Як встановити та налаштувати OpenVPN на вашому маршрутизаторі DD-WRT
Ми вже розглянули встановлення Tomato на вашому маршрутизаторі і як підключитися до домашньої мережі за допомогою OpenVPN і Tomato. Тепер ми маємо намір охопити встановлення OpenVPN на маршрутизаторі з підтримкою DD-WRT для легкого доступу до домашньої мережі з будь-якої точки світу!
Що таке OpenVPN?
Віртуальна приватна мережа (VPN) - це надійне, безпечне з'єднання між однією локальною мережею (LAN) та іншою. Подумайте про свій маршрутизатор як про посередника між мережами, до яких ви підключаєтеся. І ваш комп'ютер, і сервер OpenVPN (у цьому випадку ваш маршрутизатор) «потискають руки», використовуючи сертифікати, які перевіряють один одного. Після перевірки клієнт і сервер погоджуються довіряти один одному, а клієнту дозволяється доступ до мережі сервера.
Як правило, програмне забезпечення та апаратні засоби VPN коштують багато грошей для реалізації. Якщо ви вже не здогадалися про це, OpenVPN є відкритим вихідним кодом VPN, що є (барабанним) безкоштовним. DD-WRT, поряд з OpenVPN, є ідеальним рішенням для тих, хто хоче забезпечити надійне з'єднання між двома мережами без необхідності відкривати свій гаманець. Звичайно, OpenVPN не буде працювати прямо з коробки. Це займе трохи налаштування і налаштування, щоб отримати його правильно. Не хвилюйтеся; ми тут, щоб полегшити цей процес, тому захопіть собі теплу чашку кави і почнемо.
Для отримання додаткової інформації про OpenVPN відвідайте офіційну сторінку Що таке OpenVPN? стор.
Передумови
У цьому посібнику припускається, що ви зараз використовуєте Windows 7 на комп'ютері і що ви використовуєте обліковий запис адміністратора. Якщо ви користуєтеся Mac або Linux, цей посібник дасть вам уявлення про те, як все працює, однак, можливо, вам доведеться зробити ще трохи більше власних досліджень, щоб покращити ситуацію.
Це керівництво також припускає, що у вас є Linksys WRT54GL і мають загальне розуміння технології VPN. Вона повинна служити основою для установки DD-WRT, але не забудьте ознайомитися з нашим офіційним керівництвом з установки DD-WRT для додаткової добавки.
Встановлення DD-WRT
Команда, відповідальна за DD-WRT, зробила велику роботу, полегшивши кінцевим користувачам виявити сумісність маршрутизатора з їхньою базою даних маршрутизаторів. Почніть, ввівши модель маршрутизатора (у нашому випадку WRT54GL) у текстовому полі та переглядати результати пошуку миттєво. Натисніть маршрутизатор, як тільки він знайдеться.
Ви перейдете на нову сторінку з переліком інформації про вашу модель, включаючи специфікації апаратних засобів та різні збірки DD-WRT. Завантажити як міні-загальну збірку, так і загальну збірку VPN з DD-WRT (dd-wrt.v24_mini_generic.bin і dd-wrt.v24_vpn_generic.bin). Збережіть ці файли на комп'ютері.
Для того, щоб переглянути детальну інформацію про маршрутизатор і DD-WRT, відвідайте сторінку DD-WRT, що містить інформацію про обладнання. На цій сторінці буде пояснено, що саме потрібно робити до і після встановлення DD-WRT. Наприклад, необхідно встановити міні-версію DD-WRT перед встановленням DD-WRT VPN під час оновлення з запасу прошивки Linksys на WRT54GL.
Крім того, переконайтеся, що перед тим, як встановити DD-WRT, виконайте жорсткий скидання (AKA a 30/30/30). Натисніть кнопку скидання на задній панелі маршрутизатора протягом 30 секунд. Потім, утримуючи кнопку скидання, від'єднайте кабель живлення та залиште його виключеним на 30 секунд. Нарешті, знову вставте кабель живлення, утримуючи ще раз 30 секунд. Ви повинні були утримувати кнопку живлення протягом 90 секунд.
