Pagrindinis » kaip » Kaip įdiegti ir konfigūruoti „OpenVPN“ savo DD-WRT maršrutizatoriuje

    Kaip įdiegti ir konfigūruoti „OpenVPN“ savo DD-WRT maršrutizatoriuje

    Jau aptarėme „Tomato“ įdiegimą į jūsų maršrutizatorių ir kaip prisijungti prie namų tinklo su „OpenVPN“ ir „Tomato“. Dabar mes ketiname įtraukti „OpenVPN“ diegimą į jūsų DD-WRT įgalintą maršrutizatorių, kad galėtumėte lengvai pasiekti savo namų tinklą iš bet kurios pasaulio vietos!

    Kas yra OpenVPN?

    Virtualus privatus tinklas (VPN) yra patikimas, saugus ryšys tarp vieno vietinio tinklo (LAN) ir kito. Pagalvokite apie savo maršrutizatorių kaip vidurinį žmogų tarp tinklų, prie kurių prisijungiate. Tiek kompiuteris, tiek „OpenVPN“ serveris (šiuo atveju jūsų maršrutizatorius) „purtys rankas“, naudodami sertifikatus, patvirtinančius vienas kitą. Patvirtinus tiek klientas, tiek serveris sutinka pasitikėti vienas kitu ir klientui leidžiama prisijungti prie serverio tinklo.

    Paprastai VPN programinė įranga ir aparatinė įranga įgyvendina daug pinigų. Jei to dar nepagalvojote, „OpenVPN“ yra atviro kodo VPN sprendimas, kuris yra (būgno ritinys) nemokamai. DD-WRT, kartu su „OpenVPN“, yra puikus sprendimas tiems, kurie nori užtikrinti saugų ryšį tarp dviejų tinklų, neatidarant savo piniginės. Žinoma, OpenVPN neveiks iš lauko. Tai trunka truputį truputį keisti ir sukonfigūruoti, kad galėčiau tai padaryti. Tačiau nesijaudinkite; mes esame čia, kad šis procesas jums būtų lengviau, todėl paimkite sau šiltą kavos puodelį ir pradėkime.

    Norėdami gauti daugiau informacijos apie „OpenVPN“, apsilankykite oficialiame „Kas yra OpenVPN“? puslapyje.

    Būtinos sąlygos

    Šiame vadove daroma prielaida, kad šiuo metu kompiuteryje veikia „Windows 7“ ir kad naudojate administracinę paskyrą. Jei esate „Mac“ ar „Linux“ naudotojas, šis vadovas suteiks jums idėjų, kaip viskas veikia, tačiau jums gali tekti šiek tiek daugiau atlikti tyrimus, kad galėtumėte tobulinti dalykus.

    Šiame vadove taip pat daroma prielaida, kad turite „Linksys WRT54GL“ ir turite bendrą VPN technologijos supratimą. Jis turėtų būti DD-WRT diegimo pagrindas, tačiau būtinai patikrinkite mūsų oficialų DD-WRT diegimo vadovą, kuriame rasite papildomą priedą.

    DD-WRT diegimas

    Už DD-WRT atsakinga komanda atliko puikų darbą, todėl galutiniams vartotojams lengva atrasti maršrutizatoriaus suderinamumą su maršrutizatorių duomenų bazės puslapiu. Pradėkite rašyti savo maršrutizatoriaus modelį (mūsų atveju WRT54GL) teksto lauke ir žiūrėti paieškos rezultatus iškart. Spustelėkite savo maršrutizatorių, kai jis bus rastas.

    Jus atnešite į naują puslapį, kuriame bus pateikta informacija apie jūsų modelį, įskaitant aparatūros specifikacijas ir skirtingus DD-WRT kūrinius. Atsisiųskite „Mini-Generic“ ir „VPN Generic DD-WRT“ (dd-wrt.v24_mini_generic.bin ir dd-wrt.v24_vpn_generic.bin). Išsaugokite šiuos failus į kompiuterį.

    Jei norite sužinoti išsamią informaciją apie maršrutizatorių ir DD-WRT, apsilankykite DD-WRT techninės informacijos puslapyje. Šiame puslapyje bus paaiškinta, ką reikia padaryti prieš ir po DD-WRT įdiegimo. Pvz., Prieš diegdami DD-WRT VPN, turite įdiegti „DD-WRT“ mini versiją, kai atnaujinate iš „Linksys“ firmware WRT54GL.

