يُعدّ إعداد شبكة VPN مباشرةً على جهاز التوجيه الخاص بك أحد أكثر الطرق ملاءمةً لحماية شبكة منزلك أو مكتبك بالكامل. بدلاً من التعامل مع كل جهاز على حدة، ما عليك سوى إعداد خادم OpenVPN على جهاز التوجيه الخاص بك بحيث يكون أي جهاز يتصل بشبكة Wi-Fi مشفرًا بالفعل. مع إخفاء عنوان IP الحقيقي الخاص بك.
يُعدّ OpenVPN أحد أكثر بروتوكولات VPN استخدامًا في العالم؛ فهو مفتوح المصدر ومتاح على جميع الأنظمة تقريبًا. عند تهيئته بشكل صحيح، يتيح لك ذلك الجمع بين مستوى عالٍ من الأمان والأداء الجيد والتوافق مع أجهزة التوجيه من علامات تجارية مثل ASUS أو TP-Link أو Omada.بالإضافة إلى خوادم لينكس وويندوز.
ما هي خدمة VPN ولماذا يتم تثبيتها على جهاز التوجيه الخاص بك؟
تقوم شبكة VPN (الشبكة الافتراضية الخاصة) بإنشاء نفق مشفر بين جهازك والإنترنتيمنع هذا مزود خدمة الإنترنت، وشبكات الواي فاي العامة، والمهاجمين المحتملين من رؤية بياناتك أو التلاعب بها. عمليًا، يتم استبدال عنوان IP العام الخاص بك بعنوان IP الخاص بخادم VPN، وتنتقل بياناتك بأمان.
إذا قمت بتكوين VPN على جهاز التوجيه بدلاً من تثبيته على كل جهاز، سيتم حماية جميع البيانات التي تمر عبر هذا الموجه تلقائيًا.: أجهزة الكمبيوتر، والهواتف المحمولة، وأجهزة الألعاب، وأجهزة التلفزيون الذكية، وكاميرات IP، وأنظمة التشغيل الآلي للمنزل... دون لمس أي شيء على كل جهاز (أو لمس الحد الأدنى فقط عند استخدام جهاز التوجيه كعميل).
مزايا وعيوب استخدام شبكة افتراضية خاصة (VPN) على جهاز التوجيه الخاص بك
المزايا العامة لشبكة VPN
عند تفعيل خدمة VPN، أول ما ستلاحظه هو تغير عنوان IP العام الخاص بك. هذا يعني أن يمكنك إخفاء أو "تمويه" عنوان IP الحقيقي الخاص بك وتصفح الإنترنت بشكل أكثر خصوصيةحتى لو قامت إحدى الخدمات بحظرك بسبب عنوان IP الخاص بك أو كنت ترغب في تجنب التتبع المفرط.
ومن المزايا الرائعة الأخرى أن الاتصال يستمر تشفير شامل بين جهازك وخادم VPNحتى لو اتصلت بشبكة واي فاي مفتوحة في حانة أو مطار، فلن يتمكن المهاجم من التجسس بسهولة على بيانات اعتمادك أو تفاصيل حسابك المصرفي أو الملفات التي تقوم بتحميلها أو تنزيلها.
بالإضافة إلى ذلك، من خلال تغيير عنوان IP الخاص بك إلى بلد مختلف، يمكنك الوصول إلى المحتوى المقيد جغرافياً: كتالوجات البث المباشر، والمواقع الإلكترونية المحظورة حسب المنطقة، ومواقع المقامرة، أو الخدمات المحظورة في موقعك.بالنسبة للعمل عن بعد، فهو مفيد أيضاً للوصول إلى موارد الشركة من أي مكان.
كما أنه يحسن من مستوى إخفاء هويتك النسبي: فهو يقلل من الأثر المباشر الذي تتركه مرتبطًا بعنوان IP الخاص بمنزلكعلى الرغم من أن ملفات تعريف الارتباط وسجلات التصفح لا تزال موجودة، إلا أن التتبع المنهجي عن طريق عنوان IP أصبح أكثر صعوبة.
