If-Koubou

Как да инсталирате и конфигурирате OpenVPN на своя DD-WRT маршрутизатор

Как да инсталирате и конфигурирате OpenVPN на своя DD-WRT маршрутизатор (Как да)

Вече включихме инсталирането на домати на вашия маршрутизатор и как да се свържем с вашата домашна мрежа с OpenVPN и Tomato. Сега ще покрием инсталирането на OpenVPN на вашия маршрутизатор с възможност за DD-WRT за лесен достъп до вашата домашна мрежа от всяка точка на света!

Какво представлява OpenVPN?

Виртуалната частна мрежа (VPN) е надеждна и сигурна връзка между една локална мрежа (LAN) и друга. Помислете за маршрутизатора си като посредник между мрежите, към които се свързвате. Както компютърът ви, така и сървърът OpenVPN (в този случай вашият рутер), "ръцете си" използват сертификати, които се валидират взаимно. При потвърждаване клиентът и сървърът се съгласяват да се доверят един на друг и клиентът получава достъп до мрежата на сървъра.

Обикновено VPN софтуерът и хардуерът струват много пари за изпълнение. Ако не сте го познали вече, OpenVPN е решение с отворен код за VPN, което е безплатно (барабанна ролка). DD-WRT, заедно с OpenVPN, е идеалното решение за тези, които искат сигурна връзка между две мрежи, без да се налага да отварят портфейла си. Разбира се, OpenVPN няма да работи веднага от кутията. Нужно е малко да промените и конфигурирате, за да го направите точно. Не се притеснявайте обаче; ние сме тук, за да направим този процес по-лесен за вас, така че вземете топла чаша кафе и нека да започнем.

За повече информация относно OpenVPN посетете официалното Какво е OpenVPN? страница.

Предварителни

Това ръководство предполага, че в момента се изпълнява Windows 7 на вашия компютър и че използвате административен акаунт. Ако сте потребител на Mac или Linux, това ръководство ще ви даде представа как работят нещата, но може би ще трябва да направите малко повече изследвания сами, за да получите нещата перфектни.

Това ръководство също така предполага, че притежавате Linksys WRT54GL и имате общо разбиране за технологията VPN. Тя трябва да служи като основа за инсталиране на DD-WRT, но не забравяйте да проверите нашето официално ръководство за инсталиране на DD-WRT за допълнителна добавка.

Инсталиране на DD-WRT

Екипът, отговарящ за DD-WRT, свърши чудесна работа, улеснявайки крайните потребители да открият рутерната съвместимост със страницата на базата данни на рутера. Започнете, като въведете вашия модел рутер (в нашия случай WRT54GL) в текстовото поле и резултатите от търсенето се показват незабавно. Кликнете върху маршрутизатора си, след като бъде намерен.

Ще бъдете доведени до нова страница, в която се изписва информация за вашия модел - включително хардуерни спецификации и различни конструкции на DD-WRT. Изтеглете и Mini-Generic и VPN Generic изграждане на DD-WRT (DD-wrt.v24_mini_generic.bin и DD-wrt.v24_vpn_generic.bin). Запишете тези файлове в компютъра си.

Добра идея е да посетите DD-WRT хардуерна специфична страница за информация, за да намерите подробна информация за вашия маршрутизатор и DD-WRT. Тази страница ще ви обясни точно какво трябва да направите преди и след инсталирането на DD-WRT. Например, трябва да инсталирате мини версията на DD-WRT, преди да инсталирате DD-WRT VPN, когато надстройвате от фърмуера Linksys на WRT54GL.

Също така, уверете се, че сте направили твърдо рестартиране (AKA a 30/30/30), преди да инсталирате DD-WRT. Натиснете бутона за нулиране в задната част на маршрутизатора за 30 секунди. След това, докато държите бутона за нулиране, изключете захранващия кабел и го оставете изключен за 30 секунди. Накрая включете отново захранващия кабел, докато държите бутона за нулиране още 30 секунди. Трябваше да задържите бутона за захранване за 90 секунди направо.

Сега отворете браузъра си и въведете IP адреса на вашия маршрутизатор (по подразбиране е 192.168.1.1). Ще бъдете подканени за потребителско име и парола. По подразбиране за Linksys WRT54GL са "admin" и "admin".

Кликнете върху раздела Администрация в горната част. След това кликнете върху Ъпгрейд на фърмуера, както е показано по-долу.

Кликнете върху бутона Преглед и отидете до DD-WRT Mini Generic .bin файла, който изтеглихме по-рано. правя не качвате DD-WRT VPN файла .bin още. Кликнете върху бутона "Надстройване" в уеб интерфейса. Вашият рутер ще започне да инсталира DD-WRT Mini Generic и трябва да отнеме по-малко от минута.

