Мы уже рассказали об установке Tomato на вашем маршрутизаторе и о том, как подключиться к домашней сети с помощью OpenVPN и Tomato. Теперь мы рассмотрим установку OpenVPN на вашем маршрутизаторе с поддержкой DD-WRT для быстрого доступа к вашей домашней сети из любой точки мира!
Что такое OpenVPN?
Виртуальная частная сеть (VPN) – это надежное защищенное соединение между одной локальной сетью (ЛВС) и другой. Думайте о своем маршрутизаторе как о посреднике между сетями, к которым вы подключаетесь. И ваш компьютер, и сервер OpenVPN (в данном случае ваш маршрутизатор) «пожимают друг другу руки», используя сертификаты, которые проверяют друг друга. После проверки и клиент, и сервер соглашаются доверять друг другу, и тогда клиенту разрешается доступ в сети сервера.
Как правило, программное и аппаратное обеспечение VPN требуют больших затрат на внедрение. Если вы еще не догадались, OpenVPN – это VPN-решение с открытым исходным кодом, которое (барабанная дробь) бесплатно. DD-WRT, наряду с OpenVPN, является идеальным решением для тех, кто хочет защищенное соединение между двумя сетями без необходимости открывать свой кошелек. Конечно, OpenVPN не будет работать прямо из коробки. Требуется немного доработать и настроить, чтобы все было правильно. Не волнуйтесь, хотя; мы здесь, чтобы облегчить вам этот процесс, так что возьмите с собой теплую чашку кофе и начнем.
Для получения дополнительной информации об OpenVPN, посетите официальный Что такое OpenVPN? стр.
Предпосылки
В этом руководстве предполагается, что в настоящее время вы используете Windows 7 на своем компьютере и используете учетную запись администратора. Если вы пользователь Mac или Linux, это руководство даст вам представление о том, как все работает, однако вам, возможно, придется немного больше исследовать самостоятельно, чтобы добиться совершенства.
В этом руководстве также предполагается, что вы являетесь владельцем Linksys WRT54GL и имеете общее представление о технологии VPN. Он должен служить основой для установки DD-WRT, но обязательно ознакомьтесь с нашим официальным руководством по установке DD-WRT для получения дополнительной информации.
Установка DD-WRT
Команда, ответственная за DD-WRT, проделала большую работу, упрощая конечным пользователям возможность обнаружения совместимости маршрутизатора со своей страницей базы данных маршрутизаторов. Начните с ввода вашей модели маршрутизатора (в нашем случае WRT54GL ) в текстовое поле и смотрите результаты поиска мгновенно. Нажмите на свой маршрутизатор, как только он будет найден.
Вы попадете на новую страницу со списком информации о вашей модели, включая спецификации оборудования и различные сборки DD-WRT. Загрузите сборку Mini-Generic и сборку VPN Generic для DD-WRT ( dd-wrt.v24_mini_generic.bin и dd-wrt.v24_vpn_generic.bin ). Сохраните эти файлы на свой компьютер.
Рекомендуется посетить страницу информации об оборудовании DD-WRT, чтобы найти подробную информацию о вашем маршрутизаторе и DD-WRT. Эта страница объяснит, что именно вам нужно делать до и после установки DD-WRT. Например, вы должны установить мини-версию DD-WRT перед установкой DD-WRT VPN при обновлении со стандартной прошивки Linksys на WRT54GL.
Кроме того, обязательно сделайте полный сброс (AKA 30/30/30) перед установкой DD-WRT. Нажмите кнопку сброса на задней панели маршрутизатора и удерживайте в течение 30 секунд. Затем, продолжая удерживать кнопку сброса, отсоедините кабель питания и оставьте его отключенным на 30 секунд. Наконец, снова подключите кабель питания, удерживая нажатой кнопку сброса еще 30 секунд. Вы должны были держать кнопку питания в течение 90 секунд подряд.
Теперь откройте браузер и введите IP-адрес маршрутизатора (по умолчанию 192.168.1.1). Вам будет предложено ввести имя пользователя и пароль. По умолчанию для Linksys WRT54GL используются значения «admin» и «admin».
Нажмите на вкладку «Администрирование» вверху. Затем нажмите «Обновление прошивки», как показано ниже.
Нажмите кнопку «Обзор» и перейдите к загруженному ранее DD-WRT Mini Generic .bin-файлу. не загружайте файл DD-WRT VPN .bin. Нажмите кнопку «Обновить» в веб-интерфейсе. Ваш маршрутизатор начнет установку DD-WRT Mini Generic, и на его завершение потребуется меньше минуты.
