Свържете се с домашната си мрежа от всяко място с OpenVPN и Tomato
Преди няколко седмици ние разгледахме инсталирането на Tomato, фърмуер с отворен код, на вашия Linksys WRT54GL. Днес ще разгледаме как да инсталираме OpenVPN заедно с Tomato и да го настроим за достъп до домашната ви мрежа от всяка точка на света!
Какво е OpenVPN?
Виртуалната частна мрежа (VPN) е надеждна, сигурна връзка между една локална мрежа (LAN) и друга. Помислете за маршрутизатора си като за среден човек между мрежите, с които се свързвате. Както компютърът, така и OpenVPN сървърът (в този случай вашият рутер) „се ръкуват“, използвайки сертификати, които се потвърждават взаимно. При валидиране и клиентът, и сървърът се съгласяват да се доверяват един на друг и на клиента се разрешава достъп в мрежата на сървъра.
Обикновено VPN софтуерът и хардуерът струват много пари за изпълнение. Ако не сте го познали, OpenVPN е VPN решение с отворен код, което е безплатно (барабан). Домат, заедно с OpenVPN, е идеалното решение за тези, които искат сигурна връзка между две мрежи, без да се налага да отварят портфейла си. Разбира се, OpenVPN няма да работи веднага. Отнема малко настройване и конфигуриране, за да се получи точно. Не се притеснявайте; ние сме тук, за да направим този процес по-лесен за вас, така че вземете си топла чаша кафе и да започнем.
За повече информация относно OpenVPN, посетете официалното Какво е OpenVPN? страница.
Предварителни
Това ръководство предполага, че в момента използвате Windows 7 на компютъра си и че използвате административен акаунт. Ако сте потребител на Mac или Linux, това ръководство ще ви даде представа как работят нещата, но може да се наложи да направите малко повече изследвания, за да направите нещата перфектни. Също така ще инсталираме специална версия на Tomato TomatoUSB VPN на маршрутизатор Linksys WRT54GL версия 1.1. За да разберете дали вашият маршрутизатор е съвместим с TomatoUSB, проверете страницата им с видовете изграждане.
В началото на това ръководство се предполага, че имате или:
- оригиналния фърмуер на Linksys, инсталиран на вашия рутер или
- фърмуера на Tomato, описан в последната ни статия
Обърнете внимание на текста над определени стъпки, показващи дали той е за фърмуера на Linksys или фърмуера на Tomato.
Инсталиране на TomatoUSB
В предишна статия обсъдихме как да инсталираме оригиналния Tomato v1.28 фърмуер от сайта на PolarCloud. За съжаление тази версия на Tomato не идваше с OpenVPN поддръжка, така че ще инсталираме по-нова версия TomatoUSB VPN.
Първото нещо, което искате да направите, е да отидете на началната страница на TomatoUSB и да кликнете върху връзката Download Tomato USB.
Изтегли VPN под Ядро 2.4 (стабилно) секция. Запазете .rar файла на компютъра си.
Ще трябва програма за извличане на .rar файл. Препоръчваме Ви да използвате WinRAR, тъй като е безплатно и се използва лесно. Можете да си свалите копие от безплатната версия на техния уебсайт. След като инсталирате WinRAR, кликнете с десния бутон върху файла, който сте изтеглили и кликнете върху Extract Here. След това трябва да видите два извикани файла CHANGELOG и домати NDUSB-1.28.8754-vpn3.6.trx.
Ако използвате фърмуера на Linksys…
Отворете вашия браузър и въведете IP адреса на вашия рутер (по подразбиране е 192.168.1.1). Ще бъдете подканени да въведете потребителско име и парола. По подразбиране за Linksys WRT54GL са „admin“ и „admin“.
Кликнете върху раздела Администриране в горната част. След това щракнете върху Ъпгрейд на фърмуера, както е показано по-долу.
