Как да инсталирате и конфигурирате OpenVPN на вашия DD-WRT рутер

Вече сме обхванали инсталирането на Tomato на вашия рутер и как да се свържете с домашната си мрежа с OpenVPN и Tomato. Сега ще покрием инсталирането на OpenVPN на вашия маршрутизатор с DD-WRT за лесен достъп до домашната ви мрежа от всяка точка на света!

Какво е OpenVPN?

Виртуалната частна мрежа (VPN) е надеждна, сигурна връзка между една локална мрежа (LAN) и друга. Помислете за маршрутизатора си като за среден човек между мрежите, с които се свързвате. Както компютърът, така и OpenVPN сървърът (в този случай вашият рутер) „се ръкуват“, използвайки сертификати, които се потвърждават взаимно. При валидиране и клиентът, и сървърът се съгласяват да се доверяват един на друг и на клиента се разрешава достъп в мрежата на сървъра.

Обикновено VPN софтуерът и хардуерът струват много пари за изпълнение. Ако не сте го познали, OpenVPN е VPN решение с отворен код, което е безплатно (барабан). DD-WRT, заедно с OpenVPN, е идеалното решение за тези, които искат сигурна връзка между две мрежи, без да се налага да отварят портфейла си. Разбира се, OpenVPN няма да работи веднага. Отнема малко настройване и конфигуриране, за да се получи точно. Не се притеснявайте; ние сме тук, за да направим този процес по-лесен за вас, така че вземете си топла чаша кафе и да започнем.

За повече информация относно OpenVPN, посетете официалното Какво е OpenVPN? страница.

Предварителни

Това ръководство предполага, че в момента използвате Windows 7 на компютъра си и че използвате административен акаунт. Ако сте потребител на Mac или Linux, това ръководство ще ви даде представа как работят нещата, но може да се наложи да направите малко повече изследвания, за да направите нещата перфектни.

Това ръководство също предполага, че притежавате Linksys WRT54GL и имате общо разбиране за VPN технологията. Тя трябва да служи като основа за инсталация на DD-WRT, но не забравяйте да проверите нашето официално ръководство за инсталиране на DD-WRT за допълнителна добавка..

Инсталиране на DD-WRT

Екипът, отговорен за DD-WRT, свърши чудесна работа, като улесни крайните потребители да открият съвместимостта на маршрутизатора с тяхната страница на базата данни за рутери. Започнете с въвеждане на модела на рутера (в нашия случай WRT54GL) в текстовото поле и да гледате резултатите от търсенето да се показват незабавно. Щракнете върху маршрутизатора, след като бъде намерен.

Ще бъдете пренесени на нова страница, която изброява информация за вашия модел - включително хардуерни спецификации и различни версии на DD-WRT. Изтеглете както Mini-Generic build, така и VPN Generic build на DD-WRT (DD-wrt.v24_mini_generic.bin и DD-wrt.v24_vpn_generic.bin). Запазете тези файлове на компютъра си.

Добра идея е да посетите страницата за специфична информация за хардуера DD-WRT, за да потърсите подробна информация за маршрутизатора и DD-WRT. Тази страница ще ви обясни точно какво трябва да направите преди и след инсталирането на DD-WRT. Например, трябва да инсталирате мини версията на DD-WRT преди да инсталирате DD-WRT VPN при надстройка от основния фърмуер на Linksys на WRT54GL.

Също така, не забравяйте да направите хардуерно нулиране (AKA a 30/30/30) преди да инсталирате DD-WRT. Натиснете бутона за нулиране на гърба на маршрутизатора за 30 секунди. След това, докато все още държите бутона за нулиране, изключете захранващия кабел и го оставете изключен за 30 секунди. И накрая, включете отново захранващия кабел, докато все още държите бутона за нулиране за още 30 секунди. Трябваше да държите бутона на захранването за 90 секунди направо.

Сега отворете вашия браузър и въведете IP адреса на вашия рутер (по подразбиране е 192.168.1.1). Ще бъдете подканени да въведете потребителско име и парола. По подразбиране за Linksys WRT54GL са „admin“ и „admin“.

Кликнете върху раздела Администриране в горната част. След това щракнете върху Ъпгрейд на фърмуера, както е показано по-долу.

Щракнете върху бутона Преглед и преминете към DD-WRT Mini Generic .bin файла, който сме изтеглили по-рано. правя не качване на DD-WRT VPN .bin файла все още. Кликнете върху бутона Надстройка в уеб интерфейса. Вашият рутер ще започне да инсталира DD-WRT Mini Generic и ще отнеме по-малко от минута.

