Что делать после открытия ип пошаговая инструкция: Что делать после регистрации ИП

Title

Title

• Сведение о ПОО
• Главная
• Абитуриенту
• Студенту
• Выпускнику
• Преподавателю

Главная

Сведение о ПОО Основные сведения Структура и органы управления образовательной организации Документы Документы Образование Образовательные стандарты Руководство. Педагогический состав Материально-техническое обеспечение и оснащенность образовательного процесса Стипендия и виды материальной поддержки Платные образовательные услуги Платные образовательные услуги Финансово-хозяйственная деятельность Вакантные места для приема (перевода) Доступная среда Международное сотрудничество Олимпиады, конкурсы Воспитательная деятельность Главная Description Новости Новости воспитательной деятельности Абитуриенту Приемная комиссия Правила приёма Перечень специальностей и профессий Документы для поступления Контрольные цифры приёма 2022/2023 г.

Студенту Расписание занятий Дополнительное образование Социально-психологическая служба Служба содействию трудоустройства Телефон доверия Правила внутреннего распорядка обучающихся студентов Положения для студентов Студенческое самоуправление Безопасность студента Полезные ссылки Выпускнику Выдающиеся выпускники Трудоустройство Наши партнеры Полезные ссылки Преподавателю Положение о методической службе Структура методической службы Повышение квалификации Аттестация Графики Адаптированные образовательные программы по востребованным на региональном рынке труда профессиям и специальностям Методическая копилка В помощь преподавателю, мастеру производственного обучения Полезные ссылки

Новости

Торжественный концерт «Посвящение в студенты»

Яркие танцы, песни, юмористические театральные сценки, не оставили никого равнодушными, на лицах расцветали улыбки и смех.

Разговоры о важном «День пожилых людей»

Презентации, видео и интерактивные задания, сопровождаемые беседой классного руководителя…

День открытых дверей! Ждём вас в 14-00 28.09.2022 г.

Тренировка по эвакуации

обучающихся, проживающих в общежитии.

Баннеры

Полезные статьи о регистрация ИП и ООО

Популярные статьи

Регистрация ИП

• Список документов для регистрации ИП в 2022 году
• Регистрация ИП в 2022 году. Пошаговая инструкция
• Как правильно заполнить заявление по форме Р21001 на регистрацию ИП
• Регистрация ИП через МФЦ
• Действия при отказе в регистрации ИП
• Выбор налогового режима для ИП
• Читать все

Внесение изменений в ИП

• Внесение изменений в сведения об ИП в 2022 году
• Заявление на внесение изменений в сведения об ИП (Р24001)
• Изменение кодов ОКВЭД для ИП в 2022 году.
  Заявление Р24001
• Когда нужно оповещать налоговую о смене адреса ИП
• Подача документов для внесения изменений в данные об ИП. Пошаговая инструкция
• Читать все

Для всех

• Заполнение заявления о переходе на УСН в 2022 году
• Как выбрать коды ОКВЭД для ИП и ООО в 2022 году
• Нужна ли печать для ИП и ООО ?

Регистрация ООО

• Список документов для открытия ООО в 2022 году
• Как правильно заполнить форму Р11001 для создания ООО. Постраничный пример
• Регистрация ООО через МФЦ
• Согласие собственника помещения на предоставление юридического адреса для ООО
• Регистрация ООО на домашний адрес
• Пошаговая инструкция: как открыть ООО самостоятельно в 2022 году
• Уведомление о переходе на УСН при регистрации ООО в 2022 году
• Читать все

Внесение изменений в ООО

• Смена директора ООО. Пошаговая инструкция
• Порядок регистрации Устава
• Увеличение/уменьшение уставного капитала ООО
• Изменения в уставе ООО
• Читать все

Регистрация ИП

Открыть ИП самостоятельно — довольно просто.

По сути, вам нужно только заполнить заявление на регистрацию и оплатить квитанцию. Но есть важные нюансы, о которых вы можете узнать в статьях этого раздела. Вы также можете создать полный пакет документов автоматически при помощи нашего сервиса и скачать их вместе с инструкцией

Подготовка документов

• Список документов для регистрации ИП в 2022 году
• Как правильно заполнить заявление по форме Р21001 на регистрацию ИП
• Пример заявления о переходе на УСН при регистрации ИП в 2022 году
• Квитанция на оплату госпошлины за регистрацию ИП
• Какие документы нужны для открытия расчетного счета ИП в Росбанке

Подача в налоговую

• Регистрация ИП в 2022 году. Пошаговая инструкция
• Регистрация ИП через МФЦ
• Оплата госпошлины за регистрацию ИП в 2022 году

Ответы на частые вопросы

• Как в 2022 году открыть ИП онлайн через Росбанк
• Сколько нужно времени на регистрацию ИП
• Стоимость открытия ИП в 2022 году
• Пошаговая инструкция: как открыть ИП самостоятельно в 2022 году
• Как открыть ИП по временной прописке
• Предпринимательская деятельность без регистрации ИП
• Как иностранцу зарегистрировать ИП
• Может ли ИП работать без печати в 2022 году?
• Действия при отказе в регистрации ИП
• Перечень действий после открытия ООО

Дополнительные действия

• Регистрация ИП в Пенсионном фонде в 2022 году
• Регистрация ИП в Фонде социального страхования
• Что делать после регистрации ИП
• Регистрация ИП с сотрудниками в 2022 году
• Электронная подпись для ИП от ФНС

Налоги

• Выбор системы налогообложения для ИП

Зарегистрируйте ИП онлайн бесплатно

Онлайн-подача Создать документы

Регистрация ООО

Чтобы открыть ООО, вам потребуется указать в заявлении сведения обо всех учредителях общества, генеральном директоре. Кроме этого, нужно подготовить устав, решение единственного учредителя или протокол собрания, если учредителей несколько. Необходимость оплаты госпошлины зависит от способа подачи. Об этом и других правилах открытия ООО читайте в статьях раздела.

Подготовка документов

• Список документов для открытия ООО в 2022 году
• Как правильно заполнить заявление по форме Р11001 на регистрацию ООО
• Договор об учреждении ООО: пример заполнения
• Согласие собственника помещения на предоставление юридического адреса для ООО
• Как создать устав ООО с одним учредителем
• Как создать устав ООО с несколькими учредителями
• Решение единственного учредителя о создании ООО
• Договор об учреждении ООО в 2022 году
• Протокол общего собрания учредителей ООО
• Пример заполнения формы Р11001 для регистрации ООО с одним учредителем
• Пример заполнения формы Р11001 для регистрации ООО с несколькими учредителями
• Перечень документов для открытия расчетного счета ООО в Росбанке
• Понятие типового устава. Плюсы, минусы, применение
• Критерии выбора типового устава ООО в 2022 году
• Гарантийное письмо на юр. адреса

Налоги

• Уведомление об УСН при регистрации ООО в 2022 году

Подача в налоговую

• Регистрация ООО в 2022 году. Пошаговая инструкция
• Регистрация ООО через МФЦ

Дополнительные действия

• Оплата госпошлины за регистрацию ООО
• Выбор кодов ОКВЭД для ООО
• Как выбрать юридический адрес для регистрации ООО
• Электронная подпись для ООО от ФНС

Ответы на частые вопросы

• Как в 2022 году открыть ООО онлайн через Росбанк
• Сколько времени нужно на регистрацию ООО
• Выбор названия ООО — правила и ограничения
• Сколько стоит регистрация ООО
• Регистрация ООО на домашний адрес
• Пошаговая инструкция: как открыть ООО самостоятельно в 2022 году
• Действия при отказе в регистрации ООО
• Регистрация ООО с иностранным учредителем
• Обычный устав переход

Зарегистрируйте ООО онлайн бесплатно

Онлайн-подача Создать документы

Внесение изменений в ИП

Информация о предпринимателе, которая отражена в едином государственном реестре ИП (ЕГРИП) должна всегда быть актуальной. Иногда для этого нужно самостоятельно подать заявление на внесение изменений в ЕГРИП. В этом разделе вы можете узнать, какие существуют правила смены сведений об ИП и каков порядок подготовки и подачи документов в налоговую в этом случае.

Инструкции

• Внесение изменений ИП в данные ЕГРИП онлайн
• Как в 2022 году внести изменения в сведения об ИП
• Как оповестить налоговую о смене адреса ИП
• Действия при смене фамилии ИП
• Внесение изменений в данные ИП. Инструкция по подаче документов

Подготовка документов

• Заявление на внесение изменений в ИП по форме Р24001
• Изменение ОКВЭД для ИП. Заявление Р24001
• Добавление ОКВЭД для ИП. Заявление Р24001

Сформируйте документы для внесения изменений в ИП онлайн

Создать документы

Внесение изменений в ООО

После регистрации ООО все основные сведения о нём содержатся в едином государственном реестре юридических лиц (ЕГРЮЛ). Чтобы внести в них изменения, нужно подать заявление и другие документы в налоговую. О содержании пакета документов, правилах подачи и других необходимых действиях для внесения изменений в сведения об ООО читайте в этом разделе.

Инструкции

• Смена директора ООО. Пошаговая инструкция
• Как в 2022 году сменить коды ОКВЭД в ООО
• Смена наименования ООО. Пошаговая инструкция
• Как внести изменения в устав ООО
• Как перейти на типовой устав — пошаговая инструкция
• Увеличение/уменьшение уставного капитала ООО

Заявление Р13014

• Заявление Р13014 для внесения изменений в ООО
• Как в 2022 году заполнить форму Р13014 для изменения кодов ОКВЭД
• Смена наименования ООО. Постраничное заполнение заявления Р13014
• Правила заполнения формы № Р13014 при смене руководителя ООО
• Заполнение заявления Р13014 для смены адреса ООО
• Когда нужно заверять у нотариуса подпись на заявлении Р13014
• Обновление формы Р13014 для ООО

Подготовка документов

• Решение о смене юридического адреса ООО с единственным учредителем
• Протокол собрания учредителей о смене адреса ООО
• Решение учредителя о смене директора ООО в 2022 году
• Протокол собрания учредителей о смене директора ООО

Сформируйте документы для внесения изменений в ООО онлайн

Создать документы

Ликвидация ИП

Чтобы закрыть ИП необходимо подготовить заявление по форме Р26001 и декларацию, закрыть расчетный счёт в банке, заплатить налоги. Помимо этого предварительно необходимо уволить всех сотрудников в ИП, заплатить все страховые взносы, сняться с учёта ФСС. Об этом и других действиях ликвидации ИП вы можете прочитать в наших статьях.

Подготовка документов

• Заявление на закрытие ИП в 2022 году — форма Р26001
• Список документов для ликвидации ИП
• Декларация при ликвидации ИП в 2022 на УСН

Ответы на частые вопросы

• Закрыть ИП
• Закрыть ИП удаленно
• Закрыть ИП с долгами
• Закрыть ИП через банк
• Сколько стоит закрыть ИП в 2022 г.
• Закрыть ИП через ЭЦП
• Закрытие ИП в другом регионе
• Срок прекращения деятельности ИП
• Можно ли закрыть ИП сразу после открытия
• Как ликвидировать ИП без работников
• Переход ИП на самозанятость
• Ликвидировать ИП на патенте
• Срочная ликвидация ИП
• Как ликвидировать нулевое ИП
• Закрыть ИП без электронной подписи

Подача в налоговую

• Как ликвидировать ИП через Госуслуги
• Как закрыть ИП через налоговую
• Ливкидация ИП в МФЦ

Дополнительные действия

• Госпошлина за прекращение деятельности ИП
• Страховые взносы при закрытии ИП
• Налоги после закрытия ИП

Закройте ИП
онлайн

Онлайн-подача Создать документы

Общие вопросы

Ответы на частые вопросы

• Как заполнить заявление о переходе на УСН в 2022 году
• Как выбрать коды ОКВЭД для ИП и ООО в 2022 году

Вы используете устаревшее программное обеспечение!

Мы не можем гарантировать вам стабильную и корректную работу нашего сервиса, поэтому предлагаем установить один из следующих браузеров:

• Mozilla Firefox 48+
• Google Chrome 50+
• Яндекс-браузер 16+

• Opera 38+
• Internet Explorer 11+

Для установки браузера перейдите по одной из ссылок выше на официальную страницу производителя и нажмите на соответсвующую кнопку, сохранение и установка начнётся автоматически.

Укажите email, на который был зарегистрирован пользователь.

Email

Регистрация

Авторизация

Ваш браузер блокирует использование Cookies. Для продолжения работы с сервисом, пожалуйста, активируйте Cookies и перезагрузите страницу.

Узнать, что такое Cookies, и как их включить в своем браузере, можно по ссылкам:

• Google Chrome
• Mozilla Firefox
• Яндекс Браузер
• Internet Explorer
• Opera
• Safari

Регистрация ИП: пошаговая инструкция по открытию ИП в 2022 году, что делать после регистрации

Зарегистрировать ИП — т. е. получить статус предпринимателя просто, если следовать инструкции. Давайте разбираться, как это можно сделать.

Регистрация ИП: кто может стать предпринимателем

Стать индивидуальным предпринимателем хотят многие, но чтобы получить рассматриваемый статус, необходимо пройти специальную процедуру. Регистрация ИП возможна для каждого совершеннолетнего жителя страны. Причем для несовершеннолетних такой шаг также не находится под запретом. Оформить статус могут дети от 14 лет, при условии, что у них есть согласие родителей. Кроме того, помимо стандартного набора документов, при оформлении нового статуса юные предприниматели должны будут подготовить дополнительные бумаги.

Регистрация в качестве ИП: документы для оформления ИП

Чтобы получить свидетельство о государственной регистрации ИП, необходимо собрать папку документов, которые подтверждают, что человек сможет заниматься предпринимательством и платить государству налоги:

• Паспорт (оригинал и заверенные у нотариуса копии всех страниц).
• Заявление с просьбой зарегистрироваться в качестве ИП (используется формат № Р21001).
• Квитанция о госпошлине (подтверждающая, что вы оплатили обязательный взнос). Оплату можно сделать в любом банке или воспользовавшись онлайн-формой.
• Доверенность, оформленная у нотариуса. Потребуется в случае, если процедура выполняется через представителя.
• Некоторые дополнительные бумаги, если регистрируется статус несовершеннолетнего предпринимателя.

Государственную пошлину можно и не платить, но только если занимаетесь регистрацией документов через Госуслуги или центр “Мои документы”.

Регистрация ИП: дополнительный пакет документов

В некоторых случаях регистрация индивидуальных предпринимателей возможна только если человек помимо стандартного набора документов принесет ещё и папку дополнительных бумаг. Если вы — иностранец, нужен вид на жительство или разрешение на пребывание в стране. Когда речь о несовершеннолетнем, можно выбрать один из представленных ниже вариантов:

• Согласие от родителей/представителей, заверенное у нотариуса;
• Брачное свидетельство самого несовершеннолетнего заявителя;
• Судебное решение о признании заявителя абсолютно дееспособным.

Обычно такой вопрос обсуждается с юристом, и он подскажет, какой документ выбрать целесообразнее. Как правило, согласия родителей достаточно.

Регистрация ИП: какие этапы предусматривает процедура?

Обычно регистрация ИП проходит в несколько этапов:

Определить, чем хотите заниматься	Здесь нет ограничений помимо тех, что устанавливает закон. Хотя следует уточнить, что некоторые направления доступны только для компаний. Например, розничная торговля алкогольными напитками. Также предприниматели могут выбрать сразу несколько направлений, но работать в какой-то одной сфере. По желанию можно подключать и остальные направления. Хотя все же следует уделить больше внимания основному направлению, чтобы не переплачивать по налогам.
Остановиться на какой-то из систем налогообложения	Сделанный выбор повлияет на отчётную документацию. Если не сделать выбор, автоматически поставят ОСНО, что приравнивает налоги ИП с тем, что платит компания. К тому же придется мириться со сложной отчетностью и постоянными проверками. Как альтернатива подходит УСН (упрощенная система), ЕНВД (единый налог на доход), ПСН (патентная), ЕСХН (сельхозналог). Прежде чем остановиться на каком-то варианте, важно проконсультироваться со специалистом, чтобы подобрать вариант, который идеально подойдет именно в вашем случае.
Подать заявление	Именно на его основании будут регистрировать ИП. Заявление пишется на установленной форме №Р21001. Вместе с заявлением подается паспорт (точнее, его копии, подтвержденные оригиналом). Также вместе с заявлением на регистрацию отправляют уведомление о том, что применяется спецрежим. Только его подачей нужно заняться в отведенный законом срок. Если не успеете, придется платить налог на основании общей схемы.
Получение подтверждения	Регистрация ИП должна быть подтверждена. Чтобы получить подтверждение, потребуется потратить около трех рабочих суток. Раньше выдавалось свидетельство о регистрации ИП, но сегодня его заменила выписка из ЕГРИП. Отказы поступают крайне редко. Разве что человек нарушает закон или подает документы с ошибками. Тогда можно попытаться исправить неточность и подать заявление повторно. Если все готово, можно работать предпринимателем. Но есть направления, где регистрация – это только первый шаг. Требуется ещё и уведомить, что начинаете какую-то деятельность. Например, это касается различных услуг вроде гостиничных, косметологических и т.п. Если этого не сделать, можно получить штраф.

Важно знать, что некоторая деятельность помимо регистрации предусматривает ещё и получение лицензии. Если её не получить, даже полностью оформленный ИП может оказаться вне закона, поскольку его работа будет считаться преступной без соответствующей лицензии.

Как подать документы для регистрации ИП

Чтобы была узаконена деятельность ИП, нужно собрать и подать пакет документов. Если с самими документами более или менее разобрались, с тем, куда их подавать могут возникнуть заминки. Давайте рассмотрим наиболее распространенные пути:

• В налоговой. Приходите в ближайшее к вам отделение налоговой инспекции. С собой нужно взять документы, квитанцию об оплате пошлины и отдать все это инспектору.
• Почтой. Письмо отправьте налоговой, указав его ценность и описав все содержимое. Также нужно убедиться, что придет уведомление, когда вторая сторона получит документ.
• В МФЦ. Возьмите с собой папку документов и сотрудники центра сами отсканируют их, сделают копии и направят все это в налоговую.
• Интернет. Перейдите на сайт налоговой. Данный вариант подойдет для граждан, у которых имеется квалифицированная электронная подпись (КЭП).

Поскольку квалифицированная электронная подпись имеется далеко не у каждого, чаще всего документы передаются первыми способами.

Регистрация ИП: как много времени требует процедура?

Сроки регистрации ИП зависят от того, каким образом подавались бумаги и заявление, а также, куда обратились будущие предприниматели. При самостоятельной подаче бумаг это займет около трех суток. Учтите, что подразумеваются рабочие дни, и если подавать документы в пятницу, ожидать готового статуса можно будет только во вторник. Кроме того, влияние оказывает наличие посредника. Оформление через третью сторону занимает чуть больше. Точные сроки можно выяснить при подаче бумаг.

Что делать после того, как закончат регистрировать ИП?

После регистрации ИП нужно выполнить несколько важных шагов, чтобы получить все преимущества нового статуса. Для начала требуется заняться открытием счета в банке. Когда он готов, соответствующие органы должны быть уведомлены о том, что предприниматель начал работу.

Уведомление должно поступить в контролирующие органы, которые заинтересованы работой рассматриваемого предпринимателя. Потому некоторые предприниматели могут быть освобождены от уведомления соответствующих органов. Например, если вы открываете кафе, придется обратиться в Роспотребнадзор, а если оказываете какие-то услуги, то об этом нужно уведомить Роструд.

Обратиться можно личным посещением рассматриваемой организации. Если такой вариант по каким-то причинам вам не подходит, можно отправить сообщение почтой или пойти в МФЦ. Когда составляете уведомление, нужно вписать точную дату, когда начали работать, какой вид деятельности выбрали и по какому адресу зарегистрированы. Игнорирование рассматриваемого условия практически гарантирует штрафные санкции.

