

เปิดไฟล์โดยใช้ vim หรือโปรแกรมแก้ไขที่คุณเลือก

cd /etc/openvpn vim server.conf

เราต้องป้อนชื่อทั่วไปของคีย์และใบรับรองที่เราสร้างไว้ก่อนหน้านี้ ไปที่บรรทัดที่ 78. เนื่องจากเราใช้ชื่อเริ่มต้นทั้งหมด เราจึงไม่เปลี่ยนแปลง จากนั้นตรวจสอบชื่อไฟล์พารามิเตอร์ DH ในบรรทัดที่ 85 เราใช้ชื่อ dh.pem แล้ว เรามาเปลี่ยนกัน

ต่อไป มาปรับเปลี่ยนสิทธิ์สำหรับเซิร์ฟเวอร์ OpenVPN ไปที่บรรทัด 274 และ 275 และลบนำหน้า ; เพื่อยกเลิกความคิดเห็น

ในทำนองเดียวกันไปที่บรรทัด 192 และลบอัฒภาค คำสั่งนี้ช่วยให้ทราฟฟิกของไคลเอ็นต์ทั้งหมดสามารถผ่าน VPN ได้

บันทึกและออกจากไฟล์.

เปลี่ยนความเป็นเจ้าของโฟลเดอร์ /etc/openvpn เป็น root

sudo chown -R root:root /etc/openvpn

การตั้งค่าเครือข่ายและไฟร์วอลล์

เราจำเป็นต้องอนุญาตการส่งต่อ IP บนเซิร์ฟเวอร์เพื่อให้สามารถส่งต่อแพ็กเก็ตจากและไปยังไคลเอนต์ VPN Uncomment บรรทัดที่ 28 บน /etc/sysctl.conf:

บันทึกและออกจากไฟล์.

เริ่มต้นใหม่ systemctl เพื่อให้การเปลี่ยนแปลงเหล่านี้เกิดขึ้น

sudo sysctl -p

เราจำเป็นต้องตั้งค่า Network Address Translation (NAT) บนเซิร์ฟเวอร์โดยใช้ไฟร์วอลล์ UFW เพื่อให้ไคลเอนต์ VPN เข้าถึงอินเทอร์เน็ตโดยใช้ที่อยู่ IP ของเซิร์ฟเวอร์ VPN อันดับแรก ให้เปิดใช้งานการส่งต่อแพ็กเก็ตในการกำหนดค่าไฟร์วอลล์ เปิด /etc/default/ufw และเปลี่ยนตัวแปรในบรรทัดที่ 19 เป็น ACCEPT

บันทึกและออกจากไฟล์.

ตอนนี้เพิ่มกฎต่อไปนี้ในไฟล์ /etc/ufw/before.rules ก่อน กรอง บรรทัดในไฟล์.

*nat :POSTROUTING ยอมรับ [0:0] -A POSTROUTING -s 10.8.0.0/8 -o -j MASQUERADE COMMIT

ป้อนอินเทอร์เฟซเครือข่ายของคุณแทน . คุณสามารถดูอินเทอร์เฟซเครือข่ายของคุณด้วยคำสั่ง ifconfig.

อนุญาตการรับส่งข้อมูลสำหรับบริการ OpenVPN บนไฟร์วอลล์และอนุญาตพอร์ต 1194

sudo ufw อนุญาต openvpn && sudo ufw อนุญาต 1194

โหลดบริการไฟร์วอลล์ซ้ำ

sudo ufw โหลดซ้ำ

ตอนนี้เราสามารถรีสตาร์ท daemon เซิร์ฟเวอร์ Open VPN ได้โดยเรียกใช้:

บริการ sudo openvpn รีสตาร์ท

เปิดใช้งานเพื่อเริ่มต้นในเวลาบูตโดยเรียกใช้:

sudo systemctl เปิดใช้งาน openvpn

เซิร์ฟเวอร์ OpenVPN ได้รับการกำหนดค่าและเริ่มทำงานแล้ว ไปต่อกันที่คำขอใบรับรองไคลเอ็นต์และการสร้างคีย์และการกำหนดค่าอื่นๆ

การกำหนดค่าไคลเอนต์ OpenVPN

เราจำเป็นต้องสร้างคำขอคีย์และใบรับรองสำหรับลูกค้า ขั้นตอนการทำเช่นนี้เหมือนกับขั้นตอนสำหรับเซิร์ฟเวอร์