Уви! Първото ви наблюдение на DD-WRT. Още веднъж направете още 30/30/30 нулиране, както направихме по-горе. След това кликнете върху раздела Администриране в горната част. Ще бъдете подканени с потребителско име и парола. Потребителското име и паролата по подразбиране са съответно "root" и "admin". След като влезете в профила си, кликнете върху подраздела за надстройка на фърмуера и кликнете върху Избор на файл. Потърсете DD-WRT файла, който изтеглихме по-рано и щракнете върху Отвори. Сега VPN версията на DD-WRT ще започне да се качва; бъдете търпеливи, тъй като може да отнеме 2-3 минути.

Инсталиране на OpenVPN

Сега да преминем към страницата за изтегляния на OpenVPN и да изтеглите OpenVPN Windows Installer. В това ръководство ще използваме втората последна версия на OpenVPN, наречена 2.1.4. В последната версия (2.2.0) има грешка в нея, която ще направи този процес още по-сложен. Файлът, който изтегляме, ще инсталира програмата OpenVPN, която ви позволява да се свързвате с вашата VPN мрежа, така че не забравяйте да инсталирате тази програма на всички други компютри, на които искате да действате като клиенти (тъй като ще видим как да направим това по късно). Запазете файла openvpn-2.1.4-install .exe на компютъра си.

Отидете до OpenVPN файла, който току-що сте изтеглили и щракнете два пъти върху него. Това ще започне инсталирането на OpenVPN на вашия компютър. Изпълнете инсталационната програма с всички отметки по подразбиране. По време на инсталацията ще се появи диалогов прозорец с молба за инсталиране на нов виртуален мрежов адаптер, наречен TAP-Win32. Кликнете върху бутона Инсталиране.

Създаване на сертификати и ключове

Сега, когато на компютъра ви е инсталиран OpenVPN, трябва да започнем да създаваме сертификатите и ключовете за удостоверяване на устройства. Щракнете върху бутона Старт на Windows и навигирайте в Аксесоари. Ще видите програмата Command Prompt. Кликнете с десния бутон върху него и кликнете върху Изпълни като администратор.

В командния ред въведете cd c: Програмни файлове (x86) OpenVPN easy-rsa ако използвате 64-битов Windows 7, както е показано по-долу. Тип cd c: Програмни файлове OpenVPN easy-rsa ако използвате 32-битова Windows 7. След това натиснете Enter.

Сега напишете първоначален-довереник и натиснете Enter, за да копирате два файла, наречени vars.bat и openssl.cnf в папката easy-rsa. Запазете командния си ред, тъй като скоро ще се върнем към него.

Придвижете се до C: Програмни файлове (x86) OpenVPN лесно-rsa (или C: Програмни файлове OpenVPN easy-rsa на 32-битова Windows 7) и щракнете с десния бутон върху файла, наречен vars.bat. Кликнете върху Редактиране, за да го отворите в Notepad. Като алтернатива, препоръчваме да отворите този файл с Notepad ++, тъй като форматира текста във файла много по-добре. Можете да изтеглите Notepad ++ от тяхната начална страница.

Долната част на файла е това, с което се занимаваме. Започвайки от линия 31, сменете KEY_COUNTRY стойност, KEY_PROVINCE стойност, и т.н. за вашата страна, провинция и т.н. Например променихме нашата провинция на “IL”, град на “Чикаго”, орг към “HowToGeek” и изпратете имейл до нашия имейл адрес. Също така, ако използвате Windows 7 64-bit, променете У ДОМА стойност в ред 6 до % ProgramFiles (x86)% OpenVPN лесно-rsa. Не променяйте тази стойност, ако работите с 32-битов Windows 7. Файлът ви трябва да изглежда подобен на нашия по-долу (разбира се, със съответните стойности). Запазете файла, като го презапишете, след като завършите редактирането.

Върнете се в командния ред и въведете Варс и натиснете Enter. След това напишете почистване на всички и натиснете Enter. Накрая въведете изграждане на-ва и натиснете Enter.

След изпълнение на изграждане на-ва команда, ще бъдете подканени да въведете в името на държавата, държавата, местността и т.н. Тъй като ние вече сме задали тези параметри в нашата vars.bat файл, можем да пропуснем тези опции, като натиснем Enter, но! Преди да започнете да натискате клавиша Enter, внимавайте за параметъра Common Name. Можете да въведете нещо в този параметър (т.е. името си). Просто се уверете, че сте влезли нещо. Тази команда ще изведе два файла (сертификат Root CA и ключ на CA за главния) в папката easy-rsa / keys.

