Архив метки: openvpn

[РЕШЕНО] Auth-nocache – Warning в OpenVPN

При подключении через протокол openvpn, вы можете увидеть следующую строку в логах подключения VPN-клиента:

W: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Ничего критичного в этом конечно нет, подключение отработает и вы подключитесь к vpn. Это сообщение отображается для всех и в вашей системе нет ничего плохого. Читать

Настраиваем VPN на MikroTik — протоколы PPtP и PPPoE

MikroTik производят профессиональное сетевое оборудование с возможностью тонкой настройки. Поэтому для VPN-сервера или клиента маршрутизаторы этой фирмы подходят просто отлично.

Читать

Не подключается OpenVPN

OpenVPN — очень популярная программа для организации виртуальных сетей и VPN-серверов. Это очень удобно, так как вы можете объединить несколько компьютеров, находящихся в разных концах мира в одну виртуальную локальную сеть и для операционной системы всё будет выглядеть так, как будто эти компьютеры действительно находятся в одной локальной сети.

Но иногда сеть перестает работать или не получается её настроить. В этой статье мы разберём несколько причин, почему не подключается OpenVPN, с которыми лично сталкивался я и которые мне приходилось исправлять. Возможно, одна из них и привела к вашей поломке. Читать

Сравнение протоколов VPN: PPTP vs OpenVPN vs L2TP vs SSTP

Хотите использовать VPN? Если вы ищете поставщика VPN или настроили свой собственный VPN, вам нужно выбрать протокол. Некоторые поставщики VPN могут даже предложить вам выбор протоколов.

Это не последнее слово по любому из этих стандартов VPN или схем шифрования. Мы пытались сравнить все, чтобы вы могли понять стандарты, как они связаны друг с другом — и которые вы должны использовать.

PPTP

Не используйте PPTP. Протокол туннелирования «точка-точка» является распространенным протоколом, поскольку он был реализован в Windows в различных формах с Windows 95. PPTP имеет много известных проблем безопасности, и, скорее всего, NSA (и, вероятно, другие разведывательные агентства) расшифровывают эти якобы «безопасные», соединения. Это означает, что нападавшие и более репрессивные правительства будут иметь более простой способ скомпрометировать эти связи.

Да, PPTP распространен и прост в настройке. Клиенты PPTP встроены во многие платформы, включая Windows. Это единственное преимущество, и это не стоит. Время двигаться дальше.

Резюме: PPTP является старым и уязвимым, хотя он интегрирован в общие операционные системы и легко настраивается. Держись подальше.

OpenVPN

OpenVPN использует технологии с открытым исходным кодом, такие как библиотека шифрования OpenSSL и протокол TLS. Он может быть настроен для работы на любом порту, поэтому вы можете настроить сервер на работу через TCP-порт 443. Трафик OpenSSL VPN будет практически неотличим от стандартного трафика HTTPS, который возникает при подключении к защищенному веб-сайту. Это затрудняет полное блокирование.

Он очень настраиваемый и будет наиболее безопасным, если он настроен на использование шифрования AES вместо более слабого шифрования Blowfish. OpenVPN стал популярным стандартом. Мы не видели серьезных опасений, что любой (включая NSA) скомпрометировал соединения OpenVPN.

Поддержка OpenVPN не интегрирована в популярные настольные или мобильные операционные системы. Для подключения к сети OpenVPN требуется стороннее приложение — настольное приложение или мобильное приложение. Да, вы даже можете использовать мобильные приложения для подключения к сетям OpenVPN на iOS от Apple.

Резюме: OpenVPN является новым и безопасным, хотя вам потребуется установить стороннее приложение. Это тот, который вы, вероятно, должны использовать.

L2TP/IPsec

Протокол туннеля уровня 2 — это протокол VPN, который не предлагает никакого шифрования. Вот почему он обычно реализуется вместе с шифрованием IPsec. Поскольку он встроен в современные настольные операционные системы и мобильные устройства, его довольно легко реализовать. Но он использует порт UDP 500 — это означает, что он не может быть замаскирован на другом порту, например OpenVPN. Таким образом, намного проще блокировать и сложнее обойти брандмауэры.

Теоретически шифрование IPsec должно быть безопасным. Есть некоторые опасения, что NSA может ослабить стандарт, но никто точно не знает. В любом случае это медленнее, чем OpenVPN. Трафик должен быть преобразован в форму L2TP, а затем шифрование добавлено поверх IPsec. Это двухэтапный процесс.

Резюме: L2TP/IPsec теоретически безопасен, но есть некоторые проблемы. Его легко настроить, но проблема связана с брандмауэрами и не так эффективна, как OpenVPN. Придерживайтесь OpenVPN, если это возможно, но определенно используйте это через PPTP.

SSTP

Протокол туннелирования Secure Socket был введен в Windows Vista с пакетом обновления 1 (SP1). Это проприетарный протокол Microsoft и лучше всего поддерживается в Windows. Он может быть более стабильным в Windows, потому что он интегрирован в операционную систему, тогда как OpenVPN не является — это самое большое потенциальное преимущество. Некоторая поддержка для него доступна в других операционных системах, но она не так широко распространена.

Он может быть настроен на использование очень безопасного шифрования AES, что хорошо. Для пользователей Windows это, безусловно, лучше, чем PPTP, но, поскольку это проприетарный протокол, он не подлежит независимым аудитам, которым подвержен OpenVPN. Поскольку он использует TLS, такой как OpenVPN, он имеет схожие возможности обходить брандмауэры и должен работать лучше для этого, чем L2TP/IPsec или PPTP.

Резюме: это похоже на OpenVPN, но в основном только для Windows и не может быть проверено полностью. Тем не менее, это лучше использовать, чем PPTP. И, поскольку он может быть настроен на использование AES-шифрования, возможно, более надежный, чем L2TP/IPsec.

