Kas yra OpenVPN?
Paprastai VPN programinė ir aparatinė įranga kainuoja daug pinigų, kad būtų galima įgyvendinti. Jei dar to nepadarėte, OpenVPN yra atviro kodo VPN sprendimas, kuris yra (būgno ritinys) nemokamas. DD-WRT, kartu su OpenVPN, yra puikus sprendimas tiems, kurie nori saugaus ryšio tarp dviejų tinklų be atidarymo savo piniginės. Žinoma, OpenVPN neveikia tiesiai iš dėžutės. Tai trunka truputį tweaking ir konfigūravimas, kad jis būtų teisingas. Nesijaudink; mes esame čia, kad šis procesas būtų jums lengvesnis, todėl patraukite karštą puodelį kavos ir pradėkite.
Norėdami gauti daugiau informacijos apie OpenVPN, apsilankykite oficialioje "What is OpenVPN"? puslapis
Būtinos sąlygos
Šiame vadove daroma prielaida, kad šiuo metu kompiuteryje naudojate "Windows 7" ir naudojate administracinę paskyrą. Jei esate "Mac" ar "Linux" naudotojas, šiame vadove bus supažindinama su tuo, kaip viskas veikia, tačiau jums gali prireikti šiek tiek patobulinti savo dalykus.
Šiame vadove taip pat daroma prielaida, kad jums priklauso "Linksys WRT54GL" ir turi bendrą supratimą apie VPN technologiją. Tai turėtų būti DD-WRT diegimo pagrindas, tačiau būtinai peržiūrėkite mūsų oficialų DD-WRT diegimo vadovą papildomam priedui.
DD-WRT diegimas
Už DD-WRT atsakinga komanda padarė puikų darbą, kad galutiniai naudotojai galėtų lengviau rasti maršrutizatorių suderinamumą su jų maršrutizatorių duomenų bazės puslapiu. Pradėkite rašydami maršrutizatoriaus modelį (mūsų atveju WRT54GL) teksto lauke ir stebėti paieškos rezultatus pasirodys iškart. Spustelėkite savo maršrutizatorių, kai jis bus surastas.
Jūs pateksite į naują puslapį, kuriame pateikiama informacija apie jūsų modelį, įskaitant aparatūros specifikacijas ir skirtingus DD-WRT modelius. Atsisiųskite "Mini-Generic build" ir "VPN Generic build DD-WRT" (dd-wrt.v24_mini_generic.bin ir dd-wrt.v24_vpn_generic.bin) Išsaugokite šiuos failus į savo kompiuterį.
Be to, prieš įdiegiant DD-WRT būtinai atlikite griežtą atstatymą (AKA 30/30/30). 30 sekundžių paspauskite atstatymo mygtuką maršrutizatoriaus gale. Tada, kol vis dar laikote atstatymo mygtuką, atjunkite maitinimo kabelį ir palikite jį atjungtą 30 sekundžių. Galiausiai, vėl prijunkite maitinimo kabelį dar kartą laikydami nuspaustą mygtuką dar 30 sekundžių. Turėtumėte laikyti maitinimo mygtuką 90 sekundžių tiesiai.
Spustelėkite naršymo mygtuką ir pereikite prie DD-WRT Mini Bendrųjų.bin failo, kurį mes atsisiuntėme anksčiau. Daryk ne Dar įkelkite DD-WRT VPN.bin failą. Paspauskite mygtuką "Upgrade" žiniatinklio sąsajoje. Jūsų maršrutizatorius pradės diegti "DD-WRT Mini Generic", ir užtruks mažiau nei minutę.
"OpenVPN" diegimas
Dabar eikime į "OpenVPN" atsisiuntimų puslapį ir atsisiųskite OpenVPN "Windows Installer". Šiame vadove mes naudosime antrą naujausią OpenVPN versiją, pavadintą 2.1.4. Naujausia versija (2.2.0) turi klaidą, dėl kurios šis procesas būtų dar sudėtingesnis. Failas, kurį atsisiųsime, įdiegs "OpenVPN" programą, kuri leis jums prisijungti prie jūsų VPN tinklo, todėl įsitikinkite, kad įdiekite šią programą bet kuriuose kituose kompiuteriuose, kuriuos norite veikti kaip klientus (kaip matysime, kaip tai padaryti). vėliau). Išsaugokite failą openvpn-2.1.4-install. Exe savo kompiuteryje.
