OpenVPN n asentaminen ja määrittäminen DD-WRT-reitittimeen
Olemme jo katseet Tomaton asentamisen reitittimeen ja miten voit muodostaa yhteyden kotiverkkoon OpenVPN: n ja Tomaton avulla. Nyt aiomme kattaa OpenVPN: n asentamisen DD-WRT-yhteensopivaan reitittimeen, jotta pääset helposti kotiverkkoon mistä päin maailmaa tahansa!
Mikä on OpenVPN?
Virtuaalinen yksityinen verkko (VPN) on luotettava ja turvallinen yhteys yhden lähiverkon (LAN) ja toisen välillä. Ajattele reitittimesi keskimmäisenä ihmisenä verkkojen välillä, joihin olet yhteydessä. Sekä tietokone että OpenVPN-palvelin (tässä tapauksessa reititin) “ravistavat käsiä” käyttämällä varmenteita, jotka vahvistavat toisiaan. Validoinnin jälkeen sekä asiakas että palvelin suostuvat luottamaan toisiinsa ja asiakas saa sitten pääsyn palvelimen verkkoon.
Tyypillisesti VPN-ohjelmisto ja -laitteisto maksavat paljon rahaa toteuttamiseen. Jos et ole jo arvannut sitä, OpenVPN on avoimen lähdekoodin VPN-ratkaisu, joka on (rumpurulla) vapaa. DD-WRT on OpenVPN: n ohella täydellinen ratkaisu niille, jotka haluavat suojatun yhteyden kahden verkon välillä ilman, että heidän tarvitsee avata lompakkoaan. OpenVPN ei tietenkään toimi oikein laatikosta. Se vie hieman säätämistä ja konfigurointia, jotta se on oikein. Ei huolehdi siitä; olemme täällä tekemässä tätä prosessia helpommaksi, niin tartu itsellesi lämmin kuppi kahvia ja aloita.
Lisätietoja OpenVPN: stä on virallisessa What Is OpenVPN? sivu.
edellytykset
Tässä oppaassa oletetaan, että käytät Windows 7 -käyttöjärjestelmää tietokoneessasi ja että käytät hallinnollista tiliä. Jos olet Mac- tai Linux-käyttäjä, tämä opas antaa sinulle käsityksen siitä, miten asiat toimivat, mutta saatat joutua tekemään hieman enemmän tutkimusta, jotta asiat olisivat täydellisiä.
Tässä oppaassa oletetaan myös, että sinulla on Linksys WRT54GL ja sinulla on yleinen käsitys VPN-tekniikasta. Sen pitäisi toimia perustana DD-WRT-asennukselle, mutta muista tarkistaa virallinen DD-WRT-asennusopas lisämaksua varten.
DD-WRT: n asentaminen
DD-WRT: stä vastuussa oleva tiimi on tehnyt erinomaisen työn, joten loppukäyttäjien on helppo löytää reitittimen yhteensopivuus reitittimen tietokannan sivulla. Aloita kirjoittamalla reitittimen malli (tapauksessamme WRT54GL) tekstikentässä ja katsele hakutuloksia välittömästi. Napsauta reititintäsi, kun se on löydetty.
Sinut tuodaan uuteen sivuun, jossa luetellaan mallisi tiedot, mukaan lukien laitteiston tiedot ja DD-WRT: n eri rakenteet. Lataa sekä Mini-Generic-rakennus että VPN-yleinen DD-WRT-rakennus (dd wrt.v24_mini_generic.bin ja dd wrt.v24_vpn_generic.bin). Tallenna nämä tiedostot tietokoneeseen.
On hyvä idea käydä DD-WRT-laitteistokohtaisella tietosivulla, jos haluat etsiä yksityiskohtaisia tietoja reitittimestäsi ja DD-WRT: stä. Tämä sivu selittää tarkasti, mitä sinun tarvitsee tehdä ennen ja jälkeen DD-WRT: n asentamisen. Esimerkiksi DD-WRT: n mini-versio on asennettava ennen DD-WRT VPN: n asentamista, kun päivität varastosta Linksys firmware WRT54GL: ltä.
Muista myös tehdä kova nollaus (AKA a 30/30/30) ennen DD-WRT: n asentamista. Paina reitittimen takana olevaa nollauspainiketta 30 sekunnin ajan. Samalla kun pidät nollauspainiketta painettuna, irrota virtajohto ja jätä se irti pistorasiasta 30 sekunniksi. Lopuksi kytke virtajohto takaisin ja pidä nollauspainiketta painettuna vielä 30 sekuntia. Sinun olisi pitänyt pitää virtapainiketta painettuna 90 sekuntia.
