Kā uzstādīt un konfigurēt OpenVPN uz jūsu DD-WRT maršrutētāja
Mēs jau esam iekļāvuši Tomato instalēšanu maršrutētājam un to, kā izveidot savienojumu ar mājas tīklu, izmantojot OpenVPN un Tomātu. Tagad mēs nodrošināsim OpenVPN instalēšanu uz jūsu DD-WRT iespējotā maršrutētāja, lai viegli piekļūtu jūsu mājas tīklam no jebkuras vietas pasaulē!
Kas ir OpenVPN?
Virtuālais privātais tīkls (VPN) ir uzticams un drošs savienojums starp vienu lokālo tīklu (LAN) un otru. Padomājiet par savu maršrutētāju kā vidējo cilvēku starp tīkliem, ar kuriem jūs izveidojat savienojumu. Gan jūsu dators, gan OpenVPN serveris (jūsu maršrutētājs šajā gadījumā) „krata”, izmantojot sertifikātus, kas apstiprina viens otru. Pēc validēšanas gan klients, gan serveris vienojas uzticēties vienam otram, un klientam tiek atļauts piekļūt servera tīklam.
Parasti VPN programmatūra un aparatūra īsteno daudz naudas. Ja jūs jau neesat to uzminējuši, OpenVPN ir bezmaksas pirmkoda VPN risinājums. DD-WRT kopā ar OpenVPN ir ideāls risinājums tiem, kas vēlas nodrošināt drošu savienojumu starp diviem tīkliem, neatverot savu seifu. Protams, OpenVPN nedarbosies tieši no kastes. Tas aizņem mazliet trokšņošanu un konfigurēšanu, lai to iegūtu. Neraizējieties gan; mēs esam šeit, lai padarītu šo procesu vieglāku jums, tāpēc paņemiet sev siltu kafijas tasi un sāciet.
Lai iegūtu plašāku informāciju par OpenVPN, apmeklējiet oficiālo Kas ir OpenVPN? lappuse.
Priekšnoteikumi
Šajā rokasgrāmatā ir pieņemts, ka pašlaik datorā darbojas sistēma Windows 7 un ka izmantojat administratīvo kontu. Ja esat Mac vai Linux lietotājs, šī rokasgrāmata sniegs jums priekšstatu par to, kā darbojas, tomēr, iespējams, jums būs jādara nedaudz vairāk pētījumu, lai iegūtu lietas perfektu.
Šajā rokasgrāmatā arī pieņemts, ka jums pieder Linksys WRT54GL un jums ir vispārēja izpratne par VPN tehnoloģiju. Tam vajadzētu kalpot par pamatu DD-WRT instalācijai, bet pārliecinieties, vai esat iepazinušies ar oficiālo DD-WRT instalācijas rokasgrāmatu, lai iegūtu papildu piemaksu.
DD-WRT instalēšana
Komanda, kas atbild par DD-WRT, ir paveikusi lielisku darbu, padarot tiešos lietotājus vieglāk atklāt maršrutētāja saderību ar savu maršrutētāju datu bāzes lapu. Sāciet, ierakstot maršrutētāja modeli (mūsu gadījumā WRT54GL) teksta laukā un skatiet meklēšanas rezultātus uzreiz. Noklikšķiniet uz jūsu maršrutētāja, kad tas ir atrasts.
Jūs nonāksiet jaunā lapā, kurā uzskaitīta informācija par jūsu modeli, ieskaitot aparatūras specifikācijas un dažādus DD-WRT veidus. Lejupielādējiet gan Mini-Generic, gan VPN Generic DD-WRT būvi (dd-wrt.v24_mini_generic.bin un dd-wrt.v24_vpn_generic.bin). Saglabājiet šos failus datorā.
Lai apskatītu detalizētu informāciju par jūsu maršrutētāju un DD-WRT, ieteicams apmeklēt DD-WRT aparatūras informāciju. Šī lapa izskaidros tieši to, kas jums jādara pirms un pēc DD-WRT instalēšanas. Piemēram, pirms DD-WRT VPN instalēšanas ir jāinstalē DD-WRT mini versija, atjauninot no akcijas Linksys firmware uz WRT54GL.
Pirms DD-WRT instalēšanas pārliecinieties, ka veicat cieto resetēšanu (AKA a 30/30/30). Nospiediet atiestatīšanas pogu maršrutētāja aizmugurē 30 sekundes. Pēc tam, turot nospiestu atiestatīšanas pogu, atvienojiet strāvas kabeli un atstājiet to atvienotu 30 sekundes. Visbeidzot, vēlreiz pieslēdziet strāvas kabeli, turot nospiestu atiestatīšanas pogu vēl 30 sekundes. Jums vajadzēja turēt barošanas pogu 90 sekundes taisni.