Тепер відкрийте свій браузер і введіть IP-адресу вашого маршрутизатора (за умовчанням це 192.168.1.1). Вам буде запропоновано ввести ім'я користувача та пароль. За замовчуванням для Linksys WRT54GL є "admin" і "admin".
Натисніть вкладку Адміністрація вгорі. Далі натисніть кнопку Firmware Upgrade (Оновлення мікропрограми), як показано нижче.
Натисніть кнопку Огляд і перейдіть до файлу DD-WRT Mini Generic .bin, який ми завантажили раніше. Зробіть ні завантажте файл DD-WRT VPN .bin. Натисніть кнопку "Оновити" у веб-інтерфейсі. Ваш маршрутизатор почне встановлювати міні-генератор DD-WRT, а його завершення займе менше хвилини.
На жаль! Ваш перший приціл DD-WRT. Знову зробіть ще одне 30/30/30 скидання, як ми зробили вище. Потім клацніть вкладку Адміністрування у верхній частині. Вам буде запропоновано ім'я користувача та пароль. Ім'я користувача та пароль за замовчуванням - "root" та "admin" відповідно. Після входу в систему клацніть на вкладці Firmware Upgrade (Оновлення програмного забезпечення) та натисніть Choose File (Вибрати файл). Знайдіть файл VP-WRT, який ми завантажили раніше, і натисніть кнопку Відкрити. Версія VPN DD-WRT тепер почне завантажуватися; Будьте терплячими, оскільки це може зайняти 2-3 хвилини.
Встановлення OpenVPN
Тепер перейдемо до сторінки завантажень OpenVPN і завантажимо інсталятор OpenVPN для Windows. У цьому посібнику ми будемо використовувати другу останню версію OpenVPN під назвою 2.1.4. У останній версії (2.2.0) є помилка, яка зробить цей процес ще складнішим. Файл, який ми завантажуємо, встановить програму OpenVPN, яка дозволяє підключатися до мережі VPN, тому обов'язково встановіть цю програму на будь-які інші комп'ютери, які ви хочете діяти як клієнти (оскільки ми бачимо, як це зробити пізніше). Збережіть файл openvpn-2.1.4 .exe на комп'ютер.
Перейдіть до файлу OpenVPN, який ми тільки що завантажили, і двічі клацніть його. Після цього на комп'ютері почнеться встановлення OpenVPN. Запустіть програму встановлення з усіма позначеннями за умовчанням. Під час інсталяції з'явиться діалогове вікно з проханням встановити новий віртуальний мережний адаптер під назвою TAP-Win32. Натисніть кнопку Встановити.
Створення сертифікатів і ключів
Тепер, коли на комп'ютері інстальовано OpenVPN, ми повинні почати створювати сертифікати та ключі для аутентифікації пристроїв. Натисніть кнопку Пуск Windows і перейдіть у розділі Аксесуари. Ви побачите програму командного рядка. Клацніть правою кнопкою миші на неї та натисніть кнопку Запуск від імені адміністратора.
У командному рядку введіть cd c: Програмні файли (x86) OpenVPN easy-rsa якщо використовується 64-розрядний Windows 7, як показано нижче. Тип cd c: Програмні файли OpenVPN easy-rsa якщо використовується 32-розрядний Windows 7. Натисніть Enter.
Тепер наберіть init-config і натисніть Enter, щоб скопіювати два файли, які називаються vars.bat і openssl.cnf в папку easy-rsa. Тримайте командний рядок, оскільки ми незабаром повернемося до неї.
