Hướng dẫn: thiết lập openvpn trên các bộ định tuyến asus

Máy chủ OpenVPN trên các bộ định tuyến này là một chức năng bắt đầu với mod phần mềm RMerlin tuyệt vời (dựa trên việc triển khai OpenVPN được thực hiện trên phần sụn của bộ định tuyến Tomato tương đối phổ biến), may mắn là từ phiên bản 374.2050 của phần sụn chính thức này tùy chọn được bao gồm theo mặc định và cực kỳ đơn giản để cấu hình.

Điều này không có nghĩa là chúng ta không thể cấu hình tất cả các chi tiết như trước đây, nhưng một số tác vụ tẻ nhạt được tự động hóa, chẳng hạn như việc tạo khóa công khai và khóa riêng trước đây phải được thực hiện thủ công, cho phép xác thực chứng chỉ mà không cần quá nhiều thời gian hoặc kiến ​​thức người dùng

Tại sao nên sử dụng OpenVPN thay vì máy chủ PPTP thông thường?

Câu trả lời rất đơn giản, đó là một phương pháp an toàn hơn (xem) so với máy chủ PPTP thường được sử dụng trong môi trường gia đình và bộ định tuyến do tính đơn giản của nó, nó tương đối chuẩn, tài nguyên không đắt hơn đáng kể, nó linh hoạt hơn nhiều, và mặc dù Một cái gì đó tẻ nhạt để thiết lập là rất thoải mái khi đã quen thuộc với môi trường.

Trên thực tế, thật dễ dàng để định cấu hình máy chủ PPTP trên máy tính Windows mà không cần cài đặt bất kỳ phần mềm bổ sung nào, theo các hướng dẫn như phần mềm có sẵn tại. Nhưng tốt hơn nhiều để cấu hình nó trên bộ định tuyến, ngoài việc tiết kiệm cho chúng tôi yêu cầu chuyển hướng cổng và tạo quy tắc tường lửa, luôn luôn chấp nhận kết nối. Và nếu nó có thể an toàn hơn PPTP, nghĩa là phương pháp mà chúng tôi sẽ giải thích với OpenVPN, tốt hơn nhiều.

Lưu ý: Bạn cũng có thể định cấu hình máy chủ OpenVPN trên PC thông thường, trong trường hợp bạn không có bộ định tuyến với phần sụn này hoặc tương thích với DD-WRT / OpenWRT. Đối với người dùng quan tâm đến điểm này, chúng tôi khuyên bạn nên theo dõi bài viết tương ứng trên wiki Debian, trong đó nêu chi tiết hoàn hảo các bước để làm theo

Hướng dẫn cấu hình từng bước

Đây không phải là một hướng dẫn cấu hình đầy đủ, nhưng một liên hệ đầu tiên để có một máy chủ cơ bản chạy mà sau này có thể được cấu hình để phù hợp với từng người dùng.

Các bước để làm theo như sau:

1. Chúng tôi kết nối với bộ định tuyến từ bất kỳ trình duyệt nào, nhập IP vào thanh địa chỉ (theo mặc định 192.168.1.1, mặc dù trong hướng dẫn này sẽ là 10.20.30.1), tự nhận dạng bằng tên người dùng và mật khẩu của chúng tôi (theo mặc định của quản trị viên / quản trị viên trên bộ định tuyến Asus, nhưng nếu chúng tôi làm theo hướng dẫn này, họ sẽ mất thời gian để thay đổi) Chúng tôi vào menu VPN trong các tùy chọn nâng cao và trong tab OpenVPN, chọn phiên bản đầu tiên (Máy chủ 1), di chuyển công tắc sang vị trí BẬT. Không cần thiết, nhưng nên thêm người dùng cho VPN của chúng tôi, trong trường hợp này chúng tôi đã chọn kiểm tra / kiểm tra là người dùng / mật khẩu, tất nhiên chúng tôi khuyên bạn nên sử dụng mật khẩu mạnh hơn để sử dụng nó trong môi trường thực. Chúng tôi nhấp vào nút "+" để thêm người dùng và chúng tôi đã có thể áp dụng các thay đổi với nút Áp dụng nằm ở cuối trang.

   

   TÙY CHỌN Khi kích hoạt máy chủ, chúng tôi thấy rằng một danh sách thả xuống đã xuất hiện trong đó chúng tôi có thể chọn Cấu hình nâng cao và thay đổi các tham số mà chúng tôi cần. Trong trường hợp của chúng tôi, chúng tôi sẽ sử dụng cấu hình mặc định. Nếu chúng tôi muốn buộc sử dụng tên người dùng và mật khẩu, đây là nơi để làm điều đó

   

   Đối với người dùng muốn có cấu hình hoàn toàn thủ công, có thể tạo chứng chỉ / khóa riêng của chúng tôi cho người dùng mà chúng tôi muốn sử dụng easy-rsa, như được mô tả trong. Trong trường hợp này, đơn giản nhất là tạo các khóa từ PC và định cấu hình ba giá trị cần thiết bằng cách nhấp vào liên kết sau (các phím là bản dịch sai của "phím", phím, trong phần sụn):

   

   Kiểu cấu hình này khá tiên tiến, do đó, người dùng muốn tham gia vào cấu hình và kiểm tra máy chủ với các khóa tự tạo trước tiên được khuyến nghị. Nó không phải là một thực hành tốt cho một người mới để cấu hình máy chủ theo cách này mà không có kinh nghiệm trước đó.

