Jump to content
автогарант
Sign in to follow this  
Anon1m

настройка DoubleVPN на основе OpenVPN

Top Posters


Recommended Posts

Members

Сейчас я расскажу как настраивается DoubleVPN на основе OpenVPN.
И так, для начала нам понадобятся 2 сервера, физических или VPS, идеально для этих целей подойдет VPS с виртуализацией XEN или KVM (а вот OpenVZ контейнер должен быть с модулем tun), дистрибутив я предпочитаю Debian, поэтому в мануале все примеры я буду приводить под этот дистрибутив.

Принцип работы правильного DoubleVPN слудующий:
Клиент коннектится к первому серверу, а его трафик маршрутизируется на второй сервер. Второй сервер не знает IP клиента, а интернет провайдер не знает IP основного VPN сервера, через который заходили на ресурс.
Подготовительный этап.
Имеем 2 сервера, 1ый сервер = промежуточный, 2ой сервер = конечный.
Подключаемся к обоим серверам через PuTTY и включаем на обоих форвардинг:
echo 1 > /proc/sys/net/ipv4/ip_forward


Теперь пропишем его в /etc/sysctl.conf, чтобы включался после перезагрузки серверов:
net.ipv4.ip_forward=1


Готово, теперь обновим списки репозиториев и установим OpenVPN:
apt-get update
apt-get install openvpn -y

Далее сгенерим сертификаты для клиента и сервера (эту процедуру нужно проделать на обоих серверах), есть для этих целей пакет easy-rsa:
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0


редактируем скрипт vars:
nano vars
и комментируем следующие строки (в самом конце):

#export KEY_EMAIL="[email protected]"
#export [email protected]
#export KEY_CN=changeme
#export KEY_NAME=changeme
#export KEY_OU=changeme
#export PKCS11_MODULE_PATH=changeme
#export PKCS11_PIN=1234

Готово, теперь запускаем этот скрипт:
. ./vars


И генерим сертификаты по порядку, отвечая на все вопросы по умолчанию (Enter):

./build-ca
./build-key-server server
./build-key client1
./build-dh

Теперь копируем папку keys в /etc/openvpn, для удобства:

cp -r keys /etc/openvpn | rm -rf keys | cd /etc/openvpn

Приступаем к настройке конфига на сервере 1:
создаем конфиг сервера:
nano server.conf

со следующим содержанием:

mode server
daemon
port 443
proto tcp
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
tls-server
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
ifconfig-pool-persist ipp.txt
cipher AES-256-CBC
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 0
log /dev/null

Серверный конфиг готов, теперь принимаемся за настройку клиентского конфига на сервере 1.
Перенесем с сервера 2 клиентские сертификаты и положим их в папку /etc/openvpn/client
ca.crt, client1.crt, client1.key

Теперь создадим сам клиентский конфиг:
nano client.conf

client
dev tun1
proto tcp-client
remote IP_SERVER2 443
resolv-retry infinite
ns-cert-type server
ca client/ca.crt
cert client /client1.crt
key client /client1.key
persist-key
persist-tun
cipher AES-256-CBC
nobind
verb 0
log /dev/null
comp-lzo
reneg-sec 0
keepalive 10 120
route-nopull
up '/sbin/ip rule add from 10.8.0.0/24 lookup double pref 20000 | /sbin/ip route add default dev tun0 table double'
down '/sbin/ip rule del from 10.8.0.0/24'
script-security 3 system

Создаем таблицу маршрутизации:
echo "1 double" >> /etc/iproute2/rt_tables
Создаем правило iptables (tun1 - интерфейс клиента):
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE


Запускаем
service openvpn start
Готово! Самое сложное позади, теперь принимаемся за настройку сервера 2:
Создаем конфиг со следующим содержанием:
nano /etc/openvpn/server.conf

mode server
daemon
port 443
proto tcp
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
tls-server
server 10.0.8.0 255.255.255.0
push "redirect-gateway def1"
ifconfig-pool-persist ipp.txt
cipher AES-256-CBC
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 0
log /dev/null

И прописываем правило iptables:
iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o eth0 -j MASQUERADE
И запускаем
service openvpn start
Чтобы правило iptables запускалось автоматом после ребута, сохраним его в файле:
iptables-save > /etc/iptables

