Pagina principala » HOWTO » Cum să instalați și să configurați OpenVPN pe routerul DD-WRT

    Cum să instalați și să configurați OpenVPN pe routerul DD-WRT

    Am acoperit deja instalarea Tomate pe router și cum să vă conectați la rețeaua de domiciliu cu OpenVPN și Tomato. Acum vom acoperi instalarea OpenVPN pe routerul DD-WRT cu funcții de acces pentru accesul facil la rețeaua dvs. de acasă de oriunde din lume!

    Ce este OpenVPN??

    O rețea privată virtuală (VPN) este o conexiune sigură și sigură între o rețea locală (LAN) și o altă rețea. Gândiți-vă la routerul dvs. ca om de mijloc între rețelele la care vă conectați. Atât computerul cât și serverul OpenVPN (în acest caz routerul dvs.) "scuture mâinile" folosind certificate care se validează reciproc. La validare, clientul și serverul sunt de acord să se încreadă reciproc, iar clientul este apoi permis accesul în rețeaua serverului.

    De obicei, software-ul VPN și hardware-ul costă o mulțime de bani pentru a pune în aplicare. Dacă nu ați ghicit-o deja, OpenVPN este o soluție VPN cu sursă deschisă care este (drum rulant) liberă. DD-WRT, alături de OpenVPN, este o soluție perfectă pentru cei care doresc o conexiune securizată între două rețele fără a fi nevoiți să deschidă portofelul. Desigur, OpenVPN nu va funcționa imediat din cutie. Este nevoie de un pic de tweaking și configurarea pentru a obține-o exact. Nu vă faceți griji totuși; suntem aici pentru a face acest proces mai ușor pentru dvs., prindeți-vă o ceașcă de cafea caldă și să începem.

    Pentru mai multe informații despre OpenVPN, vizitați oficiul Ce este OpenVPN? pagină.

    Cerințe preliminare

    Acest ghid presupune că în prezent executați Windows 7 pe PC și că utilizați un cont de administrator. Dacă sunteți utilizator Mac sau Linux, acest ghid vă va oferi o idee despre cum funcționează lucrurile, cu toate acestea, este posibil să fie nevoie să faceți o cercetare mai mult pe cont propriu pentru a obține lucruri perfecte.

    Acest ghid presupune, de asemenea, că dețineți un Linksys WRT54GL și aveți o înțelegere generală a tehnologiei VPN. Ar trebui să servească drept bază pentru instalarea DD-WRT, dar asigurați-vă că ați verificat ghidul de instalare DD-WRT oficial pentru o suplimentare suplimentară.

    Instalarea DD-WRT

    Echipa responsabilă pentru DD-WRT a făcut o treabă excelentă, facilitând utilizatorilor finali să descopere compatibilitatea router-ului cu pagina lor de baze de date Router. Începeți prin tastarea modelului dvs. de router (în cazul nostru WRT54GL) în câmpul de text și rezultatele căutării vor apărea instantaneu. Faceți clic pe routerul dvs. după ce ați găsit.

    Veți fi adus la o nouă pagină care conține informații despre modelul dvs. - inclusiv specificațiile hardware și construirea diferită a DD-WRT. Descărcați atât construirea Mini-Generic, cât și construirea VPN generică a DD-WRT (dd-wrt.v24_mini_generic.bin și dd-wrt.v24_vpn_generic.bin). Salvați aceste fișiere în computer.

    Este o idee bună să vizitați pagina de informații despre hardware specifice DD-WRT pentru a căuta informații detaliate despre router și DD-WRT. Această pagină va explica exact ceea ce trebuie să faceți înainte și după instalarea DD-WRT. De exemplu, trebuie să instalați mini-versiunea DD-WRT înainte de a instala VPN DD-WRT când faceți upgrade de la firmware-ul Linksys pe un WRT54GL.