Avaa nyt selaimesi ja kirjoita reitittimen IP-osoite (oletus on 192.168.1.1). Sinua pyydetään antamaan käyttäjätunnus ja salasana. Linksys WRT54GL: n oletusarvot ovat "admin" ja "admin".
Napsauta yläosassa olevaa Hallinta-välilehteä. Seuraavaksi napsauta alla olevaa Firmware Upgrade -ohjelmaa.
Napsauta Selaa-painiketta ja siirry aiemmin ladattuun DD-WRT Mini -sovelluksen yleiseen .bin-tiedostoon. Tehdä ei lataa DD-WRT VPN .bin-tiedosto vielä. Valitse Web-käyttöliittymän Päivitä-painike. Reititin aloittaa DD-WRT Mini Genericin asennuksen ja kestää alle minuutin.
Valitettavasti! DD-WRT: n ensimmäinen havainto. Tee jälleen uusi 30/30/30 palautus kuten edellä. Napsauta sitten Hallinta-välilehteä yläreunassa. Sinua pyydetään antamaan käyttäjätunnus ja salasana. Oletusnimi ja salasana ovat vastaavasti “root” ja “admin”. Kun olet kirjautunut sisään, napsauta Firmware Upgrade -alivälilehteä ja valitse Valitse tiedosto. Selaa aiemmin ladattua DD-WRT-VPN-tiedostoa ja valitse Avaa. DD-WRT: n VPN-versio alkaa nyt ladata; ole kärsivällinen, sillä se voi kestää 2-3 minuuttia.
OpenVPN: n asentaminen
Siirry nyt OpenVPN: n lataussivulle ja lataa OpenVPN Windows Installer. Tässä oppaassa käytetään OpenVPN: n toista viimeisintä versiota nimeltä 2.1.4. Viimeisimmässä versiossa (2.2.0) on vika, joka tekee prosessista entistä monimutkaisemman. Ladattava tiedosto asentaa OpenVPN-ohjelman, jonka avulla voit muodostaa yhteyden VPN-verkkoon, joten asenna tämä ohjelma kaikkiin muihin tietokoneisiin, joita haluat käyttää asiakkaina (koska näemme, miten tämä tehdään) myöhemmin). Tallenna openvpn-2.1.4-asennettava .exe-tiedosto tietokoneeseen.
Siirry juuri ladattuun OpenVPN-tiedostoon ja kaksoisnapsauta sitä. Tämä aloittaa OpenVPN: n asentamisen tietokoneellesi. Suorita asennusohjelman läpi, kun kaikki oletukset on tarkistettu. Asennuksen aikana avautuu valintaikkuna, jossa pyydetään asentamaan uusi virtuaaliverkkosovitin TAP-Win32. Napsauta Asenna-painiketta.
Sertifikaattien ja avainten luominen
Nyt kun tietokoneeseen on asennettu OpenVPN, meidän on aloitettava sertifikaattien ja avainten luominen laitteiden todentamiseksi. Napsauta Windowsin Käynnistä-painiketta ja siirry Lisävarusteet-kohdassa. Näet komentorivi-ohjelman. Napsauta sitä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita komentokehotteeseen cd c: Tiedostot (x86) OpenVPN-helppo-rsa jos käytössäsi on 64-bittinen Windows 7, kuten alla. Tyyppi cd c: Ohjelmatiedostot OpenVPN-helppo-rsa Jos käytät 32-bittistä Windows 7 -käyttöjärjestelmää, paina Enter.
Kirjoita nyt init-config ja paina Enter, jos haluat kopioida kaksi vars.bat- ja openssl.cnf-tiedostoa easy-rsa-kansioon. Pidä käskysi ylöspäin, kun tulemme takaisin siihen pian.
Navigoida johonkin C: Tiedostot (x86) OpenVPN-helppo-rsa (tai C: Ohjelmatiedostot OpenVPN-helppo-rsa 32-bittisessä Windows 7 -käyttöjärjestelmässä) ja napsauta hiiren oikealla painikkeella vars.bat. Voit avata sen Notepadissa napsauttamalla Muokkaa. Vaihtoehtoisesti suosittelemme tämän tiedoston avaamista Notepad ++: lla, koska se muotoilee tiedoston tekstissä paljon paremmin. Voit ladata Notepad ++: n kotisivulta.