وأخيرًا، فإن شبكات VPN التجارية وOpenVPN نفسها سهل الاستخدام إلى حد ما للمستخدم العاديفي كثير من الأحيان، يكفي فتح التطبيق، وإدخال اسم المستخدم وكلمة المرور، ثم الضغط على "اتصال"، وانتهى الأمر. وإذا كان التطبيق مُثبّتًا على جهاز التوجيه (الراوتر)، فلن تحتاج حتى إلى تفعيله على كل جهاز على حدة.
العيوب والنقاط التي يجب الانتباه إليها
ما ستلاحظه في أغلب الأحيان هو انخفاض طفيف في الأداء. فالتشفير والخطوة الإضافية إلى الخادم تعنيان ذلك. اعتمادًا على الأجهزة والخادم المختار، قم بتقليل السرعة وزيادة زمن الاستجابة قليلاً.في أجهزة التوجيه البطيئة أو الخدمات المجانية، يمكن أن يكون الفرق كبيرًا جدًا.
جانب آخر هو أن لا يُغني استخدام الشبكة الافتراضية الخاصة (VPN) عن برامج مكافحة الفيروسات أو السلوك الجيد.إذا قمت بتنزيل ملفات تنفيذية مصابة أو زيارة مواقع ويب ضارة، فلن يحميك استخدام شبكة VPN. في الواقع، تحتوي بعض برامج VPN التي يُفترض أنها "مجانية" على برامج ضارة، لذا من المهم استخدام مزودين وبرامج موثوقة.
علاوة على ذلك، في حالة OpenVPN تحديداً، على الرغم من أن التثبيت على جهاز كمبيوتر أو جهاز محمول أمر بسيط، قد يصبح التكوين المتقدم (الشهادات، والبرامج النصية، والمسارات...) أمرًا صعبًا. بالنسبة لأولئك الذين ليسوا معتادين على ذلك، فإن تثبيته على جهاز التوجيه يضيف طبقة أخرى: فأنت بحاجة إلى جهاز توجيه متوافق أو استخدام برامج ثابتة محددة.
لماذا يُعد OpenVPN خيارًا جيدًا؟
OpenVPN هو حل VPN مفتوح المصدر واسع الانتشار، وقادر على العمل على وضع النفق من الطبقة 3 (TUN) أو وضع الجسر من الطبقة 2 (TAP)وهو متوافق مع جميع أنظمة سطح المكتب تقريبًا (Windows وLinux وmacOS) والخوادم، وكذلك مع Android وiOS عبر التطبيقات.
بالاعتماد على بروتوكول SSL/TLS، يسمح هذا النظام بالمصادقة باستخدام الشهادات الرقمية أو أسماء المستخدمين/كلمات المرور أو كليهما.إنه أكثر مرونة، وفي كثير من الحالات، أسهل في الإدارة من بروتوكول IPsec، حيث يوفر عددًا هائلاً من المعلمات لضبط الأداء والأمان.
من حيث الأداء، فإن OpenVPN قادر على تقديم سرعات ممتازة مع زمن استجابة منخفض واتصالات مستقرةبشرط أن يمتلك الخادم موارد كافية وأن يتم اختيار تكوين التشفير بشكل صحيح، فإنه يعمل عادةً عبر بروتوكول UDP لتجنب إعادة الإرسال وتحقيق سرعات أعلى، مع خيارات ضغط وتحسين إضافية.
وضعا TUN و TAP في OpenVPN
مع الوضع TUNأوبن في بي إن إنه يحاكي واجهة من نقطة إلى نقطة تتعامل مع حركة مرور بروتوكول الإنترنت (IP).يقوم بتغليف حزم IP في UDP أو TCP، وهو مثالي لإنشاء شبكة فرعية افتراضية مختلفة عن الشبكة المحلية الفعلية؛ على سبيل المثال 10.8.0.0/24 حيث يوجد جميع عملاء VPN.
في الوضع TAPتمت محاكاة واجهة إيثرنت كاملة، لذلك يتم تغليف إطارات الإيثرنت بالكاملليس فقط بروتوكول الإنترنت. يسمح هذا للأجهزة البعيدة بالظهور على نفس الشبكة الفرعية مثل الأجهزة المحلية (مفيد لبعض سيناريوهات الربط والخدمات التي تعتمد على البث)، على الرغم من أن الأمر يصبح معقدًا إذا كانت شبكات المصدر والوجهة تشترك في نفس النطاق.