И пропишем в настройках сетевого интерфейса /etc/network/interface:
nano /etc/network/interfaces

iface eth0 inet static
       address 192.168.0.1
       netmask 255.255.255.0
up /sbin/iptables-restore < /etc/iptables

Теперь качаем ключи с сервера 1 себе на диск в папку config клиента OpenVPN

Создаем клиентский конфиг, под Windows:

client
dev tun
proto tcp
remote SERVER_1 443
resolv-retry infinite
ns-cert-type server
ca ca.crt
cert client1.crt
key client1.key
persist-key
persist-tun
cipher AES-256-CBC
route-method exe
nobind
verb 3
mssfix
comp-lzo
reneg-sec 0

Под *nix:
double.conf

client
dev tun
proto tcp
remote SERVER_1 443
resolv-retry infinite
ns-cert-type server
ca ca.crt
cert client1.crt
key client1.key
persist-key
persist-tun
cipher AES-256-CBC
nobind
verb 3
comp-lzo
reneg-sec 0

Share this post


Link to post
Share on other sites
Members

Как все сложно в Линуксе) Пользуюсь дабл опен впн в Винде, все просто. Но линуксоидов уважаю)

Юзаю и рекомендую vpnbook.com, vpngate.net, freevpnoline.com

Share this post


Link to post
Share on other sites
Members

Сделал проще: установил виртуальную машину, залил туда windows 7, подключил VPN и мой IP адрес совершено засекречен. Пользуюсь для схем только.  Может не в тему моё сообщение? Уж извините, пожалуйста!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

Даркнет на русском

Darknet.family - территория без форумных кидал! У нас на форуме запрещена коммерческая деятельность, если вы ищите товары или услуги то пишите в наш телеграм канал - администрация форума проконсультирует вас и направит к надежному продавцу. На страницах форума представлено более 1000 обучающих видео, полезных статей, интервью с участниками даркнета, а также ответы на вопросы новичков. Нахождение на сайте не нарушает законодательство РФ и других стран СНГ. Участники форума не продают противозаконный товар и не оказывают запрещенных услуги.

Администрация сообщества darknet

Даркнет в соц сетях

О Форуме Darknet

Сообщество Даркнет - Официальный сайт. Авторитетная площадка, на которой собрались лучшие умы даркнет паутины. Изначально сеть Darknet создали Американские военные вместе с ARPANet (В последствии стала называться Интернетом). С появлением TOR теневая паутина стала доступна обычным обывателям. Для пребывания на нашем портале подключение к TOR не требуется! На Нашем форуме можно встретить Журналистов, Блогеров, Общественных деятелей, Работников правительственных организаций, Банковских работников, Хакеров всех мастей и других одиозных личностей. Количество сенсационных тем и статей на форуме зашкаливает - у нас обсуждают порицаемые со стороны морали темы и вещи за исключением совсем уж черных и низких дел. 

Пользователь регулярно проводит сделки через гарант сервис и имеет положительную торговую статистику на площадке. Скорее всего ему можно доверять и работать напрямую. С правилами работы через гарант вы можете ознакомится тут.
Пользователь не провел ни одной сделки через гарант. О правилах работы через гарант вы можете ознакомиться тут.
Пользователь внес страховой депозит на форуме. Является проверенным селлеров и гарантированно проводит все сделки через гарант сервис Даркнета. Подробнее о системе депозитов вы можете прочитать тут.
Пользователь не имеет обеспечительного депозита на форуме, при работе с ним не отправляйте предоплату и всегда привлекайте гаранта к сделкам. Подробнее о системе депозитов вы можете прочитать тут.
Статус пользователя "НЕ ПРОВЕРЕН" гласит о том, что он не прошел верификацию своего аккаунта в Даркнете. Верификацию можно пройти предоставив положительные отзывы и рекомендации о себе. Подробнее о том, как пройти верификацию Вы можете прочитать тут.
Статус пользователя "ПРОВЕРЕННЫЙ" говорит о том, что селлер прошел проверку своих товаров или услуг у Администрации Даркнета. Подробнее о том, как пройти проверку вы можете прочитать тут.
×