Посібник: налаштування openvpn на маршрутизаторах asus

Сервер OpenVPN на цих маршрутизаторах - це функціонал, який розпочався з чудового модного програмного забезпечення RMerlin (заснований в свою чергу на впровадженні OpenVPN, зробленому на відносно популярній прошивці маршрутизатора Tomato), на щастя з версії 374.2050 офіційної прошивки опція включена за замовчуванням і налаштовується надзвичайно просто.

Це не означає, що ми не можемо налаштувати всі деталі, як раніше, але кілька втомлювальних завдань автоматизовані, наприклад, генерація відкритих та приватних ключів, які раніше мали виконуватися вручну, дозволяючи перевірити автентифікацію сертифікатів без необхідності занадто багато часу або знань, користувач.

Навіщо використовувати OpenVPN замість звичайного сервера PPTP?

Відповідь проста: це набагато більш безпечний метод (див.), Ніж сервер PPTP, який зазвичай використовується в домашніх умовах та маршрутизаторах через свою простоту, він порівняно стандартний, він не суттєво дорожчий за ресурси, він набагато гнучкіший, і хоча Щось нудно налаштувати, це дуже зручно колись знайоме з навколишнім середовищем.

Насправді, налаштувати PPTP-сервер на комп’ютері Windows легко, не встановлюючи додаткового програмного забезпечення, дотримуючись таких посібників, як той, який доступний на. Але набагато краще налаштувати його на маршрутизаторі, що крім того, щоб заощадити нам вимогу перенаправляти порти та створювати правила брандмауера, завжди приймає з'єднання. І якщо він може бути більш безпечним, ніж PPTP, тобто метод, який ми пояснимо з OpenVPN, набагато краще.

Примітка: Ви також можете налаштувати сервер OpenVPN на звичайному ПК, якщо у вас немає маршрутизатора з цією прошивкою або сумісного з DD-WRT / OpenWRT. Користувачам, зацікавленим у цьому пункті, радимо дотримуватися відповідної статті на вікі Debian, де ідеально описані кроки, які слід виконати

Покрокове керівництво по конфігурації

Це не призначене для вичерпного посібника з конфігурації, а для першого контакту для запуску базового сервера, який згодом може бути налаштований відповідно до кожного користувача.

Наступні кроки:

1. Ми підключаємося до маршрутизатора з будь-якого браузера, вводячи IP-адресу в адресний рядок (за замовчуванням 192.168.1.1, хоча в цьому посібнику це буде 10.20.30.1), ідентифікуючи себе за допомогою свого імені користувача та пароля (за замовчуванням адміністратор / адміністратор на маршрутизаторах Asus, але якщо ми дотримуємося цього посібника, їм слід зайняти час, щоб змінитись. Ми переходимо до меню VPN в межах розширених параметрів і на вкладці OpenVPN вибираємо перший екземпляр (Сервер 1), переходимо перемикач у положення ВКЛ. Це не обов'язково, але рекомендується додавати користувачів для нашого VPN, у цьому випадку ми вибрали тести / тести як користувач / пароль, ми, звичайно, радимо використовувати більш надійний пароль, щоб використовувати його в реальному середовищі. Натискаємо кнопку "+", щоб додати користувача, і ми вже можемо застосувати зміни за допомогою кнопки " Застосувати", розташованої внизу сторінки.

   

   ОПЦІОНАЛЬНО При активації сервера ми бачимо, що з'явилося спадне меню, в якому ми можемо вибрати розширену конфігурацію та змінити потрібні нам параметри. У нашому випадку ми будемо використовувати конфігурацію за замовчуванням. Якщо ми хочемо змусити використовувати ім’я користувача та пароль, це саме місце

   

   Для користувачів, які хочуть повністю налаштувати вручну, можна створити власні сертифікати / ключі для тих користувачів, яких ми хочемо, використовуючи easy-rsa, як описано в. У цьому випадку найпростішим є створення ключів від ПК та налаштування трьох необхідних значень, натиснувши на наступне посилання (клавіші - це поганий переклад "клавіш", ключів у прошивці):

   

   Цей тип конфігурації є досить вдосконаленим, тому рекомендується користувачам, які хочуть зайти в нього, налаштувати і протестувати спочатку сервер із самостійно згенерованими ключами. Неофіційна практика для неофіта таким чином налаштовувати сервер без попереднього досвіду.