Щракнете върху бутона Преглед и преминете към извлечените файлове на TomatoUSB VPN. Изберете домати NDUSB-1.28.8754-vpn3.6.trx и кликнете върху бутона Надстройка в уеб интерфейса. Вашият маршрутизатор ще започне да инсталира TomatoUSB VPN и ще отнеме по-малко от минута. След около минута отворете командния ред и въведете ipconfig-освобождаване за да определите новия IP адрес на маршрутизатора. След това напишете ipconfig -ново. IP адресът вдясно от Default Gateway ... е IP адресът на маршрутизатора.
Забележка: След като инсталирате Tomato отидете в Administration> Configuration и изберете "Erase all NVRAM ...".
Ако използвате Tomato фърмуера ...
Отворете браузъра си и въведете IP адреса на маршрутизатора. Предполагаме, че ако сте инсталирали Tomato, знаете IP адреса на вашия рутер. Ако не сте сигурни, вероятно е зададено по подразбиране 192.168.1.1. След това въведете потребителското си име и парола.
Въпреки че не е задължително, може да искате да архивирате текущата си Tomato конфигурация, преди да надстроите до TomatoUSB VPN, за всеки случай. За да запазите конфигурацията си, отидете на Администриране> Конфигурация и щракнете върху бутона Архивиране. Това ще ви подкани да запишете .cfg файла на вашия компютър.
Сега е време да обновите Tomato до TomatoUSB VPN. Кликнете върху Надстройка в лявата колона и кликнете върху бутона Избор на файл. Придвижете се до файловете, които извлечихме по-рано и изберете домати NDUSB-1.28.8754-vpn3.6.trx файл. След това кликнете върху бутона за надстройване.
Ще бъдете помолени да потвърдите надстройката; просто кликнете върху OK.
Вашият рутер ще започне да качва новия фърмуер и ще се рестартира след минута.
Може да има същия или различен IP адрес след рестартирането му. В нашия случай конфигурацията на маршрутизатора е все още същата, затова нашият IP адрес е все още същият. За да определите новия IP адрес на маршрутизатора, отворете командния ред и въведете ipconfig-освобождаване. След това напишете ipconfig -ново. IP адресът вдясно от Default Gateway ... е адресът на вашия рутер. Ако конфигурацията ви се върне към настройките по подразбиране, се върнете на страницата за конфигуриране (Администриране> Конфигурация) и щракнете върху бутона Избор на файл под Възстановяване на конфигурация. Потърсете по-рано файла .cfg, който сте запазили на компютъра си, и щракнете върху бутона Възстановяване.
Конфигуриране на OpenVPN
Независимо дали сте инсталирали фърмуера на Linksys или фърмуера на Tomato, сега трябва да имате новия TomatoUSB VPN, инсталиран на вашия рутер. Ще забележите няколко нови менюта в лявата колона, включително Web Usage, USB и NAS и VPN Tunneling. За това ръководство, ние се занимаваме само с менюто за VPN тунелиране, затова продължете и кликнете върху VPN Tunneling. Оставете прозореца на браузъра отворен; Скоро ще се върнем към него.
Сега да преминем към страницата за изтегляния на OpenVPN и да изтеглите OpenVPN Windows Installer. В това ръководство ще използваме втората последна версия на OpenVPN, наречена 2.1.4. В последната версия (2.2.0) има грешка в нея, която ще направи този процес още по-сложен. Файлът, който изтегляме, ще инсталира програмата OpenVPN, която ви позволява да се свързвате с вашата VPN мрежа, така че не забравяйте да инсталирате тази програма на всички други компютри, на които искате да действате като клиенти (тъй като ще видим как да направим това по късно). Запазете файла openvpn-2.1.4-install .exe на компютъра си.