التشفير الموصى به لشبكة VPN آمنة من نوع OpenVPN
يعتمد تكوين OpenVPN الحديث والقوي عادةً على شهادات قائمة على المنحنى الإهليلجي (EC) لهيئة التصديق والخادم والعملاءعلى سبيل المثال، استخدام منحنى secp521r1 وتجزئة قوية مثل SHA-512 في التوقيع.
في قناة التحكم TLS، الممارسة الموصى بها هي استخدم بروتوكول TLS 1.2 كحد أدنى، وإذا أمكن استخدم بروتوكول TLS 1.3تُستخدم مجموعات التشفير التي تتضمن ECDHE لتحقيق سرية تامة للأمام، مثل TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 أو المجموعات الأحدث TLS_AES_256_GCM_SHA384 وTLS_CHACHA20_POLY1305_SHA256 في TLS 1.3. يمكنك التحقق من ما يدعمه تثبيتك باستخدام أوامر OpenVPN لعرض قائمة التشفيرات والمنحنيات.
بالنسبة لقناة البيانات، فإن الوضع الأمثل في الوقت الحاضر هو AES-256-GCM أو CHACHA20-POLY1305إذا كان معالجك يدعم AES-NI، فعادةً ما يكون AES-GCM أسرع؛ أما على الأجهزة التي لا تدعم التسريع، فعادةً ما يكون أداء CHACHA20-POLY1305 أفضل. يتضمن OpenVPN أدوات لعرض التشفيرات المتاحة (openvpn --show-ciphers).
بالإضافة إلى ذلك ، فمن المستحسن أضف طبقة HMAC باستخدام tls-cryptيقوم بروتوكول tls-auth بتشفير وتوثيق المرحلة الأولى من بروتوكول TLS. وهذا يُخفف من هجمات حجب الخدمة، وإغراق منافذ UDP، وهجمات TCP SYN، ويمنع العميل الذي لا يملك المفتاح الصحيح من بدء عملية المصافحة. كانت الإصدارات القديمة تستخدم tls-auth؛ أما tls-crypt فهو الإصدار المُطوّر الذي يقوم أيضًا بتشفير هذا المفتاح المُشترك مُسبقًا.
المتطلبات الأساسية لاستخدام OpenVPN على جهاز التوجيه الخاص بك
قبل البدء بتفعيل OpenVPN على جهاز التوجيه الخاص بك، يجدر بك التحقق من بعض الأمور. أولاً، تأكد من أن جهاز التوجيه الخاص بك يدعم خوادم OpenVPNتتضمن العديد من الطرازات المتوسطة/العالية من ASUS وTP-Link وOmada وغيرها هذه الميزة، ولكن ليس جميعها.
ثانيًا، تحتاج إلى اتصالك بالإنترنت ليكون عنوان IP عام يمكن الوصول إليه من الخارجإذا كنت خلف CG-NAT (وهو أمر شائع مع بعض مزودي الألياف أو وصلات الراديو)، فلن تتمكن من إعادة توجيه المنافذ إلى جهاز التوجيه الخاص بك ولن يعمل OpenVPN من الخارج إلا إذا منحك مزود الخدمة عنوان IP عامًا ثابتًا أو قمت بالخروج من CG-NAT.
إنه مهم أيضًا قم بتكوين نظام أسماء النطاقات الديناميكي (DDNS) أو استخدم عنوان IP ثابتًا على شبكة WANيُمكّن هذا العملاء من الاتصال باستخدام اسم واحد (my-vpn.dyndns.org) دون القلق بشأن تغييرات عنوان IP الخاص بهم. ولأغراض الأمان، يُنصح بمزامنة وقت النظام مع الإنترنت، وهو ما تقوم به أجهزة التوجيه الحديثة عبر بروتوكول NTP.
