Kilka tygodni temu omówiliśmy instalację Tomato , oprogramowanie układowe routera typu open source na urządzeniu Linksys WRT54GL. Dzisiaj zajmiemy się instalacją OpenVPN obok Tomato i skonfigurowaniem go, aby uzyskać dostęp do sieci domowej z dowolnego miejsca na świecie!
Co to jest OpenVPN?
Wirtualna sieć prywatna (VPN) to zaufane, bezpieczne połączenie między jedną siecią lokalną (LAN) a drugą. Pomyśl o swoim routerze jako o pośredniku między sieciami, z którymi się łączysz. Zarówno komputer, jak i serwer OpenVPN (w tym przypadku router) „podają sobie ręce”, używając certyfikatów, które wzajemnie się sprawdzają. Po weryfikacji klient i serwer wyrażają zgodę na wzajemne zaufanie, a klient uzyskuje dostęp do sieci serwera.
Wdrożenie oprogramowania i sprzętu VPN kosztuje zazwyczaj dużo pieniędzy. Jeśli jeszcze tego nie odgadłeś, OpenVPN jest rozwiązaniem VPN typu open source, które jest bezpłatne (werble). Tomato, obok OpenVPN, to idealne rozwiązanie dla tych, którzy chcą bezpiecznego połączenia między dwiema sieciami bez konieczności otwierania portfela. Oczywiście OpenVPN nie będzie działać od razu po wyjęciu z pudełka. Potrzeba trochę poprawek i konfiguracji, aby było dobrze. Nie martw się jednak; jesteśmy tutaj, aby ułatwić Ci ten proces, więc weź sobie filiżankę ciepłej kawy i zaczynajmy.
Aby uzyskać więcej informacji o OpenVPN, odwiedź oficjalnego Co to jest OpenVPN? strona.
Wymagania wstępne
W tym przewodniku założono, że obecnie używasz systemu Windows 7 na swoim komputerze i używasz konta administratora. Jeśli jesteś użytkownikiem Maca lub Linuksa, ten przewodnik da ci wyobrażenie o tym, jak to działa, jednak być może będziesz musiał przeprowadzić trochę więcej badań samodzielnie, aby wszystko było idealne. Zainstalujemy również specjalną wersję Tomato o nazwie TomatoUSB VPN na routerze Linksys WRT54GL w wersji 1.1. Aby dowiedzieć się, czy twój router jest kompatybilny z TomatoUSB, sprawdź ich Typy kompilacji strona.
Na początku tego przewodnika założono, że masz:
- oryginalne oprogramowanie firmy Linksys zainstalowane na routerze lub
- oprogramowanie Tomato, które opisaliśmy w naszym ostatnim artykuł
Zwróć uwagę na tekst powyżej niektórych kroków, wskazujący, czy jest to oprogramowanie układowe Linksys, czy Tomato.
Instalowanie TomatoUSB
W poprzednim artykuł omawialiśmy, jak zainstalować oryginalne oprogramowanie sprzętowe Tomato w wersji 1.28 ze strony internetowej PolarCloud. Niestety ta wersja Tomato nie była obsługiwana przez OpenVPN, więc zainstalujemy nowszą wersję o nazwie TomatoUSB VPN .
Pierwszą rzeczą, którą będziesz chciał zrobić, to udać się do TomatoUSB strona główna i kliknij łącze Pobierz Tomato USB.
Ściągnij VPN pod Kernel 2.4 (stabilny) Sekcja. Zapisz plik .rar na swoim komputerze.
Będziesz potrzebować programu do wyodrębnienia pliku .rar. Zalecamy korzystanie z programu WinRAR, ponieważ jest darmowy i łatwy w użyciu. Możesz pobrać kopię darmowej wersji na ich stronie internetowej . Po zainstalowaniu WinRAR kliknij prawym przyciskiem myszy pobrany plik i kliknij Wyodrębnij tutaj. Powinieneś wtedy zobaczyć dwa pliki o nazwie CHANGELOG i pomidor-ΝΔΥΣΒ-1,28.θ754-vpn3.6.τρχ.
Jeśli korzystasz z oprogramowania firmy Linksys…
Otwórz przeglądarkę i wprowadź adres IP routera (domyślnie 192.168.1.1). Zostaniesz poproszony o podanie nazwy użytkownika i hasła. Wartości domyślne dla Linksys WRT54GL to „admin” i „admin”.
Kliknij kartę Administracja u góry. Następnie kliknij Aktualizacja oprogramowania układowego, jak pokazano poniżej.
