Jak nainstalovat a konfigurovat OpenVPN na routeru DD-WRT
Již jsme se zabývali instalací Tomato na routeru a jak se připojit k domácí síti pomocí OpenVPN a Tomato. Nyní budeme pokrývat instalaci OpenVPN na vašem routeru s podporou DD-WRT pro snadný přístup k domácí síti z jakéhokoli místa na světě!
Co je OpenVPN??
Virtuální privátní síť (VPN) je důvěryhodné a bezpečné spojení mezi místní sítí (LAN) a jinou. Přemýšlejte o routeru jako o prostředníkovi mezi sítěmi, ke kterým se připojujete. Jak váš počítač, tak i server OpenVPN (v tomto případě váš směrovač) "potřást rukou" pomocí certifikátů, které se navzájem ověřují. Po ověření se klient i server dohodnou na vzájemné důvěře a klientovi pak bude umožněn přístup na síti serveru.
Software a hardware VPN typicky stojí za to spoustu peněz. Pokud jste to už nepomohli, OpenVPN je řešení VPN s otevřeným zdrojovým kódem, které je zdarma (bubnové roli). DD-WRT, spolu s OpenVPN, je dokonalým řešením pro ty, kteří chtějí zabezpečené spojení mezi dvěma sítěmi, aniž by museli otevřít svou peněženku. Samozřejmě, OpenVPN nebude fungovat přímo z krabice. Trvá trochu vyladění a konfigurace, aby to bylo správné. Nebojte se však; my jsme tady, abyste tento proces usnadnili, tak se uchopte teplým šálkem kávy a začneme.
Více informací o OpenVPN naleznete na oficiálních stránkách Co je OpenVPN? stránka.
Předpoklady
Tato příručka předpokládá, že v počítači běží systém Windows 7 a že používáte účet správce. Pokud jste uživatelem systému Mac nebo Linux, tato příručka vám poskytne představu o tom, jak fungují věci, avšak možná budete muset udělat trochu více výzkumu o sobě, abyste získali dokonalé věci.
Tato příručka také předpokládá, že vlastníte Linksys WRT54GL a máte obecnou znalost technologie VPN. Mělo by sloužit jako základ pro instalaci DD-WRT, ale nezapomeňte si prohlédnout naši oficiální instalační příručku DD-WRT pro další doplnění.
Instalace DD-WRT
Tým zodpovědný za DD-WRT provedl skvělou práci, díky níž koncoví uživatelé mohou snadno zjistit kompatibilitu routeru se stránkou databáze směrovačů. Začněte zadáním modelu směrovače (v našem případě WRT54GL) v textovém poli a výsledky vyhledávání se objeví okamžitě. Klikněte na router, jakmile je nalezen.
Budete přeneseni na novou stránku s informacemi o vašem modelu - včetně hardwarových specifikací a různých sestav DD-WRT. Stáhněte si jak generaci Mini-Generic, tak VPN generické sestavení DD-WRT (dd-wrt.v24_mini_generic.bin a dd-wrt.v24_vpn_generic.bin). Uložte tyto soubory do počítače.
Je vhodné navštívit stránku DD-WRT Hardware Specific Information, kde naleznete podrobné informace o routeru a DD-WRT. Tato stránka vysvětlí přesně to, co musíte udělat před a po instalaci DD-WRT. Například musíte nainstalovat mini verzi DD-WRT před instalací DD-WRT VPN při upgradu z firmware Linksys na WRT54GL.
Nezapomeňte provést tvrdý reset (AKA a 30/30/30) před instalací DD-WRT. Stiskněte resetovací tlačítko na zadní straně směrovače po dobu 30 sekund. Poté, když stále držíte resetovací tlačítko, odpojte napájecí kabel a nechte ho odpojen po dobu 30 sekund. Nakonec připojte napájecí kabel zpět, zatímco přitom stále držíte resetovací tlačítko dalších 30 sekund. Měli byste držet vypínač napájení po dobu 90 sekund rovně.
