Před pár týdny pokryli jsme instalaci Tomato , firmware routeru s otevřeným zdrojovým kódem, na vašem zařízení Linksys WRT54GL. Dnes se budeme zabývat tím, jak nainstalovat OpenVPN vedle Tomato, a nastavit jej pro přístup k vaší domácí síti odkudkoli na světě!
Co je OpenVPN?
Virtuální privátní síť (VPN) je důvěryhodné a zabezpečené připojení mezi jednou místní sítí (LAN) a druhou. Představte si svůj router jako prostředníka mezi sítěmi, ke kterým se připojujete. Váš počítač i server OpenVPN (v tomto případě router) si „potřesou ruce“ pomocí certifikátů, které se navzájem ověřují. Po ověření se klient i server dohodnou na vzájemné důvěře a klientovi je poté povolen přístup v síti serveru.
Realizace softwaru a hardwaru VPN obvykle stojí spoustu peněz. Pokud jste to ještě neuhádli, OpenVPN je open-source řešení VPN, které je (drum roll) zdarma. Tomato je vedle OpenVPN dokonalým řešením pro ty, kteří chtějí zabezpečené spojení mezi dvěma sítěmi, aniž by museli otevírat peněženku. OpenVPN samozřejmě nebude fungovat hned po vybalení z krabice. Aby to bylo správné, vyžaduje trochu vyladění a konfigurace. Nebojte se; jsme tu, abychom vám tento proces usnadnili, takže si vezměte teplý šálek kávy a můžeme začít.
Další informace o OpenVPN najdete na oficiálních stránkách Co je OpenVPN? strana.
Předpoklady
Tato příručka předpokládá, že v počítači aktuálně používáte Windows 7 a používáte účet správce. Pokud jste uživatelé počítačů Mac nebo Linux, tato příručka vám poskytne představu o tom, jak věci fungují, ale možná budete muset udělat trochu podrobnější průzkum, abyste dosáhli dokonalosti. Budeme také instalovat speciální verzi Tomato s názvem TomatoUSB VPN na routeru Linksys WRT54GL verze 1.1. Chcete-li zjistit, zda je váš směrovač kompatibilní s TomatoUSB, podívejte se na jejich Typy sestavení strana.
Začátek této příručky předpokládá, že máte buď:
- původní firmware Linksys nainstalovaný ve vašem routeru nebo
- firmware Tomato, který jsme popsali v našem posledním článek
Poznamenejte si text nad určitými kroky, které označují, zda se jedná o firmware Linksys nebo firmware Tomato.
Instalace TomatoUSB
V předchozím článek diskutovali jsme o tom, jak nainstalovat původní firmware Tomato v1.28 z webu společnosti PolarCloud. Bohužel tato verze Tomato nepřišla s podporou OpenVPN, takže budeme instalovat novější verzi s názvem TomatoUSB VPN .
První věc, kterou budete chtít udělat, je přejít na TomatoUSB domovská stránka a klikněte na odkaz Stáhnout Tomato USB.
Stažení VPN pod Kernel 2.4 (stabilní) sekce. Uložte soubor .rar do počítače.
Budete potřebovat program pro rozbalení souboru .rar. Doporučujeme používat WinRAR, protože jeho vyzkoušení a snadné použití je bezplatné. Můžete si na nich stáhnout kopii bezplatné verze webová stránka . Po instalaci WinRAR klikněte pravým tlačítkem na stažený soubor a klikněte na Extrahovat zde. Pak byste měli vidět dva volané soubory ZMĚNA a tomato-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ.
Pokud používáte firmware Linksys ...
Otevřete prohlížeč a zadejte adresu IP routeru (výchozí je 192.168.1.1). Zobrazí se výzva k zadání uživatelského jména a hesla. Výchozí hodnoty pro Linksys WRT54GL jsou „admin“ a „admin“.
Nahoře klikněte na kartu Správa. Dále klikněte na Upgrade firmwaru, jak je vidět níže.
