Guide: sette opp openvpn på asus-rutere

OpenVPN-serveren på disse ruterne er en funksjonalitet som startet med den utmerkede RMerlin firmware-mod (basert på tur på OpenVPN-implementeringen gjort på den relativt populære Tomato-ruteren firmware), heldigvis siden versjon 374.2050 av den offisielle firmware. alternativet er inkludert som standard, og er ekstremt enkelt å konfigurere.

Dette betyr ikke at vi ikke kan konfigurere alle detaljene som i fortiden, men flere kjedelige oppgaver er automatisert, for eksempel generering av offentlige og private nøkler som tidligere måtte utføres manuelt, noe som tillater sertifikatgodkjenning uten behov for for mye tid eller kunnskap til brukeren.

Hvorfor bruke OpenVPN i stedet for den vanlige PPTP-serveren?

Svaret er enkelt, det er en mye sikrere metode (se) enn PPTP-serveren som ofte brukes i hjemmemiljøer og rutere på grunn av sin enkelhet, den er relativt standard, den er ikke betydelig dyrere i ressurser, den er mye mer fleksibel, og selv om Noe kjedelig å sette opp er veldig behagelig når man er kjent med miljøet.

Det er faktisk enkelt å konfigurere en PPTP-server på en Windows-datamaskin, uten å installere noen ekstra programvare, etter guider som den som er tilgjengelig på. Men mye bedre å konfigurere den på ruteren, som i tillegg til å redde oss kravet om å omdirigere porter og lage brannmurregler, er alltid på for å godta tilkoblinger. Og hvis det kan være sikrere enn PPTP, det vil si metoden som vi vil forklare med OpenVPN, mye bedre.

Merk: Du kan også konfigurere en OpenVPN-server på en vanlig PC, i tilfelle du ikke har en ruter med denne firmware eller er kompatibel med DD-WRT / OpenWRT. For brukere som er interessert i dette punktet, anbefaler vi å følge den tilsvarende artikkelen på Debian-wikien, som perfekt beskriver trinnene som skal følges i

Trinn for trinn konfigurasjonshåndbok

Dette er ikke ment å være en uttømmende konfigurasjonsveiledning, men en første kontakt for å ha en grunnleggende server som kjører som senere kan konfigureres for å passe hver bruker.

Trinnene som følger er følgende:

1. Vi kobler til ruteren fra hvilken som helst nettleser, og angir IP-en i adressefeltet (som standard 192.168.1.1, selv om det i denne guiden vil være 10.20.30.1), idet vi identifiserer oss med brukernavnet og passordet vårt (som standard admin / admin på Asus-rutere, men Hvis vi følger denne guiden, bør de ta tid å endre seg. Vi går til VPN-menyen innen avanserte alternativer, og i OpenVPN-fanen velger du den første forekomsten (Server 1), flytter bryteren til PÅ- stilling. Det er ikke nødvendig, men det anbefales å legge til brukere for VPN, i dette tilfellet har vi valgt tester / tester som bruker / passord, vi anbefaler selvfølgelig å bruke et mer robust passord for å bruke det i et reelt miljø. Vi klikker på "+" -knappen for å legge til brukeren, og vi kan allerede bruke endringene med knappen Bruk som ligger nederst på siden.

   

   VALGFRITT Når vi aktiverer serveren, ser vi at det har dukket opp en nedtrekksfil hvor vi kan velge Avansert konfigurasjon og endre parametrene vi trenger. I vårt tilfelle vil vi bruke standardkonfigurasjonen. Hvis vi ønsker å tvinge til bruk av brukernavn og passord, er dette stedet å gjøre det

   

   For brukere som ønsker en fullstendig manuell konfigurasjon, er det mulig å generere egne sertifikater / nøkler for brukerne som vi ønsker å bruke easy-rsa, som beskrevet i. I dette tilfellet er det enkleste å generere tastene fra PC-en og konfigurere de tre nødvendige verdiene ved å klikke på følgende lenke (tastene er en dårlig oversettelse av "nøkler", nøkler, i firmware):

   

   Denne typen konfigurasjon er ganske avansert, så det anbefales at brukere som ønsker å gå inn i den, konfigurerer og tester en server med selvgenererte nøkler først. Det er ikke god praksis for en neophyte å konfigurere serveren på denne måten uten tidligere erfaring.

