VPN konfigūravimas tiesiai maršrutizatoriuje naudojant „OpenVPN“ Tai vienas galingiausių ir lanksčiausių būdų apsaugoti visą namų ar verslo tinklą, nereikalaujant vargo diegti programų kiekviename įrenginyje. Teisingai atlikus, bet kuris įrenginys, prisijungęs prie jūsų „Wi-Fi“ arba kabeliu, prisijungs prie interneto per užšifruotą tunelį, tarsi fiziškai būtų kitame tinkle.
Šiame vadove surinkta, pertvarkyta ir išplėsta techninė informacija iš tokių gamintojų kaip TP-Link, ASUS, Omada ir oficiali „OpenVPN“ dokumentacija, kad viskas, ko jums reikia, būtų viename straipsnyje: kas tai yra OpenVPNKą gaunate ir prarandate jį naudodami, kaip jį nustatyti maršrutizatoriuose ir serveriuose, kaip prisijungti iš kompiuterio ir mobiliojo telefono ir kaip išspręsti dažniausiai pasitaikančias klaidas.
Kas yra „OpenVPN“ ir kodėl jį naudoti savo maršrutizatoriuje?
„OpenVPN“ yra atvirojo kodo VPN programinė įranga Jis sukuria užšifruotą „tunelį“ tarp kliento (jūsų nešiojamojo kompiuterio, mobiliojo telefono ir kt.) ir serverio (jūsų maršrutizatoriaus, „Linux“ serverio, NAS ir kt.). Jis veikia per SSL/TLS, leisdamas naudoti skaitmeninius sertifikatus, raktus, vartotojo vardus ir slaptažodžius bei įvairius šiuolaikinius šifravimo algoritmus.
Vienas iš didžiausių jo pranašumų, palyginti su kitais protokolais, tokiais kaip IPsec, yra tai, kad jis yra lengviau nustatytiBe to, jis prieinamas praktiškai bet kurioje operacinėje sistemoje („Windows“, „macOS“, „GNU/Linux“, „Android“, „iOS“, maršrutizatoriuose, užkardose, NAS...).
Kai maršrutizatoriuje įdiegiate ir aktyvuojate „OpenVPN“, Pats maršrutizatorius veikia kaip VPN serveris. Jūsų vietinis tinklas tampa „saugia puse“, o nuotoliniai įrenginiai (VPN klientai) jungiasi iš už jūsų namų ar biuro ribų per internetą, visada užšifruotu būdu. Maršrutizatorius veikia kaip šliuzas tarp VPN ir jūsų LAN.
Rezultatas yra tas, kad galite naršykite saugiai viešuosiuose „Wi-Fi“ tinkluosePasiekite savo vidinius išteklius (NAS, spausdintuvus, IP kameras, SMB/FTP serverius...) taip, lyg būtumėte namuose, taip pat paslėpkite savo tikrąjį IP adresą arba apeikite geografinius blokus, priklausomai nuo jūsų konfigūracijos.
VPN ir OpenVPN naudojimo privalumai ir trūkumai
VPN nustatymas maršrutizatoriuje naudojant „OpenVPN“ buvo atliktas daug praktinių privalumųTačiau yra ir keletas trūkumų, apie kuriuos turėtumėte žinoti prieš pradėdami, kad galėtumėte pasirinkti tinkamą įrangą, interneto tiekėją ir diegimo būdą. Štai sąrašas:
- Galimybė pakeisti arba paslėpti savo IP adresą.
- Užšifruokite srautą, kad nebūtų šnipinėjama (ypač naudinga atvirame „Wi-Fi“ tinkle).
- Prieiga prie turinio ribojama pagal šalį.
- Naršykite daug didesniu anonimiškumu.
Privatumo skiltyje VPN neleidžia niekam lengvai pamatyti. Jūsų lankomos svetainės ir vietos, iš kurių jungiatės, nėra stebimos, nors jūsų interneto paslaugų teikėjas visada turės tam tikrą matomumą. Nepaisant to, jus labai sunku sekti naudojant šnipinėjimo programas, nesaugius prieigos taškus ar bendrus tinklus.