Уви! Вашето първо гледане на DD-WRT. За пореден път направете още 30/30/30 нулиране, както направихме по-горе. След това кликнете върху раздела Администриране в горната част. Ще бъдете подканени с потребителско име и парола. Потребителското име и паролата по подразбиране са "root" и "admin" съответно. След като сте влезли в профила си, кликнете върху подраздела за надстройване на фърмуера и изберете Избор на файл. Прегледайте DD-WRT VPN файла, който сте изтеглили по-рано, и кликнете върху Отваряне. Версията VPN на DD-WRT сега ще започне да се качва; бъдете търпеливи, тъй като може да отнеме 2-3 минути.

Инсталиране на OpenVPN

Сега нека се отправим към страницата за изтегляне на OpenVPN и изтегли OpenVPN Windows Installer. В това ръководство ще използваме втората последна версия на OpenVPN, наречена 2.1.4. Последната версия (2.2.0) има грешка в нея, която би направила този процес още по-сложен. Файлът, който изтегляме, ще инсталира програмата OpenVPN, която ви позволява да се свържете с VPN мрежата, така че не забравяйте да инсталирате тази програма на всички други компютри, които искате да действате като клиенти (както ще видим как да направите това по късно). Запишете файла openvpn-2.1.4-install на вашия компютър.

Придвижете се до OpenVPN файла, който току-що изтеглихме, и кликнете два пъти върху него. Това ще започне инсталирането на OpenVPN на вашия компютър. Стартирайте инсталатора с всички проверени настройки по подразбиране. По време на инсталацията ще се появи диалогов прозорец с молба да инсталирате нов виртуален мрежов адаптер, наречен TAP-Win32. Кликнете върху бутона Инсталиране.

Създаване на сертификати и ключове

След като инсталирате OpenVPN на компютъра си, трябва да започнем да създаваме сертификати и ключове за удостоверяване на устройства. Кликнете върху бутона "Старт" на Windows и отворете "Аксесоари". Ще видите програмата за команден ред. Кликнете с десния бутон върху него и кликнете върху Изпълни като администратор.

В командния ред въведете cd c: \ Програмни файлове (x86) \ OpenVPN \ easy-rsa ако работите с 64-битов Windows 7, както е показано по-долу. Тип cd c: \ Програмни файлове \ OpenVPN \ easy-rsa ако използвате 32-битов Windows 7. След това натиснете Enter.

Сега въведете първоначален-довереник и натиснете Enter, за да копирате два файла, наречени vars.bat и openssl.cnf, в папката easy-rsa. Дръжте командния ред, тъй като скоро ще се върнем към него.

Придвижете се до C: \ Програмни файлове (x86) \ OpenVPN \ easy-rsa (или C: \ Program Files \ OpenVPN \ easy-rsa на 32-битов Windows 7) и щракнете с десния бутон върху файла, наречен vars.bat, Кликнете върху Редактиране, за да го отворите в Notepad. Друга възможност е да отворите този файл с Notepad ++, тъй като форматира текста във файла много по-добре. Можете да изтеглите Notepad ++ от началната им страница.

Най-долната част на файла е това, от което се интересуваме. Започвайки от линия 31, променете KEY_COUNTRY стойност, KEY_PROVINCE стойност и т.н. за вашата страна, провинция и т.н. Например сменихме нашата провинция на "IL", град на "Чикаго", org към "HowToGeek" и изпратихме имейл на нашия собствен имейл адрес. Също така, ако използвате Windows 7 64-битов, променете У ДОМА стойност в ред 6 до % ProgramFiles (x86)% \ OpenVPN \ easy-rsa, Не променяйте тази стойност, ако използвате 32-битов Windows 7. Вашият файл трябва да изглежда подобен на нашия по-долу (разбира се, с вашите съответни стойности). Запазете файла, като го презапишете, след като завършите редактирането.

Върнете се в командния ред и въведете Варс и натиснете Enter. След това въведете почистване на всички и натиснете Enter. Накрая въведете изграждане на-ва и натиснете Enter.

След изпълнение на изграждане на-ва команда, ще бъдете подканени да въведете името, държавата, местността и т.н., тъй като вече сме задали тези параметри в нашата vars.bat файл, можем да пропуснем тези опции, като натиснете Enter, но! Преди да започнете да се отклонявате от клавиша Enter, внимавайте за параметъра Common Name. Можете да въведете всичко в този параметър (т.е. вашето име). Просто се уверете, че сте влезли нещо, Тази команда ще изведе два файла (сертификат за Root CA и кодов ключ CA) в папката easy-rsa / keys.

