سرور VPN برای IPv6 – هلموت کارگر

در این مقاله چگونگی پیکربندی تونل VPN بر اساس IPv6 توضیح داده شده است. این تنها در صورتی کار می کند که روتر اینترنت شما نیز دارای آدرس IPv6 عمومی باشد اما واقعاً باید امروز باشد. اگر شک دارید ، مقاله [ IPv4 در مقابل IPv6 را دوباره بخوانید. کدام روتر از ISP همچنین آدرس IPv4 را به عنوان اتصال به دو پشته اختصاص داده است که می تواند VPN خود را تحت IPv4 پیکربندی کند ، که مطمئناً در این زمان گزینه بهتری است. بنابراین بسیار واضح است: در اینجا ما در حال ساختن یک سرور Raspberry Pi VPN هستیم که داده های IPv4 را از طریق تونل IPv6 انتقال می دهد. چرا این کار برای بهبود امنیت داده های تلفن هوشمند وی و نحوه عملکرد شبکه خصوصی مجازی انجام می شود ، می توانید در دو مقاله اول در این مجموعه بخوانید.

کار مقدماتی

قبل از نصب PiVPN برخی کارهای مقدماتی باید انجام شود که من در یک مقاله جداگانه خلاصه کردم. فقط پس از آماده سازی موفقیت آمیز ، به اینجا بازگردید و نصب آن را بر اساس Raspberry Pi ادامه دهید ، همانطور که در زیر آورده شده است

نصب سرور PiVPN

PiVPN مجموعه ای از اسکریپت ها است که نصب OpenVPN را روی Raspberry Pi بسیار آسان تر می کند. A OpenVPN نرم افزاری است که Raspberry Pi ما را به یک سرور [VPN9015]] تبدیل می کند. خبرهای بد از ابتدا ، PiVPN در حال حاضر IPv6 را پشتیبانی نمی کند – اما OpenVPN می تواند این کار را انجام دهد ، و راه حلی برای PiVPN وجود دارد . ابتدا PiVPN را مانند IPv4 نصب کنید و سپس چندین فایل پیکربندی را ویرایش کنید.

اول توجه داشته باشید: دستورالعمل های زیر همچنین آدرس های IPv4 را نشان می دهد. این خیلی زیاد نیست زیرا همانطور که قبلاً گفته شد PiVPN برای اولین بار برای IPv4 نصب شده است. دلیل اصلی این امر این است که در تونل VPN ما فقط IPv4 را پخش خواهیم کرد و سپس داده ها نیز از طریق IPv4 به اینترنت ارسال می شوند. IPv6 فقط شبکه حمل و نقل است که خود شبکه VPN در آن مستقر است. به نظر می رسد پیچیده – که (کمی).

این کار با اتصال SSH با Raspberry Pi آغاز می شود و نصب موجود را بروزرسانی می کند:

  sudo apt update
sudo apt upgrade 

سپس PiVPN را با استفاده از دستور زیر بارگیری کنید و نصب را اجرا کنید .

  curl -L https://install.pivpn.io | bash 

گالری عکس در مراحل نصب نمایش داده های فردی را نشان می دهد . بسیاری از آنها را می توان به سادگی با Ok تأیید کرد ، جزئیاتی که دوباره به روشنی بیان می کنم:

PiVPN تنظیمات شبکه فعلی را تصویب می کند و از آدرس IPv4 ایجاد می کند ، حتی اگر توسط DHCP تعیین شده باشد ، آدرس استاتیک . ما فقط می توانیم این را تأیید کنیم. در تنظیمات روی سرور DHCP (روتر اینترنت ما) فقط باید اقدامات احتیاطی را انجام دهیم تا این آدرس بخواهد علاوه بر این [دستگاه] دیگری را به دستگاه دیگری اختصاص ندهد. ما می توانیم این کار را از دو طریق انجام دهیم: یک بار که DHCP این آدرس IP را به Raspberry Pi یا به صورت متناوب اختصاص دهد ، جایی که این آدرس IP را از مجموعه آدرسهایی که باید اختصاص یابد اختصاص خواهد داد. گزینه اول را ترجیح می دهم ، تمام تمشک Pis من یک آدرس IPv4 ثابت از طریق DHCP دریافت می کنم.

با پروتکل شبکه ، ما روی UDP می مانیم و پورت در 1194 باقی می ماند. این همچنین به تنظیمات ما در روتر مطابقت دارد. ما همچنین می توانیم سطح رمزگذاری را طی کنیم. سؤال زیر جالب خواهد بود:

این درخواست برای آدرس IP عمومی صدق می کند. همانطور که می دانید ، این روزانه تغییر می کند ، بنابراین ما نمی توانیم یک آدرس IP ثابت را در اینجا وارد کنیم اما برای استفاده از پرونده DNS عمومی از یک نوع پایین استفاده کنید سپس آدرس IPv6 فعلی مناسب برطرف می شود .

