Konfigurirajte VPN neposredno na usmerjevalniku z uporabo OpenVPN To je eden najmočnejših in najprilagodljivejših načinov za zaščito celotnega domačega ali poslovnega omrežja brez težav z nameščanjem aplikacij na vsako napravo. Če je pravilno izvedeno, bo vsaka naprava, ki se poveže z vašim omrežjem Wi-Fi ali prek kabla, dostopala do interneta prek šifriranega tunela, kot da bi bila fizično v drugem omrežju.
Ta priročnik zbira, reorganizira in razširja tehnične informacije proizvajalcev, kot so TP-Link, ASUS, Omada, in uradne dokumentacije OpenVPN, tako da imate vse, kar potrebujete, v enem članku: kaj je to OpenVPNKaj pridobite in izgubite z njegovo uporabo, kako ga nastaviti na usmerjevalnikih in strežnikih, kako se povezati iz računalnika in mobilnega telefona ter kako odpraviti najpogostejše napake.
Kaj je OpenVPN in zakaj ga uporabljati na usmerjevalniku?
OpenVPN je odprtokodna programska oprema VPN Ustvari šifriran »tunel« med odjemalcem (vašim prenosnikom, mobilnim telefonom itd.) in strežnikom (vašim usmerjevalnikom, strežnikom Linux, NAS itd.). Deluje prek SSL/TLS, kar omogoča uporabo digitalnih potrdil, ključev, uporabniških imen in gesel ter širokega nabora sodobnih algoritmov šifriranja.
Ena od njegovih velikih prednosti pred drugimi protokoli, kot je IPsec, je, da je lažje za nastavitevPoleg tega je na voljo v praktično vseh operacijskih sistemih (Windows, macOS, GNU/Linux, Android, iOS, usmerjevalniki, požarni zidovi, NAS…).
Ko namestite in aktivirate OpenVPN na usmerjevalniku, Usmerjevalnik sam deluje kot VPN strežnik. Vaše lokalno omrežje postane »varna stran«, oddaljene naprave (VPN odjemalci) pa se od zunaj vašega doma ali pisarne povežejo prek interneta, vedno šifrirano. Usmerjevalnik deluje kot prehod med VPN in vašim lokalnim omrežjem.
Rezultat je, da lahko varno brskajte po javnih omrežjih WiFiDostopajte do svojih notranjih virov (NAS, tiskalnikov, IP kamer, strežnikov SMB/FTP…), kot da bi bili doma, in skrijte svoj pravi IP ali zaobidite geografske blokade, odvisno od nastavitve konfiguracije.
Prednosti in slabosti uporabe VPN-ja in OpenVPN-ja
Nastavitev VPN-ja na usmerjevalniku z OpenVPN ima številne praktične prednostiPreden začnete, pa morate vedeti tudi nekaj pomanjkljivosti, da boste lahko izbrali pravo opremo, ponudnika interneta in način namestitve. Tukaj je seznam:
- Možnost spreminjanja ali skrivanja vašega IP naslova.
- Šifrirajte promet, da preprečite vohunjenje (še posebej uporabno na odprtem omrežju Wi-Fi).
- Dostop do vsebine je omejen glede na državo.
- Brskajte z veliko večjo stopnjo anonimnosti.
V razdelku o zasebnosti, VPN preprečuje, da bi kdo zlahka videl. Spletna mesta, ki jih obiščete, in lokacije, s katerih se povezujete, se ne spremljajo, čeprav bo vaš ponudnik internetnih storitev vedno imel nekaj vpogleda. Kljub temu vas je izjemno težko slediti prek vohunov, nezaščitenih dostopnih točk ali skupnih omrežij.
V zameno, Šifriranje in usmerjanje prek strežnika VPN porabljata vire. Prav tako ponavadi zmanjšajo hitrost in razpoložljivo pasovno širino, še posebej, če je vaš usmerjevalnik premalo zmogljiv ali če uporabljate brezplačne storitve. Poleg tega je dober protivirusni program še vedno bistvenega pomena in bodite previdni pri prenosu programske opreme, saj vas VPN ne ščiti pred zlonamerno programsko opremo.