แม้ว่าจะสามารถสร้างคีย์ไคลเอ็นต์และคำขอใบรับรองบนเครื่องไคลเอ็นต์แล้วโอนไปยังเครื่อง CA ได้ ขอแนะนำให้สร้างบนเครื่องเซิร์ฟเวอร์ ข้อดีของการทำเช่นนี้บนเซิร์ฟเวอร์คือ คุณสามารถสร้างสคริปต์สำหรับดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดบนเซิร์ฟเวอร์ ซึ่งทำให้ไคลเอ็นต์ใหม่เข้าร่วม VPN ได้ง่ายขึ้น

ไปที่โฟลเดอร์ CA บนเซิร์ฟเวอร์และเรียกใช้สิ่งต่อไปนี้:

cd ~/cert_authority ./easyrsa gen-req ไคลเอนต์ nopass

ในทำนองเดียวกันกับที่ทำก่อนหน้านี้ ให้ป้อนชื่อสามัญเมื่อได้รับแจ้ง หรือเว้นว่างไว้เพื่อใช้ชื่อทั่วไปที่เป็นค่าเริ่มต้น กล่าวคือ ลูกค้า.

ตอนนี้มาคัดลอกคำขอใบรับรองไคลเอ็นต์ที่สร้างขึ้นไปยังเครื่อง CA

scp pki/reqs/client.req [email protected]:/root

มานำเข้าคำขอนี้ในเครื่อง CA:

./easyrsa import-req /root/client.req client

และมาลงชื่อกันเถอะ:

./easyrsa sign-req ไคลเอนต์ไคลเอนต์

เข้าใช่ เมื่อได้รับแจ้งให้ดำเนินการต่อ ป้อนรหัสผ่านสำหรับคีย์ CA เมื่อถูกถาม

ตอนนี้เราสามารถลบไฟล์ที่ร้องขอสำหรับไคลเอนต์และคัดลอกคำขอกลับไปที่เครื่องเซิร์ฟเวอร์ VPN

rm /root/client.req scp pki/issued/client.crt [email protected]:/root

มาสร้างโฟลเดอร์ชื่อ .กันเถอะ ลูกค้า เพื่อเก็บไฟล์ทั้งหมดที่เกี่ยวข้องกับไคลเอนต์บนเซิร์ฟเวอร์ VPN เราจะย้ายคีย์ไคลเอ็นต์และใบรับรองไปยังโฟลเดอร์นี้

mkdir ~/client sudo mv ~/client.crt ~/cert_authority/pki/private/client.key ~/client

ตอนนี้ มาสร้างไฟล์การกำหนดค่าจากเทมเพลตที่มีอยู่ คล้ายกับที่เราสร้างไฟล์การกำหนดค่าเซิร์ฟเวอร์

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client

เปิดไฟล์ client.conf. ในบรรทัดที่ 42 ให้ป้อนชื่อโฮสต์หรือที่อยู่ IP ของเครื่องเซิร์ฟเวอร์ของคุณแทน my-server-1.

Uncomment บรรทัดที่ 61 และ 62 โดยการลบเซมิโคลอนนำหน้าเพื่อดาวน์เกรดสิทธิ์สำหรับไฟล์

ถัดไป ให้ใส่ความคิดเห็นในบรรทัดที่ 88-90 และบรรทัดที่ 108 เหตุผลก็คือเราต้องการเพิ่มเนื้อหาของไฟล์ดังกล่าวด้วยตนเองแทนที่จะใช้ตำแหน่งไฟล์ จุดประสงค์ของการทำเช่นนี้คือไฟล์การกำหนดค่าไคลเอ็นต์จะถูกโอนไปยังไคลเอ็นต์ในภายหลัง โดยที่จริงแล้วเราจะไม่มีคีย์ไคลเอ็นต์และไฟล์ใบรับรอง ดังนั้นเราจึงคัดลอกเนื้อหาที่อยู่ในไฟล์กำหนดค่าเอง

ผนวกสิ่งต่อไปนี้เข้ากับไฟล์การกำหนดค่าไคลเอนต์ ป้อนเนื้อหาไฟล์ของไฟล์ที่เกี่ยวข้องภายในแท็กที่กำหนด

 # วางเนื้อหาของไฟล์ ca.crt ที่นี่ # วางเนื้อหาของไฟล์ client.crt ที่นี่ # วางเนื้อหาของไฟล์ client.key ที่นี่ ทิศทางคีย์ 1 # วางเนื้อหาของไฟล์ tls_auth.key ที่นี่ 

