If-Koubou

Свържете се с вашата домашна мрежа отвсякъде с OpenVPN и домати

Свържете се с вашата домашна мрежа отвсякъде с OpenVPN и домати (Как да)

Преди няколко седмици покрихме инсталирането на Домат, фърмуер на рутер с отворен код, във вашия Linksys WRT54GL. Днес ще разгледаме как да инсталирате OpenVPN заедно с Tomato и да го настроите за достъп до вашата домашна мрежа от всяка точка на света!

Какво представлява OpenVPN?

Виртуалната частна мрежа (VPN) е надеждна и сигурна връзка между една локална мрежа (LAN) и друга. Помислете за маршрутизатора си като посредник между мрежите, към които се свързвате. Както компютърът ви, така и OpenVPN сървърът (в този случай маршрутизаторът ви) "разклаща ръцете", използвайки сертификати, които се валидират взаимно. При потвърждаване клиентът и сървърът се съгласяват да се доверят един на друг и клиентът получава достъп до мрежата на сървъра.

Обикновено VPN софтуерът и хардуерът струват много пари за изпълнение. Ако не сте го познали вече, OpenVPN е решение с отворен код за VPN, което е безплатно (барабанна ролка). Доматът, заедно с OpenVPN, е перфектно решение за тези, които искат сигурна връзка между две мрежи, без да се налага да отварят портфейла си. Разбира се, OpenVPN няма да работи веднага от кутията. Нужно е малко да промените и конфигурирате, за да го направите точно. Не се притеснявайте обаче; ние сме тук, за да направим този процес по-лесен за вас, така че вземете топла чаша кафе и нека да започнем.

За повече информация относно OpenVPN посетете официалното Какво е OpenVPN? страница.

Предварителни

Това ръководство предполага, че в момента се изпълнява Windows 7 на вашия компютър и че използвате административен акаунт. Ако сте потребител на Mac или Linux, това ръководство ще ви даде представа как работят нещата, но може би ще трябва да направите малко повече изследвания сами, за да получите нещата перфектни. Също така ще инсталираме специална версия на Tomato, наречена TomatoUSB VPN на маршрутизатор Linksys WRT54GL версия 1.1. За да разберете дали маршрутизаторът ви е съвместим с TomatoUSB, проверете страницата "Типове сгради".

В началото на това ръководство се предполага, че имате или:

  1. оригиналния фърмуер на Linksys, инсталиран на вашия маршрутизатор или
  2. софтуера за домати, който описахме в последната ни статия

Обърнете внимание на текста над някои стъпки, посочващи дали става въпрос за фърмуера на Linksys или фърмуера на домати.

Инсталиране на TomatoUSB

В предишна статия обсъдихме как да инсталираме оригиналния фърмуер на Tomato v1.28 от уеб сайта на PolarCloud. За съжаление тази версия на Tomato не дойде с поддръжка на OpenVPN, така че ще инсталираме по-нова версия, наречена TomatoUSB VPN.

Първото нещо, което ще искате да направите, е да се отправите към началната страница на TomatoUSB и да кликнете върху връзката Download Tomato USB.

Изтегли VPN под Ядро 2.4 (стабилно) секция. Запишете файла .rar на компютъра си.

Ще ви е необходима програма за извличане на файла .rar. Препоръчваме Ви да използвате WinRAR, тъй като е свободен да се използва и лесно. Можете да изтеглите копие на безплатната версия на уебсайта си. След като инсталирате WinRAR, щракнете с десния бутон върху изтегления от вас файл и кликнете върху Extract Here. След това трябва да видите две извиквани файлове CHANGELOG и домат-NDUSB-1.28.8754-vpn3.6.trx.

Ако работите с фърмуера на Linksys ...

Отворете браузъра си и въведете IP адреса на маршрутизатора си (по подразбиране е 192.168.1.1). Ще бъдете подканени за потребителско име и парола. Стандартните настройки за Linksys WRT54GL са "admin" и "admin".