Сега ще изградим ключ за клиент. В същия тип на командния ред вграден ключ client1, Можете да промените "client1" на всичко, което искате (т.е. Acer-Laptop). Просто не забравяйте да въведете същото име като Общото име, когато бъдете подканени. Преминете през всички неизправности като последната стъпка, която направихме (с изключение на Общото име, разбира се). В края на краищата ще бъдете помолени да подпишете сертификата и да се ангажирате. Въведете "y" и за двете и натиснете Enter.

Също така, не се притеснявайте, ако сте получили грешката "не може да пише" случайно състояние ". Забелязахме, че вашите сертификати все още се правят без проблем. Тази команда ще изведе два файла (клиентски ключ и сертификат Client1) в папката easy-rsa / keys. Ако искате да създадете друг ключ за друг клиент, повторете предишната стъпка, но не забравяйте да промените Общото име.

Последният сертификат, който ще генерираме, е сървърният ключ. В същия командния ред въведете вграден ключ на сървъра сървър, Можете да замените "сървър" в края на командата с всичко, което искате (т.е. HowToGeek-Server). Както винаги, не забравяйте да въведете същото име като Общото име, когато бъдете подканени. Натиснете Enter и изпълнете всички настройки по подразбиране, с изключение на Common Name. Накрая въведете "y", за да подпишете сертификата и да го извършите. Тази команда ще изведе два файла (сървърния ключ и сървърния сертификат) в папката easy-rsa / keys.

Сега трябва да генерираме параметрите Diffie Hellman. Протоколът Diffie Hellman "позволява на двама потребители да обменят таен ключ над несигурна среда без никакви тайни преди това". Можете да прочетете повече за Diffie Hellman на уебсайта на RSA.

В същия тип на командния ред изграждане на-DH, Тази команда ще изведе един файл (dh1024.pem) в папката easy-rsa / keys.

Създаване на конфигурационните файлове за Клиента

Преди да редактираме конфигурационните файлове, трябва да създадем динамична DNS услуга. Използвайте тази услуга, ако вашият Интернет доставчик ви издава динамичен външен IP адрес толкова често. Ако имате статичен външен IP адрес, преминете на следващата стъпка.

Препоръчваме да използвате DynDNS.com, услуга, която ви позволява да посочите име на хост (т.е. howtogeek.dyndns.org) към динамичен IP адрес. Важно е OpenVPN винаги да знае обществения IP адрес на мрежата ви и с помощта на DynDNS, OpenVPN винаги ще знае как да локализира вашата мрежа, без значение кой е вашият публичен IP адрес. Регистрирайте се за безплатен хост и го насочете към публичния си IP адрес.

Сега отново да конфигурирате OpenVPN. В Windows Explorer отидете до C: \ Програмни файлове (x86) \ OpenVPN \ sample-config ако работите с 64-битови Windows 7 или C: \ Program Files \ OpenVPN \ sample-config ако използвате 32-битов Windows 7. В тази папка ще намерите три примерни конфигурационни файла; ние се интересуваме само от client.ovpn файл.

Кликнете с десния бутон върху client.ovpn и го отворете с Notepad или Notepad ++. Ще забележите, че файлът ви ще изглежда по-долу:

Искаме обаче нашето client.ovpn файл, за да изглежда подобен това долу.Не забравяйте да промените името на хоста на DynDNS на името на хоста си в ред 4 (или да го промените на публичния си IP адрес, ако имате статичен). Оставете номера на порта до 1194, тъй като той е стандартният OpenVPN порт. Също така не забравяйте да промените реда 11 и 12, за да отразите името на файла със сертификат на клиента и файла с ключовете. Запазете го като нов файл .ovpn файл в папката OpenVPN / config.

Конфигуриране на DD-WRT на OpenVPN Daemon

Основната идея сега е да копирате сървърните сертификати и клавишите, които направихме по-рано, и да ги поставите в менютата на DD-WRT OpenVPN Daemon. Отворете браузъра си отново и отворете маршрутизатора си. Вече трябва да имате инсталирана във вашия рутер DD-WRT VPN издание. Ще забележите нов под-раздел под раздела Услуги, наречен VPN. Кликнете върху бутона за активиране под бутона OpenVPN Daemon.

Първо, не забравяйте да промените типа Старт на "Wan Up" вместо стандартната "System". Сега ще ни трябва сървърните ни ключове и сертификати, които създадохме по-рано. В Windows Explorer отидете до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ ключове на 64-битов Windows 7 (или C: \ Програмни файлове \ OpenVPN \ easy-rsa \ ключове на 32-битов Windows 7). Отворете съответния файл по-долу (ca.crt, server.crt, server.key, и dh1024.pem) с Notepad или Notepad ++ и копирайте съдържанието. Поставете съдържанието в съответните полета, както е показано по-долу.