Увы! Ваше первое наблюдение DD-WRT. Еще раз выполните сброс 30/30/30, как мы делали выше. Затем нажмите вкладку «Администрирование» вверху. Вам будет предложено ввести имя пользователя и пароль. Имя пользователя и пароль по умолчанию – «root» и «admin» соответственно. После того, как вы вошли в систему, перейдите на вкладку «Обновление прошивки» и нажмите «Выбрать файл». Найдите файл DD-WRT VPN, который мы скачали ранее, и нажмите «Открыть». VPN-версия DD-WRT начнет загружаться; наберитесь терпения, так как это может занять 2-3 минуты.
Установка OpenVPN
Теперь перейдем на страницу загрузок OpenVPN и загрузите установщик OpenVPN для Windows. В этом руководстве мы будем использовать вторую последнюю версию OpenVPN под названием 2.1.4. В последней версии (2.2.0) есть ошибка, которая сделает этот процесс еще более сложным. Загружаемый файл установит программу OpenVPN, которая позволит вам подключаться к вашей сети VPN, поэтому обязательно установите эту программу на любые другие компьютеры, которые вы хотите использовать в качестве клиентов (поскольку мы увидим, как это сделать). потом). Сохраните файл openvpn-2.1.4-install .exe на свой компьютер.
Перейдите к только что загруженному файлу OpenVPN и дважды щелкните его. Это начнет установку OpenVPN на вашем компьютере. Запустите программу установки со всеми установленными значениями по умолчанию. Во время установки появится диалоговое окно с просьбой установить новый виртуальный сетевой адаптер под названием TAP-Win32. Нажмите кнопку Установить.
Создание сертификатов и ключей
Теперь, когда на вашем компьютере установлен OpenVPN, мы должны начать создавать сертификаты и ключи для аутентификации устройств. Нажмите кнопку «Пуск» и перейдите в раздел «Аксессуары». Вы увидите программу командной строки. Щелкните правой кнопкой мыши и выберите «Запуск от имени администратора».
В командной строке введите cd c: \ Program Files (x86) \ OpenVPN \ easy-rsa , если вы используете 64-разрядную версию Windows 7, как показано ниже. Введите cd c: \ Program Files \ OpenVPN \ easy-rsa , если вы используете 32-разрядную версию Windows 7. Затем нажмите Enter. 
Теперь введите init-config и нажмите Enter, чтобы скопировать два файла с именами vars.bat и openssl.cnf в папку easy-rsa. Держите вашу командную строку, так как мы скоро к ней вернемся.
Перейдите в C: \ Program Files (x86) \ OpenVPN \ easy-rsa (или C: \ Program Files \ OpenVPN \ easy-rsa в 32-разрядной Windows 7) и щелкните правой кнопкой мыши файл с именем vars.bat . Нажмите Редактировать, чтобы открыть его в Блокноте. В качестве альтернативы, мы рекомендуем открыть этот файл с помощью Notepad ++, поскольку он лучше форматирует текст в файле. Вы можете скачать Notepad ++ с их домашней страницы.
Нижняя часть файла – это то, что нас интересует. Начиная со строки 31, измените значение KEY_COUNTRY , значение KEY_PROVINCE и т. Д. На свою страну, провинцию и т. Д. Например, мы изменили нашу провинцию на «IL», город в «Чикаго», org в «HowToGeek» и по электронной почте на наш собственный адрес электронной почты. Кроме того, если вы используете 64-разрядную версию Windows 7, измените значение HOME в строке 6 на % ProgramFiles (x86)% \ OpenVPN \ easy-rsa . Не изменяйте это значение, если вы используете 32-битную Windows 7. Ваш файл должен выглядеть примерно так, как показано ниже (с вашими соответствующими значениями, конечно). Сохраните файл, переписав его, как только вы закончите редактирование.
Вернитесь в командную строку, введите vars и нажмите Enter. Затем введите clean-all и нажмите Enter. Наконец, введите build-ca и нажмите Enter.
После выполнения команды build-ca вам будет предложено ввести название страны, штат, местность и т. Д. Так как мы уже установили эти параметры в нашем vars.bat файл, мы можем пропустить эти опции, нажав Enter, но! . Прежде чем начать нажимать клавишу Enter, обратите внимание на параметр Common Name. Вы можете ввести что-нибудь в этот параметр (то есть ваше имя). Просто убедитесь, что вы ввели что-то . Эта команда выведет два файла (сертификат корневого центра сертификации и ключ корневого центра сертификации) в папку easy-rsa/keys.
Теперь мы собираемся создать ключ для клиента. В той же командной строке введите ключ сборки client1 . Вы можете изменить «client1» на что угодно (например, Acer-Laptop). Просто обязательно введите то же имя, что и общее имя, когда будет предложено. Выполните все настройки по умолчанию, как на последнем шаге, который мы сделали (за исключением Common Name, конечно). Тем не менее, в конце вам будет предложено подписать сертификат и совершить. Введите «у» для обоих и нажмите Enter.
