3Aug
Néhány héttel ezelőtt kiterjesztettük a Tomato, a nyílt forrású router firmware telepítését a Linksys WRT54GL-re. Ma megyünk át, hogyan telepíthetjük az OpenVPN-t a Paradicsommal együtt, és beállíthatjuk otthoni hálózatunkhoz bárhonnan a világ bármely pontjáról!
Mi az OpenVPN?
A virtuális magánhálózat( VPN) megbízható és biztonságos kapcsolat egy helyi hálózat( LAN) és egy másik között. Gondolj az útválasztóra, mint középső emberre a hálózatok között, amelyekhez csatlakozol. Mind a számítógép, mind az OpenVPN szerver( az útválasztó ebben az esetben) "kezet fog" a tanúsítvánnyal rendelkező tanúsítványok használatával. Az érvényesítéskor mind az ügyfél, mind a szerver beleegyezik abba, hogy megbízik egymásban, és az ügyfél engedélyezi a hozzáférést a szerver hálózatán.
Általában a VPN szoftver és hardver költsége sok pénzbe kerül. Ha még nem találtad ki, az OpenVPN egy nyílt forrású VPN megoldás, amely( drum roll) ingyenes. A Tomato az OpenVPN mellett tökéletes megoldás azok számára, akik biztonságos hálózatot akarnak a két hálózat között anélkül, hogy megnyitnák a tárcáját. Természetesen az OpenVPN nem fog azonnal működni a dobozból. Ez egy kicsit csípés és konfigurálás, hogy ez csak jobb. Nem kell aggódnia;azért vagyunk itt, hogy könnyebbé tegyük ezt a folyamatot, ezért megragadjunk egy meleg csészény kávét és kezdjük el.
Az OpenVPN-ről további információt a hivatalos What Is OpenVPN webhelyen talál.oldalt.
Előfeltételek
Ez az útmutató azt feltételezi, hogy jelenleg Windows 7 operációs rendszert futtat a számítógépen, és adminisztrátori fiókot használ. Ha Mac vagy Linux felhasználó vagy, ez az útmutató megmutatja, hogyan működnek a dolgok, de egy kicsit több kutatást kell végezned a sajátoddal, hogy tökéletessé tegye a dolgokat. A TomatoUSB VPN egy speciális verzióját installáljuk egy Linksys WRT54GL 1.1-es routeren. Annak megállapításához, hogy az útválasztó kompatibilis-e a TomatoUSB-vel, nézd meg a Build típusok oldalt.
Az útmutató kezdete feltételezi, hogy:
- az eredeti routered vagy a
- -re telepített firmware firmware-je, a legutóbbi cikkünkben leírt paradicsom firmware
Vegye figyelembe a fenti lépéseket, jelezve, hogy ez a Linksys firmware vagy a Tomato firmware.
A TomatoUSB
telepítése Egy korábbi cikkben megvitattuk, hogyan telepítsük az eredeti Tomato v1.28 firmware-t a PolarCloud webhelyéről. Sajnos a Paradicsomnak ez a verziója nem az OpenVPN támogatással jött, ezért újabb verzióra telepítjük az TomatoUSB VPN néven.
Az első dolog, amit el akarsz végezni, a TomatoUSB kezdőlapjára ugorhatsz, és kattints a Tomato USB kapcsolat letöltése linkre.
Letöltés VPN az kernel 2.4( stabil) szekció alatt. Mentse az. rar fájlt a számítógépére.
Szüksége lesz egy programra a. rar fájl kibontásához. Javasoljuk a WinRAR használatát, mivel szabadon próbálható és könnyen használható.Letöltheti az ingyenes verzió egy példányát a weboldalukon. A WinRAR telepítése után kattintson a jobb gombbal a letöltött fájlra, és kattintson a Kivonat itt parancsra. Ezután látni kell két CHANGELOG és paradicsom-NDUSB-1.28.8754-vpn3.6.trx nevű fájlt.
Ha a Linksys firmware-t futtatja. ..
Nyissa meg a böngészőt és írja be az útválasztó IP címét( alapértelmezett: 192.168.1.1).A rendszer felszólít egy felhasználónévre és jelszóra. A Linksys WRT54GL alapértelmezései "admin" és "admin".
Kattintson a Felügyeleti lapra a tetején. Ezután kattintson a Firmware Upgrade gombra az alábbiak szerint.