Что касается открытого банковского счета, то он нужен, чтобы ИП мог свободно и прозрачно выполнять расчеты с клиентами. Также этот счет потребуется для того, чтобы предприниматель мог платить налоги и вносить различные сборы. Поскольку банков много, можно выбрать тот, условия которого наиболее выгодные.

Как восстанавливается свидетельство о регистрации индивидуальных предпринимателей?

Уже несколько лет получить свидетельство о регистрации ИП не выйдет, поскольку система ведется в электронном формате. Вместо свидетельства выдается выписка, сделанная из записей в ЕГРИП. Она может быть не только в бумажном формате, но и виртуальном. Правда, чтобы получить виртуальный документ, придется пройти регистрацию на платформе ФНС. Зато это бесплатно. А вот получение бумажного носителя требует больше усилий, поскольку придется принести такие бумаги:

• Документы, которые показывают, что за личность делает запрос;
• Запрос на получение сведений;
• Квитанция, подтверждающая, что внесена госпошлина.

Преимущество ФНС заключается в том, что сформировать квитанцию можно прямо на сайте, выбрав для этого любой удобный банк. Также выписку можно получить в центре «Мои документы».

Регистрация в качестве ИП: почему отказывают

Перед тем как открыть ИП убедитесь, что у вас есть на это право, поскольку в противном случае можете получить отказ ФНС. Вас попросту не зарегистрируют в новом статусе. Есть несколько категорий граждан, которые не могут заниматься предпринимательством. Среди них можно выделить следующих:

• Госслужащие, чиновники, военные, судьи, прокуроры, работники полиции, ФСБ;
• Граждане, которые незаконно находятся в стране;
• Официальные банкроты;
• Люди, которые уже имеют признанный статус ИП;
• Граждане, у которых есть судимость;
• Установлен запрет на ведение предпринимательской работы;
• Ошибки в документах.

Что касается несовершеннолетних, то им отказывают практически всегда, но все же у них есть варианты, как открыть ИП:

• Официально оформить брак;
• Получить нотариальное разрешение родителей;
• Несовершеннолетний подал в суд, чтобы его признали дееспособным.

Совершеннолетние граждане могут после регистрации ИП заниматься выбранной деятельностью.

Как аннулировать свидетельство о государственной регистрации ИП и прекратить деятельность

Пошаговая инструкция пригодится не только для регистрации, но и для аннулирования ИП. Чтобы избавить себя от этого статуса, человек может пойти в ФНС в своем регионе (туда, где регистрировался). С собой нужно взять несколько документов:

• Заявление, в котором указать, что хотите прекратить деятельность;
• Квитанцию о госпошлине (если отправляете бумаги онлайн, квитанция не нужна).

Когда бумаги собраны, отправить их можно лично, почтой или онлайн. Также можно воспользоваться услугами доверенного лица, но тогда к общей папке бумаг приложите доверенность, заверенную нотариусом. Спустя 5 дней деятельность ИП будет прекращена.

Регистрация ИП — Центрконсалт.рф

Регистрация ИП — Центрконсалт. рф

Регистрация ИП

Регистрация ИП | 3502

Упрощенная система налогообложения — один из режимов, условием работы на котором для бизнесменов и компаний является оплата лишь единого налога с получаемой прибыли. Это отличный вариант для среднего и малого бизнеса.

Регистрация ИП | 1064

Индивидуальным предпринимателям можно вести деятельность как с использованием печати, так и без нее. Но есть несколько ситуаций, когда она может быть необходима. Что такое печать индивидуального предпринимателя, в чем особенности, нюансы ее оформления и защиты, — узнаете из нашей статьи.

Регистрация ИП | 7886

После начала деятельности по утвержденным кодам предпринимателю и компании может понадобиться поменять ОКВЭД или включить еще одно направление для работы при помощи кодов.

Регистрация ИП | 552

В России применяется шесть систем налогообложения, которые различаются между собой суммой уплаты налогов и необходимой отчетностью. Одна из самых популярных для некрупного бизнеса — УСН (расшифровка — упрощенная система налогообложения). По названию понятно, что она позволяет предпринимателям уделять меньше внимания документации и не настолько сильно заморачиваться с налоговыми сборами: отчеты сдаются единожды в год, а стоимость минимальна.

Регистрация ИП | 505

Заявление Р21001 — официальный документ о государственном подтверждении статуса предпринимателей физлиц, действие новой редакции которого началось с ноября 2020 года. Именно от достоверного и внимательного заполнения бланка во многом зависит, получится ли у будущего бизнесмена быстро и без лишних трудностей создать свое дело.

Регистрация ИП | 786

Патент для ИП (второе название — ПСН) считается одним из самых простых видов налогообложения. При его выборе бизнесмену не требуется оформлять декларацию и подавать ее в ответственные органы, а книгу учетов даже при отсутствии опыта получится заполнять самостоятельно. Также он освобождается от уплаты НДС, НДФЛ, налога на имущество и торгового сбора.

Регистрация ИП | 1289

Определение кодов ОКВЭД изначально кажется клиентам очень непростой задачей. Из-за трудностей в процессе отдельные сотрудники, которые этим занимаются, даже выносят услугу отдельно от других и запрашивают за нее дополнительные суммы. Но при внимательном подходе и знании некоторых условий вопрос, как определить ОКВЭД по виду деятельности, станет достаточно простым, а его решение не займет у желающего заняться бизнесом много времени.

Регистрация ИП | 2777

Работа в найме не всегда дает возможность полностью раскрыть потенциал. Поэтому самые активные люди задумываются, как начать свой бизнес. Согласно статистике, в России насчитывается 2,9 % предпринимателей, которые однажды решились на это рискованное занятие. Чтобы вступить в их ряды, от человека требуется гибкость мышления, смелость и четкое понимание своих целей. При этом не всегда нужны огромные суммы, на начальных этапах достаточно минимальных вложений.

Регистрация ИП | 1538

Когда человек решает стать предпринимателем, то сразу задумывается над тем, какие документы нужны для оформления ИП. Многие думают, что это непростой и дорогой процесс, но если начать готовиться заранее, то устроить бизнес довольно легко. Сами документы возможно оформить с помощью бесплатного специализированного сервиса. Затем нужно выполнить несколько важных требований, например, заказать печать и открыть счет. Чтобы вы не запутались, прочтите нашу пошаговую инструкцию.

Регистрация ИП | 2340

2020 год привнес в процедуру регистрации ИП множество новшеств. Например, теперь налоговая и МФЦ отдают предпочтение электронному взаимодействию с заявителями. 

Регистрация ИП | 16618

Фактически свидетельство о государственной регистрации ИП позиционирует как некоторое подтверждение пройденного процесса прохождения регистрации физического лица и предоставление ему возможности заниматься предпринимательской деятельности. В представленном документе содержится индивидуальный номер ОГРНИП, а также дата прохождения регистрации. 

Регистрация ИП | 2538

Процесс, в ходе которого регистрируется ИП, сделался еще более простым. В рамках выполнения Дорожной карты, призванной оптимизировать процедуру госрегистрации предприятий и отдельных предпринимателей, были уменьшены и без того излишне продолжительные сроки регистрации ИП в налоговой.

Регистрация ИП | 3728

Временная регистрация представляет собой госрегистрацию ИП на ограниченный период. После его завершения таковую нужно будет продлевать вновь и вновь. Это вызвано тем, что право на то, чтобы гражданин временно проживал в стране, является ограниченным, а именно 3 годами.

Регистрация ИП | 5735

Задумываясь об открытии собственного бизнеса необходимо подумать и о правовом статусе организации предпринимательской деятельности. Если предполагается выполнение работ или предоставление услуг собственными силами или с привлечением до ста работников, то статус ИП вполне подойдет. Основным преимуществом ИП является простота открытия, а также скорость рассмотрения соответствующей заявки в ФНС.

Регистрация ИП | 7355

Регистрация ИП начинается с заполнения заявления. Форма стандартна и в этом году осталась прежней. С типом деятельности необходимо определиться заранее. Обычно так и происходит, ведь планы всегда предшествуют действию. После заполнения заявления и наступает тот момент, без которого невозможно двигаться дальше, — оплата госпошлины за регистрацию ИП. Возможностей это сделать гораздо больше, увеличилось количество способов.

Регистрация ИП | 12362

Для открытия ИП без столичной прописки по адресу временной госрегистрации необходимо соблюдения трех основных требований. Во-первых, предпринимателю нужно подтвердить, что постоянная прописка отсутствует. Для этого достаточно будет показать паспорт, в котором нет соответствующего штампа. Во-вторых, обладать свидетельством о временной госрегистрации периодом действия не меньше 6 шести месяцев с той даты, когда была подана документация для госрегистрации ИП. В-третьих, представить специалисту налоговой инспекции полный пакет необходимой документации, без которых регистрация ИП в Москве не состоится.

Регистрация ИП | 1675

Индивидуальный или частный предприниматель (устаревшее название на настоящий момент) – физическое лицо, которое зарегистрировано без наличия юридического лица, но, по факту обладающее многими их правами.

Регистрация ИП | 13661

Процедура регистрации ИП несложная и разобраться в ней может любой человек. Тем не менее она требует определенных знаний и внимательности.

Регистрация ИП | 9596

Процедура регистрации индивидуального предпринимателя не так сложна, как кажется на первый взгляд. Пять основных шагов регистрации ИП самостояльно, помогут избежать излишней бумажной работы, помогут сориентироваться в системах налогообложения в России. Данные рекомендации помогут начинающему предпринимателю зарегистрировать ИП самостоятельно и с минимальными финансовыми затратами.

Регистрация ИП | 2456

У бизнесменов возникает вопрос после регистрации ИП: «Что делать дальше?» В первую очередь, надо озадачиться выбором подходящей системы налогообложения. Законодатель строго ограничивает рамки на принятия решения после присвоения специального статуса.

Страницы: 1 2 След.

Готовые фирмы Оффшоры Патент Сметы Товарный знак СРО Сертификация ISO Лицензирование Регистрация ООО Регистрация ИП Ликвидация ООО Закрытие ИП Тендеры Бухгалтерия Юридический адрес Правовые вопросы Разное Электролаборатория Отходы

Популярные статьи

СРО Специалисты для единого реестра СРО (НОСТРОЙ / НОПРИЗ)

В наличии более 1140 специалистов, соответствующих требованиям НОСТРОЙ / НОПРИЗ и готовых к трудоустройству прямо сейчас. Оформление согласно ТК РФ.+

Нужны специалисты

Свежие статьи

2022 © Центрконсалт

Выберите свой город

Например: Санкт-Петербург Москва

Москва Санкт-Петербург Краснодар Нижний Новгород Новосибирск Красноярск Ростов Самара Уфа Воронеж Екатеринбург Омск Иркутск Калининград Ярославль Пермь Тюмень Рязань Симферополь Казань

Спасибо за заявку!

Наш менеджер свяжется с Вами

Бесплатная консультация

Мы перезвоним Вам за 8 секунд!

*Укажите телефон

Спасибо за заявку!

Наш менеджер свяжется с Вами

Бесплатная консультация эксперта

Перезвоним за 8 секунд

*Укажите телефон

Спасибо за заявку!

Наш менеджер свяжется с Вами

Узнать подробнее или записаться

Перезвоним за 8 секунд

*Укажите телефон

Спасибо за заявку!

Наш менеджер свяжется с Вами

Оставьте заявку и получите лучшую цену среди конкурентов до конца месяца!

Перезвоним за 8 секунд

*Укажите телефон

Оставить заявку

Спасибо за заявку!

Наш менеджер свяжется с Вами в течении 8 секунд

Если не нашли нужное название или назначение обучения. Оставьте свой контакт, мы свяжемся и расскажем что у нас есть.

*Укажите телефон

Как установить статический IP-адрес

Август 2021 г.

Существует множество причин, по которым вам может потребоваться изменить и установить статический IP-адрес для вашего IP-устройства, например управляемого коммутатора, беспроводного маршрутизатора или наружной точки доступа. Одна из причин заключается в том, что в сценарии установки нет активной сети со службами DHCP. Некоторые другие причины, по которым вам может понадобиться установить статический IP-адрес, связаны с тем, что вы используете выделенный веб-сервер, хост-сервер, VPN или услуги VoIP.

Установка статических IP-адресов может помочь избежать сетевых конфликтов, которые могут привести к тому, что определенные устройства перестанут работать правильно. Однако в большинстве сценариев установки пользователи будут использовать обычную сеть, и им не потребуется использовать статический IP-адрес. Установка статического IP-адреса — это продвинутая сетевая функция, для которой необходимы базовые фундаментальные знания TCP/IP.

Как правило, статически адресуйте устройства за пределами диапазона вашего пула DHCP, которым в большинстве домашних сетей является ваш маршрутизатор. Для справки: диапазон пула DHCP для продуктов TRENDnet обычно (но не всегда) составляет от 192.168.10.101 до 199.

1. Откройте панель управления

В строке поиска Windows введите «ncpa.cpl» и нажмите войти.

Если вы не используете Windows 10, выполните следующие действия.

1. На клавиатуре одновременно нажмите клавиши «Windows» и «R».
2. Введите «ncpa.cpl» в появившемся окне.

Примечание. Сетевые подключения будут отображать сетевые адаптеры, которые в данный момент подключены к вашему компьютеру.

2. Выберите сетевой адаптер

Щелкните правой кнопкой мыши сетевой адаптер, который в данный момент подключен к устройству, которое вы пытаетесь настроить. Обычно это адаптер со словом «Ethernet» в названии.

3. Выберите Свойства

Выберите «Свойства» в раскрывающемся меню.

4. Выберите Интернет-протокол версии 4 (TCP/IPv4)

Дважды щелкните «Интернет-протокол версии 4 (TCP/IPv4)».

5. Вручную введите IP-адрес и маску подсети

Выберите «Использовать следующий IP-адрес», а затем введите следующую информацию в соответствующие поля:

IP-адрес: Проверьте устройство, к которому вы подключены, по порядку чтобы определить IP-адрес. Первые три набора цифр должны совпадать. В этом уроке мы будем использовать IP-адрес 19.2.168.10.10.

Маска подсети: Маска подсети между устройством, к которому вы пытаетесь подключиться, должна совпадать с маской вашего ПК. В этом руководстве мы будем использовать маску подсети 255.255.255.0

6. Сохранить настройки

Нажмите кнопку «ОК» в окне «Свойства протокола Интернета версии 4 (TCP/IPv4)», а также нажмите кнопку «ОК» в окне «Свойства». Свойства Ethernet».

Примечание. Кнопки OK необходимо нажать в обоих случаях, иначе ваши настройки не будут сохранены.

7. Возврат к DHCP

Чтобы снова настроить компьютер на DHCP, повторите шаги 1–4 еще раз. Когда вы попадете в окно «Свойства протокола Интернета версии 4 (TCP/IPv4)», нажмите «Получить IP-адрес автоматически». Это позволит вашему ПК получить случайный IP-адрес в вашей сети.

Примечание. Кнопки OK необходимо нажать в обоих случаях, иначе ваши настройки не будут сохранены.

Глоссарий

Операционная система
Операционная система (часто сокращается до ОС) — это программное обеспечение, используемое вашим компьютером или мобильным устройством для выполнения основных функций. Microsoft Windows, Apple macOS и Linux — самые популярные операционные системы для компьютеров и ноутбуков, а Android и iOS — для мобильных устройств.

Браузер
Браузер (сокращение от веб-браузер) — это программное приложение, которое позволяет вам выходить в Интернет. Одними из самых популярных браузеров являются Chrome, Safari, Edge, Internet Explorer и Firefox.

Сетевой адаптер
Сетевой адаптер позволяет устройству обмениваться данными и подключаться к локальной сети (LAN), Интернету или другим компьютерам. Сетевые адаптеры могут быть проводными или беспроводными, они могут быть видимыми или скрытыми от посторонних глаз.

IP-адрес
IP-адрес — это уникальный идентификатор устройств, имеющих доступ в Интернет, или устройств в локальной сети. Он использует строку цифр и/или букв с точками или двоеточиями. Чтобы определить свой IP-адрес, введите «мой IP-адрес» в поисковую систему, например Google или Bing. Вы также можете посетить whatismyipaddress.com или whatismyip.com.

Динамический IP-адрес
Динамический IP-адрес — это IP-адрес, который может меняться со временем. Ваш IP-адрес может меняться при каждом подключении. Большинство IP-адресов, назначенных вашим интернет-провайдером, будут динамическими IP-адресами.

Статический IP-адрес
Статический IP-адрес (также называемый ручным IP-адресом или статической конфигурацией IP) — это IP-адрес, который остается неизменным с течением времени. Ваш IP-адрес остается неизменным (или статическим) каждый раз, когда вы подключаетесь (из одного и того же места). Ваш IP-адрес может измениться, если вы подключитесь к другой сети в другом месте.

Как установить статический IP-адрес

Изменить настройки TCP/IP

TCP/IP определяет, как ваш компьютер взаимодействует с другими компьютерами.

Чтобы упростить управление настройками TCP/IP, мы рекомендуем использовать автоматический протокол динамической конфигурации хоста (DHCP). DHCP автоматически назначает IP-адреса компьютерам в вашей сети, если ваша сеть это поддерживает. Если вы используете DHCP, вам не нужно изменять настройки TCP/IP при перемещении ПК в другое место, а DHCP не требует ручной настройки параметров TCP/IP, таких как система доменных имен (DNS) и служба имен Интернета Windows (WINS).

Чтобы включить DHCP или изменить другие параметры TCP/IP

1. Выберите  Start , затем введите settings . Выберите  Настройки  >  Сеть и Интернет .

2. org/ListItem»>

   Выполните одно из следующих действий:

   • Для сети Wi-Fi выберите  Wi-Fi  >  Управление известными сетями . Выберите сеть, для которой вы хотите изменить настройки.

   • Для сети Ethernet выберите  Ethernet , затем выберите сеть Ethernet, к которой вы подключены.

3. Рядом с Назначение IP выберите Изменить .

4. org/ListItem»>

   В разделе Изменить настройки сетевого IP или Изменить настройки IP выберите Автоматически (DHCP) или Вручную .

   • Чтобы указать параметры IPv4 вручную

     1. В разделе Изменить настройки IP сети или Изменить настройки IP выберите Вручную , затем включите IPv4 .

     2. Чтобы указать IP-адрес, в полях IP-адрес, Маска подсети и Шлюз введите параметры IP-адреса.

     3. Чтобы указать адрес DNS-сервера, в полях Preferred DNS и Alternate DNS введите адреса основного и дополнительного DNS-серверов.

     4. Чтобы указать, хотите ли вы использовать зашифрованное (DNS через HTTPS) или незашифрованное соединение с указанным DNS-сервером или серверами, в течение DNS через HTTPS , выберите нужный параметр:

        • Off : все DNS-запросы будут отправляться на DNS-сервер в незашифрованном виде в виде открытого текста по протоколу HTTP.

        • Вкл (автоматический шаблон) : DNS-запросы будут зашифрованы и отправлены на DNS-сервер по протоколу HTTPS. Запросы DNS будут использовать настройки по умолчанию для автоматического шаблона или попытаются обнаружить их автоматически.

        • Включено (шаблон вручную) : DNS-запросы будут зашифрованы и отправлены на DNS-сервер по протоколу HTTPS. Они будут использовать настройки, которые вы вводите в Блок DNS через шаблон HTTPS .

     5. org/ListItem»>

        Если вы используете DNS поверх HTTPS (автоматический или ручной шаблон), включите или выключите Откат к открытому тексту :

        • Если эта функция включена, DNS-запрос будет отправляться в незашифрованном виде, если его невозможно отправить по протоколу HTTPS.

        • Если этот параметр отключен, DNS-запрос не будет отправлен, если он не может быть отправлен по протоколу HTTPS.

   • Чтобы указать параметры IPv6 вручную

     org/ItemList»>

     1. В разделе Изменить настройки IP сети или Изменить настройки IP выберите Вручную , затем включите IPv6 .

     2. Чтобы указать IP-адрес, в полях IP-адрес , Длина префикса подсети и Шлюз введите параметры IP-адреса.

     3. Чтобы указать адрес DNS-сервера, в полях Preferred DNS и Alternate DNS введите адреса основного и дополнительного DNS-серверов.

