Confidențialitate și securitate: Cum să îți construiești propriul server VPN pe un sistem Unix

În era digitală actuală, confidențialitatea și securitatea datelor au devenit preocupări esențiale pentru orice utilizator de internet. Un VPN (Virtual Private Network) este un instrument puternic care te ajută să-ți protejezi identitatea online și să-ți criptezi traficul de internet. Deși există numeroase servicii VPN comerciale disponibile, construirea propriului server VPN pe un sistem Unix oferă un control sporit, o securitate potențial mai bună și, adesea, costuri reduse pe termen lung. Acest ghid detaliat te va ghida pas cu pas prin procesul de creare a unui server VPN personal pe un sistem Unix.

De ce să-ți construiești propriul server VPN? 🤔

Înainte de a ne arunca în detalii tehnice, să vedem de ce ai alege să-ți construiești propriul server VPN în loc să utilizezi un serviciu comercial:

• Control total: Ai control absolut asupra serverului, a setărilor și a datelor tale.
• Securitate îmbunătățită: Poți implementa propriile măsuri de securitate și configurații pentru a proteja datele.
• Costuri reduse (pe termen lung): Deși necesită un efort inițial, poate fi mai rentabil decât abonamentele lunare la un serviciu VPN.
• Evită înregistrarea datelor: Poți configura serverul să nu înregistreze datele tale de navigare, spre deosebire de unele servicii comerciale.
• Personalizare: Ai libertatea de a personaliza configurația serverului pentru a se potrivi nevoilor tale specifice.

Ce ai nevoie? 🛠️

Pentru a construi propriul server VPN, vei avea nevoie de următoarele:

• Un server Unix: Poți folosi un server dedicat, o mașină virtuală (VM) sau chiar un Raspberry Pi. Asigură-te că rulează un sistem de operare Unix precum Linux (Ubuntu, Debian, CentOS) sau FreeBSD.
• Acces root la server: Vei avea nevoie de permisiuni de administrator (root) pentru a instala și configura software-ul necesar.
• O adresă IP statică: O adresă IP statică este necesară pentru ca dispozitivele tale să se poată conecta în mod constant la serverul VPN.
• Un client SSH: Un client SSH (Secure Shell) este necesar pentru a te conecta la serverul tău și a executa comenzi. Putty este o opțiune populară pentru Windows.
• Cunoștințe de bază despre Linux: Este util să ai o înțelegere de bază a comenzilor Linux și a modului de navigare în sistemul de fișiere.

Alegerea protocolului VPN: OpenVPN vs. WireGuard

Există mai multe protocoale VPN disponibile, dar cele mai populare sunt OpenVPN și WireGuard.

• OpenVPN: Este un protocol matur și bine stabilit, cu o mulțime de opțiuni de configurare și o comunitate mare de utilizatori. Este considerat sigur și fiabil.
• WireGuard: Este un protocol mai nou, conceput pentru a fi mai rapid, mai ușor de configurat și mai eficient din punct de vedere al resurselor decât OpenVPN. Devine rapid o alegere populară datorită performanțelor sale superioare.

În acest ghid, vom acoperi ambele protocoale, începând cu OpenVPN. Ulterior, vom discuta și despre WireGuard.

Configurarea serverului OpenVPN ⚙️

Pasul 1: Actualizarea sistemului

Începe prin actualizarea pachetelor sistemului de operare. Conectează-te la serverul tău prin SSH și execută următoarele comenzi (exemplu pentru Ubuntu/Debian):

sudo apt update
sudo apt upgrade

Pasul 2: Instalarea OpenVPN și Easy-RSA

Instalează OpenVPN și Easy-RSA, un set de scripturi pentru gestionarea certificatelor SSL/TLS:

sudo apt install openvpn easy-rsa

Pasul 3: Configurarea Easy-RSA

Copiază scripturile Easy-RSA într-un director dedicat:

sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/

Navighează în directorul Easy-RSA și inițializează PKI (Public Key Infrastructure):

cd /etc/openvpn/easy-rsa/
sudo ./easyrsa init-pki

Pasul 4: Crearea autorității de certificare (CA)

Generează certificatul CA. Va trebui să introduci informații despre organizația ta. Poți lăsa majoritatea câmpurilor implicite:

sudo ./easyrsa build-ca

Pasul 5: Generarea certificatului serverului și a cheii

Generează certificatul și cheia serverului. Înlocuiește „server” cu numele pe care dorești să-l dai serverului tău:

sudo ./easyrsa build-server-full server nopass

Pasul 6: Generarea parametrilor Diffie-Hellman

Generează parametrii Diffie-Hellman pentru un schimb de chei securizat:

sudo ./easyrsa gen-dh

Pasul 7: Generarea certificatelor și a cheilor pentru client

Generează certificatul și cheia pentru fiecare client care se va conecta la VPN. Înlocuiește „client1” cu numele clientului:

sudo ./easyrsa build-client-full client1 nopass

Repetă acest pas pentru fiecare client pe care dorești să-l adaugi.

Pasul 8: Copierea fișierelor necesare

Copiază certificatele și cheile generate în directorul OpenVPN:

sudo cp pki/ca.crt /etc/openvpn/server/
sudo cp pki/issued/server.crt /etc/openvpn/server/
sudo cp pki/private/server.key /etc/openvpn/server/
sudo cp pki/dh.pem /etc/openvpn/server/
sudo cp pki/issued/client1.crt /etc/openvpn/server/
sudo cp pki/private/client1.key /etc/openvpn/server/

Repetă copierea certificatului și a cheii pentru fiecare client, înlocuind „client1” cu numele corespunzător.