Njegovo prednosti To so varnost, stabilnost, širok nabor prilagoditev (2. ali 3. plast, tuneli TUN ali TAP, dinamični IP brez težav, združljivost z NAT…) in odličen nadzor nad pravili požarnega zidu in zagonskimi skripti, vendar zahteva dobro razumevanje njegove konfiguracije, še posebej, če boste prilagajali algoritme in potrdila.
Predpogoji in pomembni dejavniki (CG-NAT, javni IP in dinamični DNS)
Preden sploh aktivirate OpenVPN na usmerjevalniku, morate preveriti več stvari. Ključne točke:
- Če vaš usmerjevalnik podpira strežnik OpenVPN.
- Prepričajte se, da ima vaša internetna povezava javni IP-naslov.
- Če morate uporabiti dinamični DNS.
Mnogi usmerjevalniki srednjega in višjega cenovnega razreda podjetij TP-Link, ASUS ali Omada že imajo integriran strežnik OpenVPN, vendar ga ne vključujejo vsi modeli in ni na voljo v vseh različicah vdelane programske opreme. Priporočljivo je, da ... Preverite specifikacije svojega modela in po potrebi posodobite vdelano programsko opremo na najnovejšo različico, ki jo ponuja proizvajalec.
Najbolj kritična zahteva je imeti javni IP naslov v WAN omrežju usmerjevalnikaČe vaš ponudnik internetnih storitev uporablja CG-NAT in vam zagotavlja skupni zasebni naslov IP (običajno pri povezavah 4G/5G ali nekaterih ponudnikih internetnih storitev), ne boste mogli posredovati vrat iz interneta na usmerjevalnik, zato VPN ne bo dostopen od zunaj. V tem primeru boste morali od svojega ponudnika internetnih storitev zahtevati statični ali javni naslov IP.
Zelo praktično je, da lahko usmerjevalnik najdete po imenu in ne po numeričnem naslovu IP. aktivirajte dinamično storitev DNS na samem usmerjevalniku (NO-IP, DynDNS, lastna storitev proizvajalca itd.). Na ta način se lahko povežete z mydomain.no-ip.org, namesto da si zapomnite svoj javni IP-naslov, ki se lahko spremeni.
Poleg tega, Priporočljivo je pravilno sinhronizirati sistemski čas usmerjevalnika z internetnim časom.To je zato, ker so digitalna potrdila in funkcije TLS odvisne od pravilnih datumov in časov. Neskladje lahko povzroči nenavadne napake pri preverjanju potrdil.
Kako OpenVPN deluje na tehnični ravni in katere načine ponuja (TUN/TAP, UDP/TCP)
OpenVPN lahko deluje v načinu TUN ali TAPin uporabo UDP ali TCP kot transportnega protokola. Vsaka izbira vpliva na zmogljivost, združljivost in vrsto omrežja, ustvarjenega med odjemalcem in strežnikom.
- Način TUN emulira vmesnik od točke do točke Deluje izključno z IP-prometom. Idealen je za ustvarjanje novega virtualnega podomrežja (na primer 10.8.0.0/24), kjer se nahajajo VPN-odjemalci, ločeno od fizičnega lokalnega omrežja. To je najpogostejši način za oddaljeni dostop in običajno ponuja boljšo zmogljivost.
- Način TAP simulira vmesnik Ethernet 2. plastiTo vključuje neposredno enkapsulacijo ethernetnih okvirjev. To omogoča, da so oddaljene naprave v istem podomrežju kot lokalno omrežje (LAN), kar je uporabno, če želite, da so odjemalci VPN videti »priključeni« na lokalno stikalo, čeprav lahko povzroči težave, če se omrežna območja prekrivajo, in je na splošno manj učinkovito.
Glede protokola, UDP je priporočljiv namesto TCP Za VPN tunel je TCP boljši, ker se izogne nepotrebnim notranjim ponovnim prenosom in bolje prenese izgubo paketov ter napade zavrnitve storitve. TCP je prav tako mogoč, vendar uvaja več režijskih stroškov in podvaja nadzor sej.
V praksi večina priporočenih konfiguracij Uporabljajo TUN prek UDP-ja, z namenskim virtualnim podomrežjem za VPN in posebnimi potmi za dostop do lokalnega omrežja (LAN) ali za prisilno preusmeritev vsega internetnega prometa skozi tunel.
Šifriranje, potrdila in napredna varnost v OpenVPN
Ena od prednosti OpenVPN-ja je, da vam omogoča natančno izbiro simetričnih, asimetričnih in hash algoritmov šifriranja, pa tudi različice TLS in različnih dodatnih ukrepov proti napadom zavrnitve storitve.