تكوين خادم OpenVPN على أجهزة توجيه TP-Link
الحالة 1: جهاز توجيه واحد فقط في الشبكة المنزلية
في سيناريو بسيط مع جهاز توجيه TP-Link واحد، تتمثل العملية النموذجية في تسجيل الدخول إلى واجهة الويب الخاصة بالجهاز، ثم الانتقال إلى القسم المتقدم من خادم VPN > OpenVPN وقم بتفعيل الخادمإذا كانت هذه هي المرة الأولى لك، فسيطلب منك جهاز التوجيه إنشاء شهادات للمتابعة.
عندها سيتعين عليك الاختيار البروتوكول (UDP أو TCP)قم بتعيين منفذ الخدمة ضمن النطاق 1024-65535، و حدد الشبكة الفرعية/القناع الخاص بشبكة VPN (على سبيل المثال 10.8.0.0/24) والتي سيتم من خلالها تخصيص عناوين IP افتراضية للعملاء.
سيسمح لك جهاز التوجيه أيضًا باختيار نوع وصول العميليقتصر الوصول إلى الشبكة المنزلية فقط، أو الشبكة المنزلية والإنترنت (بحيث يمرّ الاتصال بالإنترنت عبر منزلك، وهو أمر مفيد إذا كنت ترغب في استخدام عنوان IP الخاص بمنزلك أثناء غيابك). بعد التكوين، تُحفظ الإعدادات، ويتم إنشاء شهادة إذا لم تكن موجودة بالفعل، ويتم تصدير ملف تكوين لاستخدامه من قِبل عملاء OpenVPN.
الحالة الثانية: جهازان توجيه أو أكثر على خريطة الشبكة
إذا كان لديك جهاز مودم-راوتر من مزود خدمة الإنترنت الخاص بك، وجهاز راوتر TP-Link ثانٍ متصل به في وضع محايد، فإن الأمور تصبح أكثر تعقيدًا بعض الشيء. تمامًا كما كان من قبل، تقوم بتكوين OpenVPN على جهاز التوجيه الداخلي (Router2): البروتوكول، المنفذ، الشبكة الفرعية للشبكة الافتراضية الخاصة، نوع الوصول، إنشاء وتصدير ملف التكوين.
ثم عليك أن افتح المنفذ الموجود على المودم/الراوتر الرئيسي (الراوتر 1) قم بتوصيل الجهاز بعنوان IP الخاص بالموجه الثاني (Router2)، باستخدام الخادم الافتراضي أو وظيفة إعادة توجيه المنافذ. من المهم أن يتطابق المنفذ الداخلي مع منفذ خدمة VPN المُكوّن، وأن تتذكر المنفذ الخارجي الذي تستخدمه.
ثم، في ملف .ovpn الذي تم تصديره بواسطة جهاز التوجيه 2، ستحتاج إلى تعديل معلومتين أساسيتين.غيّر عنوان الجهاز البعيد إلى عنوان IP الخاص بشبكة WAN لجهاز التوجيه Router1 (عنوان IP العام الذي يوفره مزود خدمة الإنترنت الخاص بك)، واستبدل رقم المنفذ بالمنفذ الخارجي الذي قمت بإعادة توجيهه. احفظ الملف، ويمكنك استخدامه بعد ذلك على الأجهزة الخارجية.
قم بتكوين خادم OpenVPN على أجهزة توجيه ASUS
في أجهزة توجيه ASUS المزودة بنظام AsusWRT، تكون العملية سهلة التوجيه أيضاً. بعد الوصول إلى واجهة الويب (http://www.asusrouter.com أو عنوان IP الخاص بشبكة LAN لجهاز التوجيه)، انتقل إلى VPN > خادم VPN واختر OpenVPNقد تختلف الواجهة قليلاً تبعاً للبرنامج الثابت، لكن المنطق متشابه.
ستتمكن من ضبط منفذ الخادم (يوصى باستخدام منفذ بين 1024 و 65535)يُعد طول مفتاح RSA وما إذا كان العملاء سيستخدمون VPN لشبكتهم المحلية فقط أم للوصول إلى الإنترنت أيضًا من العوامل التي يجب مراعاتها. بشكل افتراضي، تكون بيانات اعتماد عميل OpenVPN عادةً هي بيانات اعتماد جهاز التوجيه نفسه، مع إمكانية إضافة حسابات محددة لتعزيز الأمان.
