Już omówiliśmy instalacja Tomato na routerze i jak połączyć się z siecią domową za pomocą OpenVPN i Tomato . Teraz zajmiemy się instalacją OpenVPN na routerze obsługującym DD-WRT, aby uzyskać łatwy dostęp do sieci domowej z dowolnego miejsca na świecie!
Co to jest OpenVPN?
Wirtualna sieć prywatna (VPN) to zaufane, bezpieczne połączenie między jedną siecią lokalną (LAN) a drugą. Pomyśl o swoim routerze jako o pośredniku między sieciami, z którymi się łączysz. Zarówno komputer, jak i serwer OpenVPN (w tym przypadku router) „podają sobie ręce”, używając certyfikatów, które wzajemnie się sprawdzają. Po weryfikacji klient i serwer wyrażają zgodę na wzajemne zaufanie, a klient uzyskuje dostęp do sieci serwera.
Wdrożenie oprogramowania i sprzętu VPN kosztuje zazwyczaj dużo pieniędzy. Jeśli jeszcze tego nie odgadłeś, OpenVPN jest rozwiązaniem VPN typu open source, które jest bezpłatne (werble). DD-WRT, obok OpenVPN, to idealne rozwiązanie dla tych, którzy chcą bezpiecznego połączenia między dwiema sieciami bez konieczności otwierania portfela. Oczywiście OpenVPN nie będzie działać od razu po wyjęciu z pudełka. Potrzeba trochę poprawek i konfiguracji, aby było dobrze. Nie martw się jednak; jesteśmy tutaj, aby ułatwić Ci ten proces, więc weź sobie filiżankę ciepłej kawy i zaczynajmy.
Aby uzyskać więcej informacji o OpenVPN, odwiedź oficjalnego Co to jest OpenVPN? strona.
Wymagania wstępne
W tym przewodniku założono, że obecnie używasz systemu Windows 7 na swoim komputerze i używasz konta administratora. Jeśli jesteś użytkownikiem Maca lub Linuksa, ten przewodnik da ci wyobrażenie o tym, jak to działa, jednak być może będziesz musiał przeprowadzić trochę więcej badań samodzielnie, aby wszystko było idealne.
W tym przewodniku założono również, że jesteś właścicielem Linksys WRT54GL i masz ogólne pojęcie o technologii VPN. Powinien służyć jako podstawa do instalacji DD-WRT, ale koniecznie sprawdź nasz oficjalny DD-WRT instrukcja instalacji za dodatkową opłatą.
Instalowanie DD-WRT
Zespół odpowiedzialny za DD-WRT wykonał świetną robotę, ułatwiając użytkownikom końcowym odkrycie zgodności routera z ich bazą danych routerów strona . Zacznij od wpisania modelu routera (w naszym przypadku WRT54GL ) w polu tekstowym i obserwuj, jak wyniki wyszukiwania pojawiają się natychmiast. Kliknij router, gdy zostanie znaleziony.
Zostaniesz przeniesiony na nową stronę, która zawiera informacje o Twoim modelu - w tym specyfikacje sprzętowe i różne wersje DD-WRT. Pobierz zarówno kompilację Mini-Generic, jak i wersję VPN Generic DD-WRT ( dd-wrt.v24_mini_generic.bin i dd-wrt.v24_vpn_generic.bin ). Zapisz te pliki na swoim komputerze.
Warto odwiedzić DD-WRT Specyficzne dla sprzętu stronę informacyjną, aby znaleźć szczegółowe informacje o routerze i DD-WRT. Ta strona wyjaśni dokładnie, co musisz zrobić przed i po zainstalowaniu DD-WRT. Na przykład, przed zainstalowaniem DD-WRT VPN należy zainstalować wersję mini DD-WRT podczas aktualizacji z fabrycznego oprogramowania firmy Linksys na WRT54GL.
Przed zainstalowaniem DD-WRT pamiętaj również o wykonaniu twardego resetu (AKA a 30/30/30). Naciśnij przycisk resetowania z tyłu routera na 30 sekund. Następnie, wciąż trzymając przycisk resetowania, odłącz kabel zasilający i pozostaw go odłączony na 30 sekund. Na koniec podłącz ponownie kabel zasilający, wciąż przytrzymując przycisk resetowania przez kolejne 30 sekund. Powinieneś był trzymać przycisk zasilania przez 90 sekund prosto.
