Ühendage oma koduvõrguga kõikjal OpenVPNi ja Tomatiga
Paar nädalat tagasi tegelesime avatud lähtekoodiga ruuteri püsivara Tomato paigaldamisega teie Linksys WRT54GL-ile. Täna läheb üle, kuidas installida OpenVPN koos Tomatiga, ning seadistame selle, et pääseda oma koduvõrku kõikjal maailmas!
Mis on OpenVPN?
Virtuaalne privaatvõrk (VPN) on usaldusväärne ja turvaline ühendus ühe kohtvõrgu (LAN) ja teise vahel. Mõtle oma ruuterile keskseks inimeseks võrkude vahel, millega ühendate. Nii arvuti kui ka OpenVPN-server (sellisel juhul teie ruuter) „raputavad käed”, kasutades sertifikaate, mis üksteist kinnitavad. Valideerimisel nõustuvad nii klient kui ka server üksteisega usaldama ja seejärel lubatakse kliendil juurdepääs serveri võrgus.
Tavaliselt maksavad VPN-i tarkvara ja riistvara rakendamiseks palju raha. Kui te pole seda juba arvanud, on OpenVPN avatud lähtekoodiga VPN-lahendus, mis on (trumli rull) vaba. Tomat, koos OpenVPN-iga, on ideaalne lahendus neile, kes soovivad turvalist ühendust kahe võrgu vahel ilma oma rahakotti avamata. Loomulikult ei tööta OpenVPN kastist välja. See võtab natuke kahekordistamist ja konfigureerimist, et seda õigesti saada. Ärge siiski muretsege; me oleme siin, et muuta see protsess teile lihtsamaks, nii et võtke endale soe kohv ja alustage.
Lisateavet OpenVPN-i kohta leiate ametlikust mis on OpenVPN? lehel.
Eeltingimused
Selles juhendis eeldatakse, et teie arvutis töötab praegu Windows 7 ja et kasutate halduskontot. Kui olete Maci või Linuxi kasutaja, annab see juhend teile ettekujutuse sellest, kuidas asjad toimivad, kuid võib-olla peate tegema natuke rohkem uuringuid, et asjad oleksid täiuslikud. Samuti paigaldame spetsiaalse nimega Tomato versiooni TomatoB VPN Linkys WRT54GL versiooni 1.1 ruuteril. Et teada saada, kas marsruuter on TomatoUSB-ga ühilduv, vaadake nende ehitustüüpide lehekülge.
Selle juhendi alguses eeldatakse, et teil on:
- Algse Linksys'i püsivara, mis on teie ruuterisse installitud või
- meie viimases artiklis kirjeldatud tomati püsivara
Pange tähele teksti teatud sammude kohta, mis näitavad, kas see on Linksys firmware või Tomato püsivara jaoks.
TomatoB paigaldamine
Eelmises artiklis arutlesime, kuidas paigaldada algne Tomato v1.28 püsivara PolarCloudi veebilehelt. Kahjuks ei olnud see Tomato versioon OpenVPN-toega kaasas, mistõttu paigaldame uuema versiooni, mida nimetatakse TomatoB VPN.
Esimene asi, mida sa tahad teha, on minna TomatoUSB kodulehele ja klõpsa Download Tomato USB link.
Lae alla VPN all Kernel 2.4 (stabiilne) lõik. Salvestage .rar-fail arvutisse.
.Rar-faili väljavõtmiseks on vaja programmi. Soovitame kasutada WinRARi, sest see on tasuta proovida ja lihtne kasutada. Võite alla laadida endale tasuta versiooni koopia oma veebilehel. Pärast WinRARi installimist klõpsa allalaaditud failil paremklõps ja klõpsake nuppu Extract Here. Siis peaksite nägema kahte nimega faili CHANGELOG ja tomat-NDUSB-1.28.8754-vpn3.6.trx.
Kui kasutate Linksys'i püsivara ...
Avage brauser ja sisestage oma ruuteri IP-aadress (vaikimisi on 192.168.1.1). Teil palutakse sisestada kasutajanimi ja parool. Linksys WRT54GLi vaikeväärtused on „admin“ ja „admin“.