Кликнете върху раздела Администрация в горната част. След това кликнете върху Ъпгрейд на фърмуера, както е показано по-долу.

Кликнете върху бутона Преглед и отидете до извлечените TomatoUSB VPN файлове. Изберете домати NDUSB-1.28.8754-vpn3.6.trx файл и кликнете върху бутона "Надстройване" в уеб интерфейса. Вашият рутер ще започне да инсталира TomatoUSB VPN и трябва да отнеме по-малко от минута. След около минута отворете командния ред и въведете ipconfig -release за да определите новия IP адрес на рутера. След това въведете ipconfig -renew, IP адресът вдясно от Default Gateway ... е IP адресът на рутера ви.

Забележка: След инсталирането на домати отидете в Администрация> Конфигурация и изберете "Изтриване на всички NVRAM ...".

Ако използвате фърмуера на домати ...

Отворете браузъра си и въведете IP адреса на рутера. Предполагаме, че ако сте инсталирали Домат, вие знаете IP адреса на вашия рутер. Ако не сте сигурни, вероятно е зададен по подразбиране от 192.168.1.1. След това въведете потребителското си име и парола.

Въпреки че това не е задължително, може да искате да направите резервно копие на текущата конфигурация на домати, преди да надстроите до TomatoUSB VPN, само за всеки случай. За да запазите конфигурацията си, отворете Администрация> Конфигурация и кликнете върху бутона Backup (Архивиране). Това ще ви подкани да запазите .cfg файла на компютъра си.

Сега е време да надстроите домати на TomatoUSB VPN. Кликнете върху надстройване в лявата колона и кликнете върху бутона Избиране на файл. Придвижете се до файловете, които извадихме по-рано, и изберете домати NDUSB-1.28.8754-vpn3.6.trx файл. След това кликнете върху бутона за надстройване.

Ще бъдете помолени да потвърдите надстройването; просто кликнете върху OK.

Вашият рутер ще започне да качва новия фърмуер и ще се рестартира в рамките на една минута.

Може да има същия или различен IP адрес, след като се рестартира. В нашия случай конфигурацията на рутера все още беше същата, поради което нашият IP адрес все още беше същият. За да определите новия IP адрес на рутера, отворете командния ред и въведете ipconfig -release, След това въведете ipconfig -renew, IP адресът отдясно на шлюза по подразбиране ... е адресът на маршрутизатора ви. Ако конфигурацията ви се върне към настройките по подразбиране, върнете се към страницата за конфигуриране (Администриране> Конфигурация) и кликнете върху бутона Избор на файл в "Възстанови конфигурация".Прегледайте файла .cfg, който сте запазили на компютъра по-рано, и кликнете върху бутона Възстановяване.

Конфигуриране на OpenVPN

Независимо дали сте инсталирали фърмуер на Linksys или сте инсталирали фирмен софтуер за домати, сега трябва да имате инсталиран новия TomatoUSB VPN във вашия рутер. Ще забележите няколко нови менюта в лявата колона, включително Употреба на уеб, USB и NAS и VPN тунелиране. За това ръководство се занимаваме само с менюто VPN Tunneling, така че отидете напред и щракнете върху VPN Tunneling. Дръжте отворения прозорец на браузъра Ще се върнем към него скоро.

Сега нека се отправим към страницата за изтегляне на OpenVPN и изтегли OpenVPN Windows Installer. В това ръководство ще използваме втората последна версия на OpenVPN, наречена 2.1.4. Последната версия (2.2.0) има грешка в нея, която би направила този процес още по-сложен. Файлът, който изтегляме, ще инсталира програмата OpenVPN, която ви позволява да се свържете с VPN мрежата, така че не забравяйте да инсталирате тази програма на всички други компютри, които искате да действате като клиенти (както ще видим как да направите това по късно). Запишете файла openvpn-2.1.4-install на вашия компютър.