    Be to, prieš diegdami DD-WRT, įsitikinkite, kad atliksite kietą atstatymą (AKA a 30/30/30). Paspauskite atstatymo mygtuką maršrutizatoriaus gale 30 sekundžių. Tada, vis dar laikydami atstatymo mygtuką, atjunkite maitinimo kabelį ir palikite jį 30 sekundžių. Galiausiai vėl įjunkite maitinimo kabelį, kol dar 30 sekundžių palaikysite nuspaudimo mygtuką. Maitinimo mygtuką reikėjo išlaikyti 90 sekundžių tiesiai.

    Dabar atverkite naršyklę ir įveskite savo maršrutizatoriaus IP adresą (numatytasis yra 192.168.1.1). Bus prašoma įvesti naudotojo vardą ir slaptažodį. „Linksys WRT54GL“ nustatymai yra „admin“ ir „admin“.

    Viršuje spustelėkite skirtuką Administravimas. Toliau spustelėkite „Firmware Upgrade“, kaip nurodyta toliau.

    Spustelėkite mygtuką Naršyti ir pereikite prie anksčiau parsisiųstos DD-WRT Mini bendrojo .bin failo. Padarykite ne įkelkite DD-WRT VPN .bin failą. Spustelėkite žiniatinklio sąsajos mygtuką „Atnaujinti“. Jūsų maršrutizatorius pradės diegti „DD-WRT Mini Generic“ ir turėtų užtrukti mažiau nei minutę.

    Deja! Jūsų pirmasis DD-WRT stebėjimas. Dar kartą atlikite kitą 30/30/30 atstatymą, kaip ir anksčiau. Tada viršuje spustelėkite skirtuką Administravimas. Jums bus pasiūlytas naudotojo vardas ir slaptažodis. Numatytasis vartotojo vardas ir slaptažodis yra atitinkamai „root“ ir „admin“. Prisijungę, spustelėkite skirtuką „Firmware Upgrade“ ir spustelėkite „Select File“. Suraskite anksčiau atsisiųstą DD-WRT VPN failą ir spustelėkite Atidaryti. Dabar „DD-WRT“ VPN versija pradės įkelti; būkite kantrūs, nes tai gali užtrukti 2-3 minutes.

    „OpenVPN“ diegimas

    Dabar pereikime prie „OpenVPN“ atsisiuntimų puslapio ir atsisiųskite „OpenVPN“ „Windows Installer“. Šiame vadove naudosime antrąją naujausią OpenVPN versiją, pavadintą 2.1.4. Naujausia versija (2.2.0) turi klaidą, dėl kurios šis procesas taptų dar sudėtingesnis. Failas, kurį atsisiunčiame, įdiegs OpenVPN programą, kuri leidžia prisijungti prie jūsų VPN tinklo, todėl būtinai įdiekite šią programą visuose kituose kompiuteriuose, kuriuos norite veikti kaip klientai (kaip matysime, kaip tai padaryti vėliau). Į kompiuterį įrašykite openvpn-2.1.4-install .exe failą.

    Nueikite į „OpenVPN“ failą, kurį mes tiesiog atsisiuntėme, ir dukart spustelėkite jį. Tai pradės diegti „OpenVPN“ kompiuteryje. Vykdykite diegimo programą, jei visi numatytieji nustatymai yra patikrinti. Diegimo metu pasirodys dialogo langas, kuriame bus paprašyta įdiegti naują virtualaus tinklo adapterį, vadinamą TAP-Win32. Spustelėkite mygtuką Įdiegti.

    Sertifikatų ir raktų kūrimas

    Dabar, kai kompiuteryje įdiegtas „OpenVPN“, turime pradėti kurti sertifikatus ir raktus, kad galėtume autentifikuoti įrenginius. Spustelėkite „Windows“ pradžios mygtuką ir naršykite po priedais. Pamatysite komandų eilutės programą. Dešiniuoju pelės mygtuku spustelėkite jį ir spustelėkite Vykdyti kaip administratorius.

    Į komandų eilutę įrašykite cd c: Programų failai (x86) OpenVPN-rsa jei naudojate 64 bitų „Windows 7“, kaip matoma toliau. Tipas cd c: Programos failai OpenVPN lengvai-rsa jei naudojate 32 bitų „Windows 7“. Tada paspauskite „Enter“.

    Dabar įveskite init-config ir paspauskite Enter, norėdami kopijuoti du failus, vadinamus vars.bat ir openssl.cnf į easy-rsa aplanką. Laikykite savo komandą į viršų, nes netrukus grįšime į jį.