Сега ще изградим ключ за клиента. В същия тип команден ред вграден ключ client1. Можете да промените „client1“ на всичко, което искате (т.е. Acer-лаптоп). Просто въведете същото име като общото име, когато бъдете подканени. Изпълнете всички по подразбиране като последната стъпка, която направихме (с изключение на Common Name, разбира се). В края обаче ще бъдете помолени да подпишете сертификата и да го извършите. Напишете „y“ за двете и кликнете Enter.

Също така, не се притеснявайте, ако сте получили грешка „не може да напишете случайно състояние“. Забелязахме, че вашите сертификати все още се правят без проблем. Тази команда ще изведе два файла (ключ на Client1 и сертификат Client1) в папката easy-rsa / keys. Ако искате да създадете друг ключ за друг клиент, повторете предишната стъпка, но не забравяйте да промените общото име.

Последният сертификат, който ще генерираме, е ключът на сървъра. В същия команден ред въведете вграден ключ на сървъра сървър. Можете да замените “server” в края на командата с всичко, което искате (т.е. HowToGeek-Server). Както винаги, уверете се, че сте въвели същото име като общото име, когато бъдете подканени. Натиснете Enter и изпълнете всички настройки по подразбиране освен Common Name. Накрая напишете „y“, за да подпишете сертификата и да го направите. Тази команда ще изведе два файла (сървър ключ и сървър сертификат) в папката easy-rsa / keys.

Сега трябва да генерираме параметрите на Дифи Хелман. Протоколът Дифи Хелман "позволява на двама потребители да обменят секретен ключ върху несигурна среда без никакви предишни тайни". Можете да прочетете повече за Дифи Хелман на сайта на RSA.

В същия тип команден ред изграждане на-DH. Тази команда ще изведе един файл (dh1024.pem) в папката easy-rsa / keys.

Създаване на конфигурационни файлове за клиента

Преди да редактираме конфигурационни файлове, трябва да настроим динамична DNS услуга. Използвайте тази услуга, ако вашият ISP ви задава динамичен външен IP адрес всеки път. Ако имате статичен външен IP адрес, прескочете до следващата стъпка.

Препоръчваме ви да използвате DynDNS.com, услуга, която ви позволява да насочите име на хост (т.е. howtogeek.dyndns.org) към динамичен IP адрес. Важно е OpenVPN винаги да знае публичния IP адрес на вашата мрежа, а с помощта на DynDNS OpenVPN винаги ще знае как да локализира вашата мрежа, без значение какъв е вашият публичен IP адрес. Регистрирайте се за безплатно име на хост и го насочете към публичния си IP адрес.

Сега обратно към конфигурирането на OpenVPN. В Windows Explorer отидете на C: Program Files (x86) - OpenVPN пример-конфиг ако използвате 64-битова версия на Windows 7 или C: Програмирани файлове OpenVPN sample-config ако използвате 32-битов Windows 7. В тази папка ще намерите три примерни конфигурационни файла; ние се занимаваме само с client.ovpn досие.

Кликнете с десния бутон на мишката client.ovpn и го отворете с Notepad или Notepad ++. Ще забележите, че файлът ви ще изглежда като картинката по-долу:

Но ние искаме нашите client.ovpn файл, който изглежда подобен на това снимка по-долу. Не забравяйте да промените DynDNS името на хоста на името на хоста си в ред 4 (или да го промените на публичния си IP адрес, ако имате статичен). Оставете номера на порта 1194, тъй като той е стандартният OpenVPN порт. Също така, не забравяйте да промените линии 11 и 12, за да отразят името на файла на сертификата на клиента и файла с ключ. Запазете това като нов файл .ovpn в папката OpenVPN / config.

Конфигуриране на OpenVPN демона на DD-WRT

Основната идея сега е да копираме сървърните сертификати и ключовете, които сме направили по-рано и да ги поставим в менютата DD-WRT OpenVPN Daemon. Отворете отново браузъра си и отидете до маршрутизатора. Вече трябва да имате инсталиран DD-WRT VPN издание на вашия рутер. Ще забележите нов под-раздел в раздела Услуги, наречен VPN. Кликнете върху бутон Enable (Включване) под OpenVPN Daemon.

Първо, не забравяйте да смените Стартовия тип на “Wan Up” вместо “System” по подразбиране. Сега ще се нуждаем от нашите сървърни ключове и сертификати, които сме създали по-рано. В Windows Explorer отидете на C: Програмни файлове (x86) OpenVPN easy-rsa \ t на 64-битов Windows 7 (или C: Програмни файлове OpenVPN easy-rsa \ t на 32-битова Windows 7). Отворете всеки съответния файл по-долу (ca.crt, server.crt, server.key, и dh1024.pem) с Notepad или Notepad ++ и копирайте съдържанието. Поставете съдържанието в съответните полета, както е показано по-долу.