Перейдіть до C: Програмні файли (x86) OpenVPN easy-rsa (або C: Програмні файли OpenVPN easy-rsa на 32-розрядної Windows 7) і клацніть правою кнопкою миші на назві файлу vars.bat. Натисніть Редагувати, щоб відкрити його в Блокноті. Крім того, ми рекомендуємо відкрити цей файл за допомогою Notepad ++, оскільки він форматує текст у файлі набагато краще. Ви можете завантажити Notepad ++ з їх домашньої сторінки.
У нижній частині файлу ми маємо справу. Починаючи з рядка 31, змініть KEY_COUNTRY значення, KEY_PROVINCE Наприклад, ми змінили нашу провінцію на “IL”, місто на “Чикаго”, орг до “HowToGeek”, і надішліть на нашу адресу електронної пошти. Крім того, якщо ви працюєте з Windows 7 64-bit, змініть HOME значення у рядку 6 до % ProgramFiles (x86)% OpenVPN easy-rsa. Не змінюйте це значення, якщо ви використовуєте 32-розрядну Windows 7. Файл повинен виглядати подібно до нашого нижче (звичайно, з вашими відповідними значеннями). Збережіть файл, перезаписавши його після завершення редагування.
Поверніться до командного рядка і введіть vars і натисніть Enter. Потім введіть чистий-все і натисніть Enter. Нарешті, типу build-ca і натисніть Enter.
Після виконання build-ca Команда, вам буде запропоновано ввести в назві країни, держави, місцевості і т.д. З тих пір, як ми вже налаштували ці параметри в нашій vars.bat Файл, ми можемо пропустити ці параметри, натиснувши Enter, але! Перед тим, як почати натискати клавішу Enter, стежте за параметром Common Name. У цьому параметрі можна ввести що-небудь (тобто ваше ім'я). Просто переконайтеся, що ви входите щось. Ця команда виведе два файли (сертифікат кореневого ЦС та ключ кореневого СА) у папку easy-rsa / keys.
Тепер ми збираємося створити ключ для клієнта. У тому ж типі командного рядка build-key client1. Ви можете змінити "client1" на все, що хочете (наприклад, Acer-ноутбук). Просто введіть те ж саме ім'я, що і загальне ім'я, коли з'явиться запит. Виконуйте всі типові значення, як останній крок, який ми зробили (крім звичайної назви, звичайно). Проте в кінці вас попросять підписати сертифікат і скористатися. Введіть "y" для обох і натисніть Enter.
Крім того, не хвилюйтеся, якщо ви отримали помилку "не в змозі написати" випадковий стан ". Ми помітили, що ваші сертифікати все одно робляться без проблем. Ця команда виведе два файли (ключ Client1 і сертифікат Client1) у папку easy-rsa / keys. Якщо ви бажаєте створити інший ключ для іншого клієнта, повторіть попередній крок, але не забудьте змінити загальне ім'я.
Останнім сертифікатом, який ми будемо генерувати, є ключ сервера. У тому ж командному рядку введіть build-key-server сервер. Ви можете замінити "сервер" в кінці команди на все, що хочете (наприклад, HowToGeek-Server). Як завжди, обов'язково введіть те ж саме ім'я, що й загальне ім'я, коли з'явиться запит. Натисніть клавішу Enter і виконайте всі типові значення за винятком загального імені. Наприкінці введіть “y”, щоб підписати сертифікат і здійснити фіксацію. Ця команда виведе два файли (ключ сервера та сертифікат сервера) у папку easy-rsa / keys.
Тепер ми повинні генерувати параметри Діффі Хеллмана. Протокол Діффі Хеллмана "дозволяє двом користувачам обмінювати секретний ключ на небезпечне середовище без попередніх секретів". Ви можете прочитати більше про Діффі Хеллман на сайті RSA.
У тому ж типі командного рядка build-dh. Ця команда виведе один файл (dh1024.pem) у папку easy-rsa / keys.
