Ми вже розглянули встановлення Tomato на маршрутизаторі та як підключитися до домашньої мережі за допомогою OpenVPN і помідор . Зараз ми розглянемо встановлення OpenVPN на вашому маршрутизаторі з підтримкою DD-WRT для легкого доступу до вашої домашньої мережі з будь-якої точки світу!
Що таке OpenVPN?
Віртуальна приватна мережа (VPN) - це надійне, безпечне з'єднання між однією локальною мережею (ЛВС) та іншою. Подумайте про свій маршрутизатор як про посередника між мережами, до яких ви підключаєтесь. Як ваш комп’ютер, так і сервер OpenVPN (у цьому випадку ваш маршрутизатор) «потискують руку», використовуючи сертифікати, які перевіряють один одного. Після перевірки як клієнт, так і сервер погоджуються довіряти один одному, і клієнту надається доступ до мережі сервера.
Як правило, програмне та апаратне забезпечення VPN коштує великих грошей на впровадження. Якщо ви ще цього не здогадалися, OpenVPN - це рішення з відкритим вихідним кодом VPN, яке (барабанний рулон) безкоштовно. DD-WRT, поряд з OpenVPN, є ідеальним рішенням для тих, хто хоче захищене з'єднання між двома мережами, не відкриваючи гаманець. Звичайно, OpenVPN не буде працювати зразу. Потрібно трохи налаштувати та налаштувати, щоб отримати це як слід. Не хвилюватися, хоча; ми тут, щоб полегшити вам цей процес, тому візьміть собі теплу чашку кави і давайте почнемо.
Щоб отримати додаткову інформацію про OpenVPN, відвідайте офіційну особу Що таке OpenVPN? сторінки.
Передумови
У цьому посібнику передбачається, що зараз у вас на ПК встановлена ОС Windows 7 і що ви використовуєте адміністративний обліковий запис. Якщо ви користувач Mac або Linux, цей посібник дасть вам уявлення про те, як все працює, однак, можливо, вам доведеться провести трохи більше досліджень самостійно, щоб отримати ідеальні речі.
Цей посібник також передбачає, що ви є власником Linksys WRT54GL і маєте загальне розуміння технології VPN. Це повинно послужити основою для встановлення DD-WRT, але обов’язково перевірте наш офіційний DD-WRT керівництво по установці за додаткову добавку.
Встановлення DD-WRT
Команда, відповідальна за DD-WRT, зробила чудову роботу, полегшивши кінцевим користувачам виявлення сумісності маршрутизатора зі своєю базою даних маршрутизаторів. сторінки . Почніть з введення вашої моделі маршрутизатора (у нашому випадку WRT54GL ) у текстовому полі та миттєво відображаються результати пошуку. Клацніть свій маршрутизатор, як тільки його знайдете.
Ви перейдете на нову сторінку, де перерахована інформація про вашу модель, зокрема технічні характеристики та різні збірки DD-WRT. Завантажте збірку Mini-Generic та загальну збірку VPN DD-WRT ( dd-wrt.v24_mini_generic.bin і dd-wrt.v24_vpn_generic.bin ). Збережіть ці файли на своєму комп’ютері.
Це гарна ідея відвідати DD-WRT Спеціально для обладнання інформаційну сторінку, щоб переглянути детальну інформацію про ваш маршрутизатор та DD-WRT. Ця сторінка точно пояснить, що потрібно робити до та після встановлення DD-WRT. Наприклад, ви повинні встановити міні-версію DD-WRT перед тим, як встановлювати DD-WRT VPN під час оновлення із стандартної прошивки Linksys на WRT54GL.
Також перед встановленням DD-WRT обов’язково виконайте апаратне скидання (AKA a 30/30/30). Натисніть кнопку скидання на задній панелі маршрутизатора протягом 30 секунд. Потім, утримуючи кнопку скидання, від'єднайте кабель живлення та залиште його відключеним на 30 секунд. Нарешті, знову підключіть кабель живлення, утримуючи кнопку скидання ще 30 секунд. Вам слід було утримувати кнопку живлення протягом 90 секунд поспіль.
