> /etc/iproute2/rt_tables Создаем правило iptables (tun1 - интерфейс клиента): iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE Запускаем service openvpn start Готово! Самое сложное позади, теперь принимаемся за настройку сервера 2: Создаем конфиг со следующим содержанием: nano /etc/openvpn/server.conf mode server daemon port 443 proto tcp dev tun0 ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem tls-server server 10.0.8.0 255.255.255.0 push "redirect-gateway def1" ifconfig-pool-persist ipp.txt cipher AES-256-CBC keepalive 10 120 comp-lzo persist-key persist-tun verb 0 log /dev/null И прописываем правило iptables: iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADE И запускаем service openvpn start Чтобы правило iptables запускалось автоматом после ребута, сохраним его в файле: iptables-save > /etc/iptables И пропишем в настройках сетевого интерфейса /etc/network/interface: nano /etc/network/interfaces iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 up /sbin/iptables-restore < /etc/iptables Теперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPN Создаем клиентский конфиг, под Windows: client dev tun proto tcp remote SERVER_1 443 resolv-retry infinite ns-cert-type server ca ca.crt cert client1.crt key client1.key persist-key persist-tun cipher AES-256-CBC route-method exe nobind verb 3 mssfix comp-lzo reneg-sec 0 Под *nix: nano double.conf client dev tun proto tcp remote SERVER_1 443 resolv-retry infinite ns-cert-type server ca ca.crt cert client1.crt key client1.key persist-key persist-tun cipher AES-256-CBC nobind verb 3 comp-lzo reneg-sec 0 На этом все, всем удачи в настройке!" /> > /etc/iproute2/rt_tables Создаем правило iptables (tun1 - интерфейс клиента): iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE Запускаем service openvpn start Готово! Самое сложное позади, теперь принимаемся за настройку сервера 2: Создаем конфиг со следующим содержанием: nano /etc/openvpn/server.conf mode server daemon port 443 proto tcp dev tun0 ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem tls-server server 10.0.8.0 255.255.255.0 push "redirect-gateway def1" ifconfig-pool-persist ipp.txt cipher AES-256-CBC keepalive 10 120 comp-lzo persist-key persist-tun verb 0 log /dev/null И прописываем правило iptables: iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADE И запускаем service openvpn start Чтобы правило iptables запускалось автоматом после ребута, сохраним его в файле: iptables-save > /etc/iptables И пропишем в настройках сетевого интерфейса /etc/network/interface: nano /etc/network/interfaces iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 up /sbin/iptables-restore < /etc/iptables Теперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPN Создаем клиентский конфиг, под Windows: client dev tun proto tcp remote SERVER_1 443 resolv-retry infinite ns-cert-type server ca ca.crt cert client1.crt key client1.key persist-key persist-tun cipher AES-256-CBC route-method exe nobind verb 3 mssfix comp-lzo reneg-sec 0 Под *nix: nano double.conf client dev tun proto tcp remote SERVER_1 443 resolv-retry infinite ns-cert-type server ca ca.crt cert client1.crt key client1.key persist-key persist-tun cipher AES-256-CBC nobind verb 3 comp-lzo reneg-sec 0 На этом все, всем удачи в настройке!" />
  1. HTML цвет текста

    ProMarket.ws - новый, активно развивающийся форум. Регистрируйтесь и Вас ждут приятные бонусы.
    У нас самая оперативная помощь новичкам!
    На форуме проводится постоянная раздача СС!

    Скрыть объявление
  2. HTML цвет текста

    Зеркало форума ProCrd в зоне Тор - http://wp3whcaptukkyx5i.onion/

    Стандартные зеркала форума - procrd.co procrd.me
    Скрыть объявление

Личный DoubleVPN за 15 минут

Тема в разделе "БЕЗОПАСНОСТЬ В СЕТИ", создана пользователем amlogic, 16/8/16.

  1. amlogic

    amlogic

    Регистрация:
    13/8/16
    Сообщения:
    32
    Симпатии:
    13
    Репутация:
    2
    Итак, для начала нам понадобятся 2 сервера, физических или VPS, идеально для этих целей подойдет VPS с виртуализацией XEN или KVM (а вот OpenVZ контейнер должен быть с модулем tun), дистрибутив я предпочитаю Debian, поэтому в мануале все примеры я буду приводить под этот дистрибутив.
    Принцип работы правильного DoubleVPN следующий:
    Клиент коннектится к первому серверу, а его трафик маршрутизируется на второй сервер. Второй сервер не знает IP клиента, а интернет провайдер не знает IP основного VPN сервера, через который заходили на ресурс.
    Для наших целей отлично подойдут серваки в недружественных друг для друга странах вроде России и Украины, США и Ирана и тд