Kliknij przycisk Przeglądaj i przejdź do wyodrębnionych plików TomatoUSB VPN. Wybierz pomidor-ΝΔΥΣΒ-1,28.θ754-vpn3.6.τρχ plik i kliknij przycisk Uaktualnij w interfejsie internetowym. Twój router rozpocznie instalację TomatoUSB VPN i powinno zająć mniej niż minutę. Po około minucie otwórz wiersz polecenia i wpisz ipconfig –release aby określić nowy adres IP routera. Następnie wpisz ipconfig –renew . Adres IP po prawej stronie bramy domyślnej… to adres IP routera.
Uwaga : Po zainstalowaniu Tomato przejdź do Administration> Configuration i wybierz „Erase all NVRAM…”.
Jeśli używasz oprogramowania Tomato…
Otwórz przeglądarkę i wprowadź adres IP routera. Zakładamy, że jeśli zainstalowałeś Tomato, znasz adres IP swojego routera. Jeśli nie masz pewności, prawdopodobnie jest to ustawienie domyślne 192.168.1.1. Następnie wpisz swoją nazwę użytkownika i hasło.
Chociaż nie jest to wymagane, na wszelki wypadek możesz zechcieć wykonać kopię zapasową bieżącej konfiguracji Tomato przed aktualizacją do TomatoUSB VPN. Aby zapisać konfigurację, przejdź do opcji Administracja> Konfiguracja i kliknij przycisk Kopia zapasowa. Spowoduje to wyświetlenie monitu o zapisanie pliku .cfg na komputerze.
Nadszedł czas, aby zaktualizować Tomato do TomatoUSB VPN. Kliknij opcję Uaktualnij w lewej kolumnie, a następnie kliknij przycisk Wybierz plik. Przejdź do plików, które wyodrębniliśmy wcześniej i wybierz pomidor-ΝΔΥΣΒ-1,28.θ754-vpn3.6.τρχ plik. Następnie kliknij przycisk aktualizacji.
Zostaniesz poproszony o potwierdzenie uaktualnienia; po prostu kliknij OK.
Router rozpocznie przesyłanie nowego oprogramowania sprzętowego i uruchomi się ponownie w ciągu minuty.
Po ponownym uruchomieniu może mieć ten sam lub inny adres IP. W naszym przypadku konfiguracja routera była nadal taka sama, więc nasz adres IP pozostał ten sam. Aby określić nowy adres IP routera, otwórz wiersz polecenia i wpisz ipconfig –release . Następnie wpisz ipconfig –renew . Adres IP po prawej stronie bramy domyślnej… to adres routera. Jeśli konfiguracja została przywrócona do wartości domyślnych, wróć do strony Konfiguracja (Administracja> Konfiguracja) i kliknij przycisk Wybierz plik w obszarze Przywróć konfigurację. Wyszukaj plik .cfg zapisany wcześniej na komputerze i kliknij przycisk Przywróć.
Konfigurowanie OpenVPN
Niezależnie od tego, czy masz zainstalowane oprogramowanie firmy Linksys, czy oprogramowanie Tomato, powinieneś mieć teraz zainstalowaną nową TomatoUSB VPN na routerze. Zauważysz kilka nowych menu w lewej kolumnie, w tym Wykorzystanie Internetu, USB i NAS oraz Tunelowanie VPN. W tym przewodniku zajmujemy się tylko menu Tunelowanie VPN, więc idź dalej i kliknij Tunelowanie VPN. Pozostaw to okno przeglądarki otwarte; Niedługo do tego wrócimy.
Przejdźmy teraz do OpenVPN Pliki do pobrania i pobierz Instalator OpenVPN dla Windows. W tym przewodniku będziemy używać drugiej najnowszej wersji OpenVPN o nazwie 2.1.4. Najnowsza wersja (2.2.0) ma rozszerzenie pluskwa to jeszcze bardziej skomplikowałoby ten proces. Plik, który pobieramy, zainstaluje program OpenVPN, który umożliwia połączenie z siecią VPN, więc pamiętaj, aby zainstalować ten program na wszystkich innych komputerach, na których chcesz działać jako klienci (ponieważ zobaczymy, jak to zrobić później). Zapisz plik openvpn-2.1.4-install .exe na swoim komputerze.
Przejdź do pliku OpenVPN, który właśnie pobraliśmy, i kliknij go dwukrotnie. Rozpocznie się instalacja OpenVPN na twoim komputerze. Uruchom instalator z zaznaczonymi wszystkimi ustawieniami domyślnymi. Podczas instalacji pojawi się okno dialogowe z pytaniem o zainstalowanie nowej wirtualnej karty sieciowej o nazwie TAP-Win32. Kliknij przycisk Instaluj.
