Hogyan állíts be VPN-t az útválasztódon az OpenVPN segítségével lépésről lépésre

  • Az OpenVPN otthoni vagy professzionális routeren történő beállításának előnyei, hátrányai és főbb követelményei.
  • Gyakorlati útmutatók az OpenVPN konfigurálásához TP-Link, ASUS és Omada routereken.
  • Titkosítási javaslatok, fokozott biztonság és a gyakori csatlakozási hibák elhárítása.
  • Alternatívák az OpenVPN-hez és tippek a legmegfelelőbb VPN és eszköz kiválasztásához minden egyes forgatókönyvhöz.
Daniel Terrasa

14 perc

OpenVPN szerverrel konfigurált router

Konfiguráljon VPN-t közvetlenül az útválasztón az OpenVPN használatával Ez az egyik leghatékonyabb és legrugalmasabb módja annak, hogy megvédje otthoni vagy üzleti hálózatát anélkül, hogy minden eszközre alkalmazásokat kellene telepítenie. Ha helyesen csinálja, minden olyan eszköz, amely Wi-Fi-hez vagy kábellel csatlakozik, titkosított alagúton keresztül fér hozzá az internethez, mintha fizikailag egy másik hálózaton lenne.

Ez az útmutató összegyűjti, átszervezi és kibővíti a TP-Link, ASUS, Omada és a hivatalos OpenVPN dokumentáció technikai információit, így minden egy cikkben megtalálható: mi is az valójában... OpenVPNMit nyersz és mit veszítesz a használatával, hogyan állítsd be routereken és szervereken, hogyan csatlakozz PC-ről és mobilról, és hogyan oldd meg a leggyakoribb hibákat.

Mi az OpenVPN és miért érdemes használni a routeren?

Az OpenVPN egy nyílt forráskódú VPN szoftver Titkosított „alagutat” hoz létre egy kliens (laptop, mobiltelefon stb.) és egy szerver (router, Linux szerver, NAS stb.) között. SSL/TLS protokollon keresztül működik, lehetővé téve digitális tanúsítványok, kulcsok, felhasználónevek és jelszavak, valamint számos modern titkosítási algoritmus használatát.

Az egyik nagy előnye más protokollokkal, például az IPsec-kel szemben, hogy könnyebb beállítaniTovábbá gyakorlatilag bármilyen operációs rendszeren elérhető (Windows, macOS, GNU/Linux, Android, iOS, routerek, tűzfalak, NAS…).

Amikor telepíted és aktiválod az OpenVPN-t a routeren, Maga a router VPN-kiszolgálóként működik. A helyi hálózatod lesz a „biztonságos oldal”, a távoli eszközök (VPN-kliensek) pedig az otthonodon vagy irodádon kívülről csatlakozhatnak az interneten keresztül, mindig titkosítva. A router átjáróként működik a VPN és a LAN között.

Az eredmény az, hogy megteheted biztonságos böngészés nyilvános WiFi hálózatokonHozzáférhetsz a belső erőforrásaidhoz (NAS, nyomtatók, IP kamerák, SMB/FTP szerverek…) úgy, mintha otthon lennél, és elrejtheted a valódi IP-címedet, vagy megkerülheted a földrajzi blokkokat a konfiguráció beállításától függően.

OpenVPN

A VPN és az OpenVPN használatának előnyei és hátrányai

VPN beállítása a routeren az OpenVPN segítségével megtörtént számos gyakorlati előnyDe van néhány hátrány is, amelyekről érdemes tudni, mielőtt belevágna, hogy kiválaszthassa a megfelelő berendezést, internetszolgáltatót és telepítési módszert. Íme a lista:

  • Lehetőség az IP-cím megváltoztatására vagy elrejtésére.
  • Titkosítsa a forgalmat a kémkedés megakadályozása érdekében (különösen hasznos nyílt WiFi-hálózaton).
  • A tartalomhoz való hozzáférés országonként korlátozott.
  • Böngésszen sokkal nagyobb fokú anonimitással.

Az adatvédelmi részben A VPN megakadályozza, hogy bárki könnyen megnézze. A meglátogatott webhelyeket és a csatlakozási helyeket nem követik nyomon, bár az internetszolgáltatódnak mindig lesz némi rálátása. Ennek ellenére rendkívül nehéz nyomon követni téged szimatolókon, nem biztonságos hozzáférési pontokon vagy megosztott hálózatokon keresztül.