Atsilyginimui, Šifravimas ir maršrutizavimas per VPN serverį eikvoja išteklius. Jie taip pat linkę sumažinti greitį ir pralaidumą, ypač jei jūsų maršrutizatorius yra per silpnas arba naudojatės nemokamomis paslaugomis. Be to, gera antivirusinė programa vis tiek yra būtina, o atsisiunčiant programinę įrangą reikėtų būti atsargiems, nes VPN neapsaugo nuo kenkėjiškų programų.
Sus stipriosios pusės Tai saugumas, stabilumas, platus pritaikymo spektras (2 arba 3 sluoksnis, TUN arba TAP tuneliai, dinaminis IP be problemų, NAT suderinamumas...) ir puiki užkardos taisyklių bei įkrovos scenarijų kontrolė, tačiau tam reikia gerai suprasti jos konfigūraciją, ypač jei ketinate pritaikyti algoritmus ir sertifikatus.
Būtinos sąlygos ir svarbūs aspektai (CG-NAT, viešas IP adresas ir dinaminis DNS)
Prieš įjungdami „OpenVPN“ maršrutizatoriuje, turite patikrinti kelis dalykus. Pagrindiniai klausimai:
- Jei jūsų maršrutizatorius palaiko „OpenVPN“ serverį.
- Įsitikinkite, kad jūsų interneto ryšys turi viešą IP adresą.
- Jei reikia naudoti dinaminį DNS.
Daugelyje vidutinės ir aukštos klasės maršrutizatorių iš „TP-Link“, „ASUS“ ar „Omada“ jau yra integruotas „OpenVPN“ serveris, tačiau ne visuose modeliuose jis yra ir nėra prieinamas visose programinės įrangos versijose. Patartina... Patikrinkite savo modelio specifikacijas ir, jei reikia, atnaujinkite programinę-aparatinę įrangą į naujausią gamintojo siūlomą versiją.
Svarbiausias reikalavimas yra turėti viešą IP adresą maršrutizatoriaus WAN tinkleJei jūsų interneto paslaugų teikėjas naudoja CG-NAT ir suteikia jums bendrą privatų IP adresą (dažnai pasitaiko su 4G/5G ryšiais arba tam tikrais interneto paslaugų teikėjais), negalėsite peradresuoti prievadų iš interneto į savo maršrutizatorių, todėl VPN nebus pasiekiamas iš išorės. Tokiu atveju turėsite paprašyti savo interneto paslaugų teikėjo statinio arba viešojo IP adreso.
Labai praktiška rasti maršrutizatorių pagal pavadinimą, o ne pagal skaitmeninį IP adresą Įjunkite dinaminę DNS paslaugą pačiame maršrutizatoriuje (NO-IP, „DynDNS“, gamintojo paslauga ir kt.). Tokiu būdu galite prisijungti prie mydomain.no-ip.org, užuot įsiminę savo viešąjį IP adresą, kuris gali keistis.
Be to, Rekomenduojama tinkamai sinchronizuoti maršrutizatoriaus sistemos laiką su internetuTaip yra todėl, kad skaitmeniniai sertifikatai ir TLS funkcijos priklauso nuo teisingos datos ir laiko. Neatitikimas gali sukelti neįprastas sertifikatų patvirtinimo klaidas.
Kaip „OpenVPN“ veikia techniškai ir kokius režimus jis siūlo (TUN/TAP, UDP/TCP)
„OpenVPN“ gali veikti TUN arba TAP režimuir naudojant UDP arba TCP kaip perdavimo protokolą. Kiekvienas pasirinkimas turi įtakos našumui, suderinamumui ir tinklo, sukurto tarp kliento ir serverio, tipui.
