Личный Дабл Впн За 15 Минут

Ward

New member
Личный Дабл Впн За 15 Минут!
Итак, для начала нам понадобятся 2 сервера, физических или VPS, идеально для этих целей подойдет VPS с виртуализацией XEN или KVM (а вот OpenVZ контейнер должен быть с модулем tun), дистрибутив я предпочитаю Debian, поэтому в мануале все примеры я буду приводить под этот дистрибутив.Принцип работы правильного DoubleVPN слудующий:Клиент коннектится к первому серверу, а его трафик маршрутизируется на второй сервер. Второй сервер не знает IP клиента, а интернет провайдер не знает IP основного VPN сервера, через который заходили на ресурс.Для наших целей отлично подойдут серваки в недружественных друг для друга странах вроде России и Украины, США и Ирана и тд
Подготовительный этап.Имеем 2 сервера, 1ый сервер = промежуточный, 2ой сервер = конечный.Подключаемся к обоим серверам через PuTTY и включаем на обоих форвардинг:

echo 1 /proc/sys/net/ipv4/ip_forward
Теперь пропишем его в /etc/sysctl.conf, чтобы включался после перезагрузки серверов:
net.ipv4.ip_forward=1
Готово, теперь обновим списки репозиториев и установим OpenVPN:
apt-get updateapt-get install openvpn -y
Далее сгенерим сертификаты для клиента и сервера (эту процедуру нужно проделать на обоих серверах), есть для этих целей пакет easy-rsa:
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0
редактируем скрипт vars:
nano vars
и комментируем следующие строки (в самом конце):
#export KEY_EMAIL=""#export #export KEY_CN=changeme#export KEY_NAME=changeme#export KEY_OU=changeme#export PKCS11_MODULE_PATH=changeme#export PKCS11_PIN=1234
Готово, теперь запускаем этот скрипт:
. ./vars
И генерим сертификаты по порядку, отвечая на все вопросы по умолчанию (Enter):
./build-ca./build-key-server server./build-key client1./build-dh
Теперь копируем папку keys в /etc/openvpn, для удобства:
cp -r keys /etc/openvpn | rm -rf keys | cd /etc/openvpn
Приступаем к настройке конфига на сервере 1:создаем конфиг сервера:
nano server.conf
со следующим содержанием:
mode serverdaemonport 443proto tcpdev tun0ca keys/ca.crtcert keys/server.crtkey keys/server.keydh keys/dh1024.pemtls-serverserver 10.8.0.0 255.255.255.0push "redirect-gateway def1"ifconfig-pool-persist ipp.txtcipher AES-256-CBCkeepalive 10 120comp-lzopersist-keypersist-tunverb 0log /dev/null
Серверный конфиг готов, теперь принимаемся за настройку клиентского конфига на сервере 1.Перенесем с сервера 2 клиентские сертификаты и положим их в папку /etc/openvpn/clientca.crt, client1.crt, client1.keyТеперь создадим сам клиентский конфиг:
nano client.confclientdev tun1proto tcp-clientremote IP_SERVER2 443resolv-retry infinitens-cert-type serverca client/ca.crtcert client /client1.crtkey client /client1.keypersist-keypersist-tuncipher AES-256-CBCnobindverb 0log /dev/nullcomp-lzoreneg-sec 0keepalive 10 120route-nopullup /sbin/ip rule add from 10.8.0.0/24 lookup double pref 20000 | /sbin/ip route add default dev tun0 table doubledown /sbin/ip rule del from 10.8.0.0/24script-security 3 system
Создаем таблицу маршрутизации:
echo "1 double" /etc/iproute2/rt_tables
Создаем правило iptables (tun1 - интерфейс клиента):
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
Запускаем
service openvpn start
Готово! Самое сложное позади, теперь принимаемся за настройку сервера 2:Создаем конфиг со следующим содержанием:
nano /etc/openvpn/server.confmode serverdaemonport 443proto tcpdev tun0ca keys/ca.crtcert keys/server.crtkey keys/server.keydh keys/dh1024.pemtls-serverserver 10.0.8.0 255.255.255.0push "redirect-gateway def1"ifconfig-pool-persist ipp.txtcipher AES-256-CBCkeepalive 10 120comp-lzopersist-keypersist-tunverb 0log /dev/null
И прописываем правило iptables:
iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADE
И запускаем
service openvpn start
Чтобы правило iptables запускалось автоматом после ребута, сохраним его в файле:
iptables-save /etc/iptables
И пропишем в настройках сетевого интерфейса /etc/network/interface:
nano /etc/network/interfacesiface eth0 inet staticaddress 192.168.0.1netmask 255.255.255.0up /sbin/iptables-restore < /etc/iptables
Теперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPNСоздаем клиентский конфиг, под Windows:
clientdev tunproto tcpremote SERVER_1 443resolv-retry infinitens-cert-type serverca ca.crtcert client1.crtkey client1.keypersist-keypersist-tuncipher AES-256-CBCroute-method exenobindverb 3mssfixcomp-lzoreneg-sec 0Под *nix:nano double.confclientdev tunproto tcpremote SERVER_1 443resolv-retry infinitens-cert-type serverca ca.crtcert client1.crtkey client1.keypersist-keypersist-tuncipher AES-256-CBCnobindverb 3comp-lzoreneg-sec 0
На этом все, всем удачи в настройке!
 
Яндекс.Метрика
Сверху