Sprievodca: nastavenie openvpn na smerovačoch

Server OpenVPN na týchto smerovačoch je funkciou, ktorá sa začala vynikajúcim modelom firmvéru RMerlin (založeným na implementácii OpenVPN uskutočnenej na relatívne populárnom firmvéri smerovača Tomato), našťastie od verzie 374.2050 oficiálneho firmvéru možnosť je štandardne zahrnutá a je veľmi jednoduchá na konfiguráciu.

To neznamená, že nemôžeme nakonfigurovať všetky podrobnosti ako v minulosti, ale niekoľko zdĺhavých úloh je automatizovaných, napríklad generovanie verejných a súkromných kľúčov, ktoré sa predtým museli vykonávať manuálne, čo umožňuje autentifikáciu certifikátov bez potreby príliš veľa času alebo znalostí používateľa.

Prečo používať OpenVPN namiesto obvyklého servera PPTP?

Odpoveď je jednoduchá, je to oveľa bezpečnejšia metóda (pozri) ako server PPTP, ktorý sa kvôli svojej jednoduchosti bežne používa v domácich prostrediach a smerovačoch, je relatívne štandardný, nie je podstatne drahší na zdroje, je oveľa flexibilnejší a hoci Niečo únavné nastaviť je veľmi pohodlné, akonáhle poznáte prostredie.

V skutočnosti je jednoduché nakonfigurovať server PPTP v počítači so systémom Windows bez toho, aby bol nainštalovaný akýkoľvek ďalší softvér, a to podľa sprievodcov, ako je ten, ktorý je k dispozícii na stránke. Ale oveľa lepšie je nakonfigurovať ho na routeri, čo okrem toho, že nám ukladá požiadavku na presmerovanie portov a vytváranie pravidiel brány firewall, vždy akceptuje pripojenie. A ak to môže byť bezpečnejšie ako PPTP, to je metóda, ktorú vysvetlíme pomocou OpenVPN, oveľa lepšia.

Poznámka: Server OpenVPN môžete nakonfigurovať aj na bežnom počítači, ak nemáte router s týmto firmvérom alebo kompatibilný s DD-WRT / OpenWRT. Pre používateľov, ktorí sa zaujímajú o tento bod, odporúčame postupovať podľa príslušného článku o wiki Debian, v ktorom sú podrobne uvedené kroky, ktorými sa treba riadiť

Príručka konfigurácie krok za krokom

Toto nie je zamýšľané ako vyčerpávajúci sprievodca konfiguráciou, ale ako prvý kontakt so spustením základného servera, ktorý môže byť neskôr nakonfigurovaný tak, aby vyhovoval každému používateľovi.

Nasledujú tieto kroky:

1. K smerovaču sa pripájame z ľubovoľného prehliadača a do adresného riadku zadávame IP (predvolene 192.168.1.1, hoci v tejto príručke to bude 10.20.30.1), pričom sa identifikujeme pomocou používateľského mena a hesla (predvolene admin / admin na smerovačoch Asus, ale ak sa riadime týmto sprievodcom, mali by si nejaký čas zmeniť) Prejdeme do ponuky VPN v rámci rozšírených možností a na karte OpenVPN vyberte prvú inštanciu (Server 1), presuňte prepínač do polohy ON. Nie je to potrebné, ale odporúča sa pridať používateľov do našej VPN, v tomto prípade sme vybrali testy / testy ako používateľ / heslo, samozrejme, odporúčame vám použiť robustnejšie heslo na ich použitie v reálnom prostredí. Kliknutím na tlačidlo „+“ pridáme používateľa a zmeny už môžeme vykonať pomocou tlačidla Použiť umiestneného v dolnej časti stránky.

   

   VOLITEĽNÉ Pri aktivácii servera vidíme, že sa objavila rozbaľovacia ponuka, v ktorej môžeme zvoliť Rozšírenú konfiguráciu a zmeniť potrebné parametre. V našom prípade použijeme predvolenú konfiguráciu. Ak chceme vynútiť používanie používateľského mena a hesla, je to miesto, kde to môžete urobiť

   

   Pre používateľov, ktorí chcú úplnú manuálnu konfiguráciu, je možné vygenerovať vlastné certifikáty / kľúče pre používateľov, ktorých chceme používať, pomocou protokolu easy-rsa, ako je to opísané v časti. V tomto prípade je najjednoduchšie vygenerovať kľúče z počítača a nakonfigurovať tri potrebné hodnoty kliknutím na nasledujúci odkaz (kľúče sú zlým prekladom „kľúčov“, kľúčov vo firmvéri):

   

   Tento typ konfigurácie je dosť pokročilý, preto sa odporúča, aby používatelia, ktorí sa do neho chcú pustiť, najskôr nakonfigurovali a otestovali server pomocou generovaných kľúčov. Nie je dobrým zvykom, aby nováčik nakonfiguroval server týmto spôsobom bez predchádzajúcich skúseností.