Створення файлів конфігурації для клієнта
Перш ніж редагувати будь-які конфігураційні файли, слід налаштувати динамічну службу DNS. Використовуйте цю послугу, якщо ваш провайдер надає вам динамічну зовнішню IP-адресу кожний раз. Якщо ви маєте статичну зовнішню IP-адресу, перейдіть до наступного кроку.
Ми пропонуємо скористатися службою DynDNS.com, яка дозволяє вказати ім'я хосту (тобто howtogeek.dyndns.org) на динамічну IP-адресу. Для OpenVPN важливо завжди знати загальнодоступну IP-адресу вашої мережі, і за допомогою DynDNS OpenVPN завжди буде знати, як знайти вашу мережу незалежно від того, яка ваша загальна IP-адреса. Зареєструйтеся для безкоштовного імені хоста та вкажіть його на вашу загальнодоступну IP-адресу.
Тепер повернемося до налаштування OpenVPN. У провіднику Windows перейдіть до C: Програмні файли (x86) OpenVPN sample-config якщо використовується 64-розрядний Windows 7 або C: Файли програм OpenVPN sample-config якщо використовується 32-розрядний Windows 7. У цій папці ви знайдете три типові файли конфігурації; ми маємо справу тільки з client.ovpn файл.
Клацніть правою кнопкою миші client.ovpn і відкрийте його за допомогою Notepad або Notepad ++. Ви помітите, що ваш файл буде виглядати як на малюнку нижче:
Однак ми хочемо нашого client.ovpn файл схожий це малюнок нижче. Не забудьте змінити ім'я хоста DynDNS на ваше ім'я хоста в рядку 4 (або змінити його на загальнодоступну IP-адресу, якщо у вас є статичний). Залиште номер порту 1194, як стандартний порт OpenVPN. Також переконайтеся, що змінили рядки 11 і 12, щоб відобразити ім'я файлу сертифіката вашого клієнта та файл ключа. Збережіть це як новий файл .ovpn у папці OpenVPN / config.
Налаштування демона OpenVPN DD-WRT
Основна ідея зараз полягає в тому, щоб скопіювати серверні сертифікати та ключі, які ми зробили раніше, і вставити їх у меню DD-WRT OpenVPN. Відкрийте браузер знову і перейдіть до маршрутизатора. Тепер на маршрутизаторі має бути інстальовано версію DDN-WRT VPN. Ви побачите нову під-вкладку на вкладці Служби під назвою VPN. Натисніть перемикач Увімкнути під демоном OpenVPN.
По-перше, переконайтеся, що замість початкового значення «Система» змінити тип запуску на «Wan Up». Тепер нам знадобляться наші серверні ключі та сертифікати, які ми створили раніше. У провіднику Windows перейдіть до C: Програмні файли (x86) OpenVPN easy-rsa \ t на 64-розрядної Windows 7 (або C: Файли програм OpenVPN easy-rsa \ t на 32-розрядної Windows 7). Відкрийте кожен відповідний файл нижче (ca.crt, server.crt, server.key, і dh1024.pem) з Notepad або Notepad ++ та копіювати вміст. Вставте вміст у відповідні поля, як показано нижче.
Для поля OpenVPN Config потрібно створити власний файл. Ці параметри будуть відрізнятися залежно від налаштування вашої локальної мережі. Відкрийте окреме вікно браузера та введіть IP-адресу вашого маршрутизатора. Перейдіть на вкладку Налаштування і зверніть увагу на те, яку IP-адресу ви налаштували в IP-адреси маршрутизатора> Локальна IP-адреса. За замовчуванням, що ми використовуємо в цьому прикладі, є 192.168.1.1. Вставте цю підмережу відразу після "маршруту" у перший рядок, щоб відобразити налаштування локальної мережі. Скопіюйте це у вікно налаштування OpenVPN і натисніть кнопку "Зберегти".