Klikněte na tlačítko Procházet a přejděte na extrahované soubory TomatoUSB VPN. Vybrat tomato-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ soubor a klikněte na tlačítko Upgradovat ve webovém rozhraní. Váš router začne instalovat TomatoUSB VPN a jeho dokončení by mělo trvat méně než minutu. Asi po minutě otevřete příkazový řádek a zadejte ipconfig - vydání k určení nové adresy IP routeru. Poté zadejte ipconfig - obnovit . IP adresa napravo od Výchozí brány ... je IP adresa vašeho routeru.
Poznámka : Po instalaci Tomato přejděte do části Správa> Konfigurace a vyberte „Vymazat všechny NVRAM…“.
Pokud používáte firmware Tomato ...
Otevřete prohlížeč a zadejte adresu IP routeru. Předpokládáme, že pokud jste nainstalovali Tomato, znáte IP adresu vašeho routeru. Pokud si nejste jisti, pravděpodobně je nastavena na výchozí hodnotu 192.168.1.1. Poté zadejte své uživatelské jméno a heslo.
I když to není nutné, možná budete chtít před upgradem na TomatoUSB VPN zálohovat svoji aktuální konfiguraci Tomato. Chcete-li uložit konfiguraci, přejděte do části Správa> Konfigurace a klikněte na tlačítko Zálohovat. Zobrazí se výzva k uložení souboru .cfg do počítače.
Nyní je čas upgradovat Tomato na TomatoUSB VPN. Klikněte na Upgradovat v levém sloupci a klikněte na tlačítko Vybrat soubor. Přejděte na soubory, které jsme extrahovali dříve, a vyberte tomato-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ soubor. Poté klikněte na tlačítko upgradu.
Budete požádáni o potvrzení upgradu; stačí kliknout na OK.
Váš router začne nahrávat nový firmware a do minuty se restartuje.
Po restartování může mít stejnou nebo jinou adresu IP. V našem případě byla konfigurace routeru stále stejná, proto byla naše IP adresa stále stejná. Chcete-li zjistit novou adresu IP routeru, otevřete příkazový řádek a zadejte jej ipconfig - vydání . Poté zadejte ipconfig - obnovit . IP adresa napravo od Výchozí brány ... je adresa vašeho routeru. Pokud je vaše konfigurace nastavena zpět na výchozí hodnoty, vraťte se na stránku Konfigurace (Správa> Konfigurace) a klikněte na tlačítko Vybrat soubor v části Obnovit konfiguraci. Vyhledejte soubor .cfg, který jste dříve uložili do počítače, a klikněte na tlačítko Obnovit.
Konfigurace OpenVPN
Ať už jste měli nainstalovaný firmware Linksys nebo Tomato firmware, nyní byste měli mít ve svém routeru nainstalovanou novou TomatoUSB VPN. V levém sloupci si všimnete několika nových nabídek, včetně použití webu, USB a NAS a tunelování VPN. V této příručce se zabýváme pouze nabídkou VPN Tunneling, takže pokračujte a klikněte na VPN Tunneling. Ponechat toto okno prohlížeče otevřené; Brzy se k tomu vrátíme.
Nyní pojďme k OpenVPN Soubory ke stažení stránku a stáhněte si instalační program systému Windows OpenVPN. V této příručce budeme používat druhou nejnovější verzi OpenVPN nazvanou 2.1.4. Nejnovější verze (2.2.0) má a Chyba v tom by byl tento proces ještě komplikovanější. Soubor, který stahujeme, nainstaluje program OpenVPN, který vám umožní připojit se k vaší síti VPN, takže si tento program nainstalujte na všechny ostatní počítače, které chcete chovat jako klienty (jak to uvidíme, později). Uložte soubor .exe openvpn-2.1.4-install do počítače.
Přejděte na soubor OpenVPN, který jsme právě stáhli, a dvakrát na něj klikněte. Tím zahájíte instalaci OpenVPN do vašeho počítače. Projděte instalačním programem a zkontrolujte všechny výchozí hodnoty. Během instalace se zobrazí dialogové okno s požadavkem na instalaci nového virtuálního síťového adaptéru s názvem TAP-Win32. Klikněte na tlačítko Instalovat.