Тепер відкрийте браузер і введіть IP-адресу маршрутизатора (за замовчуванням 192.168.1.1). Вам буде запропоновано ввести ім’я користувача та пароль. Типовими значеннями для Linksys WRT54GL є "адміністратор" та "адміністратор".
Клацніть на вкладку Адміністрування вгорі. Далі натисніть Оновлення мікропрограми, як показано нижче.
Натисніть кнопку Огляд і перейдіть до файлу DD-WRT Mini Generic .bin, який ми завантажили раніше. Роби ні ще завантажте файл .bin DD-WRT VPN. Натисніть кнопку Оновити у веб-інтерфейсі. Ваш маршрутизатор почне встановлювати DD-WRT Mini Generic, і це займе менше хвилини.
На жаль! Ваше перше побачення DD-WRT. Ще раз зробіть ще одне скидання 30/30/30, як це було зроблено вище. Потім натисніть вкладку Адміністрування вгорі. Вам буде запропоновано ввести ім’я користувача та пароль. Ім'я користувача та пароль за замовчуванням - "root" та "admin" відповідно. Увійшовши, клацніть підвкладку Firmware Upgrade (Обновлення мікропрограми) та натисніть Select File (Вибрати файл). Знайдіть файл DD-WRT VPN, який ми завантажили раніше, і натисніть Відкрити. Зараз почнеться завантаження версії VPN DD-WRT; запасіться терпінням, оскільки це може зайняти 2-3 хвилини.
Встановлення OpenVPN
Тепер перейдемо до OpenVPN Завантаження сторінки та завантажте інсталятор OpenVPN Windows. У цьому посібнику ми будемо використовувати другу останню версію OpenVPN під назвою 2.1.4. Остання версія (2.2.0) має a помилка в ній, що зробило б цей процес ще більш складним. Файл, який ми завантажуємо, встановить програму OpenVPN, яка дозволяє підключатись до вашої мережі VPN, тому не забудьте встановити цю програму на будь-яких інших комп’ютерах, які ви хочете виконувати як клієнти (оскільки ми побачимо, як це зробити пізніше). Збережіть файл .exe openvpn-2.1.4-install на свій комп’ютер.
Перейдіть до файлу OpenVPN, який ми щойно завантажили, і двічі клацніть на ньому. Це розпочне встановлення OpenVPN на вашому комп’ютері. Запустіть програму встановлення, перевіривши всі значення за замовчуванням. Під час інсталяції відкриється діалогове вікно із запитом встановити новий віртуальний мережевий адаптер під назвою TAP-Win32. Натисніть кнопку Встановити.
Створення сертифікатів та ключів
Тепер, коли на вашому комп’ютері встановлено OpenVPN, ми повинні розпочати створення сертифікатів та ключів для автентифікації пристроїв. Натисніть кнопку Пуск Windows і перейдіть до розділу Аксесуари. Ви побачите програму командного рядка. Клацніть правою кнопкою миші та натисніть Запустити від імені адміністратора.
У командному рядку введіть
cd c: \ Program Files (x86) \ OpenVPN \ easy-rsa
якщо у вас 64-розрядна Windows 7, як показано нижче. Тип
cd c: \ Program Files \ OpenVPN \ easy-rsa
якщо у вас 32-розрядна Windows 7. Потім натисніть Enter.
Тепер введіть init-config і натисніть Enter, щоб скопіювати два файли, які називаються vars.bat і openssl.cnf, у папку easy-rsa. Тримайте командний рядок, оскільки незабаром ми повернемось до нього.
