Мы уже рассмотрели установка Tomato на вашем маршрутизаторе и как подключиться к домашней сети с OpenVPN и Помидор . Теперь мы рассмотрим установку OpenVPN на маршрутизаторе с поддержкой DD-WRT для легкого доступа к вашей домашней сети из любой точки мира!
Что такое OpenVPN?
Виртуальная частная сеть (VPN) - это надежное и безопасное соединение между одной локальной сетью (LAN) и другой. Думайте о своем маршрутизаторе как о посреднике между сетями, к которым вы подключаетесь. И ваш компьютер, и сервер OpenVPN (в данном случае ваш маршрутизатор) «пожимают друг другу руки», используя сертификаты, которые подтверждают друг друга. После проверки и клиент, и сервер соглашаются доверять друг другу, а затем клиенту разрешается доступ к сети сервера.
Как правило, внедрение программного и аппаратного обеспечения VPN стоит больших денег. Если вы еще не догадались, OpenVPN - это решение VPN с открытым исходным кодом, которое (барабанная дробь) бесплатное. DD-WRT, наряду с OpenVPN, является идеальным решением для тех, кто хочет безопасное соединение между двумя сетями без необходимости открывать свой кошелек. Конечно, OpenVPN сразу после установки работать не будет. Требуется небольшая настройка и настройка, чтобы все было правильно. Но не волнуйтесь; мы здесь, чтобы облегчить вам этот процесс, так что приготовьте себе чашку теплого кофе и приступим.
Для получения дополнительной информации об OpenVPN посетите официальный Что такое OpenVPN? страница.
Предпосылки
В этом руководстве предполагается, что вы в настоящее время используете Windows 7 на своем ПК и используете учетную запись администратора. Если вы пользователь Mac или Linux, это руководство даст вам представление о том, как все работает, однако вам, возможно, придется провести немного больше исследований самостоятельно, чтобы добиться идеального результата.
В этом руководстве также предполагается, что у вас есть Linksys WRT54GL и вы имеете общее представление о технологии VPN. Он должен служить основой для установки DD-WRT, но обязательно ознакомьтесь с нашим официальным DD-WRT инструкция по установке за дополнительную плату.
Установка DD-WRT
Команда, ответственная за DD-WRT, проделала огромную работу, упростив для конечных пользователей определение совместимости маршрутизатора с их базой данных маршрутизатора. страница . Начните с ввода модели вашего маршрутизатора (в нашем случае WRT54GL ) в текстовом поле, и результаты поиска появляются мгновенно. Нажмите на свой маршрутизатор, как только он будет найден.
Вы попадете на новую страницу со списком информации о вашей модели, включая технические характеристики оборудования и различные сборки DD-WRT. Загрузите как Mini-Generic build, так и VPN Generic build DD-WRT ( dd-wrt.v24_mini_generic.bin а также dd-wrt.v24_vpn_generic.bin ). Сохраните эти файлы на свой компьютер.
Хорошая идея - посетить DD-WRT Зависит от оборудования Информационная страница, чтобы найти подробную информацию о вашем маршрутизаторе и DD-WRT. Эта страница объяснит, что вам нужно делать до и после установки DD-WRT. Например, вы должны установить мини-версию DD-WRT перед установкой DD-WRT VPN при обновлении стандартной прошивки Linksys на WRT54GL.
Кроме того, перед установкой DD-WRT обязательно выполните полный сброс (AKA a 30/30/30). Нажмите кнопку сброса на задней панели маршрутизатора и удерживайте ее в течение 30 секунд. Затем, все еще удерживая кнопку сброса, отключите шнур питания и оставьте его отключенным на 30 секунд. Наконец, снова подключите кабель питания, удерживая нажатой кнопку сброса еще 30 секунд. Вы должны были удерживать кнопку питания 90 секунд подряд.
Теперь откройте браузер и введите IP-адрес вашего маршрутизатора (по умолчанию 192.168.1.1). Вам будет предложено ввести имя пользователя и пароль. Значения по умолчанию для Linksys WRT54GL - «admin» и «admin».
Щелкните вкладку «Администрирование» вверху. Затем нажмите «Обновление прошивки», как показано ниже.
Нажмите кнопку «Обзор» и перейдите к .bin-файлу DD-WRT Mini Generic, который мы скачали ранее. Делать не загрузить .bin файл DD-WRT VPN пока нет. Нажмите кнопку «Обновить» в веб-интерфейсе. Ваш роутер начнет установку DD-WRT Mini Generic, и это займет меньше минуты.