Kattintson a Tallózás gombra, és navigáljon a kivont TomatoUSB VPN fájlokhoz. Válassza ki az paradicsom-NDUSB-1.28.8754-vpn3.6.trx fájlt, és kattintson a Frissítés gombra a webes felületen. Az útválasztó elindítja a TomatoUSB VPN telepítését, és kevesebb, mint egy percet vesz igénybe. Kb. Egy perc múlva nyisson meg egy parancssort, és írja be az ipconfig -release -t, hogy meghatározza az útválasztó új IP-címét. Ezután írja be az ipconfig -renew parancsot. Az alapértelmezett átjáró jobb oldalán található IP cím az útválasztó IP-címe.
Megjegyzés : A Tomato telepítése után ugorjon a Felügyelet & gt;Konfiguráció és válassza az "Összes NVRAM törlése. .." parancsot.
Ha Tomato firmware-t futtat. ..
Nyissa meg a böngészőt és írja be az útválasztó IP-címét. Feltételezzük, hogy ha telepítette a Paradicsomot, ismeri az útválasztó IP-címét. Ha nem vagy biztos benne, akkor valószínűleg a 192.168.1.1 alapértelmezett beállítására van beállítva. Utána írja be felhasználónevét és jelszavát.
Bár ez nem feltétlenül szükséges, előfordulhat, hogy a TomatoUSB VPN-re való frissítést megelőzően menteni szeretné az aktuális paradicsom konfigurációját. A konfiguráció mentéséhez navigáljon az Adminisztráció & gt;Konfiguráció és kattintson a Biztonsági mentés gombra. Ez megkérdezi, hogy mentse az. cfg fájlt a számítógépére.
Itt az ideje, hogy frissítsük a Paradicsomot a TomatoUSB VPN-re. A bal oldali oszlopban kattintson a Frissítés lehetőségre, és kattintson a Fájl kiválasztása gombra. Keresse meg a korábban felvett fájlokat, és válassza a paradicsom-NDUSB-1.28.8754-vpn3.6.trx fájlt. Ezután kattintson a frissítés gombra.
Meg kell erősíteni a frissítést;csak kattintson az OK gombra.
Az útválasztó elkezdi az új firmware feltöltését és egy percen belül újraindul.
Az újraindítás után ugyanaz vagy más IP cím lehet. A mi esetünkben az útválasztó konfigurációja még mindig azonos volt, így az IP-címünk még mindig azonos volt. Az útválasztó új IP-címének meghatározásához nyisson meg egy parancssort, és írja be a ipconfig -release parancsot. Ezután írja be az ipconfig -renew parancsot. Az alapértelmezett átjáró jobb oldalán található IP cím az útválasztó címe. Ha a konfiguráció visszaáll az alapértelmezett értékekre, menjen vissza a Konfigurációs oldalra( Administration & gt; Configuration), és kattintson a Válasszon fájlt a Restore Configuration alatt. Keresse meg a korábban mentett. cfg fájlt, és kattintson a Visszaállítás gombra.
Az OpenVPN konfigurálása
Ha telepítetted a Linksys firmware-t vagy a Tomato firmware-t, most már telepítened kell az új TomatoUSB VPN-t az útválasztón. Néhány új menüt fog látni a bal oldali oszlopban, beleértve a webhasználatot, az USB-t és a NAS-ot, valamint a VPN-alagútot. Ez az útmutató csak a VPN-alagút menüvel foglalkozik, így folytatjuk a VPN-alagútelést. Tartsd nyitva ezt a böngészõablakot;Rövidesen visszajövünk hozzá.
Most menjünk át az OpenVPN Letöltések oldalára és töltsük le az OpenVPN Windows Installer programot. Ebben az útmutatóban az OpenVPN 2.1.4-es verziójának második legfrissebb verzióját használjuk. A legfrissebb verzió( 2.2.0) hibát tartalmaz, ami még bonyolultabbá teszi ezt a folyamatot. A letöltött fájl telepíti az OpenVPN programot, amely lehetővé teszi a VPN-hálózathoz való kapcsolódást, ezért telepítse ezt a programot minden olyan számítógépre, amelyet kliensként kíván működni( ahogy látni fogjuk, hogyan kell ezt csinálnia későbbiekben).Mentse az openvpn-2.1.4-install. exe fájlt a számítógépére.
Navigáljon az OpenVPN fájlhoz, amelyet letöltöttünk és dupla kattintással. Ez megkezdi az OpenVPN telepítését a számítógépen. Futtassa át a telepítőt minden ellenőrzött alapértelmezett értékkel. A telepítés során megjelenik egy párbeszédpanel, amely egy új, a TAP-Win32 nevű virtuális hálózati adapter telepítését kéri. Kattintson a Telepítés gombra.
Most, hogy az OpenVPN-t telepítette a számítógépre, meg kell kezdeni a tanúsítványok és kulcsok létrehozását az eszközök hitelesítéséhez.
