3Aug
Před několika týdny jsme pokryli instalaci firmwaru Tomato, routeru s otevřeným zdrojovým kódem, na váš Linksys WRT54GL.Dnes budeme pokračovat, jak nainstalovat OpenVPN vedle Tomato a nastavit jej tak, aby získal přístup k vaší domácí síti odkudkoliv na světě!
Co je OpenVPN?
Virtuální privátní síť( VPN) je důvěryhodné a bezpečné spojení mezi místní sítí( LAN) a jinou. Přemýšlejte o routeru jako o středním člověku mezi sítěmi, ke kterým se připojujete. Jak váš počítač, tak i server OpenVPN( v tomto případě váš směrovač) "potřást ruce" pomocí certifikátů, které se navzájem ověřují.Po ověření se klient i server dohodnou na vzájemné důvěře a klientovi pak bude umožněn přístup na síti serveru.
Typicky VPN software a hardware stojí spoustu peněz na realizaci. Pokud jste to už nepomohli, OpenVPN je řešení VPN s otevřeným zdrojovým kódem, které je( rolovací buben) zdarma. Tomato spolu s OpenVPN je ideálním řešením pro ty, kteří chtějí zajistit spojení mezi dvěma sítěmi, aniž by museli otevřít svou peněženku. Samozřejmě, OpenVPN nebude fungovat přímo z krabice. Trvá trochu vyladění a konfigurace, aby to bylo správné.Nebojte se však;my jsme tady, abyste tento proces usnadnili, tak se uchopte teplým šálkem kávy a začneme.
Další informace o OpenVPN naleznete na oficiálních stránkách What Is OpenVPN?strana.
Předpoklady
Tato příručka předpokládá, že v počítači běží systém Windows 7 a že používáte účet správce. Pokud jste uživatel Mac nebo Linux, tato příručka vám poskytne představu o tom, jak to funguje, avšak možná budete muset udělat trochu více výzkumu, abyste mohli věci dokonalé.Také budeme instalovat speciální verzi Tomato s názvem TomatoUSB VPN na routeru Linksys WRT54GL verze 1.1.Chcete-li zjistit, zda je váš směrovač kompatibilní s TomatoUSB, podívejte se na stránku Typy sestav.
Na začátku této příručky se předpokládá, že máte buď:
- původní firmware Linksys nainstalovaný na směrovači nebo
- firmware Tomatu, který jsme popsali v našem posledním článku
Vezměte na vědomí text nad některými kroky, které uvádějí, zda je to pro firmware Linksys nebo Tomato firmware.
Instalace TomatoUSB
V předchozím článku jsme diskutovali, jak nainstalovat původní firmware Tomato v1.28 z webových stránek společnosti PolarCloud. Bohužel tato verze Tomato nepřišla s podporou OpenVPN, takže nainstalujeme novější verzi nazvanou TomatoUSB VPN .
První věc, kterou budete chtít udělat, je přejít na domovskou stránku TomatoUSB a kliknout na odkaz Download Tomato USB.
Stáhnout VPN pod jádrem 2.4( stabilní) sekce. Uložte soubor. rar do počítače.
Potřebujete program pro extrahování souboru. rar. Navrhujeme používat WinRAR, protože je to jednoduché a snadné použití.Můžete si stáhnout vlastní kopii bezplatné verze na svých webových stránkách. Po instalaci programu WinRAR klikněte pravým tlačítkem na stažený soubor a klikněte na Extrahovat zde. Pak byste měli vidět dva soubory nazvané CHANGELOG a tomato-NDUSB-1.28.8754-vpn3.6.trx.
Pokud používáte firmware Linksys. ..
Otevřete prohlížeč a zadejte adresu IP směrovače( výchozí je 192.168.1.1).Budete vyzváni k zadání uživatelského jména a hesla. Výchozí hodnoty pro Linksys WRT54GL jsou "admin" a "admin".
Klepněte na kartu Správa v horní části. Poté klikněte na možnost Aktualizace firmwaru, jak je vidět níže.
Klepněte na tlačítko Procházet a přejděte k extrahovaným souborům TomatoUSB VPN.Vyberte soubor rajčete-NDUSB-1.28.8754-vpn3.6.trx a klepněte na tlačítko Upgrade ve webovém rozhraní.Váš směrovač začne instalovat TomatoUSB VPN a trvá méně než minutu. Po přibližně jedné minutě otevřete příkazový řádek a zadejte ipconfig -release a určete novou IP adresu routeru. Pak zadejte ipconfig -renew .Adresa IP napravo od výchozí brány. .. je adresa vašeho směrovače.
Poznámka : Po instalaci rajčete přejděte na Administration & gt;Konfigurace a vyberte možnost "Vymazat všechny NVRAM. ..".
Pokud používáte firmware Tomato. ..
Otevřete prohlížeč a zadejte adresu IP směrovače. Předpokládáme, že pokud jste nainstalovali Tomato, znáte IP adresu routeru. Pokud si nejste jisti, pak je pravděpodobně nastaven na výchozí hodnotu 192.168.1.1.Poté zadejte uživatelské jméno a heslo.
Ačkoli to není nutné, možná budete chtít zálohovat aktuální konfiguraci Tomato před upgradem na TomatoUSB VPN, jen pro případ. Chcete-li konfiguraci uložit, přejděte na položku Správa & gt;Konfigurace a klepněte na tlačítko Zálohování.Zobrazí se výzva k uložení souboru. cfg do počítače.
Nyní je čas na upgrade Tomato na TomatoUSB VPN.V levém sloupci klikněte na Upgrade a klikněte na tlačítko Vybrat soubor. Přejděte do souborů, které jsme dříve vyextrahovali, a vyberte soubor rajčata-NDUSB-1.28.8754-vpn3.6.trx .Pak klikněte na tlačítko Upgrade.
Budete vyzváni k potvrzení aktualizace;stačí kliknout na tlačítko OK.
Váš směrovač začne nahrávat nový firmware a restartuje se během jedné minuty.
Po restartování může mít stejnou nebo jinou adresu IP.V našem případě byla konfigurace routeru stále stejná, proto byla naše IP adresa stále stejná.Chcete-li určit novou IP adresu routeru, otevřete příkazový řádek a zadejte příkaz ipconfig -release .Potom zadejte ipconfig -renew .Adresa IP napravo od výchozí brány. .. je adresa vašeho směrovače. Je-li konfigurace nastavena zpět na výchozí hodnoty, přejděte zpět na stránku Konfigurace( Administration & gt; Configuration) a klikněte na tlačítko Vybrat soubor v části Obnovit konfiguraci. Vyhledejte soubor. cfg, který jste dříve uložili do počítače, a klepněte na tlačítko Obnovit.
Konfigurace OpenVPN
Ať už máte firmware firmy Linksys nebo firmware Tomato, měli byste nyní nainstalovat novou router TomatoUSB VPN.V levém sloupci naleznete několik nových nabídek, včetně použití internetu, USB a NAS a VPN tunelování.Pro tuto příručku se zabýváme pouze nabídkou VPN tunelování, takže pokračujte a klikněte na VPN tunelování.Udržujte toto okno prohlížeče otevřené;Vrátíme se k němu brzy.
Nyní se podívejme na stránku Stažení OpenVPN a stáhněte si OpenVPN Windows Installer. V této příručce použijeme druhou nejnovější verzi OpenVPN nazvanou 2.1.4.Nejnovější verze( 2.2.0) obsahuje chybu, která by tento proces ještě komplikovala. Soubor, který stahujeme, nainstaluje program OpenVPN, který vám umožní připojit se k síti VPN. Nezapomeňte tedy nainstalovat tento program do všech ostatních počítačů, které chcete chovat jako klienty( jak uvidíme, jak to udělatpozději).Uložte soubor. exe openvpn-2.1.4-install do počítače.
Přejděte do souboru OpenVPN, který jsme právě stáhli, a dvakrát klikněte na něj. Tím začne instalace aplikace OpenVPN v počítači. Projděte instalačním programem se všemi výchozím nastavením. Během instalace se objeví dialogové okno s žádostí o instalaci nového virtuálního síťového adaptéru s názvem TAP-Win32.Klikněte na tlačítko Instalovat.
Nyní, když máte v počítači nainstalovaný OpenVPN, musíme začít vytvářet certifikáty a klíče pro ověřování zařízení.
Vytvoření certifikátů a klíče
Klepněte na tlačítko Start systému Windows a přejděte pod položku Příslušenství.Zobrazí se program Příkazový řádek. Klikněte pravým tlačítkem na něj a klikněte na možnost Spustit jako správce.
V příkazovém řádku zadejte cd c: \ Program Files( x86) \ OpenVPN \ easy-rsa , pokud používáte 64bitový systém Windows 7, jak je vidět níže. Zadejte cd c: \ Program Files \ OpenVPN \ easy-rsa , pokud používáte 32bitový systém Windows 7. Poté stiskněte klávesu Enter.
Nyní zadejte init-config a stiskněte Enter pro zkopírování dvou souborů s názvem vars.bat a openssl.cnf do složky easy-rsa. Pokračujte v příkazovém řádku, protože se k ní brzy vrátíme.
Přejděte na C: \ Program Files( x86) \ OpenVPN \ easy-rsa ( nebo na 32bitovém systému Windows 7) a klepněte pravým tlačítkem myši na soubor nazvaný vars.bat .Klepnutím na tlačítko Upravit ji otevřete v programu Poznámkový blok. Případně doporučujeme otevřít tento soubor pomocí programu Notepad ++, protože formátuje text v souboru mnohem lépe. Poznámkový blok ++ si můžete stáhnout z domovské stránky.
Spodní část souboru je to, co nás zajímá.Počínaje řádkem 31 změňte hodnotu KEY_COUNTRY , hodnotu KEY_PROVINCE apod. Do vaší země, provincie atd. Například jsme změnili naši provincii na "IL", město na "Chicago", org na "HowToGeek", a e-mailem na vlastní e-mailovou adresu. Také pokud používáte systém Windows 7 64-bit, změňte hodnotu HOME v řádku 6 na % ProgramFiles( x86)% \ OpenVPN \ easy-rsa .Tuto hodnotu neměňte, pokud používáte 32bitový systém Windows 7. Soubor by měl vypadat podobně jako naše níže( samozřejmě s příslušnými hodnotami).Uložte soubor tak, že ho po dokončení úprav přepsáte.
Vraťte se do příkazového řádku a zadejte vars a stiskněte klávesu Enter. Potom zadejte clean-all a stiskněte klávesu Enter. Nakonec zadejte build-ca a stiskněte Enter.
Po provedení příkazu build-ca budete vyzváni k zadání názvu, státu, lokality atd. Protože jsme již nastavili tyto parametry v našem souboru vars.bat , můžeme tyto možnosti přeskočittím, že udeří Enter, ale! Předtím, než začnete zablokovat klávesu Enter, dejte si pozor na parametr Common Name. V tomto parametru můžete zadat cokoli( tj. Vaše jméno).Jen se ujistěte, že zadáte něco .Tento příkaz vyvede dva soubory( certifikát Root CA a klíč Root CA) do složky easy-rsa / keys.
Nyní budeme stavět klíč pro klienta. Ve stejném příkazovém řádku zadejte klient 1 .Můžete změnit "klient1" na libovolné, jaké chcete( například Acer-Laptop).Nezapomeňte na výzvu zadat stejný název jako běžný název. Například při spuštění příkazu build-key Acer-Laptop byste měl být obecný název "Acer-Laptop".Projděte všechny výchozí hodnoty jako poslední krok, který jsme udělali( kromě běžného jména, samozřejmě).Na konci však budete vyzváni, abyste podepsali certifikát a zavázali se. Zadejte "y" pro obě a klepněte na tlačítko Enter.
Nebojte se, pokud jste obdrželi chybu "nelze zapsat náhodný stav".Všiml jsem si, že vaše certifikáty jsou stále bez problémů.Tento příkaz vyvede dva soubory( klíč Client1 a certifikát Client1) do složky easy-rsa / keys. Pokud chcete vytvořit další klíč pro jiného klienta, zopakujte předchozí krok, nezapomeňte ale změnit běžný název.
Poslední certifikát, který budeme generovat, je klíč serveru. Ve stejném příkazovém řádku zadejte server .Můžete nahradit "server" na konci příkazu cokoliv, co chcete( např. HowToGeek-Server).Jako vždy, když budete vyzváni, zadejte stejný název jako běžný název. Například při spuštění příkazu build-key-server HowToGeek-Server by měl být obvyklým názvem "HowToGeek-Server".Stiskněte klávesu Enter a spusťte všechny výchozí hodnoty s výjimkou běžného názvu. Na konci zadejte certifikát a potvrďte zadání "y".Tento příkaz vygeneruje dva soubory( serverový klíč a certifikát serveru) do složky easy-rsa / keys.
Nyní musíme generovat parametry Diffie Hellman. Protokol Diffie Hellman "umožňuje dvěma uživatelům vyměnit si tajný klíč přes nejisté médium bez předchozího tajemství".Více o společnosti Diffie Hellman naleznete na webových stránkách RSA.
Ve stejném příkazovém řádku zadejte příkaz build-dh .Tento příkaz vyvede jeden soubor( dh1024.pem) do složky easy-rsa / keys.
Vytvoření konfiguračních souborů pro klienta
Než upravíme konfigurační soubory, měli bychom nastavit dynamickou službu DNS.Tuto službu využijte, pokud vám váš ISP vydává každou takovou dynamickou externí adresu IP.Pokud máte statickou externí adresu IP, přeskočte na další krok.
Doporučujeme používat DynDNS.com, službu, která vám umožní umístit název hostitele( tj. Howtogeek.dyndns.org) na dynamickou adresu IP.Je důležité, aby aplikace OpenVPN vždy věděla o vaší veřejné IP adrese sítě a pomocí aplikace DynDNS bude OpenVPN vždy vědět, jak vyhledat síť, bez ohledu na to, jaká je vaše veřejná IP adresa. Zaregistrujte se pro název hostitele a přejděte na svou veřejnou adresu IP.Jakmile se zaregistrujete na tuto službu, nezapomeňte nastavit službu automatické aktualizace v Tomato pod Basic & gt;DDNS.
Nyní zpět na konfiguraci OpenVPN.V Průzkumníkovi Windows přejděte na C: \ Program Files( x86) \ OpenVPN \ sample-config , pokud používáte 64bitový systém Windows 7 nebo C: \ Program Files \ OpenVPN \ sample-config běží 32bitový systém Windows 7. V této složce naleznete tři ukázkové konfigurační soubory;jsme se zabývat pouze client.ovpn souboru.
Klepněte pravým tlačítkem na client.ovpn a otevřete jej pomocí programu Poznámkový blok nebo Poznámkový blok ++.Všimněte si, že váš soubor bude vypadat jako obrázek níže:
Nicméně chceme, aby náš client.ovpn soubor vypadal podobně jako tento obrázek níže. Nezapomeňte změnit název hostitele DynDNS na název hostitele v řádku 4( nebo jej změnit na veřejnou adresu IP, pokud máte statickou adresu).Nechte číslo portu 1194, protože je to standardní port OpenVPN.Také nezapomeňte změnit řádky 11 a 12 tak, aby odrážely název souboru certifikátu klienta a souboru klíčů.Uložit jako soubor nového souboru. ovpn ve složce OpenVPN / config.
Konfigurace Tomato VPN Tunneling
Základní myšlenkou je nyní zkopírovat dříve vytvořené certifikáty a klíče serveru a vložit je do nabídky serverů Tomato VPN.Poté zkontrolujeme několik nastavení v Tomato, vyzkoušíme připojení VPN a my si budeme moci umyt ruce a zavolat to den!
Otevřete prohlížeč a přejděte k routeru. Klikněte na nabídku VPN Tunneling v levém postranním panelu. Ujistěte se, že jsou také vybrány Server1 a Basic. Nastavte své nastavení přesně tak, jak jsou uvedeny níže. Klikněte na tlačítko Uložit. Aktualizace
: Výchozí režim je TUN nebo tunel, ale pravděpodobně jej chcete změnit na TAP, který místo toho síť překlenuje. Režim tunelu přenese externí klienty do jiné sítě než do interní sítě.Takže určitě změňte typ rozhraní na místo TAP.