Tiedoston alaosa on se, mitä olemme huolissamme. Vaihda riviltä 31 KEY_COUNTRY arvo, KEY_PROVINCE arvo, jne. maassasi, maakunnassasi jne. Esimerkiksi muutimme maakuntamme "IL": ksi, kaupunkiin "Chicago", org "HowToGeek" ja sähköpostitse omaan sähköpostiosoitteeseemme. Jos käytössäsi on myös Windows 7 64-bittinen, vaihda KOTI arvo rivillä 6 % ProgramFiles (x86)% OpenVPN-helppo-rsa. Älä muuta tätä arvoa, jos käytössäsi on 32-bittinen Windows 7. Tiedostosi näyttää samalta kuin alla oleva (tietysti vastaavat arvot). Tallenna tiedosto kirjoittamalla se uudelleen, kun olet valmis.
Palaa komentokehotteeseen ja kirjoita vars ja paina Enter. Kirjoita sitten puhtaan kaikki ja paina Enter. Lopuksi kirjoita build-ca ja paina Enter.
Kun olet suorittanut build-ca komento, sinua kehotetaan syöttämään maasi nimi, valtio, paikkakunta jne. Koska olemme jo asettaneet nämä parametrit vars.bat tiedostoa, voimme ohittaa nämä vaihtoehdot siirtymällä Enteriin, mutta! Ennen kuin aloitat sulkemisen Enter-näppäimellä, varo Common Name -parametria. Voit syöttää mitä tahansa tähän parametriin (eli nimesi). Varmista, että kirjoitat jotain. Tämä komento lähettää kaksi tiedostoa (Root CA -sertifikaatti ja Root CA -näppäin) easy-rsa / keys-kansiossa.
Nyt aiomme rakentaa avaimen asiakkaalle. Samassa komentorivin tyypissä build-näppäin client1. Voit muuttaa “client1” -asetusta mihin tahansa haluamaasi (eli Acer-Laptop). Syötä vain sama nimi kuin yhteinen nimi, kun sitä pyydetään. Suorita kaikki oletusarvot, kuten viimeinen vaihe, jota teimme (paitsi tietenkin yleinen nimi). Lopulta sinua pyydetään allekirjoittamaan todistus ja sitoutumaan. Kirjoita “y” molemmille ja napsauta Enter.
Älä myöskään ole huolissasi, jos olet saanut ”ei pysty kirjoittamaan” satunnaisia tiloja ”. Olemme huomanneet, että sertifikaatit tehdään edelleen ilman ongelmaa. Tämä komento lähettää kaksi tiedostoa (Client1-avain ja Client1-sertifikaatti) easy-rsa / keys-kansiossa. Jos haluat luoda toisen avaimen toiselle asiakkaalle, toista edellinen vaihe, mutta muista vaihtaa yleinen nimi.
Viimeinen sertifikaatti, jonka aiomme tuottaa, on palvelimen avain. Kirjoita samaan komentokehotteeseen build-avain-palvelin palvelin. Voit korvata ”palvelimen” komennon lopussa millä tahansa haluamallasi tavalla (eli HowToGeek-Server). Syötä aina sama nimi kuin yhteinen nimi pyydettäessä. Paina Enter ja suorita kaikki oletusarvot paitsi yleinen nimi. Kirjoita lopussa ”y” allekirjoittamaan todistus ja sitoutuaksesi. Tämä komento lähettää kaksi tiedostoa (palvelinavaimen ja palvelinvarmenteen) easy-rsa / keys-kansiossa.
Nyt meidän on luotava Diffie Hellman -parametrit. Diffie Hellman -protokolla ”sallii kahden käyttäjän vaihtaa salaisen avaimen epävarmassa väliaineessa ilman mitään aiempia salaisuuksia”. Voit lukea lisää Diffie Hellmanista RSA: n verkkosivuilla.
Samassa komentorivin tyypissä build-DH. Tämä komento lähettää yhden tiedoston (dh1024.pem) easy-rsa / keys-kansioon.
Määritystiedostojen luominen asiakkaalle
Ennen kuin muokkaamme määritystiedostoja, meidän on määritettävä dynaaminen DNS-palvelu. Käytä tätä palvelua, jos Internet-palveluntarjoajasi antaa sinulle dynaamisen ulkoisen IP-osoitteen aina niin usein. Jos sinulla on staattinen ulkoinen IP-osoite, ohita seuraava vaihe.