بعد تطبيق الإعدادات، قم بتفعيل خادم OpenVPN و قم بتصدير ملف تكوين .ovpnوالذي يتضمن بالفعل الشهادات المضمنة والمعلمات الأساسية. عند تغيير إعدادات الخادم ذات الصلة، يُنصح بإعادة تصدير الملف للحفاظ على تزامن العملاء.
خادم OpenVPN مع Omada (TP-Link)
في البيئات المُدارة باستخدام Omada Controller، يمكنك إنشاء سياسة VPN من النوع خادم VPN – OpenVPN لأغراض الاتصال بين العميل والموقع. يمكنك تعيين اسم له، وتمكينه، واختيار وضع النفق (مجزأ أو كامل)، والبروتوكول (TCP/UDP)، والمنفذ، وطريقة المصادقة المحلية، ونطاق عناوين IP المراد تعيينها للعملاء.
يمكنك أيضًا تعريف نظام أسماء النطاقات الأساسي والثانوي الذي سيستخدمه العميل (على سبيل المثال، 8.8.8.8 و8.8.4.4 أو تلك الخاصة بشبكتك الداخلية). بعد حفظ السياسة، يتم إنشاء حسابات مستخدمي VPN مرتبطة بهذا الخادم (مع اسم الحساب وكلمة المرور ونوع OpenVPN).
ثم يتم تصدير ملف .ovpn الخاص بتلك السياسة و يتم استيراده إلى عميل OpenVPN على سطح المكتب أو الهاتف المحمول.إذا حدث خطأ ما، فمن الأفضل أحيانًا استخدام عميل OpenVPN "Community" بدلاً من OpenVPN Connect، وتعديل المعلمات مثل تشفير البيانات (على سبيل المثال عن طريق إضافة AES-128-CBC) أو تغيير عنوان IP البعيد إلى عنوان IP العام الفعلي للموقع.
إعداد خادم OpenVPN متقدم على نظام GNU/Linux
إذا كنت ترغب في التحكم الكامل بدلاً من الاعتماد على واجهة جهاز التوجيه، فيمكنك قم بإعداد خادم OpenVPN الخاص بك على نظام Linux (على سبيل المثال، Debian). ثم قم بإنشاء مسار ثابت على جهاز التوجيه يشير إلى ذلك الخادم حتى تتمكن الشبكة المحلية من رؤية عملاء VPN.
تثبيت أساسي لـ OpenVPN على نظام Debian
في نظام دبيان أو التوزيعات المشتقة منه، يتضمن التثبيت تحديث النظام وتثبيت حزمة OpenVPN من المستودعات. ويمكن بعد ذلك استخدام أمر apt بسيط. قم بتنزيل ملف OpenVPN الثنائي وملحقاته.مما يجعله جاهزًا لبدء إنشاء الشهادات وملفات التكوين.
إنشاء الشهادات باستخدام Easy-RSA 3
لإدارة البنية التحتية للمفاتيح العامة (PKI) بسهولة، من الشائع استخدام Easy-RSA 3، الذي يُؤتمت إنشاء هيئات التصديق وشهادات الخادم والعملاءعادةً ما يتم تنزيله من GitHub، وفك ضغطه، ثم تعمل على دليله الرئيسي.
يكمن جوهر التكوين في الملف فارهنا تحدد ما إذا كنت ستستخدم خوارزمية RSA أو المنحنيات الإهليلجية (EASYRSA_ALGO)، ونوع المنحنى (EASYRSA_CURVE)، وقيمة التجزئة (EASYRSA_DIGEST)، وأوقات انتهاء الصلاحية، وما إذا كنت تريد اسمًا مميزًا كاملًا أو اسمًا شائعًا فقط. اضبط قيمة EC هنا باستخدام secp521r1 وSHA-512. يمنحك ذلك أساسًا تشفيريًا قويًا للغاية.