    De asemenea, asigurați-vă că efectuați o resetare hard (AKA a 30/30/30) înainte de a instala DD-WRT. Apăsați butonul de resetare de pe spatele routerului timp de 30 de secunde. Apoi, în timp ce încă țineți apăsat butonul de resetare, deconectați cablul de alimentare și lăsați-l să fie deconectat timp de 30 de secunde. În cele din urmă, conectați cablul de alimentare în timp ce încă țineți apăsat butonul de reset timp de încă 30 de secunde. Ar fi trebuit să țineți butonul de alimentare timp de 90 de secunde drept.

    Acum deschideți browserul și introduceți adresa IP a routerului dvs. (implicit este 192.168.1.1). Veți fi solicitat un nume de utilizator și o parolă. Valorile implicite pentru un Linksys WRT54GL sunt "admin" și "admin".

    Faceți clic pe fila Administrare din partea de sus. Apoi, faceți clic pe Actualizare firmware după cum se vede mai jos.

    Faceți clic pe butonul Browse și navigați la fișierul DD-WRT Mini Generic .bin pe care l-am descărcat mai devreme. Do nu încărcați fișierul .bin al DD-WRT VPN încă. Faceți clic pe butonul Upgrade din interfața web. Router-ul dvs. va începe să instaleze DD-WRT Mini Generic și ar trebui să dureze mai puțin de un minut pentru a finaliza.

    Vai! Prima vizionare a DD-WRT. Încă o dată, efectuați o altă resetare 30/30/30, așa cum am făcut mai sus. Apoi, faceți clic pe fila Administrare din partea de sus. Vi se va solicita un nume de utilizator și o parolă. Numele de utilizator și parola implicite sunt "root" și "admin", respectiv. După ce v-ați conectat, faceți clic pe sub-tab-ul Firmware Upgrade și faceți clic pe Choose File. Căutați fișierul VPN DD-WRT pe care l-am descărcat mai devreme și faceți clic pe Deschidere. Versiunea VPN a DD-WRT va începe acum să se încarce; fi pacient, deoarece ar putea dura 2-3 minute.

    Instalarea OpenVPN

    Acum, să ne îndreptăm spre pagina de descărcări OpenVPN și să descărcați OpenVPN Windows Installer. În acest ghid, vom folosi cea de-a doua versiune ulterioară a OpenVPN numită 2.1.4. Ultima versiune (2.2.0) are un bug în el care ar face acest proces și mai complicat. Fișierul pe care îl descărcăm va instala programul OpenVPN care vă permite să vă conectați la rețeaua VPN, așa că asigurați-vă că ați instalat acest program pe orice alt computer pe care doriți să îl acționați ca client (după cum vom vedea cum să facem acest lucru mai tarziu). Salvați fișierul .exe openvpn-2.1.4-install pe computer.

    Navigați la fișierul OpenVPN pe care tocmai l-am descărcat și faceți dublu clic pe el. Aceasta va începe instalarea OpenVPN pe computer. Rulați prin programul de instalare cu toate valorile implicite verificate. În timpul instalării, va apărea o casetă de dialog care va cere să instalați un nou adaptor de rețea virtuală numit TAP-Win32. Faceți clic pe butonul Instalare.

    Crearea certificatelor și a cheilor

    Acum, când aveți instalat OpenVPN pe computer, trebuie să începem să creăm certificatele și cheile pentru autentificarea dispozitivelor. Faceți clic pe butonul Start Windows și navigați sub Accesorii. Veți vedea programul Prompt Command. Faceți clic dreapta pe el și faceți clic pe Executare ca administrator.

    În linia de comandă, tastați cd c: \ Fișiere program (x86) \ OpenVPN \ easy-rsa dacă executați Windows 7 pe 64 de biți așa cum se vede mai jos. Tip cd c: \ Program Files \ OpenVPN \ easy-rsa dacă executați Windows 7 pe 32 de biți. Apoi apăsați Enter.

    Acum tastați init-config și apăsați pe Enter pentru a copia două fișiere numite vars.bat și openssl.cnf în folderul easy-rsa. Păstrați instrucțiunile de comandă până când ne vom întoarce la ele în curând.