За полето OpenVPN Config ще трябва да създадем персонализиран файл. Тези настройки ще се различават в зависимост от настройката на вашата LAN. Отворете отделен прозорец на браузъра и въведете IP адреса на маршрутизатора. Щракнете върху раздела Настройка и вземете под внимание IP адреса, който сте конфигурирали под IP маршрутизатор> Локален IP адрес. По подразбиране, което е това, което използваме в този пример, е 192.168.1.1. Поставете тази подмрежа веднага след „маршрут“ в първия ред, за да отразите настройката на LAN. Копирайте това в прозореца Config Confign и натиснете Save.

натиснете „маршрут 192.168.1.0 255.255.255.0“
сървър 10.8.0.0 255.255.255.0

dev tun0
proto tcp
. \ t
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem

# Използвайте crl-verify само ако използвате списъка за отмяна - в противен случай оставете коментар
# crl-verify /tmp/openvpn/ca.crl

# управлението параметър позволява на DD-WRT OpenVPN статус уеб страница за достъп до сървъра за управление на порт
# port трябва да бъде 5001 за скриптове, вградени във фърмуера, за да работят
управление localhost 5001

Сега трябва да конфигурираме защитната стена, за да позволи на клиентите да се свържат с нашия OpenVPN сървър чрез 1194 порта. Отворете раздела Администриране и кликнете върху подраздела Команди. В текстовото поле "Команди" поставете следното:

iptables -I ВХОД 1 -p udp -dport 1194 -j ПРИЕМ
iptables -I FORWARD 1 -source 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ПРИЕМ
iptables -I FORWARD -i tun0 -o br0 -j ПРИЕМ

Уверете се, че сте променили IP LAN във втория ред, ако е различен от този по подразбиране. След това кликнете върху бутона Запазване на защитната стена по-долу.

И накрая, не забравяйте да проверите настройките за време в раздела Настройка, в противен случай демонът на OpenVPN ще откаже всички клиенти. Препоръчваме ви да отидете на TimeAndDate.com и да потърсите вашия град в текущото време. Този сайт ще ви даде цялата информация, от която се нуждаете, за да попълните под Настройки за време, както направихме по-долу. Също така, проверете сайта на NTP Pool Project за публични NTP сървъри, които да използвате.

Настройка на OpenVPN клиент

В този пример ще използваме лаптоп с Windows 7 като наш клиент в отделна мрежа. Първото нещо, което ще искате да направите, е да инсталирате OpenVPN на вашия клиент, както направихме по-горе в първите стъпки под Configuring OpenVPN. След това отидете на C: Конфигурация на програмни файлове OpenVPN където ще поставим нашите файлове.

Сега трябва да се върнем на нашия оригинален компютър и да съберем общо четири файла, които да копирате на нашия клиентски лаптоп. Придвижете се до C: Програмни файлове (x86) OpenVPN easy-rsa \ t отново и копие ca.crt, client1.crt, и client1.key. Поставете тези файлове в клиентския конфигурационния папка.

И накрая, трябва да копираме още един файл. Придвижете се до C: Program Files (x86) Конфигурация на OpenVPN и копирайте новия файл client.ovpn, който създадохме по-рано. Поставете този файл в клиентския конфигурационния папка също.

Тестване на OpenVPN клиента

На клиентския лаптоп щракнете върху бутона Старт на Windows и отидете на Всички програми> OpenVPN. Кликнете с десния бутон върху GUI файла OpenVPN и щракнете върху Изпълни като администратор. Имайте предвид, че винаги трябва да изпълнявате OpenVPN като администратор, за да работи правилно. За да настроите файла винаги да се изпълнява като администратор, щракнете с десния бутон върху файла и щракнете върху Свойства. В раздела Съвместимост щракнете върху Изпълни тази програма като администратор.

Иконата OpenVPN GUI ще се появи до часовника в лентата на задачите. Кликнете с десния бутон върху иконата и щракнете върху Свързване. Тъй като имаме само един .ovpn файл в нашия конфигурационния ще се свърже с тази мрежа по подразбиране.

Ще се появи диалогов прозорец, показващ регистър на връзките.

След като се свържете с VPN, иконата OpenVPN в лентата на задачите ще стане зелена и ще покаже виртуалния ви IP адрес.

И това е! Сега имате защитена връзка между сървъра и клиентската мрежа, използвайки OpenVPN и DD-WRT. За по-нататъшно тестване на връзката, опитайте да отворите браузър на клиентския лаптоп и да отидете до маршрутизатора си DD-WRT в мрежата на сървъра.