Ръководство: настройка на openvpn на asus рутери

OpenVPN сървърът на тези рутери е функционалност, започнала с отличния мод на фърмуера на RMerlin (основан на свой ред внедряването на OpenVPN, направено на сравнително популярния фърмуер Tomato router), за щастие от версия 374.2050 на официалния фърмуер това опцията е включена по подразбиране и е изключително проста за конфигуриране.

Това не означава, че не можем да конфигурираме всички детайли, както в миналото, но няколко досадни задачи са автоматизирани, като например генерирането на публични и частни ключове, които преди това трябваше да се извършват ръчно, позволявайки удостоверяване на сертификат, без да е необходимо твърде много време или знания, за да потребителя.

Защо да използвате OpenVPN вместо обичайния PPTP сървър?

Отговорът е прост, той е много по-сигурен метод (виж) от PPTP сървъра, който обикновено се използва в домашна среда и рутери поради своята простота, той е сравнително стандартен, не е значително по-скъп в ресурсите, много по-гъвкав е и въпреки че Нещо досадно да настроите е много удобно, след като се запознаете с околната среда.

Всъщност е лесно да конфигурирате PPTP сървър на компютър с Windows, без да инсталирате допълнителен софтуер, следвайки ръководства като този, наличен на. Но много по-добре да го конфигурирате на рутера, което освен че ни спестява изискването за пренасочване на портове и създаване на правила за защитна стена, винаги е включено за приемане на връзки. И ако може да бъде по-сигурен от PPTP, тоест методът, който ще обясним с OpenVPN, много по-добър.

Забележка: Можете също да конфигурирате OpenVPN сървър на обикновен компютър, в случай че нямате рутер с този фърмуер или е съвместим с DD-WRT / OpenWRT. За потребители, които се интересуват от този момент, препоръчваме да следват съответната статия в уикито на Debian, която подробно описва стъпките, които трябва да следват

Стъпка по стъпка ръководство за конфигуриране

Това не е изчерпателно ръководство за конфигурация, а първи контакт, за да има основен сървър, който по-късно може да бъде конфигуриран, за да отговаря на всеки потребител.

Следващите стъпки са следните:

1. Свързваме се с рутера от всеки браузър, въвеждайки IP в адресната лента (по подразбиране 192.168.1.1, въпреки че в това ръководство ще е 10.20.30.1), идентифицирайки се с нашето потребителско име и парола (по подразбиране администратор / администратор на Asus рутери, но ако следваме това ръководство, трябва да им отнеме време да се промени) Отиваме в менюто VPN в рамките на разширени опции и в раздела OpenVPN избираме първата инстанция (сървър 1), преместваме превключвателя в положение ON. Не е необходимо, но се препоръчва да се добавят потребители за нашия VPN, в този случай сме избрали тестове / тестове като потребител / парола, разбира се препоръчваме да използвате по-здрава парола, за да я използвате в реална среда. Щракваме върху бутона „+“, за да добавим потребителя и вече можем да приложим промените с бутона Прилагане, разположен в долната част на страницата.

   

   ОПЦИОНАЛНО При активиране на сървъра виждаме, че се появи падащо меню, в което можем да изберем разширена конфигурация и да променим необходимите параметри. В нашия случай ще използваме конфигурацията по подразбиране. Ако искаме да наложим използването на потребителско име и парола, това е мястото да го направим

   

   За потребители, които искат напълно ръчна конфигурация, е възможно да се генерират собствени сертификати / ключове за потребителите, които искаме с помощта на easy-rsa, както е описано в. В този случай най-простото е да генерирате ключовете от компютъра и да конфигурирате трите необходими стойности, като кликнете върху следната връзка (клавишите са лош превод на "клавиши", ключове във фърмуера):

   

   Този тип конфигурация е доста усъвършенствана, затова се препоръчва потребителите, които искат да се впуснат в нея, първо да конфигурират и тестват сървър със собствено генерирани ключове. Не е добра практика неофитът да конфигурира сървъра по този начин без предишен опит.

1. Вече работи сървърът. Сега трябва да прехвърлим сертификатите на клиентите за сигурна връзка. Можете да видите подробни примери за файлове server.conf и client.conf (съответно client.ovpn и server.ovpn в Windows) с коментари и документация, но в нашия случай е много по-лесно да използвате бутона Export

   Файлът, който ще получим, ще изглежда така (клавиши, изтрити за сигурност):

   

   Параметърът, който съм маркирал, е адресът на нашия сървър, който вероятно не е конфигуриран правилно в някои случаи, когато DDNS не "знае" адреса, на който сочи (какъвто е моят случай, че използвам Dnsomatic, за да има адрес, който винаги насочвайте към динамичния ми IP).

   Въпреки че правилната конфигурация е такава, с фиксиран адрес, няма проблем, ако нямате конфигуриран DDNS, за тестване можете да попълните това поле с WAN IP на нашия рутер (външния IP, тоест този, който може да бъде вижте на http://cualesmiip.com или http://echoip.com), с минуса, че всеки път, когато се променя IP, ние трябва да редактираме документа, за да го отразяваме. Тъй като връзката е към рутера, очевидно не трябва да пренасочваме портове, трябва само да конфигурираме клиента. Изтегляме последната версия от нейния уебсайт https://openvpn.net/index.php/download/community-downloads.html, в нашия случай тя ще бъде Windows и 64-битова. Инсталацията е проста и няма да я детайлираме. За обща употреба не е необходимо да се променя нито една от опциите по подразбиране.

   

   Сега, в зависимост от инсталираната версия, трябва да копираме файла, който преди това сме експортирали (нарекохме го client1.ovpn) в конфигурационната директория на клиента. В Windows тази директория ще бъде Program Files / OpenVPN / config / (Program Files (x86) / OpenVPN / config / в случай на 32-битова версия). Остава само да стартираме клиента като администратор, той ще ни поиска потребителско име и парола в допълнение към сертификатите, които вече са в конфигурационния файл, ако сме го конфигурирали да го направи. В противен случай влизаме директно. Ако всичко вървеше добре, ще видим запис, подобен на този в дневника (улавяне, направено в сценарий без валидиране на паролата). Иконата на зеления екран на лентата на задачите потвърждава, че сме свързани и ще ни информира за виртуалния IP, присвоен на компютъра, от който стартирахме клиента в VPN.

   

От този момент оборудването ще се държи така, сякаш е физически свързано към локалната мрежа, управлявана от рутера, в който сме конфигурирали сървъра OpenVPN.

Ние можем да следим всички връзки от този тип от нашия рутер. Например, конфигурирайки го както сме описали и свързваме от лаптопа, ще видим нещо подобно в раздела VPN-> VPN Status

Забележка: Понякога е проблематично да се свържете с VPN от нашата собствена мрежа (логично, тъй като е доста изкуствено използване да се опитате да свържете локална мрежа със себе си чрез VPN), ако някой има проблеми с работата на връзка, след като сте изпълнили всички стъпки, би било силно препоръчително да опитате връзката за данни на мобилен телефон (например чрез свързване, например), с USB 3G / 4G шип или директно от друго място.

Надяваме се, че това ръководство е полезно за вас, за да повишите сигурността на връзките си към домашната мрежа от чужбина. Насърчаваме ви да оставяте всякакви въпроси или коментари в коментарите.