Sertifikatų ir raktų kūrimas
Dabar, kai kompiuteryje įdiegėte "OpenVPN", turime pradėti kurti sertifikatus ir raktus, kad autentifikuotų įrenginius. Spustelėkite "Windows" mygtuką "Pradėti" ir naršykite po "Priedai". Pamatysite komandų eilutės programą. Dešiniuoju pelės klavišu spustelėkite jį ir spustelėkite Vykdyti kaip administratorių.
Į komandų eilutę įrašykite cd c: Program Files (x86) OpenVPN easy-rsa jei naudojate 64 bitų "Windows 7", kaip parodyta žemiau. Įveskite cd c: Program Files OpenVPN easy-rsa jei naudojate 32 bitų "Windows 7". Tada paspauskite "Enter".
Dabar įveskite init-config ir paspauskite "Enter", norėdami kopijuoti du failus, pavadintus vars.bat ir openssl.cnf, į lengvą rsa aplanką. Palaikykite komandų eilutę, nes netrukus grįšime prie jos.
Eikite į C: Program Files (x86) OpenVPN easy-rsa (arba C: Program Files OpenVPN easy-rsa 32 bitų "Windows 7") ir dešiniuoju pelės mygtuku spustelėkite failą, pavadintą vars.bat. Spustelėkite "Redaguoti", kad atidarytumėte "Notepad". Arba mes rekomenduojame atidaryti šį failą naudodami Notepad ++, nes jis gerokai formato teksto failą. Jūs galite atsisiųsti Notepad ++ iš savo pagrindinio puslapio.
Apatinė failo dalis yra tai, su kuo mes susiduriame. Pradedant nuo 31 eilutės, pakeiskite KEY_COUNTRY vertę KEY_PROVINCE vertę ir kt. Jūsų šalyje, provincijoje ir tt Pavyzdžiui, mes pakeitėme mūsų provinciją į "IL", miestą į "Chicago", org "HowToGeek" ir išsiųskite el. laišką į mūsų pačių el. pašto adresą. Be to, jei naudojate "Windows 7" 64 bitų, pakeiskite NAMAI vertė 6 eilutėje iki % ProgramFiles (x86)% OpenVPN easy-rsa. Nekeiskite šios vertės, jei naudojate 32 bitų "Windows 7". Jūsų failas turėtų atrodyti panašus į mūsų žemiau (žinoma, su jūsų atitinkamomis vertybėmis). Išsaugokite failą perrašydami jį, kai baigsite redaguoti.
Grįžkite į komandų eilutę ir įveskite vars ir paspauskite "Enter". Tada įveskite švarus viskas ir paspauskite "Enter". Galiausiai įveskite statyti-ca ir paspauskite "Enter".
Baigę vykdyti statyti-ca komanda, būsite paraginti įvesti savo šalies pavadinimą, valstybę, vietovę ir tt Kadangi mes jau nustatėme šiuos parametrus mūsų vars.bat failą, mes galime praleisti šias galimybes, paspaudę Enter, bet! Prieš pradėdami sustoti po klavišo Enter, saugokitės bendro vardo parametro. Šiame parametre galite įvesti ką nors (pvz., Savo vardą). Tiesiog įsitikinkite, kad įvedėte kažkas. Ši komanda duos failą (root CA sertifikatą ir šakninio CA klavišą) lengvai rsa / raktų aplanke.
Dabar mes sukursime raktą klientui. Tas pats komandų eilutės tipas "build-key" klientas1. Galite pakeisti "client1" į bet ką, ko norėtumėte (pvz., "Acer-Laptop"). Tiesiog įveskite tą patį pavadinimą, kaip ir bendras vardas, kai pasirodys paraginimas. Paleiskite visus numatytuosius nustatymus, kaip ir paskutinis mūsų žingsnis (žinoma, išskyrus bendrą vardą). Tačiau pabaigoje būsite paprašyti pasirašyti sertifikatą ir įsipareigoti. Įveskite "y" abu ir spustelėkite Enter.
Be to, nesijaudinkite, jei gavote "klaidingą" "atsitiktinės būklės" neįrašymą. Mes pastebėjome, kad jūsų sertifikatai vis dar gaunami be problemų. Ši komanda išves dviem failais (Client1 Key ir Client1 sertifikatu) lengvai-rsa / raktų aplanke. Jei norite sukurti kitą raktą kitam klientui, pakartokite ankstesnį veiksmą, tačiau būtinai pakeiskite bendrąjį vardą.