1. Chúng tôi đã có máy chủ làm việc. Bây giờ chúng tôi cần chuyển chứng chỉ cho khách hàng để có kết nối an toàn. Bạn có thể xem các ví dụ chi tiết về các tệp server.conf và client.conf (tương ứng là client.ovpn và server.ovpn trong Windows) với các nhận xét và tài liệu, nhưng trong trường hợp của chúng tôi, việc sử dụng nút Xuất sẽ dễ dàng hơn nhiều

   Tệp mà chúng tôi sẽ nhận được sẽ trông như thế này (các phím bị xóa để bảo mật):

   

   Tham số tôi đã đánh dấu là địa chỉ máy chủ của chúng tôi, có thể không được định cấu hình chính xác trong một số trường hợp DDNS không "biết" địa chỉ mà nó trỏ đến (như trong trường hợp của tôi, tôi sử dụng Dnsomatic để có địa chỉ luôn luôn trỏ đến IP động của tôi).

   Mặc dù cấu hình chính xác là như thế này, nhưng với một địa chỉ cố định, sẽ không có vấn đề gì nếu bạn không có cấu hình DDNS, để kiểm tra bạn có thể điền vào trường này bằng IP WAN của bộ định tuyến của chúng tôi (IP bên ngoài, đó là địa chỉ có thể là xem tại http://cualesmiip.com hoặc http://echoip.com), với nhược điểm là mỗi khi IP của chúng tôi thay đổi, chúng tôi phải chỉnh sửa tài liệu để phản ánh nó. Vì kết nối đến bộ định tuyến, rõ ràng chúng tôi không phải chuyển hướng cổng, chúng tôi chỉ phải định cấu hình máy khách. Chúng tôi tải xuống phiên bản mới nhất từ ​​trang web của mình https://openvpn.net/index.php/doad/community-doads.html, trong trường hợp của chúng tôi, nó sẽ là Windows và 64 bit. Cài đặt rất đơn giản và chúng tôi sẽ không chi tiết. Để sử dụng chung, không cần thiết phải thay đổi bất kỳ tùy chọn mặc định nào.

   

   Bây giờ, tùy thuộc vào phiên bản đã cài đặt, chúng tôi phải sao chép tệp mà chúng tôi đã xuất trước đó (chúng tôi đã gọi nó là client1.ovpn) vào thư mục cấu hình của máy khách. Trên Windows, thư mục này sẽ là Tệp chương trình / OpenVPN / config / ( Tệp chương trình (x86) / OpenVPN / config / trong trường hợp của phiên bản 32 bit). Nó chỉ còn để chạy máy khách với tư cách quản trị viên, nó sẽ yêu cầu chúng tôi nhập tên người dùng và mật khẩu cùng với các chứng chỉ đã có trong tệp cấu hình nếu chúng tôi đã cấu hình nó để làm như vậy. Nếu không, chúng tôi nhập trực tiếp. Nếu mọi thứ đều ổn, chúng ta sẽ thấy một bản ghi tương tự như trong nhật ký (chụp được trong một kịch bản mà không cần xác thực mật khẩu). Biểu tượng trên màn hình màu xanh lục của thanh tác vụ xác nhận rằng chúng tôi đã được kết nối và sẽ thông báo cho chúng tôi về IP ảo được gán cho máy tính mà chúng tôi đã khởi chạy ứng dụng khách trong VPN.

   

Từ lúc này, thiết bị sẽ hoạt động như thể nó được kết nối vật lý với mạng cục bộ được quản lý bởi bộ định tuyến mà chúng tôi đã cấu hình máy chủ OpenVPN.

Chúng tôi có thể theo dõi tất cả các kết nối loại này từ bộ định tuyến của chúng tôi. Ví dụ: định cấu hình nó như chúng tôi đã mô tả và kết nối từ máy tính xách tay, chúng tôi sẽ thấy một cái gì đó như thế này trong phần VPN-> Trạng thái VPN

Lưu ý: Đôi khi việc kết nối với VPN từ bên trong mạng của chúng tôi có vấn đề (về mặt logic, vì việc sử dụng để kết nối mạng cục bộ với chính nó thông qua VPN là một vấn đề), nếu ai đó gặp vấn đề với hoạt động của kết nối sau khi đã thực hiện theo tất cả các bước, rất nên thử kết nối dữ liệu của điện thoại di động (ví dụ như qua kết nối), bằng USB 3G / 4G, hoặc trực tiếp từ một vị trí khác.

Chúng tôi hy vọng hướng dẫn này hữu ích cho bạn để tăng tính bảo mật cho các kết nối của bạn với mạng gia đình từ nước ngoài. Khuyến khích bạn để lại bất kỳ câu hỏi hoặc ý kiến ​​trong các ý kiến.