Els servidors VPN s'utilitzen principalment al món empresarial: els empleats els poden utilitzar per accedir de manera segura a la xarxa de l'empresa mentre estan a la carretera o des de casa. No obstant això, un servidor VPN també pot ser útil quan esteu de viatge i voleu accedir a Internet de manera més segura o si voleu accedir als fitxers de la vostra xarxa domèstica.
Consell 01: Protocols VPN
Hi ha molts serveis VPN i alguns fins i tot els podeu utilitzar de manera gratuïta sense massa restriccions, com ara ProtonVPN. Mitjançant el programari client del vostre dispositiu mòbil o ordinador, us connecteu a un dels servidors VPN que s'ofereixen, després del qual podeu accedir a Internet mitjançant aquest servidor.
L'enfocament d'aquest article és més ambiciós: configurarem el nostre propi servidor VPN a la nostra xarxa domèstica. VPN significa xarxa privada virtual (en holandès també anomenada xarxa privada virtual) i això vol dir que connecteu xarxes que estan separades físicament entre elles. Aquesta connexió normalment s'executa a través d'Internet i aquest no és precisament l'entorn més segur. És per això que tot el trànsit de dades es xifra mitjançant una connexió VPN d'aquest tipus: es crea un túnel virtual entre les dues xarxes, per dir-ho.
Hi ha disponibles diversos protocols VPN, inclosos pptp, sstp, ikev2, l2tp/ipsec, OpenVPN i WireGuard. Aquest últim és prometedor, però encara en desenvolupament i encara no té un gran suport. Escollim OpenVPN aquí perquè és de codi obert, té un xifratge fort i està disponible a gairebé totes les plataformes.
De moment, OpenVPN encara es considera el millor protocol VPNencaminador
De fet, el vostre encaminador és el millor lloc per configurar un servidor VPN a la vostra xarxa domèstica. Després de tot, tot el trànsit de dades dels llocs web que visiteu a la carretera passarà primer pel vostre servidor VPN. Si aquest és el vostre encaminador, aquest trànsit tornarà directament al vostre dispositiu mòbil. Si el vostre servidor VPN es troba en un NAS o un PC, el trànsit de dades primer ha d'anar des del vostre encaminador a aquest dispositiu i des d'allà de tornada al vostre encaminador. Un pas intermedi addicional, però a la pràctica no notareu gaire aquest retard.
Malauradament, molts encaminadors domèstics típics no tenen una opció integrada per configurar un servidor VPN. Si realment al vostre encaminador li falta un servei VPN, el microprogramari DD-WRT pot oferir una sortida. Navegueu aquí i introduïu el vostre model d'encaminador. Amb una mica de sort n'hi haurà sí a la columna Admet i podeu descarregar el fitxer de microprogramari per flashejar el vostre encaminador amb ell. Tingueu en compte que realitzeu una operació tan delicada sota el vostre propi risc! Podeu anar aquí per obtenir instruccions.
Consell 02: instal·lació en un NAS
Primer us mostrarem com instal·lar un servidor OpenVPN en un NAS. Els fabricants de NAS coneguts com QNAP i Synology ofereixen la seva pròpia aplicació per afegir un servidor VPN. Veurem com fer-ho en un Synology NAS amb una versió recent de DiskStation Manager (DSM). Feu una connexió amb la interfície web de DSM, per defecte l'adreça és :5000 o :5001.
Obre-ho Centre de paquets, uneix-te Tots els paquets buscant l'aplicació Servidor VPN i fes clic aquí instal · lar. Després de la instal·lació, feu clic a Obrir: el servidor pot gestionar alguns protocols vpn, enumerats PPTP, L2TP/IPSec i OpenVPN. En principi, fins i tot poden estar actius al mateix temps, però ens limitem al protocol OpenVPN. fer clic a OpenVPN i posa un xec al costat Activa el servidor OpenVPN. Establiu una adreça IP interna virtual per al vostre servidor vpn. De manera predeterminada, s'estableix en 10.8.0.1, el que significa que els clients VPN rebran en principi una adreça entre 10.8.0.1 i 10.8.0.254. Podeu triar entre un rang d'IP entre 10.0.0.1 i 10.255.255.1, entre 172.16.0.1 i 172.31.255.1 i entre 192.168.0.1 i 192.168.255.1. Només assegureu-vos que l'interval no es solapa amb les adreces IP que s'utilitzen actualment a la vostra xarxa local.
En alguns dispositius nas, teniu un servidor OpenVPN instal·lat aixíConsell 03: elecció del protocol
A la mateixa finestra de configuració, també especifiqueu el nombre màxim de connexions simultànies, així com el port i el protocol. Per defecte, el port 1194 i el protocol UDP i això normalment funciona bé. Si ja teniu un altre servei en funcionament en aquest port, per descomptat establireu un número de port diferent.