بمجرد تهيئة المتغيرات، يتم تهيئة البنية التحتية للمفاتيح العامة (PKI) باستخدام الأمر المقابل (init-pki)، ويتم إنشاء المرجع المصدق (مع أو بدون كلمة مرور للمفتاح الخاص) و يتم إنشاء طلبات الشهادات (gen-req) من الخادم وكل عميلثم توقيعها لاحقًا (sign-req) كخادم أو عميل حسب الاقتضاء.
بعد ذلك، من المستحسن تنظيم الملفات في مجلدات منفصلة: واحد للخادم وواحد لكل عميلمع ملف .crt الخاص به، وملف .key الخاص به، وملف ca.crt، ومفتاح ta.key الذي ستستخدمه لتشفير TLS. هذا يُسهّل كثيراً إنشاء ملفات .conf/.ovpn لاحقاً دون أي تعقيدات.
مفتاح تشفير TLS ومعاملات ديفي-هيلمان
مع الإصدارات الحديثة من OpenVPN، عند استخدام ECDHE، لا تحتاج إلى إنشاء ملف معلمات Diffie-Hellman خاص، لذا يمكنك حدد "dh none" في إعدادات الخادمالأمر الأساسي هو إنشاء مفتاح متماثل ستستخدمه مع tls-crypt (على سبيل المثال، ta.key)، والذي ستحتاج إلى نسخه. متطابقة على الخادم والعملاء.
مثال على تكوين خادم OpenVPN آمن
يتضمن ملف الخادم النموذجي في نظام لينكس توجيهات مثل: المنفذ 11949، بروتو UDP و dev Tunيتم تحديد المنفذ والبروتوكول ونوع الواجهة الافتراضية. ثم تتم الإشارة إلى الشهادات والمفاتيح: ca، cert، key، dh (أو dh none)، و tls-crypt ta.key.
في قسم الأمان، توجد معايير مثل تشفير AES-256-GCM، ومجموعات تشفير TLS، وتشفير TLS مع مجموعات TLS 1.2/1.3 الآمنة، ومنحنى ecdh-curve secp521r1، والحد الأدنى لإصدار TLS 1.2يمكن أيضًا تعطيل إعادة التفاوض (reneg-sec 0)، وفي حالة استخدام وضع غير AEAD، يمكن تحديد مصادقة SHA512.
سيحدد قسم الشبكة بنية الشبكة (الشبكة الفرعية) و الشبكة الفرعية الافتراضية، على سبيل المثال الخادم 10.8.0.0 255.255.255.0بالإضافة إلى ملف ipp.txt للحفاظ على عناوين IP ثابتة لعملاء محددين، يتم الوصول إلى الشبكة المحلية عن طريق دفع المسار (route 192.168.X.0 255.255.255.0)، وإجبار جميع حركة المرور على المرور عبر VPN (redirect-gateway)، وتوفير خوادم DNS محددة عبر dhcp-option.
يمكن أيضًا تفعيل الاتصال بين العملاء، ويمكن استخدام خاصية إبقاء الاتصال مفتوحًا لاكتشاف حالات انقطاع الخدمة. تحديد الحد الأقصى لعدد الاتصالات المتزامنةوأخيرًا، ولأغراض الأمان، يتم تشغيل OpenVPN باستخدام مستخدم/مجموعة بدون امتيازات، ويتم تمكين استمرارية المفتاح والواجهة، ويتم تعريف مسارات السجل بمستوى معتدل من التفصيل.
تكوين عميل OpenVPN (كمبيوتر شخصي، لينكس، ويندوز)
يحتاج العملاء إلى ملف بامتداد .ovpn أو .conf يحتوي على توجيهات مثل: العميل، ونفق التطوير، وبروتوكول UDP، والبعيد يشير هذا إلى نطاق الخادم أو عنوان IP العام والمنفذ الذي تستخدمه. من الشائع تفعيل `resolv-retry infinite` و`nobind` و`persist-key/tun` لتحسين الاستقرار.