Nyní, když máte ve svém počítači nainstalovaný OpenVPN, musíme začít vytvářet certifikáty a klíče k ověření zařízení.
Vytváření certifikátů a klíčů
Klikněte na tlačítko Start systému Windows a přejděte do části Příslušenství. Uvidíte program Příkazový řádek. Klikněte na něj pravým tlačítkem a klikněte na Spustit jako správce.
Na příkazovém řádku zadejte
cd c: \ Program Files (x86) \ OpenVPN \ easy-rsa
pokud používáte 64bitový Windows 7, jak je vidět níže. Typ
cd c: \ Program Files \ OpenVPN \ easy-rsa
pokud používáte 32bitový Windows 7. Poté stiskněte klávesu Enter.
Nyní zadejte init-config a stisknutím klávesy Enter zkopírujte dva soubory s názvem vars.bat a openssl.cnf do složky easy-rsa. Udržujte svůj příkazový řádek, protože se k němu brzy vrátíme.
Navigovat do C: \ Program Files (x86) \ OpenVPN \ easy-rsa (nebo C: \ Program Files \ OpenVPN \ easy-rsa ve 32bitovém systému Windows 7) a klepněte pravým tlačítkem myši na soubor s názvem Rok . Kliknutím na Upravit jej otevřete v poznámkovém bloku. Alternativně doporučujeme tento soubor otevřít v programu Poznámkový blok ++, protože formátuje text v souboru mnohem lépe. Notepad ++ si můžete stáhnout z jejich domovská stránka .
Spodní část souboru je to, co nás zajímá. Počínaje řádkem 31 změňte KEY_COUNTRY hodnota, KEY_PROVINCE hodnotu atd. do vaší země, provincie atd. Například jsme změnili naši provincii na „IL“, město na „Chicago“, org na „HowToGeek“ a e-mail na naši vlastní e-mailovou adresu. Pokud používáte 64bitový systém Windows 7, změňte DOMOV hodnota v řádku 6 až % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Pokud používáte 32bitový Windows 7, neměňte tuto hodnotu. Váš soubor by měl vypadat podobně jako ten níže (samozřejmě s příslušnými hodnotami). Po dokončení úprav soubor uložte přepsáním.
Vraťte se zpět do příkazového řádku a zadejte jehož a stiskněte klávesu Enter. Poté zadejte vše čisté a stiskněte klávesu Enter. Nakonec zadejte build-ca a stiskněte klávesu Enter.
Po provedení build-ca příkaz, budete vyzváni k zadání názvu vaší země, státu, lokality atd. Protože jsme tyto parametry již nastavili v našem Rok soubor, můžeme tyto možnosti přeskočit stisknutím klávesy Enter, ale! Než začnete odbíjet klávesu Enter, dejte si pozor na parametr Common Name. Do tohoto parametru můžete zadat cokoli (tj. Své jméno). Jen nezapomeňte vstoupit něco . Tento příkaz vygeneruje dva soubory (certifikát kořenové CA a klíč kořenové CA) ve složce easy-rsa / keys.
Nyní vytvoříme klíč pro klienta. Ve stejném typu příkazového řádku build-key klient1 . „Klient1“ můžete změnit na cokoli, co chcete (např. Acer-Laptop). Po zobrazení výzvy nezapomeňte zadat stejný název jako běžný název. Například při spuštění příkazu klíčový notebook Acer , vaše běžné jméno by mělo být „Acer-Laptop“. Projděte si všechna výchozí nastavení jako poslední krok, který jsme provedli (samozřejmě kromě běžného názvu). Na konci budete požádáni o podepsání certifikátu a potvrzení. Do obou zadejte „y“ a klikněte na Enter.
Nebojte se také, pokud se vám zobrazila chyba „nelze zapsat„ náhodný stav ““. Všiml jsem si, že vaše certifikáty jsou stále vyráběny bez problémů. Tento příkaz vygeneruje dva soubory (klíč Client1 a certifikát Client1) ve složce easy-rsa / keys. Pokud chcete vytvořit další klíč pro jiného klienta, opakujte předchozí krok, ale nezapomeňte změnit obecný název.