За полето OpenVPN Config ще трябва да създадем персонализиран файл. Тези настройки ще се различават в зависимост от начина на настройване на вашата LAN мрежа. Отворете отделен прозорец на браузъра и въведете IP адреса на рутера. Кликнете върху раздела Настройка и отбележете кой IP адрес сте конфигурирали под Router IP> Local IP Address. Стандартът, който използваме в този пример, е 192.168.1.1. Поставете тази подмрежа точно след "маршрута" в първия ред, за да отразите настройката на LAN. Копирайте това в полето OpenVPN Config и кликнете върху Запазване.

push "маршрут 192.168.1.0 255.255.255.0"
сървър 10.8.0.0 255.255.255.0

dev tun0
прото tcp
Запазване на жизнения цикъл 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem

# Използвайте само crl-проверете дали използвате списъка за отменяне - в противен случай го оставете коментиран
# crl-проверете /tmp/openvpn/ca.crl

# мениджърският параметър позволява на уеб страницата за състояние на OpenVPN на DD-WRT да получи достъп до порта за управление на сървъра
# порта трябва да бъде 5001 за скриптове, вградени във фърмуера, за да работят
мениджмънт localhost 5001

Сега трябва да конфигурираме защитната стена, за да позволим на клиентите да се свързват към нашия OpenVPN сървър чрез порта 1194. Отворете раздела Администрация и кликнете върху подраздела "Команди". В текстовото поле Команди поставете следното:

iptables -I INPUT 1 -p udp -dport 1194 -j ACCEPT
iptables -I FORWARD 1 -източник 192.168.1.0/24 -j ACCEPT
iptables -А НАПРЕД-i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

Не забравяйте да промените IP адреса LAN във втория ред, ако е различен от стандартния. След това кликнете върху бутона Запазване на защитната стена по-долу.

Накрая не забравяйте да проверите настройките си за времето в раздела "Настройка", в противен случай демонтът на OpenVPN ще откаже на всички клиенти. Предлагаме Ви да отидете на TimeAndDate.com и да търсите града си в Текущо време. Този уебсайт ще ви предостави цялата информация, която трябва да попълните, под Настройки на времето, точно както направихме по-долу. Също така разгледайте уебсайта на Проекта на NTP Pool за публични NTP сървъри, които да използвате.

Създаване на OpenVPN клиент

В този пример ще използваме лаптоп с Windows 7 като наш клиент в отделна мрежа. Първото нещо, което ще искате да направите, е да инсталирате OpenVPN на клиента си, както направихме по-горе в първите стъпки в "Конфигуриране на OpenVPN". След това отидете на C: \ Program Files \ OpenVPN \ config където ще вмъкнем файловете си.

Сега трябва да се върнем на нашия оригинален компютър и да съберем общо четири файла, които да се копират на нашия клиентски лаптоп. Придвижете се до C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ ключове отново и да копирате ca.crt, client1.crt, и client1.key, Поставете тези файлове в клиента конфигурационния папка.

И накрая, трябва да копираме още един файл. Придвижете се до C: \ Program Files (x86) \ OpenVPN \ config и копирайте файла new.ovpn, който създадохме по-рано. Поставете този файл в клиента конфигурационния папка също.

Тестване на OpenVPN клиента

На лаптопа на клиента щракнете върху бутона за стартиране на Windows и отидете на Всички програми> OpenVPN. Кликнете с десния бутон на мишката върху OpenVPN GUI файла и щракнете върху Изпълни като администратор. Имайте предвид, че винаги трябва да стартирате OpenVPN като администратор, за да работи правилно. За да зададете окончателно файлът винаги да се изпълнява като администратор, щракнете с десния бутон на мишката върху файла и щракнете върху Свойства. В раздела "Съвместимост" поставете отметка "Стартирайте тази програма като администратор".

Иконката на OpenVPN GUI ще се покаже до часовника в лентата на задачите. Кликнете с десния бутон върху иконата и кликнете върху Connect. Тъй като имаме само един .ovpn файл в нашия конфигурационния папка, OpenVPN ще се свърже с тази мрежа по подразбиране.

Ще се появи диалогов прозорец, показващ регистрационен файл за свързване.

След като сте свързани с VPN, иконата на OpenVPN в лентата на задачите ще стане зелена и ще визуализира вашия виртуален IP адрес.

И това е! Вече имате сигурна връзка между сървъра и мрежата на клиента си посредством OpenVPN и DD-WRT. За да тествате по-нататък връзката, опитайте да отворите браузър на лаптопа на клиента и да навигирате до своя маршрутизатор DD-WRT в мрежата на сървъра.