Поиск по сайту:

Как настроить сервер OpenVPN в Ubuntu 14.04

Введение

Хотите безопасно и надежно получать доступ к Интернету со своего смартфона или ноутбука при подключении к ненадежной сети, такой как WiFi в отеле или кафе? Виртуальная частная сеть (VPN) позволяет вам конфиденциально и безопасно проходить через ненадежные сети к вашей капле DigitalOcean, как если бы вы были в безопасной и частной сети. Трафик выходит из капли и продолжает свое путешествие к месту назначения.

В сочетании с HTTPS-соединениями эта настройка позволяет защитить ваши беспроводные входы в систему и транзакции. Вы можете обойти географические ограничения и цензуру, защитить свое местоположение и незашифрованный HTTP-трафик от ненадежной сети.

OpenVPN — это полнофункциональное VPN-решение Secure Socket Layer (SSL) с открытым исходным кодом, которое поддерживает широкий спектр конфигураций. В этом руководстве мы настроим сервер OpenVPN в дроплете, а затем настроим доступ к нему из Windows, OS X, iOS и Android. В этом учебном пособии шаги по установке и настройке будут максимально простыми для этих настроек.

Примечание. OpenVPN можно установить автоматически на ваш дроплет, добавив это руководство, чтобы узнать больше о пользовательских данных дроплета.

Предпосылки

Единственным предварительным условием является установленная и работающая капля Ubuntu 14.04. Для выполнения этого руководства вам потребуется root-доступ.

  • Необязательно: после завершения этого руководства было бы неплохо создать стандартную учетную запись пользователя с правами sudo для выполнения общего обслуживания вашего сервера.

Шаг 1 — Установите и настройте серверную среду OpenVPN

Выполните эти шаги для настройки на стороне сервера.

###Конфигурация OpenVPN

Прежде чем мы установим какие-либо пакеты, сначала мы обновим списки репозиториев Ubuntu.

apt-get update

Затем мы можем установить OpenVPN и Easy-RSA.

apt-get install openvpn easy-rsa

Пример файла конфигурации VPN-сервера необходимо извлечь в /etc/openvpn, чтобы мы могли включить его в нашу настройку. Это можно сделать одной командой:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

После извлечения откройте server.conf в текстовом редакторе. В этом руководстве будет использоваться Vim, но вы можете использовать любой предпочитаемый редактор.

vim /etc/openvpn/server.conf

В этом файле необходимо внести несколько изменений. Вы увидите такой раздел:

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh dh1024.pem

Отредактируйте dh1024.pem, чтобы сказать:

dh2048.pem

Это удвоит длину ключа RSA, используемого при создании ключей сервера и клиента.

Все еще в server.conf теперь найдите этот раздел:

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"

Раскомментируйте push redirect-gateway def1 bypass-dhcp, чтобы VPN-сервер перенаправлял веб-трафик клиентов по назначению. Это должно выглядеть так, когда это сделано:

push "redirect-gateway def1 bypass-dhcp"

Следующее редактирование, которое нужно сделать, находится в этой области:

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Раскомментируйте push dhcp-option DNS 208.67.222.222 и push dhcp-option DNS 208.67.220.220. Это должно выглядеть так, когда это сделано:

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Это говорит серверу по возможности передавать OpenDNS подключенным клиентам для разрешения DNS. Это может помочь предотвратить утечку DNS-запросов за пределы VPN-подключения. Однако важно также указать нужные преобразователи DNS на клиентских устройствах. Хотя OpenDNS используется OpenVPN по умолчанию, вы можете использовать любые службы DNS, которые предпочитаете.

Последняя область, которую нужно изменить в server.conf, находится здесь:

# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nogroup

Раскомментируйте как user Nobody, так и group nogroup. Это должно выглядеть так, когда это сделано:

user nobody
group nogroup

По умолчанию OpenVPN работает от имени пользователя root и, таким образом, имеет полный доступ к системе. Вместо этого мы ограничим OpenVPN пользователем none и группой nogroup. Это непривилегированный пользователь без возможностей входа в систему по умолчанию, часто зарезервированный для запуска ненадежных приложений, таких как веб-серверы.

Теперь сохраните изменения и выйдите из Vim.