- TUN režimas imituoja taškinį ryšį Jis veikia tik su IP srautu. Jis idealiai tinka norint sukurti naują virtualų potinklį (pvz., 10.8.0.0/24), kuriame yra VPN klientai, atskirai nuo fizinio LAN. Tai labiausiai paplitęs nuotolinės prieigos režimas ir paprastai pasižymi geresniu našumu.
- TAP režimas imituoja 2 lygio Ethernet sąsająTai apima tiesioginį Ethernet kadrų kapsuliavimą. Tai leidžia nuotoliniams įrenginiams būti tame pačiame potinklyje kaip ir LAN, o tai naudinga, kai norite, kad VPN klientai atrodytų „prijungti“ prie vietinio komutatoriaus, nors tai gali sukelti problemų, jei tinklo diapazonai persidengia, ir paprastai yra mažiau efektyvu.
Kalbant apie protokolą, UDP rekomenduojamas vietoj TCP VPN tuneliui TCP yra tinkamesnis, nes jis vengia nereikalingo vidinio pakartotinio perdavimo ir geriau atlaiko paketų praradimą bei aptarnavimo trikdymo atakas. TCP taip pat galimas, tačiau jis sukelia daugiau pridėtinių išlaidų ir dubliuoja sesijos valdiklius.
Praktiškai dauguma rekomenduojamų konfigūracijų Jie naudoja TUN per UDP, su specialiu virtualiu potinkliu VPN ir konkrečiais maršrutais prieigai prie LAN arba visam interneto srautui nukreipti per tunelį.
Šifravimas, sertifikatai ir išplėstinis saugumas „OpenVPN“
Vienas iš „OpenVPN“ privalumų yra tai, kad jis leidžia gana tiksliai pasirinkti simetrinį, asimetrinį ir maišos šifravimo algoritmus, taip pat TLS versiją ir įvairias papildomas priemones nuo paslaugų teikimo trikdymo atakų.
Už viešojo rakto infrastruktūra (PKI)Įprasta naudoti sertifikatus, pagrįstus elipsinėmis kreivėmis (EC), o ne klasikine RSA. Pavyzdžiui, „Easy-RSA 3“ galima sukonfigūruoti taip, kad generuotų CA, serverio ir kliento sertifikatus naudodama secp521r1 kreivę ir pasirašytų juos su SHA512, taip sukuriant labai saugius ir santykinai lengvus raktus.
Į valdymo kanalas (TLS derybos)„OpenVPN“ palaiko bent TLS 1.2, o naujesnėse versijose – ir TLS 1.3. Rekomenduojami stiprūs paketai su „Perfect Forward Secrecy“ funkcija, pvz., TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 arba naujesni TLS_AES_256_GCM_SHA384 ir TLS_CHACHA20_POLY1305_SHA256, skirti TLS 1.3, visada patikrinant, ką palaiko jūsų diegimas, naudojant „openvpn --show-tls“.
Už duomenų kanalas (tikras VPN srautas)Rekomenduojami šifrai yra AES-256-GCM arba AES-128-GCM, kurie integruoja autentifikavimą (AEAD) ir panaikina atskiro maišos poreikį. Jei jūsų procesorius nepalaiko AES-NI spartinimo, CHACHA20-POLY1305 šifras paprastai siūlo geresnį našumą ir taip pat palaikomas nuo „OpenVPN 2.5“ versijos.
Dar vienas svarbus papildomas sluoksnis yra naudojant papildomą HMAC raktą Naudojant „tls-crypt“ (arba „tls-auth“ senesnėse versijose), kuris apsaugo pradinį ryšio etapą nuo UDP prievadų perpildymo, SYN atakų ir nuskaitymų, jis taip pat paslepia patį iš anksto bendrinamą raktą, kai naudojamas „tls-crypt“. Jei naudojate pirmąją versiją, visi klientai turi bendrinti tą patį raktą, o naudojant „tls-crypt-v2“ kiekvienas klientas gali turėti skirtingą.