Отидете до OpenVPN файла, който току-що сте изтеглили и щракнете два пъти върху него. Това ще започне инсталирането на OpenVPN на вашия компютър. Изпълнете инсталационната програма с всички отметки по подразбиране. По време на инсталацията ще се появи диалогов прозорец с молба за инсталиране на нов виртуален мрежов адаптер, наречен TAP-Win32. Кликнете върху бутона Инсталиране.
Сега, когато на компютъра ви е инсталиран OpenVPN, трябва да започнем да създаваме сертификатите и ключовете за удостоверяване на устройства.
Създаване на сертификати и ключове
Щракнете върху бутона Старт на Windows и навигирайте в Аксесоари. Ще видите програмата Command Prompt. Кликнете с десния бутон върху него и кликнете върху Изпълни като администратор.
В командния ред въведете cd c: Програмни файлове (x86) OpenVPN easy-rsa ако използвате 64-битов Windows 7, както е показано по-долу. Тип cd c: Програмни файлове OpenVPN easy-rsa ако използвате 32-битова Windows 7. След това натиснете Enter.
Сега напишете първоначален-довереник и натиснете Enter, за да копирате два файла, наречени vars.bat и openssl.cnf в папката easy-rsa. Запазете командния си ред, тъй като скоро ще се върнем към него.
Придвижете се до C: Програмни файлове (x86) OpenVPN лесно-rsa (или C: Програмни файлове OpenVPN easy-rsa на 32-битова Windows 7) и щракнете с десния бутон върху файла, наречен vars.bat. Кликнете върху Редактиране, за да го отворите в Notepad. Като алтернатива, препоръчваме да отворите този файл с Notepad ++, тъй като форматира текста във файла много по-добре. Можете да изтеглите Notepad ++ от тяхната начална страница.
Долната част на файла е това, с което се занимаваме. Започвайки от линия 31, сменете KEY_COUNTRY стойност, KEY_PROVINCE стойност, и т.н. за вашата страна, провинция и т.н. Например променихме нашата провинция на “IL”, град на “Чикаго”, орг към “HowToGeek” и изпратете имейл до нашия имейл адрес. Също така, ако използвате Windows 7 64-bit, променете У ДОМА стойност в ред 6 до % ProgramFiles (x86)% OpenVPN лесно-rsa. Не променяйте тази стойност, ако работите с 32-битов Windows 7. Файлът ви трябва да изглежда подобен на нашия по-долу (разбира се, със съответните стойности). Запазете файла, като го презапишете, след като завършите редактирането.
Върнете се в командния ред и въведете Варс и натиснете Enter. След това напишете почистване на всички и натиснете Enter. Накрая въведете изграждане на-ва и натиснете Enter.
След изпълнение на изграждане на-ва команда, ще бъдете подканени да въведете в името на държавата, държавата, местността и т.н. Тъй като ние вече сме задали тези параметри в нашата vars.bat файл, можем да пропуснем тези опции, като натиснем Enter, но! Преди да започнете да натискате клавиша Enter, внимавайте за параметъра Common Name. Можете да въведете нещо в този параметър (т.е. името си). Просто се уверете, че сте влезли нещо. Тази команда ще изведе два файла (сертификат Root CA и ключ на CA за главния) в папката easy-rsa / keys.
Сега ще изградим ключ за клиента. В същия тип команден ред вграден ключ client1. Можете да промените „client1“ на всичко, което искате (т.е. Acer-лаптоп). Просто въведете същото име като общото име, когато бъдете подканени. Например, когато стартирате командата изграждане на ключ Acer-Laptop, Вашето общо име трябва да бъде “Acer-Laptop”. Изпълнете всички по подразбиране като последната стъпка, която направихме (с изключение на Common Name, разбира се). В края обаче ще бъдете помолени да подпишете сертификата и да го извършите. Напишете „y“ за двете и кликнете Enter.
Също така, не се притеснявайте, ако сте получили грешка „не може да напишете случайно състояние“. Забелязах, че вашите сертификати все още се правят без проблем. Тази команда ще изведе два файла (ключ на Client1 и сертификат Client1) в папката easy-rsa / keys. Ако искате да създадете друг ключ за друг клиент, повторете предишната стъпка, но не забравяйте да промените общото име.