Teraz otwórz przeglądarkę i wprowadź adres IP routera (domyślnie 192.168.1.1). Zostaniesz poproszony o podanie nazwy użytkownika i hasła. Wartości domyślne dla Linksys WRT54GL to „admin” i „admin”.
Kliknij kartę Administracja u góry. Następnie kliknij Aktualizacja oprogramowania układowego, jak pokazano poniżej.
Kliknij przycisk Przeglądaj i przejdź do pobranego wcześniej pliku DD-WRT Mini Generic .bin. Zrobić nie przesłać jeszcze plik DD-WRT VPN .bin. Kliknij przycisk Uaktualnij w interfejsie internetowym. Twój router rozpocznie instalację DD-WRT Mini Generic i powinno zająć mniej niż minutę.
Niestety! Twoja pierwsza obserwacja DD-WRT. Ponownie wykonaj kolejny reset 30/30/30, jak zrobiliśmy powyżej. Następnie kliknij kartę Administracja u góry. Zostaniesz poproszony o podanie nazwy użytkownika i hasła. Domyślna nazwa użytkownika i hasło to odpowiednio „root” i „admin”. Po zalogowaniu się kliknij podkartę Aktualizacja oprogramowania sprzętowego i kliknij Wybierz plik. Wyszukaj plik VPN DD-WRT, który pobraliśmy wcześniej i kliknij Otwórz. Wersja VPN DD-WRT zacznie się teraz ładować; bądź cierpliwy, ponieważ może to zająć 2-3 minuty.
Instalowanie OpenVPN
Przejdźmy teraz do OpenVPN Pliki do pobrania i pobierz Instalator OpenVPN dla Windows. W tym przewodniku będziemy używać drugiej najnowszej wersji OpenVPN o nazwie 2.1.4. Najnowsza wersja (2.2.0) ma rozszerzenie pluskwa to jeszcze bardziej skomplikowałoby ten proces. Plik, który pobieramy, zainstaluje program OpenVPN, który umożliwia połączenie z siecią VPN, więc pamiętaj, aby zainstalować ten program na wszystkich innych komputerach, na których chcesz działać jako klienci (ponieważ zobaczymy, jak to zrobić później). Zapisz plik openvpn-2.1.4-install .exe na swoim komputerze.
Przejdź do pliku OpenVPN, który właśnie pobraliśmy, i kliknij go dwukrotnie. Rozpocznie się instalacja OpenVPN na twoim komputerze. Uruchom instalator z zaznaczonymi wszystkimi ustawieniami domyślnymi. Podczas instalacji pojawi się okno dialogowe z pytaniem o zainstalowanie nowej wirtualnej karty sieciowej o nazwie TAP-Win32. Kliknij przycisk Instaluj.
Tworzenie certyfikatów i kluczy
Teraz, gdy masz już zainstalowany OpenVPN na swoim komputerze, musimy rozpocząć tworzenie certyfikatów i kluczy do uwierzytelniania urządzeń. Kliknij przycisk Start systemu Windows i przejdź do sekcji Akcesoria. Zobaczysz program Command Prompt. Kliknij go prawym przyciskiem myszy i kliknij Uruchom jako administrator.
W wierszu polecenia wpisz
cd c: \ Pliki programów (x86) \ OpenVPN \ easy-rsa
jeśli używasz 64-bitowego systemu Windows 7, jak pokazano poniżej. Rodzaj
cd c: \ Pliki programów \ OpenVPN \ easy-rsa
jeśli używasz 32-bitowego systemu Windows 7. Następnie naciśnij Enter.
Teraz wpisz init-config i naciśnij Enter, aby skopiować dwa pliki o nazwach vars.bat i openssl.cnf do folderu easy-rsa. Nie ustawaj w wierszu polecenia, ponieważ wkrótce do niego wrócimy.
Nawigować do C: \ Program Files (x86) \ OpenVPN \ easy-rsa (lub C: \ Program Files \ OpenVPN \ easy-rsa w 32-bitowym systemie Windows 7) i kliknij prawym przyciskiem myszy plik o nazwie Rok . Kliknij Edytuj, aby otworzyć go w Notatniku. Alternatywnie zalecamy otwarcie tego pliku za pomocą Notepad ++, ponieważ znacznie lepiej formatuje tekst w pliku. Możesz pobrać Notepad ++ z ich strona główna .