     4. org/ListItem»>

        Чтобы указать, хотите ли вы использовать зашифрованное (DNS через HTTPS) или незашифрованное соединение с указанным DNS-сервером или серверами, в течение DNS через HTTPS , выберите нужный параметр:

        • Off : все DNS-запросы будут отправляться на DNS-сервер в незашифрованном виде в виде открытого текста по протоколу HTTP.

        • Вкл (автоматический шаблон) : DNS-запросы будут зашифрованы и отправлены на DNS-сервер по протоколу HTTPS. Запросы DNS будут использовать настройки по умолчанию для автоматического шаблона или попытаются обнаружить их автоматически.

        • Включено (шаблон вручную) : DNS-запросы будут зашифрованы и отправлены на DNS-сервер по протоколу HTTPS. Они будут использовать настройки, которые вы вводите в Блок DNS через шаблон HTTPS .

     5. Если вы используете DNS поверх HTTPS (автоматический или ручной шаблон), включите или выключите Откат к открытому тексту :

        • Если эта функция включена, DNS-запрос будет отправляться в незашифрованном виде, если его невозможно отправить по протоколу HTTPS.

        • Если этот параметр отключен, DNS-запрос не будет отправлен, если он не может быть отправлен по протоколу HTTPS.

   • При выборе Автоматически (DHCP) настройки IP-адреса и настройки адреса DNS-сервера устанавливаются автоматически вашим маршрутизатором или другой точкой доступа (рекомендуется).

   • При выборе Вручную вы можете вручную установить параметры IP-адреса и адрес DNS-сервера.

5. Когда вы закончите, выберите  Сохранить .

Примечание. Чтобы установить IPv4, запустите командную строку от имени администратора и введите 9.0133 netsh interface ipv4 install , а затем нажмите Enter .

Чтобы включить DHCP или изменить другие параметры TCP/IP

1. Выберите Пуск  , затем выберите Настройки   > Сеть и Интернет  .

2. org/ListItem»>

   Выполните одно из следующих действий:

   • Для сети Wi-Fi выберите Wi-Fi   > Управление известными сетями . Выберите сеть, для которой вы хотите изменить настройки, затем выберите Свойства.

   • Для сети Ethernet выберите Ethernet , затем выберите сеть Ethernet, к которой вы подключены.

3. В разделе IP-назначение выберите Изменить .

4. org/ListItem»>

   В разделе Редактировать настройки IP выберите Автоматически (DHCP) или Вручную .

   1. Чтобы указать параметры IPv4 вручную

      1. В разделе Изменить настройки IP выберите Вручную , затем включите IPv4 .

      2. Чтобы указать IP-адрес, в полях IP-адрес, Длина префикса подсети и Шлюз введите параметры IP-адреса.

      3. Чтобы указать адрес DNS-сервера, в полях Preferred DNS и Alternate DNS введите адреса первичного и вторичного DNS-серверов.

   2. Чтобы указать параметры IPv6 вручную

      1. В разделе Изменить настройки IP выберите Вручную , затем включите IPv6 .

      2. org/ListItem»>

         Чтобы указать IP-адрес, в полях IP-адрес, Длина префикса подсети и Шлюз введите параметры IP-адреса.

      3. Чтобы указать адрес DNS-сервера, в поле Предпочтительный DNS и Альтернативный DNS . В полях введите адреса основного и дополнительного DNS-серверов.

   • При выборе Автоматически (DHCP) настройки IP-адреса и настройки адреса DNS-сервера устанавливаются автоматически вашим маршрутизатором или другой точкой доступа (рекомендуется).

   • org/ListItem»>

     При выборе Вручную вы можете вручную задать параметры IP-адреса и адрес DNS-сервера.

5. Когда вы закончите, выберите Сохранить .

Примечание. Чтобы установить IPv4, запустите командную строку от имени администратора и введите 9.0133 netsh interface ipv4 install , а затем нажмите Enter .

Чтобы включить DHCP или изменить другие параметры TCP/IP

1. Выполните одно из следующих действий:

   • org/ListItem»>

     В Windows 8.1 нажмите кнопку Пуск , начните вводить Просмотр сетевых подключений , а затем выберите Просмотреть сетевые подключения в списке.

   • В Windows 7 откройте Сетевые подключения , нажав кнопку Пуск , а затем выбрав Панель управления . В поле поиска введите адаптер , а затем в разделе Центр управления сетями и общим доступом выберите Просмотр сетевых подключений .

2. Щелкните правой кнопкой мыши подключение, которое вы хотите изменить, и выберите Свойства . Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

3. Выберите вкладку Сеть . Под В этом соединении используются следующие элементы , выберите Интернет-протокол версии 4 (TCP/IPv4) или Интернет-протокол версии 6 (TCP/IPv6) , а затем выберите Свойства .

4. Чтобы указать параметры IP-адреса IPv4, выполните одно из следующих действий:

   • Для автоматического получения настроек IP с помощью DHCP выберите Получить IP-адрес автоматически , а затем выберите OK .

   • org/ListItem»>

     Чтобы указать IP-адрес, выберите Использовать следующий IP-адрес , а затем в полях IP-адрес, Маска подсети и Шлюз по умолчанию введите параметры IP-адреса.

5. Чтобы указать параметры IP-адреса IPv6, выполните одно из следующих действий:

   • Для автоматического получения настроек IP с помощью DHCP выберите Получить IPv6-адрес автоматически , а затем выберите OK .

   • Чтобы указать IP-адрес, выберите Использовать следующий IPv6-адрес , а затем в адресе IPv6 длину префикса подсети и Шлюз по умолчанию , введите настройки IP-адреса.

6. Чтобы указать настройки адреса DNS-сервера, выполните одно из следующих действий:

   • Чтобы получить адрес DNS-сервера автоматически с помощью DHCP, выберите Получить адрес DNS-сервера автоматически , а затем выберите OK .

   • Чтобы указать адрес DNS-сервера, выберите Использовать следующие адреса DNS-серверов , а затем в полях Предпочтительный DNS-сервер и Альтернативный DNS-сервер введите адреса основного и дополнительного DNS-серверов.

7. Чтобы изменить дополнительные настройки DNS, WINS и IP, выберите Расширенный .

Примечание. Чтобы установить IPv4, запустите командную строку от имени администратора, введите netsh interface ipv4 install и нажмите Введите .

Как установить статический IP-адрес в Windows 10

Назначение вручную

Вы можете установить статический IP-адрес вручную в Windows 10 несколькими способами, и в этом руководстве вы узнаете, как использовать командную строку, PowerShell, панель управления и настройки.

Мауро Хук @pureinfotech

15 июня 2022 г.

2022-06-15T07:36:17-04:00

В Windows 10 установка статического IP-адреса для компьютера — это конфигурация, которую вам может потребоваться настроить во многих сценариях. Например, если вы планируете обмениваться файлами, принтером в локальной сети или настраивать переадресацию портов.

Если вы не назначите статический IP-адрес, службы или конфигурация переадресации портов в конечном итоге перестанут работать. Причина в том, что по умолчанию подключенные устройства используют динамические IP-адреса, назначаемые сервером протокола динамической конфигурации хоста (DHCP) (обычно маршрутизатором), которые могут измениться в любое время, как только вы перезапустите машину или после динамически назначенной конфигурации. истекает.

В этом руководстве вы узнаете, как установить статический IP-адрес (версия 4) для устройства с Windows 10 при предоставлении услуги в сети или просто настроить переадресацию портов на ваше устройство на маршрутизаторе. (См. также этот видеоурок с пошаговым руководством для выполнения этой задачи.)

• Как назначить статический IP-адрес с помощью командной строки
• Как назначить статический IP-адрес с помощью панели управления
• Как назначить статический IP-адрес с помощью PowerShell
• Как назначить статический IP-адрес с помощью настроек

Хотя использование команд может быть сложным для некоторых пользователей, это один из самых быстрых способов установить статический IP-адрес в Windows 10.

Выполните следующие действия, чтобы установить статический IP-адрес в Windows 10 с помощью командной строки:

1. Открыть Запустить в Windows 10.

2. Найдите Командная строка , щелкните правой кнопкой мыши верхний результат и выберите Запуск от имени администратора 9вариант 0081.

3. Введите следующую команду, чтобы просмотреть текущую сетевую конфигурацию, и нажмите . Введите :

   .

    ipconfig /все 

4. Под сетевым адаптером запишите имя адаптера, а также следующую информацию в этих полях:

   • IPv4
   • Маска подсети
   • Шлюз по умолчанию
   • DNS-серверы

   Команда ipconfig Windows 10

5. Введите следующую команду, чтобы назначить статический IP-адрес в Windows 10, и нажмите . Введите :

   .

    IP-адрес интерфейса netsh set name="Ethernet0" static 10.1.2.220 255.255.255.0 10.1.2.1 

   В приведенной выше команде замените Ethernet0 на имя вашего сетевого адаптера. Измените 10.1.2.220 255.255.255.0 10.1.2.1 , указав IP-адрес устройства, маску подсети и адрес шлюза по умолчанию, соответствующие конфигурации вашей сети.

6. Введите следующую команду, чтобы установить адрес DNS-сервера, и нажмите . Введите :

   .

    IP-адрес интерфейса netsh dns name="Ethernet0" static 10.1.2.1 

   В команде обязательно замените Ethernet0 на имя вашего адаптера и 10.1.2.1 на адрес DNS-сервера сети.

7. Введите следующую команду, чтобы установить альтернативный адрес DNS-сервера, и нажмите . Введите :

   .

    IP-адрес интерфейса netsh add dns name="Ethernet0" 8.8.8.8 index=2 907:20
    
    В команде замените  Ethernet0  на имя вашего адаптера и  8. 8.8.8  на альтернативный адрес DNS-сервера. 
    
    Команда netsh Windows 10 для установки статического IP-адреса 
    

После выполнения этих шагов вы можете протестировать новую конфигурацию с помощью команды ping (например, ping google.com ), чтобы проверить, работает ли Интернет. Кроме того, вы можете открыть веб-сайт, чтобы проверить, работает ли конфигурация.

Microsoft находится в процессе удаления netsh из Windows 10. В результате вместо этого вам следует начать использовать сетевой модуль «NetTCPIP», доступный в PowerShell.

Если командная строка не для вас, можно использовать панель управления для изменения параметров IP в Windows 10.

Выполните следующие действия, чтобы назначить статическую IP-конфигурацию с помощью панели управления:

Открыть Панель управления .

Нажмите Сеть и Интернет .

Нажмите Центр управления сетями и общим доступом .

Щелкните параметр Изменить настройки адаптера на левой панели навигации.

Панель управления Центр управления сетями и общим доступом

Щелкните правой кнопкой мыши сетевой адаптер и выберите параметр Свойства .

Выберите вариант Интернет-протокол версии 4 (TCP/IPv4) .

Нажмите Свойства кнопка.

Свойства сетевого адаптера панели управления

Выберите параметр Использовать следующий IP-адрес .

Назначьте статический IP-адрес – например, 10.1.2.220 .

Укажите Маску подсети . Обычно в домашней сети маска подсети имеет вид 255.255.255.0 .

Укажите шлюз по умолчанию . (Обычно это IP-адрес вашего маршрутизатора. Например, 10. 1.2.1 .)

В разделе «Использовать следующие адреса DNS-серверов для установки предпочтительного DNS-сервера» установите Адрес предпочтительного DNS-сервера , обычно это IP-адрес вашего маршрутизатора или IP-адрес сервера, предоставляющий разрешения DNS (например, 10.1.2.1 ).

(Необязательно) Укажите Альтернативный DNS-сервер , который будет использоваться компьютером, если он не сможет связаться с предпочитаемым DNS-сервером.

Нажмите кнопку OK .

Свойства TCP/IPv4 сетевого адаптера Windows 10

Нажмите кнопку Закрыть еще раз.

После выполнения этих шагов вы можете открыть веб-браузер и загрузить веб-сайт, чтобы проверить, работает ли конфигурация.

Windows 10 также включает платформу командной строки PowerShell, которая позволяет вам использовать модуль «NetTCPIP» для управления сетевыми настройками, включая возможность изменять настройки IP-адреса вашего компьютера.

Чтобы установить статический IP-адрес с помощью PowerShell, выполните следующие действия:

1. Открыть Запустить .

2. Найдите PowerShell , щелкните результат правой кнопкой мыши и выберите параметр «Запуск от имени администратора ».

3. Введите следующую команду, чтобы просмотреть текущую конфигурацию сети, и нажмите . Введите :

   .

    Get-NetIPConfiguration 

   После выполнения команды обратите внимание на следующую информацию: 

   • Индекс интерфейса
   • IPv4-адрес
   • IPv4DefaultGateway
   • DNS-сервер

   Команда PowerShell Get-NetIPConfiguration

4. Введите следующую команду, чтобы установить статический IP-адрес, и нажмите . Введите :

   .

    New-NetIPAddress -InterfaceIndex 4 -IPAddress 10. 1.2.220 -PrefixLength 24 -DefaultGateway 10.1.2.1 

   Команда PowerShell New-NetIPAddress

   В команде замените номер InterfaceIndex (4) на соответствующий номер вашего адаптера. Измените IPAddress на статический IP-адрес, который вы хотите назначить своему устройству. При необходимости измените PrefixLength (маска подсети) на правильный номер бита. Обычно в домашней сети это 24 . Кроме того, измените параметр DefaultGateway на адрес сетевого шлюза по умолчанию.

5. Введите следующую команду, чтобы назначить адрес DNS-сервера, и нажмите Введите :

    Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses 10.1.2.1 

   Команда PowerShell Set-DNSClientServerAddress

   Если вам нужно установить дополнительный адрес DNS-сервера, используйте запятую, чтобы использовать ту же команду с другим адресом. Например:

    Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses 10. 1.2.1, 8.8.8.8 

   В команде замените номер InterfaceIndex (4) на соответствующий номер вашего сетевого адаптера. Кроме того, изменить ServerAddresses с IP-адресом DNS.

После выполнения этих шагов вы можете протестировать новую конфигурацию, открыв веб-браузер и перейдя по веб-сайту.

В Windows 10 вы также можете изменить настройки IP-адреса с помощью приложения «Настройки» для беспроводных и проводных адаптеров.

Назначение статического IP-адреса адаптеру Wi-Fi

Чтобы назначить конфигурацию статического IP-адреса адаптеру Wi-Fi, выполните следующие действия:

1. Открыть Настройки .

2. Нажмите Сеть и Интернет .

3. Нажмите на Wi-Fi .

4. Щелкните текущее сетевое соединение.

   Настройки Wi-Fi

5. В разделе «Настройки IP» нажмите кнопку Изменить .

   IP-настройки Wi-Fi в Windows 10

6. В раскрывающемся меню выберите параметр Manual .

   Опция статического IP-адреса Wi-Fi

7. Включите тумблер IPv4 .

   Wi-Fi изменить настройки IP-адреса

8. Установите статический IP-адрес для использования компьютером с Windows 10.

9. Укажите длину префикса подсети (маска подсети). Если маска подсети — 255.255.255.0 , то длина префикса подсети в битах — 24 .

10. Укажите шлюз по умолчанию адрес.

11. Укажите предпочтительный адрес DNS .

12. Укажите Альтернативный DNS-адрес (если применимо).

13. Нажмите кнопку Сохранить .

    Статическая конфигурация Wi-Fi TCP/IPv4

После выполнения этих шагов вы можете проверить свои настройки, используя веб-браузер, чтобы открыть веб-сайт.

Назначение статического IP-адреса адаптеру Ethernet

Чтобы назначить конфигурацию статического IP-адреса адаптеру Ethernet (проводному), выполните следующие действия:

Важно: Возможность изменения параметров сетевого протокола на адаптере Ethernet доступна, начиная с Windows 10 версии 1903, обновления за май 2019 г. и более поздних версий.

1. Открыть Настройки .

2. Нажмите Сеть и Интернет .

3. Щелкните Ethernet .

4. Щелкните текущее сетевое соединение.

   Настройки Ethernet

5. В разделе «Настройки IP» нажмите кнопку Изменить .

   Настройки IP-адреса Ethernet в Windows 10

6. В раскрывающемся меню выберите параметр Manual .

   Опция статического IP-адреса Ethernet

7. Включите тумблер IPv4 .

   Ethernet изменить настройки IP-адреса

8. Установить статический IP-адрес .

9. Укажите Длина префикса подсети (маска подсети). Если ваша маска подсети 255.255.255.0 , то длина префикса подсети в битах будет 24 .

10. Укажите адрес шлюза по умолчанию .

11. Укажите предпочтительный адрес DNS .

12. Укажите Альтернативный адрес DNS (если применимо).

13. Нажмите кнопку Сохранить .

    Статическая конфигурация Ethernet TCP/IPv4

После выполнения этих шагов вы можете проверить свои настройки с помощью веб-браузера, чтобы открыть веб-сайт.

Какой бы метод вы ни использовали, рекомендуется назначать IP-адреса в пределах сетевого диапазона и за пределами области DHCP-сервера , чтобы обеспечить правильное подключение и избежать конфликтов адресов. Если несколько устройств используют один и тот же адрес, это вызовет сетевой конфликт, препятствующий подключению к Интернету.

Мы ориентируемся в этом руководстве на Windows 10, но вы можете использовать методы командной строки и панели управления в Windows 8.1 и 7.

• Как отключить экран блокировки в Windows 11
• Как настроить общий доступ к файлам по сети в Windows 10

Или подпишитесь по этой ссылке, чтобы еженедельно получать электронные письма

Мы так же, как и вы, ненавидим спам! Отписаться в любое время
Работает на Follow.it (Конфиденциальность), нашей конфиденциальности.

VPN — не единственный способ изменить свой IP-адрес

Даже без удобной виртуальной частной сети изменить свой IP-адрес несложно. Независимо от того, являетесь ли вы пользователем MacOS и iPhone или пользователем Windows 11 с устройством Android, любой новичок может безопасно изменить свой IP-адрес, выполнив несколько быстрых шагов. И — если вы не используете его для нарушения других законов — это совершенно законно. Ваш компьютер и телефон имеют несколько типов IP-адресов (сокращение от Интернет-протокола, уникальная серия чисел, которая идентифицирует ваше конкретное устройство при просмотре в Интернете), но мы сосредоточимся на типе, который обычно изменяется, чтобы защитить вашу конфиденциальность при просмотре и просмотре веб-страниц. те, которые заставляют вас выглядеть так, как будто вы находитесь в другой стране.

CNET

Существует четыре простых способа изменить свой IP-адрес менее чем за пять минут. Использование прокси-сервера или VPN — лучший способ не только временно изменить свой IP-адрес, но и защитить свою конфиденциальность. Если вы просто хотите изменить свой IP-адрес без дополнительного повышения конфиденциальности, вы можете либо ввести предпочтительный IP-адрес вручную, либо просто заставить свое устройство автоматически получать новый.

Имейте в виду, что изменение вашего IP-адреса временно нарушит работу любых подключенных к Интернету служб или программ, которые вы используете на своем устройстве. Вреда нет, но это будет иметь такой же эффект, как если бы вы на мгновение потеряли свой Wi-Fi. Ваш Spotify может икать. У сервисов потоковой передачи мультимедиа на мгновение заморозится мозг. Если вы отправляете или получаете файлы, возможно, вам придется начать сначала. И вам, возможно, придется снова войти на любой защищенный сайт, который вы используете в настоящее время.

Вот самые быстрые и простые способы изменить свой IP-адрес.

Подробнее:  Лучший VPN для школьного Wi-Fi 2022

Как изменить свой IP-адрес с помощью VPN или прокси-сервера 

Вы можете использовать VPN для изменения своего IP-адреса.

Сара Тью/CNET

Когда вы используете любую виртуальную частную сеть, которую мы рассмотрели в нашем каталоге, служба автоматически заставит вас выглядеть так, как если бы у вас был другой IP-адрес из любой выбранной вами страны. Буквально просто откройте приложение VPN и подключитесь к любому городу, отличному от вашего текущего, — менее чем за 30 секунд вы изменили свой IP-адрес, чтобы он выглядел из того места, где вы выбрали.