###Пересылка пакетов

Это параметр sysctl, который указывает ядру сервера пересылать трафик с клиентских устройств в Интернет. В противном случае трафик остановится на сервере. Включите пересылку пакетов во время выполнения, введя эту команду:

echo 1 > /proc/sys/net/ipv4/ip_forward

Нам нужно сделать это постоянным, чтобы сервер продолжал пересылать трафик после перезагрузки.

vim /etc/sysctl.conf

В верхней части файла sysctl вы увидите:

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

Раскомментируйте net.ipv4.ip_forward. Это должно выглядеть так, когда это сделано:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Сохраните изменения и выйдите.

Несложный брандмауэр (ufw)

ufw — это интерфейс для iptables, и настроить его несложно. Он включен по умолчанию в Ubuntu 14.04, поэтому нам нужно всего лишь внести несколько правил и изменений в конфигурацию, а затем включить брандмауэр. В качестве справки по дополнительным возможностям использования ufw см. Как настроить брандмауэр с UFW на облачном сервере Ubuntu и Debian.

Сначала настройте ufw, чтобы разрешить SSH. В командной строке ENTER:

ufw allow ssh

В этом руководстве будет использоваться OpenVPN через UDP, поэтому ufw также должен разрешать трафик UDP через порт 1194.

ufw allow 1194/udp

Также необходимо настроить политику переадресации ufw. Мы сделаем это в основном файле конфигурации ufw.

vim /etc/default/ufw

Найдите DEFAULT_FORWARD_POLICY=DROP. Это должно быть изменено с DROP на ACCEPT. Это должно выглядеть так, когда это сделано:

DEFAULT_FORWARD_POLICY="ACCEPT"

Далее мы добавим дополнительные правила ufw для трансляции сетевых адресов и маскировки IP-адресов подключенных клиентов.

vim /etc/ufw/before.rules

Сделайте верхнюю часть файла before.rules такой, как показано ниже. Область, выделенная красным для ПРАВИЛ OPENVPN, должна быть добавлена:

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors
*filter

С изменениями, внесенными в ufw, теперь мы можем включить его. Введите в командную строку:

ufw enable

Включение ufw вернет следующее приглашение:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Ответьте y. Результатом будет этот вывод:

Firewall is active and enabled on system startup

Чтобы проверить основные правила брандмауэра ufw:

ufw status

Команда состояния должна возвращать следующие записи:

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
1194/udp                   ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
1194/udp (v6)              ALLOW       Anywhere (v6)

Шаг 2 — Создание центра сертификации, сертификата и ключа на стороне сервера

OpenVPN использует сертификаты для шифрования трафика.

###Настроить и создать центр сертификации

Пришло время настроить наш собственный центр сертификации (ЦС) и сгенерировать сертификат и ключ для сервера OpenVPN. OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента, прежде чем будет установлено взаимное доверие. Для этого мы будем использовать скрипты Easy RSA, которые мы скопировали ранее.

Сначала скопируйте сценарии генерации Easy-RSA.

cp -r /usr/share/easy-rsa/ /etc/openvpn

Затем создайте каталог для хранения ключей.

mkdir /etc/openvpn/easy-rsa/keys

В Easy-RSA есть файл переменных, который мы можем редактировать, чтобы создавать сертификаты, эксклюзивные для нашего человека, бизнеса или любой организации, которую мы выберем. Эта информация копируется в сертификаты и ключи и поможет идентифицировать ключи позже.

vim /etc/openvpn/easy-rsa/vars

Переменные ниже, отмеченные красным, должны быть изменены в соответствии с вашими предпочтениями.

export KEY_COUNTRY="US"
export KEY_PROVINCE="TX"
export KEY_CITY="Dallas"
export KEY_ORG="My Company Name"
export KEY_EMAIL="sammy@example.com"
export KEY_OU="MYOrganizationalUnit"

В том же файле vars также отредактируйте эту строку, показанную ниже. Для простоты мы будем использовать server в качестве имени ключа. Если вы хотите использовать другое имя, вам также потребуется обновить файлы конфигурации OpenVPN, которые ссылаются на server.key и server.crt.

export KEY_NAME="server"

Нам нужно сгенерировать параметры Диффи-Хеллмана; это может занять несколько минут.