Tagad atveriet savu pārlūkprogrammu un ievadiet maršrutētāja IP adresi (noklusējums ir 192.168.1.1). Jums tiks piedāvāts lietot lietotājvārdu un paroli. Linksys WRT54GL noklusējuma iestatījumi ir “admin” un “admin”.
Noklikšķiniet uz cilnes Administrācija augšpusē. Pēc tam noklikšķiniet uz Firmware Upgrade, kā redzams tālāk.
Noklikšķiniet uz pogas Pārlūkot un pārvietojieties uz iepriekš lejupielādēto DD-WRT Mini vispārējo .bin failu. Dariet ne augšupielādējiet DD-WRT VPN .bin failu. Web saskarnē noklikšķiniet uz pogas Upgrade. Jūsu maršrutētājs sāks instalēt DD-WRT Mini Generic, un tam vajadzētu būt mazāk nekā minūti.
Diemžēl! Jūsu pirmā DD-WRT novērošana. Vēlreiz vēlreiz atiestatiet citu 30/30/30 iestatījumu, kā iepriekš. Pēc tam noklikšķiniet uz cilnes Administrācija augšpusē. Jums tiks piedāvāts lietotājvārds un parole. Noklusējuma lietotājvārds un parole ir attiecīgi “root” un “admin”. Kad esat pieteicies, noklikšķiniet uz cilnes Firmware Upgrade un noklikšķiniet uz Select File. Pārlūkojiet iepriekš lejupielādēto DD-WRT VPN failu un noklikšķiniet uz Atvērt. DD-WRT VPN versija tagad sāks augšupielādēt; esiet pacietīgi, jo tas var aizņemt 2-3 minūtes.
OpenVPN instalēšana
Tagad pāriet uz OpenVPN lejupielādes lapu un lejupielādējiet OpenVPN Windows Installer. Šajā rokasgrāmatā mēs izmantosim otro jaunāko OpenVPN versiju ar nosaukumu 2.1.4. Jaunākajai versijai (2.2.0) tajā ir kļūda, kas padarītu šo procesu vēl sarežģītāku. Lejupielādētais fails instalēs OpenVPN programmu, kas ļauj izveidot savienojumu ar jūsu VPN tīklu, tāpēc noteikti instalējiet šo programmu citos datoros, kurus vēlaties darboties kā klienti (jo mēs redzēsim, kā to izdarīt vēlāk). Saglabājiet openvpn-2.1.4-install .exe failu savā datorā.
Virzieties uz OpenVPN failu, kuru mēs tikko lejupielādējām, un divreiz uzklikšķiniet uz tā. Tā sāksies OpenVPN instalēšana datorā. Izpildiet instalēšanas programmu, pārbaudot visus noklusējuma iestatījumus. Instalēšanas laikā parādīsies dialoglodziņš, kurā tiks prasīts instalēt jaunu virtuālā tīkla adapteri, ko sauc par TAP-Win32. Noklikšķiniet uz pogas Instalēt.
Sertifikātu un atslēgu izveide
Tagad, kad datorā ir instalēta programma OpenVPN, mums jāuzsāk sertifikātu un atslēgu izveidošana, lai autentificētu ierīces. Noklikšķiniet uz pogas Windows Sākt un pārvietojieties zem Piederumi. Jūs redzēsiet komandu uzvednes programmu. Ar peles labo pogu noklikšķiniet uz tā un noklikšķiniet uz Palaist kā administratoram.
Komandu uzvednē ierakstiet cd c: Failu faili (x86) OpenVPN vienkārši-rsa ja izmantojat 64 bitu Windows 7, kā redzams zemāk. Tips cd c: Failu faili OpenVPN vienkārši-rsa ja izmantojat 32 bitu Windows 7. Pēc tam nospiediet Enter.
Tagad ierakstiet init-config un nospiediet Enter, lai kopētu divus failus, kurus sauc par vars.bat un openssl.cnf mapē easy-rsa. Saglabājiet komandu uz augšu, jo tuvākajā laikā mēs atgriezīsimies pie tā.
Virzieties uz C: Failu faili (x86) OpenVPN vienkārši-rsa (vai C: Programmas faili OpenVPN vienkārši-rsa 32 bitu operētājsistēmā Windows 7) un ar labo klikšķi uz faila, ko sauc par vars.bat. Noklikšķiniet uz Rediģēt, lai to atvērtu Notepad. Alternatīvi, mēs iesakām atvērt šo failu ar Notepad ++, jo tas formatē failu daudz labāk. Notepad ++ varat lejupielādēt no savas mājas lapas.
