Как установить и настроить OpenVPN на вашем маршрутизаторе DD-WRT
Мы уже рассказали об установке Tomato на вашем маршрутизаторе и о том, как подключиться к домашней сети с помощью OpenVPN и Tomato. Теперь мы рассмотрим установку OpenVPN на вашем маршрутизаторе с поддержкой DD-WRT для быстрого доступа к вашей домашней сети из любой точки мира.!
Что такое OpenVPN?
Виртуальная частная сеть (VPN) - это надежное защищенное соединение между одной локальной сетью (ЛВС) и другой. Думайте о своем маршрутизаторе как о посреднике между сетями, к которым вы подключаетесь. И ваш компьютер, и сервер OpenVPN (в данном случае ваш маршрутизатор) «пожимают друг другу руки», используя сертификаты, которые проверяют друг друга. После проверки и клиент, и сервер соглашаются доверять друг другу, и тогда клиенту разрешается доступ в сети сервера..
Как правило, программное и аппаратное обеспечение VPN требуют больших затрат на внедрение. Если вы еще не догадались, OpenVPN - это VPN-решение с открытым исходным кодом, которое (барабанная дробь) бесплатно. DD-WRT, наряду с OpenVPN, является идеальным решением для тех, кто хочет защищенное соединение между двумя сетями без необходимости открывать свой кошелек. Конечно, OpenVPN не будет работать прямо из коробки. Требуется немного доработать и настроить, чтобы все было правильно. Не волнуйтесь, хотя; мы здесь, чтобы сделать этот процесс более легким для вас, поэтому возьмите с собой теплую чашку кофе и начнем.
Для получения дополнительной информации об OpenVPN, посетите официальный Что такое OpenVPN? страница.
Предпосылки
В этом руководстве предполагается, что вы в настоящее время используете Windows 7 на своем компьютере и используете учетную запись администратора. Если вы являетесь пользователем Mac или Linux, это руководство даст вам представление о том, как все работает, однако вам, возможно, придется немного больше исследовать самостоятельно, чтобы добиться совершенства..
В этом руководстве также предполагается, что вы являетесь владельцем Linksys WRT54GL и имеете общее представление о технологии VPN. Он должен служить основой для установки DD-WRT, но обязательно ознакомьтесь с нашим официальным руководством по установке DD-WRT для получения дополнительной информации..
Установка DD-WRT
Команда, ответственная за DD-WRT, проделала большую работу, упрощая конечным пользователям возможность обнаружения совместимости маршрутизатора со своей страницей базы данных маршрутизаторов. Начните с ввода вашей модели маршрутизатора (в нашем случае WRT54GL) в текстовом поле и смотреть результаты поиска появляются мгновенно. Нажмите на свой роутер, как только он будет найден.
Вы попадете на новую страницу со списком информации о вашей модели, включая спецификации оборудования и различные сборки DD-WRT. Загрузите сборку Mini-Generic и сборку VPN Generic для DD-WRT (дд-wrt.v24_mini_generic.bin а также дд-wrt.v24_vpn_generic.bin). Сохраните эти файлы на свой компьютер.
Рекомендуется посетить страницу информации об оборудовании DD-WRT, чтобы найти подробную информацию о вашем маршрутизаторе и DD-WRT. Эта страница объяснит, что именно вам нужно делать до и после установки DD-WRT. Например, вы должны установить мини-версию DD-WRT перед установкой DD-WRT VPN при обновлении со стандартной прошивки Linksys на WRT54GL.
Кроме того, обязательно сделайте полный сброс (AKA 30/30/30) перед установкой DD-WRT. Нажмите кнопку сброса на задней панели маршрутизатора и удерживайте в течение 30 секунд. Затем, продолжая удерживать кнопку сброса, отсоедините кабель питания и оставьте его отключенным на 30 секунд. Наконец, снова подключите кабель питания, удерживая нажатой кнопку сброса еще 30 секунд. Вы должны были держать кнопку питания в течение 90 секунд подряд.
Теперь откройте браузер и введите IP-адрес вашего маршрутизатора (по умолчанию 192.168.1.1). Вам будет предложено ввести имя пользователя и пароль. По умолчанию для Linksys WRT54GL используются значения «admin» и «admin»..
Нажмите на вкладку «Администрирование» вверху. Затем нажмите Обновление прошивки, как показано ниже.
Нажмите кнопку «Обзор» и перейдите к загруженному ранее DD-WRT Mini Generic .bin-файлу. Делать не загрузить файл DD-WRT VPN .bin. Нажмите кнопку «Обновить» в веб-интерфейсе. Ваш маршрутизатор начнет установку DD-WRT Mini Generic, и на его завершение потребуется меньше минуты.