Придвижете се до OpenVPN файла, който току-що изтеглихме, и кликнете два пъти върху него. Това ще започне инсталирането на OpenVPN на вашия компютър. Стартирайте инсталатора с всички проверени настройки по подразбиране. По време на инсталацията ще се появи диалогов прозорец с молба да инсталирате нов виртуален мрежов адаптер, наречен TAP-Win32. Кликнете върху бутона Инсталиране.

След като инсталирате OpenVPN на компютъра си, трябва да започнем да създаваме сертификати и ключове за удостоверяване на устройства.

Създаване на сертификати и ключове

Кликнете върху бутона "Старт" на Windows и отворете "Аксесоари". Ще видите програмата за команден ред. Кликнете с десния бутон върху него и кликнете върху Изпълни като администратор.

В командния ред въведете cd c: \ Програмни файлове (x86) \ OpenVPN \ easy-rsa ако работите с 64-битов Windows 7, както е показано по-долу. Тип cd c: \ Програмни файлове \ OpenVPN \ easy-rsa ако използвате 32-битов Windows 7. След това натиснете Enter.

Сега въведете първоначален-довереник и натиснете Enter, за да копирате два файла, наречени vars.bat и openssl.cnf, в папката easy-rsa. Дръжте командния ред, тъй като скоро ще се върнем към него.

Придвижете се до C: \ Програмни файлове (x86) \ OpenVPN \ easy-rsa (или C: \ Program Files \ OpenVPN \ easy-rsa на 32-битов Windows 7) и щракнете с десния бутон върху файла, наречен vars.bat, Кликнете върху Редактиране, за да го отворите в Notepad. Друга възможност е да отворите този файл с Notepad ++, тъй като форматира текста във файла много по-добре. Можете да изтеглите Notepad ++ от началната им страница.

Най-долната част на файла е това, от което се интересуваме. Започвайки от линия 31, променете KEY_COUNTRY стойност, KEY_PROVINCE стойност и т.н. за вашата страна, провинция и т.н. Например сменихме нашата провинция на "IL", град на "Чикаго", org към "HowToGeek" и изпратихме имейл на нашия собствен имейл адрес. Също така, ако използвате Windows 7 64-битов, променете У ДОМА стойност в ред 6 до % ProgramFiles (x86)% \ OpenVPN \ easy-rsa, Не променяйте тази стойност, ако използвате 32-битов Windows 7. Вашият файл трябва да изглежда подобен на нашия по-долу (разбира се, с вашите съответни стойности). Запазете файла, като го презапишете, след като завършите редактирането.

Върнете се в командния ред и въведете Варс и натиснете Enter. След това въведете почистване на всички и натиснете Enter. Накрая въведете изграждане на-ва и натиснете Enter.

След изпълнение на изграждане на-ва команда, ще бъдете подканени да въведете името, държавата, местността и т.н., тъй като вече сме задали тези параметри в нашата vars.bat файл, можем да пропуснем тези опции, като натиснете Enter, но! Преди да започнете да се отклонявате от клавиша Enter, внимавайте за параметъра Common Name. Можете да въведете всичко в този параметър (т.е. вашето име). Просто се уверете, че сте влезли нещо, Тази команда ще изведе два файла (сертификат за Root CA и кодов ключ CA) в папката easy-rsa / keys.

Сега ще изградим ключ за клиент. В същия тип на командния ред вграден ключ client1, Можете да промените "client1" на всичко, което искате (т.е. Acer-Laptop). Просто не забравяйте да въведете същото име като Общото име, когато бъдете подканени. Например, когато стартирате командата Acer-лаптоп с вграден ключ, вашето общо име трябва да бъде "Acer-Laptop". Преминете през всички неизправности като последната стъпка, която направихме (с изключение на Общото име, разбира се). В края на краищата ще бъдете помолени да подпишете сертификата и да се ангажирате. Въведете "y" и за двете и натиснете Enter.