Paskutinis sertifikatas, kurį mes generuosime, yra serverio raktas. Tame pačiame komandų eilutėje įrašykite "build-key-server" serveris. Galite pakeisti "serverį" komandos pabaigoje su viskuo, ko norėtumėte (pvz., "HowToGeek-Server"). Kaip visada būtinai įveskite tą patį pavadinimą, kaip ir bendras vardas, kai bus paraginti. Paspauskite "Enter" ir paleiskite visus numatytuosius nustatymus, išskyrus "Common Name". Pabaigoje įveskite "y", kad pasirašytumėte sertifikatą ir įsipareigotų. Ši komanda išves dviem failais (serverio raktą ir serverio sertifikatą) lengvai-rsa / raktų aplanke.
Tas pats komandų eilutės tipas Build-dh. Ši komanda išves vieną failą (dh1024.pem) lengvai-rsa / raktų aplanke.
Kliento konfigūracijos failų kūrimas
Prieš redaguodami konfigūracijos failus, turėtume nustatyti dinamišką DNS paslaugą. Naudokitės šia paslauga, jei jūsų ISP kiekvieną kartą dažnai išduoda dinaminį išorinį IP adresą. Jei turite statinį išorinį IP adresą, pereikite prie kito žingsnio.
Mes rekomenduojame naudoti DynDNS.com, paslaugą, pagal kurią galite nurodyti kompiuterio pavadinimą (t.y. howtogeek.dyndns.org) prie dinaminio IP adreso. Svarbu, kad "OpenVPN" visada žinotų jūsų tinklo viešąjį IP adresą, o naudojant "DynDNS" "OpenVPN" visada žinotų, kaip surasti savo tinklą nepriklausomai nuo jūsų viešo IP adreso. Užsiregistruokite nemokamo kompiuterio pavadinimu ir nukreipkite jį į savo viešąjį IP adresą.
Dabar grįžkite prie "OpenVPN" konfigūravimo. "Windows Explorer" eikite į C: Program Files (x86) OpenVPN sample-config jei naudojate 64 bitų "Windows 7" ar "Windows 7" C: Program Files OpenVPN sample-config jei naudojate 32 bitų "Windows 7".Šiame aplanke rasite tris konfigūracijos rinkmenas; mes tik susirūpinę client.ovpn failas
Dešiniuoju pelės mygtuku spustelėkite client.ovpn ir atidarykite jį Notepad arba Notepad ++. Pastebėsite, kad jūsų failas atrodys kaip paveikslėlyje:
Tačiau mes norime mūsų client.ovpn failas atrodys panašus į tai paveikslėlyje žemiau. Būtinai pakeiskite "DynDNS" prieglobos pavadinimą 4 eilutėje (arba pakeiskite jį į savo viešąjį IP adresą, jei turite statinį). Palikite uosto numerį 1194, nes jis yra standartinis OpenVPN prievadas. Be to, būtinai pakeiskite 11 ir 12 eilutes, kad atitiktų kliento pažymėjimo failo pavadinimą ir pagrindinį failą. Išsaugokite šį failą kaip naują failą.ovpn kataloge OpenVPN / config.
DD-WRT OpenVPN daemon konfigūravimas
Dabar pagrindinė idėja yra nukopijuoti serverio sertifikatus ir raktus, kuriuos mes padarėme anksčiau, ir įklijuoti juos į "DD-WRT OpenVPN Demon" meniu. Atidarykite savo naršyklę ir eikite į savo maršrutizatorių. Dabar turėtumėte įdiegti savo maršrutizatoriuje DD-WRT VPN leidimą. Pastebėjus naują skirtuką skirtuke "Paslaugos", vadinamą VPN, pastebėsite. Spustelėkite mygtuką Įjungti pagal OpenVPN daemoną.