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Теперь давайте изменим каталоги, чтобы мы работали непосредственно из того места, куда мы переместили скрипты Easy-RSA ранее на шаге 2.

cd /etc/openvpn/easy-rsa

Инициализируйте PKI (инфраструктуру открытых ключей). Обратите внимание на точку (.) и пробел перед командой ./vars. Это означает текущий рабочий каталог (источник).

. ./vars

Вывод приведенной выше команды показан ниже. Поскольку мы еще ничего не сгенерировали в каталоге keys, предупреждение не о чем беспокоиться.

NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

Теперь мы очистим рабочий каталог от любых возможных старых или примеров ключей, чтобы освободить место для наших новых.

./clean-all

Эта последняя команда создает центр сертификации (ЦС), вызывая интерактивную команду OpenSSL. В выводе вам будет предложено подтвердить переменные отличительного имени, которые были введены ранее в файл переменных Easy-RSA (название страны, организация и т. д.).

./build-ca

Просто нажмите ENTER, чтобы просмотреть каждое приглашение. Если что-то нужно изменить, вы можете сделать это из подсказки.

###Сгенерировать сертификат и ключ для сервера

Все еще работая с /etc/openvpn/easy-rsa, теперь введите команду для создания ключа сервера. Там, где вы видите server, отмеченный красным, находится переменная export KEY_NAME, которую мы установили в файле vars Easy-RSA ранее в Шаг 2.

./build-key-server server

Генерируется такой же вывод, как и при запуске ./build-ca, и вы можете снова нажать ENTER, чтобы подтвердить каждую строку отличительного имени. Однако на этот раз есть две дополнительные подсказки:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Оба должны быть оставлены пустыми, поэтому просто нажмите ENTER, чтобы просмотреть каждый из них.

Два дополнительных запроса в конце требуют положительного ответа (y):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Последнее приглашение выше должно завершаться:

Write out database with 1 new entries
Data Base Updated

###Переместите сертификаты и ключи сервера

OpenVPN ожидает увидеть ЦС, сертификат и ключ сервера в /etc/openvpn. Давайте скопируем их в нужное место.

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

Вы можете убедиться, что копирование прошло успешно:

ls /etc/openvpn

Вы должны увидеть сертификат и файлы ключей для сервера.

На данный момент сервер OpenVPN готов к работе. Запустите его и проверьте статус.

service openvpn start
service openvpn status

Команда состояния должна вернуть:

VPN 'server' is running

Поздравляем! Ваш сервер OpenVPN работает. Если в сообщении о состоянии говорится, что VPN не работает, проверьте файл /var/log/syslog на наличие таких ошибок, как:

Options error: --key fails with 'server.key': No such file or directory

Эта ошибка указывает на то, что server.key не был правильно скопирован в /etc/openvpn. Повторно скопируйте файл и повторите попытку.

Шаг 3 — Сгенерируйте сертификаты и ключи для клиентов

На данный момент мы установили и настроили сервер OpenVPN, создали центр сертификации и создали собственный сертификат и ключ сервера. На этом этапе мы используем ЦС сервера для создания сертификатов и ключей для каждого клиентского устройства, которое будет подключаться к VPN. Эти файлы позже будут установлены на клиентские устройства, такие как ноутбук или смартфон.

###Сборка ключей и сертификатов

Идеально, если каждый клиент, подключающийся к VPN, будет иметь собственный уникальный сертификат и ключ. Это предпочтительнее создания одного общего сертификата и ключа для использования всеми клиентскими устройствами.

Примечание. По умолчанию OpenVPN не разрешает одновременные подключения к серверу от клиентов, использующих один и тот же сертификат и ключ. (См. duplicate-cn в /etc/openvpn/server.conf.)

Чтобы создать отдельные учетные данные для аутентификации для каждого устройства, которое вы собираетесь подключить к VPN, выполните этот шаг для каждого устройства, но измените имя client1 ниже на другое, например client2 или iphone2. Имея отдельные учетные данные для каждого устройства, при необходимости их можно позже деактивировать на сервере по отдельности. В остальных примерах этого руководства в качестве имени клиентского устройства будет использоваться client1.

Как и в случае с ключом сервера, теперь мы создадим его для нашего примера client1. Вы все еще должны работать с /etc/openvpn/easy-rsa.