A tanúsítványok és a kulcsok létrehozása
Kattintson a Windows Start gombra, és navigáljon a Tartozékok menüpont alatt. Megjelenik a Parancssor program. Kattintson a jobb egérgombbal, és kattintson a Futtatás rendszergazdaként parancsra.
A parancssorba írja be a cd c: \ Program Files( x86) \ OpenVPN \ easy-rsa parancsot, ha 64 bites Windows 7 rendszert futtat az alább látható módon.Írja be a cd c: \ Program Files \ OpenVPN \ easy-rsa parancsot, ha 32 bites Windows 7 rendszert futtat. Ezután nyomja meg az Enter billentyűt.
Most írja be a init-config parancsot, és nyomja meg az Enter billentyűt, hogy két fájlt másoljon: vars.bat és openssl.cnf az easy-rsa mappába. Tartsa meg a parancssorát, mert hamarosan visszatérünk hozzá.
Navigáljon a C: \ Program Files( x86) \ OpenVPN \ easy-rsa ( vagy C: \ Program Files \ OpenVPN \ easy-rsa fájlra 32 bites Windows 7-re), majd kattintson a jobb egérgombbal a vars.bat .Kattintson a Szerkesztés gombra a Jegyzettömbben való megjelenítéshez. Alternatív megoldásként javasoljuk, hogy nyissa meg ezt a fájlt a Notepad ++ programmal, mivel sokkal jobban formálja a fájlt. A Notepad ++-t letöltheti a honlapjukról.
A fájl alsó része az, amivel foglalkozunk. A 31. sorból kiindulva állítsd át az KEY_COUNTRY értéket, KEY_PROVINCE értéket stb. Országodra, tartományodra stb. Például a tartományt "IL" -ra, városra "Chicago" -ra változtattuk, org "HowToGeek", és e-mailt küldhet saját e-mail címünkre. Ha Windows 7 64 bites rendszert futtat, akkor módosítsa a HOME értékét a 6. sorban az % ProgramFiles( x86)% \ OpenVPN \ easy-rsa értékre. Ne módosítsa ezt az értéket, ha 32 bites Windows 7 operációs rendszert futtat. A fájlnak hasonlítanunk kell az alábbiakhoz( a megfelelő értékekkel, természetesen).Mentse el a fájlt, ha felülírja a szerkesztést.
Visszatérhet a parancssorba, írja be az vars parancsot, és nyomja meg az Enter billentyűt. Ezután írja be az tiszta -t és nyomja meg az Enter billentyűt. Végül írja be az build-ca fájlt és nyomja meg az Enter billentyűt.
Az build-ca parancs végrehajtása után meg kell adnia az ország nevét, állapotát, helységét stb. Miután ezeket a paramétereket vars.bat fájlban állítottuk be, ezeket a beállításokat el lehet hagyniaz Enter, megnyomásával, de! Az Enter billentyű lerombolása előtt figyeljen a Common Name paraméterre. Bármelyet megadhat ebben a paraméterben( azaz a neved).Csak győződjön meg róla, hogy beírja az valamit .Ez a parancs két fájlt( Root CA tanúsítványt és Root CA kulcsot) bocsát ki az easy-rsa / keys mappában.
Most építünk kulcsot egy ügyfél számára. Ugyanebben a parancssorban írja be az build-key client1 parancsot. Megváltoztathatja az "ügyfél1" -et bármi, amit szeretne( pl. Acer-Laptop).Győződjön meg róla, hogy a rendszer kéri ugyanazt a nevet, mint a Közönséges nevet. Ha például az build-kulcsú Acer-Laptop parancsot futtatja, a közös nevének "Acer-Laptop" -nak kell lennie. Futtasson minden alapértelmezést, mint az utolsó lépés( kivéve a Közönséges nevet, természetesen).Azonban a végén megkérjük, hogy írja alá a tanúsítványt és kötelezze el magát.Írja be a "y" -t mindkettőhöz, és kattintson az Enter gombra.
Továbbá ne aggódjon, ha megkapta a "véletlenszerű állapot" hibaüzenet "hibáját.Észrevettem, hogy a tanúsítványai még mindig problémamentesen készülnek. Ez a parancs két fájlt( Client1 kulcsot és Client1 tanúsítványt) bocsát ki az easy-rsa / keys mappában. Ha másik kulcsot kíván létrehozni egy másik ügyfél számára, ismételje meg az előző lépést, de mindenképpen változtassa meg a közös nevet.