Faila apakšējā daļa ir tā, par ko mēs esam norūpējušies. Sākot ar 31. rindu, mainiet KEY_COUNTRY vērtību, KEY_PROVINCE Piemēram, mēs mainījām savu provinci uz „IL”, pilsētu uz „Chicago”, org uz “HowToGeek”, un e-pastu uz mūsu pašu e-pasta adresi. Turklāt, ja izmantojat Windows 7 64 bitu, mainiet MĀJAS vērtība 6. \ t % ProgramFiles (x86)% OpenVPN vienkārši-rsa. Nemainiet šo vērtību, ja izmantojat 32 bitu Windows 7. Jūsu failam vajadzētu izskatīties līdzīgi tālāk redzamajam (protams, ar attiecīgajām vērtībām). Saglabājiet failu, pārrakstot to, kad esat pabeidzis rediģēšanu.
Dodieties atpakaļ uz komandu uzvedni un ierakstiet vars un nospiediet Enter. Pēc tam ierakstiet tīrs un nospiediet Enter. Visbeidzot, ierakstiet build-ca un nospiediet Enter.
Pēc build-ca komandu, jums tiks piedāvāts ievadīt savu valsti, valsti, atrašanās vietu utt. Tā kā mēs jau esam iestatījuši šos parametrus mūsu vars.bat failu, mēs varam izlaist šīs opcijas, noklikšķinot uz Enter, bet! Pirms sākat slazdot taustiņu Enter, skatieties parastā nosaukuma parametru. Šajā parametrā var ievadīt kaut ko (t.i., jūsu vārdu). Tikai pārliecinieties, ka esat ievadījis kaut ko. Šī komanda izdos divus failus (saknes SI sertifikātu un saknes SI atslēgu) mapē easy-rsa / keys.
Tagad mēs izveidosim atslēgu klientam. Tajā pašā komandu uzvednes tipā build-key klients1. Jūs varat mainīt “klientu1” uz kaut ko, ko vēlaties (t.i., Acer-Laptop). Vienmēr pārliecinieties, ka tiek parādīts tāds pats nosaukums kā parastajam nosaukumam. Izpildiet visus noklusējuma iestatījumus, piemēram, pēdējo soli, ko mēs darījām (izņemot parastu nosaukumu, protams). Tomēr beigās jums tiks lūgts parakstīt sertifikātu un izdarīt saistības. Ierakstiet “y” abiem un noklikšķiniet uz Enter.
Neuztraucieties arī, ja esat saņēmis “neiespējamu rakstīt“ nejaušības stāvokļa kļūdu. Mēs esam ievērojuši, ka jūsu sertifikāti joprojām tiek veikti bez problēmām. Šī komanda izdos divus failus (Client1 Key un Client1 sertifikātu) mapē easy-rsa / keys. Ja vēlaties izveidot citu atslēgu citam klientam, atkārtojiet iepriekšējo soli, bet pārliecinieties, ka nomaināt kopējo nosaukumu.
Pēdējais sertifikāts, ko mēs radīsim, ir servera atslēga. Tajā pašā komandu uzvednē ierakstiet build-key-server serveri. Komandas beigās varat aizstāt “serveri” ar kaut ko, ko vēlaties (t.i., HowToGeek-Server). Kā vienmēr, pārliecinieties, ka tiek parādīts tāds pats nosaukums kā parastajam nosaukumam. Rezultāts Ievadiet un palaidiet cauri visiem noklusējuma iestatījumiem, izņemot parasto vārdu. Beigās ierakstiet “y”, lai parakstītu sertifikātu un izdarītu saistības. Šī komanda izdos divus failus (servera atslēgu un servera sertifikātu) mapē easy-rsa / keys.
Tagad mums ir jāizveido Diffie Hellman parametri. Diffie Hellman protokols “ļauj diviem lietotājiem apmainīties ar slepeno atslēgu nedrošā vidē bez iepriekšējiem noslēpumiem”. Vairāk par Diffie Hellman varat uzzināt RSA tīmekļa vietnē.
Tajā pašā komandu uzvednes tipā build-dh. Šī komanda izvadīs vienu failu (dh1024.pem) mapē easy-rsa / keys.