./build-key client1

Еще раз вам будет предложено изменить или подтвердить переменные отличительного имени и эти два запроса, которые следует оставить пустыми. Нажмите ENTER, чтобы принять значения по умолчанию.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Как и прежде, эти два подтверждения в конце процесса сборки требуют ответа (y):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Если сборка ключа прошла успешно, вывод снова будет таким:

Write out database with 1 new entries
Data Base Updated

Пример файла конфигурации клиента также следует скопировать в каталог ключей Easy-RSA. Мы будем использовать его как шаблон, который будет загружен на клиентские устройства для редактирования. В процессе копирования мы меняем имя файла примера с client.conf на client.ovpn, поскольку расширение файла .ovpn что клиенты будут ожидать использовать.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn

Вы можете повторить этот раздел еще раз для каждого клиента, заменив client1 соответствующим именем клиента.

Перенос сертификатов и ключей на клиентские устройства

Вспомним из предыдущих шагов, что мы создали клиентские сертификаты и ключи и что они хранятся на сервере OpenVPN в каталоге /etc/openvpn/easy-rsa/keys.

Для каждого клиента нам необходимо перенести файлы сертификата клиента, ключа и шаблона профиля в папку на нашем локальном компьютере или другом клиентском устройстве.

В этом примере нашему устройству client1 требуются его сертификат и ключ, расположенные на сервере в:

  • /etc/openvpn/easy-rsa/keys/client1.crt
  • /etc/openvpn/easy-rsa/keys/client1.key

Файлы ca.crt и client.ovpn одинаковы для всех клиентов. Загрузите и эти два файла; обратите внимание, что файл ca.crt находится в другом каталоге, чем остальные.

  • /etc/openvpn/easy-rsa/keys/client.ovpn
  • /etc/openvpn/ca.crt

Хотя конкретные приложения, используемые для выполнения этой передачи, будут зависеть от вашего выбора и операционной системы устройства, вы хотите, чтобы приложение использовало SFTP (протокол передачи файлов SSH) или SCP (Secure Copy) на серверной части. Это позволит передавать файлы аутентификации VPN вашего клиента по зашифрованному соединению.

Вот пример команды SCP, использующей наш пример client1. Он помещает файл client1.key в каталог Downloads на локальном компьютере.

scp root@your-server-ip:/etc/openvpn/easy-rsa/keys/client1.key Downloads/

Вот несколько инструментов и руководств по безопасной передаче файлов с сервера на локальный компьютер:

  • WinSCP
  • Как использовать SFTP для безопасной передачи файлов на удаленный сервер
  • Как использовать Filezilla для безопасной передачи файлов и управления ими на вашем VPS

В конце этого раздела убедитесь, что на вашем клиентском устройстве есть эти четыре файла:

  • client1.crt
  • client1.key
  • client.ovpn
  • ca.crt

Шаг 4. Создание единого профиля OpenVPN для клиентских устройств

Существует несколько способов управления файлами клиента, но в самом простом случае используется унифицированный профиль. Это создается путем изменения файла шаблона client.ovpn, чтобы включить центр сертификации сервера, а также сертификат клиента и его ключ. После слияния в клиентское приложение OpenVPN необходимо импортировать только один профиль client.ovpn.

Мы создадим единый профиль для нашего устройства client1 на локальном компьютере, на который мы загрузили все файлы клиента. Этот локальный компьютер сам по себе может быть предполагаемым клиентом или просто временной рабочей областью для слияния файлов аутентификации. Исходный файл шаблона client.ovpn следует продублировать и переименовать. Как вы это сделаете, будет зависеть от операционной системы вашего локального компьютера.

Примечание. Имя вашего дубликата client.ovpn не обязательно должно быть связано с клиентским устройством. Клиентское приложение OpenVPN будет использовать имя файла в качестве идентификатора самого VPN-подключения. Вместо этого вы должны продублировать client.ovpn на то, что вы хотите, чтобы тег имени VPN был в вашей операционной системе. Например: work.ovpn будет идентифицирован как work, school.ovpn как школа и т. д.

В этом руководстве мы назовем VPN-подключение DigitalOcean, поэтому с этого момента имя файла будет называться DigitalOcean.ovpn. Получив имя, мы должны открыть DigitalOcean.ovpn в текстовом редакторе; вы можете использовать любой редактор, который вы предпочитаете.