Klõpsake ülaosas vahekaardil Administraator. Seejärel klõpsake allpool kirjeldatud püsivara uuendamisel.
Klõpsake nuppu Browse (Sirvi) ja navigeerige ekstraheeritud TomatoUSB VPN-failidele. Valige tomat-NDUSB-1.28.8754-vpn3.6.trx faili ja klõpsake veebiliidese nuppu Upgrade. Teie marsruuter alustab TomatoUSB VPNi installimist ja peaks kestma vähem kui minut. Umbes minuti pärast avage käsurea ja tüüp ipconfig-vabastamine ruuteri uue IP-aadressi määramiseks. Seejärel kirjuta ipconfig -renew. Vaikimisi lüüsi paremal asuv IP-aadress on teie ruuteri IP-aadress.
Märge: Pärast tomati installimist minge menüüsse Administratsioon> Konfiguratsioon ja valige "Kustuta kõik NVRAM ...".
Kui kasutate tomati püsivara ...
Avage brauser ja sisestage oma ruuteri IP-aadress. Eeldame, et kui olete paigaldanud Tomato, teate marsruuteri IP-aadressi. Kui te pole kindel, on see tõenäoliselt seatud vaikimisi 192.168.1.1. Seejärel sisestage oma kasutajanimi ja parool.
Ehkki see pole nõutav, peate enne TomatoUSB VPN-i värskendamist kindlasti varundama oma praeguse tomatikonfiguratsiooni. Konfiguratsiooni salvestamiseks liikuge valikule Haldamine> Konfiguratsioon ja klõpsake nuppu Varundamine. See palub teil salvestada .cfg-faili arvutisse.
Nüüd on aeg uuendada Tomato to TomatoUS VPN. Klõpsake vasakpoolses veerus Upgrade ja klõpsake nuppu Select File. Liikuge eelnevalt väljavõtetud failidele ja valige tomat-NDUSB-1.28.8754-vpn3.6.trx faili. Seejärel klõpsake uuendamise nuppu.
Teil palutakse uuendada; klõpsake lihtsalt nuppu OK.
Teie ruuter alustab uue püsivara üleslaadimist ja taaskäivitub mõne minuti jooksul.
See võib pärast taaskäivitamist olla sama või erinev IP-aadress. Meie puhul oli ruuteri konfiguratsioon endiselt sama, nii et meie IP-aadress oli endiselt sama. Oma ruuteri uue IP-aadressi määramiseks avage käsurea ja tüüp ipconfig-vabastamine. Seejärel kirjuta ipconfig -renew. Vaikimisi lüüsi paremal asuv IP-aadress on teie ruuteri aadress. Kui teie konfiguratsioon on vaikesätetele tagasi seatud, minge tagasi Konfiguratsiooni lehele (haldamine> Konfiguratsioon) ja klõpsake nuppu Restore Configuration. Sirvige eelnevalt arvutisse salvestatud .cfg-faili ja klõpsake nuppu Taasta.
OpenVPNi seadistamine
Kas teil oli installitud Linksys'i püsivara või Tomato püsivara, peaksite nüüd olema marsruuterisse paigaldatud uus TomatoUSB VPN. Vasakpoolses veerus on mõned uued menüüd, sealhulgas veebikasutus, USB ja NAS ning VPN tunnelimine. Selle juhendi puhul on tegemist ainult VPN-tunnelite menüüga, nii et jätkake ja klõpsake VPN-tunnelite abil. Hoidke see brauseri aken lahti; Me tuleme selle juurde peatselt tagasi.
Nüüd lähme üle OpenVPNi allalaadimiste lehele ja laadige alla OpenVPN Windows Installer. Selles juhendis kasutame OpenVPN-i teist viimast versiooni nimega 2.1.4. Viimases versioonis (2.2.0) on selles viga, mis muudaks selle protsessi veelgi keerulisemaks. Allalaaditav fail installib OpenVPN programmi, mis võimaldab teil luua ühenduse oma VPN-võrguga, nii et installige see programm kõigil teistel arvutitel, mida soovite klientidena tegutseda (nagu näeme, kuidas seda teha hiljem). Salvesta openvpn-2.1.4-install .exe fail arvutisse.