Naszym problemem jest dolna część pliku. Począwszy od wiersza 31, zmień plik KEY_COUNTRY wartość, KEY_PROVINCE wartość itp. na Twój kraj, prowincję itp. Na przykład zmieniliśmy naszą prowincję na „IL”, miasto na „Chicago”, org na „HowToGeek” i wyślij e-mail na nasz własny adres e-mail. Ponadto, jeśli używasz 64-bitowego systemu Windows 7, zmień rozszerzenie DOM wartość w wierszu 6 do % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Nie zmieniaj tej wartości, jeśli używasz 32-bitowego systemu Windows 7. Twój plik powinien wyglądać podobnie do naszego poniżej (oczywiście z odpowiednimi wartościami). Zapisz plik, nadpisując go po zakończeniu edycji.
Wróć do wiersza poleceń i wpisz którego i naciśnij Enter. Następnie wpisz Wyczyść wszystko i naciśnij Enter. Na koniec wpisz build-ca i naciśnij Enter.
Po wykonaniu build-ca polecenie, zostaniesz poproszony o wprowadzenie nazwy kraju, stanu, miejscowości itp. Ponieważ już skonfigurowaliśmy te parametry w naszym Rok plik, możemy pominąć te opcje, naciskając Enter, ale! Zanim zaczniesz uderzać w klawisz Enter, uważaj na parametr Common Name. W tym parametrze możesz wpisać cokolwiek (np. Swoje imię i nazwisko). Tylko pamiętaj, aby wejść coś . To polecenie wyświetli dwa pliki (certyfikat głównego urzędu certyfikacji i klucz głównego urzędu certyfikacji) w folderze easy-rsa / keys.
Teraz zbudujemy klucz dla klienta. W tym samym typie wiersza polecenia klucz kompilacji klient1 . Możesz zmienić „klienta1” na dowolne (np. Acer-Laptop). Po wyświetleniu monitu pamiętaj tylko, aby wprowadzić tę samą nazwę, co nazwa zwykła. Sprawdź wszystkie ustawienia domyślne, tak jak w poprzednim kroku (z wyjątkiem oczywiście nazwy zwykłej). Jednak na końcu zostaniesz poproszony o podpisanie certyfikatu i zobowiązanie się. Wpisz „y” dla obu i naciśnij Enter.
Nie martw się także, jeśli pojawi się błąd „nie można zapisać„ stanu losowego ””. Zauważyliśmy, że Twoje certyfikaty są nadal tworzone bez problemu. To polecenie spowoduje wyświetlenie dwóch plików (klucza klienta 1 i certyfikatu klienta 1) w folderze easy-rsa / keys. Jeśli chcesz utworzyć inny klucz dla innego klienta, powtórz poprzedni krok, ale pamiętaj, aby zmienić nazwę zwykłą.
Ostatni certyfikat, który wygenerujemy, to klucz serwera. W tym samym wierszu polecenia wpisz build-key-server serwer . Możesz zastąpić „serwer” na końcu polecenia czymkolwiek zechcesz (np. HowToGeek-Server). Jak zawsze, po wyświetleniu monitu pamiętaj o wprowadzeniu tej samej nazwy, co nazwa zwykła. Naciśnij Enter i przejdź przez wszystkie wartości domyślne z wyjątkiem nazwy zwykłej. Na koniec wpisz „y”, aby podpisać certyfikat i zatwierdzić. To polecenie spowoduje wyświetlenie dwóch plików (klucza serwera i certyfikatu serwera) w folderze easy-rsa / keys.
Teraz musimy wygenerować parametry Diffiego Hellmana. Protokół Diffie Hellman „pozwala dwóm użytkownikom na wymianę tajnego klucza na niezabezpieczonym nośniku bez żadnych wcześniejszych sekretów”. Możesz przeczytać więcej o Diffie Hellman w RSA stronie internetowej .
W tym samym typie wiersza polecenia build-dh . To polecenie wyświetli jeden plik (dh1024.pem) w folderze easy-rsa / keys.