Увы! Вы впервые заметили DD-WRT. Еще раз сделайте еще один сброс 30/30/30, как мы делали выше. Затем щелкните вкладку «Администрирование» вверху. Вам будет предложено ввести имя пользователя и пароль. Имя пользователя и пароль по умолчанию - «root» и «admin» соответственно. После входа в систему перейдите на дополнительную вкладку «Обновление прошивки» и нажмите «Выбрать файл». Найдите файл DD-WRT VPN, который мы скачали ранее, и нажмите «Открыть». Теперь начнется загрузка версии DD-WRT для VPN; наберитесь терпения, это может занять 2-3 минуты.
Установка OpenVPN
Теперь перейдем к OpenVPN Загрузки страницу и загрузите установщик OpenVPN для Windows. В этом руководстве мы будем использовать вторую последнюю версию OpenVPN под названием 2.1.4. Последняя версия (2.2.0) имеет ошибка в нем это еще больше усложнит этот процесс. Загружаемый файл установит программу OpenVPN, которая позволяет вам подключаться к вашей сети VPN, поэтому обязательно установите эту программу на любые другие компьютеры, которые вы хотите выполнять в качестве клиентов (так как мы увидим, как это сделать. позже). Сохраните файл openvpn-2.1.4-install .exe на свой компьютер.
Перейдите к только что загруженному файлу OpenVPN и дважды щелкните его. Это запустит установку OpenVPN на ваш компьютер. Запустите установщик со всеми установленными по умолчанию. Во время установки появится диалоговое окно с просьбой установить новый виртуальный сетевой адаптер под названием TAP-Win32. Щелкните кнопку Установить.
Создание сертификатов и ключей
Теперь, когда на вашем компьютере установлен OpenVPN, мы должны начать создавать сертификаты и ключи для аутентификации устройств. Нажмите кнопку «Пуск» в Windows и перейдите в раздел «Стандартные». Вы увидите программу командной строки. Щелкните его правой кнопкой мыши и выберите Запуск от имени администратора.
В командной строке введите
компакт-диск c: \ Program Files (x86) \ OpenVPN \ easy-rsa
если вы используете 64-битную Windows 7, как показано ниже. Тип
компакт-диск c: \ Program Files \ OpenVPN \ easy-rsa
если вы используете 32-битную Windows 7. Затем нажмите Enter.
Теперь введите init-config и нажмите Enter, чтобы скопировать два файла с именами vars.bat и openssl.cnf в папку easy-rsa. Не закрывайте командную строку, мы скоро к ней вернемся.
Перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa (или C: \ Program Files \ OpenVPN \ easy-rsa в 32-битной Windows 7) и щелкните правой кнопкой мыши файл с именем Год . Щелкните Изменить, чтобы открыть его в Блокноте. В качестве альтернативы мы рекомендуем открыть этот файл с помощью Notepad ++, поскольку он намного лучше форматирует текст в файле. Вы можете скачать Notepad ++ с их домашняя страница .
Нас интересует нижняя часть файла. Начиная со строки 31, измените KEY_COUNTRY ценность, KEY_PROVINCE значение и т. д. в вашу страну, провинцию и т. д. Например, мы изменили нашу провинцию на «Иллинойс», город на «Чикаго», организацию на «HowToGeek» и отправили электронное письмо на наш собственный адрес электронной почты. Кроме того, если вы используете 64-разрядную версию Windows 7, измените ГЛАВНАЯ значение в строке 6 для % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Не меняйте это значение, если вы используете 32-разрядную версию Windows 7. Ваш файл должен выглядеть так, как показано ниже (конечно, с вашими соответствующими значениями). По завершении редактирования сохраните файл, перезаписав его.
Вернитесь в командную строку и введите чья и нажмите Enter. Затем введите чистый и нажмите Enter. Наконец, введите build-ca и нажмите Enter.
После выполнения build-ca вам будет предложено ввести название страны, штата, населенного пункта и т. д., поскольку мы уже установили эти параметры в нашем Год файла, мы можем пропустить эти параметры, нажав Enter, но! Прежде чем начать нажимать на клавишу Enter, обратите внимание на параметр Common Name. В этот параметр можно ввести что угодно (например, свое имя). Просто убедитесь, что вы вошли что нибудь . Эта команда выведет два файла (сертификат корневого ЦС и ключ корневого ЦС) в папку easy-rsa / keys.
Теперь мы создадим ключ для клиента. В той же командной строке введите строительный ключ client1 . Вы можете заменить «client1» на любое другое (например, Acer-Laptop). Просто убедитесь, что при появлении запроса вводите то же имя, что и обычное имя. Выполните все значения по умолчанию, как и в предыдущем шаге (за исключением, конечно, Common Name). Однако в конце вам будет предложено подписать сертификат и выполнить фиксацию. Введите «y» для обоих и нажмите Enter.