Перейдіть до C: \ Program Files (x86) \ OpenVPN \ easy-rsa (або C: \ Program Files \ OpenVPN \ easy-rsa на 32-розрядної Windows 7) і клацніть правою кнопкою миші на файл, що називається Рік . Натисніть Редагувати, щоб відкрити його в Блокноті. Крім того, ми рекомендуємо відкрити цей файл за допомогою Notepad ++, оскільки він набагато краще форматує текст у файлі. Ви можете завантажити Notepad ++ з їх домашню сторінку .
Нижня частина файлу - це те, чим ми займаємось. Починаючи з рядка 31, змініть KEY_COUNTRY значення, KEY_PROVINCE значення тощо для вашої країни, провінції тощо. Наприклад, ми змінили нашу провінцію на “IL”, місто на “Чикаго”, org на “HowToGeek”, а електронну пошту надіслали на нашу власну електронну адресу. Крім того, якщо ви використовуєте 64-розрядну версію Windows 7, змініть ДОМА значення в рядку 6 до % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Не змінюйте це значення, якщо у вас 32-розрядна Windows 7. Ваш файл повинен виглядати подібним до нашого нижче (звичайно, з відповідними значеннями). Збережіть файл, перезаписавши його, коли закінчите редагувати.
Поверніться до командного рядка та введіть чия і натисніть Enter. Потім наберіть чисті-всі і натисніть Enter. Нарешті, введіть build-ca і натисніть Enter.
Після запуску build-ca вам буде запропоновано ввести назву вашої країни, штату, місцевості тощо. Оскільки ми вже налаштували ці параметри в нашому Рік файл, ми можемо пропустити ці параметри, натиснувши Enter, але! Перш ніж почати натискати клавішу Enter, зверніть увагу на параметр Common Name. Ви можете ввести будь-що в цьому параметрі (тобто своє ім’я). Просто переконайтеся, що ви ввійшли щось . Ця команда виведе два файли (сертифікат Root CA та ключ Root CA) у папці easy-rsa / keys.
Зараз ми збираємося створити ключ для клієнта. В тому ж типі командного рядка ключ побудови клієнт1 . Ви можете змінити “client1” на будь-що, що завгодно (наприклад, Acer-Laptop). Тільки не забудьте ввести те саме ім’я, що і Загальне ім’я, коли з’явиться відповідний запит. Пройдіть усі за замовчуванням, як останній крок, який ми зробили (крім загальної назви, звичайно). Однак наприкінці вас попросять підписати сертифікат та зробити зобов’язання. Введіть "y" для обох і натисніть Enter.
Також не хвилюйтеся, якщо ви отримали помилку "неможливо записати" випадковий стан "". Ми помітили, що ваші сертифікати все ще робляться без проблем. Ця команда виведе два файли (ключ Client1 та сертифікат Client1) у папці easy-rsa / keys. Якщо ви хочете створити інший ключ для іншого клієнта, повторіть попередній крок, але обов’язково змініть загальне ім’я.
Останній сертифікат, який ми генеруємо, - це ключ сервера. В тому ж командному рядку введіть build-key-server сервер . Ви можете замінити "сервер" в кінці команди будь-яким, що хочете (наприклад, HowToGeek-Server). Як завжди, обов’язково введіть те саме ім’я, що й Загальне ім’я, коли з’явиться відповідний запит. Натисніть Enter і пройдіть усі за замовчуванням, крім загальної назви. В кінці введіть "y", щоб підписати сертифікат і здійснити комісію. Ця команда видасть два файли (ключ сервера та сертифікат сервера) у папці easy-rsa / keys.
Тепер ми повинні сформувати параметри Діффі Хеллмана. Протокол Діффі Хеллмана «дозволяє двом користувачам обмінюватися секретним ключем на незахищеному носії без попередніх секретів». Детальніше про Діффі Хеллман ви можете прочитати на RSA веб-сайт .
В тому ж типі командного рядка build-dh . Ця команда виведе один файл (dh1024.pem) у папку easy-rsa / keys.