1. Server už funguje. Teraz potrebujeme preniesť certifikáty klientom na bezpečné pripojenie. Môžete vidieť podrobné príklady súborov server.conf a client.conf (resp. Client.ovpn a server.ovpn v systéme Windows) s komentármi a dokumentáciou, ale v našom prípade je oveľa jednoduchšie použiť tlačidlo Export.

   Súbor, ktorý získame, bude vyzerať takto (kľúče boli odstránené kvôli bezpečnosti):

   

   Parameter, ktorý som označil, je adresa nášho servera, ktorý pravdepodobne nebol správne nakonfigurovaný v niektorých prípadoch, keď DDNS „nepozná“ adresu, na ktorú ukazuje (ako v mojom prípade používam Dnsomatic na adresu, ktorá vždy poukazujem na moju dynamickú IP).

   Aj keď je takáto správna konfigurácia takáto, s pevnou adresou nie je problém, ak nemáte nakonfigurovanú DDNS, pre testovanie môžete toto pole vyplniť pomocou WAN IP nášho smerovača (externá IP, to znamená tá, ktorá môže byť pozri na adrese http://cualesmiip.com alebo http://echoip.com), s nevýhodou, že vždy, keď sa zmení naša adresa IP, musíme dokument upraviť tak, aby odrážal tento dokument. Pretože sa jedná o pripojenie k smerovaču, samozrejme nemusíme presmerovať porty, musíme iba nakonfigurovať klienta. Stiahnite si najnovšiu verziu z jej webovej stránky https://openvpn.net/index.php/download/community-downloads.html, v našom prípade to bude Windows a 64-bit. Inštalácia je jednoduchá a nebudeme ju podrobne popisovať. Pre všeobecné použitie nie je potrebné meniť žiadne z predvolených možností.

   

   Teraz, v závislosti od nainštalovanej verzie, musíme skopírovať súbor, ktorý sme predtým exportovali (nazývali sme ho client1.ovpn) do konfiguračného adresára klienta. V systéme Windows bude týmto adresárom Program Files / OpenVPN / config / (Program Files (x86) / OpenVPN / config / v prípade 32-bitovej verzie). Zostáva iba spustiť klienta ako správcu. Vyžaduje nás okrem používateľských certifikátov, ktoré sú už v konfiguračnom súbore, aj v prípade, že sme ho nakonfigurovali, používateľské meno a heslo. Inak vstúpime priamo. Ak by všetko šlo dobre, v protokole sa zobrazí záznam podobný tomuto (záznam nasnímaný v scenári bez overenia hesla). Ikona na zelenej obrazovke na paneli úloh potvrdzuje, že sme pripojení, a bude nás informovať o virtuálnej IP pridelenej počítaču, z ktorého sme spustili klienta v sieti VPN.

   

Od tohto momentu sa bude zariadenie správať, akoby bolo fyzicky pripojené k lokálnej sieti spravovanej smerovačom, v ktorom sme nakonfigurovali server OpenVPN.

Môžeme monitorovať všetky pripojenia tohto typu z nášho smerovača. Napríklad pri konfigurácii, ako sme opísali, a pri pripájaní sa z prenosného počítača, sa niečo podobné zobrazí v časti VPN -> Stav VPN

Poznámka: Niekedy je problematické pripojiť sa k sieti VPN z našej vlastnej siete (logicky, pretože pokus o pripojenie lokálnej siete k sebe prostredníctvom siete VPN je dosť umelé), ak má niekto problémy s prevádzkou siete VPN. Po vykonaní všetkých krokov sa dôrazne odporúča vyskúšať dátové pripojenie mobilného telefónu (napríklad prostredníctvom tetheringu), s hrotom USB 3G / 4G alebo priamo z iného miesta.

Dúfame, že táto príručka je pre vás užitočná na zvýšenie bezpečnosti vašich pripojení k domácej sieti zo zahraničia. Odporúčame vám, aby ste v komentároch zanechali akékoľvek otázky alebo komentáre.