Увы! Ваше первое наблюдение DD-WRT. Еще раз, сделайте еще 30/30/30 сброс, как мы делали выше. Затем нажмите вкладку «Администрирование» вверху. Вам будет предложено ввести имя пользователя и пароль. Имя пользователя и пароль по умолчанию - «root» и «admin» соответственно. После того, как вы вошли в систему, перейдите на вкладку «Обновление прошивки» и нажмите «Выбрать файл». Найдите файл DD-WRT VPN, который мы загрузили ранее, и нажмите «Открыть». VPN-версия DD-WRT начнет загружаться; наберитесь терпения, так как это может занять 2-3 минуты.
Установка OpenVPN
Теперь давайте перейдем на страницу загрузок OpenVPN и загрузим установщик OpenVPN для Windows. В этом руководстве мы будем использовать вторую последнюю версию OpenVPN под названием 2.1.4. В последней версии (2.2.0) есть ошибка, которая сделает этот процесс еще более сложным. Загружаемый файл установит программу OpenVPN, которая позволяет подключаться к вашей сети VPN, поэтому обязательно установите эту программу на любые другие компьютеры, которые вы хотите использовать в качестве клиентов (так как мы увидим, как это сделать). потом). Сохраните файл openvpn-2.1.4-install .exe на свой компьютер.
Перейдите к только что загруженному файлу OpenVPN и дважды щелкните его. Начнется установка OpenVPN на вашем компьютере. Запустите программу установки со всеми установленными значениями по умолчанию. Во время установки появится диалоговое окно с просьбой установить новый виртуальный сетевой адаптер под названием TAP-Win32. Нажмите кнопку Установить.
Создание сертификатов и ключей
Теперь, когда на вашем компьютере установлен OpenVPN, мы должны начать создавать сертификаты и ключи для аутентификации устройств. Нажмите кнопку «Пуск» и перейдите в раздел «Аксессуары». Вы увидите программу командной строки. Щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»..
В командной строке введите cd c: \ Program Files (x86) \ OpenVPN \ easy-rsa если вы используете 64-битную Windows 7, как показано ниже. Тип cd c: \ Program Files \ OpenVPN \ easy-rsa если вы используете 32-битную Windows 7. Затем нажмите Enter.
Сейчас типа INIT-конфигурации и нажмите Enter, чтобы скопировать два файла с именами vars.bat и openssl.cnf в папку easy-rsa. Держите вашу командную строку, так как мы скоро вернемся к ней.
Перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa (или же C: \ Program Files \ OpenVPN \ easy-rsa на 32-битной Windows 7) и щелкните правой кнопкой мыши на файле с именем vars.bat. Нажмите Редактировать, чтобы открыть его в Блокноте. В качестве альтернативы, мы рекомендуем открыть этот файл с помощью Notepad ++, поскольку он лучше форматирует текст в файле. Вы можете скачать Notepad ++ со своей домашней страницы.
Нижняя часть файла - это то, что нас интересует. Начиная со строки 31, измените KEY_COUNTRY значение, KEY_PROVINCE значение и т. д. для вашей страны, провинции и т. д. Например, мы изменили нашу провинцию на «IL», город на «Чикаго», org на «HowToGeek» и отправили электронное письмо на наш собственный адрес электронной почты. Кроме того, если вы используете Windows 7 64-bit, измените ГЛАВНАЯ значение в строке 6 до % ProgramFiles (x86)% \ OpenVPN \ easy-rsa. Не изменяйте это значение, если вы используете 32-битную Windows 7. Ваш файл должен выглядеть примерно так, как показано ниже (с вашими соответствующими значениями, конечно). Сохраните файл, переписав его, как только вы закончите редактирование.
Вернитесь в командную строку и введите вары и нажмите Enter. Затем введите очистка всех и нажмите Enter. Наконец, введите строить-ча и нажмите Enter.
После выполнения строить-ча команда, вам будет предложено ввести название страны, штат, местность и т. д. Так как мы уже настроили эти параметры в нашем vars.bat файл, мы можем пропустить эти опции, нажав Enter, но! Перед тем, как начать нажимать клавишу Enter, обратите внимание на параметр Common Name. Вы можете ввести что-нибудь в этот параметр (то есть ваше имя). Просто убедитесь, что вы вводите что-то. Эта команда выведет два файла (сертификат корневого центра сертификации и ключ корневого центра сертификации) в папку easy-rsa / keys.