VPN и прокси на основе браузера намного легче, чем автономные приложения VPN. Есть некоторые ключевые различия в конфиденциальности, которые я подробно описал в другом месте, но когда вы используете прокси, он также меняет ваш видимый IP-адрес. Chrome, Firefox и Brave Browser имеют собственные версии прокси и браузерных VPN, которые вы можете попробовать сами.

Настроить VPN на вашем iPhone или Android-устройстве так же просто, как установить на телефон любое другое приложение, и у меня есть пошаговое руководство на случай, если вы захотите узнать, как это сделать. Если вы играете с консоли, у меня также есть краткое руководство по настройке VPN на Xbox, а также список тех, которые показали лучшие результаты в моих тестах.

Если вы никогда не играли с VPN, но подумываете об этом, у меня есть версия Cliff's Notes о том, как выбрать правильный, которая может оказаться вам полезной. Что бы вы ни делали, просто избегайте бесплатных VPN. Серьезно не стоит риска вредоносного ПО. Вместо этого остановитесь на самых дешевых, которые я протестировал для вас.

Как изменить свой IP-адрес, отключив маршрутизатор

Изменить свой IP-адрес так же просто, как отключить маршрутизатор.

Рай Крист/CNET

Самый простой и быстрый способ получить новый IP-адрес — узнать, какой у вас IP-адрес, через сайт проверки IP-адресов, затем подойти к маршрутизатору и отключить его как минимум на пять минут. Это может занять несколько минут, в зависимости от того, сколько времени обычно требуется вашему интернет-провайдеру для обновления IP-адресов в целом. Как только вы снова подключите его, обновите веб-сайт, чтобы убедиться, что ваш IP-адрес изменился.

По сути, то, что вы пытаетесь сделать, это заставить часть вашего маршрутизатора, назначающую IP, «забыть» ваше устройство, чтобы оно относилось к вашему устройству как к новичку и давало ему новый адрес. Однако это не является надежным. Иногда требуется несколько попыток, а в некоторых случаях вам, возможно, придется оставить маршрутизатор выключенным на ночь. Если у вас есть маршрутизатор, отдельный от вашего модема (в наши дни большинство из них являются комбинированными устройствами), вам может потребоваться отключить модем и маршрутизатор, оставить их выключенными примерно на 5 минут, затем сначала включить модем, а затем маршрутизатор.

Но вставать с дивана - это переоценка.

Как автоматически обновить свой IP-адрес на Mac, iOS, Windows и Android

Изменение вашего IP-адреса лучше защитит ваш просмотр.

Патрик Холланд/CNET

Вот как это сделать на Mac, iOS, Windows и Android: 

MacOS . Нажмите значок Apple в левом верхнем углу экрана и нажмите 9.0080 Системные настройки затем Сеть затем Дополнительно . В верхней части следующего экрана нажмите TCP/IP , затем нажмите кнопку Продлить аренду DHCP в правой части окна.

iOS : Перейдите в Настройки , нажмите Сеть и выберите беспроводную сеть, в которой вы сейчас находитесь. В разделе адреса IPv4 нажмите Настройка IP , затем Автоматически .

Windows 10 : Одновременно нажмите клавиши Win+R . Откроется диалоговое окно Run . Введите cmd , затем нажмите Введите на клавиатуре. Это открывает командную строку.

Для тех, кто никогда раньше не видел командную строку Windows: это та часть, где вы либо сразу же испугаетесь, что что-то вот-вот сломается, либо внезапно почувствуете, что собираетесь сделать что-то очень крутое. Не паникуй; ни одна из этих вещей не произойдет. Волшебный черный ящик так действует на всех в первый раз.

Введите ipconfig /release (включая пробел) в командную строку и нажмите Enter. Некоторый текст будет увеличен. Когда он остановится, введите ipconfig /renew и снова нажмите Enter. Затем закройте командную строку. Готово.

Android : Перейдите в Настройки , нажмите Подключения затем нажмите Wi-Fi . Отсюда нажмите на сеть, к которой вы сейчас подключены. Коснитесь значка в виде шестеренки справа от сети. Ваш IP-адрес будет отображаться здесь, но перейдите к нижней части экрана и, убедившись, что у вас есть пароль Wi-Fi, коснитесь 9.0080 Забудьте (это значок корзины в правом нижнем углу). Ваш телефон забудет о сети Wi-Fi и отключится. Просто повторно подключитесь к своей сети, и вам должен быть выдан новый IP-адрес.

Сейчас играет: Смотри: 5 главных причин использовать VPN

2:42

Как вручную изменить свой IP-адрес 

Вот что нужно делать, если у вас уже есть новый IP-адрес, который вы хотите использовать.

MacOS : Перейдите к Системным настройкам и нажмите Сеть . Нажмите Сетевое подключение , затем нажмите Настройка IPv4 . Выберите Вручную и введите любой IP-адрес, который вы выбрали.

iOS : перейдите в Настройки , нажмите Wi-Fi , затем Сеть . В разделе адреса IPv4 нажмите Настроить IP . Вручную введите любой IP-адрес, который вы пытаетесь использовать.

Windows : Убедитесь, что вы работаете под своей учетной записью администратора и нажмите Пуск , затем перейдите в Панель управления . Отсюда нажмите Сетевое подключение , а затем нажмите на подключение по локальной сети. Затем щелкните Свойства , затем щелкните TCP/IP . Отсюда вы можете ввести новый IP-адрес вручную.

Android : Перейдите в Настройки , нажмите Подключения затем нажмите Wi-Fi . Отсюда нажмите на сеть, к которой вы сейчас подключены. Коснитесь значка в виде шестеренки справа от сети. Здесь будет отображаться ваш IP-адрес, но перейдите в нижнюю часть экрана и коснитесь Дополнительно , затем коснитесь Настройки IP . Выберите Статический . Следующий экран позволит вам вручную ввести любой IP-адрес, который вы выбрали.

Чтобы узнать больше, узнайте все, что нужно знать о браузере Tor, о трех браузерных VPN, которые стоит попробовать, и о настройках конфиденциальности браузера, которые вы должны изменить прямо сейчас.

Часто задаваемые вопросы

Если вы занимаетесь изменением IP-адреса, у вас могут возникнуть другие вопросы. Вот некоторые из наиболее частых вопросов, которые нам задавали.

Законно ли изменение вашего IP-адреса?

Да, изменение IP-адреса в США разрешено законом. Люди регулярно меняют свои IP-адреса, когда сталкиваются с прямыми атаками на их безопасность в Интернете, при тестировании веб-сайта перед его запуском или когда они просто предпочитают защитить свою конфиденциальность. Очевидно, что этот FAQ никоим образом не предлагает юридические консультации, и вам следует проконсультироваться с лицензированным адвокатом по конкретным вопросам, но юридические границы изменения IP-адреса обычно начинаются с того, на что вы меняете свой IP-адрес и что вы делаете с этим новым IP-адресом.

Если вы изменили свой IP-адрес, чтобы выдать себя за физическое или юридическое лицо, что часто называют спуфингом IP-адреса, вы можете нарушить Закон США о компьютерном мошенничестве и злоупотреблениях. У вас также могут возникнуть проблемы, если вы меняете свой IP-адрес, чтобы получить доступ к веб-сайту, доступ к которому вам был запрещен. IP-спуфинг также является инструментом, используемым некоторыми киберпреступниками для выполнения нескольких хорошо известных атак, чаще всего связанных с кражей личных данных и направленных на нанесение вреда веб-сайтам с помощью организованной распределенной бомбардировки отказа в обслуживании.

Сейчас играет: Смотри: Какой VPN выбрать?

4:28

Зачем мне менять свой IP-адрес?

Регулярная смена внешнего или общедоступного IP-адреса может помочь вам повысить общую безопасность и конфиденциальность просмотра. Есть и другие причины. Если вы только что установили новый домашний маршрутизатор, вам может потребоваться перенастроить сеть с быстрой сменой IP-адреса. Одна из распространенных проблем среди домашних маршрутизаторов заключается в том, что они иногда дают устройствам неправильный IP-адрес, поэтому изменение IP-адреса вручную может решить эти проблемы.

Если вы хотите получить доступ к каталогу услуг потокового мультимедиа в стране, когда вы по какой-либо причине находитесь за пределами этой страны, изменение вашего IP-адреса на IP-адрес в нужной стране может дать вам каталог, который вы ищете. Точно так же, если вы геймер, стремящийся уменьшить отставание, изменение вашего IP-адреса через игровой прокси-сервер может помочь повысить производительность. Один изящный технический трюк для изучающих второй язык — использовать IP-адрес, зарегистрированный в другой стране, для создания результатов поиска и местных публикаций, написанных на местном языке.

Практическое руководство: установка и настройка OpenVPN клиент/сервер VPN

Введение

OpenVPN — это полнофункциональная SSL VPN, которая реализует безопасное сетевое расширение уровня 2 или 3 OSI с использованием стандартного отраслевого протокола SSL/TLS, поддерживает гибкие методы аутентификации клиентов на основе сертификатов, смарт-карт и/или учетных данных имени пользователя/пароля и позволяет политики управления доступом для конкретных пользователей или групп с использованием правил брандмауэра, применяемых к виртуальному интерфейсу VPN. OpenVPN не является прокси-сервером веб-приложения и не работает через веб-браузер.

OpenVPN 2.0 расширяет возможности OpenVPN 1.x, предлагая масштабируемый режим клиент/сервер, позволяющий нескольким клиентам подключаться к одному серверному процессу OpenVPN через один порт TCP или UDP. OpenVPN 2.3 включает большое количество улучшений, включая полную поддержку IPv6 и поддержку PolarSSL.

В этом документе приведены пошаговые инструкции по настройке клиент-серверной VPN OpenVPN 2.x, в том числе:

• Быстрый запуск OpenVPN.
• Установка OpenVPN.
• Определение того, использовать ли VPN с маршрутизацией или мостом.
• Нумерация частных подсетей.
• Настройка собственного центра сертификации (ЦС) и создание сертификатов и ключей для сервера OpenVPN и нескольких клиентов.
• Создание файлов конфигурации для сервера и клиентов.
• Запуск VPN и проверка первоначального подключения.
• Настройка OpenVPN для автоматического запуска при запуске системы.
• Управление запущенным процессом OpenVPN.
• Расширение области действия VPN для включения дополнительных машин в клиентскую или серверную подсеть.
• Передача параметров DHCP клиентам.
• Настройка правил и политик доступа для конкретных клиентов.
• Использование альтернативных методов аутентификации.
• Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием смарт-карт на стороне клиента.
• Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN.
• Запуск сервера OpenVPN на динамическом IP-адресе.
• Подключение к серверу OpenVPN через HTTP-прокси.
• Подключение к общему ресурсу Samba через OpenVPN.
• Внедрение конфигурации балансировки нагрузки/отработки отказа.
• Повышение безопасности OpenVPN.
• Отзыв сертификатов.
• Дополнительные примечания по безопасности.

Нетерпеливые могут сразу перейти к примерам файлов конфигурации:

• Файл конфигурации сервера.

• Файл конфигурации клиента.

 

Целевая аудитория

Этот HOWTO предполагает, что читатели обладают предварительным пониманием основных сетевых понятий, таких как IP-адреса, DNS-имена, сетевые маски, подсети, IP-маршрутизация, маршрутизаторы, сетевые интерфейсы, локальные сети, шлюзы и правила брандмауэра.

Дополнительная документация

Книги OpenVPN

Пожалуйста, взгляните на страницу книг OpenVPN.

OpenVPN 1.x HOWTO

Исходный документ OpenVPN 1.x HOWTO по-прежнему доступен и актуален для конфигураций типа "точка-точка" или со статическим ключом.

Статьи OpenVPN

Дополнительную документацию см. на странице статей и вики OpenVPN.

Быстрый запуск OpenVPN

Хотя это HOWTO поможет вам настроить масштабируемую клиент-серверную VPN с использованием X509 PKI (инфраструктура открытого ключа с использованием сертификатов и закрытых ключей), это может быть излишним, если вы ищете только простую настройку VPN с сервером, который может работать с одним клиентом.

Если вы хотите быстро запустить VPN с минимальной конфигурацией, вы можете ознакомиться с мини-HOWTO Static Key.

Статический Основные преимущества

• Простая установка
• Нет X509 PKI (инфраструктура открытых ключей) для поддержки

Статическая Ключевые недостатки

• Ограниченная масштабируемость -- один клиент, один сервер
• Отсутствие  полной прямой секретности -- компрометация ключей приводит к полному раскрытию предыдущих сеансов
• Секретный ключ должен существовать в виде открытого текста на каждом узле VPN
• Обмен секретным ключом должен осуществляться по ранее существовавшему безопасному каналу

---

Установка OpenVPN

Исходный код

OpenVPN и установщики Windows можно скачать здесь. Последние выпуски (2.2 и выше) также доступны в виде пакетов Debian и RPM; подробности см. на вики-сайте OpenVPN.

В целях безопасности рекомендуется проверять подпись выпуска файла после загрузки.

Исполняемый файл OpenVPN должен быть установлен как на сервере, так и на клиентском компьютере, поскольку один исполняемый файл обеспечивает функции как клиента, так и сервера.

Заметки о Linux (с использованием пакета RPM)

Если вы используете дистрибутив Linux, поддерживающий RPM-пакеты (SuSE, Fedora, Redhat и т. д.), лучше всего выполнять установку с использованием этого механизма. Самый простой способ — найти существующий бинарный RPM-файл для вашего дистрибутива. Вы также можете создать свой собственный двоичный файл RPM:

  rpmbuild -tb openvpn-[версия].tar.gz  

Если у вас есть файл .rpm, вы можете установить его с помощью обычного

 об/мин -ivh openvpn-[детали].rpm  

или обновить существующую установку с помощью

  об/мин -Uvh openvpn-[детали].rpm  

Установка OpenVPN из бинарного пакета RPM имеет следующие зависимости:

• опенсл
• лзо
• пм

Кроме того, если вы создаете свой собственный двоичный пакет RPM, есть несколько дополнительных зависимостей:

• openssl-разработка
• лзо-девель
• пэм-девель

Дополнительные сведения о сборке пакета RPM для Red Hat Linux 9 или сборке с уменьшенным количеством зависимостей см. в файле openvpn.spec.

Примечания к Linux (без RPM)

Если вы используете Debian, Gentoo или дистрибутив Linux, не основанный на RPM, используйте механизм упаковки вашего дистрибутива, например, apt-get в Debian или emerge в Gentoo.

Также можно установить OpenVPN на Linux с помощью универсального ./configure  метод. Сначала разверните файл .tar.gz:

.

  tar xfz openvpn-[версия].tar.gz  

Затем перейдите в каталог верхнего уровня и введите:

  ./настроить
делать
сделать установку  

Примечания Windows

OpenVPN для Windows можно установить из самоустанавливающегося исполняемого файла на странице загрузки OpenVPN. Помните, что OpenVPN будет работать только в Windows XP или более поздних версиях. Также обратите внимание, что OpenVPN должен быть установлен и запущен пользователем с правами администратора (это ограничение накладывается Windows, а не OpenVPN). Ограничение можно обойти, запустив OpenVPN в фоновом режиме в качестве службы, и в этом случае даже пользователи без прав администратора смогут получить доступ к VPN после ее установки. Дополнительные обсуждения проблем с привилегиями OpenVPN + Windows.

Официальные установщики OpenVPN для Windows включают OpenVPN-GUI, который позволяет управлять подключениями OpenVPN из апплета на панели задач. Также доступны другие приложения с графическим интерфейсом.

После запуска установщика Windows OpenVPN готов к использованию и будет ассоциироваться с файлами с расширением .ovpn . Чтобы запустить OpenVPN, вы можете:

Дополнительные примечания по установке Windows.

Примечания к Mac OS X

Анджело Лауб и Дирк Тайсен разработали графический интерфейс OpenVPN для OS X.

Другие ОС

Некоторые примечания доступны в файле INSTALL для определенных ОС. В общем

  ./настроить
делать
сделать установку  

Можно использовать метод

или выполнить поиск порта или пакета OpenVPN, характерного для вашей ОС/дистрибутива.

---

Определение использования маршрутизируемой или мостовой VPN

См. Часто задаваемые вопросы для обзора маршрутизации и Ethernet-моста. См. также страницу Ethernet-моста OpenVPN, где приведены дополнительные примечания и сведения о мостовом соединении.

В целом, маршрутизация, вероятно, является лучшим выбором для большинства людей, поскольку она более эффективна и проще в настройке (что касается самой конфигурации OpenVPN), чем мост. Маршрутизация также обеспечивает более широкие возможности выборочного управления правами доступа для каждого клиента.

Я бы рекомендовал использовать маршрутизацию, если вам не нужна конкретная функция, требующая моста, например:

• VPN должна иметь возможность обрабатывать не-IP протоколы, такие как IPX,
• вы запускаете приложения через VPN, которые полагаются на широковещательную передачу по сети (например, игры по локальной сети), или
• вы хотите разрешить просмотр файловых ресурсов Windows через VPN без настройки сервера Samba или WINS.

---

Нумерация частных подсетей

Настройка VPN часто влечет за собой объединение частных подсетей из разных мест.

Управление по присвоению номеров в Интернете (IANA) зарезервировало следующие три блока пространства IP-адресов для частных сетей Интернета (кодировано в RFC 1918):

10.0.0.0	10.255.255.255	(префикс 10/8)
172.16.0.0	172.31.255.255	(префикс 172.16/12)
192.168.0.0	192.168.255.255	(префикс 192.168/16)

Хотя адреса из этих сетевых блоков обычно следует использовать в конфигурациях VPN, важно выбирать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых необходимо избегать:

• конфликты с разных сайтов в VPN, использующих одну и ту же нумерацию подсети LAN, или
• подключений удаленного доступа с сайтов, использующих частные подсети, которые конфликтуют с вашими подсетями VPN.

Например, предположим, что вы используете популярную подсеть 192.168.0.0/24 в качестве частной подсети локальной сети. Теперь вы пытаетесь подключиться к VPN из интернет-кафе, которое использует ту же подсеть для своей локальной сети WiFi. У вас возникнет конфликт маршрутизации, потому что ваша машина не будет знать, если 192.168.0.1 относится к локальному шлюзу WiFi или к тому же адресу в VPN.

В качестве другого примера предположим, что вы хотите связать несколько сайтов с помощью VPN, но каждый сайт использует 192.168.0.0/24 в качестве своей подсети LAN. Это не будет работать без добавления усложняющего уровня преобразования NAT, потому что VPN не будет знать, как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют подсеть, которая однозначно идентифицирует их.

Лучшее решение — избегать использования 10.0.0.0/24 или 192.168.0.0/24 в качестве адресов частной локальной сети. Вместо этого используйте что-то, что с меньшей вероятностью будет использоваться в WiFi-кафе, аэропорту или отеле, где вы можете ожидать удаленного подключения. Лучшими кандидатами являются подсети в середине обширного сетевого блока 10.0.0.0/8 (например, 10.66.77.0/24).

Во избежание конфликтов нумерации IP-адресов между сайтами всегда используйте уникальную нумерацию для подсетей локальной сети.

---

Настройка собственного центра сертификации (ЦС) и создание сертификатов и ключей для сервера OpenVPN и нескольких клиентов

Обзор

Первым шагом в построении конфигурации OpenVPN 2.x является создание PKI (инфраструктуры открытых ключей). PKI состоит из:

• отдельный сертификат (также известный как открытый ключ) и закрытый ключ для сервера и каждого клиента и
• сертификат главного центра сертификации (CA) и ключ, который используется для подписи каждого сертификата сервера и клиента.

OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента, прежде чем будет установлено взаимное доверие.

И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в заголовке сертификата, прошедшего проверку подлинности, например общее имя сертификата или тип сертификата ( клиент или сервер).