Poslední certifikát, který budeme generovat, je klíč serveru. Na stejném příkazovém řádku zadejte build-key-server serveru . „Server“ můžete na konci příkazu nahradit čímkoli, co chcete (tj. HowToGeek-Server). Po výzvě jako vždy nezapomeňte zadat stejný název jako běžný název. Například při spuštění příkazu build-key-server HowToGeek-Server , vaše běžné jméno by mělo být „HowToGeek-Server“. Stiskněte klávesu Enter a projděte všechny výchozí hodnoty kromě běžného názvu. Na konci zadejte „y“, abyste certifikát podepsali a potvrdili. Tento příkaz vygeneruje dva soubory (klíč serveru a certifikát serveru) ve složce easy-rsa / keys.
Nyní musíme vygenerovat parametry Diffie Hellman. Protokol Diffie Hellman „umožňuje dvěma uživatelům vyměňovat si tajný klíč na nezabezpečeném médiu bez jakýchkoli předchozích tajemství“. Další informace o Diffie Hellmanovi si můžete přečíst na webu RSA.
Ve stejném typu příkazového řádku build-dh . Tento příkaz vygeneruje jeden soubor (dh1024.pem) ve složce easy-rsa / keys.
Vytvoření konfiguračních souborů pro klienta
Než upravíme jakékoli konfigurační soubory, měli bychom nastavit dynamickou službu DNS. Tuto službu použijte, pokud vám váš ISP tak často vydává dynamickou externí IP adresu. Pokud máte statickou externí IP adresu, přejděte k dalšímu kroku.
Doporučujeme použít DynDNS.com , služba, která umožňuje nasměrovat název hostitele (tj. howtogeek.dyndns.org) na dynamickou adresu IP. Pro OpenVPN je důležité vždy znát veřejnou IP adresu vaší sítě a pomocí DynDNS bude OpenVPN vždy vědět, jak vyhledat vaši síť bez ohledu na to, jaká je vaše veřejná IP adresa. Zaregistrujte se a název hostitele a nasměrujte to na svou veřejnost IP adresa . Jakmile se zaregistrujete do služby, nezapomeňte nastavit službu automatické aktualizace v Tomato v části Základní> DDNS.
Nyní zpět ke konfiguraci OpenVPN. V Průzkumníkovi Windows přejděte na C: \ Program Files (x86) \ OpenVPN \ sample-config pokud používáte 64bitový Windows 7 nebo C: \ Program Files \ OpenVPN \ sample-config pokud používáte 32bitový Windows 7. V této složce najdete tři ukázkové konfigurační soubory; zajímá nás pouze klient.ovpn soubor.
Klikněte pravým tlačítkem na klient.ovpn a otevřete jej v Poznámkovém bloku nebo Poznámkovém bloku ++. Zjistíte, že váš soubor bude vypadat jako na obrázku níže:
Chceme však naše klient.ovpn soubor vypadat podobně jako tento obrázek níže. Nezapomeňte změnit název hostitele DynDNS na název hostitele v řádku 4 (nebo jej změnit na veřejnou IP adresu, pokud máte statickou). Ponechejte číslo portu na 1194, protože se jedná o standardní port OpenVPN. Nezapomeňte také změnit řádky 11 a 12, aby odrážely název souboru s certifikátem a klíčem vašeho klienta. Uložte to jako nový soubor .ovpn do složky OpenVPN / config.
Konfigurace tunelování VPN společnosti Tomato
Základní myšlenkou je nyní zkopírovat certifikáty a klíče serveru, které jsme vytvořili dříve, a vložit je do nabídek serveru Tomato VPN. Pak zkontrolujeme několik nastavení v Tomato, otestujeme připojení VPN a pak si budeme moci umýt ruce a nazvat to den!
Otevřete prohlížeč a přejděte k routeru. Klikněte na nabídku Tunelování VPN v levém postranním panelu. Ujistěte se, že jsou vybrány také Server1 a Basic. Upravte nastavení přesně tak, jak je uvedeno níže. Klikněte na Uložit.