Также не беспокойтесь, если вы получили сообщение об ошибке «Невозможно записать случайное состояние». Мы заметили, что ваши сертификаты по-прежнему создаются без проблем. Эта команда выведет два файла (ключ Client1 и сертификат Client1) в папку easy-rsa / keys. Если вы хотите создать другой ключ для другого клиента, повторите предыдущий шаг, но не забудьте изменить общее имя.
Последний сертификат, который мы создадим, - это ключ сервера. В той же командной строке введите сборка-ключ-сервер сервер . Вы можете заменить «сервер» в конце команды на что угодно (например, HowToGeek-Server). Как всегда, при появлении запроса убедитесь, что вы вводите то же имя, что и обычное имя. Нажмите Enter и выполните все значения по умолчанию, кроме Common Name. В конце введите «y», чтобы подписать сертификат и подтвердить. Эта команда выведет два файла (ключ сервера и сертификат сервера) в папку easy-rsa / keys.
Теперь нам нужно сгенерировать параметры Диффи Хеллмана. Протокол Диффи-Хеллмана «позволяет двум пользователям обмениваться секретным ключом через небезопасный носитель без каких-либо предварительных секретов». Вы можете узнать больше о Диффи Хеллман на сайте RSA интернет сайт .
В той же командной строке введите build-dh . Эта команда выведет один файл (dh1024.pem) в папку easy-rsa / keys.
Создание файлов конфигурации для клиента
Прежде чем редактировать какие-либо файлы конфигурации, мы должны настроить динамическую службу DNS. Используйте эту услугу, если ваш интернет-провайдер время от времени выдает вам динамический внешний IP-адрес. Если у вас статический внешний IP-адрес, переходите к следующему шагу.
Мы предлагаем использовать ДиндНС.ком , сервис, который позволяет указать имя хоста (например, howtogeek.dyndns.org) на динамический IP-адрес. Для OpenVPN важно всегда знать общедоступный IP-адрес вашей сети, а с помощью DynDNS OpenVPN всегда будет знать, как найти вашу сеть, независимо от вашего публичного IP-адреса. Зарегистрируйтесь бесплатно имя хоста и покажи это своей публике айпи адрес .
Теперь вернемся к настройке OpenVPN. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ образец-конфигурация если вы используете 64-битную Windows 7 или C: \ Program Files \ OpenVPN \ образец-конфигурация если вы используете 32-битную Windows 7. В этой папке вы найдете три файла конфигурации; мы озабочены только client.ovpn файл.
Щелкните правой кнопкой мыши на client.ovpn и откройте его с помощью Блокнота или Блокнота ++. Вы заметите, что ваш файл будет выглядеть, как на картинке ниже:
Однако мы хотим, чтобы наши client.ovpn файл, похожий на этот рисунок ниже. Обязательно измените имя хоста DynDNS на свое имя хоста в строке 4 (или измените его на свой общедоступный IP-адрес, если у вас есть статический). Оставьте номер порта 1194, так как это стандартный порт OpenVPN. Кроме того, не забудьте изменить строки 11 и 12, чтобы они отражали имя файла сертификата вашего клиента и файла ключа. Сохраните это как новый файл .ovpn в папке OpenVPN / config.
Настройка демона OpenVPN в DD-WRT
Основная идея сейчас состоит в том, чтобы скопировать сертификаты сервера и ключи, которые мы сделали ранее, и вставить их в меню DD-WRT OpenVPN Daemon. Снова откройте браузер и перейдите к своему маршрутизатору. Теперь на вашем маршрутизаторе должна быть установлена версия DD-WRT VPN. Вы увидите новую подвкладку под вкладкой «Сервисы» под названием VPN. Щелкните переключатель Включить под OpenVPN Daemon.
Во-первых, не забудьте изменить тип запуска на «Wan Up» вместо стандартного «System». Теперь нам понадобятся ключи и сертификаты сервера, которые мы создали ранее. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys в 64-битной Windows 7 (или C: \ Program Files \ OpenVPN \ easy-rsa \ keys на 32-битной Windows 7). Откройте каждый соответствующий файл ниже ( ca.crt , server.crt , server.key , а также dh1024.pem ) с помощью Блокнота или Блокнота ++ и скопируйте содержимое. Вставьте содержимое в соответствующие поля, как показано ниже.