فيما يتعلق بالمؤهلات، سيشير العميل إلى المرجع المصدق، وشهادته ومفتاحه الخاصين، و ta.key لـ tls-cryptيجب أن تتطابق معلمات التشفير والمصادقة وTLS مع تلك الخاصة بالخادم؛ فإذا كان العميل يدعم TLS 1.3، تُضاف مجموعات تشفير TLS ذات الصلة، وإذا كان يدعم TLS 1.2 فقط، تُستخدم تشفيرات TLS المكافئة. ويتم ضبط مستوى التسجيل إلى مستوى 3 أو أعلى عند حدوث مشاكل.
قم بتمكين الشبكة المحلية للوصول إلى عملاء VPN
إذا قمت بإعداد خادم OpenVPN على جهاز كمبيوتر داخل شبكتك المحلية (مثل Raspberry Pi أو خادم Debian، إلخ)، وليس مباشرة على جهاز التوجيه، ستحتاج إلى إنشاء مسار ثابت على جهاز التوجيه بحيث تكون شبكة 10.8.0.0/24 (أو الشبكة التي تستخدمها) قابلة للوصول.
الفكرة بسيطة: في جهاز التوجيه، تُشير إلى أن تحتوي الشبكة الفرعية 10.8.0.0/24 على عنوان IP الخاص بشبكة LAN لخادم OpenVPN كبوابة لها. (على سبيل المثال، 192.168.1.100). وبالتالي، عندما يرغب جهاز على الشبكة المحلية في الاستجابة لعميل VPN، فإنه سيرسل حركة البيانات إلى الخادم، الذي سيتولى بعد ذلك توجيهها داخل النفق.
قم بتكوين عملاء OpenVPN على أجهزة Android والأجهزة المحمولة الأخرى
على نظام أندرويد، يمكنك استخدام تطبيق OpenVPN الرسمي أو تطبيقات عملاء أكثر تطوراً متوافقة مع الميزات الجديدة (TLS 1.3، وتشفير البيانات الحديث، إلخ). أول شيء هو انسخ المجلد الذي يحتوي على ca.crt وشهادة العميل والمفتاح و ta.key وملف .ovpn إلى ذاكرة الهاتف..
ثم يتم استيراد الملف الشخصي (ملف .ovpn) من التطبيق. يتم التحقق من تطابق المعلمات المحملة مع ما هو موجود على الخادم. ويتم حفظه. من هناك، ما عليك سوى النقر على الملف الشخصي لإنشاء الاتصال؛ إذا كان كل شيء يعمل بشكل صحيح، فسترى أن الهاتف يحصل على عنوان IP من الشبكة الفرعية الافتراضية ويمكنه الوصول إلى الموارد البعيدة.
مشاكل الاتصال الشائعة وكيفية اكتشافها
عند إعداد OpenVPN لأول مرة، من الشائع جدًا مواجهة أخطاء في سجلات النظام. إذا أشار العميل إلى ذلك تعذر تحديد نطاق الخادم (مضيف غير معروف)تحقق من الاسم في الخادم البعيد وحالة خدمة نظام أسماء النطاقات الديناميكي؛ كاختبار سريع، اتصل مباشرة باستخدام عنوان IP العام لاستبعاد مشاكل التحليل.
رسائل مثل تعذر تحديد بروتوكول IPv4/IPv6 تشير هذه الرسائل إلى عدم وجود عنوان صالح يتم حله؛ ومرة أخرى، يتم التحقق من المضيف وسجلات نظام أسماء النطاقات (DNS). أما الرسائل الأخرى من نوع SIGUSR1[soft,init_instance] التي يتم تلقيها، فتشير عادةً إلى محاولات إعادة الاتصال بعد فشل سابق، مثل كلمة مرور شهادة غير صحيحة أو مشاكل في جدار الحماية على طول المسار.
إذا بقي العميل في حالة انتظار إلى أجل غير مسمى دون إحراز أي تقدم، فعادةً المنفذ غير مفتوح/مُعاد توجيهه بشكل صحيح على جهاز التوجيه، أو أن خادم OpenVPN لا يعمل.من المهم التحقق من إعادة توجيه المنفذ والتأكد على الخادم من ظهور رسالة "اكتمل تسلسل التهيئة" على الأقل.