Створення файлів конфігурації для клієнта
Перш ніж редагувати будь-які конфігураційні файли, нам слід налаштувати динамічну службу DNS. Використовуйте цю послугу, якщо ваш провайдер періодично видає вам динамічну зовнішню IP-адресу. Якщо у вас статична зовнішня IP-адреса, перейдіть до наступного кроку.
Ми пропонуємо використовувати DynDNS.com , послуга, яка дозволяє вказувати ім’я хосту (тобто howtogeek.dyndns.org) на динамічну IP-адресу. Для OpenVPN важливо завжди знати загальнодоступну IP-адресу вашої мережі, а використовуючи DynDNS, OpenVPN завжди буде знати, як знайти вашу мережу, незалежно від вашої публічної IP-адреси. Зареєструйтесь безкоштовно ім'я хоста і вкажіть це на свою публіку IP-адреса .
Тепер повернемось до налаштування OpenVPN. У Провіднику Windows перейдіть до C: \ Program Files (x86) \ OpenVPN \ sample-config якщо у вас 64-розрядна Windows 7 або C: \ Program Files \ OpenVPN \ sample-config якщо у вас 32-розрядна версія Windows 7. У цій папці ви знайдете три зразки файлів конфігурації; ми стурбовані лише клієнт.ovpn файл.
Клацніть правою кнопкою миші клієнт.ovpn і відкрийте його за допомогою Notepad або Notepad ++. Ви помітите, що ваш файл буде виглядати так, як показано на малюнку нижче:
Однак ми хочемо свого клієнт.ovpn файл схожий на це малюнок нижче. Обов’язково змініть ім’я хосту DynDNS на ім’я хосту в рядку 4 (або змініть його на загальнодоступну IP-адресу, якщо у вас є статична). Залиште номер порту 1194, оскільки це стандартний порт OpenVPN. Також обов’язково змініть рядки 11 та 12, щоб відображати назву файлу сертифіката клієнта та файлу ключа. Збережіть це як новий файл .ovpn у папці OpenVPN / config.
Налаштування демон OpenVPN DD-WRT
Зараз основна ідея - скопіювати сертифікати та ключі сервера, які ми створили раніше, та вставити їх у меню DD-WRT OpenVPN Daemon. Знову відкрийте браузер і перейдіть до маршрутизатора. Тепер у вас на маршрутизаторі має бути встановлена версія DD-WRT VPN. Ви помітите нову підвкладку на вкладці Служби під назвою VPN. Клацніть перемикач Увімкнути в розділі OpenVPN Daemon.
По-перше, обов’язково змініть тип запуску на „Wan Up” замість „Система” за замовчуванням. Тепер нам знадобляться наші ключі та сертифікати сервера, які ми створили раніше. У Провіднику Windows перейдіть до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys на 64-розрядної Windows 7 (або C: \ Program Files \ OpenVPN \ easy-rsa \ клавіші на 32-розрядної Windows 7). Відкрийте кожен відповідний файл нижче ( ca.crt , server.crt , server.key , і dh1024.pem ) за допомогою Notepad або Notepad ++ та скопіюйте вміст. Вставте вміст у відповідні поля, як показано нижче.
Для поля OpenVPN Config нам потрібно буде створити власний файл. Ці налаштування будуть відрізнятися залежно від того, як налаштовано вашу локальну мережу. Відкрийте окреме вікно браузера та введіть IP-адресу маршрутизатора. Клацніть на вкладку Налаштування та зверніть увагу на те, яку IP-адресу ви налаштували в розділі IP маршрутизатора> Локальна IP-адреса. За замовчуванням, що ми використовуємо в цьому прикладі, є 192.168.1.1. Вставте цю підмережу відразу після “route” у перший рядок, щоб відобразити налаштування вашої локальної мережі. Скопіюйте це у вікно OpenVPN Config і натисніть Зберегти.