Liikuge OpenVPN-failile, mille me lihtsalt alla laadisime, ja topeltklõpsake seda. See alustab OpenVPNi installimist teie arvutisse. Käivitage paigaldaja kaudu kõik kontrollitud vaikeväärtused. Paigaldamise ajal ilmub dialoogiboks, milles palutakse installida uus virtuaalne võrgukaart TAP-Win32. Klõpsake nuppu Install.
Nüüd, kui teil on arvutisse installitud OpenVPN, peame seadmete sertifitseerimiseks ja sertifitseerimiseks alustama sertifikaatide ja võtmete loomist.
Sertifikaatide ja võtmete loomine
Klõpsake Windowsi nuppu Start ja navigeerige jaotises Tarvikud. Näete käskude programmi. Paremklõpsake seda ja klõpsake käsku Run as administrator.
Tippige käsureale cd c: programmifailid (x86) OpenVPN lihtsalt-rsa kui töötab 64-bitine Windows 7, nagu allpool näha. Tüüp cd c: programmifailid OpenVPN lihtsalt-rsa kui teil on 32-bitine Windows 7. Seejärel vajuta Enter.
Nüüd tüüp init-config ja vajuta Enter, et kopeerida kaks faili nimega vars.bat ja openssl.cnf easy-rsa kausta. Hoidke käsk kiirelt üles, kui me peatselt selle juurde tagasi tuleme.
Navigeeri C: programmifailid (x86) OpenVPN lihtsalt-rsa (või C: failid OpenVPN lihtsalt-rsa 32-bitisel Windows 7-l) ja paremklõps failil, mida nimetatakse vars.bat. Klõpsake nuppu Redigeeri, et avada see Notepadis. Teise võimalusena soovitame avada selle faili Notepad ++ abil, kuna see vormindab failis teksti palju paremini. Notepad ++ saate alla laadida oma kodulehelt.
Faili alumine osa on see, mida me muretseme. Alustades reast 31 muutke KEY_COUNTRY väärtus, KEY_PROVINCE väärtust jne teie riigile, provintsile jne. Näiteks muutsime oma provintsi „IL”, linna „Chicago“, org “HowToGeek” ja e-posti teel oma e-posti aadressile. Samuti, kui kasutate Windows 7 64-bitist, muutke KODU väärtus reas 6 kuni % ProgramFiles (x86)% OpenVPN lihtsalt-rsa. Ärge muutke seda väärtust, kui kasutate 32-bitist Windows 7-d. Teie fail peaks nägema sarnast meie allpool (loomulikult vastavate väärtustega). Salvestage fail, kui olete redigeerimise lõpetanud.
Minge tagasi käsureale ja kirjuta vars ja vajuta Enter. Seejärel kirjuta puhas kõik ja vajuta Enter. Lõpuks tippige build-ca ja vajuta Enter.
Pärast build-ca käsk, teil palutakse sisestada oma riigi nimi, riik, asukoht jne. Kuna me oleme need parameetrid juba seadistanud vars.bat faili, saame nende valikute vahele jätta, vajutades Enter, aga! Enne kui sisestate klahvi Enter, vajuta parameetrile Common Name. Selles parameetris saab sisestada midagi (st oma nime). Lihtsalt veenduge, et sisestate midagi. See käsk väljastab kaks faili (root CA-sertifikaat ja juur-CA-võti) easy-rsa / keys-kaustas.
Nüüd ehitame kliendile võtme. Samas käsurea tüübis build-key klient1. Teil on võimalik kliendi1 muuta, mida soovite (st Acer-Laptop). Sisestage kindlasti sama nimi kui üldnimetusel. Näiteks käsu käivitamisel Acer-sülearvuti, Teie tavaline nimi peaks olema „Acer-Laptop”. Käivita kõik vaikeväärtused, nagu viimane samm, mida me tegime (välja arvatud muidugi tavaline nimi). Lõpuks palutakse teil tõendi allkirjastada ja teha. Sisestage “y” mõlemale ja klõpsake Enter.