Също така, не се притеснявайте, ако сте получили грешката "не може да пише" случайно състояние ". Забелязах, че вашите сертификати все още се правят без проблем. Тази команда ще изведе два файла (клиентски ключ и сертификат Client1) в папката easy-rsa / keys. Ако искате да създадете друг ключ за друг клиент, повторете предишната стъпка, но не забравяйте да промените Общото име.

Последният сертификат, който ще генерираме, е сървърният ключ. В същия командния ред въведете вграден ключ на сървъра сървър, Можете да замените "сървър" в края на командата с всичко, което искате (т.е. HowToGeek-Server). Както винаги, не забравяйте да въведете същото име като Общото име, когато бъдете подканени. Например, когато стартирате командата изграждане на сървър-сървър HowToGeek-сървър, вашето общо име трябва да бъде "HowToGeek-Server". Натиснете Enter и изпълнете всички настройки по подразбиране, с изключение на Common Name. Накрая въведете "y", за да подпишете сертификата и да го извършите. Тази команда ще изведе два файла (сървърния ключ и сървърния сертификат) в папката easy-rsa / keys.

Сега трябва да генерираме параметрите Diffie Hellman.Протоколът Diffie Hellman "позволява на двама потребители да обменят таен ключ над несигурна среда без никакви тайни преди това". Можете да прочетете повече за Diffie Hellman на уебсайта на RSA.

В същия тип на командния ред изграждане на-DH, Тази команда ще изведе един файл (dh1024.pem) в папката easy-rsa / keys.

Създаване на конфигурационните файлове за Клиента

Преди да редактираме конфигурационните файлове, трябва да създадем динамична DNS услуга. Използвайте тази услуга, ако вашият Интернет доставчик ви издава динамичен външен IP адрес толкова често. Ако имате статичен външен IP адрес, преминете на следващата стъпка.

Препоръчваме да използвате DynDNS.com, услуга, която ви позволява да посочите име на хост (т.е. howtogeek.dyndns.org) към динамичен IP адрес. Важно е OpenVPN винаги да знае обществения IP адрес на мрежата ви и с помощта на DynDNS, OpenVPN винаги ще знае как да локализира вашата мрежа, без значение кой е вашият публичен IP адрес. Регистрирайте се за име на хост и го насочете към публичния си IP адрес. След като се регистрирате за услугата, не забравяйте да настроите услугата за автоматично актуализиране в "Домат" под Basic> DDNS.

Сега отново да конфигурирате OpenVPN. В Windows Explorer отидете до C: \ Програмни файлове (x86) \ OpenVPN \ sample-config ако работите с 64-битови Windows 7 или C: \ Program Files \ OpenVPN \ sample-config ако използвате 32-битов Windows 7. В тази папка ще намерите три примерни конфигурационни файла; ние се интересуваме само от client.ovpn файл.

Кликнете с десния бутон върху client.ovpn и го отворете с Notepad или Notepad ++. Ще забележите, че файлът ви ще изглежда по-долу:

Искаме обаче нашето client.ovpn файл, за да изглежда подобен това долу. Не забравяйте да промените името на хоста на DynDNS на името на хоста си в ред 4 (или да го промените на публичния си IP адрес, ако имате статичен). Оставете номера на порта до 1194, тъй като той е стандартният OpenVPN порт. Също така не забравяйте да промените реда 11 и 12, за да отразите името на файла със сертификат на клиента и файла с ключовете. Запазете го като нов файл .ovpn файл в папката OpenVPN / config.

Конфигуриране на VPN тунелиране на домати

Основната идея сега е да копирате сървърните сертификати и клавишите, които направихме по-рано, и да ги поставите в менютата на Tomato VPN сървъра. След това ще проверим няколко настройки в "Домат", ще тестваме VPN връзката и тогава ще можем да измием ръцете си и да го наречем един ден!

Отворете браузър и отидете до маршрутизатора си. Кликнете върху менюто VPN Tunneling в лявата лента. Уверете се също, че сте избрали Server1 и Basic. Настройте настройките си точно както са показани по-долу. Кликнете върху Запазване.