Suosittelemme käyttämään DynDNS.com-palvelua, jonka avulla voit ohjata isäntänimen (eli howtogeek.dyndns.org) dynaamiseen IP-osoitteeseen. OpenVPN: n on tärkeää tietää aina verkon julkinen IP-osoite, ja DynDNS: n avulla OpenVPN tietää aina, miten voit paikantaa verkon riippumatta siitä, mikä on julkinen IP-osoite. Rekisteröidy ilmainen isäntänimi ja osoita se julkiseen IP-osoitteeseesi.
Palaa nyt OpenVPN: n määrittämiseen. Siirry Windows Explorerissa kohtaan C: Tiedostot (x86) OpenVPN-näytteenmääritys jos käytössä on 64-bittinen Windows 7 tai C: Ohjelmatiedostot OpenVPN-näyte-konfiguraatio Jos käytät 32-bittistä Windows 7 -käyttöjärjestelmää. olemme vain huolissaan client.ovpn tiedosto.
Napsauta hiiren kakkospainikkeella client.ovpn ja avaa se Muistio tai Notepad ++. Huomaat, että tiedosto näyttää alla olevasta kuvasta:
Haluamme kuitenkin client.ovpn tiedosto näyttää samalta Tämä kuva alla. Muista vaihtaa DynDNS-isäntänimi isäntänimeesi rivillä 4 (tai vaihda se julkiseen IP-osoitteeseesi, jos sinulla on staattinen). Jätä portin numero arvoon 1194, koska se on standardi OpenVPN-portti. Vaihda myös rivit 11 ja 12, jotta ne vastaavat asiakkaan sertifikaattitiedoston ja avaintiedoston nimeä. Tallenna tämä uutena tiedostona .ovpn tiedosto OpenVPN / config-kansioon.
DD-WRT: n OpenVPN-Daemonin määrittäminen
Perusajatuksena on nyt kopioida aikaisemmin tekemämme palvelinvarmenteet ja avaimet ja liittää ne DD-WRT OpenVPN Daemon -valikkoon. Avaa selain uudelleen ja siirry reitittimeen. Sinun pitäisi nyt asentaa reitittimeen DD-WRT VPN -versio. Huomautat uuden ala-välilehden Palvelut-välilehden nimellä VPN. Napsauta Avaa-painiketta OpenVPN-daemonissa.
Ensin vaihda Start-tyyppi ”Wan Up” -asetukseksi oletusarvoisen ”System” -järjestelmän sijasta. Nyt tarvitsemme palvelinkoodisi ja sertifikaatit, jotka olemme luoneet aiemmin. Siirry Windows Explorerissa kohtaan C: Tiedostot (x86) OpenVPN-helposti-rsa-näppäimet 64-bittisessä Windows 7: ssä (tai C: Tiedostot OpenVPN: n helppo-rsa-näppäimet 32-bittisessä Windows 7: ssä). Avaa jokainen vastaava tiedosto alla (ca.crt, server.crt, server.key, ja dh1024.pem) Notepad tai Notepad ++ ja kopioi sisältö. Liitä sisältö vastaaviin laatikoihin kuten alla.
OpenVPN Config -kenttään täytyy luoda mukautettu tiedosto. Nämä asetukset vaihtelevat sen mukaan, miten lähiverkko on määritetty. Avaa erillinen selainikkuna ja kirjoita reitittimen IP-osoite. Napsauta Asetukset-välilehteä ja huomaa, mitä IP-osoite olet määrittänyt reitittimen IP> Paikallinen IP-osoite -kohdassa. Oletusarvo, jota käytämme tässä esimerkissä, on 192.168.1.1. Liitä tämä aliverkko heti ensimmäisellä rivillä olevan reitin jälkeen, jotta saat näkyviin lähiverkon asetukset. Kopioi tämä OpenVPN Config -ruutuun ja valitse Tallenna.