Последният сертификат, който ще генерираме, е ключът на сървъра. В същия команден ред въведете вграден ключ на сървъра сървър. Можете да замените “server” в края на командата с всичко, което искате (т.е. HowToGeek-Server). Както винаги, уверете се, че сте въвели същото име като общото име, когато бъдете подканени. Например, когато стартирате командата build-key-server HowToGeek-сървър, Вашето общо име трябва да бъде "HowToGeek-Server". Натиснете Enter и изпълнете всички настройки по подразбиране освен Common Name. Накрая напишете „y“, за да подпишете сертификата и да го направите. Тази команда ще изведе два файла (сървър ключ и сървър сертификат) в папката easy-rsa / keys.
Сега трябва да генерираме параметрите на Дифи Хелман. Протоколът Дифи Хелман "позволява на двама потребители да обменят секретен ключ върху несигурна среда без никакви предишни тайни". Можете да прочетете повече за Дифи Хелман на сайта на RSA.
В същия тип команден ред изграждане на-DH. Тази команда ще изведе един файл (dh1024.pem) в папката easy-rsa / keys.
Създаване на конфигурационни файлове за клиента
Преди да редактираме конфигурационни файлове, трябва да настроим динамична DNS услуга. Използвайте тази услуга, ако вашият ISP ви задава динамичен външен IP адрес всеки път. Ако имате статичен външен IP адрес, прескочете до следващата стъпка.
Препоръчваме ви да използвате DynDNS.com, услуга, която ви позволява да насочите име на хост (т.е. howtogeek.dyndns.org) към динамичен IP адрес. Важно е OpenVPN винаги да знае публичния IP адрес на вашата мрежа, а с помощта на DynDNS OpenVPN винаги ще знае как да локализира вашата мрежа, без значение какъв е вашият публичен IP адрес. Регистрирайте се за име на хост и го насочете към публичния си IP адрес. След като се регистрирате за услугата, не забравяйте да настроите услугата за автоматично актуализиране в Tomato в Basic> DDNS.
Сега обратно към конфигурирането на OpenVPN. В Windows Explorer отидете на C: Program Files (x86) - OpenVPN пример-конфиг ако използвате 64-битова версия на Windows 7 или C: Програмирани файлове OpenVPN sample-config ако използвате 32-битов Windows 7. В тази папка ще намерите три примерни конфигурационни файла; ние се занимаваме само с client.ovpn досие.
Кликнете с десния бутон на мишката client.ovpn и го отворете с Notepad или Notepad ++. Ще забележите, че файлът ви ще изглежда като картинката по-долу:
Но ние искаме нашите client.ovpn файл, който изглежда подобен на това снимка по-долу. Не забравяйте да промените DynDNS името на хоста на името на хоста си в ред 4 (или да го промените на публичния си IP адрес, ако имате статичен). Оставете номера на порта 1194, тъй като той е стандартният OpenVPN порт. Също така, не забравяйте да промените линии 11 и 12, за да отразят името на файла на сертификата на клиента и файла с ключ. Запазете това като нов файл .ovpn в папката OpenVPN / config.
Конфигуриране на VPN тунелиране на Tomato
Основната идея сега е да копираме сървърните сертификати и ключове, които сме направили по-рано и да ги поставим в менютата на Tomato VPN сървъра. След това ще проверим няколко настройки в Tomato, тестваме VPN връзката и ще можем да измием ръцете си и да го извикаме на ден!
Отворете браузъра и отидете до маршрутизатора. Кликнете върху менюто VPN Tunneling в лявата странична лента. Уверете се, че са избрани и Server1 и Basic. Настройте настройките си така, както са показани по-долу. Кликнете върху Запазване.