Samuti ärge muretsege, kui saite veateate „võimatu kirjutada”. Olen märganud, et teie sertifikaadid tehakse ikka veel ilma probleemideta. See käsk väljastab kaks faili (Client1 Key ja Client1 sertifikaat) kausta easy-rsa / keys. Kui soovite teise kliendi jaoks uue võtme luua, korrake eelmist sammu, kuid muutke kindlasti üldnimetust.
Viimane sertifikaat, mida me genereerime, on serveri võti. Tippige samas käsureale build-key-server server. „Serveri” saate asendada käsu lõpus mis tahes, mida soovite (st HowToGeek-Server). Nagu alati, sisestage kindlasti sama nimi kui üldnimi. Näiteks käsu käivitamisel build-key-server HowToGeek-Server, teie tavaline nimi peaks olema „HowToGeek-Server”. Vajuta Enter ja käivita kõik vaikeväärtused peale tavalise nime. Tippige sertifikaadi allkirjastamiseks ja tegemiseks lõpus “y”. See käsk väljastab kaks faili (serveri võti ja serveri sertifikaat) kausta easy-rsa / keys.
Nüüd peame looma Diffie Hellmani parameetrid. Diffie Hellmani protokoll „võimaldab kahel kasutajal vahetada salajast võtit ebaturvalise andmekandja üle ilma eelneva saladuseta”. Diffie Hellmani kohta saate lugeda RSA veebilehelt.
Samas käsurea tüübis build-dh. See käsk väljastab ühe faili (dh1024.pem) kausta easy-rsa / keys.
Konfiguratsioonifailide loomine kliendile
Enne konfiguratsioonifailide muutmist peaksime looma dünaamilise DNS-teenuse. Kasutage seda teenust, kui teie Interneti-teenuse pakkuja väljastab teile alati nii tihti dünaamilise välise IP-aadressi. Kui teil on staatiline väline IP-aadress, jätke järgmine samm vahele.
Soovitame kasutada DynDNS.com-i, teenust, mis võimaldab suunata hostinime (nt howtogeek.dyndns.org) dünaamilisele IP-aadressile. OpenVPNil on oluline alati teada teie võrgu avalikku IP-aadressi ning DynDNSi abil teab OpenVPN alati, kuidas oma võrku leida, olenemata sellest, milline on teie avalik IP-aadress. Registreerige hostinimi ja suunake see oma avalikku IP-aadressi. Kui olete teenusega liitunud, ärge unustage seadistada automaatse värskendamise teenust Tomatis jaotises Basic> DDNS.
Nüüd tagasi OpenVPNi konfigureerimisele. Windows Exploreris liikuge C: programmifailid (x86) OpenVPN-proovi-konfiguratsioon kui kasutate 64-bitist Windows 7 või C: programmifailid OpenVPN-proovi-konfiguratsioon kui kasutate 32-bitist Windows 7-d. Selles kaustas leiad kolm konfiguratsioonifaili; me tegeleme ainult client.ovpn faili.
Paremklõps client.ovpn ja avage see Notepad või Notepad ++ abil. Märkate, et teie fail näeb välja nagu allpool olev pilt:
Kuid me tahame meie client.ovpn fail sarnaneb seda pilt allpool. Muutke kindlasti DynDNS-i hostinimi oma hostinimeks reas 4 (või muutke see oma avalikku IP-aadressi, kui teil on staatiline). Jäta pordi number 1194-le, kuna see on standardne OpenVPN-port. Muutke kindlasti ka jooned 11 ja 12, et kajastada teie kliendi sertifikaadifaili ja võtmefaili nime. Salvestage see uue failina .ovpn failis OpenVPN / config.
Tomati VPN-tunnelite seadistamine
Põhiidee on nüüd kopeerida eelnevalt tehtud serverisertifikaadid ja võtmed ning kleepida need Tomat VPN serveri menüüdesse. Seejärel kontrollime Tomatis mõningaid seadeid, testime VPN-ühendust ja siis saame oma käsi pesta ja kutsuda seda päevas!
Avage brauser ja navigeerige oma ruuterile. Klõpsake vasakul külgribal VPN-tunnelite menüüd. Veenduge, et valitud on ka Server1 ja Basic. Seadistage seaded täpselt nii, nagu allpool näidatakse. Klõpsake nuppu Salvesta.