Za infrastruktura javnih ključev (PKI)Pogosto se namesto klasičnih RSA uporabljajo potrdila, ki temeljijo na eliptičnih krivuljah (EC). Na primer, Easy-RSA 3 je mogoče konfigurirati tako, da generira potrdila CA, strežniška potrdila in odjemalska potrdila z uporabo krivulje secp521r1 in jih podpiše s SHA512, kar ima za posledico zelo varne in relativno lahke ključe.
V nadzorni kanal (pogajanja TLS)OpenVPN podpira vsaj TLS 1.2, v novejših različicah pa tudi TLS 1.3. Priporočljivi so močni paketi s popolno tajnostjo naprej (Perfect Forward Secrecy), kot sta TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 ali novejši TLS_AES_256_GCM_SHA384 in TLS_CHACHA20_POLY1305_SHA256 za TLS 1.3, pri čemer vedno preverite z openvpn --show-tls, kaj vaša namestitev podpira.
Za podatkovni kanal (dejanski promet VPN)Priporočeni šifri sta AES-256-GCM ali AES-128-GCM, ki vključujeta preverjanje pristnosti (AEAD) in odpravljata potrebo po ločeni zgoščevalni vrednosti. Če vaš procesor ne podpira pospeševanja AES-NI, šifra CHACHA20-POLY1305 običajno ponuja boljšo zmogljivost in je podprta tudi od različice OpenVPN 2.5 naprej.
Druga pomembna dodatna plast je uporaba dodatnega ključa HMAC Z tls-crypt (ali tls-auth v starejših različicah), ki ščiti začetno fazo povezave pred poplavljanjem vrat UDP, napadi SYN in skeniranjem, se pri uporabi tls-crypt skrije tudi sam vnaprej deljeni ključ. Če uporabljate prvo različico, morajo vsi odjemalci deliti ta isti ključ, medtem ko ima lahko pri tls-crypt-v2 vsak odjemalec drugačnega.
Ustvarjanje PKI z Easy-RSA in organizacija potrdil
Če nastavite "čisti" strežnik OpenVPN na GNU/Linuxu ali podobnemObičajna praksa je, da ustvarite lastna potrdila z Easy-RSA 3, pri čemer prilagodite datoteko vars, da določite, ali boste uporabljali RSA ali EC, zgoščeno vrednost, krivuljo, potek veljavnosti potrdila in potrdil itd.
Ko kopirate datoteko vars.example v vars in jo uredite, lahko izberete način cn_only za poenostavitev DN-jev, aktivirate EASYRSA_ALGO ec, izberete krivuljo secp521r1, konfigurirate rok veljavnosti (na primer 10 let za CA in 1080 dni za potrdila) in nastavite EASYRSA_DIGEST na sha512.
Ko je ta datoteka pripravljena, inicializirate PKI z ukazom ./easyrsa init-pki.CA ustvarite z ./easyrsa build-ca (z geslom na zasebnem ključu ali brez njega) in od tam ustvarite zahtevo za potrdilo za strežnik in toliko za odjemalce, kot jih potrebujete, nato pa jih podpišete kot strežnik oziroma odjemalce.
Na tej točki je zelo priporočljivo organizirati datoteke v prozornih mapah:
- Ena za strežnik (ca.crt, server.crt, server.key, ta.key in neobvezno dh.pem, če ne uporabljate ECDHE).
- Enega za vsakega odjemalca (ca.crt, clientX.crt, clientX.key in ta.key).
Na ta način se izognete zamenjavi ključev in potrdil.
Poleg certifikatov OpenVPN omogoča uporabo dodatno avtentikacijo z uporabniškim imenom/geslom, bodisi proti samemu sistemu bodisi proti strežniku RADIUS ali drugi podatkovni zbirki, kar krepi varnost pred krajo potrdila.
Konfigurirajte odjemalce OpenVPN na osebnih računalnikih, mobilnih napravah in usmerjevalnikih
Naslednji korak je konfigurirajte oddaljene odjemalcekar so lahko računalniki z operacijskim sistemom Windows ali Linux, mobilni telefoni Android/iOS, drugi usmerjevalniki ali celo oprema, ki se povezuje s krmilnikom, kot je Omada.