Заключение

Лучший вариант — OpenVPN. Если вам нужно использовать другой протокол для Windows, SSTP является идеальным выбором. Если доступны только L2TP/IPsec или PPTP, используйте L2TP/IPsec. Избегайте PPTP, если это возможно — если вам не обязательно подключаться к VPN-серверу, который разрешает только этот древний протокол.

https://www.youtube.com/watch?v=QrFWwZTloY4



2018-11-08T11:18:21
Вопросы читателей

Защита OpenVPN с помощью Fail2Ban

В связи с последними блокировками IP-адресов Роскомнадзором, встала необходимость завести свой собственный VPN сервер.

После успешного запуска собственного VPN сервера, я обратился к лог файлу и обнаружил, что мой сервер постоянно находился под атакой с определенных IP адресов. Читать

OpenVPN на Mikrotik

Настройка OpenVPN сервера на Mikrotik

Создание сертификатов и ключей подписи для сервера и клиента

  1. Сертификаты будем создавать на машине c win10. Скачиваем сам  OpenVPN (в моем случае это версия 2.4.6) для генерации сертификатов.

    Важно, при установке  выбрать все галочки.

  2. Открываем папку “C:Program filesOpenVPNeasy-rsa“, запускаем init-config.bat, появится файл vars.bat.sample, открываем его  и редактируем такие  строки: 
    set KEY_COUNTRY=BY

set KEY_PROVINCE=GomelRegion

set KEY_CITY=Gomel

set KEY_ORG=VTelecom

set KEY_EMAIL=disnetern@disnetern.ru

set KEY_CN=server

set KEY_NAME=server

set KEY_OU=disnetern

    Эти параметры оставить неизменными “Key_CN” и “Key_NAME”, остальные можно вписать произвольно. Сохраняем как vars.bat в сваю домашнюю папку (в текущую не разрешат права), а потом перемещаем этот файл в “C:Program filesOpenVPNeasy-rsa” с подтверждением замены.

  3. Теперь открываем openssl-1.0.0.cnf и выставляем параметр default_days=3650 (3650= это 10 лет, можете выставить нужное время истекания сертификата по своему усмотрению ).

  4. Теперь открываем CMD от имени администратора и пишем поочередно команды: 
    cd C:Program FilesOpenVPNeasy-rsa

vars.bat

clean-all.bat

    «Скопировано файлов: 1». Значит, процедура успешна. Если выдало сообщение ” vars.bat не является внутренней или внешней командой, исполняемой программой или пакетным файлом.” То отредактируйте  в этом файле правильные, полные пути до команды.

    Далее поочередно вбиваем команды для создания ключей:

    build-dh 

build-ca

    Если опять выдало сообщение об ошибке – редактируем полный путь до команды openssl. (В моем случает нужно было указать полный адрес с пробелом, указав его в двойных кавычках). Все вопросы подтверждаем Enter. Дальше набираем:

    build-key-server server

    Все вопросы подтверждаем Enter, а на последние два соглашаемся “Y”

    Далее создаем сертификат клиента:

    build-key client

    При ошибке, редактируем путь. На вопрос Common Name – ввести client. В конце два раза подтвердить “Y”.

    С сертификатами готово. Забираем их из папки C:Program FilesOpenVPNeasy-rsakeys : ca.crt server.crt, server.key

     

     Настройка сервера OpenVPN на mikrotik


  5. Заливаем файлы сертификатов и ключа на роутер Mikrotik, где будем настраивать сервер.

  6. Далее произведём импорт сертификатов, System – Certificates, выбираем поочередно сертификаты из списка ca.crt, server.crt, server.key и жмём кнопку Import:

  7. Создаём новый пул IP адресов для наших клиентов OpenVPN. IP -> Pool, добавили диапазон, например, 172.16.244.10-172.16.244.50, и назвал пул OVPN-pool

  8. Далее создаём PPP профиль. PPP -> Profiles-> вводим имя профиля, локальный адрес роутера, в моем случае 172.16.244.1, с созданным пулом адресов OVPN-pool, остальные настройки выставляем по желанию.

  9. Далее настраиваем сам OpenVPN сервер, PPP->Interface->OVPN Server, ставим Enabled, выбираем нужный порт, mode выставляем ip, выбираем созданный ранее профиль, ставим Require Client Certificate и выбираем сертификат server, остальные параметры по желанию.

  10. Создадим пользователя, переходим в раздел PPP -> Secrets, вводим имя пользователя, пароль, указываем сервис и профиль.

  11. Так как используются сертификаты, необходимо что бы время на сервере и на клиенте совпадало, для этого настраиваем ntp клиент и временную зону на роутере в разделе- System ->Clock/NTP Client. Адреса для NTP клиента можно взять, например, здесь.

  12. Еще не забудьте настроить Ваш фаерфол для разрешения порта для OVPN, IP -> Firewall->Filter Rules

Теперь можно подключаться к нашему OVPN серверу.

Настройка Mikrotik в качестве клиента OpenVPN сервера

  1. Сначала необходимо добавить сертификаты клиента на роутер (client.crt и  client.key).  Не передавайте никому закрытый ключ сертификата – “ca.key”, имея его можно создавать сертификаты подписанные данным ключом.

  2. Делаем импорт сертификатов, идём в раздел System – Certificates, выбираем поочередно сертификаты  client.crt->client.key.

  3. Само соединение OpenVPN настраивается в меню PPP-> добавить  OVPN Client 

  4. Указываем адрес сервера, логин/пароль, порт, клиентский сертификат и тип шифрования:

Готово! Можем пользоваться.



2018-09-17T13:20:56
MikroTik