Az utolsó tanúsítvány, amelyet generálunk, a kiszolgáló kulcs. Ugyanabban a parancssorban írja be az build-key-server szervert. A parancs végén a "szerver" helyettesíthet bármit is szeretne( vagyis a HowToGeek-Server).Mint mindig, győződjön meg róla, hogy a rendszer kéri a nevét, mint a Közönséges nevet. Például, ha az build-key-server HowToGeek-Server parancsot futtatja, akkor a közös névnek "HowToGeek-Server" kell lennie. Nyomja meg az Enter billentyűt és futtassa az összes alapértéket, kivéve a Közönséges nevet. A végén írja be az "y" -t, hogy írja alá a tanúsítványt, és kövesse el. Ez a parancs két fájlt( kiszolgáló kulcsot és szerver tanúsítványt) bocsát ki az easy-rsa / keys mappában.
Most meg kell adnunk a Diffie Hellman paramétereket. A Diffie Hellman protokoll "lehetővé teszi két felhasználó számára, hogy titkos kulcsot cseréljenek egy bizonytalan közeg fölött minden korábbi titok nélkül".Tudjon meg többet a Diffie Hellman-ről az RSA honlapján.
Ugyanabban a parancssorban írja be az build-dh parancsot. Ez a parancs kiad egy fájlt( dh1024.pem) az easy-rsa / keys mappában.
Konfigurációs fájlok létrehozása az ügyfél számára
Mielőtt bármilyen konfigurációs fájlt szerkesztene, létre kell hoznunk egy dinamikus DNS-szolgáltatást. Használja ezt a szolgáltatást, ha az internetszolgáltató gyakran használ dinamikus külső IP-címet. Ha van statikus külső IP-címe, ugorjon le a következő lépéshez.
Javasoljuk, hogy használja a DynDNS.com szolgáltatást, amely lehetővé teszi a gazdagép nevének( azaz howtogeek.dyndns.org) dinamikus IP címhez történő megadását. Fontos, hogy az OpenVPN mindig ismerje a hálózat nyilvános IP címét, és a DynDNS használatával az OpenVPN mindig tudja, hogyan keresse meg a hálózatot, függetlenül attól, hogy milyen az Ön nyilvános IP-címe. Jelentkezzen be egy gazdanévre, és mutasson rá a nyilvános IP-címére. Miután regisztráltál a szolgáltatásra, ne felejtsd el beállítani az automatikus frissítési szolgáltatást a Tomato alatt a Basic & gt;DDNS.
Most vissza az OpenVPN konfigurálásához. A Windows Intézőben navigáljon a C: \ Program Files( x86) \ OpenVPN \ sample-config programhoz, ha 64 bites Windows 7 vagy C: \ Program Files \ OpenVPN \ sample-config parancsot futtat, ha32 bites Windows 7 futtatása. Ebben a mappában három minta konfigurációs fájlt talál;csak az kliens.ovpn fájlt érinti.
Jobb egérgombbal kattintson a kliensre.ovpn és nyissa meg a Jegyzettömb vagy Notepad ++ alkalmazással.Észre fogod venni, hogy a fájlod az alábbi képen fog kinézni:
Azonban azt szeretnénk, hogy a kliens.ovpn fájlja hasonló legyen a -hez az alábbi képhez. Győződjön meg róla, hogy a DynDNS gazdagép nevét a 4. sorban adja meg a gazdanévnek( vagy módosítsa a nyilvános IP-címre, ha van statikus).Hagyja a portszámot 1194-re, mivel ez a szabványos OpenVPN port. Szintén győződjön meg róla, hogy a 11. és 12. sorokat módosítja, hogy tükrözze a kliens tanúsítványfájljának és kulcsfájljának nevét. Mentse új fájlként az. ovpn fájlt az OpenVPN / config mappában.
A paradicsom VPN-alagútjának konfigurálása
Az alapötlet most a korábban készített szerver tanúsítványok és kulcsok másolása és beillesztése a Tomato VPN szerver menübe. Ezután megnézzük a Paradicsom néhány beállítását, teszteljük a VPN kapcsolatot, majd meg tudjuk mossani a kezünket és egy napot felhívni!
Nyisson meg egy böngészőt és navigáljon az útválasztóhoz. Kattintson a bal oldali sáv VPN Tunneling menüjére. Győződjön meg róla, hogy a Server1 és az Basic is van kiválasztva.Állítsa be a beállításait pontosan az alábbiak szerint. Kattintson a Mentés gombra.
frissítés: Az alapértelmezett mód a TUN vagy az alagút, de valószínűleg azt szeretné megváltoztatni a TAP-ra, amely helyette a hálózatot hidalja. Az alagút üzemmód a külső ügyfeleket egy másik hálózaton fogja elhelyezni, mint a belső hálózatot. Tehát határozottan változtassuk meg az interfésztípust a TAP helyett.