Cserébe, A VPN-kiszolgálón keresztüli titkosítás és útválasztás erőforrásokat fogyaszt. Emellett csökkenthetik a sebességet és az elérhető sávszélességet, különösen, ha a routered gyengén teljesít, vagy ingyenes szolgáltatásokat használsz. Továbbá egy jó víruskereső program is elengedhetetlen, és óvatosnak kell lenned a szoftverek letöltésekor, mert a VPN nem véd meg a rosszindulatú programoktól.

azok erősségei Ezek a biztonság, a stabilitás, a széleskörű testreszabhatóság (2. vagy 3. réteg, TUN vagy TAP alagutak, problémamentes dinamikus IP, NAT kompatibilitás…) és a tűzfalszabályok és a rendszerindító szkriptek feletti nagyszerű kontroll, de ehhez a konfiguráció alapos ismerete szükséges, különösen, ha algoritmusokat és tanúsítványokat szeretne testreszabni.

Előfeltételek és fontos szempontok (CG-NAT, nyilvános IP-cím és dinamikus DNS)

Mielőtt még aktiválnád az OpenVPN-t a routeren, ellenőrizned kell néhány dolgot. Főbb pontok:

  • Ha az útválasztója támogatja az OpenVPN szervert.
  • Győződjön meg róla, hogy az internetkapcsolatának nyilvános IP-címe van.
  • Ha dinamikus DNS-t kell használnia.

Sok közép- és felsőkategóriás TP-Link, ASUS vagy Omada router már rendelkezik integrált OpenVPN szerverrel, de nem minden modell tartalmazza, és nem is érhető el minden firmware verzióban. Célszerű... Ellenőrizze a modell specifikációit és szükség esetén frissítse a firmware-t a gyártó által kínált legújabb verzióra.

A legfontosabb követelmény az legyen nyilvános IP-címe a router WAN-jánHa az internetszolgáltatód CG-NAT-ot használ, és megosztott privát IP-címet biztosít (ami gyakori a 4G/5G kapcsolatoknál vagy bizonyos internetszolgáltatóknál), akkor nem fogsz tudni portokat továbbítani az internetről a routeredre, így a VPN kívülről nem lesz elérhető. Ebben az esetben statikus vagy nyilvános IP-címet kell kérned az internetszolgáltatódtól.

Nagyon praktikus, ha a routert név, és nem numerikus IP-cím alapján lehet megtalálni. Aktiváljon egy dinamikus DNS-szolgáltatást magán a routeren (NO-IP, DynDNS, a gyártó saját szolgáltatása stb.). Így a mydomain.no-ip.org címhez csatlakozhatsz ahelyett, hogy megjegyeznéd a nyilvános IP-címedet, amely változhat.

Ezen túlmenően, Javasoljuk, hogy a router rendszeridejét megfelelően szinkronizálja az internettel.Ez azért van, mert a digitális tanúsítványok és a TLS-függvények a helyes dátumoktól és időpontoktól függenek. Az eltérés szokatlan tanúsítvány-érvényesítési hibákat okozhat.

OpenVPN

Hogyan működik az OpenVPN technikai szinten, és milyen módokat kínál (TUN/TAP, UDP/TCP)

Az OpenVPN működhet TUN vagy TAP módbanés UDP vagy TCP használatával átviteli protokollként. Minden választás befolyásolja a teljesítményt, a kompatibilitást és a kliens és a szerver között létrehozott hálózat típusát.

  • A TUN mód egy pont-pont interfészt emulál Kizárólag IP-forgalommal működik. Ideális egy új virtuális alhálózat (például 10.8.0.0/24) létrehozásához, ahol VPN-kliensek találhatók, a fizikai LAN-tól elkülönítve. Ez a leggyakoribb mód a távoli eléréshez, és általában jobb teljesítményt kínál.
  • A TAP mód egy 2. rétegű Ethernet interfészt szimulálEz az Ethernet keretek közvetlen beágyazását jelenti. Ez lehetővé teszi, hogy a távoli eszközök ugyanazon az alhálózaton legyenek, mint a LAN, ami akkor hasznos, ha azt szeretné, hogy a VPN-kliensek úgy tűnjenek, mintha „csatlakoznának” a helyi switchhez, bár problémákat okozhat, ha a hálózati tartományok átfedik egymást, és általában kevésbé hatékony.

A protokollal kapcsolatban, UDP ajánlott a TCP helyett A VPN-alagút esetében a TCP az előnyösebb, mivel elkerüli a felesleges belső újraküldéseket, és jobban ellenáll a csomagvesztésnek és a szolgáltatásmegtagadási támadásoknak. A TCP szintén lehetséges, de több többletterhelést és duplikált munkamenet-vezérlést eredményez.