Värskendus: vaikerežiimiks on TUN või tunnel, kuid ilmselt tahad seda TAP-iks muuta, mis sillutab võrgu selle asemel. Tunneli režiim asetab teie välised kliendid sisevõrgust erinevasse võrku. Seega muutke liidese tüüp kindlasti TAP-iks.
Seejärel klõpsake vahekaardil Basic (Täpsemalt). Nii nagu enne, veenduge, et teie seaded on täpselt nii, nagu allpool näidatakse. Klõpsake nuppu Salvesta.
Meie viimane samm on algselt loodud võtmete ja sertifikaatide kleepimine. Avage vahekaart Täpsemad. Windows Exploreris liikuge C: programmifailid (x86) OpenVPN-i lihtne-rsa-võtmed 64-bitises Windows 7-s (või C: failid OpenVPN-i lihtne-rsa-võtmed 32-bitises Windows 7-s). Avage allolev iga fail (ca.crt, server.crt, server.key, ja dh1024.pem) Notepad või Notepad ++ ja kopeerige sisu. Kleepige sisu allolevatesse vastavatesse lahtritesse. Pange tähele, et peate kõik kleepima allpool -BEGIN CERTIFICATE- server.crt. OpenVPN töötab korralikult, kui kleepite kogu faili, kuid see on „puhtam” ainult tegeliku sertifikaadi info kleepimine. Klõpsake käsul Salvesta ja seejärel käsku Alusta kohe.
Enne meie VPN-ühenduse testimist on meil veel üks asi, mida kontrollida Tomatis. Klõpsake vasakul veerus nuppu Basic ja seejärel Time. Veenduge, et ruuteri aeg on õige ja ajavöönd kuvab teie praeguse ajavööndi. Seadke NTP Time Server oma riigis.
OpenVPNi kliendi seadistamine
Selles näites kasutame meie kliendina Windows 7 sülearvutit. Esimene asi, mida sa tahad teha, on installida OpenVPN oma kliendile, nagu me tegime ülalpool OpenVPNi konfigureerimisel. Siis navigeerige C: programmifailid OpenVPN konfiguratsioon see on koht, kus me oma failid kleepime.
Nüüd peame tagasi pöörduma oma algse arvuti juurde ja koguma kokku neli faili, mis kopeeritakse meie kliendi sülearvutisse. Navigeeri C: programmifailid (x86) OpenVPN-i lihtne-rsa-võtmed uuesti ja kopeeri ca.crt, client1.crt, ja client1.key. Kleepige need failid kliendi config kausta.
Lõpuks peame veel ühe faili kopeerima. Navigeeri C: programmifailid (x86) OpenVPN konfiguratsioon ja kopeerige uus klient.ovpn fail, mille oleme loonud varem. Kleepige see fail kliendi külge config ka kausta.
OpenVPNi kliendi testimine
Klõpsake kliendi sülearvutil nuppu Windows Start ja navigeerige rakendusse Kõik programmid> OpenVPN. Paremklõpsake OpenVPN GUI failil ja klõpsake käsku Run as administrator. Pange tähele, et selleks, et see korralikult töötaks, peate alati kasutama OpenVPNi administraatorina. Faili püsivaks seadmiseks alati administraatorina klõpsake paremal nupul failil ja klõpsake käsku Atribuudid. Vahekaardi Ühilduvus kontrolli alt Käivita see programm administraatorina.
Tegumiribal oleva kella kõrvale ilmub OpenVPN GUI ikoon. Paremklõpsake ikooni ja klõpsake Connect. Kuna meil on ainult üks .ovpn fail config kaust, loob OpenVPN selle võrguga vaikimisi.
Ilmub dialoogiboks, mis kuvab ühenduse logi.
Kui olete VPN-iga ühendatud, muutub tegumiribal olev OpenVPN-i ikoon roheliseks ja kuvatakse teie virtuaalne IP-aadress.
Ja see ongi kõik! Nüüd on teil turvaline ühendus teie serveri ja kliendi võrgu vahel, kasutades OpenVPNi ja TomatoUSB-d. Ühenduse edasiseks testimiseks proovige avada kliendi sülearvuti brauser ja navigeerida serveri võrgus oma tomati ruuterile.
Pilt Ewanist