Konfigurācijas failu izveide Klientam
Pirms mēs konfigurējam konfigurācijas failus, jāizveido dinamisks DNS pakalpojums. Izmantojiet šo pakalpojumu, ja jūsu ISP ik pēc tā bieži sniedz dinamisku ārējo IP adresi. Ja jums ir statiska ārējā IP adrese, pārejiet uz nākamo soli.
Mēs iesakām izmantot DynDNS.com - pakalpojumu, kas ļauj jums izvietot resursdatora nosaukumu (piem., Howtogeek.dyndns.org) uz dinamisku IP adresi. OpenVPN ir svarīgi vienmēr zināt jūsu tīkla publisko IP adresi, un, izmantojot DynDNS, OpenVPN vienmēr zinās, kā atrast jūsu tīklu neatkarīgi no jūsu publiskās IP adreses. Reģistrējieties par brīvu resursdatora nosaukumu un norādiet to uz savu publisko IP adresi.
Tagad atgriezieties OpenVPN konfigurēšanā. Programmā Windows Explorer dodieties uz C: Failu faili (x86) OpenVPN parauga konfigurācija ja izmantojat 64 bitu Windows 7 vai C: Programmu faili OpenVPN parauga konfigurācija ja izmantojat 32 bitu Windows 7. Šajā mapē atradīsiet trīs paraugu konfigurācijas failus; mēs esam saistīti tikai ar client.ovpn failu.
Ar peles labo pogu noklikšķiniet uz client.ovpn un atveriet to ar Notepad vai Notepad ++. Jūs pamanīsiet, ka jūsu fails izskatīsies zemāk redzamajā attēlā:
Tomēr mēs vēlamies mūsu client.ovpn izskatās līdzīgs failam to attēls zemāk. Noteikti nomainiet DynDNS resursdatora nosaukumu uz sava saimniekdatora nosaukumu 4. rindā (vai nomainiet to uz savu publisko IP adresi, ja jums ir statiska). Atstājiet porta numuru uz 1194, jo tas ir standarta OpenVPN ports. Pārliecinieties arī, lai mainītu rindas 11 un 12, lai atspoguļotu sava klienta sertifikāta faila un atslēgas faila nosaukumu. Saglabājiet to kā jaunu failu .ovpn failā OpenVPN / config mapē.
DD-WRT OpenVPN dēmona konfigurēšana
Galvenā ideja tagad ir kopēt iepriekš izveidotos servera sertifikātus un atslēgas un ielīmēt tos DD-WRT OpenVPN Daemon izvēlnēs. Atveriet pārlūkprogrammu vēlreiz un dodieties uz savu maršrutētāju. Tagad jūsu maršrutētājam jābūt instalētam DD-WRT VPN izdevumam. Cilnē Pakalpojumi, ko sauc par VPN, jūs pamanīsiet jaunu apakšlapu. Noklikšķiniet uz pogas Iespējot radio, izmantojot OpenVPN dēmonu.
Vispirms pārliecinieties, ka noklusējuma “Sistēma” vietā nomainiet Starta veidu uz “Wan Up”. Tagad mums būs vajadzīgi mūsu servera atslēgas un sertifikāti, kurus mēs izveidojām agrāk. Programmā Windows Explorer dodieties uz C: Programmas faili (x86) OpenVPN vienkārši-rsa taustiņi 64 bitu operētājsistēmā Windows 7 (vai C: Programmu faili OpenVPN vienkārši-rsa taustiņi 32 bitu operētājsistēmā Windows 7). Atveriet katru atbilstošo failu tālāk (ca.crt, server.crt, serveri.key, un dh1024.pem) ar Notepad vai Notepad ++ un kopējiet saturu. Ielīmējiet saturu atbilstošajās ailēs, kā redzams zemāk.
Laukā OpenVPN Config mums būs jāizveido pielāgots fails. Šie iestatījumi atšķirsies atkarībā no tā, kā jūsu LAN ir iestatīts. Atveriet atsevišķu pārlūka logu un ierakstiet maršrutētāja IP adresi. Noklikšķiniet uz cilnes Iestatīšana un ņemiet vērā, kāda IP adrese ir konfigurēta sadaļā Router IP> Local IP Address. Noklusējums, ko mēs izmantojam šajā piemērā, ir 192.168.1.1. Ievietojiet šo apakštīklu uzreiz pēc “maršruta” pirmajā rindā, lai atspoguļotu jūsu LAN iestatījumu. Kopējiet to OpenVPN Config lodziņā un noklikšķiniet uz Saglabāt.