Nyní otevřete prohlížeč a zadejte adresu IP směrovače (výchozí hodnota je 192.168.1.1). Budete vyzváni k zadání uživatelského jména a hesla. Výchozí hodnoty pro Linksys WRT54GL jsou "admin" a "admin".
Klepněte na kartu Správa v horní části. Poté klikněte na možnost Aktualizace firmwaru, jak je vidět níže.
Klikněte na tlačítko Procházet a přejděte do souboru DD-WRT Mini Generic .bin, který jsme si dříve stáhli. Dělat ne nahrát soubor DD-WRT VPN .bin. Klikněte na tlačítko Upgrade ve webovém rozhraní. Váš směrovač začne instalovat DD-WRT Mini Generic a trvá méně než minutu.
Běda! Vaše první pozorování DD-WRT. Znovu proveďte další resetování 30/30/30, jak jsme uvedli výše. Poté klikněte na kartu Správa nahoře. Budete vyzváni k zadání uživatelského jména a hesla. Výchozí uživatelské jméno a heslo jsou "root" a "admin". Po přihlášení klikněte na podkartu Aktualizace firmwaru a klikněte na Vybrat soubor. Vyhledejte soubor DD-WRT VPN, který jsme si dříve stáhli, a klikněte na Otevřít. Verze VPN DD-WRT se nyní začne nahrávat; buďte trpěliví, protože to může trvat 2-3 minuty.
Instalace OpenVPN
Nyní se podívejme na stránku Stažení OpenVPN a stáhněte si OpenVPN Windows Installer. V této příručce použijeme druhou nejnovější verzi OpenVPN nazvanou 2.1.4. Nejnovější verze (2.2.0) obsahuje chybu, která by tento proces ještě komplikovala. Soubor, který stahujeme, nainstaluje program OpenVPN, který vám umožní připojit se k síti VPN. Nezapomeňte tedy nainstalovat tento program do jiných počítačů, které chcete chovat jako klienti (jak uvidíme, jak to udělat později). Uložte soubor .exe openvpn-2.1.4-install do počítače.
Přejděte do souboru OpenVPN, který jsme právě stáhli, a dvakrát klikněte na něj. Tím začne instalace OpenVPN v počítači. Proveďte instalační program se všemi výchozími nastaveními. Během instalace se objeví dialogové okno s požadavkem na instalaci nového virtuálního síťového adaptéru s názvem TAP-Win32. Klikněte na tlačítko Instalovat.
Vytvoření certifikátů a klíče
Nyní, když máte v počítači nainstalovaný OpenVPN, musíme začít vytvářet certifikáty a klíče pro ověřování zařízení. Klepněte na tlačítko Start systému Windows a přejděte pod položku Příslušenství. Zobrazí se program Příkazový řádek. Klikněte pravým tlačítkem na něj a klikněte na možnost Spustit jako správce.
Do příkazového řádku zadejte cd c: \ Program Files (x86) \ OpenVPN \ easy-rsa pokud používáte 64bitový systém Windows 7, jak je vidět níže. Typ cd c: \ Program Files \ OpenVPN \ easy-rsa pokud používáte 32bitový systém Windows 7. Pak stiskněte klávesu Enter.
Nyní zadejte init-config a stisknutím klávesy Enter zkopírujte do složky easy-rsa dva soubory s názvem vars.bat a openssl.cnf. Držte příkazový řádek, protože se k němu brzy vrátíme.
Navigovat do C: \ Program Files (x86) \ OpenVPN \ easy-rsa (nebo C: \ Program Files \ OpenVPN \ easy-rsa na 32bitovém systému Windows 7) a klikněte pravým tlačítkem na soubor nazvaný vars.bat. Klepnutím na tlačítko Upravit ji otevřete v programu Poznámkový blok. Případně doporučujeme otevřít tento soubor pomocí programu Notepad ++, protože formátuje text v souboru mnohem lépe. Poznámkový blok ++ si můžete stáhnout z domovské stránky.