A gyakorlatban a leggyakrabban ajánlott konfigurációk TUN-t használnak UDP-n keresztül, egy dedikált virtuális alhálózattal a VPN-hez és meghatározott útvonalakkal a LAN eléréséhez, vagy az összes internetes forgalom átkényszerítéséhez az alagúton.

Titkosítás, tanúsítványok és fejlett biztonság az OpenVPN-ben

Az OpenVPN egyik erőssége, hogy jelentős pontossággal választhatjuk ki a szimmetrikus, aszimmetrikus és hash titkosítási algoritmusokat, valamint a TLS verziót és a szolgáltatásmegtagadási támadások elleni különféle kiegészítő intézkedéseket.

For nyilvános kulcsú infrastruktúra (PKI)Gyakori, hogy a klasszikus RSA helyett elliptikus görbéken (EC) alapuló tanúsítványokat használnak. Például az Easy-RSA 3 konfigurálható úgy, hogy a secp521r1 görbe segítségével generálja a CA, a szervertanúsítványt és a klienstanúsítványokat, és SHA512-vel írja alá azokat, ami rendkívül biztonságos és viszonylag könnyű kulcsokat eredményez.

In the vezérlőcsatorna (TLS-egyeztetés)Az OpenVPN legalább a TLS 1.2-t, a legújabb verziókban pedig a TLS 1.3-at is támogatja. Erős, Perfect Forward Secrecy (TPS) protokollt támogató csomagok ajánlottak, mint például a TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 vagy az újabb TLS_AES_256_GCM_SHA384 és TLS_CHACHA20_POLY1305_SHA256 a TLS 1.3-hoz, mindig ellenőrizve az openvpn --show-tls paranccsal, hogy mit támogat a telepítésed.

For adatcsatorna (valós VPN forgalom)Az ajánlott titkosítási módok az AES-256-GCM vagy az AES-128-GCM, amelyek integrálják a hitelesítést (AEAD), és kiküszöbölik a külön hash szükségességét. Ha a processzor nem támogatja az AES-NI gyorsítást, a CHACHA20-POLY1305 titkosítás általában jobb teljesítményt kínál, és az OpenVPN 2.5-ös verziójától kezdődően is támogatott.

Egy másik fontos plusz réteg egy további HMAC kulcs használata A tls-crypt (vagy régebbi verziókban a tls-auth) használatával, amely a kapcsolat kezdeti fázisát védi az UDP port elárasztása, a SYN támadások és a szkennelések ellen, a tls-crypt használatakor elrejti magát az előre megosztott kulcsot is. Az első verzió használatakor minden kliensnek meg kell osztania ezt a kulcsot, míg a tls-crypt-v2 esetében minden kliensnek lehet egy másik kulcsa.

OpenVPN

PKI létrehozása Easy-RSA-val és tanúsítványszervezés

Ha beállít egy „tiszta” OpenVPN szerver GNU/Linux vagy hasonló rendszerenA szokásos gyakorlat az, hogy saját tanúsítványokat hozunk létre az Easy-RSA 3 programmal, a vars fájl módosításával meghatározva, hogy RSA-t vagy EC-t használunk-e, a hash-t, a görbét, a CA és a tanúsítványok lejárati idejét stb.

Miután a vars.example fájlt átmásolta a vars fájlba és szerkesztette, választhatja a cn_only módot a DN-ek egyszerűsítéséhez, aktiválhatja az EASYRSA_ALGO ec függvényt, kiválaszthatja a secp521r1 görbét, konfigurálhatja a lejáratot (például 10 év a CA és 1080 nap a tanúsítványok esetében), és beállíthatja az EASYRSA_DIGEST értékét sha512 értékre.

Miután ez a fájl elkészült, inicializáld a PKI-t a ./easyrsa init-pki paranccsal.A hitelesítésszolgáltatót a ./easyrsa build-ca paranccsal hozod létre (jelszóval vagy anélkül a privát kulcson), majd innen generálsz egy tanúsítványkérelmet a szerverhez és annyi klienshez, amennyire szükséged van, majd aláírod őket szerverként, illetve kliensként.

Ezen a ponton erősen ajánlott fájlokat rendezni tiszta mappákban:

  • Egy a szerverhez (ca.crt, server.crt, server.key, ta.key, és opcionálisan dh.pem, ha nem ECDHE-t használsz).
  • Minden klienshez egy (ca.crt, clientX.crt, clientX.key és ta.key).

Így elkerülhető a kulcsok és tanúsítványok összekeverése.

A tanúsítványok mellett az OpenVPN lehetővé teszi a következők használatát is további hitelesítés felhasználónév/jelszó segítségével, akár magával a rendszerrel, akár egy RADIUS szerverrel vagy más adatbázissal szemben, megerősítve a tanúsítványlopás elleni védelmet.