Teraz, gdy masz już zainstalowany OpenVPN na swoim komputerze, musimy rozpocząć tworzenie certyfikatów i kluczy do uwierzytelniania urządzeń.
Tworzenie certyfikatów i kluczy
Kliknij przycisk Start systemu Windows i przejdź do sekcji Akcesoria. Zobaczysz program Command Prompt. Kliknij go prawym przyciskiem myszy i kliknij Uruchom jako administrator.
W wierszu polecenia wpisz
cd c: \ Pliki programów (x86) \ OpenVPN \ easy-rsa
jeśli używasz 64-bitowego systemu Windows 7, jak pokazano poniżej. Rodzaj
cd c: \ Pliki programów \ OpenVPN \ easy-rsa
jeśli używasz 32-bitowego systemu Windows 7. Następnie naciśnij Enter.
Teraz wpisz init-config i naciśnij Enter, aby skopiować dwa pliki o nazwach vars.bat i openssl.cnf do folderu easy-rsa. Nie ustawaj w wierszu polecenia, ponieważ wkrótce do niego wrócimy.
Nawigować do C: \ Program Files (x86) \ OpenVPN \ easy-rsa (lub C: \ Program Files \ OpenVPN \ easy-rsa w 32-bitowym systemie Windows 7) i kliknij prawym przyciskiem myszy plik o nazwie Rok . Kliknij Edytuj, aby otworzyć go w Notatniku. Alternatywnie zalecamy otwarcie tego pliku za pomocą Notepad ++, ponieważ znacznie lepiej formatuje tekst w pliku. Możesz pobrać Notepad ++ z ich strona główna .
Naszym problemem jest dolna część pliku. Począwszy od wiersza 31, zmień plik KEY_COUNTRY wartość, KEY_PROVINCE wartość itp. na Twój kraj, prowincję itp. Na przykład zmieniliśmy naszą prowincję na „IL”, miasto na „Chicago”, org na „HowToGeek” i wyślij e-mail na nasz własny adres e-mail. Ponadto, jeśli używasz 64-bitowego systemu Windows 7, zmień rozszerzenie DOM wartość w wierszu 6 do % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Nie zmieniaj tej wartości, jeśli używasz 32-bitowego systemu Windows 7. Twój plik powinien wyglądać podobnie do naszego poniżej (oczywiście z odpowiednimi wartościami). Zapisz plik, nadpisując go po zakończeniu edycji.
Wróć do wiersza poleceń i wpisz którego i naciśnij Enter. Następnie wpisz Wyczyść wszystko i naciśnij Enter. Na koniec wpisz build-ca i naciśnij Enter.
Po wykonaniu build-ca polecenie, zostaniesz poproszony o wprowadzenie nazwy kraju, stanu, miejscowości itp. Ponieważ już skonfigurowaliśmy te parametry w naszym Rok plik, możemy pominąć te opcje, naciskając Enter, ale! Zanim zaczniesz uderzać w klawisz Enter, uważaj na parametr Common Name. W tym parametrze możesz wpisać cokolwiek (np. Swoje imię i nazwisko). Tylko pamiętaj, aby wejść coś . To polecenie wyświetli dwa pliki (certyfikat głównego urzędu certyfikacji i klucz głównego urzędu certyfikacji) w folderze easy-rsa / keys.
Teraz zbudujemy klucz dla klienta. W tym samym typie wiersza polecenia klucz kompilacji klient1 . Możesz zmienić „klienta1” na dowolne (np. Acer-Laptop). Po wyświetleniu monitu pamiętaj tylko, aby wprowadzić tę samą nazwę, co nazwa zwykła. Na przykład po uruchomieniu polecenia klawisz kompilacji Acer-Laptop Twoja nazwa ogólna powinna brzmieć „Acer-Laptop”. Sprawdź wszystkie ustawienia domyślne, tak jak w poprzednim kroku (z wyjątkiem oczywiście nazwy zwykłej). Jednak na końcu zostaniesz poproszony o podpisanie certyfikatu i zobowiązanie się. Wpisz „y” dla obu i naciśnij Enter.
Nie martw się także, jeśli pojawi się błąd „nie można zapisać„ stanu losowego ””. Zauważyłem, że Twoje certyfikaty nadal są sporządzane bez problemu. To polecenie spowoduje wyświetlenie dwóch plików (klucza klienta 1 i certyfikatu klienta 1) w folderze easy-rsa / keys. Jeśli chcesz utworzyć inny klucz dla innego klienta, powtórz poprzedni krok, ale pamiętaj, aby zmienić nazwę zwykłą.