Эта модель безопасности имеет ряд полезных функций с точки зрения VPN:

• Серверу нужен только собственный сертификат/ключ — ему не нужно знать индивидуальные сертификаты каждого клиента, который может к нему подключиться.
• Сервер будет принимать только клиентов, чьи сертификаты были подписаны главным сертификатом ЦС (который мы создадим ниже). А поскольку сервер может выполнять эту проверку подписи, не нуждаясь в доступе к самому закрытому ключу ЦС, ключ ЦС (самый важный ключ во всей PKI) может находиться на совершенно другом компьютере, даже без сетевого подключения. .
• Если закрытый ключ скомпрометирован, его можно отключить, добавив его сертификат в CRL (список отозванных сертификатов). CRL позволяет выборочно отклонять скомпрометированные сертификаты, не требуя перестройки всей PKI.
• Сервер может применять определенные для клиента права доступа на основе встроенных полей сертификата, таких как общее имя.

Обратите внимание, что часы сервера и клиента должны быть примерно синхронизированы, иначе сертификаты могут работать неправильно.

Создание сертификата и ключа главного центра сертификации (CA)

В этом разделе мы создадим главный сертификат/ключ ЦС, сертификат/ключ сервера и сертификаты/ключи для 3 отдельных клиентов.

Для управления PKI мы будем использовать easy-rsa 2 — набор скриптов, входящий в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2.3.x, вам необходимо скачать easy-rsa 2 отдельно отсюда.

Для управления PKI мы будем использовать easy-rsa 2, набор скриптов, который входит в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2.3.x, вам может потребоваться загрузить easy-rsa 2 отдельно со страницы проекта easy-rsa-old. На платформах *NIX вам следует вместо этого использовать easy-rsa 3; подробности см. в собственной документации.

Если вы используете Linux, BSD или Unix-подобную ОС, откройте оболочку и перейдите в подкаталог easy-rsa . Если вы установили OpenVPN из файла RPM или DEB, каталог easy-rsa обычно можно найти в /usr/share/doc/packages/openvpn или /usr/share/doc/openvpn (лучше скопировать этот каталог в другое место, например /etc/openvpn , перед любыми изменениями, чтобы будущие обновления пакета OpenVPN не перезаписывали ваши изменения). Если вы установили из файла .tar.gz, каталог easy-rsa будет находиться в каталоге верхнего уровня расширенного дерева исходных текстов.

Если вы используете Windows, откройте окно командной строки и перейдите к \Program Files\OpenVPN\easy-rsa . Запустите следующий пакетный файл, чтобы скопировать файлы конфигурации на место (при этом будут перезаписаны все существующие файлы vars. bat и openssl.cnf):

  инициализация-конфигурация  

Теперь отредактируйте файл vars (называемый vars.bat в Windows) и задайте параметры KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG и KEY_EMAIL. Не оставляйте ни один из этих параметров пустым.

Затем инициализируйте PKI. В Linux/BSD/Unix:

  . ./варс
./очистить все
./build-ca
  

В Windows:

  варс
чистота
build-ca
  

Последняя команда ( build-ca ) создаст сертификат и ключ центра сертификации (ЦС), вызвав интерактивную команду openssl :

 ai:easy-rsa # ./build-ca
Генерация 1024-битного закрытого ключа RSA
............++++++
...........++++++
запись нового закрытого ключа в «ca.key»
-----
Вас попросят ввести информацию, которая будет включена
в ваш запрос сертификата. 
То, что вы собираетесь ввести, называется отличительным именем или DN.
Полей довольно много, но вы можете оставить некоторые пустыми
Для некоторых полей будет значение по умолчанию,
Если вы введете «.», поле останется пустым.
-----
Название страны (двухбуквенный код) [KG]:
Название штата или провинции (полное название) [NA]:
Название населенного пункта (например, город) [БИШКЕК]:
Название организации (например, компания) [OpenVPN-TEST]:
Название организационного подразделения (например, раздел) []:
Общее имя (например, ваше имя или имя хоста вашего сервера) []:OpenVPN-CA
Адрес электронной почты [[email protected]]: 907:20
 

Обратите внимание, что в приведенной выше последовательности для большинства запрошенных параметров по умолчанию были установлены значения, установленные в файлах vars или vars.bat . Единственный параметр, который необходимо ввести явно, — это Common Name . В приведенном выше примере я использовал «OpenVPN-CA».

Создать сертификат и ключ для сервера

Далее мы создадим сертификат и закрытый ключ для сервера. В Linux/BSD/Unix:

  ./сборка-ключ-сервер-сервер  

В Windows:

  сервер ключей сборки  

Как и в предыдущем шаге, для большинства параметров можно использовать значения по умолчанию. При запросе Common Name введите «сервер». Два других запроса требуют положительных ответов: «Подписать сертификат? [да/нет]» и «1 из 1 запросов на сертификат сертифицирован, зафиксировать? [да/нет]».

Создание сертификатов и ключей для 3 клиентов

Создание клиентских сертификатов очень похоже на предыдущий шаг. В Linux/BSD/Unix:

  ./сборка-ключ клиент1
./сборка-ключ клиент2
./сборка-ключ клиент3  

В Windows:

  ключ сборки клиента1
ключ сборки client2
ключ сборки client3  

Если вы хотите защитить ключи клиента паролем, замените сценарий build-key-pass  .

Помните, что для каждого клиента обязательно вводите соответствующее  Общее имя  при появлении запроса, например "client1", "client2" или "client3". Всегда используйте уникальное общее имя для каждого клиента.

Генерация параметров Диффи-Хеллмана

Параметры Диффи Хеллмана должны быть сгенерированы для сервера OpenVPN. В Linux/BSD/Unix:

  ./сборка дх  

В Windows:

  сборка дх  

Выход:

 ai:easy-rsa # ./build-dh
Генерация параметров DH, 1024-битное безопасное простое число, генератор 2
Это займет много времени
.................+................................ ...........
...................+............+................ .+.........
...................................... 907:20
 

Ключевые файлы

Теперь мы найдем наши вновь сгенерированные ключи и сертификаты в подкаталоге keys . Вот объяснение соответствующих файлов:

Имя файла	Требуется	Назначение	Секрет
ca.crt	сервер + все клиенты	Сертификат корневого ЦС	НЕТ
ключ	только автомат для подписи ключей	Ключ корневого ЦС	ДА
dh{n}.pem	сервер только	Параметры Диффи Хеллмана	НЕТ
сервер.crt	сервер только	Сертификат сервера	НЕТ
сервер.ключ	сервер только	Ключ сервера	ДА
client1.crt	клиент1 только	Клиент1 Сертификат	НЕТ
client1.key	только клиент 1	Ключ клиента 1	ДА
client2. crt	клиент2 только	Сертификат клиента 2	НЕТ
клиент2.ключ	клиент2 только	Ключ клиента 2	ДА
client3.crt	клиент3 только	Клиент3 Сертификат	№
клиент3.ключ	клиент3 только	Ключ клиента 3	ДА

Последним шагом в процессе генерации ключа является копирование всех файлов на машины, которым они нужны, при этом необходимо копировать секретные файлы по защищенному каналу.

Подождите, скажете вы. Разве нельзя настроить PKI без уже существующего безопасного канала?

 

Ответ якобы да. В приведенном выше примере для краткости мы сгенерировали все приватные ключи в одном месте. Приложив немного больше усилий, мы могли бы сделать это по-другому. Например, вместо того, чтобы генерировать сертификат клиента и ключи на сервере, мы могли бы сделать так, чтобы клиент генерировал свой собственный закрытый ключ локально, а затем отправлял запрос на подпись сертификата (CSR) машине для подписи ключей. В свою очередь, машина для подписи ключей могла бы обработать CSR и вернуть клиенту подписанный сертификат. Это можно было бы сделать, даже не требуя, чтобы секрет  .key  файл оставить на жестком диске машины, на которой он был создан.

---

Создание файлов конфигурации для сервера и клиентов

Получение образцов файлов конфигурации

В качестве отправной точки для собственной конфигурации лучше всего использовать примеры файлов конфигурации OpenVPN. Эти файлы также можно найти в

• каталог sample-config-files исходного дистрибутива OpenVPN
•   примеров файлов конфигурации  каталог в /usr/share/doc/packages/openvpn  или /usr/share/doc/openvpn  если вы установили из пакета RPM или DEB
• Меню «Пуск» -> «Все программы» -> OpenVPN -> Образцы файлов конфигурации OpenVPN  в Windows

Обратите внимание, что в Linux, BSD или Unix-подобных ОС файлы конфигурации называются server. conf и client.conf . В Windows они называются server.ovpn и client.ovpn 9.0081 .

Редактирование файла конфигурации сервера

Образец файла конфигурации сервера является идеальной отправной точкой для настройки сервера OpenVPN. Он создаст VPN с использованием виртуального сетевого интерфейса TUN (для маршрутизации), будет прослушивать клиентские подключения через порт UDP 1194 (официальный номер порта OpenVPN) и раздавать виртуальные адреса подключающимся клиентам из 10.8.0.0/ 24  подсеть.

Прежде чем использовать образец файла конфигурации, необходимо сначала отредактировать ca , cert , key и dh , чтобы указать на файлы, созданные вами в разделе PKI выше.

На этом этапе файл конфигурации сервера можно использовать, однако вы все еще можете настроить его дальше:

• Если вы используете Ethernet-мост, вы должны использовать server-bridge и dev tap вместо server и dev tun .
• Если вы хотите, чтобы ваш сервер OpenVPN прослушивал TCP-порт вместо UDP-порта, используйте proto tcp вместо proto udp (если вы хотите, чтобы OpenVPN прослушивал порт UDP и TCP, вам необходимо запустить два отдельных экземпляра OpenVPN).
• Если вы хотите использовать диапазон виртуальных IP-адресов, отличный от 10.8.0.0/24 , вам следует изменить директиву server . Помните, что этот диапазон виртуальных IP-адресов должен быть частным диапазоном, который в настоящее время не используется в вашей сети.
• Раскомментируйте директиву client-to-client , если вы хотите, чтобы подключающиеся клиенты могли связываться друг с другом через VPN. По умолчанию клиенты смогут получить доступ только к серверу.
• Если вы используете Linux, BSD или Unix-подобную ОС, вы можете повысить безопасность, раскомментировав директивы user Nobody и group Nobody .

Если вы хотите запустить несколько экземпляров OpenVPN на одном компьютере, каждый из которых использует другой файл конфигурации, это возможно, если вы:

• Используйте другой номер порта для каждого экземпляра (протоколы UDP и TCP используют разные пространства портов, поэтому вы можете запустить один демон, прослушивающий UDP-119).4 и еще один на TCP-1194).
• Если вы используете Windows, каждая конфигурация OpenVPN должна иметь собственный адаптер TAP-Windows. Вы можете добавить дополнительные адаптеры, выбрав "Пуск" -> "Все программы" -> TAP-Windows -> Добавить новый виртуальный сетевой адаптер TAP-Windows .
• Если вы запускаете несколько экземпляров OpenVPN из одного и того же каталога, обязательно отредактируйте директивы, создающие выходные файлы, чтобы несколько экземпляров не перезаписывали выходные файлы друг друга. Эти директивы включают  log , log-append , status и ifconfig-pool-persist .

Редактирование файлов конфигурации клиента

Образец файла конфигурации клиента ( client.conf  в Linux/BSD/Unix или client.ovpn в Windows) отражает директивы по умолчанию, заданные в образце файла конфигурации сервера.

• Как и в файле конфигурации сервера, сначала отредактируйте ca , cert и key  , чтобы указать на файлы, созданные вами в разделе PKI выше. Обратите внимание, что у каждого клиента должна быть своя пара cert / key . Только файл ca является универсальным для сервера OpenVPN и всех клиентов.
• Затем отредактируйте директиву remote , чтобы она указывала на имя хоста/IP-адрес и номер порта сервера OpenVPN (если ваш сервер OpenVPN будет работать на машине с одной сетевой картой за брандмауэром/шлюзом NAT, используйте общедоступный IP-адрес). адрес шлюза и номер порта, который вы настроили в шлюзе для переадресации на сервер OpenVPN).
• Наконец, убедитесь, что файл конфигурации клиента соответствует директивам, используемым в конфигурации сервера. Главное, что нужно проверить, это соответствие директив dev (tun или tap) и proto (udp или tcp). Также убедитесь, что comp-lzo и фрагмент , если они используются, присутствуют в файлах конфигурации клиента и сервера.

---

Запуск VPN и проверка первоначального подключения

Запуск сервера

Во-первых, убедитесь, что сервер OpenVPN будет доступен из Интернета. Это означает:

• открытие UDP-порта 1194 в брандмауэре (или любого другого TCP/UDP-порта, который вы настроили) или
• настройка правила переадресации портов для переадресации UDP-порта 1194 с брандмауэра/шлюза на машину, на которой запущен сервер OpenVPN.

Затем убедитесь, что интерфейс TUN/TAP не защищен брандмауэром.

Чтобы упростить устранение неполадок, лучше всего сначала запустить сервер OpenVPN из командной строки (или щелкнуть правой кнопкой мыши на . ovpn  файл в Windows), а не запускать его как демон или службу:

  openvpn [файл конфигурации сервера]  

Обычный запуск сервера должен выглядеть следующим образом (вывод зависит от платформы):

 Вс, 6 февраля, 20:46:38 2005 г. OpenVPN 2.0_rc12 i686-suse-linux [SSL] [LZO] [EPOLL] построен 5 февраля 2005 г.
Вс, 6 февраля, 20:46:38 2005 Диффи-Хеллман инициализирован 1024-битным ключом.
Вс, 6 февраля, 20:46:38 2005 Параметры TLS-Auth MTU [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Вс, 6 февраля, 20:46:38 2005 TUN/TAP устройство tun1 открыто
Вс, 6 февраля, 20:46:38 2005 /sbin/ifconfig tun1 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Вс, 6 февраля, 20:46:38 2005 /sbin/route add -net 10.8.0.0 маска сети 255.255.255.0 gw 10.8.0.2
Вс, 6 февраля 20:46:38 2005 Параметры MTU канала данных [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ]
Вс, 6 февраля, 20:46:38 2005 UDPv4, локальная ссылка (связанная): [undef]:1194
Вс, 6 февраля, 20:46:38 2005 Удаленная ссылка UDPv4: [undef]
Вс, 6 февраля, 20:46:38 2005 MULTI: вызван multi_init, r=256 v=256
Вс, 6 февраля, 20:46:38 2005 IFCONFIG POOL: base=10. 8.0.4 size=62
Вс, 6 февраля, 20:46:38 2005 IFCONFIG POOL LIST
Вс, 6 февраля 20:46:38 2005 Последовательность инициализации завершена 

Запуск клиента

Как и при настройке сервера, лучше всего сначала запустить сервер OpenVPN из командной строки (или в Windows, щелкнув правой кнопкой мыши на client.ovpn файл), а не запускать его как демон или службу:

  openvpn [файл конфигурации клиента]  

Обычный запуск клиента в Windows будет выглядеть так же, как вывод сервера выше, и должен заканчиваться сообщением Initialization Sequence Completed .

Теперь попробуйте отправить эхо-запрос через VPN от клиента. Если вы используете маршрутизацию (например, dev tun  в файле конфигурации сервера), попробуйте:

.

  эхо-запрос 10.8.0.1  

Если вы используете мост (например, dev коснитесь  в файле конфигурации сервера), попробуйте пропинговать IP-адрес машины в подсети Ethernet сервера.

Если пинг прошел успешно, поздравляем! Теперь у вас есть работающий VPN.

Устранение неполадок

Если проверка связи не удалась или не удалось завершить инициализацию клиента OpenVPN, вот контрольный список распространенных проблем и их решений:

• Вы получаете сообщение об ошибке:  Ошибка TLS: согласование ключа TLS не произошло в течение 60 секунд (проверьте подключение к сети) . Эта ошибка указывает на то, что клиенту не удалось установить сетевое соединение с сервером. Решения :
  • Убедитесь, что клиент использует правильное имя хоста/IP-адрес и номер порта, что позволит ему получить доступ к серверу OpenVPN.
  • Если сервер OpenVPN представляет собой блок с одной сетевой картой внутри защищенной локальной сети, убедитесь, что вы используете правильное правило переадресации портов на брандмауэре шлюза сервера. Например, предположим, что ваш OpenVPN-сервер находится по адресу 192.168.4.4 внутри брандмауэра и прослушивает клиентские подключения через UDP-порт 119. 4. Шлюз NAT, обслуживающий подсеть 192.168.4.x, должен иметь правило переадресации портов, в котором говорится, что перенаправляет UDP-порт 1194 с моего общедоступного IP-адреса на 192.168.4.4 .
  • Откройте брандмауэр сервера, чтобы разрешить входящие подключения к порту UDP 1194 (или любому другому порту TCP/UDP, который вы настроили в файле конфигурации сервера).
• Вы получаете сообщение об ошибке:  Последовательность инициализации завершена с ошибками . Эта ошибка может возникнуть в Windows, если (а) у вас не запущена служба DHCP-клиента или (б) вы используете персональные брандмауэры сторонних производителей. на ХР SP2. Решение : Запустите клиентский сервер DHCP и убедитесь, что вы используете персональный брандмауэр, который, как известно, правильно работает на XP SP2.
• Вы получаете сообщение Initialization Sequence Completed , но проверка связи не удалась. Обычно это указывает на то, что брандмауэр на сервере или клиенте блокирует сетевой трафик VPN, фильтруя интерфейс TUN/TAP. Решение . Отключите брандмауэр клиента (если он существует) от фильтрации интерфейса TUN/TAP на клиенте. Например, в Windows XP SP2 это можно сделать, перейдя к  Центр безопасности Windows -> Брандмауэр Windows -> Расширенный  и снимите флажок, соответствующий адаптеру TAP-Windows (отключение клиентским брандмауэром фильтрации адаптера TUN/TAP, как правило, разумно с точки зрения безопасности, поскольку вы, по сути, сообщаете брандмауэр, чтобы не блокировать аутентифицированный VPN-трафик). Также убедитесь, что интерфейс TUN/TAP на сервере не фильтруется брандмауэром (при этом обратите внимание, что выборочный брандмауэр интерфейса TUN/TAP на стороне сервера может дать определенные преимущества в плане безопасности. См. раздел «Политики доступа» ниже. ).
• Соединение останавливается при запуске при использовании конфигурации proto udp , в файле журнала сервера отображается следующая строка:
  

   TLS: исходный пакет от x. x.x.x:x, sid=xxxxxxxxx xxxxxxxx 

  , однако в журнале клиента нет эквивалентной строки.

  Решение : У вас есть одностороннее соединение от клиента к серверу. Направление от сервера к клиенту блокируется брандмауэром, обычно на стороне клиента. Брандмауэр может быть либо (а) личным программным брандмауэром, работающим на клиенте, либо (б) шлюзом маршрутизатора NAT для клиента. Измените брандмауэр, чтобы позволить возвращаемым UDP-пакетам с сервера достигать клиента.

Дополнительные сведения об устранении неполадок см. в разделе часто задаваемых вопросов.

---

Настройка OpenVPN для автоматического запуска при запуске системы

Отсутствие стандартов в этой области означает, что большинство операционных систем имеют другой способ настройки демонов/служб для автозапуска при загрузке. Лучший способ настроить эту функцию по умолчанию — установить OpenVPN в виде пакета, например, через RPM в Linux или с помощью установщика Windows.

Linux

Если вы устанавливаете OpenVPN через пакет RPM или DEB в Linux, установщик установит инициальный скрипт . При выполнении initscript просканирует .conf конфигурационные файлы в /etc/openvpn и, если найдет, запустит отдельный демон OpenVPN для каждого файла.

Windows

Установщик Windows настроит Service Wrapper, но по умолчанию оставит его выключенным. Чтобы активировать его, перейдите в Панель управления/Администрирование/Службы, выберите службу OpenVPN, щелкните правой кнопкой мыши свойства и установите для параметра Тип запуска значение Автоматически. Это настроит службу на автоматический запуск при следующей перезагрузке.

При запуске OpenVPN Service Wrapper сканирует папку \Program Files\OpenVPN\config на наличие файлов конфигурации .ovpn , запуская отдельный процесс OpenVPN для каждого файла.