paina "reitti 192.168.1.0 255.255.255.0"
palvelin 10.8.0.0 255.255.255.0dev tun0
proto tcp
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
näppäin /tmp/openvpn/key.pem# Käytä vain crl-tarkistusta, jos käytät peruutuslistaa - muuten jätä se kommentoimaan
# crl-kontrollida /tmp/openvpn/ca.crl# -hallintaparametri mahdollistaa DD-WRT: n OpenVPN-tilasivun pääsyn palvelimen hallintaporttiin
# -portin on oltava 5001, kun laiteohjelmistoon on asennettu komentosarjoja
hallinta localhost 5001
Nyt meidän on määritettävä palomuuri, jotta asiakkaat voivat muodostaa yhteyden OpenVPN-palvelimeen 1194-portin kautta. Siirry Hallinnointi-välilehdelle ja napsauta Komennot-välilehteä. Liitä komentotekstikenttään seuraavat:
iptables -I INPUT 1 -p udp -portti 1194 -j ACCEPT
iptables -I FORWARD 1 -lähde 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Muista vaihtaa lähiverkon IP toisessa rivissä, jos se on erilainen kuin oletusarvo. Napsauta sitten Tallenna palomuuri -painiketta alla.
Lopuksi, tarkista aika-asetukset Asetukset-välilehdessä, muuten OpenVPN-demoni kieltää kaikki asiakkaat. Suosittelemme menemään TimeAndDate.comiin ja etsimään kaupunkia nykyisen ajan. Tämä sivusto antaa sinulle kaikki tiedot, jotka sinun tarvitsee täyttää kohdassa Aika-asetukset aivan kuten alla. Tutustu myös NTP Pool Projectin verkkosivustoon, jossa voit käyttää julkisia NTP-palvelimia.
OpenVPN-asiakkaan määrittäminen
Tässä esimerkissä käytämme asiakastamme Windows 7 -tietokonetta erillisessä verkossa. Ensimmäinen asia, jonka haluat tehdä, on OpenVPN: n asentaminen asiakkaallesi kuten edellä, OpenVPN: n määrittäminen -kohdan ensimmäisissä vaiheissa. Siirry sitten kohtaan C: Ohjelmatiedostot OpenVPN-asetukset missä me liitämme tiedostomme.
Nyt meidän täytyy palata alkuperäiseen tietokoneeseen ja kerätä yhteensä neljä tiedostoa, jotka kopioidaan asiakkaan kannettavaan tietokoneeseen. Navigoida johonkin C: Tiedostot (x86) OpenVPN-helposti-rsa-näppäimet uudelleen ja kopioi ca.crt, client1.crt, ja client1.key. Liitä nämä tiedostot asiakkaan config kansio.
Lopuksi meidän täytyy kopioida vielä yksi tiedosto. Navigoida johonkin C: Tiedostot (x86) OpenVPN-asetukset ja kopioi aikaisemmin luomamme uuden client.ovpn-tiedoston. Liitä tämä tiedosto asiakaskoneeseen config kansio myös.
OpenVPN-asiakkaan testaaminen
Napsauta asiakastietokoneessa Windowsin Käynnistä-painiketta ja siirry kohtaan Kaikki ohjelmat> OpenVPN. Napsauta hiiren kakkospainikkeella OpenVPN-GUI-tiedostoa ja valitse Suorita järjestelmänvalvojana. Huomaa, että OpenVPN on aina suoritettava järjestelmänvalvojana, jotta se toimii oikein. Määritä tiedosto pysyvästi järjestelmänvalvojana napsauttamalla tiedostoa hiiren kakkospainikkeella ja valitsemalla Ominaisuudet. Suorita tämä ohjelma järjestelmänvalvojana Yhteensopivuus-välilehdessä.
OpenVPN-käyttöliittymän kuvake näkyy tehtäväpalkin kellon vieressä. Napsauta kuvaketta hiiren kakkospainikkeella ja valitse Yhdistä. Koska meillä on vain yksi .ovpn-tiedosto config kansio, OpenVPN muodostaa yhteyden kyseiseen verkkoon oletusarvoisesti.
Näyttöön tulee valintaikkuna, jossa näkyy yhteysloki.
Kun olet yhteydessä VPN: ään, tehtäväpalkin OpenVPN-kuvake muuttuu vihreäksi ja näyttää virtuaalisen IP-osoitteen.
Ja se on niin! Sinulla on nyt suojattu yhteys palvelimen ja asiakkaan verkon välillä OpenVPN: n ja DD-WRT: n avulla. Jos haluat testata yhteyden edelleen, yritä avata selaimen asiakastietokoneessa ja siirtyä palvelimen verkossa olevaan DD-WRT-reitittimeen.