nospiediet “maršruts 192.168.1.0 255.255.255.0”
serveris 10.8.0.0 255.255.255.0dev tun0
proto tcp
uzturēt 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
taustiņš /tmp/openvpn/key.pem# Izmantojiet tikai crl-pārbaudi, ja lietojat atsaukšanas sarakstu - citādi atstājiet to komentāru
# crl-pārbaudīt /tmp/openvpn/ca.crl# vadības parametrs ļauj DD-WRT OpenVPN statusa tīmekļa lapai piekļūt servera pārvaldības portam
# portam jābūt 5001 skriptiem, kas iebūvēti programmaparatūrā, lai strādātu
vadība localhost 5001
Tagad mums ir jākonfigurē ugunsmūris, lai ļautu klientiem izveidot savienojumu ar mūsu OpenVPN serveri, izmantojot 1194 portu. Atveriet cilni Administrācija un noklikšķiniet uz cilnes Komandas. Tekstlodziņā Komandas ielīmējiet:
iptables -I INPUT 1 -p udp -port 1194 -j ACCEPT
iptables -I FORWARD 1-avots 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Noteikti nomainiet LAN IP otrajā rindā, ja tas atšķiras no noklusējuma. Pēc tam noklikšķiniet uz pogas Saglabāt ugunsmūri.
Visbeidzot, pārbaudiet savu laika iestatījumus cilnē Iestatīšana, pretējā gadījumā OpenVPN dēmons liegs visiem klientiem. Mēs iesakām doties uz TimeAndDate.com un meklēt savu pilsētu pašreizējā laikā. Šī tīmekļa vietne sniegs jums visu nepieciešamo informāciju, lai aizpildītu sadaļu Laika iestatījumi, tāpat kā turpmāk. Izlasiet arī NTP Pool Project tīmekļa vietni, kurā var izmantot publiskos NTP serverus.
OpenVPN klienta iestatīšana
Šajā piemērā mēs izmantojam Windows 7 klēpjdatoru kā mūsu klientu atsevišķā tīklā. Pirmā lieta, ko jūs vēlaties darīt, ir instalēt OpenVPN uz jūsu klienta, kā mēs iepriekš rīkojāmies pirmajā OpenVPN konfigurēšanas posmā. Pēc tam dodieties uz C: Programmu faili OpenVPN konfigurācija tas ir, kur mēs ielīmēsim mūsu failus.
Tagad mums ir jāatgriežas pie mūsu sākotnējā datora un jāapkopo četri faili, lai kopētu to mūsu klienta klēpjdatorā. Virzieties uz C: Programmas faili (x86) OpenVPN vienkārši-rsa taustiņi atkal un kopējiet ca.crt, client1.crt, un client1.key. Ielīmējiet šos failus klienta konfigur mapi.
Visbeidzot, mums ir jāpārkopē vēl viens fails. Virzieties uz C: Failu faili (x86) OpenVPN konfigurācija un kopējiet jaunu klientu.ovpn failu, kuru izveidojām agrāk. Ielīmējiet šo failu klienta konfigur mapi.
OpenVPN klienta testēšana
Klienta klēpjdatorā noklikšķiniet uz pogas Windows Start (Sākt) un dodieties uz Visas programmas> OpenVPN. Ar peles labo pogu noklikšķiniet uz OpenVPN GUI faila un noklikšķiniet uz Palaist kā administratoram. Ņemiet vērā, ka, lai tā darbotos pareizi, jums vienmēr ir jābūt OpenVPN kā administratoram. Lai neatgriezeniski iestatītu failu, lai tā vienmēr darbotos kā administrators, ar peles labo pogu noklikšķiniet uz faila un noklikšķiniet uz Rekvizīti. Cilnes Savietojamība pārbaude Palaidiet šo programmu kā administrators.
Blakus pulkstenim uzdevumjoslā parādīsies OpenVPN GUI ikona. Ar peles labo pogu noklikšķiniet uz ikonas un noklikšķiniet uz Savienot. Tā kā mums ir tikai viens .ovpn fails konfigur mape, OpenVPN izveidos savienojumu ar šo tīklu pēc noklusējuma.
Parādīsies dialoglodziņš, kurā parādīsies savienojuma žurnāls.
Kad esat izveidojis savienojumu ar VPN, uzdevumjoslas OpenVPN ikona kļūs zaļa un parādīs jūsu virtuālo IP adresi.
Un tas ir viss! Tagad jums ir drošs savienojums starp serveri un klienta tīklu, izmantojot OpenVPN un DD-WRT. Lai vēl vairāk pārbaudītu savienojumu, mēģiniet atvērt klienta klēpjdatora pārlūkprogrammu un pārvietoties uz DD-WRT maršrutētāju servera tīklā.