    Navigheaza catre C: \ Program Files (x86) \ OpenVPN \ easy-rsa (sau C: \ Program Files \ OpenVPN \ easy-rsa pe Windows 7 pe 32 de biți) și faceți clic dreapta pe fișierul numit vars.bat. Faceți clic pe Editați pentru a o deschide în Notepad. În mod alternativ, vă recomandăm să deschideți acest fișier cu Notepad ++, deoarece acesta formatează mult mai bine textul din fișier. Puteți descărca Notepad ++ din pagina lor de pornire.

    Partea de jos a dosarului este ceea ce ne interesează. Începând cu linia 31, schimbați KEY_COUNTRY valoare, KEY_PROVINCE valoare, etc., în țara, provincia, etc. De exemplu, ne-am schimbat provincia la "IL", orașul "Chicago", org la "HowToGeek" și trimiteți un e-mail la propria noastră adresă de e-mail. De asemenea, dacă executați Windows 7 pe 64 de biți, schimbați ACASĂ valoare în rândul 6 până la % ProgramFiles (x86)% \ OpenVPN \ easy-rsa. Nu modificați această valoare dacă executați Windows 7 pe 32 de biți. Fișierul dvs. ar trebui să arate asemănător cu cel al nostru de mai jos (cu valorile dvs., desigur). Salvați fișierul prin suprascrierea acestuia odată ce ați terminat editarea.

    Reveniți la linia de comandă și tastați Vars și apăsați Enter. Apoi tastați curata tot și apăsați Enter. În cele din urmă, tastați build-ca și apăsați Enter.

    După executarea build-ca comandă, vi se va solicita să introduceți numele, statul, localitatea, etc. Deoarece am stabilit deja acești parametri în vars.bat fișier, putem trece peste aceste opțiuni apăsând Enter, dar! Înainte de a începe să vă loviți de tasta Enter, aveți grijă de parametrul Nume comun. Puteți introduce orice în acest parametru (adică numele dvs.). Doar asigurați-vă că intrați ceva. Această comandă va afișa două fișiere (un certificat Root CA și o cheie CA Root) în folderul easy-rsa / keys.

    Acum vom construi o cheie pentru un client. În același tip de prompt de comandă build-cheie client1. Aveți posibilitatea să modificați "client1" la orice doriți (adică Acer-Laptop). Asigurați-vă că introduceți același nume ca și numele comun când vi se solicită. Rulați prin toate valorile implicite, ca ultimul pas pe care l-am făcut (cu excepția numelui comun, bineînțeles). Cu toate acestea, la final vi se va cere să semnați certificatul și să vă angajați. Introduceți "y" pentru ambele și faceți clic pe Enter.

    De asemenea, nu vă faceți griji dacă ați primit mesajul "nu se poate scrie" stare aleatorie ". Am observat că certificatele dvs. sunt încă făcute fără probleme. Această comandă va afișa două fișiere (un Client1 și un certificat Client1) în folderul easy-rsa / keys. Dacă doriți să creați o altă cheie pentru alt client, repetați pasul anterior, dar asigurați-vă că modificați numele comun.

    Ultimul certificat pe care îl vom genera este cheia serverului. În același prompt de comandă, tastați build-cheie-server Server. Puteți înlocui "serverul" la sfârșitul comenzii cu orice doriți (de exemplu, serverul HowToGeek). Ca întotdeauna, asigurați-vă că introduceți același nume ca și numele comun când vi se solicită. Apăsați Enter și treceți prin toate valorile implicite, cu excepția Common Name. La sfârșit, tastați "y" pentru a semna certificatul și a vă angaja. Această comandă va afișa două fișiere (o cheie server și un certificat de server) în folderul easy-rsa / keys.

    Acum trebuie să generăm parametrii Diffie Hellman. Protocolul Diffie Hellman "permite doi utilizatori să facă schimb de chei secrete pe un mediu nesigur, fără nici un secret anterior". Puteți citi mai multe despre Diffie Hellman pe site-ul RSA.

    În același tip de prompt de comandă build-dh. Această comandă va afișa un fișier (dh1024.pem) în dosarul easy-rsa / keys.