Ostatni certyfikat, który wygenerujemy, to klucz serwera. W tym samym wierszu polecenia wpisz build-key-server serwer . Możesz zastąpić „serwer” na końcu polecenia czymkolwiek zechcesz (np. HowToGeek-Server). Jak zawsze, po wyświetleniu monitu pamiętaj o wprowadzeniu tej samej nazwy, co nazwa zwykła. Na przykład po uruchomieniu polecenia build-key-server HowToGeek-Server Twoja nazwa zwykła powinna brzmieć „HowToGeek-Server”. Naciśnij Enter i przejdź przez wszystkie wartości domyślne z wyjątkiem nazwy zwykłej. Na koniec wpisz „y”, aby podpisać certyfikat i zatwierdzić. To polecenie spowoduje wyświetlenie dwóch plików (klucza serwera i certyfikatu serwera) w folderze easy-rsa / keys.
Teraz musimy wygenerować parametry Diffiego Hellmana. Protokół Diffie Hellman „pozwala dwóm użytkownikom na wymianę tajnego klucza na niezabezpieczonym nośniku bez żadnych wcześniejszych sekretów”. Możesz przeczytać więcej o Diffie Hellman w witrynie RSA.
W tym samym typie wiersza polecenia build-dh . To polecenie wyświetli jeden plik (dh1024.pem) w folderze easy-rsa / keys.
Tworzenie plików konfiguracyjnych dla klienta
Zanim zmodyfikujemy jakiekolwiek pliki konfiguracyjne, powinniśmy skonfigurować usługę dynamicznego DNS. Skorzystaj z tej usługi, jeśli dostawca usług internetowych co jakiś czas wydaje Ci dynamiczny zewnętrzny adres IP. Jeśli masz statyczny zewnętrzny adres IP, przejdź do następnego kroku.
Sugerujemy użycie DynDNS.com , usługa umożliwiająca wskazanie nazwy hosta (np. howtogeek.dyndns.org) na dynamiczny adres IP. Dla OpenVPN ważne jest, aby zawsze znać publiczny adres IP Twojej sieci, a korzystając z DynDNS, OpenVPN zawsze wie, jak zlokalizować Twoją sieć, niezależnie od tego, jaki jest Twój publiczny adres IP. Zarejestruj się w nazwa hosta i wskaż go publicznie adres IP . Po zarejestrowaniu się w usłudze nie zapomnij skonfigurować usługi automatycznej aktualizacji w Tomato w menu Podstawowe> DDNS.
Wróćmy teraz do konfigurowania OpenVPN. W Eksploratorze Windows przejdź do C: \ Program Files (x86) \ OpenVPN \ sample-config jeśli używasz 64-bitowego systemu Windows 7 lub C: \ Program Files \ OpenVPN \ sample-config jeśli używasz 32-bitowego systemu Windows 7. W tym folderze znajdziesz trzy przykładowe pliki konfiguracyjne; interesuje nas tylko client.ovpn plik.
Kliknij prawym przyciskiem myszy client.ovpn i otwórz go za pomocą Notatnika lub Notepad ++. Zauważysz, że Twój plik będzie wyglądał jak na poniższym obrazku:
Chcemy jednak naszego client.ovpn plik, który ma wyglądać podobnie do to zdjęcie poniżej. Pamiętaj, aby zmienić nazwę hosta DynDNS na swoją nazwę hosta w linii 4 (lub zmień ją na swój publiczny adres IP, jeśli masz statyczny). Pozostaw numer portu 1194, ponieważ jest to standardowy port OpenVPN. Pamiętaj też, aby zmienić wiersze 11 i 12, aby odzwierciedlić nazwę pliku certyfikatu klienta i pliku klucza. Zapisz to jako nowy plik .ovpn w folderze OpenVPN / config.
Konfigurowanie tunelowania VPN firmy Tomato
Podstawowym pomysłem jest teraz skopiowanie certyfikatów serwera i kluczy, które stworzyliśmy wcześniej, i wklejenie ich do menu serwera Tomato VPN. Następnie sprawdzimy kilka ustawień w Pomidorze, przetestujemy połączenie VPN, a potem będziemy mogli umyć ręce i zadzwonić na ten dzień!
Otwórz przeglądarkę i przejdź do routera. Kliknij menu VPN Tunneling na lewym pasku bocznym. Upewnij się, że wybrano również Serwer1 i Podstawowy. Skonfiguruj ustawienia dokładnie tak, jak pokazano poniżej. Kliknij Zapisz.