    Подготовительный этап
    Имеем 2 сервера, 1ый сервер = промежуточный, 2ой сервер = конечный.
    Подключаемся к обоим серверам через PuTTY и включаем на обоих форвардинг:

    echo 1 > /proc/sys/net/ipv4/ip_forward
    Теперь пропишем его в /etc/sysctl.conf, чтобы включался после перезагрузки серверов:

    net.ipv4.ip_forward=1
    Готово, теперь обновим списки репозиториев и установим OpenVPN:

    apt-get update
    apt-get install openvpn -y
    Далее сгенерим сертификаты для клиента и сервера (эту процедуру нужно проделать на обоих серверах), есть для этих целей пакет easy-rsa:

    cd /usr/share/doc/openvpn/examples/easy-rsa/2.0
    редактируем скрипт vars:

    nano vars
    и комментируем следующие строки (в самом конце):

    #export KEY_EMAIL="me@myhost.mydomain"
    #export KEY_EMAIL=mail@host.domain
    #export KEY_CN=changeme
    #export KEY_NAME=changeme
    #export KEY_OU=changeme
    #export PKCS11_MODULE_PATH=changeme
    #export PKCS11_PIN=1234
    Готово, теперь запускаем этот скрипт:

    . ./vars
    И генерим сертификаты по порядку, отвечая на все вопросы по умолчанию (Enter):

    ./build-ca
    ./build-key-server server
    ./build-key client1
    ./build-dh
    Теперь копируем папку keys в /etc/openvpn, для удобства:

    cp -r keys /etc/openvpn | rm -rf keys | cd /etc/openvpn
    Приступаем к настройке конфига на сервере 1:
    создаем конфиг сервера:

    nano server.conf
    со следующим содержанием:


    mode server
    daemon
    port 443
    proto tcp
    dev tun0
    ca keys/ca.crt
    cert keys/server.crt
    key keys/server.key
    dh keys/dh1024.pem
    tls-server
    server 10.8.0.0 255.255.255.0
    push "redirect-gateway def1"
    ifconfig-pool-persist ipp.txt
    cipher AES-256-CBC
    keepalive 10 120
    comp-lzo
    persist-key
    persist-tun
    verb 0
    log /dev/null

    Серверный конфиг готов, теперь принимаемся за настройку клиентского конфига на сервере 1.
    Перенесем с сервера 2 клиентские сертификаты и положим их в папку /etc/openvpn/client
    ca.crt, client1.crt, client1.key

    Теперь создадим сам клиентский конфиг:

    nano client.conf
    client
    dev tun1
    proto tcp-client
    remote IP_SERVER2 443
    resolv-retry infinite
    ns-cert-type server
    ca client/ca.crt
    cert client /client1.crt
    key client /client1.key
    persist-key
    persist-tun
    cipher AES-256-CBC
    nobind
    verb 0
    log /dev/null
    comp-lzo
    reneg-sec 0
    keepalive 10 120
    route-nopull
    up '/sbin/ip rule add from 10.8.0.0/24 lookup double pref 20000 | /sbin/ip route add default dev tun0 table double'
    down '/sbin/ip rule del from 10.8.0.0/24'
    script-security 3 system

    Создаем таблицу маршрутизации:

    echo "1 double" >> /etc/iproute2/rt_tables
    Создаем правило iptables (tun1 - интерфейс клиента):

    iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
    Запускаем

    service openvpn start
    Готово! Самое сложное позади, теперь принимаемся за настройку сервера 2:
    Создаем конфиг со следующим содержанием:

    nano /etc/openvpn/server.conf
    mode server
    daemon
    port 443
    proto tcp
    dev tun0
    ca keys/ca.crt
    cert keys/server.crt
    key keys/server.key
    dh keys/dh1024.pem
    tls-server
    server 10.0.8.0 255.255.255.0
    push "redirect-gateway def1"
    ifconfig-pool-persist ipp.txt
    cipher AES-256-CBC
    keepalive 10 120
    comp-lzo
    persist-key
    persist-tun
    verb 0
    log /dev/null
    И прописываем правило iptables:

    iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADE
    И запускаем

    service openvpn start
    Чтобы правило iptables запускалось автоматом после ребута, сохраним его в файле:

    iptables-save > /etc/iptables
    И пропишем в настройках сетевого интерфейса /etc/network/interface:

    nano /etc/network/interfaces
    iface eth0 inet static
    address 192.168.0.1
    netmask 255.255.255.0
    up /sbin/iptables-restore < /etc/iptables
    Теперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPN

    Создаем клиентский конфиг, под Windows:

    client
    dev tun
    proto tcp
    remote SERVER_1 443
    resolv-retry infinite
    ns-cert-type server
    ca ca.crt
    cert client1.crt
    key client1.key
    persist-key
    persist-tun
    cipher AES-256-CBC
    route-method exe
    nobind
    verb 3
    mssfix
    comp-lzo
    reneg-sec 0
    Под *nix:

    nano double.conf
    client
    dev tun
    proto tcp
    remote SERVER_1 443
    resolv-retry infinite
    ns-cert-type server
    ca ca.crt
    cert client1.crt
    key client1.key
    persist-key
    persist-tun
    cipher AES-256-CBC
    nobind
    verb 3
    comp-lzo
    reneg-sec 0
    На этом все, всем удачи в настройке!
     
    Последние данные очков репутации:
    Cboloch: 2 Очки 16/8/16
    PartyCluBBeR и Cboloch нравится это.