PKI kūrimas naudojant „Easy-RSA“ ir sertifikatų organizavimą
Jei nustatysite „Grynas“ „OpenVPN“ serveris GNU/Linux arba panašioje aplinkojeĮprasta praktika yra kurti savo sertifikatus naudojant „Easy-RSA 3“, pakoreguojant „vars“ failą, kad būtų apibrėžta, ar naudosite RSA, ar EC, maišos kodą, kreivę, CA ir sertifikatų galiojimo laiką ir kt.
Nukopijavę vars.example į vars ir jį suredagavę, galite pasirinkti cn_only režimą, kad supaprastintumėte DN, aktyvuoti EASYRSA_ALGO ec, pasirinkti secp521r1 kreivę, sukonfigūruoti galiojimo laiką (pavyzdžiui, 10 metų CA ir 1080 dienų sertifikatams) ir nustatyti EASYRSA_DIGEST į sha512.
Kai tas failas paruoštas, PKI inicijuojamas naudojant ./easyrsa init-pkiSertifikavimo sertifikatą (CA) sukuriate naudodami komandą „./easyrsa build-ca“ (su privačiuoju raktu arba be jo), tada sugeneruojate sertifikato užklausą serveriui ir tiek klientams, kiek jums reikia, o tada atitinkamai juos pasirašote kaip serverio arba kliento sertifikatus.
Šiuo metu labai rekomenduojama tvarkyti failus švariuose aplankuose:
- Vienas serveriui (ca.crt, server.crt, server.key, ta.key ir pasirinktinai dh.pem, jei nenaudojate ECDHE).
- Po vieną kiekvienam klientui (ca.crt, clientX.crt, clientX.key ir ta.key).
Tokiu būdu išvengsite raktų ir sertifikatų painiojimo.
Be sertifikatų, „OpenVPN“ leidžia naudoti papildomas autentifikavimas naudojant vartotojo vardą / slaptažodį, prieš pačią sistemą arba prieš RADIUS serverį ar kitą duomenų bazę, taip sustiprinant apsaugą nuo sertifikatų vagystės.
Konfigūruokite „OpenVPN“ klientus kompiuteriuose, mobiliuosiuose įrenginiuose ir maršrutizatoriuose
Kitas žingsnis yra konfigūruoti nuotolinius klientusTai gali būti „Windows“ arba „Linux“ kompiuteriai, „Android“ / „iOS“ mobilieji telefonai, kiti maršrutizatoriai arba net įranga, kuri jungiasi per valdiklį, pvz., „Omada“.
Vienoje klasikinis darbalaukio klientas„client.ovpn“ faile yra tokios direktyvos kaip „client“, „dev tun“, „proto udp“, nuotolinė linija su maršrutizatoriaus viešuoju IP adresu arba domenu ir pasirinktu prievadu, „resolv-retry infinite“, „nobind“ ir kelias į „ca.crt“, kliento sertifikatas ir raktas bei „tls-crypt ta.key“.
Norėdami padidinti saugumą, klientas patvirtina serverį Naudodami „remote-cert-tls server“, naudokite tą patį šifrą ir autentifikavimą kaip ir serveris ir idealiu atveju atkartokite tuos pačius palaikomus TLS paketus. Labai svarbu, kad šifrai ir kreivės sutaptų; kitaip TLS patvirtinimas nepavyks.
„Android“ sistemoje galite naudoti oficialią „OpenVPN“ programėlę arba pažangesnės trečiųjų šalių programos, palaikančios naujausias funkcijas. Paprastai pakanka nukopijuoti aplanką, kuriame yra „ca.crt“, „cliente.crt“, „cliente.key“, „ta.key“ ir .ovpn failas, į telefono atmintį, o tada importuoti tą profilį iš pačios programos.
„Windows“ sistemoje „OpenVPN Community“ klientas Paprastai tikimasi, kad nukopijuosite .ovpn failą ir sertifikatus į C:\Program Files\OpenVPN\config (arba diegimo metu nurodytą kelią). Tada dešiniuoju pelės mygtuku spustelėkite OpenVPN piktogramą sistemos dėkle, pasirinkite profilį ir prisijunkite.