A més, també podeu triar tcp en comptes d'udp. Tcp té una correcció d'errors integrada i comprova que cada bit ha arribat correctament. Això proporciona més estabilitat de connexió, però és una mica més lent. Udp, en canvi, és un 'protocol sense estat' sense correcció d'errors, la qual cosa el fa més adequat per als serveis de streaming, on la pèrdua d'un nombre de bits sol ser menys greu.
El nostre consell: proveu primer l'UDP. Possiblement, podeu experimentar després i triar el port tcp 8080, o fins i tot el port https 443, perquè normalment és menys probable que siguin bloquejats per un tallafoc (empresa). Tingueu en compte que també heu de configurar el protocol escollit a la configuració de reenviament de ports (vegeu el consell 5).
Normalment podeu deixar sense tocar les altres opcions de la finestra de configuració. Confirmeu les vostres eleccions amb Aplicar.
Consell 04: exporteu la configuració
A la part inferior de la finestra trobareu el botó Exporta la configuració. Això exporta un fitxer zip que, quan es desempaqueta, produeix tant un certificat (.crt) com un perfil de configuració (.ovpn). Necessiteu el fitxer ovpn per als vostres clients OpenVPN (vegeu també els consells del 6 al 8). Obriu el fitxer ovpn amb el programa Bloc de notes. A la (tercera) línia, substituïu la indicació LA TEVA_IP_SERVIDOR a la YOUR_SERVER_IP remota 1194 per l'adreça IP externa del vostre encaminador i la designació 1194 pel port que heu definit a la finestra de configuració d'OpenVPN. Una manera ràpida d'esbrinar aquesta adreça IP externa és quan aneu de la vostra xarxa interna a un lloc com www.whatismyip.com (vegeu el quadre "Ddns"). Per cert, també podeu substituir aquesta adreça IP per un nom d'amfitrió, com ara el d'un servei ddns (vegeu el mateix quadre).
Una mica més enllà al fitxer ovpn veieu la línia #redirect-gateway def1. Aquí elimineu el hash, de manera que redirect-gateway def1. En principi, aquesta opció garanteix que tot el trànsit de xarxa s'encamina a través de la VPN. Si això causa problemes, podeu restaurar la línia original. Obteniu més informació sobre això (i altres problemes tècnics d'OpenVPN) aquí.
Deseu el fitxer editat amb la mateixa extensió.
ddns
Des de l'exterior, normalment accediu a la vostra xarxa domèstica mitjançant l'adreça IP pública del vostre encaminador. Trobeu aquesta adreça quan navegueu des de la vostra xarxa a un lloc com www.whatismyip.com. És probable que el vostre proveïdor hagi assignat dinàmicament aquesta adreça IP, de manera que no teniu cap garantia que aquesta adreça IP es mantingui sempre la mateixa. Això és molest si regularment voleu arribar a la vostra xarxa (i al vostre servidor OpenVPN) des de fora.
Un servei dns dinàmic (ddns) ofereix una possible sortida. Això garanteix que un nom de domini fix estigui enllaçat a aquesta adreça IP i tan aviat com l'adreça canviï, l'eina ddns associada (que s'executa localment en algun lloc de la vostra xarxa, com ara al vostre encaminador, nas o PC) anuncia la nova adreça. servei ddns, que actualitza l'enllaç immediatament. Un dels proveïdors ddns gratuïts més flexibles és Dynu.
Consell 05: reenviament de ports
Apareixerà un missatge que us indicarà que comproveu la configuració del tallafoc i el reenviament de ports per al port que heu definit (el valor per defecte és 1194 udp).
Començarem pel tallafoc. Se suposa que heu d'accedir al servidor OpenVPN mitjançant el port udp 1194 i, aleshores, heu d'assegurar-vos que el vostre tallafoc no bloqueja aquest port. Podeu trobar el tallafoc al vostre nas mitjançant Tauler de control / Seguretat / Pestanya Tallafoc. Quan el tallafoc està habilitat, comproveu-ho amb el botó Edita les regles que el port en qüestió no està bloquejat. Això també s'aplica al tallafoc del vostre encaminador, si està habilitat.
El concepte de reenviament de ports és més complex. Si voleu arribar al vostre servidor OpenVPN des de fora de la vostra xarxa interna, haureu d'utilitzar l'adreça IP pública del vostre encaminador. Quan feu una sol·licitud a través d'aquesta adreça IP per a una connexió OpenVPN amb el port udp 1194, el vostre encaminador ha de saber a quina màquina ha de reenviar la sol·licitud d'aquest trànsit de port i aquesta és en el nostre cas l'adreça IP interna del vostre nas.
Consulteu el manual del vostre encaminador per saber com configurar correctament el reenviament de ports o visiteu http://portforward.com/router per obtenir més instruccions.
En general, és així: inicieu sessió a la interfície web del vostre encaminador, cerqueu una (sub)secció com Reenviament de ports i afegiu una entrada amb la informació següent: nom de l'aplicació, adreça IP del nas, port intern, port extern i protocol. Per exemple, això podria ser: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Confirmeu els vostres canvis.