Spodní část souboru je to, co nás zajímá. Počínaje řádkem 31 změňte KEY_COUNTRY hodnota, KEY_PROVINCE hodnoty atd. do vaší země, provincie atd. Například jsme změnili naši provincii na "IL", město na "Chicago", org na "HowToGeek" a e-mail na vlastní e-mailovou adresu. Pokud používáte systém Windows 7 64-bit, změňte také DOMOV v řádku 6 až % ProgramFiles (x86)% \ OpenVPN \ easy-rsa. Tuto hodnotu neměňte, pokud používáte 32bitový systém Windows 7. Váš soubor by měl vypadat podobně jako naše níže (samozřejmě s vašimi příslušnými hodnotami). Uložte soubor tak, že ho po dokončení úprav přepíšeme.
Vraťte se do příkazového řádku a zadejte vars a stiskněte klávesu Enter. Potom zadejte čisté a stiskněte klávesu Enter. Nakonec zadejte build-ca a stiskněte klávesu Enter.
Po provedení příkazu build-ca příkaz, budete vyzváni k zadání názvu, státu, lokality atd. Protože jsme již nastavili tyto parametry v našem vars.bat soubor, můžeme tyto možnosti přeskočit stisknutím klávesy Enter, ale! Než začnete zablokovat klávesu Enter, dejte si pozor na parametr Common Name. V tomto parametru můžete zadat cokoli (tj. Vaše jméno). Jen se ujistěte, že jste zadali něco. Tento příkaz vyvede dva soubory (certifikát Root CA a klíč Root CA) do složky easy-rsa / keys.
Teď budeme stavět klíč pro klienta. Ve stejném typu příkazového řádku build-klíč client1. Můžete změnit "client1" na libovolné, co chcete (například Acer-Laptop). Nezapomeňte zadat stejný název jako běžný název po výzvě. Projděte všechny výchozí hodnoty jako poslední krok, který jsme udělali (samozřejmě kromě běžného názvu). Na závěr však budete vyzváni, abyste podepsali certifikát a zavázali se. Zadejte "y" pro oba položky a klepněte na tlačítko Enter.
Nebojte se, pokud jste obdrželi chybu "nelze zapsat" náhodný stav ". Zjistili jsme, že vaše certifikáty jsou stále bez problémů. Tento příkaz vyvede dva soubory (klíč Client1 a certifikát Client1) do složky easy-rsa / keys. Chcete-li vytvořit jiný klíč pro jiného klienta, zopakujte předchozí krok, ale nezapomeňte změnit běžný název.
Poslední certifikát, který budeme generovat, je klíč serveru. Ve stejném příkazovém řádku zadejte build-key-server server. Můžete nahradit "server" na konci příkazu cokoliv, co chcete (např. HowToGeek-Server). Jako vždy, když budete vyzváni, zadejte stejný název jako běžný název. Stiskněte klávesu Enter a spusťte všechny výchozí hodnoty s výjimkou běžného názvu. Na konci zadejte certifikát a potvrďte zadání "y". Tento příkaz vyvede dva soubory (serverový klíč a certifikát serveru) do složky easy-rsa / keys.
Teď musíme generovat parametry Diffie Hellman. Protokol Diffie Hellman "umožňuje dvěma uživatelům vyměnit si tajný klíč přes nejisté médium bez předchozího tajemství". Více o Diffii Hellmanovi naleznete na stránkách společnosti RSA.
Ve stejném typu příkazového řádku build-dh. Tento příkaz vyvede jeden soubor (dh1024.pem) do složky easy-rsa / keys.
Vytvoření konfiguračních souborů pro klienta
Než upravíme konfigurační soubory, měli bychom nastavit dynamickou službu DNS. Tuto službu využijte, pokud vám poskytovatel ISP vydává každou chvíli dynamickou externí adresu IP. Pokud máte statickou externí adresu IP, přeskočte na další krok.