push "route 192.168.1.0 255.255.255.0"
сервер 10.8.0.0 255.255.255.0dev tun0
прото протоколу tp
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem# Використовуйте crl-verify, лише якщо ви використовуєте список відкликання - в іншому випадку залиште його коментарем
# crl-verify /tmp/openvpn/ca.crl# параметр управління дозволяє веб-сторінці стану OpenVPN DD-WRT отримати доступ до порту керування сервером
# port повинен бути 5001 для роботи сценаріїв, вбудованих в прошивку
управління localhost 5001
Тепер ми повинні налаштувати брандмауер, щоб дозволити клієнтам підключатися до нашого сервера OpenVPN через порт 1194. Перейдіть на вкладку Адміністрування та натисніть вкладку Команди. У текстовому полі "Команди" вставте наступне:
iptables -I INPUT 1 -p udp -dport 1194 -j ACCEPT
iptables -I FORWARD 1 -source 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Обов'язково змініть IP-адресу локальної мережі у другому рядку, якщо він відрізняється від стандартного. Потім натисніть кнопку Зберегти брандмауер нижче.
Нарешті, перевірте налаштування часу під вкладкою Налаштування, інакше демон OpenVPN заборонить всім клієнтам. Ми пропонуємо перейти до TimeAndDate.com і шукати своє місто в поточному часі. Цей веб-сайт надасть вам всю необхідну інформацію для заповнення під час налаштування часу, як ми зробили нижче. Крім того, ознайомтеся з веб-сайтом NTP Pool Project для публічних NTP-серверів.
Налаштування клієнта OpenVPN
У цьому прикладі ми будемо використовувати ноутбук Windows 7 як наш клієнт в окремій мережі. Перше, що ви хочете зробити, це встановити OpenVPN на вашому клієнті, як ми зробили вище, на перших кроках під Налаштування OpenVPN. Потім перейдіть до C: Конфігурація програмних файлів OpenVPN де ми будемо вставляти наші файли.
Тепер ми повинні повернутися на свій оригінальний комп'ютер і зібрати в загальній складності чотири файли для копіювання на наш клієнтський ноутбук. Перейдіть до C: Програмні файли (x86) OpenVPN easy-rsa \ t знову і копіювати ca.crt, client1.crt, і client1.key. Вставте ці файли в клієнтську config папки.
Нарешті, нам потрібно скопіювати ще один файл. Перейдіть до C: Програмні файли (x86) Конфігурація OpenVPN і скопіюйте новий файл client.ovpn, який ми створили раніше. Вставте цей файл до клієнта config також папку.
Тестування клієнта OpenVPN
На клієнтському ноутбуці натисніть кнопку Пуск Windows і перейдіть до Усі програми> OpenVPN. Клацніть правою кнопкою миші на файлі графічного інтерфейсу OpenVPN і натисніть кнопку Запуск від імені адміністратора. Зверніть увагу, що ви повинні завжди запускати OpenVPN як адміністратора, щоб він працював належним чином. Щоб постійно встановлювати файл як адміністратор, клацніть правою кнопкою миші на файлі та клацніть Властивості. На вкладці Сумісність виберіть пункт Виконати цю програму в якості адміністратора.
Піктограма OpenVPN GUI з'явиться біля годинника на панелі завдань. Клацніть правою кнопкою миші на піктограмі та клацніть Підключити. Оскільки у нас є тільки один файл .ovpn config папку OpenVPN буде підключатися до цієї мережі за замовчуванням.
З'явиться діалогове вікно, у якому відобразиться журнал підключень.
Після підключення до VPN піктограма OpenVPN на панелі завдань стане зеленою і відобразить віртуальну IP-адресу.
І це все! Тепер у вас є захищене з'єднання між сервером і мережею клієнта за допомогою OpenVPN і DD-WRT. Для подальшого тестування підключення спробуйте відкрити веб-переглядач на клієнтському ноутбуці та перейти до маршрутизатора DD-WRT у мережі сервера..