Pasul 9: Crearea fișierului de configurare al serverului OpenVPN

Creează un fișier de configurare pentru serverul OpenVPN (/etc/openvpn/server.conf) cu următorul conținut:

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Adaptează setările în funcție de nevoile tale. Portul implicit este 1194, dar îl poți schimba. Rețeaua VPN este 10.8.0.0/24. DNS-urile Google sunt folosite pentru rezolvarea numelor.

Pasul 10: Activarea rutării IP

Activează rutarea IP pe server:

sudo sysctl -w net.ipv4.ip_forward=1

Pentru a face această modificare permanentă, editează fișierul /etc/sysctl.conf și adaugă sau decommentează linia net.ipv4.ip_forward=1.

Pasul 11: Configurarea firewall-ului

Configurează firewall-ul (de exemplu, UFW) pentru a permite traficul OpenVPN:

sudo ufw allow 1194/udp
sudo ufw enable

Pasul 12: Pornirea serverului OpenVPN

Porneste serverul OpenVPN și activează-l la pornire:

sudo systemctl start [email protected]
sudo systemctl enable [email protected]

Pasul 13: Configurarea clientului OpenVPN

Pentru a te conecta la serverul VPN de pe un client, trebuie să creezi un fișier de configurare pentru client (client1.ovpn) cu următorul conținut:

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

Înlocuiește YOUR_SERVER_IP cu adresa IP publică a serverului tău. Copiază fișierele ca.crt, client1.crt și client1.key în același director cu fișierul client1.ovpn. Importă fișierul client1.ovpn în clientul OpenVPN de pe dispozitivul tău.

Configurarea serverului WireGuard ⚙️

WireGuard este un protocol VPN modern, mai rapid și mai simplu de configurat decât OpenVPN. Iată cum să-l instalezi și configurezi:

Pasul 1: Instalarea WireGuard

sudo apt update
sudo apt install wireguard

Pasul 2: Generarea cheilor

Generează cheile private și publice pentru server și pentru fiecare client:

wg genkey | tee privatekey | wg pubkey > publickey

Repetă această comandă pentru server și pentru fiecare client.

Pasul 3: Configurarea serverului WireGuard

Creează un fișier de configurare pentru server (/etc/wireguard/wg0.conf) cu următorul conținut:

[Interface]
PrivateKey = YOUR_SERVER_PRIVATE_KEY
Address = 10.6.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT1_PUBLIC_KEY
AllowedIPs = 10.6.0.2/32

Înlocuiește YOUR_SERVER_PRIVATE_KEY cu cheia privată a serverului, CLIENT1_PUBLIC_KEY cu cheia publică a clientului și eth0 cu interfața de rețea a serverului.

Pasul 4: Configurarea clientului WireGuard

Creează un fișier de configurare pentru client (wg0.conf) cu următorul conținut:

[Interface]
PrivateKey = YOUR_CLIENT_PRIVATE_KEY
Address = 10.6.0.2/32
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = YOUR_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Înlocuiește YOUR_CLIENT_PRIVATE_KEY cu cheia privată a clientului, SERVER_PUBLIC_KEY cu cheia publică a serverului și YOUR_SERVER_IP cu adresa IP a serverului.

Pasul 5: Pornirea interfeței WireGuard

Porneste interfața WireGuard pe server:

sudo wg-quick up wg0

Pasul 6: Activarea la pornire

Pentru a activa WireGuard la pornire, rulează:

sudo systemctl enable wg-quick@wg0

Securizarea serverului tău VPN 🛡️

Construirea unui server VPN este doar primul pas. Este crucial să-l securizezi pentru a te asigura că datele tale sunt protejate:

• Utilizează parole puternice: Asigură-te că folosești parole complexe și unice pentru toate conturile.
• Activează autentificarea cu doi factori (2FA): 2FA adaugă un nivel suplimentar de securitate, solicitând un cod de verificare pe lângă parolă.
• Actualizează regulat sistemul de operare și software-ul: Actualizările conțin patch-uri pentru vulnerabilități de securitate.
• Monitorizează logurile: Verifică regulat logurile serverului pentru a detecta activități suspecte.
• Utilizează un firewall: Un firewall protejează serverul de acces neautorizat.
• Dezactivează serviciile neutilizate: Dezactivează orice serviciu pe care nu-l folosești pentru a reduce suprafața de atac.

Construirea propriului server VPN oferă un nivel de confidențialitate și securitate superior serviciilor comerciale, deoarece ai control absolut asupra datelor tale. Cu toate acestea, implică responsabilități sporite în ceea ce privește securizarea serverului.

Opinie

Construirea propriului server VPN poate fi o modalitate excelentă de a-ți spori confidențialitatea online și de a avea un control mai mare asupra datelor tale. Cu toate acestea, este important să fii conștient de complexitatea tehnică implicată și de responsabilitatea de a menține securitatea serverului. Dacă nu te simți confortabil cu configurarea și gestionarea unui server Unix, un serviciu VPN comercial ar putea fi o opțiune mai potrivită. Conform unui studiu recent realizat de Cybersecurity Ventures, cheltuielile globale cu securitatea cibernetică vor atinge 458,7 miliarde de dolari în 2025, subliniind importanța securității online. Investiția în securitatea ta digitală, fie prin construirea propriului server VPN, fie prin utilizarea unui serviciu comercial, este esențială în peisajul digital actual.

Sper că acest ghid detaliat te-a ajutat să înțelegi cum să-ți construiești propriul server VPN pe un sistem Unix. Mult succes!