1. У нас сервер вже працює. Тепер нам потрібно передати сертифікати клієнтам для безпечного з'єднання. Ви можете переглянути детальні приклади файлів server.conf та client.conf (відповідно, client.ovpn та server.ovpn в Windows) з коментарями та документацією, але в нашому випадку набагато простіше використовувати кнопку Експорт

   Файл, який ми отримаємо, буде виглядати приблизно так (клавіші видалені для безпеки):

   

   Параметр, який я позначив, - це адреса нашого сервера, яка, ймовірно, не була правильно налаштована в деяких випадках, коли DDNS не "знає" адресу, на яку вказує (як у моєму випадку, я використовую Dnsomatic, щоб мати адресу, завжди вказуйте на мій динамічний IP).

   Хоча правильна конфігурація така, з фіксованою адресою, немає проблеми, якщо у вас немає налаштування DDNS, для тестування ви можете заповнити це поле WAN IP нашого маршрутизатора (зовнішній IP, тобто той, який може бути див. на http://cualesmiip.com або http://echoip.com), із недоліком того, що кожного разу, коли наша зміна IP-адреси, нам доведеться редагувати документ, щоб відобразити його. Оскільки підключення до маршрутизатора, очевидно, що нам не потрібно перенаправляти порти, нам залишається лише налаштувати клієнта. Ми завантажуємо останню версію з її веб-сайту https://openvpn.net/index.php/download/community-downloads.html, у нашому випадку це буде Windows та 64-розрядна версія. Установка проста, і ми не будемо її деталізувати. Для загального використання не потрібно змінювати жоден параметр за замовчуванням.

   

   Тепер, залежно від встановленої версії, ми повинні скопіювати файл, який ми раніше експортували (ми називали його client1.ovpn), у каталог конфігурації клієнта. У Windows цей каталог буде програмними файлами / OpenVPN / config / ( файли програми (x86) / OpenVPN / config / у випадку 32-бітної версії). Залишається лише запустити клієнта в якості адміністратора, він попросить у нас імені користувача та пароля на додаток до сертифікатів, які вже є у файлі конфігурації, якщо ми це налаштували для цього. Інакше ми входимо безпосередньо. Якщо все пройшло добре, ми побачимо запис, подібний до цього, у журналі (захоплення, зроблене за сценарієм без перевірки паролем). Піктограма на зеленому екрані панелі завдань підтверджує, що ми підключені, і повідомить нас про віртуальний IP, призначений комп'ютеру, з якого ми запустили клієнта в VPN.

   

З цього моменту обладнання буде вести себе так, ніби воно було фізично підключене до локальної мережі, керованої маршрутизатором, в якому ми налаштували сервер OpenVPN.

Ми можемо відстежувати всі з'єднання цього типу з нашого маршрутизатора. Наприклад, налаштувавши його, як ми описали, та підключившись до ноутбука, щось подібне ми побачимо у розділі VPN-> VPN Status

Примітка: Іноді проблематично підключитися до VPN всередині власної мережі (логічно, оскільки це досить штучне використання, щоб спробувати підключити локальну мережу до себе через VPN), якщо хтось має проблеми з роботою підключення після виконання всіх кроків, настійно рекомендується спробувати з'єднання даних мобільного телефону (наприклад, через прив’язку), за допомогою USB-шини 3G / 4G або безпосередньо з іншого місця.

Ми сподіваємось, що цей посібник буде корисним для вас, щоб підвищити безпеку ваших підключень до домашньої мережі з-за кордону. Заохочуйте залишати будь-які запитання чи коментарі в коментарях.