Теперь мы собираемся построить ключ для клиента. В той же командной строке введите построить ключ client1. Вы можете изменить «client1» на что угодно (например, Acer-Laptop). Просто обязательно введите то же имя, что и общее имя, когда будет предложено. Выполните все настройки по умолчанию, как на последнем шаге, который мы сделали (за исключением Common Name, конечно). Тем не менее, в конце вам будет предложено подписать сертификат и совершить. Введите «у» для обоих и нажмите Enter.
Кроме того, не беспокойтесь, если вы получили ошибку «невозможно написать« случайное состояние »». Мы заметили, что ваши сертификаты по-прежнему оформляются без проблем. Эта команда выведет два файла (ключ Client1 и сертификат Client1) в папку easy-rsa / keys. Если вы хотите создать другой ключ для другого клиента, повторите предыдущий шаг, но обязательно измените Общее имя.
Последний сертификат, который мы будем генерировать, - это ключ сервера. В той же командной строке введите встроенный ключ-сервер сервер. Вы можете заменить «сервер» в конце команды на что угодно (например, HowToGeek-Server). Как всегда, обязательно введите то же имя, что и Общее имя, когда будет предложено. Нажмите Enter и выполните все настройки по умолчанию, кроме Common Name. В конце введите «y», чтобы подписать сертификат и зафиксировать. Эта команда выведет два файла (ключ сервера и сертификат сервера) в папку easy-rsa / keys.
Теперь мы должны сгенерировать параметры Диффи-Хеллмана. Протокол Диффи-Хеллмана «позволяет двум пользователям обмениваться секретным ключом по небезопасной среде без каких-либо предварительных секретов». Вы можете прочитать больше о Diffie Hellman на сайте RSA.
В той же командной строке введите строить-дк. Эта команда выведет один файл (dh1024.pem) в папку easy-rsa / keys.
Создание файлов конфигурации для клиента
Прежде чем редактировать какие-либо файлы конфигурации, мы должны настроить динамический DNS-сервис. Используйте эту услугу, если ваш провайдер периодически выдает вам динамический внешний IP-адрес. Если у вас есть статический внешний IP-адрес, перейдите к следующему шагу.
Мы предлагаем использовать DynDNS.com, сервис, который позволяет вам указывать имя хоста (то есть howtogeek.dyndns.org) на динамический IP-адрес. Для OpenVPN важно всегда знать общедоступный IP-адрес вашей сети, и с помощью DynDNS OpenVPN всегда будет знать, как найти вашу сеть, независимо от того, какой у вас публичный IP-адрес. Подпишитесь на бесплатное имя хоста и укажите его на ваш публичный IP-адрес.
Теперь вернемся к настройке OpenVPN. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ sample-config если вы используете 64-битную Windows 7 или C: \ Program Files \ OpenVPN \ sample-config если вы используете 32-битную Windows 7. В этой папке вы найдете три примера файлов конфигурации; нас интересует только client.ovpn файл.
Щелкните правой кнопкой мыши на client.ovpn и откройте его с помощью Блокнота или Блокнота ++. Вы заметите, что ваш файл будет выглядеть как на картинке ниже:
Тем не менее, мы хотим, чтобы наши client.ovpn файл, похожий на этот картинка ниже. Обязательно измените имя хоста DynDNS на ваше имя хоста в строке 4 (или измените его на ваш публичный IP-адрес, если у вас есть статический). Оставьте номер порта 1194, так как это стандартный порт OpenVPN. Кроме того, не забудьте изменить строки 11 и 12, чтобы они отражали имя файла сертификата вашего клиента и файла ключа. Сохраните его как новый файл .ovpn в папке OpenVPN / config..
Конфигурирование демона OpenVPN DD-WRT
Основная идея теперь состоит в том, чтобы скопировать серверные сертификаты и ключи, которые мы сделали ранее, и вставить их в меню DD-WRT OpenVPN Daemon. Снова откройте браузер и перейдите к маршрутизатору. Теперь на вашем маршрутизаторе должна быть установлена версия DD-WRT VPN. Вы увидите новую вложенную вкладку на вкладке «Службы» под названием VPN. Нажмите кнопку «Включить» под OpenVPN Daemon.
Во-первых, обязательно измените тип запуска на «Wan Up» вместо «System» по умолчанию. Теперь нам понадобятся наши серверные ключи и сертификаты, которые мы создали ранее. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys на 64-битной Windows 7 (или C: \ Program Files \ OpenVPN \ easy-rsa \ keys на 32-битной Windows 7). Откройте каждый соответствующий файл ниже (ca.crt, server.crt, server.key, а также dh1024.pem) с помощью Блокнота или Блокнота ++ и скопируйте содержимое. Вставьте содержимое в соответствующие поля, как показано ниже.