Pirma, būtinai pakeiskite Start tipo "Wan Up", o ne numatytąją "System". Dabar turėsime serverių raktus ir sertifikatus, kuriuos sukūrėme anksčiau. "Windows Explorer" eikite į C: Program Files (x86) OpenVPN easy-rsa keys 64 bitų "Windows 7" (arba C: Program Files OpenVPN easy-rsa keys 32 bitų "Windows 7"). Atidarykite kiekvieną atitinkamą failą žemiau (ca.crt, server.crt, server.key, ir dh1024.pem) su Notepad ar Notepad ++ ir kopijuokite turinį. Įklijuokite turinį atitinkamose laukeliuose, kaip parodyta žemiau.
push “route 192.168.1.0 255.255.255.0” server 10.8.0.0 255.255.255.0
dev tun0 proto tcp keepalive 10 120 dh /tmp/openvpn/dh.pem ca /tmp/openvpn/ca.crt cert /tmp/openvpn/cert.pem key /tmp/openvpn/key.pem
# Only use crl-verify if you are using the revoke list – otherwise leave it commented out # crl-verify /tmp/openvpn/ca.crl
# management parameter allows DD-WRT’s OpenVPN Status web page to access the server’s management port # port must be 5001 for scripts embedded in firmware to work management localhost 5001
Dabar turime konfigūruoti užkardą, kad klientai galėtų prisijungti prie mūsų OpenVPN serverio per 1194 prievadą. Eikite į skirtuką "Administracija" ir spustelėkite skirtuką "Komandos". Teksto laukelyje "Komandos" įklijuokite toliau nurodytus elementus.
iptables -I INPUT 1 -p udp –dport 1194 -j ACCEPT iptables -I FORWARD 1 –source 192.168.1.0/24 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Būtinai pakeiskite savo LAN IP antraeilėje eilutėje, jei ji skiriasi nuo numatytosios. Tada spustelėkite toliau esantį mygtuką "Išsaugoti užkardą".
Galiausiai patikrinkite "Laiko nustatymus" skirtuko "Nustatymas", kitaip "OpenVPN" serveryje bus uždrausti visi klientai. Mes siūlome eiti į TimeAndDate.com ir ieškoti savo miesto pagal dabartinį laiką. Ši svetainė suteiks jums visą informaciją, kurią reikia užpildyti pagal Laiko nustatymus, kaip tai padarėme žemiau. Taip pat apsilankykite "NTP Pool Project" svetainėje, kurioje norite naudoti viešuosius NTP serverius.
"OpenVPN" kliento nustatymas
Šiame pavyzdyje mes naudosime "Windows 7" nešiojamąjį kompiuterį kaip mūsų klientą atskirame tinkle. Pirmas dalykas, kurį norėsite daryti, yra įdiegti "OpenVPN" savo klientui, kaip tai padarėme pirmiau, per pirmąsias "OpenVPN" konfigūravimo žingsnius. Tada pereikite prie C: Program Files OpenVPN config tai kur mes įklijuoti savo failus.
Dabar turime grįžti į savo originalų kompiuterį ir surinkti iš viso keturis failus, kuriuos norite kopijuoti į mūsų klientų nešiojamą kompiuterį. Eikite į C: Program Files (x86) OpenVPN easy-rsa keys vėl ir kopijuoti ca.crt, klientas1.crt, ir client1.key. Įklijuokite šiuos failus kliento konfigūracija aplanke.
Galiausiai turime kopijuoti dar vieną failą. Eikite į C: Program Files (x86) OpenVPN config ir nukopijuokite naująjį anksčiau sukurtą "client.ovpn" failą. Įklijuokite šį failą kliento konfigūracija aplanke taip pat.
"OpenVPN" kliento testavimas
Kliento nešiojime spustelėkite "Windows" mygtuką "Pradėti" ir eikite į "Visos programos"> "OpenVPN". Dešiniuoju pelės mygtuku spustelėkite OpenVPN GUI failą ir spustelėkite Vykdyti kaip administratorių. Atkreipkite dėmesį, kad visada turite naudoti OpenVPN kaip administratorių, kad jis tinkamai veiktų. Jei norite visam laikui nustatyti failą visada paleisti kaip administratorius, dešiniuoju pelės mygtuku spustelėkite failą ir spustelėkite Ypatybės. Skirtuke "Suderinamumas" pažymėkite "Vykdyti šią programą kaip administratorių".
OpenVPN GUI piktograma pasirodys šalia užduočių juostos laikrodžio. Dešiniuoju pelės mygtuku spustelėkite piktogramą ir spustelėkite Prisijungti Kadangi mes turime tik vieną.ovpn failą mūsų konfigūracija katalogą, OpenVPN prisijungs prie šio tinklo pagal nutylėjimą.