    Crearea fișierelor de configurare pentru client

    Înainte de a edita fișierele de configurare, trebuie să configuram un serviciu DNS dinamic. Utilizați acest serviciu dacă ISP-ul dvs. vă emite o adresă IP dinamică externă, atât de des. Dacă aveți o adresă IP statică externă, treceți la pasul următor.

    Vă sugerăm să utilizați DynDNS.com, un serviciu care vă permite să indicați un nume de gazdă (adică howtogeek.dyndns.org) la o adresă IP dinamică. Este important ca OpenVPN să cunoască întotdeauna adresa IP publică a rețelei dvs. și utilizând DynDNS, OpenVPN va ști întotdeauna cum să localizați rețeaua dvs., indiferent de adresa IP publică. Înscrieți-vă pentru un nume de gazdă gratuit și indicați-l la adresa IP publică.

    Acum, înapoi la configurarea OpenVPN. În Windows Explorer, navigați la C: \ Program Files (x86) \ OpenVPN \ sample-config dacă executați Windows 7 pe 64 de biți sau C: \ Program Files \ OpenVPN \ sample-config dacă executați Windows 7 pe 32 de biți. În acest director veți găsi trei fișiere de configurare; suntem doar preocupați de client.ovpn fişier.

    Faceți clic dreapta pe client.ovpn și deschideți-l cu Notepad sau Notepad ++. Veți observa că fișierul dvs. va arăta ca în imaginea de mai jos:

    Cu toate acestea, dorim noi client.ovpn fișier pentru a arăta similar cu acest imaginea de mai jos. Asigurați-vă că modificați numele de gazdă DynDNS la numele dvs. de gazdă în rândul 4 (sau schimbați-l la adresa IP publică dacă aveți una statică). Lăsați numărul portului la 1194, deoarece acesta este portul standard OpenVPN. De asemenea, asigurați-vă că modificați liniile 11 și 12 pentru a reflecta numele fișierului de certificat al clientului și fișierul cheie. Salvați acest fișier nou fișier .ovpn în folderul OpenVPN / config.

    Configurarea Daemonului OpenVPN al DD-WRT

    Ideea de bază este acum să copiem certificatele serverului și tastele pe care le-am făcut mai devreme și să le lipim în meniurile DD-WRT OpenVPN Daemon. Deschideți browserul din nou și navigați la router. Acum ar trebui să aveți instalată versiunea VPN DD-WRT pe router. Veți observa o nouă sub-file în fila Servicii numită VPN. Faceți clic pe butonul Activare radio în cadrul OpenVPN Daemon.

    Mai întâi, asigurați-vă că schimbați tipul Start la "Wan Up" în loc de "System" implicit. Acum vom avea nevoie de cheile de server și de certificatele pe care le-am creat mai devreme. În Windows Explorer, navigați la C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ tastele pe Windows 7 pe 64 de biți (sau C: \ Program Files \ OpenVPN \ easy-rsa \ tastele pe Windows 7 pe 32 de biți). Deschideți fiecare fișier corespunzător de mai jos (ca.crt, server.crt, server.key, și dh1024.pem) cu Notepad sau Notepad ++ și copiați conținutul. Lipiți conținutul în casetele corespunzătoare așa cum se vede mai jos.

    Pentru câmpul OpenVPN Config, va trebui să creați un fișier personalizat. Aceste setări diferă în funcție de configurarea rețelei LAN. Deschideți o fereastră separată a browserului și introduceți adresa IP a routerului. Faceți clic pe fila Setup (Configurare) și luați notă de ce adresa IP ați configurat în cadrul Router IP> Local IP Address (Adresă IP locală). Valoarea implicită, care este ceea ce folosim în acest exemplu, este 192.168.1.1. Inserați această subrețea imediat după "ruta" din prima linie pentru a reflecta setarea LAN. Copiați această opțiune în caseta Configurare OpenVPN și faceți clic pe Salvați.