Konfigūruokite „OpenVPN“ TP-Link maršrutizatoriuose
Keletas naujos kartos TP-Link maršrutizatorių turi integruotą „OpenVPN“ serverį. pažangioje žiniatinklio sąsajoje, kuri gerokai supaprastina reikalus, nes klientams sertifikatai ir .ovpn failas generuojami automatiškai.
Paprastame scenarijuje su vienas maršrutizatorius tinklePaprastai eiga yra tokia: įveskite žiniatinklio sąsają, eikite į Išplėstiniai > VPN serveris > OpenVPN, pažymėkite Įjungti VPN serverį ir, jei tai darote pirmą kartą, spustelėkite Generuoti, kad sukurtumėte vidinį sertifikatą.
Toliau, pasirinkimas atliekamas paslaugos rūšis (UDP arba TCP), paslaugos prievadas apibrėžiamas nuo 1024 iki 65535, sukonfigūruojamas VPN potinklis ir kaukė bei pasirenkamas kliento prieigos tipas: Tik namų tinklas (tik LAN 192.168.xx) arba Internetas ir namų tinklas (visas interneto srautas praeina per VPN).
Po išsaugoti konfigūraciją ir sugeneruoti / atnaujinti sertifikatusSpustelėkite „Eksportuoti“, kad atsisiųstumėte „OpenVPN“ konfigūracijos failą, kurį naudos klientai. Tada tiesiog įdiekite „OpenVPN“ klientą savo kompiuteryje arba mobiliajame įrenginyje, nukopijuokite eksportuotą failą į konfigūracijos aplanką ir prisijunkite.
Kai namų topologijoje yra du ar daugiau maršrutizatorių (pavyzdžiui, interneto paslaugų teikėjo maršrutizatorius ir už jo esantis TP-Link maršrutizatorius), be „OpenVPN“ konfigūravimo antrajame maršrutizatoriuje, pirmajame turėsite sukurti prievado peradresavimą (virtualų serverį), nukreipdami išorinį prievadą į antrojo LAN IP adresą ir tą patį vidinį prievadą, kurį naudoja „OpenVPN“.
Konfigūruokite „OpenVPN“ ASUS maršrutizatoriuose
Los ASUS maršrutizatoriai su ASUSWRT programine įranga Juose taip pat yra „OpenVPN“ serveris su gana patogia grafine sąsaja, nors ekranai šiek tiek skiriasi tarp programinės įrangos versijų, ankstesnių ir vėlesnių nei 3.0.0.4.388.xxxx.
Procesas prasideda prieiga prie maršrutizatoriaus grafinės sąsajos Svetainėje http://www.asusrouter.com arba savo LAN IP adresu prisijunkite naudodami administratoriaus vartotojo vardą ir slaptažodį ir eikite į VPN > VPN serveris, kad suaktyvintumėte „OpenVPN“.
Bendruosiuose nustatymuose serverio prievadas yra apibrėžtas (pavyzdžiui, 2000 arba reikšmė nuo 1024 iki 65535), numatytasis RSA šifravimo ilgis ir dar kartą, ar klientai per maršrutizatorių galės pasiekti tik vietinį tinklą, ar ir internetą.
Kai viskas bus pritaikyta, Failas client.ovpn eksportuojamas Iš „OpenVPN“ serverio skyriaus. Tame faile jau yra reikalingi sertifikatai, raktai ir parametrai. Jei vėliau pakeisite raktus ar sertifikatus, turėsite jį iš naujo eksportuoti ir platinti klientams.
VPN išsami informacija > Išplėstiniai nustatymai skiltyje Galite rankiniu būdu redaguoti raktus ir sertifikatus, koreguoti parametrus, pvz., TLS versiją ar algoritmus, ir pritaikyti konfigūraciją sudėtingesnėms aplinkoms, nekeisdami programinės įrangos.