1. Vi har allerede serveren som fungerer. Nå må vi overføre sertifikatene til klientene for en sikker tilkobling. Du kan se detaljerte eksempler på server.conf og client.conf filene (henholdsvis client.ovpn og server.ovpn i Windows) med kommentarer og dokumentasjon, men i vårt tilfelle er det mye enklere å bruke Eksporter-knappen

   Filen som vi får tak i vil se slik ut (nøklene slettes for sikkerhet):

   

   Parameteren jeg har merket er adressen til serveren vår, som sannsynligvis ikke er konfigurert riktig i noen tilfeller der DDNS ikke "kjenner" adressen den peker på (som i mitt tilfelle bruker jeg Dnsomatic for å ha en adresse som pek alltid på min dynamiske IP).

   Selv om riktig konfigurasjon er slik, med en fast adresse, er det ikke noe problem hvis du ikke har en DDNS konfigurert, for testing kan du fylle ut dette feltet med WAN IP til ruteren vår (den eksterne IP, det vil si den som kan være se på http://cualesmiip.com eller http://echoip.com), med den ulempen at hver gang vår IP-endring må vi redigere dokumentet for å gjenspeile det. Siden tilkoblingen er til ruteren, trenger vi tydeligvis ikke omdirigere porter, vi trenger bare å konfigurere klienten. Vi laster ned den nyeste versjonen fra nettstedet https://openvpn.net/index.php/download/community-downloads.html, i vårt tilfelle vil det være Windows og 64-bit. Installasjonen er enkel, og vi vil ikke detaljere det. For generell bruk er det ikke nødvendig å endre noen av standardalternativene.

   

   Avhengig av den installerte versjonen, må vi kopiere filen vi tidligere har eksportert (vi har kalt den client1.ovpn) til klientens konfigurasjonsmappe. På Windows vil denne katalogen være Programfiler / OpenVPN / config / (Programfiler (x86) / OpenVPN / config / for 32-bitersversjonen). Det gjenstår bare å kjøre klienten som administrator, den vil be oss om et brukernavn og passord i tillegg til sertifikatene som allerede er i konfigurasjonsfilen hvis vi har konfigurert det til å gjøre det. Ellers går vi direkte inn. Hvis alt gikk bra, vil vi se en post som ligner på denne i loggen (fange tatt i et scenario uten passordvalidering). Ikonet på den grønne skjermen på oppgavelinjen bekrefter at vi er koblet til, og vil informere oss om den virtuelle IP-en som er tilordnet datamaskinen som vi lanserte klienten fra i VPN.

   

Fra dette øyeblikk vil utstyret oppføre seg som om det fysisk var koblet til det lokale nettverket som administreres av ruteren der vi har konfigurert OpenVPN-serveren.

Vi kan overvåke alle tilkoblinger av denne typen fra ruteren vår. For eksempel ved å konfigurere den slik vi har beskrevet og koble til fra den bærbare datamaskinen, vil vi se noe lignende i delen VPN-> VPN Status

Merk: Noen ganger er det problematisk å koble til et VPN fra vårt eget nettverk (logisk, siden det er en ganske kunstig bruk å prøve å koble et lokalt nettverk med seg selv gjennom en VPN), hvis noen har problemer med driften av tilkobling etter å ha fulgt alle trinnene, vil det anbefales på det sterkeste å prøve datatilkoblingen til en mobiltelefon (for eksempel via tethering), med en USB 3G / 4G-pigge, eller direkte fra et annet sted.

Vi håper denne guiden er nyttig for deg å øke sikkerheten til forbindelsene dine til hjemmenettverket fra utlandet. Oppfordrer deg til å legge igjen spørsmål eller kommentarer i kommentarene.