Aktualizace: Výchozí režim je TUN nebo tunel, ale pravděpodobně ho chcete změnit na TAP, který místo toho přemosťuje síť. Režim tunelu přepne vaše externí klienty na jinou síť než interní. Takže místo toho rozhodně změňte typ rozhraní na TAP.
Dále klikněte na kartu Upřesnit vedle položky Základní. Stejně jako dříve se ujistěte, že jsou vaše nastavení přesně tak, jak jsou uvedena níže. Klikněte na Uložit.
Naším posledním krokem je vložení klíčů a certifikátů, které jsme původně vytvořili. Otevřete kartu Klávesy vedle položky Pokročilé. V Průzkumníkovi Windows přejděte na C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys v 64bitovém systému Windows 7 (nebo C: \ Program Files \ OpenVPN \ easy-rsa \ keys ve 32bitovém systému Windows 7). Otevřete každý odpovídající soubor níže ( ca.crt , server.crt , server.key , a dh1024.pem ) pomocí programu Poznámkový blok nebo Notepad ++ a zkopírujte obsah. Vložte obsah do příslušných polí, jak je vidět níže. Všiml bych si, že stačí vložit vše níže - „ZAČNĚTE CERTIFIKÁT“ - do server.crt . OpenVPN bude i nadále fungovat správně, pokud vložíte celý soubor, ale je „čistější“ pouze po vložení skutečných informací o certifikátu. Klikněte na Uložit a poté na Spustit nyní.
Než otestujeme naše připojení VPN, je ještě jedna věc, kterou musíme zkontrolovat uvnitř Tomato. Klikněte na Základní v levém sloupci a poté na Čas. Ujistěte se, že je čas routeru správný a časové pásmo zobrazuje vaše aktuální časové pásmo. Nastavte časový server NTP na svou zemi.
Nastavení klienta OpenVPN
V tomto příkladu budeme jako klienta používat notebook se systémem Windows 7. První věcí, kterou budete chtít udělat, je nainstalovat OpenVPN na svého klienta, jako jsme to udělali výše v prvních krocích v části Konfigurace OpenVPN. Poté přejděte na C: \ Program Files \ OpenVPN \ config což je místo, kam budeme vkládat naše soubory.
Nyní se musíme vrátit zpět na původní počítač a shromáždit celkem čtyři soubory, které zkopírujeme do našeho klientského notebooku. Navigovat do C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys znovu a zkopírujte ca.crt , client1.crt , a client1.key . Vložte tyto soubory do klienta konfigurace složku.
Nakonec musíme zkopírovat ještě jeden soubor. Navigovat do C: \ Program Files (x86) \ OpenVPN \ config a zkopírujte nový soubor client.ovpn, který jsme vytvořili dříve. Vložte tento soubor do klienta konfigurace složka také.
Testování klienta OpenVPN
Na klientském notebooku klikněte na tlačítko Start systému Windows a přejděte na Všechny programy> OpenVPN. Klikněte pravým tlačítkem na soubor OpenVPN GUI a klikněte na Spustit jako správce. Mějte na paměti, že OpenVPN musíte vždy spustit jako správce, aby správně fungoval. Chcete-li soubor trvale nastavit tak, aby vždy fungoval jako správce, klepněte pravým tlačítkem myši na soubor a klepněte na příkaz Vlastnosti. Na kartě Kompatibilita zaškrtněte políčko Spustit tento program jako správce.
Vedle hodin na hlavním panelu se zobrazí ikona OpenVPN GUI. Klikněte pravým tlačítkem na ikonu a klikněte na Připojit. Protože v našem souboru máme pouze jeden soubor .ovpn konfigurace Ve výchozím nastavení se k této síti připojí OpenVPN.
Zobrazí se dialogové okno zobrazující protokol připojení.
Jakmile jste připojeni k VPN, ikona OpenVPN na hlavním panelu zezelená a zobrazí vaši virtuální IP adresu.
A to je vše! Nyní máte zabezpečené připojení mezi serverem a sítí klienta pomocí OpenVPN a TomatoUSB. Chcete-li připojení dále otestovat, zkuste otevřít prohlížeč na klientském notebooku a přejděte k routeru Tomato v síti serveru.
Obrázek od Ewan