Для поля OpenVPN Config нам нужно будет создать собственный файл. Эти настройки будут отличаться в зависимости от того, как настроена ваша локальная сеть. Откройте отдельное окно браузера и введите IP-адрес вашего маршрутизатора. Щелкните вкладку «Настройка» и обратите внимание, какой IP-адрес вы настроили в разделе «IP-адрес маршрутизатора> Локальный IP-адрес». По умолчанию, которое мы используем в этом примере, 192.168.1.1. Вставьте эту подсеть сразу после слова «route» в первую строку, чтобы отразить настройки вашей локальной сети. Скопируйте это в поле OpenVPN Config и нажмите Сохранить.
нажмите «маршрут 192.168.1.0 255.255.255.0»
сервер 10.8.0.0 255.255.255.0dev tun0
proto tcp
Keepalive 10 120
т.е. /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
сертификат /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem# Используйте crl-verify, только если вы используете список отзыва, в противном случае оставьте его закомментированным
# crl-verify /tmp/openvpn/ca.crl# параметр управления позволяет веб-странице состояния OpenVPN DD-WRT получить доступ к порту управления сервера
# порт должен быть 5001, чтобы скрипты, встроенные в прошивку, работали
управление localhost 5001
Теперь мы должны настроить брандмауэр, чтобы клиенты могли подключаться к нашему серверу OpenVPN через порт 1194. Перейдите на вкладку «Администрирование» и щелкните вложенную вкладку «Команды». В текстовое поле Команды вставьте следующее:
iptables -I INPUT 1 -p udp –dport 1194 -j ПРИНЯТЬ
iptables -I FORWARD 1 –source 192.168.1.0/24 -j ACCEPT
iptables -I ВПЕРЕД -i br0 -o tun0 -j ПРИНЯТЬ
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Обязательно измените IP-адрес вашей локальной сети во второй строке, если он отличается от значения по умолчанию. Затем нажмите кнопку «Сохранить брандмауэр» ниже.
Наконец, не забудьте проверить настройки времени на вкладке «Настройка», иначе демон OpenVPN откажет всем клиентам. Предлагаем зайти в ТимеАндДайте.ком и поиск вашего города в разделе "Текущее время". Этот веб-сайт предоставит вам всю информацию, которую вам необходимо заполнить в разделе «Настройки времени», как мы это делали ниже. Также ознакомьтесь с проектом NTP Pool Project интернет сайт для использования общедоступными серверами NTP.
Настройка клиента OpenVPN
В этом примере мы будем использовать ноутбук с Windows 7 в качестве клиента в отдельной сети. Первое, что вам нужно сделать, это установить OpenVPN на своем клиенте, как мы делали выше на первых шагах в разделе «Настройка OpenVPN». Затем перейдите к C: \ Program Files \ OpenVPN \ config куда мы будем вставлять наши файлы.
Теперь нам нужно вернуться к нашему исходному компьютеру и собрать в общей сложности четыре файла для копирования на наш клиентский портативный компьютер. Перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys снова и скопируйте ca.crt , client1.crt , а также client1.key . Вставьте эти файлы в клиентский config папка.
Наконец, нам нужно скопировать еще один файл. Перейдите к C: \ Program Files (x86) \ OpenVPN \ config и скопируйте новый файл client.ovpn, который мы создали ранее. Вставьте этот файл в клиентский config папка тоже.
Тестирование клиента OpenVPN
На клиентском портативном компьютере нажмите кнопку «Пуск» в Windows и выберите «Все программы»> «OpenVPN». Щелкните правой кнопкой мыши файл графического интерфейса OpenVPN и выберите Запуск от имени администратора. Обратите внимание, что вы всегда должны запускать OpenVPN от имени администратора, чтобы он работал правильно. Чтобы установить постоянный запуск файла от имени администратора, щелкните файл правой кнопкой мыши и выберите «Свойства». На вкладке «Совместимость» установите флажок «Запустить эту программу от имени администратора».
Значок графического интерфейса OpenVPN появится рядом с часами на панели задач. Щелкните значок правой кнопкой мыши и выберите «Подключиться». Поскольку у нас есть только один файл .ovpn в нашем config папки OpenVPN будет подключаться к этой сети по умолчанию.
Появится диалоговое окно с журналом подключений.
После подключения к VPN значок OpenVPN на панели задач станет зеленым и отобразит ваш виртуальный IP-адрес.
И это все! Теперь у вас есть защищенное соединение между вашим сервером и клиентской сетью с помощью OpenVPN и DD-WRT. Чтобы дополнительно проверить соединение, попробуйте открыть браузер на клиентском портативном компьютере и перейти к маршрутизатору DD-WRT в сети сервера.