    Eikite į C: Programos failai (x86) OpenVPN-rsa (arba C: Programos failai OpenVPN lengvai-rsa 32 bitų „Windows 7“) ir dešiniuoju pelės mygtuku spustelėkite failą, vadinamą vars.bat. Spustelėkite Redaguoti, kad jį atidarytumėte „Notepad“. Arba rekomenduojame atidaryti šį failą su „Notepad ++“, nes jis daug geriau formatuoja failą. Notepad ++ galite atsisiųsti iš savo pagrindinio puslapio.

    Apatinė failo dalis yra tai, kas mums rūpi. Nuo 31 eilutės pakeiskite KEY_COUNTRY vertė, KEY_PROVINCE pvz., mes pakeitėme savo provinciją į „IL“, miestą „Chicago“, org į „HowToGeek“, ir išsiųskite el. laišką į savo el. pašto adresą. Be to, jei naudojate „Windows 7“ 64 bitų, pakeiskite NAMAI vertė 6 eilutėje % ProgramFiles (x86)% OpenVPN-rsa. Nenaudokite šios vertės, jei naudojate 32 bitų „Windows 7“. Jūsų failas turėtų atrodyti panašus į žemiau pateiktą (žinoma, su atitinkamomis reikšmėmis). Išsaugokite failą perrašydami, kai baigsite redagavimą.

    Grįžkite į komandų eilutę ir įveskite vars ir paspauskite Enter. Tada įveskite švarus ir paspauskite Enter. Galiausiai įveskite build-ca ir paspauskite Enter.

    Atlikę build-ca komandą, būsite paraginti įvesti savo šalies pavadinimą, valstybę, vietovę ir tt Kadangi mes jau nustatėme šiuos parametrus mūsų vars.bat failą, galime praleisti šias parinktis paspaudę Enter, bet! Prieš pradėdami užgrobti „Enter“ klavišą, stebėkite „Common Name“ parametrą. Į šį parametrą galite įvesti ką nors (t. Y. Jūsų vardą). Tiesiog įsitikinkite, kad įvedate kažkas. Ši komanda perduos du failus („Root CA“ sertifikatą ir šaknų CA raktą) „easy-rsa / keys“ aplanke.

    Dabar mes ketiname sukurti raktą klientui. Tame pačiame komandų eilutėje „build-key“ klientas1. Galite pakeisti „klientą1“ į viską, ką norite (t.y. „Acer-Laptop“). Tiesiog paprašykite įvesti tą patį pavadinimą, kaip ir bendrasis pavadinimas. Vykdykite visus numatytuosius nustatymus, pvz., Paskutinį žingsnį (išskyrus, žinoma, bendrąjį pavadinimą). Tačiau galų gale bus paprašyta pasirašyti sertifikatą ir įsipareigoti. Įrašykite „y“ ir spustelėkite Enter.

    Be to, nesijaudinkite, jei gavote „nepavyko rašyti„ atsitiktinės būsenos “klaidos. Pastebėjome, kad jūsų sertifikatai vis dar gaunami be problemų. Ši komanda perduos du failus („Client1 Key“ ir „Client1“ sertifikatą) „easy-rsa / keys“ aplanke. Jei norite sukurti kitą raktą kitam klientui, pakartokite ankstesnį veiksmą, tačiau būtinai pakeiskite bendrąjį pavadinimą.

    Paskutinis sertifikatas, kurį generuosime, yra serverio raktas. Toje pačioje komandų eilutėje įveskite „build-key-server“ serverio. Komandos pabaigoje „serverį“ galite pakeisti nieko, ką norite (t.y. HowToGeek-Server). Kaip visada, būtinai nurodykite tą patį pavadinimą kaip ir bendras pavadinimas. Paspauskite Enter ir paleiskite per visus numatytuosius, išskyrus Common Name. Pabaigoje įveskite „y“, kad pasirašytumėte sertifikatą ir įsipareigotumėte. Ši komanda perduos du failus (serverio raktą ir serverio sertifikatą) į easy-rsa / keys aplanką.

    Dabar turime sukurti „Diffie Hellman“ parametrus. „Diffie Hellman“ protokolas „leidžia dviem vartotojams keistis slaptu raktu nesaugioje laikmenoje be jokių paslapčių“. Daugiau apie Diffie Hellman galite sužinoti RSA interneto svetainėje.

    Tame pačiame komandų eilutėje build-dh. Ši komanda išleis vieną failą (dh1024.pem) į easy-rsa / keys aplanką.

    Kliento konfigūracijos failų kūrimas

    Prieš redaguodami bet kokius konfigūracijos failus, turėtume nustatyti dinaminę DNS paslaugą. Naudokite šią paslaugą, jei jūsų interneto paslaugų teikėjas kaskart dažnai pateikia dinamišką išorinį IP adresą. Jei turite statinį išorinį IP adresą, pereikite prie kito žingsnio.