Актуализиране: Режимът по подразбиране е TUN или тунел, но най-вероятно искате да го промените на TAP, който вместо това свързва мрежата. Режимът на тунела ще сложи вашите външни клиенти на различна мрежа от вътрешната мрежа. Така че определено променете типа интерфейс на TAP вместо това.

След това кликнете върху раздела Разширени до Basic. Както и преди, уверете се, че настройките ви са точно както са показани по-долу. Кликнете върху Запазване.

Нашата последна стъпка е поставянето на ключовете и сертификатите, които първоначално създадохме. Отворете раздела Ключове до Разширени. В Windows Explorer отидете до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ ключове на 64-битов Windows 7 (или C: \ Програмни файлове \ OpenVPN \ easy-rsa \ ключове на 32-битов Windows 7). Отворете съответния файл по-долу (ca.crt, server.crt, server.key, и dh1024.pem) с Notepad или Notepad ++ и копирайте съдържанието. Поставете съдържанието в съответните полета, както е показано по-долу. Трябва да отбележа, че трябва само да поставите всичко под -BEGIN CERTIFICATE- в server.crt, OpenVPN ще продължи да работи правилно, ако сте поставили целия файл, но е по-"чист" само при поставянето на действителната информация за сертификата. Кликнете върху Запазване и след това върху Старт сега.

Преди да тестваме нашата VPN връзка, има още едно нещо, което трябва да проверим вътре в домати. Кликнете върху Basic (Основни) в лявата колона и след това върху Time (Време). Уверете се, че времето за рутер е правилно и часовата зона показва текущата ви часова зона. Задайте времевия сървър на NTP във вашата страна.

Създаване на OpenVPN клиент

В този пример ще използваме лаптоп с Windows 7 като наш клиент. Първото нещо, което ще искате да направите, е да инсталирате OpenVPN на клиента си, както направихме по-горе в първите стъпки в "Конфигуриране на OpenVPN". След това отидете на C: \ Program Files \ OpenVPN \ config където ще вмъкнем файловете си.

Сега трябва да се върнем на нашия оригинален компютър и да съберем общо четири файла, които да се копират на нашия клиентски лаптоп. Придвижете се до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ ключове отново и да копирате ca.crt, client1.crt, и client1.key, Поставете тези файлове в клиента конфигурационния папка.

И накрая, трябва да копираме още един файл. Придвижете се до C: \ Program Files (x86) \ OpenVPN \ config и копирайте файла new.ovpn, който създадохме по-рано. Поставете този файл в клиента конфигурационния папка също.

Тестване на OpenVPN клиента

На лаптопа на клиента щракнете върху бутона за стартиране на Windows и отидете на Всички програми> OpenVPN. Кликнете с десния бутон на мишката върху OpenVPN GUI файла и щракнете върху Изпълни като администратор. Имайте предвид, че винаги трябва да стартирате OpenVPN като администратор, за да работи правилно. За да зададете окончателно файлът винаги да се изпълнява като администратор, щракнете с десния бутон на мишката върху файла и щракнете върху Свойства. В раздела "Съвместимост" поставете отметка "Стартирайте тази програма като администратор".

Иконката на OpenVPN GUI ще се покаже до часовника в лентата на задачите. Кликнете с десния бутон върху иконата и кликнете върху Connect. Тъй като имаме само един .ovpn файл в нашия конфигурационния папка, OpenVPN ще се свърже с тази мрежа по подразбиране.

Ще се появи диалогов прозорец, показващ регистрационен файл за свързване.

След като сте свързани с VPN, иконата на OpenVPN в лентата на задачите ще стане зелена и ще визуализира вашия виртуален IP адрес.

И това е! Вече имате сигурна връзка между сървъра и мрежата на клиента, като използвате OpenVPN и TomatoUSB. За да тествате по-нататък връзката, опитайте да отворите браузър на лаптопа на клиента и да навигирате до своя Tomato router в мрежата на сървъра.

Изображение от Еван