Tworzenie plików konfiguracyjnych dla klienta
Zanim zmodyfikujemy jakiekolwiek pliki konfiguracyjne, powinniśmy skonfigurować usługę dynamicznego DNS. Skorzystaj z tej usługi, jeśli dostawca usług internetowych co jakiś czas wydaje Ci dynamiczny zewnętrzny adres IP. Jeśli masz statyczny zewnętrzny adres IP, przejdź do następnego kroku.
Sugerujemy użycie DynDNS.com , usługa umożliwiająca wskazanie nazwy hosta (np. howtogeek.dyndns.org) na dynamiczny adres IP. Dla OpenVPN ważne jest, aby zawsze znać publiczny adres IP Twojej sieci, a korzystając z DynDNS, OpenVPN zawsze wie, jak zlokalizować Twoją sieć, niezależnie od tego, jaki jest Twój publiczny adres IP. Zarejestruj się za darmo nazwa hosta i wskaż go publicznie adres IP .
Wróćmy teraz do konfigurowania OpenVPN. W Eksploratorze Windows przejdź do C: \ Program Files (x86) \ OpenVPN \ sample-config jeśli używasz 64-bitowego systemu Windows 7 lub C: \ Program Files \ OpenVPN \ sample-config jeśli używasz 32-bitowego systemu Windows 7. W tym folderze znajdziesz trzy przykładowe pliki konfiguracyjne; interesuje nas tylko client.ovpn plik.
Kliknij prawym przyciskiem myszy client.ovpn i otwórz go za pomocą Notatnika lub Notepad ++. Zauważysz, że Twój plik będzie wyglądał jak na poniższym obrazku:
Chcemy jednak naszego client.ovpn plik, który ma wyglądać podobnie do to zdjęcie poniżej. Pamiętaj, aby zmienić nazwę hosta DynDNS na swoją nazwę hosta w linii 4 (lub zmień ją na swój publiczny adres IP, jeśli masz statyczny). Pozostaw numer portu 1194, ponieważ jest to standardowy port OpenVPN. Pamiętaj też, aby zmienić wiersze 11 i 12, aby odzwierciedlić nazwę pliku certyfikatu klienta i pliku klucza. Zapisz to jako nowy plik .ovpn w folderze OpenVPN / config.
Konfigurowanie demona OpenVPN DD-WRT
Podstawowym pomysłem jest teraz skopiowanie certyfikatów serwera i kluczy, które stworzyliśmy wcześniej i wklejenie ich do menu DD-WRT OpenVPN Daemon. Otwórz ponownie przeglądarkę i przejdź do routera. Powinieneś teraz mieć zainstalowaną wersję DD-WRT VPN na routerze. Zauważysz nową pod-zakładkę w zakładce Usługi o nazwie VPN. Kliknij przycisk opcji Włącz w obszarze Demon OpenVPN.
Najpierw pamiętaj, aby zmienić typ uruchomienia na „Wan Up” zamiast domyślnego „System”. Teraz będziemy potrzebować naszych kluczy serwera i certyfikatów, które utworzyliśmy wcześniej. W Eksploratorze Windows przejdź do C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys w 64-bitowym systemie Windows 7 (lub C: \ Program Files \ OpenVPN \ easy-rsa \ keys w 32-bitowym systemie Windows 7). Otwórz każdy odpowiedni plik poniżej ( ca.crt , server.crt , server.key , i dh1024.pem ) za pomocą Notatnika lub Notepad ++ i skopiuj zawartość. Wklej zawartość w odpowiednich polach, jak pokazano poniżej.
W przypadku pola konfiguracji OpenVPN będziemy musieli utworzyć niestandardowy plik. Te ustawienia będą się różnić w zależności od konfiguracji sieci LAN. Otwórz osobne okno przeglądarki i wpisz adres IP routera. Kliknij kartę Konfiguracja i zanotuj, jaki adres IP został skonfigurowany w sekcji IP routera> Lokalny adres IP. Wartość domyślna, której używamy w tym przykładzie, to 192.168.1.1. Wklej tę podsieć zaraz po słowie „route” w pierwszym wierszu, aby odzwierciedlić konfigurację sieci LAN. Skopiuj to do pola OpenVPN Config i kliknij Zapisz.