    Siūlome naudoti „DynDNS.com“ - paslaugą, kuri leidžia nukreipti kompiuterio pavadinimą (pvz., Howtogeek.dyndns.org) į dinaminį IP adresą. Svarbu, kad „OpenVPN“ visada žinotų jūsų tinklo viešąjį IP adresą ir, naudodamas „DynDNS“, „OpenVPN“ visada žinos, kaip rasti savo tinklą, nesvarbu, koks yra jūsų viešasis IP adresas. Prisiregistruokite prie nemokamo kompiuterio vardo ir nukreipkite jį į viešąjį IP adresą.

    Dabar grįžkite į „OpenVPN“ konfigūravimą. „Windows Explorer“ naršykite C: Programos failai (x86) OpenVPN pavyzdys-config jei naudojate 64 bitų „Windows 7“ arba „Windows 7“ C: Programos failai OpenVPN pavyzdys-config jei naudojate 32 bitų „Windows 7“. Šiame aplanke rasite tris atrankos konfigūracijos failus; mes tik rūpinamės client.ovpn failą.

    Dešiniuoju pelės mygtuku spustelėkite client.ovpn ir atidarykite jį „Notepad“ arba „Notepad ++“. Pastebėsite, kad failas atrodys toliau pateiktame paveikslėlyje:

    Tačiau mes norime mūsų client.ovpn failas atrodo panašus tai paveikslėlis žemiau. Būtinai pakeiskite DynDNS kompiuterio pavadinimą į savo kompiuterio pavadinimą 4 eilutėje (arba pakeiskite jį į viešąjį IP adresą, jei turite statinį). Palikite prievado numerį į 1194, nes jis yra standartinis OpenVPN prievadas. Taip pat būtinai pakeiskite 11 ir 12 eilutes, kad atspindėtumėte kliento sertifikato failo ir raktinio failo pavadinimą. Išsaugokite jį kaip naują failą .ovpn failą OpenVPN / config aplanke.

    „DD-WRT“ OpenVPN „Daemon“ konfigūravimas

    Pagrindinė idėja dabar yra nukopijuoti anksčiau atliktus serverio sertifikatus ir raktus ir įklijuoti juos į DD-WRT OpenVPN Daemon meniu. Dar kartą atidarykite naršyklę ir eikite į savo maršrutizatorių. Dabar jūsų maršrutizatoriuje turi būti įdiegtas DD-WRT VPN leidimas. Į skirtuką Paslaugos vadinamas VPN bus pastebėtas naujas pogrupis. Spustelėkite mygtuką „Įjungti“, esantį „OpenVPN Daemon“.

    Pirma, pakeiskite „Start“ tipą į „Wan Up“, o ne numatytąjį „System“. Dabar mums reikės mūsų serverių raktų ir sertifikatų, kuriuos sukūrėme anksčiau. „Windows Explorer“ naršykite C: Programuoti failus (x86) OpenVPN lengvai rsa mygtukai 64 bitų „Windows 7“ (arba C: Programos failai OpenVPN lengvai rsa mygtukai 32 bitų „Windows 7“). Atidarykite kiekvieną atitinkamą failą žemiau (ca.crt, server.crt, serveryje, ir dh1024.pem) su Notepad arba Notepad ++ ir nukopijuokite turinį. Įklijuokite turinį į atitinkamas dėžutes, kaip parodyta žemiau.

    „OpenVPN Config“ lauke turėsime sukurti individualų failą. Šie nustatymai skirsis priklausomai nuo jūsų LAN nustatymo. Atidarykite atskirą naršyklės langą ir įveskite savo maršrutizatoriaus IP adresą. Spustelėkite skirtuką „Setup“ (sąranka) ir atkreipkite dėmesį į tai, kokį IP adresą turite sukonfigūravę „Router IP“ (vietinis IP adresas). Numatytasis, kurį naudojame šiame pavyzdyje, yra 192.168.1.1. Įterpkite šį potinklį iš karto po „maršruto“ pirmoje eilutėje, kad atspindėtumėte jūsų LAN nustatymus. Nukopijuokite jį į OpenVPN konfigūravimo langelį ir spustelėkite Įrašyti.

    paspauskite „maršrutas 192.168.1.0 255.255.255.0“
    serveris 10.8.0.0 255.255.255.0

    dev tun0
    proto tcp
    Keepalive 10 120
    dh /tmp/openvpn/dh.pem
    ca /tmp/openvpn/ca.crt
    cert /tmp/openvpn/cert.pem
    raktas /tmp/openvpn/key.pem