Актуализация: Режимът по подразбиране е TUN или тунел, но вероятно искате да го промените в TAP, който замества мрежата. Тунелният режим ще постави външните ви клиенти на различна мрежа от вътрешната мрежа. Така че определено променете Тип интерфейс към TAP.
След това кликнете върху раздела Разширени до Основен. Както и преди, уверете се, че вашите настройки са точно както са показани по-долу. Кликнете върху Запазване.
Последната ни стъпка е да поставим ключовете и сертификатите, които първоначално сме създали. Отворете раздела Клавиши до Разширени. В Windows Explorer отидете на C: Програмни файлове (x86) OpenVPN easy-rsa \ t на 64-битов Windows 7 (или C: Програмни файлове OpenVPN easy-rsa \ t на 32-битова Windows 7). Отворете всеки съответния файл по-долу (ca.crt, server.crt, server.key, и dh1024.pem) с Notepad или Notepad ++ и копирайте съдържанието. Поставете съдържанието в съответните полета, както е показано по-долу. Трябва да отбележа, че трябва само да поставите всичко по-долу - BEGIN CERTIFICATE - в server.crt. OpenVPN ще продължи да работи правилно, ако поставите целия файл, но е по-чист само вмъкване на действителната информация за сертификата. Кликнете върху Запазване и след това върху Старт сега.
Преди да тестваме нашата VPN връзка, трябва да проверим още нещо в Tomato. Кликнете върху Basic в лявата колона и след това върху Time. Уверете се, че времето на рутера е правилно, а Часовата зона показва текущата ви часова зона. Задайте NTP сървъра за време във вашата страна.
Настройка на OpenVPN клиент
В този пример ще използваме лаптоп с Windows 7 като наш клиент. Първото нещо, което ще искате да направите, е да инсталирате OpenVPN на вашия клиент, както направихме по-горе в първите стъпки под Configuring OpenVPN. След това отидете на C: Конфигурация на програмни файлове OpenVPN където ще поставим нашите файлове.
Сега трябва да се върнем на нашия оригинален компютър и да съберем общо четири файла, които да копирате на нашия клиентски лаптоп. Придвижете се до C: Програмни файлове (x86) OpenVPN easy-rsa \ t отново и копие ca.crt, client1.crt, и client1.key. Поставете тези файлове в клиентския конфигурационния папка.
И накрая, трябва да копираме още един файл. Придвижете се до C: Program Files (x86) Конфигурация на OpenVPN и копирайте новия файл client.ovpn, който създадохме по-рано. Поставете този файл в клиентския конфигурационния папка също.
Тестване на OpenVPN клиента
На клиентския лаптоп щракнете върху бутона Старт на Windows и отидете на Всички програми> OpenVPN. Кликнете с десния бутон върху GUI файла OpenVPN и щракнете върху Изпълни като администратор. Имайте предвид, че винаги трябва да изпълнявате OpenVPN като администратор, за да работи правилно. За да настроите файла винаги да се изпълнява като администратор, щракнете с десния бутон върху файла и щракнете върху Свойства. В раздела Съвместимост щракнете върху Изпълни тази програма като администратор.
Иконата OpenVPN GUI ще се появи до часовника в лентата на задачите. Кликнете с десния бутон върху иконата и щракнете върху Свързване. Тъй като имаме само един .ovpn файл в нашия конфигурационния ще се свърже с тази мрежа по подразбиране.
Ще се появи диалогов прозорец, показващ регистър на връзките.
След като се свържете с VPN, иконата OpenVPN в лентата на задачите ще стане зелена и ще покаже виртуалния ви IP адрес.
И това е! Сега имате защитена връзка между сървъра и клиентската мрежа, използвайки OpenVPN и TomatoUSB. За по-нататъшно тестване на връзката, опитайте да отворите браузър на клиентския лаптоп и да отидете до вашия Tomato рутер в мрежата на сървъра.
Изображение от The Ewan