---

Управление запущенным процессом OpenVPN

Работа в Linux/BSD/Unix

OpenVPN принимает несколько сигналов:

• SIGUSR1 -- Условный перезапуск, предназначенный для перезапуска без привилегий root
• SIGHUP  — Аппаратный перезапуск
• SIGUSR2  - -- Вывести статистику подключений в файл журнала или системный журнал
• SIGTERM ,  SIGINT   -- Выход

Используйте директиву writepid , чтобы записать PID демона OpenVPN в файл, чтобы вы знали, куда отправлять сигнал (если вы запускаете openvpn с initscript , скрипт уже может передавать --writepid  в командной строке openvpn ).

Запуск в Windows с графическим интерфейсом

См. страницу графического интерфейса OpenVPN.

Запуск в окне командной строки Windows

В Windows вы можете запустить OpenVPN, щелкнув правой кнопкой мыши файл конфигурации OpenVPN ( .ovpn  файл) и выбрав «Запустить OpenVPN в этом файле конфигурации».

После запуска таким образом доступны несколько клавиатурных команд:

• F1  — Условный перезапуск (не закрывает/повторно не открывает TAP-адаптер)
• F2  -- Показать статистику подключения
• F3 --- Аппаратный перезапуск
• F4  -- Выход

Работа в качестве службы Windows

Когда OpenVPN запускается как служба в Windows, единственным способом управления ею является:

• Через диспетчер управления службами (Панель управления/Администрирование/Службы), который дает управление запуском/остановкой .
• Через интерфейс управления (см. ниже).

Изменение конфигурации работающего сервера

Хотя большинство изменений конфигурации требуют перезагрузки сервера, есть две директивы, в частности, которые относятся к файлам, которые могут динамически обновляться на лету и немедленно вступают в силу на сервере. без необходимости перезапуска серверного процесса.

client-config-dir  — Эта директива задает каталог конфигурации клиента, который сервер OpenVPN будет сканировать при каждом входящем соединении в поисках файла конфигурации для конкретного клиента (дополнительную информацию см. на странице руководства). Файлы в этом каталоге можно обновлять «на лету», без перезапуска сервера. Обратите внимание, что изменения в этом каталоге вступят в силу только для новых подключений, а не для существующих. Если вы хотите, чтобы изменение файла конфигурации для конкретного клиента немедленно вступало в силу на подключенном в данный момент клиенте (или на клиенте, который отключился, но сервер не установил тайм-аут своего объекта экземпляра), уничтожьте объект экземпляра клиента с помощью команды управления. интерфейс (описан ниже). Это заставит клиента повторно подключиться и использовать новый  client-config-dir  файл.

crl-verify  — Эта директива называет файл списка отзыва сертификатов   , описанный ниже в разделе Отзыв сертификатов . Файл CRL можно изменить на лету, и изменения вступят в силу немедленно для новых подключений или существующих подключений, которые повторно согласовывают свой канал SSL/TLS (по умолчанию происходит один раз в час). Если вы хотите убить подключенного в данный момент клиента, сертификат которого только что был добавлен в CRL, используйте интерфейс управления (описанный ниже).

Файл состояния

В файле server.conf по умолчанию есть строка

  статус openvpn-status.log  

, который будет выводить список текущих клиентских подключений к файлу openvpn-status.log один раз в минуту.

Использование интерфейса управления

Интерфейс управления OpenVPN позволяет значительно контролировать запущенный процесс OpenVPN. ]'. > ИНФОРМАЦИЯ: интерфейс управления OpenVPN версии 1 — введите «помощь» для получения дополнительной информации помощь Интерфейс управления для OpenVPN 2.0_rc14 i686-suse-linux [SSL] [LZO] [EPOLL], построенный 15 февраля 2005 г. Команды: echo [on|off] [N|all] : Аналогично журналу, но показывать сообщения только в эхо-буфере. exit|quit : закрыть сеанс управления. help : Распечатать это сообщение. Hold [on|off|release] : установить/показать флаг удержания в состояние «включено/выключено» или снять текущее удержание и запустить туннель. kill cn : Убить экземпляр(ы) клиента с общим именем cn. kill IP:port : убить экземпляр клиента, подключающийся с IP:port. log [on|off] [N|all] : Включить/выключить отображение журнала в реальном времени. + показать последние N строк или «все» для всей истории. mute [n] : установить уровень отключения звука журнала на n или показать уровень, если n отсутствует. net : (только для Windows) Показать информацию о сети и таблицу маршрутизации. тип пароля p : введите пароль p для запрошенного пароля OpenVPN. signal s : отправить сигнал демону, s = SIGHUP|SIGTERM|SIGUSR1|SIGUSR2. state [on|off] [N|all] : Аналогично журналу, но показывает историю состояний. status [n] : Показать текущую информацию о статусе демона, используя формат #n. test n : создать n строк вывода для тестирования/отладки. тип имени пользователя u : введите имя пользователя u для запрошенного имени пользователя OpenVPN. глагол [n] : установить уровень детализации журнала на n или показать, если n отсутствует. version : Показать номер текущей версии. КОНЕЦ выход Соединение прервано внешним хостом. ай:~ # 907:20

Дополнительные сведения см. в документации по интерфейсу управления OpenVPN.

---

Расширение области действия VPN для включения дополнительных машин в клиентскую или серверную подсеть.

Включение нескольких машин на стороне сервера при использовании маршрутизируемой VPN (dev tun)

После того, как VPN начнет работать в режиме «точка-точка» между клиентом и сервером, может потребоваться расширить область действия VPN, чтобы что клиенты могут получить доступ к нескольким компьютерам в сети сервера, а не только к самому серверу.

В этом примере предполагается, что локальная сеть на стороне сервера использует подсеть 10.66.0.0/24 , а пул IP-адресов VPN использует 10.8.0.0/24 , как указано в server . директива в файле конфигурации сервера OpenVPN.

Во-первых, вы должны объявить подсеть 10.66.0.0/24 клиентам VPN как доступную через VPN. Это можно легко сделать с помощью следующей директивы файла конфигурации на стороне сервера:

  push "маршрут 10.66.0.0 255.255.255.0"  

Далее необходимо настроить маршрут на шлюзе локальной сети на стороне сервера для маршрутизации подсети VPN-клиента ( 10.8.0.0/24 ) к серверу OpenVPN (это необходимо только в том случае, если сервер OpenVPN и шлюз локальной сети разные машины).

Убедитесь, что вы включили переадресацию IP и TUN/TAP на сервере OpenVPN.

Включение нескольких машин на стороне сервера при использовании VPN с мостовым соединением (dev tap)

Одним из преимуществ использования Ethernet-моста является то, что вы получаете его бесплатно, не требуя дополнительной настройки.

Включая несколько машин на стороне клиента при использовании маршрутизируемой VPN (dev tun)

В типичном сценарии «роуд-воин» или удаленного доступа клиентская машина подключается к VPN как одна машина. Но предположим, что клиентская машина является шлюзом для локальной сети (например, домашнего офиса), и вы хотите, чтобы каждая машина в клиентской локальной сети могла маршрутизироваться через VPN.

В этом примере предполагается, что клиентская локальная сеть использует подсеть 192.168.4.0/24 и что клиент VPN использует сертификат с общим именем client2 . Наша цель — настроить VPN таким образом, чтобы любая машина в клиентской локальной сети могла связываться с любой машиной в серверной локальной сети через VPN.

Перед настройкой необходимо выполнить некоторые основные требования:

• Подсеть локальной сети клиента (в нашем примере 192.168.4.0/24) не должна экспортироваться в VPN сервером или любыми другими клиентскими сайтами, использующими той же подсети. Каждая подсеть, присоединенная к VPN через маршрутизацию, должна быть уникальной.
• Клиент должен иметь уникальное общее имя в своем сертификате (в нашем примере — «client2»), а флаг дубликат-cn не должен использоваться в файле конфигурации сервера OpenVPN.

Сначала убедитесь, что на клиентском компьютере включена переадресация IP и TUN/TAP.

Далее мы займемся необходимыми изменениями конфигурации на стороне сервера. Если файл конфигурации сервера в настоящее время не ссылается на каталог конфигурации клиента, добавьте его сейчас:

  клиент-конфигурация-каталог ccd  

В приведенной выше директиве ccd должно быть именем каталога, который был предварительно создан в каталоге по умолчанию, где работает демон сервера OpenVPN. В Linux это, как правило, /etc/openvpn , а в Windows обычно \Program Files\OpenVPN\config . Когда новый клиент подключается к серверу OpenVPN, демон проверит этот каталог на наличие файла, который соответствует общему имени подключающегося клиента. Если соответствующий файл найден, он будет прочитан и обработан для применения дополнительных директив файла конфигурации к указанному клиенту.

Следующим шагом является создание файла с именем client2 в каталоге ccd . Этот файл должен содержать строку:

  маршрут 192.168.4.0 255.255.255.0  

Это сообщит серверу OpenVPN, что подсеть 192.168.4.0/24 должна быть направлена ​​на  client2 .

Затем добавьте следующую строку в файл конфигурации основного сервера (не в файл ccd/client2 ):

  маршрут 192.168.4.0 255.255.255.0  

Почему избыточные операторы route и iroute , спросите вы? Причина в том, что маршрут управляет маршрутизацией от ядра к серверу OpenVPN (через интерфейс TUN), а маршрут управляет маршрутизацией от сервера OpenVPN к удаленным клиентам. Оба необходимы.

Затем спросите себя, хотите ли вы разрешить сетевой трафик между подсетью client2 (192.168.4.0/24) и другими клиентами сервера OpenVPN. Если это так, добавьте следующее в файл конфигурации сервера.

  клиент-клиент
нажмите "маршрут 192.168.4.0 255.255.255.0"  

Это приведет к тому, что сервер OpenVPN объявит подсеть client2 другим подключающимся клиентам.

Последним шагом, о котором часто забывают, является добавление маршрута к шлюзу локальной сети сервера, который направляет 192.168.4.0/24 к серверу OpenVPN (это вам не понадобится, если поле сервера OpenVPN равно ). шлюз для серверной локальной сети). Предположим, вы пропустили этот шаг и попытались пропинговать машину (не сам сервер OpenVPN) в локальной сети сервера с 192.168.4.8? Исходящий эхо-запрос, вероятно, достигнет машины, но тогда он не будет знать, как направить ответ на эхо-запрос, потому что он понятия не имеет, как достичь 192. 168.4.0/24. Эмпирическое правило заключается в том, что при маршрутизации целых локальных сетей через VPN (когда VPN-сервер не является той же машиной, что и шлюз локальной сети), убедитесь, что шлюз для локальной сети направляет все подсети VPN на компьютер VPN-сервера.

Аналогично, если клиентская машина, на которой работает OpenVPN, не является также шлюзом для клиентской локальной сети, тогда шлюз для клиентской локальной сети должен иметь маршрут, который направляет все подсети, которые должны быть доступны через VPN, на клиентскую машину OpenVPN.

Включение нескольких машин на стороне клиента при использовании мостовой VPN (dev tap)

Это требует более сложной настройки (может быть, не более сложной на практике, но более сложной для подробного объяснения):

• Вы должны соединить клиентский TAP-интерфейс с сетевой картой, подключенной к локальной сети, на клиенте.
• Вы должны вручную установить IP/сетевую маску TAP-интерфейса на клиенте.
• . Необходимо настроить клиентские машины для использования IP-адреса/маски сети, которые находятся внутри подсети с мостом, возможно, путем запроса DHCP-сервера на стороне сервера OpenVPN в VPN.

---

Передача параметров DHCP клиентам

Сервер OpenVPN может передавать клиентам параметры DHCP, такие как адреса DNS- и WINS-серверов (некоторые предостережения, о которых следует помнить). Клиенты Windows могут изначально принимать параметры DHCP, в то время как клиенты, отличные от Windows, могут принимать их с помощью клиентского сценария up , который анализирует список переменных среды Foreign_option_ n . См. справочную страницу для систем, отличных от Windows. Foreign_option_ n  документация и примеры скриптов.

Например, предположим, что вы хотите подключать клиентов для использования внутреннего DNS-сервера по адресу 10.66.0.4 или 10.66.0.5 и WINS-сервера по адресу 10. 66.0.8. Добавьте это в конфигурацию сервера OpenVPN:

.

  нажмите "dhcp-опция DNS 10.66.0.4"
нажмите «dhcp-опция DNS 10.66.0.5»
нажмите "опция DHCP WINS 10.66.0.8"  

Чтобы протестировать эту функцию в Windows, выполните следующую команду из окна командной строки после подключения компьютера к серверу OpenVPN:

  ipconfig/все  

В записи для адаптера TAP-Windows должны отображаться параметры DHCP, которые были переданы сервером.

---

 

Настройка правил и политик доступа для конкретных клиентов

Предположим, мы настраиваем корпоративную VPN и хотим установить отдельные политики доступа для 3 разных классов пользователей:

• Системные администраторы  -- полный доступ ко всем машинам в сети
• Сотрудники  -- доступ только к Samba/почтовому серверу
• Подрядчики  — доступ только к специальному серверу

Основной подход, который мы выберем, состоит в том, чтобы (а) выделить каждый класс пользователей в его собственный диапазон виртуальных IP-адресов и (б) контролировать доступ к машинам, устанавливая правила брандмауэра, которые отключают виртуальный IP-адрес клиента.

В нашем примере предположим, что у нас есть переменное количество сотрудников, но только один системный администратор и два подрядчика. Наш подход к распределению IP-адресов будет заключаться в том, чтобы поместить всех сотрудников в пул IP-адресов, а затем выделить фиксированные IP-адреса для системного администратора и подрядчиков.

Обратите внимание, что одним из предварительных условий этого примера является наличие программного брандмауэра, работающего на сервере OpenVPN, который дает вам возможность определять определенные правила брандмауэра. В нашем примере предположим, что в качестве брандмауэра используется Linux iptables .

Сначала создадим карту виртуальных IP-адресов в соответствии с классом пользователя:

Класс	Диапазон виртуальных IP-адресов	Разрешенный доступ к локальной сети	Общие имена
Сотрудники	10. 8.0.0/24	Samba/почтовый сервер по адресу 10.66.4.4	[переменная]
Системные администраторы	10.8.1.0/24	Вся подсеть 10.66.4.0/24	системный администратор1
Подрядчики	10.8.2.0/24	Сервер подрядчика по адресу 10.66.4.12	подрядчик1, подрядчик2

Теперь давайте переведем эту карту в конфигурацию сервера OpenVPN. Прежде всего, убедитесь, что вы выполнили описанные выше шаги, чтобы сделать подсеть 10.66.4.0/24 доступной для всех клиентов (хотя мы настроим маршрутизацию, чтобы разрешить клиентам доступ ко всей подсети 10.66.4.0/24, затем мы наложим ограничения доступа с использованием правил брандмауэра для реализации приведенной выше таблицы политик).

Сначала определите статический номер устройства для нашего интерфейса tun , чтобы мы могли ссылаться на него позже в наших правилах брандмауэра:

  разработчик tun0  

В файле конфигурации сервера определите пул IP-адресов сотрудников:

  сервер 10. 8.0.0 255.255.255.0  

Добавить маршруты для диапазонов IP-адресов системного администратора и подрядчика:

  маршрут 10.8.1.0 255.255.255.0
маршрут 10.8.2.0 255.255.255.0  

Поскольку мы будем назначать фиксированные IP-адреса для определенных системных администраторов и подрядчиков, мы будем использовать каталог конфигурации клиента:

  клиент-конфигурация-каталог ccd  

Теперь поместите специальные файлы конфигурации в подкаталог  ccd  , чтобы определить фиксированный IP-адрес для каждого VPN-клиента, не являющегося сотрудником.

ccd/sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2  

ccd/подрядчик1

  ifconfig-push 10.8.2.1 10.8.2.2  

ccd/подрядчик2

  ifconfig-push 10. 8.2.5 10.8.2.6  

Каждая пара ifconfig-push адресов представляет виртуальные конечные IP-точки клиента и сервера. Они должны быть взяты из последовательных подсетей /30, чтобы быть совместимыми с клиентами Windows и драйвером TAP-Windows. В частности, последний октет в IP-адресе каждой пары конечных точек должен быть взят из этого набора:

.

 [1, 2] [5, 6] [9, 10] [13, 14] [17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101 102] [105 106] [109 110] [113 114] [117 118]
[121 122] [125 126] [129 130] [133 134] [137 138]
[141 142] [145 146] [149 150] [153 154] [157 158]
[161 162] [165 166] [169 170] [173 174] [177 178]
[181 182] [185 186] [189 190] [193 194] [197 198]
[201 202] [205 206] [209 210] [213 214] [217 218]
[221 222] [225 226] [229 230] [233 234] [237 238]
[241 242] [245 246] [249,250] [253,254] ​​

На этом настройка OpenVPN завершена. Последним шагом является добавление правил брандмауэра для завершения политики доступа. В этом примере мы будем использовать правила брандмауэра в синтаксисе Linux iptables :

.

  # Правило сотрудника
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ПРИНЯТЬ

# Правило системного администратора
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ПРИНЯТЬ

# Правило подрядчика
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ПРИНЯТЬ  

---

Использование альтернативных методов аутентификации

OpenVPN 2.0 и более поздние версии включают функцию, которая позволяет серверу OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию в качестве основы для аутентификации клиента.

Чтобы использовать этот метод аутентификации, сначала добавьте директиву auth-user-pass в конфигурацию клиента. Он укажет клиенту OpenVPN запросить у пользователя имя пользователя/пароль, передав его на сервер по защищенному каналу TLS.

Затем настройте сервер для использования подключаемого модуля проверки подлинности, который может быть сценарием, общим объектом или библиотекой DLL. Сервер OpenVPN будет вызывать плагин каждый раз, когда VPN-клиент пытается подключиться, передавая ему имя пользователя/пароль, введенные на клиенте. Плагин проверки подлинности может контролировать, разрешает ли сервер OpenVPN клиенту подключаться, возвращая значение ошибки (1) или успеха (0).

Использование плагинов скриптов

Плагины скриптов можно использовать, добавив auth-user-pass-verify  директива для файла конфигурации на стороне сервера. Например:

  auth-user-pass-verify auth-pam.pl через файл  

будет использовать perl-скрипт auth-pam.pl  для проверки подлинности имени пользователя и пароля подключающихся клиентов. См. описание auth-user-pass-verify на странице руководства для получения дополнительной информации.

Скрипт auth-pam.pl включен в дистрибутив исходного файла OpenVPN в примеров сценариев подкаталог. Он будет аутентифицировать пользователей на сервере Linux с помощью модуля аутентификации PAM, который, в свою очередь, может реализовать теневой пароль, аутентификацию RADIUS или LDAP. auth-pam.pl  в первую очередь предназначен для демонстрационных целей. Для реальной аутентификации PAM используйте подключаемый модуль общего объекта openvpn-auth-pam , описанный ниже.

Использование общих объектов или подключаемых модулей DLL

Общие объекты или подключаемые модули DLL обычно представляют собой скомпилированные модули C, которые загружаются сервером OpenVPN во время выполнения. Например, если вы используете пакет OpenVPN на основе RPM в Linux,0080 openvpn-auth-pam Плагин должен быть уже собран. Чтобы использовать его, добавьте это в файл конфигурации на стороне сервера:

  плагин /usr/share/openvpn/plugin/lib/openvpn-auth-pam. so логин  

Это укажет серверу OpenVPN проверить имя пользователя/пароль, введенные клиентами с помощью модуля login PAM.

Для реального использования лучше использовать плагин openvpn-auth-pam , так как он имеет ряд преимуществ по сравнению с .0080 auth-pam.pl  script:

• Плагин общего объекта openvpn-auth-pam использует модель выполнения с разделением привилегий для повышения безопасности. Это означает, что сервер OpenVPN может работать с ограниченными привилегиями, используя директивы user Nobody , group Nobody и chroot , и по-прежнему сможет аутентифицироваться по файлу теневых паролей, предназначенному только для чтения root.
• OpenVPN может передавать имя пользователя/пароль подключаемому модулю через виртуальную память, а не через файл или среду, что лучше для локальной безопасности на сервере.
• Модули подключаемых модулей, скомпилированные на C, обычно работают быстрее, чем скрипты.