مشاكل شائعة أخرى
يعرض نظام التشغيل ويندوز أحيانًا تحذيرات تفيد بأن خيارات المستخدم والمجموعة غير مفعلة؛ هذه ليست أخطاء حرجة، إنها مجرد توجيهات لينكس يمكنك إزالتها من ملف .ovpn. إذا كانت هذه الأمور تزعجك. تحذير شائع آخر هو تجاهل بروتوكول ديفي-هيلمان في وضع العميل، لأن هذا البروتوكول خاص بإعدادات الخادم فقط.
أخطاء مثل خطأ في فك تشفير TLS أو خطأ TLS: مفاتيح TLS المحلية/البعيدة غير متزامنة يشير هذا عادةً إلى عدم تطابق ملف ta.key بين الخادم والعميل، أو إلى أنه نُسخ بشكل خاطئ. وعادةً ما يؤدي التحقق من هذا المفتاح وإعادة نسخه إلى حل المشكلة.
إذا رأيت تحذيرات تتعلق بـ MTU (عدم اتساق MTU للرابط) أو الضغط (ضغط LZO)، فمن المحتمل أن يكون ذلك لا تتطابق إعدادات الضغط أو الحد الأقصى لحجم الحزمة بين الخادم والعملاء.في الوقت الحاضر، ولأسباب أمنية، من الأفضل تعطيل الضغط تمامًا على كلا الجانبين كلما أمكن ذلك.
يشير فشل عملية المصافحة العامة لبروتوكول TLS بشكل أساسي إلى أن لم يتم العثور على تركيبة مشتركة من التشفيرات، أو أن هناك معلمة TLS غير متوافقة.عادةً ما يؤدي فحص التشفير، وتشفير البيانات، وتشفير TLS (المجموعات) والحد الأدنى لإصدار TLS على الخادم والعميل إلى كشف المشكلة.
ما الذي يجعل شبكة VPN جيدة، وما هي البدائل لشبكة OpenVPN؟
عند اختيار خدمة VPN (أو خدمة تستخدم OpenVPN في بنيتها الأساسية)، يجب مراعاة عدة عوامل. يجب أن تكون الخدمة الجيدة توفير تشفير قوي لعناوين IP والبروتوكولات، وحماية ملفات تعريف الارتباط وسجل التصفح. وإذا أمكن، قم بتضمين المصادقة الثنائية للوصول إلى الحساب.
ميزات مثل مفتاح إيقاف التشغيل، وحظر تسرب نظام أسماء النطاقات، وسياسات صارمة لعدم الاحتفاظ بالسجلات، وخوادم مُحسَّنة للبث المباشر أو بروتوكول P2P هذه مزايا مثيرة للاهتمام. وعلى الصعيد التشغيلي، تُعد سهولة استخدام التطبيق وسرعة استجابة الدعم ميزة مهمة أيضاً.
بالإضافة إلى OpenVPN، توجد تقنيات وخدمات أخرى: WireGuard (سريع جدًا وحديث)، IPsec (كلاسيكي في بيئات الشركات)، أو حلول مثل NordVPN، ProtonVPN، ExpressVPN، CyberGhost، Surfshark، إلخ. تُقدم هذه الشركات كل شيء ضمن تطبيقاتها الخاصة. كما توجد بدائل مجانية مثل Tinc، الذي يوفر تشفيرًا متطورًا ومرونة عالية، مما يجعله مثاليًا للشبكات المعقدة أو لدمج شبكات VPN في أجهزة التوجيه وأجهزة التخزين الشبكي ذات الموارد المحدودة.
عند تثبيته بشكل صحيح، يمكن تشغيل شبكة VPN قائمة على OpenVPN على جهاز التوجيه أو الخادم المنزلي الخاص بك. يمكنه أن يمنحك وصولاً آمناً عن بعد إلى شبكتك، وتشفيراً قوياً، وسرعة جيدة، وراحة حماية جميع أجهزتك في وقت واحد.بشرط أن تنتبه إلى تكوين الشهادات والتشفير والمسارات والمنافذ، وأن تتحقق من أن اتصالك لديه عنوان IP عام بدون CG-NAT الذي يحجب مسارك.