    împinge "traseul 192.168.1.0 255.255.255.0"
    server 10.8.0.0 255.255.255.0

    dev tun0
    proto tcp
    păstrați 10 120
    dh /tmp/openvpn/dh.pem
    ca /tmp/openvpn/ca.crt
    cert /tmp/openvpn/cert.pem
    cheie /tmp/openvpn/key.pem

    # Utilizați doar crl-verificați dacă utilizați lista de revocare - altfel lăsați-o comentată
    # crl-verifică /tmp/openvpn/ca.crl

    # Parametrul de management permite site-ului web Status OpenVPN al DD-WRT să acceseze portul de administrare al serverului
    # port trebuie să fie 5001 pentru script-urile încorporate în firmware pentru a funcționa
    management localhost 5001

    Acum trebuie să configurați paravanul de protecție pentru a permite clienților să se conecteze la serverul OpenVPN prin portul 1194. Accesați fila Administrare și faceți clic pe sub-fila Comenzi. În caseta de text Comenzi lipiți următoarele:

    iptables -I INPUT 1 -p udp -dport 1194 -j ACCEPT
    iptables -I FORWARD 1 -sursă 192.168.1.0/24 -j ACCEPT
    iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
    iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

    Asigurați-vă că modificați IP-ul dvs. LAN în al doilea rând dacă este diferit de cel implicit. Apoi faceți clic pe butonul Salvați Firewall de mai jos.

    În cele din urmă, asigurați-vă că ați verificat setările de timp din fila Setare, altfel daemonul OpenVPN va refuza toți clienții. Vă sugerăm să mergeți la TimeAndDate.com și să căutați orașul dvs. în Ora curentă. Acest site vă va oferi toate informațiile de care aveți nevoie pentru a vă completa în Setări de timp, așa cum am făcut mai jos. De asemenea, verificați site-ul NTP Pool Project pentru serverele publice NTP pe care le puteți utiliza.

    Configurarea unui client OpenVPN

    În acest exemplu vom folosi un laptop Windows 7 ca client al nostru într-o rețea separată. Primul lucru pe care doriți să îl faceți este să instalați OpenVPN pe clientul dvs., așa cum am făcut mai sus, în primii pași din Configurarea OpenVPN. Apoi navigați la C: \ Program Files \ OpenVPN \ config unde ne vom lipi fișierele.

    Acum trebuie să ne întoarcem la computerul original și să colectăm un total de patru fișiere pentru a copia laptopul clientului nostru. Navigheaza catre C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ tastele din nou și copiați ca.crt, client1.crt, și client1.key. Lipiți aceste fișiere în client config pliant.

    În cele din urmă, trebuie să copiem încă un fișier. Navigheaza catre C: \ Program Files (x86) \ OpenVPN \ config și copiați noul fișier client.ovpn pe care l-am creat mai devreme. Inserați acest fișier în client config dosar, de asemenea.

    Testarea clientului OpenVPN

    Pe laptopul client, faceți clic pe butonul Start Windows și navigați la Toate programele> OpenVPN. Faceți clic dreapta pe fișierul GUI OpenVPN și faceți clic pe Executare ca administrator. Rețineți că trebuie să rulați întotdeauna OpenVPN ca administrator pentru ca acesta să funcționeze corect. Pentru a seta permanent fișierul să ruleze întotdeauna ca administrator, faceți clic dreapta pe fișier și faceți clic pe Proprietăți. În fila Compatibilitate, bifați Run this program ca administrator.

    Pictograma OpenVPN GUI va apărea lângă ceasul din bara de activități. Faceți clic dreapta pe pictogramă și faceți clic pe Conectare. Deoarece avem doar un fișier .ovpn în nostru config , OpenVPN se va conecta la această rețea în mod implicit.

    Se va afișa o casetă de dialog afișând un jurnal de conexiuni.

    După ce vă conectați la VPN, pictograma OpenVPN din bara de activități va deveni verde și va afișa adresa IP virtuală.

    Si asta e! Acum aveți o conexiune securizată între serverul dvs. și rețeaua clientului folosind OpenVPN și DD-WRT. Pentru a testa conexiunea, încercați să deschideți un browser pe laptopul client și să navigați la routerul DD-WRT din rețeaua serverului.