Первая область внимания будет связана с IP-адресом вашей капли. В верхней части файла измените my-server-1, чтобы он отражал IP-адрес вашего VPN.

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote my-server-1 1194

Затем найдите область, показанную ниже, и раскомментируйте user Nobody и group nogroup, точно так же, как мы делали это в server.conf на шаге 1. Примечание: Это не относится к Windows, поэтому вы можете пропустить это. Это должно выглядеть так, когда это сделано:

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

В приведенной ниже области необходимо закомментировать три показанные строки, чтобы вместо этого мы могли включить сертификат и ключ непосредственно в файл DigitalOcean.ovpn. Это должно выглядеть так, когда это сделано:

# SSL/TLS parms.
# . . .
#ca ca.crt
#cert client.crt
#key client.key

Чтобы объединить отдельные файлы в единый профиль, содержимое файлов ca.crt, client1.crt и client1.key вставляется непосредственно в . .ovpn, использующий базовый XML-подобный синтаксис. XML в конце файла должен иметь следующий вид:

<ca>
(insert ca.crt here)
</ca>
<cert>
(insert client1.crt here)
</cert>
<key>
(insert client1.key here)
</key>

Когда закончите, конец файла должен быть похож на этот сокращенный пример:

<ca>
-----BEGIN CERTIFICATE-----
. . .
-----END CERTIFICATE-----
</ca>

<cert>
Certificate:
. . .
-----END CERTIFICATE-----
. . .
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
. . .
-----END PRIVATE KEY-----
</key>

Файл client1.crt содержит некоторую дополнительную информацию; можно просто включить весь файл.

Сохраните изменения и выйдите. Теперь у нас есть единый профиль клиента OpenVPN для настройки нашего client1.

Шаг 5 - Установка клиентского профиля

Теперь мы обсудим установку клиентского профиля VPN на Windows, OS X, iOS и Android. Ни одна из этих клиентских инструкций не зависит друг от друга, поэтому вы можете перейти к тому, что применимо к вам.

Помните, что соединение будет называться так, как вы назвали файл .ovpn. В нашем примере, поскольку файл был назван DigitalOcean.ovpn, соединение будет называться DigitalOcean.

Окна

Установка

Клиентское приложение OpenVPN для Windows можно найти на странице загрузок OpenVPN. Выберите соответствующую версию установщика для вашей версии Windows.

Примечание. Для установки OpenVPN требуются права администратора.

После установки OpenVPN скопируйте единый профиль DigitalOcean.ovpn в:

C:\Program Files\OpenVPN\config

Когда вы запускаете OpenVPN, он автоматически увидит профиль и сделает его доступным.

OpenVPN необходимо запускать от имени администратора каждый раз, когда он используется, даже под учетными записями администратора. Чтобы сделать это без необходимости щелкать правой кнопкой мыши и выбирать «Запуск от имени администратора» каждый раз, когда вы используете VPN, вы можете настроить это, но это должно быть сделано из учетной записи администратора. Это также означает, что обычным пользователям потребуется ввести пароль администратора для использования OpenVPN. С другой стороны, обычные пользователи не могут правильно подключиться к серверу, если OpenVPN на клиенте не имеет прав администратора, поэтому необходимы повышенные привилегии.

Чтобы приложение OpenVPN всегда запускалось от имени администратора, щелкните правой кнопкой мыши его ярлык и перейдите в «Свойства». В нижней части вкладки «Совместимость» нажмите кнопку «Изменить настройки для всех пользователей». В новом окне установите флажок Запускать эту программу от имени администратора.

Подключение

Каждый раз, когда вы запускаете графический интерфейс OpenVPN, Windows будет спрашивать, хотите ли вы разрешить программе вносить изменения в ваш компьютер. Нажмите Да. Запуск клиентского приложения OpenVPN только помещает апплет в системный трей, поэтому VPN можно подключать и отключать по мере необходимости; на самом деле он не устанавливает VPN-соединение.

После запуска OpenVPN инициируйте соединение, зайдя в апплет на панели задач и щелкнув правой кнопкой мыши значок апплета OpenVPN. Это открывает контекстное меню. Выберите DigitalOcean в верхней части меню (это наш профиль DigitalOcean.ovpn) и нажмите «Подключиться».