Если вам нужна дополнительная информация о разработке собственных подключаемых модулей для использования с OpenVPN, см. файлы README в подкаталоге plugin исходного дистрибутива OpenVPN.

Чтобы собрать плагин openvpn-auth-pam в Linux, перейдите в каталог plugin/auth-pam в исходном дистрибутиве OpenVPN и запустите make .

Использование аутентификации по имени пользователя/паролю в качестве единственной формы аутентификации клиента

По умолчанию при использовании auth-user-pass-verify или подключаемого модуля для проверки имени пользователя/пароля на сервере будет включена двойная аутентификация, требующая, чтобы как клиентский сертификат, так и аутентификация по имени пользователя/паролю были успешными для клиента. пройти аутентификацию.

Хотя это не рекомендуется с точки зрения безопасности, также можно отключить использование клиентских сертификатов и принудительно выполнять аутентификацию только по имени пользователя/паролю. На сервере:

  сертификат клиента не требуется  

Такие конфигурации обычно должны также устанавливать:

  имя пользователя как обычное имя  

, который укажет серверу использовать имя пользователя для целей индексации, поскольку он будет использовать общее имя клиента, который аутентифицируется с помощью клиентского сертификата.

Обратите внимание, что client-cert-not-required  не устраняет необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует  client-cert-not-required может удалить директивы cert и key из файла конфигурации клиента, но не директиву ca , поскольку клиенту необходимо проверить сертификат сервера.

---

Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием смарт-карт на стороне клиента

• О двухфакторной аутентификации
• Что такое PKCS#11?
• Поиск библиотеки поставщика PKCS#11.
• Как настроить криптографический токен
• Как изменить конфигурацию OpenVPN для использования криптографических токенов
  • Определите правильный объект.
  • Использование OpenVPN с PKCS#11.
  • Рекомендации по реализации PKCS#11.
  • Поставщик OpenSC PKCS#11.
• Разница между PKCS#11 и Microsoft Cryptographic API (CryptoAPI).

О двухфакторной аутентификации

Двухфакторная аутентификация — это метод аутентификации, сочетающий два элемента: то, что у вас есть, и то, что вы знаете.

Что-то, что у вас есть, должно быть устройством, которое нельзя дублировать; таким устройством может быть криптографический токен, содержащий закрытый секретный ключ. Этот закрытый ключ генерируется внутри устройства и никогда не покидает его. Если пользователь, обладающий этим токеном, пытается получить доступ к защищенным службам в удаленной сети, процесс авторизации, который разрешает или запрещает доступ к сети, может с высокой степенью достоверности установить, что пользователь, запрашивающий доступ, физически владеет известным сертифицированным токеном. .

Что-то, что вы знаете, может быть паролем, представленным криптографическому устройству. Без предоставления правильного пароля вы не можете получить доступ к личному секретному ключу. Еще одной особенностью криптографических устройств является запрет на использование закрытого секретного ключа, если неверный пароль был введен более разрешенного количества раз. Такое поведение гарантирует, что если пользователь потеряет свое устройство, другой человек не сможет его использовать.

Криптографические устройства обычно называются «смарт-картами» или «токенами» и используются вместе с PKI (инфраструктурой открытых ключей). VPN-сервер может проверить X.509сертификат и убедитесь, что пользователь владеет соответствующим закрытым секретным ключом. Поскольку устройство не может быть продублировано и требует действительного пароля, сервер может аутентифицировать пользователя с высокой степенью уверенности.

Двухфакторная аутентификация намного надежнее, чем аутентификация на основе пароля, потому что в худшем случае только один человек может использовать криптографический токен. Пароли могут быть угаданы и могут быть раскрыты другим пользователям, поэтому в худшем случае бесконечное количество людей может попытаться получить несанкционированный доступ, когда ресурсы защищены с помощью аутентификации только паролем.

Если вы храните секретный закрытый ключ в файле, ключ обычно шифруется паролем. Проблема с этим подходом заключается в том, что зашифрованный ключ подвергается атакам дешифрования или шпионскому/вредоносному ПО, работающему на клиентской машине. В отличие от использования криптографического устройства, файл не может автоматически стереться после нескольких неудачных попыток расшифровки.

Что такое PKCS#11?

Этот стандарт определяет API, называемый Cryptoki, для устройств, которые хранят криптографическую информацию и выполняют криптографические функции. Cryptoki, произносится как «крипто-ключ» и сокращение от интерфейса криптографических токенов, следует простому объектно-ориентированному подходу, направленному на достижение целей технологической независимости (любой тип устройства) и совместного использования ресурсов (несколько приложений, обращающихся к нескольким устройствам), предоставляя приложениям общее логическое представление устройства, называемое криптографическим токеном.

Источник: RSA Security Inc. https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm.

Подводя итог, можно сказать, что PKCS#11 — это стандарт, который может использоваться прикладным программным обеспечением для доступа к криптографическим маркерам, таким как смарт-карты и другие устройства. Большинство поставщиков устройств предоставляют библиотеку, которая реализует интерфейс поставщика PKCS#11 — эта библиотека может использоваться приложениями для доступа к этим устройствам. PKCS#11 — это кроссплатформенный, независимый от поставщиков бесплатный стандарт.

Поиск библиотеки провайдера PKCS#11

Первое, что вам нужно сделать, это найти библиотеку провайдера, она должна быть установлена ​​вместе с драйверами устройств. У каждого производителя своя библиотека. Например, поставщик OpenSC PKCS#11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Как настроить криптографический токен

Вы должны следовать процедуре регистрации:

• Инициализировать токен PKCS#11.
• Создайте пару ключей RSA на токене PKCS#11.
• Создайте запрос на сертификат на основе пары ключей. Для этого вы можете использовать OpenSC и OpenSSL.
• Отправьте запрос на сертификат в центр сертификации и получите сертификат.
• Загрузите сертификат в токен, при этом обратите внимание, что атрибуты идентификатора и метки сертификата должны совпадать с атрибутами закрытого ключа.

Настроенный токен — это токен, который имеет объект закрытого ключа и объект сертификата, где оба имеют одни и те же атрибуты идентификатора и метки.

Простой утилитой регистрации является Easy-RSA 2.0, которая является частью серии OpenVPN 2.1. Следуйте инструкциям, указанным в файле README, а затем используйте pkitool для регистрации.

Инициализируйте токен с помощью следующей команды:

 $ ./pkitool --pkcs11-slots /usr/lib/pkcs11/
$ ./pkitool --pkcs11-init /usr/lib/pkcs11/
 

Зарегистрируйте сертификат с помощью следующей команды:

 $ ./pkitool --pkcs11 /usr/lib/pkcs11/ клиент1
 907:20
 

Как изменить конфигурацию OpenVPN для использования криптографических токенов

Для использования функций PKCS#11 у вас должен быть OpenVPN 2. 1 или выше.

Определите правильный объект

Каждый поставщик PKCS#11 может поддерживать несколько устройств. Для просмотра списка доступных объектов вы можете использовать следующую команду:

 $ openvpn --show-pkcs11-ids /usr/lib/pkcs11/

Следующие объекты доступны для использования.
Каждый объект, показанный ниже, может быть использован в качестве параметра для
--pkcs11-id не забудьте использовать одинарную кавычку.

Сертификат
       DN: /CN=User1
       Серийный: 490B82C4000000000075
       Серийный идентификатор: aaaa/bbb/41545F5349474E4154555524581D2A1A1B23C4AA4CB17FAF7A4600 

Каждая пара сертификат/закрытый ключ имеет уникальную строку «Серийный идентификатор». Строка сериализованного идентификатора запрошенного сертификата должна быть указана в параметре pkcs11-id с использованием одинарных кавычек.

  pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Использование OpenVPN с PKCS#11

Типовой набор опций OpenVPN для PKCS#11

  pkcs11-провайдеры /usr/lib/pkcs11/
pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Будет выбран объект, соответствующий строке pkcs11-id.

Дополнительные параметры OpenVPN для PKCS#11

  pkcs11-провайдеры /usr/lib/pkcs11/provider1.so /usr/lib/pkcs11/provider2.so
pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
pkcs11-контактный кэш 300
демон
повторная попытка авторизации
управление-удержание
сигнал управления
управление 127.0.0.1 8888
управление-запрос-пароли
  

Это загрузит двух провайдеров в OpenVPN, будет использовать сертификат, указанный в опции pkcs11-id , и использовать интерфейс управления для запроса паролей. Демон возобновит работу в состоянии удержания по событию, когда доступ к токену будет невозможен. Токен будет использоваться в течение 300 секунд, после чего пароль будет повторно запрошен, сеанс будет отключен, если сеанс управления будет отключен.

Вопросы реализации PKCS#11

Многие провайдеры PKCS#11 используют потоки, чтобы избежать проблем, вызванных реализацией LinuxThreads (setuid, chroot), настоятельно рекомендуется выполнить обновление до включенной библиотеки Native POSIX Thread Library (NPTL). glibc, если вы собираетесь использовать PKCS#11.

Поставщик OpenSC PKCS#11

Поставщик OpenSC PKCS#11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Разница между PKCS#11 и Microsoft Cryptographic API (CryptoAPI)

PKCS#11 — это бесплатный межплатформенный стандарт, независимый от поставщиков. CryptoAPI — это специальный API Microsoft. Большинство поставщиков смарт-карт обеспечивают поддержку обоих интерфейсов. В среде Windows пользователь должен выбрать, какой интерфейс использовать.

Текущая реализация OpenVPN, использующая MS CryptoAPI (опция cryptoapicert  ), работает хорошо, если вы не используете OpenVPN как службу. Если вы хотите запустить OpenVPN в административной среде с помощью службы, реализация не будет работать с большинством смарт-карт по следующим причинам:

• Большинство поставщиков смарт-карт не загружают сертификаты в хранилище локального компьютера, поэтому реализация будет не может получить доступ к сертификату пользователя.
• Если клиент OpenVPN работает как служба без прямого взаимодействия с конечным пользователем, служба не может запросить у пользователя пароль для смарт-карты, что приведет к сбою процесса проверки пароля на смарт-карте.

Используя интерфейс PKCS#11, вы можете использовать смарт-карты с OpenVPN в любой реализации, поскольку PKCS#11 не имеет доступа к магазинам Microsoft и не обязательно требует прямого взаимодействия с конечным пользователем.

---

Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN

Обзор

По умолчанию, когда клиент OpenVPN активен, через VPN будет проходить только сетевой трафик к сайту сервера OpenVPN и от него. Например, обычный просмотр веб-страниц будет осуществляться с помощью прямых подключений в обход VPN.

В некоторых случаях такое поведение может быть нежелательным — вы можете захотеть, чтобы клиент VPN туннелировал весь сетевой трафик через VPN, включая общий просмотр веб-страниц в Интернете. Хотя этот тип конфигурации VPN приведет к снижению производительности клиента, он дает администратору VPN больший контроль над политиками безопасности, когда клиент одновременно подключен как к общедоступному Интернету, так и к VPN одновременно.

Реализация

Добавьте следующую директиву в файл конфигурации сервера:

  push "перенаправление шлюза def1"  

Если настройка VPN осуществляется через беспроводную сеть, где все клиенты и сервер находятся в одной беспроводной подсети, добавьте флаг local  :

.

  push "redirect-gateway local def1"  

Передача параметра redirect-gateway клиентам приведет к тому, что весь сетевой IP-трафик, исходящий от клиентских компьютеров, будет проходить через сервер OpenVPN. Сервер должен быть настроен для обработки этого трафика, например, с помощью NAT в Интернете или маршрутизации через HTTP-прокси сайта сервера.

В Linux вы можете использовать такую ​​команду для NAT трафика VPN-клиента в Интернет:

  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE  

Эта команда предполагает, что подсеть VPN — 10.8.0.0/24 (взято из директивы server в конфигурации сервера OpenVPN) и что локальный интерфейс Ethernet — eth0 .

При использовании redirect-gateway клиенты OpenVPN будут направлять DNS-запросы через VPN, и VPN-сервер должен будет их обрабатывать. Этого можно добиться, передав адрес DNS-сервера подключающимся клиентам, которые заменят их обычные настройки DNS-сервера во время активности VPN. Например:

  нажмите "dhcp-опция DNS 10.8.0.1"  

настроит клиентов Windows (или клиентов, отличных от Windows, с некоторыми дополнительными сценариями на стороне сервера) для использования 10. 8.0.1 в качестве своего DNS-сервера. Любой адрес, доступный для клиентов, может использоваться в качестве адреса DNS-сервера.

Предостережения

Перенаправление всего сетевого трафика через VPN — не совсем беспроблемное решение. Вот некоторые типичные ошибки, о которых следует знать:

• Многие клиентские машины OpenVPN, подключающиеся к Интернету, будут периодически взаимодействовать с DHCP-сервером для продления аренды своих IP-адресов. redirect-gateway может помешать клиенту получить доступ к локальному серверу DHCP (поскольку сообщения DHCP будут маршрутизироваться через VPN), что приведет к потере арендованного IP-адреса.
•  Существуют проблемы с отправкой DNS-адресов клиентам Windows.
• Производительность просмотра веб-страниц на клиенте будет заметно ниже.

Дополнительную информацию о механизме директивы redirect-gateway см. на странице руководства.

---

Запуск сервера OpenVPN на динамическом IP-адресе

В то время как клиенты OpenVPN могут легко получить доступ к серверу через динамический IP-адрес без какой-либо специальной настройки, все становится интереснее, когда сам сервер находится на динамическом адресе. Хотя OpenVPN без проблем справляется с ситуацией динамического сервера, требуется дополнительная настройка.

Первым шагом является получение динамического DNS-адреса, который можно настроить таким образом, чтобы он «следил» за сервером при каждом изменении IP-адреса сервера. Доступно несколько поставщиков услуг динамического DNS, например dyndns.org.

Следующим шагом является настройка механизма, чтобы при каждом изменении IP-адреса сервера динамическое DNS-имя быстро обновлялось новым IP-адресом, позволяя клиентам находить сервер по его новому IP-адресу. Это можно сделать двумя основными способами:

• Используйте устройство-маршрутизатор NAT с поддержкой динамического DNS (например, Linksys BEFSR41 ). Большинство широкодоступных недорогих маршрутизаторов NAT имеют возможность обновлять динамическое DNS-имя каждый раз, когда от интернет-провайдера поступает новая аренда DHCP. Эта настройка идеальна, когда сервер OpenVPN представляет собой машину с одной сетевой картой внутри брандмауэра.
• Используйте клиентское приложение динамического DNS, например ddclient, для обновления динамического DNS-адреса при каждом изменении IP-адреса сервера. Эта настройка идеальна, когда машина, на которой работает OpenVPN, имеет несколько сетевых карт и действует как брандмауэр/шлюз для всего сайта. Чтобы реализовать эту настройку, вам необходимо настроить сценарий, который будет запускаться вашим программным обеспечением DHCP-клиента каждый раз, когда происходит изменение IP-адреса. Этот сценарий должен (а) запустить ddclient , чтобы уведомить поставщика динамического DNS о вашем новом IP-адресе, и (б) перезапустить демон сервера OpenVPN.

Клиент OpenVPN по умолчанию определяет изменение IP-адреса сервера, если в конфигурации клиента используется директива remote , которая ссылается на динамическое DNS-имя. Обычная цепочка событий такова: (а) клиент OpenVPN не может своевременно получать сообщения проверки активности со старого IP-адреса сервера, вызывая перезагрузку, и (б) перезагрузка вызывает повторное изменение DNS-имени в директиве remote . разрешено, что позволяет клиенту повторно подключиться к серверу по новому IP-адресу.

Дополнительную информацию можно найти в FAQ.

---

Подключение к серверу OpenVPN через HTTP-прокси.

OpenVPN поддерживает подключения через прокси-сервер HTTP со следующими режимами аутентификации:

• Без аутентификации прокси-сервера
• Базовая проверка подлинности прокси-сервера
• Проверка подлинности прокси-сервера NTLM

Прежде всего, использование прокси-сервера HTTP требует использования TCP в качестве протокола туннельной несущей. Поэтому добавьте следующее в конфигурации клиента и сервера:

  протокол TCP  

Убедитесь, что все строки proto udp в файлах конфигурации удалены.

Затем добавьте директиву http-proxy в файл конфигурации клиента (полное описание этой директивы см. на странице руководства).

Например, предположим, что у вас есть прокси-сервер HTTP в клиентской локальной сети по адресу 192. 168.4.1 , который прослушивает соединения через порт 1080 . Добавьте это в конфигурацию клиента:

  http-прокси 192.168.4.1 1080  

Предположим, что прокси-сервер HTTP требует обычной аутентификации:

  http-прокси 192.168.4.1 1080 стандартный ввод  

Предположим, что прокси-сервер HTTP требует проверки подлинности NTLM:

  http-прокси 192.168.4.1 1080 стандартный ввод ntlm  

Два приведенных выше примера аутентификации заставят OpenVPN запрашивать имя пользователя/пароль из стандартного ввода. Если вместо этого вы хотите поместить эти учетные данные в файл, замените stdin с именем файла и поместите имя пользователя в строку 1 этого файла, а пароль во вторую строку. через маршрутизируемый туннель dev tun . Если вы используете мост Ethernet ( dev tap ), вам, вероятно, не нужно следовать этим инструкциям, поскольку клиенты OpenVPN должны видеть серверные машины в своем сетевом окружении.

В этом примере предполагается, что:

• локальная сеть на стороне сервера использует подсеть  10.66.0.0/24 ,
• пул IP-адресов VPN использует 10.8.0.0/24 (как указано в директиве server в файле конфигурации сервера OpenVPN),
• сервер Samba имеет IP-адрес  10.66.0.4 и
.
• сервер Samba уже настроен и доступен из локальной сети.

Если серверы Samba и OpenVPN работают на разных компьютерах, убедитесь, что вы следовали разделу о расширении области действия VPN для включения дополнительных компьютеров.

Затем отредактируйте файл конфигурации Samba ( smb.conf ). Убедитесь, что директива hosts allow разрешает подключение клиентам OpenVPN из подсети 10.8.0.0/24 . Например:

  разрешенных хостов = 10.66.0.0/24 10.8.0.0/24 127.0.0.1  

Если вы используете серверы Samba и OpenVPN на одном компьютере, вы можете отредактировать директиву interfaces в файле smb. conf , чтобы также прослушивать подсеть интерфейса TUN 10.8.0.0/24 :

  интерфейсы = 10.66.0.0/24 10.8.0.0/24  

Если вы используете серверы Samba и OpenVPN на одном компьютере, подключитесь с клиента OpenVPN к общему ресурсу Samba, используя имя папки:

  \\10.8.0.1\\общее имя  

Если серверы Samba и OpenVPN находятся на разных машинах, используйте имя папки:

  \\10.66.0.4\имя общего ресурса  

Например, из окна командной строки:

  чистое использование z: \\10.66.0.4\sharename /USER:myusername  

---

Реализация конфигурации балансировки нагрузки/отработки отказа

Клиент

Конфигурация клиента OpenVPN может ссылаться на несколько серверов для балансировки нагрузки и переключения при отказе. Например:

  удаленный сервер1.mydomain
удаленный server2.mydomain
удаленный сервер3.mydomain  

предписывает клиенту OpenVPN попытаться установить соединение с server1, server2 и server3 в указанном порядке. Если существующее соединение разорвано, клиент OpenVPN повторит попытку последнего подключенного сервера и, если это не удастся, перейдет к следующему серверу в списке. Вы также можете указать клиенту OpenVPN рандомизировать список серверов при запуске, чтобы нагрузка клиента была вероятностно распределена по пулу серверов.

  дистанционно-случайный  

Если вы также хотите, чтобы сбои разрешения DNS приводили к переходу клиента OpenVPN на следующий сервер в списке, добавьте следующее:

  повторная попытка разрешения 60  

Параметр 60 указывает клиенту OpenVPN попытаться разрешить каждое удаленное  DNS-имя в течение 60 секунд, прежде чем переходить к следующему серверу в списке.