Для поля OpenVPN Config нам потребуется создать пользовательский файл. Эти настройки будут различаться в зависимости от того, как настроена ваша локальная сеть. Откройте отдельное окно браузера и введите IP-адрес вашего маршрутизатора. Перейдите на вкладку «Настройка» и запишите, какой IP-адрес вы настроили в разделе «IP-адрес маршрутизатора»> «Локальный IP-адрес». По умолчанию, который мы используем в этом примере, это 192.168.1.1. Вставьте эту подсеть сразу после «route» в первой строке, чтобы отразить настройки вашей локальной сети. Скопируйте это в поле OpenVPN Config и нажмите Сохранить.
нажать «маршрут 192.168.1.0 255.255.255.0»
сервер 10.8.0.0 255.255.255.0dev tun0
прото ткп
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem# Используйте crl-verify только если вы используете список отзыва - в противном случае оставьте его закомментированным
# crl-verify /tmp/openvpn/ca.crl# параметр управления позволяет веб-странице статуса OpenVPN DD-WRT получать доступ к порту управления сервером.
# порт должен быть 5001, чтобы скрипты, встроенные в прошивку, работали
управление localhost 5001
Теперь мы должны настроить брандмауэр, чтобы клиенты могли подключаться к нашему серверу OpenVPN через порт 1194. Перейдите на вкладку «Администрирование» и перейдите на вкладку «Команды». В текстовом поле «Команды» вставьте следующее:
iptables -I INPUT 1 -p udp -dport 1194 -j ПРИНЯТЬ
iptables -I FORWARD 1 -источник 192.168.1.0/24 -j ПРИНЯТЬ
iptables -I FORWARD -i br0 -o tun0 -j ПРИНЯТЬ
iptables -I FORWARD -i tun0 -o br0 -j ПРИНЯТЬ
Обязательно измените свой IP-адрес локальной сети во второй строке, если он отличается от значения по умолчанию. Затем нажмите кнопку Сохранить брандмауэр ниже.
Наконец, обязательно проверьте свои настройки времени на вкладке «Настройка», иначе демон OpenVPN запретит всем клиентам. Мы предлагаем перейти на TimeAndDate.com и найти ваш город в разделе Текущее время. Этот веб-сайт предоставит вам всю информацию, необходимую для заполнения в разделе «Настройки времени», как мы это делали ниже. Кроме того, посетите веб-сайт NTP Pool Project для использования общедоступных NTP-серверов..
Настройка клиента OpenVPN
В этом примере мы будем использовать ноутбук с Windows 7 в качестве нашего клиента в отдельной сети. Первое, что вы захотите сделать, это установить OpenVPN на вашем клиенте, как мы делали это выше на первых шагах по настройке OpenVPN. Затем перейдите к C: \ Program Files \ OpenVPN \ config где мы будем вставлять наши файлы.
Теперь нам нужно вернуться на наш оригинальный компьютер и собрать в общей сложности четыре файла для копирования на наш клиентский ноутбук. Перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys снова и скопируйте ca.crt, client1.crt, а также client1.key. Вставьте эти файлы в клиент конфиг папка.
Наконец, нам нужно скопировать еще один файл. Перейдите к C: \ Program Files (x86) \ OpenVPN \ config и скопируйте новый файл client.ovpn, который мы создали ранее. Вставьте этот файл в клиент конфиг папка также.
Тестирование клиента OpenVPN
На клиентском ноутбуке нажмите кнопку «Пуск» Windows и выберите «Все программы»> «OpenVPN». Щелкните правой кнопкой мыши файл OpenVPN GUI и выберите «Запуск от имени администратора». Обратите внимание, что вы всегда должны запускать OpenVPN от имени администратора, чтобы он работал правильно. Чтобы навсегда установить файл для запуска от имени администратора, щелкните файл правой кнопкой мыши и выберите «Свойства». На вкладке «Совместимость» установите флажок «Запустить эту программу от имени администратора»..
Значок OpenVPN GUI появится рядом с часами на панели задач. Щелкните правой кнопкой мыши значок и выберите «Подключиться». Так как у нас есть только один файл .ovpn в нашем конфиг папка, OpenVPN будет подключаться к этой сети по умолчанию.
Появится диалоговое окно с журналом соединений.
После подключения к VPN значок OpenVPN на панели задач станет зеленым и отобразит ваш виртуальный IP-адрес..
И это все! Теперь у вас есть защищенное соединение между вашим сервером и сетью клиента с использованием OpenVPN и DD-WRT. Для дальнейшей проверки соединения попробуйте открыть браузер на клиентском ноутбуке и перейти к маршрутизатору DD-WRT в сети сервера..