سپس نام در صفحه بعد وارد شده است و این البته زیر دامنه است که ما از دریافت کنندگان DDNS دریافت کردیم. سپس پرسید که ارائه دهنده DNS (سرور) توسط سرور VPN چگونه باید استفاده شود. این هیچ ارتباطی با تاریخ DDNS ندارد ، اما تعیین می کند که چگونه سرور VPN به خودی خود با وضوح نام کار می کند.

در اینجا مهم است که را نپذیرید که پیش فرض Google & # 39؛ a را نپذیرد. با استفاده از یک تونل VPN ، می خواهیم پیگیری را با نقض داده هایی مانند Google پیچیده کنیم. زیرا اگر به تمام سؤالات DNS ما به Google بگوییم ، کاملاً غیر مثمر خواهد بود. بنابراین در اینجا سفارشی را انتخاب کنید!

و در صفحه بعد می توانیم به صورت دستی یک یا چند [سرور DNS] را وارد کنیم. کمی باید این انتخاب را توضیح دهم: در تئوری ، می توانیم از سرورهای DNS رایگان جایگزین مانند:

• 146.185.167.43 برای SecureDNS و
• 194.150.168.168 برای Chaos Computer Club

استفاده از سرورهای DNS دیگر در اینترنت استفاده کنیم که نمی توانید پیگیری. اما این یک پیکربندی بهینه نیست زیرا این سرورهای DNS خارجی نام دستگاه های داخلی را در شبکه خانگی خود نمی دانند . بنابراین اگر می خواهید به سرور پرونده خود یا دیگری Raspberry Pi در شبکه خانگی خود از طریق تونل VPN دسترسی پیدا کنید ، بعداً روتر خود را به عنوان سرور DNS وارد کنید. در سرورهای DNS در اینترنت. (امیدوارم در گوگل نباشد ، بلکه روی سرورهای DNS ISP باشد.) بهتر از همه ، آن را بررسی کنید! Pi-Hole – اکنون چیزی را پیدا کرده ام – برای مسدود کردن سرویس های ردیابی است و Pi-Hole این کار را با حلقه زدن برای شناسایی نام های تمشک پی انجام می دهد. در مورد Pi-Hole ، باید آدرس IP سرور Pi-Hole را وارد کنیم – یعنی آدرس IP خود Raspberry Pi. بعداً این کار را خواهیم کرد ، اما برای آزمایش تونل VPN قبل از نصب Pi-Hole ، اکنون آدرس IPv4 داخلی روتر را ردیابی می کنیم . اگر آدرس IP داخلی روتر را نمی دانید ، می توانید از طریق IP: مسیر

  سؤال کنید
به طور پیش فرض از طریق متریک 302 192.168.0.1 dev wlan0 src 192.168.0.167
192.168.0.0/24 dev wlan0 proto هسته link link src 192.168.0.167 metric 303 

آدرس IP روتر شما به طور پیش فرض تا خواهد بود.

این کار نصب PiVPN را کامل می کند و ما باید یک بار به تمشک پی حمله کنیم .

ایجاد یک سرویس دهنده VPN

نصب سرویس گیرندگان OpenVPN البته به عنوان نرم افزار تلفن های هوشمند هستند ، اما پیکربندی در حال حاضر به طور گسترده ای در این سرور استفاده شده است. ]. این مزیت را دارد که بعد از ما باید یک فایل پیکربندی واحد را به تلفن هوشمند ارسال کنیم و دیگر لازم نیست که کلیدهای بلند مدت وارد کنیم.
برای هر مشتری VPN ، یعنی هر تلفن هوشمند ، دستورالعمل های زیر را دنبال کنید پیکربندی مشتری VPN را به:

  $ pivpn اضافه کنید.
نام مشتری را وارد کنید: SamsungS7
رمز ورود مشتری را وارد کنید: *******
برای تأیید دوباره رمز ورود را وارد کنید: *******
تخم ریزی ./easyrsa build-client-full SamsungS7

توجه: با استفاده از پیکربندی Easy-RSA با: ./vars
ایجاد کلید خصوصی EC
نوشتن یک کلید خصوصی جدید برای & # 39؛ /etc/openvpn/easy-rsa/pki/private/SamsungS7.key.PNlzNH3SEk&#39؛
عبارت PEM را وارد کنید:
تأیید - عبارت PEM را وارد کنید:
-----
با استفاده از پیکربندی با /etc/openvpn/easy-rsa/openssl-easyrsa.cnf
بررسی کنید که آیا درخواست با امضا مطابقت دارد یا خیر
امضا
نام برجسته نهاد به شرح زیر است
نام مشترک: ASN.1 12: "SamsungS7"
گواهینامه تا 18 ژانویه باید گواهی شود 15:43:04 2029 GMT (3650 روز)

یک پایگاه داده با 1 مدخل جدید بنویسید
پایگاه داده به روز شد
گواهی مشتری یافت شد: SamsungS7.crt
کلید خصوصی مشتری یافت شد: SamsungS7.key
کلید عمومی CA یافت شد: ca.crt
tls-auth کلید خصوصی یافت شد: ta.key


================================================== ======
آماده! SamsungS7.ovpn با موفقیت ایجاد شد!
SamsungS7.ovpn که کپی شده است:
/ صفحه اصلی / PI / ovpns
برای انتقال آسان از این پروفایل فقط در یک مورد استفاده کنید
دستگاه را ایجاد کرده و پروفایل های دیگری را برای سایر دستگاه ها ایجاد کنید.
================================================== ====== 

  لیست pivpn مشاهده کرد

: هشدار: اولین ورودی همیشه باید سرور صحیح شما باشد!