Doporučujeme používat DynDNS.com, službu, která vám umožní ukázat název hostitele (tj. Howtogeek.dyndns.org) na dynamickou adresu IP. Je důležité, aby aplikace OpenVPN vždy věděla o vaší veřejné IP adrese sítě a pomocí aplikace DynDNS bude OpenVPN vždy vědět, jak lokalizovat vaši síť bez ohledu na to, jaká je vaše veřejná IP adresa. Zaregistrujte se na bezplatný název hostitele a přejděte na svou veřejnou adresu IP.
Nyní zpět na konfiguraci OpenVPN. V Průzkumníkovi Windows přejděte na C: Program Files (x86) \ OpenVPN \ sample-config pokud používáte 64bitový systém Windows 7 nebo Windows 7 C: Program Files \ OpenVPN \ sample-config pokud používáte 32bitový systém Windows 7. V této složce naleznete tři ukázkové konfigurační soubory; my se zajímáme pouze o client.ovpn soubor.
Klikněte pravým tlačítkem client.ovpn a otevřete jej pomocí programu Poznámkový blok nebo Poznámkový blok ++. Všimněte si, že váš soubor bude vypadat jako obrázek níže:
Chceme však naši client.ovpn soubor vypadat podobně tento obrázek níže. Nezapomeňte změnit název hostitele DynDNS na název hostitele v řádku 4 (nebo jej změnit na veřejnou adresu IP, pokud máte statickou adresu). Nechte číslo portu 1194 jako standardní port OpenVPN. Také nezapomeňte změnit řádky 11 a 12 tak, aby odrážely název souboru certifikátu klienta a souboru klíčů. Uložit jako soubor nového souboru .ovpn ve složce OpenVPN / config.
Konfigurace funkce DD-WRT OpenVPN Daemon
Základní myšlenkou je nyní zkopírovat certifikáty serveru a klíče, které jsme dříve vytvořili, a vložit je do nabídky DD-WRT OpenVPN Daemon. Otevřete znovu svůj prohlížeč a přejděte k routeru. Nyní byste měli mít na routeru nainstalovanou verzi VPN DD-WRT. V záložce Služby nazvaný VPN si všimnete novou podkartu. Klepněte na přepínač Povolit pod Démonem OpenVPN.
Nejprve nezapomeňte typ Start změnit na "Wan Up" místo výchozího "System". Nyní budeme potřebovat naše klíče serveru a certifikáty, které jsme vytvořili dříve. V Průzkumníkovi Windows přejděte na C: \ Program Files (x 86) \ OpenVPN \ easy-rsa \ klíče na 64bitovém systému Windows 7 (nebo C: \ Program Files \ OpenVPN \ easy-rsa \ klíče na 32bitovém systému Windows 7). Otevřete každý odpovídající soubor níže (ca.crt, server.crt, server.key, a dh1024.pem) pomocí programu Poznámkový blok nebo Poznámkový blok ++ a zkopírujte obsah. Vložte obsah do odpovídajících polí, jak je vidět níže.
Pro pole OpenVPN Config budeme muset vytvořit vlastní soubor. Tato nastavení se budou lišit v závislosti na nastavení sítě LAN. Otevřete samostatné okno prohlížeče a zadejte adresu IP směrovače. Klikněte na kartu Nastavení a poznamenejte si, jakou IP adresu jste nakonfigurovali pod Router IP> Local IP Address. Výchozí hodnota, kterou používáme v tomto příkladu, je 192.168.1.1. Tuto podsíť vložte přímo za "trasu" do prvního řádku, abyste odráželi nastavení sítě LAN. Zkopírujte toto do okna Konfigurace OpenVPN a klepněte na tlačítko Uložit.