Откроется окно состояния, показывающее выходные данные журнала, пока соединение установлено, и сообщение появится, как только клиент подключится.

Отключитесь от VPN таким же образом: зайдите в апплет на панели задач, щелкните правой кнопкой мыши значок апплета OpenVPN, выберите профиль клиента и нажмите «Отключить».

ОС Х

Установка

Страница загрузок Tunnelblick. Дважды щелкните загруженный файл .dmg и следуйте инструкциям по установке.

Ближе к концу процесса установки Tunnelblick спросит, есть ли у вас файлы конфигурации. Может быть проще ответить «Нет» и позволить Tunnelblick закончить. Откройте окно Finder и дважды щелкните DigitalOcean.ovpn. Tunnelblick установит профиль клиента. Требуются административные привилегии.

Подключение

Запустите Tunnelblick, дважды щелкнув Tunnelblick в папке «Приложения». После запуска Tunnelblick в строке меню в правом верхнем углу экрана появится значок Tunnelblick для управления соединениями. Щелкните значок, а затем пункт меню «Подключиться», чтобы инициировать VPN-подключение. Выберите соединение DigitalOcean.

iOS

Установка

В iTunes App Store найдите и установите OpenVPN Connect, официальное клиентское приложение OpenVPN для iOS. Чтобы перенести свой профиль клиента iOS на устройство, подключите его напрямую к компьютеру.

Завершение передачи с помощью iTunes будет описано здесь. Откройте iTunes на компьютере и нажмите «iPhone» > «Приложения». Прокрутите вниз до раздела «Общий доступ к файлам» и щелкните приложение OpenVPN. Пустое окно справа OpenVPN Documents предназначено для обмена файлами. Перетащите файл .ovpn в окно OpenVPN Documents.

Теперь запустите приложение OpenVPN на iPhone. Появится уведомление о том, что новый профиль готов к импорту. Коснитесь зеленого знака «плюс», чтобы импортировать его.

Подключение

Теперь OpenVPN готов к использованию с новым профилем. Запустите подключение, переместив кнопку «Подключить» в положение «Вкл.». Отключите, сдвинув ту же кнопку в положение Off.

Примечание. Переключатель VPN в разделе «Настройки» нельзя использовать для подключения к VPN. Если вы попытаетесь, вы получите уведомление о подключении только с помощью приложения OpenVPN.

Андроид

Установка

Откройте магазин Google Play. Найдите и установите Android OpenVPN Connect, официальное клиентское приложение Android OpenVPN.

Профиль .ovpn можно перенести, подключив устройство Android к компьютеру через USB и скопировав файл. В качестве альтернативы, если у вас есть устройство чтения SD-карт, вы можете извлечь SD-карту устройства, скопировать на нее профиль, а затем вставить карту обратно в устройство Android.

Запустите приложение OpenVPN и коснитесь меню, чтобы импортировать профиль.

Затем перейдите к местоположению сохраненного профиля (на снимке экрана используется /sdcard/Download/) и выберите файл. Приложение отметит, что профиль был импортирован.

Подключение

Чтобы подключиться, просто нажмите кнопку «Подключиться». Вас спросят, доверяете ли вы приложению OpenVPN. Выберите OK, чтобы инициировать подключение. Чтобы отключиться от VPN, вернитесь в приложение OpenVPN и выберите «Отключиться».

Шаг 6. Тестирование вашего VPN-подключения

После того, как все установлено, простая проверка подтверждает, что все работает правильно. Не включив VPN-подключение, откройте браузер и перейдите к DNSLeakTest.

Сайт вернет IP-адрес, назначенный вашим интернет-провайдером, и то, как вы выглядите для остального мира. Чтобы проверить настройки DNS через тот же веб-сайт, нажмите «Расширенный тест», и он сообщит вам, какие DNS-серверы вы используете.

Теперь подключите клиент OpenVPN к VPN вашей капли и обновите браузер. Теперь должен появиться совершенно другой IP-адрес вашего VPN-сервера. Именно так вы предстаете перед миром. Опять же, расширенный тест DNSLeakTest проверит ваши настройки DNS и подтвердит, что вы теперь используете резолверы DNS, навязанные вашей VPN.

Поздравляем! Теперь вы безопасно путешествуете по Интернету, защищая свою личность, местоположение и трафик от шпионов и цензоров.