Кроме того, не беспокойтесь, если вы получили ошибку «невозможно написать« случайное состояние »». Мы заметили, что ваши сертификаты по-прежнему оформляются без проблем. Эта команда выведет два файла (ключ Client1 и сертификат Client1) в папку easy-rsa/keys. Если вы хотите создать другой ключ для другого клиента, повторите предыдущий шаг, но обязательно измените Общее имя.
Последний сертификат, который мы будем генерировать, – это ключ сервера. В той же командной строке введите build-key-server server .Вы можете заменить «сервер» в конце команды на что угодно (например, HowToGeek-Server). Как всегда, обязательно введите то же имя, что и Общее имя, когда будет предложено. Нажмите Enter и выполните все настройки по умолчанию, кроме Common Name. В конце введите «y», чтобы подписать сертификат и зафиксировать. Эта команда выведет два файла (ключ сервера и сертификат сервера) в папку easy-rsa/keys.
Теперь нам нужно сгенерировать параметры Диффи-Хеллмана. Протокол Диффи-Хеллмана «позволяет двум пользователям обмениваться секретным ключом по небезопасной среде без каких-либо предварительных секретов». Вы можете прочитать больше о Diffie Hellman на веб-сайте RSA.
В той же командной строке введите build-dh . Эта команда выведет один файл (dh1024.pem) в папку easy-rsa/keys.
Создание файлов конфигурации для клиента
Прежде чем редактировать какие-либо файлы конфигурации, мы должны настроить динамический DNS-сервис. Используйте эту услугу, если ваш провайдер периодически выдает вам динамический внешний IP-адрес. Если у вас есть статический внешний IP-адрес, перейдите к следующему шагу.
Мы предлагаем использовать DynDNS.com, сервис, который позволяет вам указывать имя хоста (то есть howtogeek.dyndns.org) на динамический IP-адрес. Для OpenVPN важно всегда знать общедоступный IP-адрес вашей сети, и с помощью DynDNS OpenVPN всегда будет знать, как найти вашу сеть, независимо от того, какой у вас публичный IP-адрес. Зарегистрируйтесь на бесплатное имя хоста и укажите его на ваш публичный IP-адрес.
Теперь вернемся к настройке OpenVPN. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ sample-config , если вы используете 64-разрядную версию Windows 7 или C: \ Program Files \ OpenVPN \ sample -config , если вы работаете в 32-битной Windows 7. В этой папке вы найдете три примера файлов конфигурации; нас интересует только файл client.ovpn .
Щелкните правой кнопкой мыши client.ovpn и откройте его с помощью Блокнота или Блокнота ++. Вы заметите, что ваш файл будет выглядеть как на картинке ниже:
Однако мы хотим, чтобы наш файл client.ovpn выглядел примерно так же, как эта картинка ниже. Обязательно измените имя хоста DynDNS на ваше имя хоста в строке 4 (или измените его на свой публичный IP-адрес, если у вас есть статический). Оставьте номер порта 1194, так как это стандартный порт OpenVPN. Кроме того, обязательно измените строки 11 и 12, чтобы они отражали имя файла сертификата вашего клиента и файла ключа. Сохраните его как новый файл .ovpn в папке OpenVPN/config.
Конфигурирование демона OpenVPN DD-WRT
Основная идея теперь состоит в том, чтобы скопировать серверные сертификаты и ключи, которые мы сделали ранее, и вставить их в меню DD-WRT OpenVPN Daemon. Снова откройте браузер и перейдите к маршрутизатору. Теперь на вашем маршрутизаторе должна быть установлена версия DD-WRT VPN. Вы увидите новую вложенную вкладку на вкладке «Службы» под названием VPN. Нажмите кнопку «Включить» в разделе «Демон OpenVPN».
Во-первых, обязательно измените тип запуска на «Wan Up» вместо «System» по умолчанию. Теперь нам понадобятся наши серверные ключи и сертификаты, которые мы создали ранее. В проводнике Windows перейдите к C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys в 64-битной Windows 7 (или C: \ Program Files \ OpenVPN \ easy- rsa \ keys в 32-битной Windows 7). Откройте каждый соответствующий файл ниже ( ca.crt , server.crt , server.key и dh1024.pem ) с помощью Блокнота или Блокнота ++ и скопируйте содержимое. Вставьте содержимое в соответствующие поля, как показано ниже.