Aktualizacja: Domyślnym trybem jest TUN lub tunel, ale prawdopodobnie chcesz go zmienić na TAP, który zamiast tego łączy sieć. Tryb tunelowy umieści klientów zewnętrznych w innej sieci niż sieć wewnętrzna. Dlatego zdecydowanie zmień typ interfejsu na TAP.
Następnie kliknij kartę Zaawansowane obok opcji Podstawowe. Tak jak wcześniej, upewnij się, że ustawienia są dokładnie takie, jak pokazano poniżej. Kliknij Zapisz.
Ostatnim krokiem jest wklejenie kluczy i certyfikatów, które stworzyliśmy. Otwórz kartę Klucze obok opcji Zaawansowane. W Eksploratorze Windows przejdź do C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys w 64-bitowym systemie Windows 7 (lub C: \ Program Files \ OpenVPN \ easy-rsa \ keys w 32-bitowym systemie Windows 7). Otwórz każdy odpowiedni plik poniżej ( ca.crt , server.crt , server.key , i dh1024.pem ) za pomocą Notatnika lub Notepad ++ i skopiuj zawartość. Wklej zawartość w odpowiednich polach, jak pokazano poniżej. Powinienem zauważyć, że wystarczy wkleić wszystko poniżej —– POCZĄTEK CERTYFIKATU–– w pliku server.crt . OpenVPN będzie nadal działał poprawnie, jeśli wkleisz cały plik, ale jest bardziej „czysty” tylko po wklejeniu rzeczywistych informacji o certyfikacie. Kliknij Zapisz, a następnie kliknij Rozpocznij teraz.
Zanim przetestujemy nasze połączenie VPN, jest jeszcze jedna rzecz, którą musimy sprawdzić w Pomidorze. Kliknij Podstawowe w lewej kolumnie, a następnie Czas. Upewnij się, że czas routera jest prawidłowy, a strefa czasowa wyświetla aktualną strefę czasową. Ustaw serwer czasu NTP na swój kraj.
Konfigurowanie klienta OpenVPN
W tym przykładzie jako klienta będziemy używać laptopa z systemem Windows 7. Pierwszą rzeczą, którą będziesz chciał zrobić, jest zainstalowanie OpenVPN na swoim kliencie, tak jak zrobiliśmy to powyżej w pierwszych krokach w sekcji Konfigurowanie OpenVPN. Następnie przejdź do C: \ Program Files \ OpenVPN \ config czyli tam, gdzie będziemy wklejać nasze pliki.
Teraz musimy wrócić do naszego oryginalnego komputera i zebrać w sumie cztery pliki, aby skopiować je na naszego klienta. Nawigować do C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys ponownie i skopiuj ca.crt , client1.crt , i client1.key . Wklej te pliki do pliku klienta config folder.
Na koniec musimy skopiować jeszcze jeden plik. Nawigować do C: \ Program Files (x86) \ OpenVPN \ config i skopiuj nowy plik client.ovpn, który utworzyliśmy wcześniej. Wklej ten plik do pliku klienta config folder również.
Testowanie klienta OpenVPN
Na laptopie klienta kliknij przycisk Start systemu Windows i przejdź do Wszystkie programy> OpenVPN. Kliknij prawym przyciskiem myszy plik GUI OpenVPN i kliknij Uruchom jako administrator. Pamiętaj, że musisz zawsze uruchamiać OpenVPN jako administrator, aby działał poprawnie. Aby trwale ustawić plik tak, aby zawsze działał jako administrator, kliknij plik prawym przyciskiem myszy i kliknij opcję Właściwości. Na karcie Zgodność zaznacz opcję Uruchom ten program jako administrator.
Ikona GUI OpenVPN pojawi się obok zegara na pasku zadań. Kliknij ikonę prawym przyciskiem myszy i kliknij Połącz. Ponieważ mamy tylko jeden plik .ovpn w naszym config folder OpenVPN będzie domyślnie łączyć się z tą siecią.
Pojawi się okno dialogowe z dziennikiem połączeń.
Po nawiązaniu połączenia z VPN ikona OpenVPN na pasku zadań zmieni kolor na zielony i wyświetli Twój wirtualny adres IP.
I to wszystko! Masz teraz bezpieczne połączenie między serwerem a siecią klienta za pomocą OpenVPN i TomatoUSB. Aby dalej przetestować połączenie, spróbuj otworzyć przeglądarkę na laptopie klienta i przejść do routera Tomato w sieci serwera.
Zdjęcie autorstwa Ewan