És possible que el vostre servidor OpenVPN requereixi un treball de tallafocs i encaminadorServidor OpenVPN separat
Si no teniu un NAS i el vostre encaminador tampoc és compatible amb OpenVPN, encara podeu configurar aquest servidor OpenVPN vosaltres mateixos en un ordinador amb Linux o Windows.
Aquest procediment és una mica complicat. Heu de passar per diversos passos i també a Windows això passa principalment des del símbol del sistema. Després d'instal·lar el programari del servidor OpenVPN (vegeu el consell 8), heu de crear un certificat CA, seguit de crear certificats per al servidor i els clients OpenVPN necessaris. També necessiteu els anomenats paràmetres DH (Diffie-Hellman), així com una clau TLS (seguretat de la capa de transport). Finalment, també heu de crear i modificar fitxers ovpn aquí, i assegurar-vos que el vostre servidor permet el trànsit necessari.
Mitjançant aquest enllaç trobareu un pla pas a pas per a Windows 10, per a Ubuntu mitjançant aquest enllaç.
Consell 06: perfil de client mòbil
Configurar un servidor OpenVPN és un primer pas, però després us heu de connectar al servidor des d'un o més clients VPN (com ara el vostre ordinador portàtil, telèfon o tauleta). Comencem connectant un client mòbil.
Tant per a iOS com per a Android, configurar una connexió és més fàcil amb una aplicació client OpenVPN si és gratuïta OpenVPN Connect. Podeu trobar aquesta aplicació a les botigues d'aplicacions oficials d'Android i Apple.
Prenguem Android com a exemple. Baixeu i instal·leu l'aplicació. Abans d'iniciar l'aplicació, assegureu-vos que el fitxer de perfil ovpn estigui al vostre dispositiu mòbil (vegeu el consell 4). Si cal, podeu fer-ho mitjançant un desviament mitjançant un servei com WeTransfer o un servei d'emmagatzematge al núvol com Dropbox o Google Drive. Començar OpenVPN Connect encès i tria Perfil OVPN. Confirmeu amb Permetre, consulteu el fitxer VPNconfig.ovpn recuperat i seleccioneu Importar. Si voleu afegir perfils addicionals després, només podeu fer-ho mitjançant el botó més.
Consell 07: connecteu el client
Doneu un nom adequat a la vostra connexió VPN i empleneu els detalls correctes nom d'usuari i contrasenya. Per descomptat, aquestes dades d'inici de sessió han de tenir accés al vostre servidor VPN, al Synology NAS on obriu Servidor VPN la categoria drets i col·loqueu un xec al costat dels usuaris previstos OpenVPN. Opcionalment, podeu optar per recordar la contrasenya, si ho considereu prou segur. Confirmeu amb Afegeix. S'ha afegit el perfil, toqueu-lo per iniciar la connexió.
L'aplicació pot queixar-se que el fitxer de perfil no té un certificat de client (té un certificat de servidor), ja que un Synology NAS no només el genera. És cert que és una mica menys segur perquè no verifica si és un client autoritzat, però necessiteu el nom d'usuari i la contrasenya per accedir-hi. Així que pots aquí Continua seleccionar. Si tot va bé, la connexió s'establirà al cap d'un temps. Ho noteu, entre altres coses, per la icona de la clau a la part superior de la pantalla d'inici.
Consell 08: client de Windows
Per a Windows, descarregueu l'instal·lador de Windows 10 des de la GUI d'OpenVPN, també hi ha una versió per a Windows 7 i 8 (.1). Instal·leu l'eina. Si també teniu previst instal·lar un servidor OpenVPN a Windows (vegeu el quadre "Servidor OpenVPN separat"), marqueu la casella durant la instal·lació. Scripts de gestió de certificats EasyRSA 2. També permet que s'instal·li un controlador TAP si es demana.
Després trobareu la icona OpenVPN GU al teu escriptori. Si no, inicieu el programa des de la carpeta d'instal·lació predeterminada C:\ProgramaFitxers\OpenVPN\bin. La instal·lació hauria d'eliminar la necessitat d'executar l'eina com a administrador. Si per algun motiu no va funcionar, feu clic amb el botó dret al fitxer del programa i trieu Executa com administrador.
Mostra al programa el camí cap al fitxer de perfil ovpn (vegeu el consell 4). Feu clic amb el botó dret a la icona OpenVPN GU a la safata del sistema de Windows i tria Importa el fitxeri, a continuació, seleccioneu el fitxer VPNConfig.ovpn. En aquest mateix menú, feu clic a Per connectar i introduïu les dades d'inici de sessió necessàries. A la finestra d'estat podeu seguir la configuració de la connexió VPN i també podeu llegir l'adreça IP assignada a la part inferior.
Si teniu problemes, feu clic al menú a Mostra el fitxer de registre. De manera predeterminada, el servei OpenVPN s'inicia juntament amb Windows: podeu organitzar-ho mitjançant Configuració, a General. Comproveu també que el vostre tallafoc no bloqueja la connexió.