Руководство: настройка openvpn на роутерах asus

Сервер OpenVPN на этих маршрутизаторах - это функциональность, которая началась с превосходного мода прошивки RMerlin (в свою очередь, на основе реализации OpenVPN, сделанной на относительно популярной прошивке маршрутизатора Tomato), к счастью, начиная с версии 374.2050 официальной прошивки Эта опция включена по умолчанию и очень проста в настройке.

Это не означает, что мы не можем настроить все детали, как в прошлом, но некоторые утомительные задачи автоматизированы, такие как генерация открытых и закрытых ключей, которые ранее должны были выполняться вручную, что позволяет для проверки подлинности сертификата без необходимости слишком много времени или знаний для пользователь.

Зачем использовать OpenVPN вместо обычного PPTP-сервера?

Ответ прост, это гораздо более безопасный метод (см.), Чем сервер PPTP, который обычно используется в домашних условиях и маршрутизаторах из-за его простоты, он относительно стандартный, он не намного дороже в ресурсах, он гораздо более гибкий и хотя Что-то утомительное в настройке очень удобно, когда вы знакомы с окружающей средой.

На самом деле, сервер PPTP легко настроить на компьютере под управлением Windows, без установки какого-либо дополнительного программного обеспечения, следуя инструкциям, например, доступным по адресу. Но гораздо лучше настроить его на маршрутизаторе, который, в дополнение к избавлению от необходимости перенаправлять порты и создавать правила брандмауэра, всегда включен для приема соединений. И если он может быть более безопасным, чем PPTP, то есть метод, который мы объясним с помощью OpenVPN, гораздо лучше.

Примечание. Вы также можете настроить сервер OpenVPN на обычном ПК, если у вас нет маршрутизатора с этой прошивкой или он не совместим с DD-WRT / OpenWRT. Для пользователей, интересующихся этим вопросом, мы рекомендуем следовать соответствующей статье в вики Debian, в которой подробно описываются шаги, которые нужно выполнить в

Пошаговое руководство по настройке

Это не является исчерпывающим руководством по настройке, но является первым контактом, на котором работает базовый сервер, который впоследствии можно настроить для удовлетворения потребностей каждого пользователя.

Следующие шаги следующие:

1. Мы подключаемся к маршрутизатору из любого браузера, вводя IP-адрес в адресной строке (по умолчанию 192.168.1.1, хотя в этом руководстве это будет 10.20.30.1), идентифицируя себя с помощью нашего имени пользователя и пароля (по умолчанию admin / admin на маршрутизаторах Asus, но если мы следуем этому руководству, им нужно время, чтобы измениться). Переходим в меню VPN в дополнительных параметрах, а на вкладке OpenVPN выбираем первый экземпляр (сервер 1) и переводим переключатель в положение ON. В этом нет необходимости, но рекомендуется добавлять пользователей для нашего VPN, в этом случае мы выбрали тесты / тесты в качестве пользователя / пароля, мы, конечно, рекомендуем использовать более надежный пароль, чтобы использовать его в реальной среде. Мы нажимаем кнопку «+», чтобы добавить пользователя, и уже можем применить изменения с помощью кнопки « Применить» , расположенной внизу страницы.

   

   ДОПОЛНИТЕЛЬНО При активации сервера мы видим выпадающий список, в котором мы можем выбрать Advanced Configuration и изменить нужные нам параметры. В нашем случае мы будем использовать конфигурацию по умолчанию. Если мы хотим принудительно использовать имя пользователя и пароль, это место, чтобы сделать это

   

   Для пользователей, которым нужна полностью ручная настройка, можно создавать собственные сертификаты / ключи для пользователей, которым мы хотим использовать easy-rsa, как описано в разделе. В этом случае проще всего сгенерировать ключи с ПК и настроить три необходимых значения, щелкнув по следующей ссылке (keys - плохой перевод «ключей», ключей в прошивке):

   

   Этот тип конфигурации довольно продвинутый, поэтому рекомендуется, чтобы пользователи, которые хотят его использовать, сначала настраивали и тестировали сервер с автоматически сгенерированными ключами. Для новичка не рекомендуется настраивать сервер таким образом без предыдущего опыта.

1. У нас уже работает сервер. Теперь нам нужно передать сертификаты клиентам для безопасного соединения. Вы можете увидеть подробные примеры файлов server.conf и client.conf (соответственно client.ovpn и server.ovpn в Windows) с комментариями и документацией, но в нашем случае гораздо проще использовать кнопку «Экспорт»

   Файл, который мы получим, будет выглядеть так (ключи удалены для безопасности):

   

   Параметр, который я отметил, является адресом нашего сервера, который, вероятно, был неправильно настроен в некоторых случаях, когда DDNS не «знает» адрес, на который он указывает (как в моем случае, я использую Dnsomatic, чтобы иметь адрес, который всегда указывают на мой динамический IP).

   Хотя правильная конфигурация такая же, с фиксированным адресом, нет проблем, если у вас не настроен DDNS, для тестирования вы можете заполнить это поле с помощью WAN IP нашего маршрутизатора (внешний IP, то есть тот, который может быть см. на http://cualesmiip.com или http://echoip.com), с недостатком, что каждый раз, когда изменяется наш IP, мы должны редактировать документ, чтобы отразить его. Поскольку подключение к маршрутизатору, очевидно, нам не нужно перенаправлять порты, нам нужно только настроить клиент. Мы загружаем последнюю версию со своего веб-сайта https://openvpn.net/index.php/download/community-downloads.html, в нашем случае это будет Windows и 64-разрядная версия. Установка проста, и мы не будем подробно описывать это. Для общего использования нет необходимости изменять какие-либо параметры по умолчанию.

   

   Теперь, в зависимости от установленной версии, мы должны скопировать ранее экспортированный файл (мы назвали его client1.ovpn) в каталог конфигурации клиента. В Windows этот каталог будет Program Files / OpenVPN / config / (Program Files (x86) / OpenVPN / config / в случае 32-разрядной версии). Осталось только запустить клиента от имени администратора, он запросит у нас имя пользователя и пароль в дополнение к сертификатам, которые уже есть в файле конфигурации, если мы настроили его для этого. В противном случае мы входим напрямую. Если все прошло хорошо, мы увидим в журнале запись, похожую на эту (запись сделана в сценарии без проверки пароля). Значок на зеленом экране панели задач подтверждает, что мы подключены, и сообщит нам о виртуальном IP-адресе, назначенном компьютеру, с которого мы запустили клиент в VPN.

   

С этого момента оборудование будет работать так, как если бы оно было физически подключено к локальной сети, управляемой маршрутизатором, в котором мы настроили сервер OpenVPN.

Мы можем контролировать все соединения этого типа с нашего маршрутизатора. Например, настроив его, как мы описали, и подключившись с ноутбука, мы увидим что-то подобное в разделе VPN-> VPN Status.

Примечание. Иногда бывает проблематично подключиться к VPN из нашей собственной сети (по логике, поскольку попытка подключить локальную сеть к себе через VPN довольно искусственно), если у кого-то возникают проблемы с работой после выполнения всех шагов настоятельно рекомендуется попробовать подключение для передачи данных мобильного телефона (например, через модем), с шипом USB 3G / 4G или напрямую из другого места.

Мы надеемся, что это руководство поможет вам повысить безопасность ваших подключений к домашней сети из-за рубежа. Рекомендуем оставлять любые вопросы или комментарии в комментариях.