Список серверов также может относиться к нескольким демонам сервера OpenVPN, работающим на одном компьютере, каждый из которых прослушивает соединения через разные порты, например:

  удаленный smp-server1.mydomain 8000
удаленный smp-server1.mydomain 8001
удаленный smp-server2.mydomain 8000
удаленный smp-server2.mydomain 8001  

Если ваши серверы являются многопроцессорными машинами, запуск нескольких демонов OpenVPN на каждом сервере может быть выгоден с точки зрения производительности.

OpenVPN также поддерживает директиву remote , относящуюся к DNS-имени, имеющему несколько записей A в конфигурации зоны для домена. В этом случае клиент OpenVPN случайным образом выберет один из A  записывается каждый раз, когда разрешается домен.

Сервер

Самый простой подход к конфигурации с балансировкой нагрузки/отказоустойчивостью на сервере заключается в использовании эквивалентных файлов конфигурации на каждом сервере в кластере, за исключением использования отдельного пула виртуальных IP-адресов для каждого сервера. Например:

сервер1

  сервер 10.8.0.0 255.255.255.0  

сервер2

  сервер 10.8.1.0 255.255.255.0  

сервер3

  сервер 10.8.2.0 255.255.255.0  

---

Усиление безопасности OpenVPN

Одно из часто повторяемых правил сетевой безопасности заключается в том, что никогда нельзя доверять одному компоненту безопасности настолько, чтобы его сбой привел к катастрофическому нарушению безопасности. OpenVPN предоставляет несколько механизмов для добавления дополнительных уровней безопасности, чтобы застраховаться от такого исхода.

TLS-аутентификация

Директива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам рукопожатия SSL/TLS для проверки целостности. Любой UDP-пакет, не имеющий правильной подписи HMAC, может быть отброшен без дальнейшей обработки. Подпись tls-auth  HMAC обеспечивает дополнительный уровень безопасности по сравнению с SSL/TLS. Он может защитить от:

• DoS-атак или переполнения портов на UDP-порте OpenVPN.
• Сканирование портов для определения того, какие UDP-порты сервера находятся в состоянии прослушивания.
• Уязвимости переполнения буфера в реализации SSL/TLS.
• Инициация рукопожатия SSL/TLS с неавторизованных компьютеров (хотя такие рукопожатия в конечном итоге не будут аутентифицированы, tls-auth  может прервать их гораздо раньше).

Использование tls-auth требует создания общего секретного ключа, который используется в дополнение к стандартному сертификату/ключу RSA:

  openvpn --genkey --secret ta.key  907:20
 

Эта команда создаст статический ключ OpenVPN и запишет его в файл ta.key . Этот ключ следует скопировать по уже существующему безопасному каналу на сервер и все клиентские машины. Его можно поместить в тот же каталог, что и файлы RSA .key и .crt .

В конфигурации сервера добавьте:

  tls-auth ta.key 0  

В конфигурации клиента добавьте:

  tls-auth ta.key 1  

proto udp

Хотя OpenVPN позволяет использовать протокол TCP или UDP в качестве несущего соединения VPN, протокол UDP обеспечивает лучшую защиту от DoS-атак и сканирования портов, чем TCP:

  прото-УДП  

пользователь/группа (только не для Windows)

OpenVPN был очень тщательно разработан, чтобы позволить сбрасывать привилегии суперпользователя после инициализации, и эту функцию следует всегда использовать в Linux/BSD/Solaris. Без привилегий root работающий демон сервера OpenVPN представляет собой гораздо менее заманчивую цель для злоумышленника.

  пользователь никто
группа никто  

Непривилегированный режим (только Linux)

В Linux OpenVPN может работать полностью непривилегированным. Эта конфигурация немного сложнее, но обеспечивает наилучшую безопасность.

Чтобы работать с этой конфигурацией, OpenVPN должен быть настроен на использование интерфейса iproute, это делается путем указания --enable-iproute2 для настройки скрипта. Пакет sudo также должен быть доступен в вашей системе.

В этой конфигурации используется возможность Linux изменить разрешение настраиваемого устройства, чтобы к нему мог получить доступ непривилегированный пользователь. Он также использует sudo для выполнения iproute, чтобы можно было изменить свойства интерфейса и таблицу маршрутизации.

Конфигурация OpenVPN:

• • Напишите следующий скрипт и поместите его по адресу: /usr/local/sbin/unpriv-ip:

  #!/бин/ш
судо /sbin/ip $*
  

• • Выполните visudo и добавьте следующее, чтобы пользователь user1 мог выполнять /sbin/ip:

  пользователь 1 ВСЕ = (ВСЕ) NOPASSWD: /sbin/ip  

• Вы также можете включить группу пользователей с помощью следующей команды:

  %users ВСЕ=(ВСЕ) NOPASSWD: /sbin/ip  

• • Добавьте в конфигурацию OpenVPN следующее:

  разработчик tunX/tapX
iproute /usr/local/sbin/unpriv-ip  

• Обратите внимание, что вы должны выбрать константу X и указать tun или tap, а не то и другое одновременно.
  • В качестве пользователя root добавьте постоянный интерфейс и разрешите пользователю и/или группе управлять им, затем создайте tunX (замените своим собственным) и разрешите пользователям user1 и group доступ к нему.

  openvpn --mktun --dev tunX --type tun --user user1 --group users  

• Запустите OpenVPN в контексте непривилегированного пользователя.

Дополнительные ограничения безопасности можно добавить, изучив параметры сценария /usr/local/sbin/unpriv-ip.

chroot (только не для Windows)

Директива chroot позволяет заблокировать демон OpenVPN в так называемой тюрьме chroot , где демон не сможет получить доступ к какой-либо части файловой системы хост-системы, кроме для конкретного каталога, заданного в качестве параметра директивы. Например,

  узкая тюрьма  

приведет к тому, что демон OpenVPN перейдет в подкаталог jail  при инициализации, а затем переориентирует свою корневую файловую систему на этот каталог, чтобы после этого демон не мог получить доступ к каким-либо файлам за пределами jail и его подкаталога. дерево. Это важно с точки зрения безопасности, потому что даже если бы злоумышленник смог скомпрометировать сервер с помощью эксплойта для вставки кода, эксплойт был бы заблокирован для большей части файловой системы сервера.

Предостережения: поскольку chroot переориентирует файловую систему (только с точки зрения демона), необходимо поместить все файлы, которые могут понадобиться OpenVPN после инициализации, в каталог jail , например:

• crl -подтвердить файл или
• каталог client-config-dir .

Большие ключи RSA

Размер ключа RSA управляется переменной KEY_SIZE в easy-rsa/vars , который необходимо установить перед генерацией каких-либо ключей. В настоящее время установлено значение 1024 по умолчанию, это значение можно разумно увеличить до 2048 без негативного влияния на производительность VPN-туннеля, за исключением немного более медленного повторного согласования SSL/TLS, которое выполняется один раз для каждого клиента в час, и гораздо более медленного однократного Diffie. Процесс генерации параметров Хеллмана с использованием сценария easy-rsa/build-dh .

Большие симметричные ключи

По умолчанию OpenVPN использует Blowfish — 128-битный симметричный шифр.

OpenVPN автоматически поддерживает любой шифр, поддерживаемый библиотекой OpenSSL, и поэтому может поддерживать шифры, использующие ключи большого размера. Например, 256-разрядную версию AES (Advanced Encryption Standard) можно использовать, добавив в файлы конфигурации сервера и клиента следующее:

.

  шифр AES-256-CBC  

Держите корневой ключ (

ca.key ) на отдельном компьютере без подключения к сети

Одно из преимуществ использования PKI X509 (как это делает OpenVPN) с точки зрения безопасности заключается в том, что ключ корневого ЦС ( ca.key ) не обязательно должен присутствовать на сервере OpenVPN. В среде с высоким уровнем безопасности может потребоваться специально назначить компьютер для целей подписания ключей, обеспечить надежную физическую защиту компьютера и отключить его от всех сетей. Дискеты можно использовать для перемещения ключевых файлов вперед и назад по мере необходимости. Такие меры чрезвычайно затрудняют злоумышленнику кражу корневого ключа, за исключением физической кражи машины для подписи ключей.

---

Отзыв сертификатов

Отзыв сертификата означает аннулирование ранее подписанного сертификата, чтобы его больше нельзя было использовать для аутентификации.

Типичные причины отзыва сертификата включают:

• Закрытый ключ, связанный с сертификатом, скомпрометирован или украден.
• Пользователь зашифрованного закрытого ключа забыл пароль на ключе.
• Вы хотите прекратить доступ пользователя VPN.

Пример

В качестве примера мы отзовем сертификат client2 , который мы создали выше в разделе «Генерация ключа» HOWTO.

Сначала откройте оболочку или окно командной строки и перейдите в каталог easy-rsa , как вы делали это в разделе «Создание ключа» выше. В Linux/BSD/Unix:

  . ./варс
./отзыв-полный клиент2
  

В Windows:

  варс
отозвать-полный клиент2
  

Вы должны увидеть примерно такой вывод:

 Использование конфигурации из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "да"
Отзыв сертификата 04.
База данных обновлена
Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "да"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/[email protected]
ошибка 23 при глубине поиска 0: сертификат отозван 907:20
 

Обратите внимание на "ошибку 23" в последней строке. Это то, что вы хотите увидеть, так как это указывает на то, что проверка отозванного сертификата не удалась.

Скрипт revoke-full создаст файл CRL (список отзыва сертификатов) с именем crl. pem в подкаталоге keys . Файл необходимо скопировать в каталог, где сервер OpenVPN может получить к нему доступ, затем в конфигурации сервера должна быть включена проверка CRL:

  crl-verify crl.pem  

Теперь сертификаты клиентов всех подключающихся клиентов будут проверены на соответствие CRL, и любое положительное совпадение приведет к разрыву соединения.

Примечания CRL

• Если в OpenVPN используется параметр crl-verify , файл CRL будет перечитываться каждый раз, когда новый клиент подключается или существующий клиент повторно согласовывает соединение SSL/TLS (по умолчанию один раз в час). ). Это означает, что вы можете обновить файл CRL во время работы демона сервера OpenVPN, и новый CRL сразу же вступит в силу для новых подключающихся клиентов. Если клиент, чей сертификат вы отзываете, уже подключен, вы можете перезапустить сервер с помощью сигнала (SIGUSR1 или SIGHUP) и сбросить все клиенты, или вы можете подключиться по телнету к интерфейсу управления и явно убить конкретный объект экземпляра клиента на сервере, не нарушая другие клиенты.
• Хотя директиву crl-verify  можно использовать как на сервере OpenVPN, так и на клиентах, обычно нет необходимости распространять файл CRL среди клиентов, если сертификат сервера не был отозван. Клиентам не нужно знать о других сертификатах клиентов, которые были отозваны, потому что клиенты не должны принимать прямые подключения от других клиентов в первую очередь.
• Файл CRL не является секретным, и его следует сделать доступным для чтения всем, чтобы демон OpenVPN мог прочитать его после того, как привилегии root были удалены.
• Если вы используете директиву chroot , обязательно поместите копию файла CRL в каталог chroot, так как в отличие от большинства других файлов, которые читает OpenVPN, файл CRL будет прочитан после выполнения вызова chroot, а не до .
• Распространенной причиной отзыва сертификатов является то, что пользователь шифрует свой закрытый ключ паролем, а затем забывает пароль. Отзывая исходный сертификат, можно сгенерировать новую пару сертификат/ключ с исходным общим именем пользователя.

---

Важное примечание о возможной атаке «человек посередине», если клиенты не проверяют сертификат сервера, к которому они подключаются.

Во избежание возможной атаки «человек посередине», когда авторизованный клиент пытается подключиться к другому клиенту, выдавая себя за сервер, убедитесь, что клиенты применяют какую-либо проверку сертификата сервера. В настоящее время существует пять различных способов сделать это, перечисленных в порядке предпочтения:

• [OpenVPN 2.1 и выше] Создайте сертификаты сервера с использованием определенного ключа и расширенного использования ключа. RFC3280 определяет, что для соединений TLS должны быть предоставлены следующие атрибуты:
  

  Mode	Использование ключа	Расширенное использование ключа
  Клиент	цифровая подпись	Проверка подлинности веб-клиента TLS
  	ключ Соглашение
  	цифроваяПодпись, ключСоглашение
  Сервер	цифровая подпись, ключШифрование	Аутентификация веб-сервера TLS
  	цифровая подпись, ключ Соглашение

  Вы можете создавать сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. в документации easy-rs). Это назначит сертификат как сертификат только для сервера, установив правильные атрибуты. Теперь добавьте следующую строку в конфигурацию вашего клиента:

    удаленный сервер сертификатов TLS  

• [OpenVPN 2.0 и ниже]  Создайте сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. в документации easy-rsa). Это назначит сертификат как сертификат только для сервера, установив nsCertType = server. Теперь добавьте следующую строку в конфигурацию вашего клиента:
  

  .

    сервер типа ns-cert  

  Это заблокирует подключение клиентов к любому серверу, на котором отсутствует nsCertType = обозначение сервера в его сертификате, даже если сертификат был подписан файлом ca в файле конфигурации OpenVPN.

• Используйте директиву tls-remote на клиенте, чтобы принять/отклонить подключение к серверу на основе общего имени сертификата сервера.
• Используйте скрипт tls-verify или подключаемый модуль, чтобы принять или отклонить подключение к серверу на основе специальной проверки встроенных сведений о субъекте сертификата сервера X509.
• Подписывайте сертификаты сервера одним центром сертификации, а клиентские сертификаты — другим центром сертификации. Директива конфигурации клиента ca должна ссылаться на файл ЦС, подписывающий сервер, а директива конфигурации сервера ca должна ссылаться на файл ЦС, подписывающий клиент.

Начало работы с динамическим DNS

• Главная /
• Динамический DNS /
• Начало работы с динамическим DNS

Начало работы с динамическим DNS

Dynamic DNS (DynDNS Pro) позволяет вам получать доступ к вашим устройствам из Интернета через простое для запоминания доменное имя. Пример: вместо подключения к камере видеонаблюдения, цифровому видеорегистратору или компьютеру через труднозапоминаемый IP-адрес, например 216. 146.45.246, динамический DNS позволяет получить доступ к вашему устройству из Интернета через простой для запоминания веб-адрес, например «yourcamera.dyndns». .com».

---

Терминология

На приведенной выше диаграмме показана базовая настройка подключения для устройств в вашем доме или офисе. В этом документе будут использоваться термины, используемые для описания каждого устройства на схеме.

Модем — Машина, отвечающая за подключение к Интернету (WAN) и часто напрямую подключенная к вашему маршрутизатору.

Маршрутизатор — Устройство, которое подключает другие ваши устройства к вашему модему и создает локальную сеть (LAN) в вашем доме или офисе.

Устройство — Устройство, к которому вы собираетесь получить удаленный доступ, например камера, цифровой видеорегистратор или другой компьютер.

Компьютер внутри вашей сети — Компьютер, подключенный к той же сети, что и ваше устройство.

Компьютер за пределами вашей сети — Компьютер, не подключенный к той же сети, что и ваше устройство. Это может быть компьютер друга или мобильный телефон, не подключенный к той же беспроводной сети, что и ваше устройство.

---

Выполните следующие действия, чтобы настроить службу динамического DNS (DynDNS Pro). Если вы уже успешно подключили свое устройство к сети и перенаправили порт на нем, перейдите к шагу 3: Настройка имени хоста.

1. Убедитесь, что ваше устройство подключено к сети

Примечание: Помимо этого руководства, Dyn не может помочь с установкой вашего устройства.

1. Убедитесь, что ваше устройство правильно настроено в соответствии с инструкциями производителя и подключено к маршрутизатору.
2. Введите IP-адрес устройства в веб-браузере компьютера, подключенного к той же сети, что и ваше устройство. Примечание: IP-адрес устройства чаще всего указан на самом устройстве или в документации производителя.
3. Если вы получаете что-либо, кроме сообщения об ошибке, скорее всего, ваше устройство работает правильно.

---

2. Настройте маршрутизатор для внешнего трафика (переадресация портов)

Следующие шаги помогут вам открыть порт на маршрутизаторе. В данном примере используется маршрутизатор D-Link DIR-655. Более подробные инструкции о том, как перенаправить порт для другого маршрутизатора, см. на сайте portforward.com или в документации к вашему маршрутизатору.

Примечание: Помимо этого руководства, Dyn не может помочь вам с установкой или настройкой маршрутизатора.

Для маршрутизаторов Linksys: Нажмите кнопку ниже, чтобы упростить настройку.

Переадресация порта вашего маршрутизатора Linksys

1. Войдите в свой маршрутизатор, введя IP-адрес маршрутизатора в веб-браузере компьютера внутри вашей сети. IP-адрес вашего маршрутизатора часто находится на нижней части самого маршрутизатора. Примечание: Вам может потребоваться имя пользователя и пароль для входа в маршрутизатор. Обратитесь к документации вашего маршрутизатора за учетными данными по умолчанию, если вы не изменили их при первоначальной настройке.
2. Найдите меню Portforwarding .
3. Введите IP-адрес вашего устройства в поле IP Address и «3389» в поле TCP (иногда называемое начальным портом и конечным портом). Затем нажмите Сохранить настройки . Это откроет порт на вашем маршрутизаторе и перенаправит трафик из Интернета на ваше устройство.
5. Проверьте подключение вашего устройства к Интернету, введя общедоступный IP-адрес вашей сети в браузере компьютера НЕ  в вашей сети. Примечание: Перейдите на сайт checkIP.com, чтобы узнать текущий IP-адрес вашей сети.

---

3. Настройте имя хоста

1. Войдите в свою учетную запись Dyn или создайте учетную запись.
2. В разделе Мои службы щелкните DynDNS Pro. Примечание: Подпишитесь на бесплатную пробную версию, если вы все еще имеете право.
3. Выберите Добавить новое имя хоста .
4. Введите имя хоста по вашему выбору в Имя хоста и выберите один из доменов из выпадающего меню. Это будет новый веб-адрес вашего устройства.
5. Рядом с Service Type ,   выберите Хост с IP-адресом .
6. Введите внешний IP-адрес вашей сети в поле IP-адрес, затем нажмите Активировать . Если вы по-прежнему имеете право на пробную версию, с вас не будет взиматься плата. Примечание: Если вы не знаете общедоступный IP-адрес вашей сети, перейдите на сайт checkip.dyn.com на компьютере внутри вашей сети.
7. Подождите несколько минут, пока служба активируется, а затем проверьте новое имя хоста, введя его в веб-браузере компьютера за пределами  сети. Если появляется что-либо, кроме ошибки, ваше имя хоста, скорее всего, работает правильно.
Примечание: См. Изменение имени хоста или Удаление имени хоста, чтобы изменить или удалить имя хоста.

---

4. Установите клиент обновления Dyn

Ваш общедоступный IP-адрес, скорее всего, является динамическим IP-адресом, назначенным вашим интернет-провайдером, и он часто меняется. Чтобы ваше имя хоста было связано с общедоступным IP-адресом, вам необходимо установить клиент обновлений Dyn на компьютер в той же сети, что и ваше устройство.

Примечание: Чтобы поддерживать актуальность вашего IP-адреса, настоятельно рекомендуется установить клиент обновления на постоянно включенный компьютер.

1. В своей учетной записи Dynamic DNS перейдите к Настройки учетной записи и найдите свой ключ клиента Updater . Если поле «Клиентский ключ средства обновления» пусто, нажмите «Создать ключ ». Примечание: Генерация нового ключа обновления переопределит пароль для любых других существующих клиентов обновления DDNS, подключенных к вашей учетной записи. Это означает, что вам придется распространить новый ключ на любой существующий клиент обновлений, связанный с вашей учетной записью Dynamic DNS.

2. Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сайт Поиск: Рубрики Бизнес Вложения Готовый Идеи Покупатели Разное Расчеты С нуля Советы Средний Франшиза