push "trasu 192.168.1.0 255.255.255.0"
server 10.8.0.0 255.255.255.0dev tun0
proto tcp
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
/tmp/openvpn/key.pem# Použijte pouze crl-ověřte, pokud používáte seznam odvolání - jinak nechte komentovat
# crl-ověřit /tmp/openvpn/ca.crlparametr # management umožňuje webové stránce OpenVPN stavu DD-WRT pro přístup k portu správy serveru
# port musí být 5001 pro skripty vložené do firmwaru pro práci
správa localhost 5001
Nyní musíme nakonfigurovat bránu firewall tak, aby umožňovala klientům připojit se k našemu serveru OpenVPN prostřednictvím portu 1194. Přejděte na kartu Správa a klikněte na podkartu Příkazy. V textovém poli Příkazy vložte následující:
iptables -I VSTUP 1 -p udp -dport 1194 -j ACCEPT
iptables -I FORWARD 1 - zdroj 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Ujistěte se, že změníte svou IP adresu LAN v druhém řádku, pokud je jiný než výchozí. Poté klikněte na tlačítko Uložit bránu firewall níže.
Konečně nezapomeňte zkontrolovat nastavení času v záložce Nastavení, jinak démon OpenVPN zamítne všechny klienty. Doporučujeme navštívit TimeAndDate.com a hledat vaše město pod Current Time. Tyto webové stránky vám poskytnou všechny informace, které potřebujete k vyplnění v Nastavení času, stejně jako níže. Také se podívejte na webovou stránku NTP Pool projektu pro veřejné servery NTP.
Nastavení klienta OpenVPN
V tomto příkladu budeme jako náš klient v samostatné síti používat notebook Windows 7. První věc, kterou budete chtít udělat, je nainstalovat OpenVPN na svého klienta, jak jsme učinili výše v prvních krocích v sekci Konfigurace OpenVPN. Poté přejděte na C: \ Program Files \ OpenVPN \ config což je místo, kde vložíme naše soubory.
Nyní se musíme vrátit zpět do původního počítače a shromáždit celkem čtyři soubory, které se mají kopírovat do našeho klientského notebooku. Navigovat do C: \ Program Files (x 86) \ OpenVPN \ easy-rsa \ klíče znovu a zkopírujte ca.crt, client1.crt, a client1.key. Vložte tyto soubory do klienta config složky.
Nakonec musíme zkopírovat ještě jeden soubor. Navigovat do C: Program Files (x86) \ OpenVPN \ config a zkopírujte nový soubor client.ovpn, který jsme vytvořili dříve. Vložte tento soubor do klienta config složka také.
Testování klienta OpenVPN
Na klientském přenosném počítači klepněte na tlačítko Start systému Windows a přejděte na příkaz Všechny programy> OpenVPN. Klikněte pravým tlačítkem myši na soubor GUI OpenVPN a klikněte na Spustit jako správce. Všimněte si, že musíte vždy spustit OpenVPN jako správce, aby fungoval správně. Chcete-li soubor trvale nastavit tak, aby byl vždy spuštěn jako správce, klepněte pravým tlačítkem na soubor a klepněte na příkaz Vlastnosti. Na kartě Kompatibilita zaškrtněte možnost Spustit tento program jako správce.
Ikona OpenVPN GUI se zobrazí vedle hodin na hlavním panelu. Klikněte pravým tlačítkem myši na ikonu a klikněte na Připojit. Jelikož máme v našem souboru pouze jeden soubor .ovpn config OpenVPN se standardně připojí k této síti.
Zobrazí se dialogové okno se záznamem připojení.
Po připojení k síti VPN bude ikona OpenVPN na hlavním panelu zelená a zobrazí vaši virtuální adresu IP.
A to je vše! Nyní máte zabezpečené spojení mezi serverem a klientskou sítí pomocí OpenVPN a DD-WRT. Chcete-li provést další otestování připojení, zkuste otevřít prohlížeč v klientském přenosném počítači a navigovat k routeru DD-WRT v síti serveru.