Ezután kattintson a Speciális fülre a Basic mellett.Éppen úgy, mint korábban, győződjön meg róla, hogy a beállításai pontosan az alábbiak szerint jelennek meg. Kattintson a Mentés gombra.
Utolsó lépésünk az eredetileg létrehozott kulcsok és tanúsítványok beillesztése. Nyissa meg a Kulcsok lapot a Speciális elem mellett. A Windows Intézőben navigáljon a 64-bites Windows 7( vagy a C: \ Program Files \ OpenVPN \ easy-rsa \ billentyűkkel ) a -re a -re a -re a 32-bites Windows 7).Nyissa meg az alábbi megfelelő fájlokat( ca.crt , kiszolgáló.crt , server.key és dh1024.pem ) a Jegyzettömb vagy Notepad ++ és másolja a tartalmat. Illessze be a tartalmat a megfelelő dobozokban az alábbiak szerint. Meg kell jegyeznem, hogy csak az alábbiakban kell beilleszteni a --BEGIN BIZONYÍTVÁNYÁT - a kiszolgálóban.crt .Az OpenVPN továbbra is megfelelően működik, ha beilleszti a teljes fájlt, de ez csak "tiszta", csak a tényleges tanúsítványinformációk beillesztését jelenti. Kattintson a Mentés gombra, majd a Start Now gombra.
Mielőtt tesztelnénk a VPN kapcsolatunkat, van még egy dolog, amit meg kell vizsgálnunk a paradicsom belsejében. A bal oldali oszlopban kattintson az Alap, majd az Idő elemre. Győződjön meg róla, hogy a router ideje helyes, és az időzóna megjeleníti az aktuális időzónát.Állítsa be az NTP időszervert az országába.
OpenVPN kliens beállítása
Ebben a példában Windows 7 laptopként használjuk ügyfeleinként. Az első dolog, amit akarsz, az OpenVPN telepítése az ügyfeleden, mint ahogy az OpenVPN konfigurálásának első lépéseinél is. Ezután navigáljon a C: \ Program Files \ OpenVPN \ config fájlhoz, ahol beillesztjük a fájlokat.
Most vissza kell térnünk az eredeti számítógépünkre, és összesen négy fájlt kell összegyűjteni, hogy átmásolhassuk ügyfeleink laptopjára. Keresse meg ismét az C: \ Program Files( x86) \ OpenVPN \ easy-rsa \ billentyűket -re és másolja a -t: ca.crt , client1.crt és client1.key .Illessze be ezeket a fájlokat az ügyfél konfigurációs mappájába.
Végül még egy fájlt kell másolnunk. Keresse meg az C: \ Program Files( x86) \ OpenVPN \ config fájlt és másolja át a korábban létrehozott új client.ovpn fájlt. Illessze be ezt a fájlt az ügyfél konfigurációs mappájába is.
Az OpenVPN-ügyfél tesztelése
Az ügyfél-laptopon kattintson a Windows Start gombjára, és lépjen a Minden program & gt;OpenVPN.Kattintson jobb gombbal az OpenVPN GUI fájlra, majd kattintson a Futtatás rendszergazdaként parancsra. Ne feledje, hogy az OpenVPN-t rendszergazdaként kell futtatni ahhoz, hogy megfelelően működjön. Ha állandóan beállítja a fájlt, hogy mindig rendszergazdaként fusson, kattintson a jobb gombbal a fájlra, és kattintson a Tulajdonságok parancsra. A Kompatibilitás lapon jelölje be a Futtassa ezt a programot rendszergazdaként.
Az OpenVPN GUI ikon megjelenik a tálcán lévő óra mellett. Kattintson jobb gombbal az ikonra, és kattintson a Csatlakozás gombra. Mivel az konfigurációs mappában csak egy. ovpn fájl van, az OpenVPN alapértelmezés szerint csatlakozni fog ehhez a hálózathoz.
Egy párbeszédpanel jelenik meg, amely megjeleníti a kapcsolódási naplót.
A VPN-hez való csatlakozás után a tálcán lévő OpenVPN ikon zöld színű lesz, és megjeleníti a virtuális IP-címét.
És ez az! Most már van egy biztonságos kapcsolat a szerver és az ügyfél hálózata között az OpenVPN és a TomatoUSB használatával. A kapcsolat további teszteléséhez próbálja meg megnyitni egy böngészőt az ügyfél laptopján és navigálni a Tomato router-be a kiszolgáló hálózatán.
A kép készítette: The Ewan