Для поля OpenVPN Config нам потребуется создать пользовательский файл. Эти настройки будут отличаться в зависимости от того, как настроена ваша локальная сеть. Откройте отдельное окно браузера и введите IP-адрес вашего маршрутизатора. Перейдите на вкладку «Настройка» и запишите, какой IP-адрес вы настроили в разделе «IP-адрес маршрутизатора»> «Локальный IP-адрес». Значением по умолчанию, которое мы используем в этом примере, является 192.168.1.1. Вставьте эту подсеть сразу после «маршрута» в первой строке, чтобы отразить настройки вашей локальной сети. Скопируйте это в поле OpenVPN Config и нажмите Сохранить.
нажмите «маршрут 192.168.1.0 255.255.255.0»
сервер 10.8.0.0 255.255.255.0
dev tun0
Прото TCP
keepalive 10 120
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
ключ /tmp/openvpn/key.pem
# Используйте crl-verify только если вы используете список отзыва – в противном случае оставьте его закомментированным
# crl-verify/tmp/openvpn/ca.CRL
# параметр управления позволяет веб-странице DD-WRT OpenVPN Status получать доступ к порту управления сервера
# порт должен быть 5001, чтобы скрипты, встроенные в прошивку, работали
управление localhost 5001
Теперь мы должны настроить брандмауэр, чтобы разрешить клиентам подключаться к нашему серверу OpenVPN через порт 1194. Перейдите на вкладку «Администрирование» и перейдите на вкладку «Команды». В текстовом поле «Команды» вставьте следующее:
iptables -I INPUT 1 -p udp –dport 1194 -j ПРИНЯТЬ
iptables -I FORWARD 1 – источник 192.168.1.0/24 -j ПРИНЯТЬ
iptables -I FORWARD -i br0 -o tun0 -j ПРИНЯТЬ
iptables -I FORWARD -i tun0 -o br0 -j ПРИНЯТЬ
Обязательно измените свой IP-адрес локальной сети во второй строке, если он отличается от значения по умолчанию. Затем нажмите кнопку Сохранить брандмауэр ниже.
Наконец, обязательно проверьте свои настройки времени на вкладке «Настройка», иначе демон OpenVPN запретит всем клиентам. Мы предлагаем перейти на TimeAndDate.com и найти ваш город в разделе Текущее время. Этот веб-сайт предоставит вам всю информацию, необходимую для заполнения в разделе «Настройки времени», как мы это делали ниже. Кроме того, посетите веб-сайт NTP Pool Project для использования общедоступных NTP-серверов.
Настройка клиента OpenVPN
В этом примере мы будем использовать ноутбук с Windows 7 в качестве нашего клиента в отдельной сети. Первое, что вы захотите сделать, это установить OpenVPN на своем клиенте, как мы это делали выше на первых шагах по настройке OpenVPN. Затем перейдите в C: \ Program Files \ OpenVPN \ config , где мы будем вставлять наши файлы.
Теперь нам нужно вернуться на наш оригинальный компьютер и собрать всего четыре файла для копирования на наш клиентский ноутбук. Снова перейдите в C: \ Program Files (x86) \ OpenVPN \ easy-rsa \ keys и скопируйте ca.crt , client1.crt , и client1.key . Вставьте эти файлы в папку config клиента.
Наконец, нам нужно скопировать еще один файл. Перейдите в C: \ Program Files (x86) \ OpenVPN \ config и скопируйте новый файл client.ovpn, который мы создали ранее. Вставьте этот файл в папку клиента config .
Тестирование клиента OpenVPN
На клиентском ноутбуке нажмите кнопку «Пуск» Windows и выберите «Все программы»> «OpenVPN». Щелкните правой кнопкой мыши файл OpenVPN GUI и выберите «Запуск от имени администратора». Обратите внимание, что вы всегда должны запускать OpenVPN от имени администратора, чтобы он работал правильно. Чтобы навсегда установить файл для запуска от имени администратора, щелкните файл правой кнопкой мыши и выберите «Свойства». На вкладке «Совместимость» установите флажок «Запустить эту программу от имени администратора».
Значок OpenVPN GUI появится рядом с часами на панели задач. Щелкните правой кнопкой мыши значок и выберите «Подключиться». Поскольку в нашей папке config есть только один файл .ovpn, OpenVPN будет подключаться к этой сети по умолчанию.
Появится диалоговое окно с журналом соединений.
После подключения к VPN значок OpenVPN на панели задач станет зеленым и отобразит ваш виртуальный IP-адрес.
И это все! Теперь у вас есть защищенное соединение между вашим сервером и сетью клиента с использованием OpenVPN и DD-WRT. Для дальнейшей проверки соединения попробуйте открыть браузер на клиентском ноутбуке и перейти к маршрутизатору DD-WRT в сети сервера.