push „route 192.168.1.0 255.255.255.0”
serwer 10.8.0.0 255.255.255.0dev tun0
proto tcp
nieczynny 10 120
tj. /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem# Używaj tylko crl-verify, jeśli używasz listy unieważnień - w przeciwnym razie pozostaw ją zakomentowaną
# crl-verify /tmp/openvpn/ca.crl# parametr zarządzania umożliwia stronie internetowej stanu OpenVPN DD-WRT dostęp do portu zarządzania serwera
# port musi mieć wartość 5001, aby skrypty wbudowane w oprogramowanie układowe działały
zarządzanie hostem lokalnym 5001
Teraz musimy skonfigurować zaporę ogniową, aby umożliwić klientom łączenie się z naszym serwerem OpenVPN przez port 1194. Przejdź do zakładki Administracja i kliknij podkartę Polecenia. W polu tekstowym Polecenia wklej następujące elementy:
iptables -I INPUT 1 -p udp –dport 1194 -j AKCEPTUJ
iptables -I FORWARD 1 - źródło 192.168.1.0/24 -j AKCEPTUJ
iptables -I FORWARD -i br0 -o tun0 -j AKCEPTUJ
iptables -I FORWARD -i tun0 -o br0 -j AKCEPTUJ
Pamiętaj, aby zmienić adres IP sieci LAN w drugiej linii, jeśli jest inny niż domyślny. Następnie kliknij przycisk Zapisz zaporę poniżej.
Na koniec sprawdź ustawienia czasu na karcie Konfiguracja, w przeciwnym razie demon OpenVPN odmówi wszystkim klientom. Sugerujemy pójście do TimeAndDate.com i wyszukując swoje miasto w sekcji Aktualny czas. Ta strona internetowa poda wszystkie informacje, które musisz wpisać w Ustawieniach czasu, tak jak zrobiliśmy to poniżej. Sprawdź też projekt puli NTP stronie internetowej do użytku publicznych serwerów NTP.
Konfigurowanie klienta OpenVPN
W tym przykładzie będziemy używać laptopa z systemem Windows 7 jako naszego klienta w oddzielnej sieci. Pierwszą rzeczą, którą będziesz chciał zrobić, jest zainstalowanie OpenVPN na swoim kliencie, tak jak zrobiliśmy to powyżej w pierwszych krokach w sekcji Konfigurowanie OpenVPN. Następnie przejdź do C: \ Program Files \ OpenVPN \ config czyli tam, gdzie będziemy wklejać nasze pliki.
Teraz musimy wrócić do naszego oryginalnego komputera i zebrać w sumie cztery pliki, aby skopiować je na naszego klienta. Nawigować do C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys ponownie i skopiuj ca.crt , client1.crt , i client1.key . Wklej te pliki do pliku klienta config folder.
Na koniec musimy skopiować jeszcze jeden plik. Nawigować do C: \ Program Files (x86) \ OpenVPN \ config i skopiuj nowy plik client.ovpn, który utworzyliśmy wcześniej. Wklej ten plik do pliku klienta config folder również.
Testowanie klienta OpenVPN
Na laptopie klienta kliknij przycisk Start systemu Windows i przejdź do Wszystkie programy> OpenVPN. Kliknij prawym przyciskiem myszy plik GUI OpenVPN i kliknij Uruchom jako administrator. Pamiętaj, że musisz zawsze uruchamiać OpenVPN jako administrator, aby działał poprawnie. Aby trwale ustawić plik tak, aby zawsze działał jako administrator, kliknij plik prawym przyciskiem myszy i kliknij opcję Właściwości. Na karcie Zgodność zaznacz opcję Uruchom ten program jako administrator.
Ikona GUI OpenVPN pojawi się obok zegara na pasku zadań. Kliknij ikonę prawym przyciskiem myszy i kliknij Połącz. Ponieważ mamy tylko jeden plik .ovpn w naszym config folder OpenVPN będzie domyślnie łączyć się z tą siecią.
Pojawi się okno dialogowe z dziennikiem połączeń.
Po nawiązaniu połączenia z VPN ikona OpenVPN na pasku zadań zmieni kolor na zielony i wyświetli Twój wirtualny adres IP.
I to wszystko! Masz teraz zabezpieczone połączenie między serwerem a siecią klienta przy użyciu OpenVPN i DD-WRT. Aby dodatkowo przetestować połączenie, spróbuj otworzyć przeglądarkę na laptopie klienta i przejść do routera DD-WRT w sieci serwera.