V enem klasični namizni odjemalecDatoteka client.ovpn vsebuje direktive, kot so client, dev tun, proto udp, oddaljena linija z javnim IP-naslovom ali domeno usmerjevalnika in izbranimi vrati, resolv-retry infinite, nobind in pot do ca.crt, lastno potrdilo in ključ odjemalca ter tls-crypt ta.key.
Za dodatno varnost odjemalec potrdi strežnik Z ukazom `remote-cert-tls server` uporabite isto šifro in preverjanje pristnosti kot strežnik in idealno podajte iste podprte pakete TLS. Ključnega pomena je, da se šifre in krivulje ujemajo, sicer bo rokovanje TLS spodletelo.
V sistemu Android lahko uporabite uradno aplikacijo OpenVPN ali naprednejše aplikacije drugih ponudnikov, ki podpirajo najnovejše funkcije. Običajno je dovolj, da mapo, ki vsebuje datoteke ca.crt, cliente.crt, cliente.key, ta.key in datoteko .ovpn, kopirate v pomnilnik telefona in nato uvozite ta profil iz same aplikacije.
V sistemu Windows, odjemalec skupnosti OpenVPN Običajno pričakuje, da boste datoteko .ovpn in potrdila kopirali v C:\Program Files\OpenVPN\config (ali na pot, ki ste jo določili med namestitvijo). Nato z desno miškino tipko kliknite ikono OpenVPN v opravilni vrstici, izberite profil in se povežite.
Konfigurirajte OpenVPN na usmerjevalnikih TP-Link
Več usmerjevalnikov TP-Link nove generacije ima integriran strežnik OpenVPN v svojem naprednem spletnem vmesniku, ki precej poenostavi stvari, saj samodejno ustvari potrdila in datoteko .ovpn za odjemalce.
V preprostem scenariju z en sam usmerjevalnik v omrežjuPostopek je običajno naslednji: vstopite v spletni vmesnik, pojdite na Napredno > VPN strežnik > OpenVPN, označite Omogoči VPN strežnik in, če to počnete prvič, kliknite Generiraj, da ustvarite notranje potrdilo.
Nato se opravi izbira vrsta storitve (UDP ali TCP), servisna vrata so definirana med 1024 in 65535, konfigurirana sta podomrežje in maska VPN ter izbrana je vrsta dostopa odjemalca: Samo domače omrežje (samo LAN 192.168.xx) ali Internet in domače omrežje (ves internetni promet poteka skozi VPN).
Po shranite konfiguracijo in ustvarite/posodobite potrdilaKliknite Izvozi, da prenesete konfiguracijsko datoteko OpenVPN, ki jo bodo uporabljali odjemalci. Nato preprosto namestite odjemalca OpenVPN v računalnik ali mobilno napravo, kopirajte izvoženo datoteko v mapo config in se povežite.
Ko sta v domači topologiji dva ali več usmerjevalnikov (na primer usmerjevalnik ponudnika internetnih storitev in usmerjevalnik TP-Link za njim), boste morali poleg konfiguracije OpenVPN na drugem usmerjevalniku ustvariti posredovanje vrat (virtualni strežnik) na prvem, tako da zunanja vrata usmerite na LAN IP drugega in ista notranja vrata, ki jih uporablja OpenVPN.
Konfigurirajte OpenVPN na usmerjevalnikih ASUS
P Usmerjevalniki ASUS z vdelano programsko opremo ASUSWRT Vključujejo tudi strežnik OpenVPN z dokaj uporabniku prijaznim grafičnim vmesnikom, čeprav se zasloni med različicami vdelane programske opreme pred in po različici 3.0.0.4.388.xxxx nekoliko razlikujejo.
Postopek se začne dostop do grafičnega uporabniškega vmesnika usmerjevalnika Na http://www.asusrouter.com ali prek svojega LAN IP-naslova se prijavite z uporabniškim imenom in geslom skrbnika ter pojdite na VPN > VPN strežnik, da aktivirate OpenVPN.
V splošnih nastavitvah vrata strežnika so določena (na primer 2000 ali vrednost med 1024 in 65535), privzeta dolžina šifriranja RSA in spet, ali bodo odjemalci lahko dostopali samo do lokalnega omrežja ali tudi do interneta prek usmerjevalnika.