::: لیست وضعیت گواهینامه :::
:: وضعیت || نام و نام خانوادگی ::
مهم :: server_75rZ9EcQAbEYDuvV
مهم :: SamsungS7

  $ ls ovpns
SamsungS7.ovpn 

  sudo nano /etc/openvpn/server.confociation19659015] در این پرونده ، ورودی  proto  را از  udp  udp6  تغییر می دهیم. سپس پرونده چیزی شبیه به این است: 




  dev tun
proto udp6
بندر 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_75rZ9EcQAbEYDuvV.crt
key /etc/openvpn/easy-rsa/pki/private/server_75rZ9EcQAbEYDuvV.key
یعنی نه
زیر شبکه توپولوژی
سرور 10.8.0.0 255.255.255.0
# آدرس سرور نام دامنه اصلی را برای مشتری تنظیم کنید
"dhcp-option DNS 192.168.0.1 را فشار دهید"
"Block-out-dns" را فشار دهید
# دروازه مشتری پیش فرض را با 0.0.0.0/1 و
# 128.0.0.0/1 به جای 0.0.0.0/0. این مزیت را دارد
# دروازه پیش فرض اصلی را نادیده می گیرد ، اما آن را حذف نمی کند.
"تغییر مسیر-دروازه def1" را فشار دهید
مشتری به مشتری
نگهدارنده 1800 3600
مشتری گواهینامه از راه دور
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
رمزگذاری AES-256-CBC
ماشین های SHA256
هیچ کس کاربر
گروه تازه کار
کلید را نگه دارید
ادامه-TUN
crl-Verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
وضعیت نسخه 3
syslog را
3)
#DuplicateCN کنترل دسترسی را براساس قوانینی که جزئیات کمتری دارند برای کاربران جداگانه امکان پذیر می سازد.
اگر می خواهید به جای دستگاه دسترسی کاربر را مدیریت کنید # حذف کنید.
# تکثیر-سی
# ایجاد شده برای استفاده توسط PiVPN.io 
  ویرایش پیکربندی مشتری 
  همین مورد در پیکربندی مشتری اتفاق می افتد  . به یاد داشته باشید - این فایلی است که ما با  pivpn  ایجاد کردیم. این کشور در فروشگاه  ~ / ovpns  قرار دارد و نام پرونده را به عنوان نام مشتری دارد ، که ما آن را با پسوند  اختصاص دادیم .ovpn . در اینجا یک مثال آورده شده است: 
  nano ovpns / SamsungS7.ovpn 
  باز هم ، ما ورودی  proto  را از  udp  به  udp6  تغییر می دهیم ، پس پرونده شبیه این است: 



  مشتری

انجام دهید

proto udp6

از راه دور jsonp.dedyn.io 1194

رزولوشن مجدد بی نهایت

nobind

کلید را نگه دارید

ادامه-TUN

سرور گواهینامه از راه دور TLS

tls-version-min 1.2

نام سرور x759-name_75rZ9EcQAbEYDuvV را تأیید کنید

رمزگذاری AES-256-CBC

ماشین های SHA256

تایید-nocache

3)

# ... کوتاه شد ... 
  پیکربندی مشتری ارسال شده به تلفن هوشمند 
  اکنون باید  پرونده پیکربندی شده اصلاح شده مشتری  را در تلفن هوشمند خود بارگیری کنیم. برای این منظور ، ممکن است انتقال آن از Raspberry Pi به رایانه  منطقی باشد. برای این کار نیازی به پیکربندی FTP یا Samba در RasPi ندارید. از طریق رایانه لینوکس ، این کار با استفاده از  SFTP  انجام می شود که به نوبه خود مبتنی بر SSH است. در  Linux File Manager  به  بروید به سرور  وصل شوید و آدرس سرور زیر را وارد کنید: 
  sftp: // pi @ raspi167 / home / pi 
  به جای من  raspi167  البته ، لطفا نام خود را  تمشک پی  ارائه دهید. سپس می توانیم با استفاده از رابط گرافیکی به Raspberry Pi دسترسی پیدا کنیم و پرونده را کپی کنیم. 



  در تلفن های هوشمند فایلی را دریافت می کنیم که در آن تلفن هوشمند را از طریق USB  USB  وصل می کنیم. از طرف دیگر ، می توانیم پرونده را از طریق ایمیل به تلفن همراه شما ارسال کنیم. 
  سایر محصولات در این گروه: