6Aug
Již jsme se zabývali instalací Tomato na routeru a jak se připojit k domácí síti pomocí OpenVPN a Tomato. Nyní budeme pokrývat instalaci OpenVPN na vašem routeru s podporou DD-WRT pro snadný přístup do vaší domácí sítě odkudkoliv na světě!
Co je OpenVPN?
Virtuální privátní síť( VPN) je důvěryhodné a bezpečné spojení mezi místní sítí( LAN) a jinou. Přemýšlejte o routeru jako o středním člověku mezi sítěmi, ke kterým se připojujete. Jak váš počítač, tak server OpenVPN( v tomto případě váš směrovač) "potřást ruce" pomocí certifikátů, které se navzájem ověřují.Po ověření se klient i server dohodnou na vzájemné důvěře a klientovi pak bude umožněn přístup na síti serveru.
Software a hardware VPN typicky stojí spoustu peněz na realizaci. Pokud jste to už nepomohli, OpenVPN je řešení VPN s otevřeným zdrojovým kódem, které je( rolovací buben) zdarma. DD-WRT, spolu s OpenVPN, je dokonalým řešením pro ty, kteří chtějí zabezpečené spojení mezi dvěma sítěmi, aniž by museli otevřít svou peněženku. Samozřejmě, OpenVPN nebude fungovat přímo z krabice. Trvá trochu vyladění a konfigurace, aby to bylo správné.Nebojte se však;my jsme tady, abyste tento proces usnadnili, tak se uchopte teplým šálkem kávy a začneme.
Další informace o OpenVPN naleznete na oficiálním webu What Is OpenVPN?strana.
Předpoklady
Tato příručka předpokládá, že v počítači běží systém Windows 7 a že používáte účet správce. Pokud jste uživatelem systému Mac nebo Linux, tato příručka vám poskytne představu o tom, jak to funguje, avšak možná budete muset udělat trochu více výzkumu o sobě, abyste mohli věci dokonalé.
Tato příručka také předpokládá, že vlastníte Linksys WRT54GL a máte obecnou znalost technologie VPN.Mělo by sloužit jako základ pro instalaci DD-WRT, ale ujistěte se, že jste si prohlédli oficiální instalační příručku DD-WRT.
Instalace modulu DD-WRT
Tým odpovědný za DD-WRT provedl skvělou práci, která usnadňuje koncovým uživatelům zjistit kompatibilitu routeru se stránkou databáze routerů.Začněte zadáním modelu směrovače( v našem případě WRT54GL ) do textového pole a okamžitě se zobrazí výsledky vyhledávání.Klikněte na router, jakmile je nalezen.
Budete přeneseni na novou stránku s informacemi o vašem modelu - včetně hardwarových specifikací a různých sestav DD-WRT.Stáhněte si jak sestavu Mini-Generic, tak VPN generické sestavení DD-WRT( dd-wrt.v24_mini_generic.bin a dd-wrt.v24_vpn_generic.bin ).Uložit tyto soubory do počítače.
Je vhodné navštívit DD-WRT hardwarově specifickou stránku pro podrobné informace o routeru a DD-WRT.Tato stránka vysvětluje přesně to, co musíte udělat před a po instalaci DD-WRT.Například musíte nainstalovat mini verzi DD-WRT před instalací DD-WRT VPN při aktualizaci firmware Linksys na WRT54GL.
Ujistěte se také, že před instalací DD-WRT proveďte tvrdý reset( AKA a 30 /30/ 30).Stiskněte resetovací tlačítko na zadní straně směrovače po dobu 30 sekund. Poté, když stále držíte resetovací tlačítko, odpojte napájecí kabel a nechte ho odpojen po dobu 30 sekund. Nakonec připojte napájecí kabel zpět, zatímco stále držíte resetovací tlačítko dalších 30 sekund. Měli byste držet tlačítko napájení po dobu 90 sekund rovně.
Nyní otevřete prohlížeč a zadejte adresu IP směrovače( výchozí je 192.168.1.1).Budete vyzváni k zadání uživatelského jména a hesla. Výchozí hodnoty pro Linksys WRT54GL jsou "admin" a "admin".
Klepněte na kartu Správa nahoře. Poté klikněte na možnost Aktualizace firmwaru, jak je vidět níže.
Klikněte na tlačítko Procházet a přejděte do souboru DD-WRT Mini Generic. bin, který jsme si dříve stáhli. Do ne nahrát soubor DD-WRT VPN. bin dosud. Klikněte na tlačítko Upgrade ve webovém rozhraní.Váš směrovač začne instalovat DD-WRT Mini Generic a trvá méně než minutu.
Bohužel! Vaše první pozorování DD-WRT.Znovu proveďte další nastavení 30 /30/ 30, jak jsme učinili výše. Poté klikněte na kartu Správa nahoře. Budete vyzváni k zadání uživatelského jména a hesla. Výchozí uživatelské jméno a heslo jsou "root" a "admin".Po přihlášení klikněte na podnabídku Aktualizace firmwaru a klikněte na Vybrat soubor. Vyhledejte soubor DD-WRT VPN, který jsme si dříve stáhli, a klikněte na Otevřít. Verze VPN DD-WRT se nyní začne nahrávat;buďte trpěliví, protože to může trvat 2-3 minuty.
Instalace OpenVPN
Nyní se podívejme na stránku Stažení OpenVPN a stáhněte OpenVPN Windows Installer. V této příručce použijeme druhou nejnovější verzi OpenVPN nazvanou 2.1.4.Nejnovější verze( 2.2.0) obsahuje chybu, která by tento proces ještě komplikovala. Soubor, který stahujeme, nainstaluje program OpenVPN, který vám umožní připojit se k síti VPN. Nezapomeňte tedy nainstalovat tento program do všech ostatních počítačů, které chcete chovat jako klienty( jak uvidíme, jak to udělatpozději).Uložte soubor. exe openvpn-2.1.4-install do počítače.
Přejděte do souboru OpenVPN, který jsme právě stáhli, a dvakrát klikněte na něj. Tím začne instalace aplikace OpenVPN v počítači. Projděte instalačním programem se všemi výchozím nastavením. Během instalace se objeví dialogové okno s žádostí o instalaci nového virtuálního síťového adaptéru s názvem TAP-Win32.Klikněte na tlačítko Instalovat.
Vytvoření certifikátů a klíče
Nyní, když máte v počítači nainstalovaný OpenVPN, musíme začít vytvářet certifikáty a klíče pro ověřování zařízení.Klepněte na tlačítko Start systému Windows a přejděte pod položku Příslušenství.Zobrazí se program Příkazový řádek. Klikněte pravým tlačítkem na něj a klikněte na možnost Spustit jako správce.
V příkazovém řádku zadejte cd c: \ Program Files( x86) \ OpenVPN \ easy-rsa , pokud používáte 64bitový systém Windows 7, jak je vidět níže. Zadejte příkaz cd c: \ Program Files \ OpenVPN \ easy-rsa , pokud používáte 32bitový systém Windows 7. Poté stiskněte klávesu Enter.
Nyní zadejte init-config a stiskem klávesy Enter zkopírujte dva soubory vars.bat a openssl.cnf do složky easy-rsa. Pokračujte v příkazovém řádku, protože se k ní brzy vrátíme.
Přejděte do složky C: \ Program Files( x86) \ OpenVPN \ easy-rsa ( nebo C: \ Program Files \ OpenVPN \ easy-rsa na 32bitovém systému Windows 7) a klepněte pravým tlačítkem myši na soubor nazvaný vars.bat .Klepnutím na tlačítko Upravit ji otevřete v programu Poznámkový blok. Případně doporučujeme otevřít tento soubor pomocí programu Notepad ++, protože formátuje text v souboru mnohem lépe. Poznámkový blok ++ si můžete stáhnout z domovské stránky.
Spodní část souboru je to, co nás zajímá.Počínaje řádkem 31 změňte hodnotu KEY_COUNTRY , hodnotu KEY_PROVINCE apod. Do vaší země, provincie atd. Například jsme změnili provincii na "IL", město na "Chicago", org na "HowToGeek", a e-mailem na vlastní e-mailovou adresu. Pokud používáte také systém Windows 7 64-bit, změňte hodnotu HOME v řádku 6 na hodnotu % ProgramFiles( x86)% \ OpenVPN \ easy-rsa .Tuto hodnotu neměňte, pokud používáte 32bitový systém Windows 7. Soubor by měl vypadat podobně jako naše níže( samozřejmě s příslušnými hodnotami).Uložte soubor tak, že ho po dokončení úprav přepsáte.
Vraťte se do příkazového řádku a zadejte vars a stiskněte klávesu Enter. Pak zadejte clean-all a stiskněte klávesu Enter. Nakonec zadejte build-ca a stiskněte klávesu Enter.
Po provedení příkazu build-ca budete vyzváni k zadání názvu, státu, lokality atd. Protože jsme již nastavili tyto parametry v našem souboru vars.bat , můžeme tyto možnosti přeskočitstisknutím Enter, ale! Předtím, než začnete zablokovat klávesu Enter, dejte si pozor na parametr Common Name. V tomto parametru můžete zadat cokoli( tj. Vaše jméno).Jen se ujistěte, že zadáte něco .Tento příkaz vyvede dva soubory( certifikát Root CA a klíč Root CA) do složky easy-rsa / keys.
Nyní budeme stavět klíč pro klienta. Ve stejném příkazovém řádku zadejte build-key client1 .Můžete změnit "klient1" na libovolné, jaké chcete( například Acer-Laptop).Nezapomeňte na výzvu zadat stejný název jako běžný název. Projděte všechny výchozí hodnoty jako poslední krok, který jsme udělali( kromě běžného jména, samozřejmě).Na závěr však budete vyzváni, abyste podepsali certifikát a zavázali se. Zadejte "y" pro obě a klepněte na tlačítko Enter.
Nebojte se, jestli jste obdrželi chybu "neschopný psát" náhodný stav ".Všimli jsme si, že vaše certifikáty jsou stále bez problémů.Tento příkaz vyvede dva soubory( klíč Client1 a certifikát Client1) do složky easy-rsa / keys. Pokud chcete vytvořit další klíč pro jiného klienta, zopakujte předchozí krok, nezapomeňte ale změnit běžný název.
Poslední certifikát, který budeme generovat, je klíč serveru. Ve stejném příkazovém řádku zadejte server build-key-server .Můžete nahradit "server" na konci příkazu cokoliv, co chcete( např. HowToGeek-Server).Jako vždy, když budete vyzváni, zadejte stejný název jako běžný název. Stiskněte klávesu Enter a spusťte všechny výchozí hodnoty s výjimkou běžného názvu. Na konci zadejte certifikát a potvrďte zadání "y".Tento příkaz vygeneruje dva soubory( serverový klíč a certifikát serveru) do složky easy-rsa / keys.
Teď musíme generovat parametry Diffie Hellman. Protokol Diffie Hellman "umožňuje dvěma uživatelům vyměnit si tajný klíč přes nejisté médium bez předchozího tajemství".Více o společnosti Diffie Hellman naleznete na webových stránkách RSA.
Ve stejném příkazovém řádku zadejte příkaz build-dh .Tento příkaz vyvede jeden soubor( dh1024.pem) do složky easy-rsa / keys.
Vytvoření konfiguračních souborů pro klienta
Než upravíme konfigurační soubory, měli bychom nastavit dynamickou službu DNS.Tuto službu využijte, pokud vám váš ISP vydává každou takovou dynamickou externí adresu IP.Pokud máte statickou externí adresu IP, přeskočte na další krok.
Doporučujeme používat DynDNS.com, službu, která vám umožní ukázat název hostitele( tj. Howtogeek.dyndns.org) na dynamickou adresu IP.Je důležité, aby aplikace OpenVPN vždy věděla o vaší veřejné IP adrese sítě a pomocí aplikace DynDNS bude OpenVPN vždy vědět, jak vyhledat síť, bez ohledu na to, jaká je vaše veřejná IP adresa. Zaregistrujte se na bezplatný název hostitele a přejděte na svou veřejnou adresu IP.
Nyní zpět na konfiguraci OpenVPN.V Průzkumníkovi Windows přejděte na C: \ Program Files( x86) \ OpenVPN \ sample-config , pokud používáte 64bitový systém Windows 7 nebo C: \ Program Files \ OpenVPN \ sample-config běží 32bitový systém Windows 7. V této složce naleznete tři ukázkové konfigurační soubory;jsme se zabývat pouze client.ovpn souboru.
Klepněte pravým tlačítkem na client.ovpn a otevřete jej pomocí programu Poznámkový blok nebo Poznámkový blok ++.Všimněte si, že váš soubor bude vypadat jako obrázek níže:
Nicméně chceme, aby náš client.ovpn soubor vypadal podobně jako tento obrázek níže. Nezapomeňte změnit název hostitele DynDNS na název hostitele v řádku 4( nebo jej změnit na veřejnou adresu IP, pokud máte statickou adresu).Nechte číslo portu 1194, protože je to standardní port OpenVPN.Také nezapomeňte změnit řádky 11 a 12 tak, aby odrážely název souboru certifikátu klienta a souboru klíčů.Uložit jako soubor nového souboru. ovpn ve složce OpenVPN / config.
Konfigurace démony OpenVPN DD-WRT
Základní myšlenkou je nyní zkopírovat certifikáty serveru a klíče, které jsme vytvořili dříve, a vložit je do nabídky DD-WRT OpenVPN Daemon. Otevřete znovu svůj prohlížeč a přejděte k routeru. Nyní byste měli mít nainstalovanou verzi routeru DD-WRT VPN.V záložce Služby nazvaný VPN si všimnete novou podkartu. Klepněte na tlačítko Povolit přepínač pod OpenVPN Daemon.
Nejprve nezapomeňte změnit typ spuštění na hodnotu "Wan Up" namísto výchozího "System".Nyní budeme potřebovat naše klíče serveru a certifikáty, které jsme vytvořili dříve. V Průzkumníkovi Windows přejděte na 64bitové Windows 7( nebo C: \ Program Files \ OpenVPN \ easy-rsa \ klíče C: \ Program Files( x86) \ OpenVPN \ easy-rsa \ na 32-bit Windows 7).Otevřete každý odpovídající soubor níže( ca.crt , server.crt , server.key a dh1024.pem ) pomocí programu Poznámkový blok nebo Poznámkový blok ++ a zkopírujte obsah. Vložte obsah do odpovídajících polí, jak je vidět níže.
Pro pole OpenVPN Config budeme muset vytvořit vlastní soubor. Tato nastavení se budou lišit v závislosti na nastavení sítě LAN.Otevřete samostatné okno prohlížeče a zadejte adresu IP směrovače. Klikněte na kartu Nastavení a poznamenejte si, jakou IP adresu jste nakonfigurovali pod router IP & gt;Místní adresa IP.Výchozí hodnota, kterou používáme v tomto příkladu, je 192.168.1.1.Vložte tuto podsíť hned za "trasu" v prvním řádku, abyste odráželi nastavení LAN.Zkopírujte toto do okna Konfigurace OpenVPN a klepněte na Uložit.
push "trasa 192.168.1.0 255.255.255.0"
server 10.8.0.0 255.255.255.0
dev tun0
proto tcp
keepalive 10 120
dh /tmp/openvpn/ dh.pem
ca /tmp/openvpn/ ca.crt
cert /tmp/openvpn/ cert.pem
klíč /tmp/openvpn/key.pem
# Používejte pouze crl-ověřte, pokud používáte seznam revoke - jinak nechte to komentováno
# crl-verify /tmp/openvpn/ ca.crl
# manažerský parametr umožňuje webovou stránku OpenVPN Status DD-WRT pro přístup k portu správy serveru
# port musí být 5001 pro skripty vložené do firmwaru pro práci
management localhost 5001
Nyní musíme nakonfigurovat bránu firewall tak, aby se klienti mohli připojit k našemu serveru OpenVPN přes port 1194.Přejděte na kartu Správa a klikněte na podkartu Příkazy. V textovém poli Příkazy vložte následující:
iptables -I INPUT 1 -p udp -dport 1194 -j ACCEPT
iptables -I FORWARD 1 -zdroj 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -otun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Ujistěte se, že změníte vaši IP adresu IP v druhém řádku, pokud je jiná než výchozí.Poté klikněte na tlačítko Uložit bránu firewall níže.
Konečně nezapomeňte zkontrolovat nastavení času v záložce Nastavení, jinak démon OpenVPN odmítne všechny klienty. Doporučujeme jít na TimeAndDate.com a hledat vaše město pod Current Time. Tyto webové stránky vám poskytnou všechny informace, které potřebujete k vyplnění v části Nastavení času, stejně jako níže. Také se podívejte na webovou stránku NTP Pool Project pro veřejné servery NTP, které je mají používat.
Nastavení klienta OpenVPN
V tomto příkladu budeme jako náš klient v samostatné síti používat notebook Windows 7.První věc, kterou budete chtít udělat, je nainstalovat OpenVPN na svého klienta, jako jsme učinili výše v prvních krocích v části Konfigurace OpenVPN.Potom přejděte do adresáře C: \ Program Files \ OpenVPN \ config , kde si vložíme soubory.
Nyní se musíme vrátit zpět do původního počítače a shromáždit celkem čtyři soubory, které se mají kopírovat do našeho klientského notebooku. Přejděte znovu do C: \ Program Files( x86) \ OpenVPN \ easy-rsa \ klíče znovu a zkopírujte ca.crt , client1.crt a client1.key .Vložte tyto soubory do složky klienta.
Nakonec musíme zkopírovat ještě jeden soubor. Přejděte do souboru C: \ Program Files( x86) \ OpenVPN \ config a zkopírujte nový soubor client.ovpn, který jsme vytvořili dříve. Vložte tento soubor také do složky klienta.
Testování klienta OpenVPN
Na klientském přenosném počítači klepněte na tlačítko Start systému Windows a přejděte na položku Všechny programy & gt;OpenVPN.Klikněte pravým tlačítkem na soubor OpenVPN GUI a klikněte na Spustit jako správce. Všimněte si, že musíte vždy spustit OpenVPN jako správce, aby fungoval správně.Chcete-li soubor trvale nastavit tak, aby byl vždy spuštěn jako správce, klepněte pravým tlačítkem myši na soubor a klepněte na příkaz Vlastnosti. Na kartě Kompatibilita zaškrtněte možnost Spustit tento program jako správce.
Ikona OpenVPN GUI se objeví vedle hodin na hlavním panelu. Klikněte pravým tlačítkem myši na ikonu a klikněte na tlačítko Připojit. Vzhledem k tomu, že máme pouze jeden soubor. ovpn v naší složce config , bude se OpenVPN ve výchozím nastavení připojovat k této síti.
Zobrazí se dialogové okno se zobrazením protokolu připojení.
Po připojení k síti VPN bude ikona OpenVPN na hlavním panelu zelená a zobrazí vaši virtuální adresu IP.
A to je všechno! Nyní máte zabezpečené spojení mezi serverem a klientskou sítí pomocí OpenVPN a DD-WRT.Chcete-li provést další test připojení, zkuste otevřít prohlížeč v klientském přenosném počítači a přejděte k routeru DD-WRT v síti serveru.