บันทึกและออกจากไฟล์. เปลี่ยนชื่อไฟล์นี้จาก client.conf ถึง client.ovpnเนื่องจากอันหลังเป็นส่วนขยายที่จำเป็นสำหรับไฟล์การกำหนดค่าซึ่งสามารถนำเข้าเป็นการกำหนดค่าเครือข่ายได้

ตอนนี้โอนไฟล์ client.ovpn ให้กับลูกค้า เช่น เครื่องในเครื่อง

วิ่ง scp บนเครื่องไคลเอนต์ของคุณเพื่อถ่ายโอนไฟล์จากเครื่องเซิร์ฟเวอร์ไปยังเครื่องท้องถิ่นของคุณ

scp user@server_ip:/path_to_file local_destination_path

สุดท้าย เราจำเป็นต้องใช้ไฟล์กำหนดค่านี้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN ซึ่งสามารถทำได้ทั้งผ่านทางบรรทัดคำสั่งและ GUI

ในการเริ่มไคลเอนต์ VPN จากบรรทัดคำสั่ง ให้รัน:

sudo openvpn --config client.ovpn

และนั่นเป็นคำสั่งเดียวที่คุณต้องเรียกใช้เพื่อเริ่มไคลเอนต์ VPN

ในการเริ่มต้นไคลเอนต์ VPN ผ่าน GUI ให้ทำตามขั้นตอนต่อไปนี้

ไปที่ การตั้งค่า » เครือข่าย บนเครื่องไคลเอนต์ของคุณ

คลิกที่ + ปุ่มในส่วน VPN และเลือก 'นำเข้าจากไฟล์…' จากตัวเลือก

คลิกที่ 'เพิ่ม' เพื่อเริ่มใช้ VPN

โปรดทราบว่าภายใต้ "เกตเวย์" จะเป็นที่อยู่ IP ของเซิร์ฟเวอร์

สุดท้าย สลับปุ่ม 'client VPN' เพื่อเปิดใช้งาน VPN บนเครื่อง

อาจใช้เวลาสองสามวินาทีในการสร้างการเชื่อมต่อ VPN โลโก้ความคืบหน้าใหม่สำหรับ VPN จะปรากฏที่มุมซ้ายบนของหน้าจอขณะกำลังตั้งค่า และจะเปลี่ยนเป็นโลโก้ VPN เมื่อตั้งค่าแล้ว

ในการตรวจสอบว่า VPN ทำงานอย่างถูกต้องหรือไม่ ให้เรียกใช้สิ่งต่อไปนี้:

curl //ipinfo.io/ip

ควรส่งคืนที่อยู่ IP ของเครื่องเซิร์ฟเวอร์ของคุณ หรือคุณสามารถตรวจสอบที่อยู่ IP ของคุณได้โดยค้นหา "My IP" บน Google ควรแสดงที่อยู่ IP ของเซิร์ฟเวอร์ VPN หากการตั้งค่า VPN ของเราทำงานอย่างถูกต้อง

บทสรุป

ในบทความนี้ เราได้เห็นวิธีกำหนดค่าเซิร์ฟเวอร์ OpenVPN ผู้ออกใบรับรอง และไคลเอนต์ OpenVPN ในการเพิ่มไคลเอ็นต์ให้กับ VPN ตอนนี้เราต้องทำตามขั้นตอนเพื่อสร้างและลงนามในใบรับรองสำหรับไคลเอ็นต์และใช้ไฟล์การกำหนดค่าเดียวกันที่สร้างขึ้นที่นี่ โดยมีการเปลี่ยนแปลงเฉพาะคีย์ไคลเอ็นต์และค่าใบรับรอง

ในกรณีของการเชื่อมต่ออินเทอร์เน็ตที่ช้ากว่า เป็นไปได้ว่าหาก UDP ถูกใช้เพื่อการสื่อสาร จะเกิดการสูญหายของแพ็กเก็ตจำนวนมาก ผู้ใช้สามารถเปลี่ยนไปใช้ TCP ได้โดยยกเลิกการแสดงข้อคิดเห็นในบรรทัด โปรโต tcp และแสดงความคิดเห็นในไลน์ โปรโต udp ในไฟล์การกำหนดค่าเซิร์ฟเวอร์

นอกจากนี้ ในกรณีที่มีข้อผิดพลาดอื่นๆ คุณสามารถตั้งค่าระดับการบันทึกด้วยปุ่ม กริยา คำสั่งในไฟล์การกำหนดค่าเซิร์ฟเวอร์และไคลเอนต์ คุณสามารถป้อนค่าระหว่าง 0 ถึง 9 ยิ่งค่าของคำสั่งนี้สูงขึ้น บันทึกก็จะละเอียดมากขึ้น