натисніть “маршрут 192.168.1.0 255.255.255.0”
сервер 10.8.0.0 255.255.255.0dev tun0
прото tcp
10 120
тобто /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem# Використовуйте crl-verify, лише якщо ви використовуєте список відкликань, інакше залиште його прокоментованим
# crl-verify /tmp/openvpn/ca.crlПараметр # управління дозволяє веб-сторінці стану OpenVPN DD-WRT отримувати доступ до порту управління сервера
# порт повинен мати 5001, щоб сценарії, вбудовані в прошивку, працювали
5001
Тепер ми повинні налаштувати брандмауер, щоб дозволити клієнтам підключатися до нашого сервера OpenVPN через порт 1194. Перейдіть на вкладку Адміністрування та натисніть підвкладку Команди. У текстове поле Команди вставте наступне:
iptables -I INPUT 1 -p udp –dport 1194 -j ACCEPT
iptables -I FORWARD 1 –джерело 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ПРИЙМАЮТЬ
Не забудьте змінити IP-адресу локальної мережі у другому рядку, якщо він відрізняється від типового. Потім натисніть кнопку Зберегти брандмауер нижче.
Нарешті, обов’язково перевірте свої налаштування часу на вкладці Налаштування, інакше демон OpenVPN заборонить всім клієнтам. Ми пропонуємо піти TimeAndDate.com і шукати своє місто за поточним часом. Цей веб-сайт надасть вам всю інформацію, яку потрібно заповнити в розділі "Налаштування часу", як це було зроблено нижче. Також перегляньте проект пулу NTP веб-сайт для використання загальнодоступних серверів NTP.
Налаштування клієнта OpenVPN
У цьому прикладі ми будемо використовувати ноутбук Windows 7 як наш клієнт в окремій мережі. Перше, що ви захочете зробити, це встановити OpenVPN на своєму клієнті, як це було зроблено вище на перших кроках у розділі Налаштування OpenVPN. Потім перейдіть до C: \ Program Files \ OpenVPN \ config саме там ми будемо вставляти наші файли.
Тепер ми маємо повернутися на свій оригінальний комп’ютер і зібрати загалом чотири файли для копіювання на наш клієнтський ноутбук. Перейдіть до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys ще раз і скопіюйте ca.crt , client1.crt , і client1.key . Вставте ці файли у файли клієнта конфігурація папку.
Нарешті, нам потрібно скопіювати ще один файл. Перейдіть до C: \ Program Files (x86) \ OpenVPN \ config і скопіюйте новий файл client.ovpn, який ми створили раніше. Вставте цей файл у файл клієнта конфігурація папку також.
Тестування клієнта OpenVPN
На клієнтському ноутбуці натисніть кнопку Пуск Windows і перейдіть до Усі програми> OpenVPN. Клацніть правою кнопкою миші файл графічного інтерфейсу OpenVPN та натисніть Запустити від імені адміністратора. Зауважте, що ви завжди повинні запускати OpenVPN як адміністратор, щоб він працював належним чином. Щоб остаточно встановити файл для роботи завжди як адміністратор, клацніть файл правою кнопкою миші та натисніть Властивості. На вкладці Сумісність встановіть прапорець Запустити цю програму від імені адміністратора.
Піктограма графічного інтерфейсу OpenVPN з’явиться поруч із годинником на панелі завдань. Клацніть правою кнопкою миші на піктограмі та натисніть Connect. Оскільки у нас є лише один файл .ovpn конфігурація папці, OpenVPN за замовчуванням підключиться до цієї мережі.
З'явиться діалогове вікно, що відображає журнал з'єднань.
Після підключення до VPN піктограма OpenVPN на панелі завдань стане зеленою і відобразить вашу віртуальну IP-адресу.
І це все! Тепер у вас є захищене з’єднання між вашим сервером та мережею клієнта за допомогою OpenVPN та DD-WRT. Щоб додатково перевірити підключення, спробуйте відкрити браузер на клієнтському ноутбуці та перейти до маршрутизатора DD-WRT у мережі сервера.