Dále klepněte na kartu Upřesnit vedle položky Základní.Stejně jako dříve, ujistěte se, že vaše nastavení jsou přesně taková, jak jsou uvedeny níže. Klikněte na tlačítko Uložit.
Posledním krokem je vložení klíčů a certifikátů, které jsme původně vytvořili. Otevřete kartu Klíče vedle možnosti Pokročilé.V Průzkumníkovi Windows přejděte na C: \ Program Files( x86) \ OpenVPN \ easy-rsa \ klíče na 64bitové Windows 7( nebo C: \ Program Files \ OpenVPN \ easy-rsa \bit Windows 7).Otevřete každý odpovídající soubor níže( ca.crt , server.crt , server.key a dh1024.pem ) pomocí programu Poznámkový blok nebo Poznámkový blok ++ a zkopírujte obsah. Vložte obsah do odpovídajících polí, jak je vidět níže. Měl bych poznamenat, že stačí jen vložit všechno níže --BEGIN CERTIFICATE - na server.crt .OpenVPN bude fungovat správně, pokud vložíte celý soubor, ale je to "čistější" pouze vložením skutečných informací o certifikátu. Klepněte na tlačítko Uložit a poté klepněte na tlačítko Spustit.
Než budeme testovat připojení VPN, je ještě jedna věc, kterou musíme zkontrolovat uvnitř Tomatu. V levém sloupci klepněte na tlačítko Základní a potom na položku Čas. Ujistěte se, že je správný čas směrovače a časové pásmo zobrazuje aktuální časové pásmo. Nastavte časový server NTP do vaší země.
Nastavení klienta OpenVPN
V tomto příkladu budeme jako náš klient používat notebook Windows 7.První věc, kterou budete chtít udělat, je nainstalovat OpenVPN na svého klienta, jako jsme učinili výše v prvních krocích v části Konfigurace OpenVPN.Poté přejděte do adresáře C: \ Program Files \ OpenVPN \ config , kde si vložíme soubory.
Nyní se musíme vrátit zpět do původního počítače a shromáždit celkem čtyři soubory, které se mají kopírovat do našeho klientského notebooku. Přejděte znovu do C: \ Program Files( x86) \ OpenVPN \ easy-rsa \ znovu a zkopírujte ca.crt , klient1.crt a client1.key .Vložte tyto soubory do složky klienta.
Konečně musíme zkopírovat ještě jeden soubor. Přejděte do složky C: \ Program Files( x86) \ OpenVPN \ config a zkopírujte nový soubor client.ovpn, který jsme vytvořili dříve. Vložte tento soubor také do složky klienta.
Testování klienta OpenVPN
Na klientském přenosném počítači klepněte na tlačítko Start systému Windows a přejděte na položku Všechny programy & gt;OpenVPN.Klikněte pravým tlačítkem na soubor OpenVPN GUI a klikněte na Spustit jako správce. Všimněte si, že musíte vždy spustit OpenVPN jako správce, aby fungoval správně.Chcete-li soubor trvale nastavit tak, aby byl vždy spuštěn jako správce, klepněte pravým tlačítkem myši na soubor a klepněte na příkaz Vlastnosti. Na kartě Kompatibilita zaškrtněte možnost Spustit tento program jako správce.
Ikona OpenVPN GUI se zobrazí vedle hodin na hlavním panelu. Klikněte pravým tlačítkem myši na ikonu a klikněte na Připojit. Vzhledem k tomu, že máme pouze jeden soubor. ovpn v naší složce config , bude se OpenVPN ve výchozím nastavení připojovat k této síti.
Zobrazí se dialogové okno s protokolem připojení.
Po připojení k síti VPN bude ikona OpenVPN na hlavním panelu zelená a zobrazí vaši virtuální adresu IP.
A to je všechno! Nyní máte zabezpečené spojení mezi serverem a klientskou sítí pomocí OpenVPN a TomatoUSB.Chcete-li provést další otestování připojení, zkuste otevřít prohlížeč v klientském přenosném počítači a přejděte k routeru Tomato v síti serveru.
Obrázek Ewan