Konfigūruokite „OpenVPN“ „Omada“ (TP-Link) kaip serverį ir sukurkite vartotojus
Valdiklių valdomose aplinkose omada Galite apibrėžti „OpenVPN Server“ tipo VPN strategijas kliento ir svetainės prieigai, o tai idealiai tinka, kai norite centralizuoti valdymą viename skydelyje.
Iš valdiklio, prie kurio prisijungiate Konfigūracija> VPNSpustelėdami „Pridėti“ sukursite naują politiką ir nurodysite pavadinimą (pvz., „testas“), nustatysite ją kaip „Įjungta“, pasirinksite „Klientas“ – „Svetainės paskirtis“ ir VPN tipą: VPN serveris – „OpenVPN“.
Toje pačioje politikoje Jūs nusprendžiate, ar naudoti padalintą, ar pilną tunelįPasirinkite „Split Tunnel“ (padalintas tunelis), kai per VPN eina tik srautas į vidinį tinklą, arba „Full Tunnel“ (pilnas tunelis), kai visas interneto srautas taip pat eina per serverį. Taip pat pasirenkate protokolą (TCP/UDP), paslaugos prievadą (numatytasis – 1194), autentifikavimo režimą (vietinis), vietinio tinklo tipą ir IP adresų diapazoną, kurį norite priskirti klientams.
Po VPN vartotojus kuriate skiltyje „Nustatymai“ > „VPN“ > „Vartotojai“.Tai apima paskyros pavadinimo ir slaptažodžio priskyrimą, „OpenVPN“ protokolo pasirinkimą ir vartotojo susiejimą su naujai sukurtu VPN serveriu. Tada kiekvienas vartotojas turės savo pagrindinius prisijungimo duomenis.
Galiausiai iš politikos sąrašo eksportuojamas .ovpn failas.Nukopijuokite failą į klientą (asmeninį kompiuterį, nešiojamąjį kompiuterį ir kt.), įdiekite „OpenVPN Community“ programinę įrangą, įkelkite failą į konfigūracijos aplanką ir prisijunkite. Valdiklio būseną galite patikrinti skiltyje „Įžvalga“ > „VPN būsena“.
Naujausi „OpenVPN“ atnaujinimai ir galimos alternatyvos
„OpenVPN“ toliau tobulėja su kiekviena versijaPridėta saugumo, našumo ir naudojimo patogumo patobulinimų. Naujausi pakeitimai apima „tls-crypt-v2“ (skirtą priskirti klientui būdingus raktus ir dar labiau sumažinti DoS atakas), CHACHA20-POLY1305 palaikymą ir patobulintą duomenų šifrų derinimą naudojant duomenų šifrus.
Tuo pačiu metu Pasenusių šifrų palaikymas buvo nutrauktas pavyzdžiui, BF-CBC numatytosiose konfigūracijose, todėl administratoriai yra priversti naudoti AES-GCM arba CHACHA20, kurie praktiškai yra daug saugesni ir greitesni.
Įmonėse taip pat įprasta sujungti OpenVPN su debesijos sprendimais, tokiais kaip „Azure VPN Gateway“ arba su užkardomis, kurios integruoja IPsec ir kitus protokolus, skirtus ryšiams tarp svetainių, o namų aplinkoje gerai sukonfigūruotas su „OpenVPN“ suderinamas maršrutizatorius paprastai suteikia viską, ko reikia.
Su viskuo matytu, Konfigūruokite VPN maršrutizatoriuje naudodami „OpenVPN“ Tai iš kažko paslaptingo tampa visiškai valdomu projektu, jei įvykdysite pagrindinius reikalavimus (viešas IP adresas, suderinamas maršrutizatorius, šiek tiek kantrybės) ir laikysitės aiškios struktūros: paruošite sertifikatus arba naudosite maršrutizatoriaus sugeneruotus, aktyvuosite ir sureguliuosite serverį, eksportuosite konfigūraciją klientams ir ramiai išbandysite, ištaisydami tipines klaidas; mainais gausite daug saugesnį, lankstesnį tinklą, paruoštą tiek nuotoliniam darbui, tiek visų namų įrenginių apsaugai vienu ypu.