Ko je vse naneseno, Datoteka client.ovpn je izvožena Iz razdelka strežnika OpenVPN. Ta datoteka že vsebuje potrebna potrdila, ključe in parametre. Če kasneje spremenite ključe ali potrdila, jo boste morali ponovno izvoziti in distribuirati odjemalcem.
V razdelku Podrobnosti VPN-ja > Napredne nastavitve Ročno lahko urejate ključe in potrdila, prilagajate parametre, kot so različica TLS ali algoritmi, in prilagodite konfiguracijo zahtevnejšim okoljem, ne da bi se dotaknili vdelane programske opreme.
Konfigurirajte OpenVPN v Omadi (TP-Link) kot strežnik in ustvarite uporabnike
V okoljih, ki jih upravlja krmilnik omada Za dostop od odjemalca do spletnega mesta lahko določite pravilnike VPN tipa OpenVPN Server, kar je idealno, če želite upravljanje centralizirati v eni sami plošči.
Iz krmilnika dostopate Konfiguracija> VPNKliknite Dodaj, da ustvarite nov pravilnik in določite ime (na primer »test«), ga nastavite na Omogočeno, izberite Namen odjemalca do spletnega mesta in vrsto VPN-ja: VPN strežnik – OpenVPN.
V isti politiki Sami se odločite, ali boste uporabili deljen ali celoten predorIzbirate lahko med možnostjo Split Tunnel (razdeljeni tunel), tako da skozi VPN poteka samo promet v notranje omrežje, ali Full Tunnel (polni tunel), tako da skozi strežnik poteka tudi ves internetni promet. Izberete lahko tudi protokol (TCP/UDP), servisna vrata (privzeto 1194), način preverjanja pristnosti (lokalni), vrsto lokalnega omrežja in obseg naslovov IP, ki jih želite dodeliti odjemalcem.
Despui Uporabnike VPN ustvarite v Nastavitve > VPN > UporabnikiTo vključuje dodelitev imena računa in gesla, izbiro protokola OpenVPN in povezavo uporabnika z novo ustvarjenim strežnikom VPN. Vsak uporabnik bo nato imel svoje osnovne poverilnice.
Nazadnje se datoteka .ovpn izvozi s seznama pravilnikov.Kopirajte datoteko na odjemalca (osebni računalnik, prenosnik itd.), namestite programsko opremo OpenVPN Community, datoteko shranite v mapo config in se povežite. Stanje lahko preverite na krmilniku v razdelku Insight > VPN Status.
Nedavne posodobitve OpenVPN in razpoložljive alternative
OpenVPN se z vsako različico še naprej razvijadodajanje izboljšav varnosti, zmogljivosti in uporabnosti. Nedavne spremembe vključujejo tls-crypt-v2 (za dodeljevanje ključev, specifičnih za odjemalca, in nadaljnje ublažitev napadov DoS), podporo za CHACHA20-POLY1305 in izboljšano pogajanje o podatkovnih šifrah z uporabo podatkovnih šifer.
Hkrati Podpora za zastarele šifre je bila umaknjena. kot je BF-CBC v privzetih konfiguracijah, kar skrbnike spodbuja k uporabi AES-GCM ali CHACHA20, ki sta v praksi veliko varnejša in hitrejša.
V podjetjih je tudi pogosto združi OpenVPN z rešitvami v oblaku, kot je Azure VPN Gateway ali s požarnimi zidovi, ki integrirajo IPsec in druge protokole za povezave med lokacijami, medtem ko v domačem okolju dobro konfiguriran usmerjevalnik, združljiv z OpenVPN, običajno zagotavlja vse potrebno.
Z vsem videnim, Konfigurirajte VPN na usmerjevalniku z uporabo OpenVPN Če izpolnite osnovne zahteve (javni IP, združljiv usmerjevalnik, nekaj potrpljenja) in sledite jasni strukturi, se iz nečesa skrivnostnega spremeni v popolnoma obvladljiv projekt: pripravite potrdila ali uporabite tista, ki jih ustvari usmerjevalnik, aktivirajte in prilagodite strežnik, izvozite konfiguracijo za odjemalce in mirno testirajte ter popravljajte tipične napake; v zameno dobite veliko bolj varno in prilagodljivo omrežje, pripravljeno tako za delo na daljavo kot za zaščito vseh naprav doma naenkrat.