    # Naudokite tik crl-check, jei naudojate atšaukimo sąrašą - kitaip palikite komentarą
    # crl-kontrollida /tmp/openvpn/ca.crl

    # valdymo parametras leidžia DD-WRT OpenVPN būsenos tinklalapiui pasiekti serverio valdymo prievadą
    # prievadas turi būti 5001, jei norite įjungti programinę įrangą, kad ji veiktų
    valdymas localhost 5001

    Dabar turime sukonfigūruoti užkardą, kad klientai galėtų prisijungti prie mūsų OpenVPN serverio per 1194 prievadą. Eikite į skirtuką Administravimas ir spustelėkite skirtuką Komandos. Teksto lauke Komandos įklijuokite:

    iptables -I INPUT 1 -p udp -port 1194 -j ACCEPT
    iptables -I FORWARD 1 šaltinis 192.168.1.0/24 -j ACCEPT
    iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
    iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

    Būtinai pakeiskite savo LAN IP antroje eilutėje, jei ji skiriasi nuo numatytojo. Toliau spustelėkite mygtuką Išsaugoti užkardą.

    Galiausiai, patikrinkite savo laiko nustatymus, esantį skirtuke Sąranka, kitaip OpenVPN demonas paneigia visus klientus. Siūlome eiti į TimeAndDate.com ir ieškoti savo miesto pagal dabartinį laiką. Ši svetainė suteiks jums visą informaciją, kurios reikia norint užpildyti „Time Settings“, kaip ir toliau. Taip pat patikrinkite NTP Pool projekto tinklavietę, kurioje bus naudojami vieši NTP serveriai.

    OpenVPN kliento nustatymas

    Šiame pavyzdyje mes naudosime „Windows 7“ nešiojamąjį kompiuterį kaip mūsų klientą atskirame tinkle. Pirmas dalykas, kurį norėsite padaryti, yra įdiegti „OpenVPN“ savo klientui, kaip ir pirmiau, atlikdami „OpenVPN konfigūravimas“. Tada pereikite prie C: Programos failai OpenVPN konfig kur mes įklijuosime savo failus.

    Dabar mes turime grįžti į pradinį kompiuterį ir rinkti iš viso keturis failus, kad galėtume nukopijuoti į mūsų klientų kompiuterį. Eikite į C: Programuoti failus (x86) OpenVPN lengvai rsa mygtukai vėl ir kopijuokite ca.crt, client1.crt, ir client1.key. Įklijuokite šiuos failus į kliento konfig aplanką.

    Galiausiai, reikia kopijuoti dar vieną failą. Eikite į C: Programų failai (x86) OpenVPN konfig ir nukopijuokite naują anksčiau sukurtą kliento failą. Įklijuokite šį failą į kliento konfig taip pat.

    „OpenVPN“ kliento testavimas

    Kliento nešiojamuoju kompiuteriu spustelėkite „Windows“ pradžios mygtuką ir eikite į „Visos programos“> „OpenVPN“. Dešiniuoju pelės mygtuku spustelėkite OpenVPN GUI failą ir spustelėkite Vykdyti kaip administratorius. Atkreipkite dėmesį, kad, norint, kad jis tinkamai veiktų, visada turite paleisti „OpenVPN“ kaip administratorių. Jei norite visam laikui nustatyti failą, kuris visada vykdomas kaip administratorius, dešiniuoju pelės mygtuku spustelėkite failą ir spustelėkite Ypatybės. Skirtuke Suderinamumas patikrinkite šią programą kaip administratorių.

    Užduočių juostoje šalia laikrodžio bus rodoma „OpenVPN GUI“ piktograma. Dešiniuoju pelės mygtuku spustelėkite piktogramą ir spustelėkite Jungtis. Kadangi mes turime tik vieną .ovpn failą konfig „OpenVPN“ prisijungs prie to tinklo pagal numatytuosius nustatymus.

    Atsidarys dialogo langas, kuriame bus rodomas prisijungimo žurnalas.

    Prisijungę prie VPN, užduočių juostoje esanti „OpenVPN“ piktograma taps žalia ir parodys jūsų virtualų IP adresą.

    Štai ir viskas! Dabar naudodami „OpenVPN“ ir „DD-WRT“ turite saugų ryšį tarp serverio ir kliento tinklo. Norėdami toliau išbandyti ryšį, pabandykite atidaryti kliento nešiojamojo kompiuterio naršyklę ir naršyti į savo DD-WRT maršrutizatorių serverio tinkle.