OpenVPN kliensek konfigurálása PC-ken, mobileszközökön és routereken

A következő lépés távoli kliensek konfigurálásaamelyek lehetnek Windows vagy Linux számítógépek, Android/iOS mobilok, más routerek, vagy akár olyan berendezések, amelyek egy vezérlőről, például az Omada-ról csatlakoznak.

Az egyik klasszikus asztali kliensA client.ovpn fájl olyan direktívákat tartalmaz, mint a client, dev tun, proto udp, a távoli vonal a router nyilvános IP-címével vagy domainjével és a kiválasztott porttal, a resolv-retry infinite, a nobind és a ca.crt elérési útja, a kliens saját tanúsítványa és kulcsa, valamint a tls-crypt ta.key.

A nagyobb biztonság érdekében a kliens validálja a szervert A `remote-cert-tls server` használatával ugyanazt a titkosítást és hitelesítést kell használni, mint a szerver, és ideális esetben ugyanazokat a támogatott TLS-csomagokat kell replikálni. Rendkívül fontos, hogy a titkosítások és a görbék megegyezzenek; ellenkező esetben a TLS-kézfogás sikertelen lesz.

Androidon használhatod a hivatalos OpenVPN alkalmazást vagy fejlettebb, harmadik féltől származó alkalmazások, amelyek támogatják a legújabb funkciókat. Általában elegendő a ca.crt, cliente.crt, cliente.key, ta.key fájlokat és az .ovpn fájlt tartalmazó mappát a telefon memóriájába másolni, majd importálni a profilt magából az alkalmazásból.

Windows rendszeren az OpenVPN közösségi kliens Általában azt várja el, hogy az .ovpn fájlt és a tanúsítványokat a C:\Program Files\OpenVPN\config mappába (vagy a telepítés során megadott elérési útra) másold. Ezután kattints jobb gombbal az OpenVPN ikonra a tálcán, válaszd ki a profilt, és csatlakozz.

tp link bővítő

OpenVPN konfigurálása TP-Link routereken

Számos új generációs TP-Link router integrált OpenVPN szerverrel rendelkezik. a fejlett webes felületén, ami jelentősen leegyszerűsíti a dolgokat, mivel automatikusan generálja a tanúsítványokat és az .ovpn fájlt az ügyfelek számára.

Egy egyszerű forgatókönyvben, ahol egyetlen router a hálózatonA folyamat általában a következő: lépjen be a webes felületre, lépjen a Speciális > VPN-kiszolgáló > OpenVPN menüpontra, jelölje be a VPN-kiszolgáló engedélyezése jelölőnégyzetet, és ha ez az első alkalom, kattintson a Létrehozás gombra a belső tanúsítvány létrehozásához.

Ezután megtörténik a választás szolgáltatás típusa (UDP vagy TCP), a szolgáltatásport 1024 és 65535 között van megadva, a VPN alhálózat és maszk konfigurálva van, és a kliens hozzáférési típusa ki van választva: Csak otthoni hálózat (csak LAN 192.168.xx) vagy Internet és otthoni hálózat (minden internetes forgalom a VPN-en keresztül halad).

után mentse a konfigurációt és generálja/frissítse a tanúsítványokatKattintson az Exportálás gombra az OpenVPN konfigurációs fájl letöltéséhez, amelyet a kliensek használni fognak. Ezután egyszerűen telepítse az OpenVPN klienst a számítógépére vagy mobileszközére, másolja az exportált fájlt a konfigurációs mappába, és csatlakozzon.

Ha két vagy több router van az otthoni topológiában (például egy internetszolgáltató router és egy TP-Link router mögötte), a második routeren való OpenVPN konfigurálása mellett létre kell hozni egy porttovábbítást (virtuális szervert) az elsőn is, a külső portot a második LAN IP-címére és ugyanarra a belső portra irányítva, amelyet az OpenVPN használ.

OpenVPN konfigurálása ASUS routereken

sok ASUS routerek ASUSWRT firmware-rel Tartalmaznak egy OpenVPN szervert is, meglehetősen felhasználóbarát grafikus felülettel, bár a képernyők kissé eltérnek a 3.0.0.4.388.xxxx előtti és utáni firmware verziók között.

A folyamat elkezdődik a router grafikus felhasználói felületének elérése A http://www.asusrouter.com webhelyről vagy a LAN IP-címéről jelentkezzen be rendszergazdai felhasználónevével és jelszavával, majd lépjen a VPN > VPN Server menüpontra az OpenVPN aktiválásához.

Az általános beállításokban a szerver portja meg van határozva (például 2000 vagy 1024 és 65535 közötti érték), az alapértelmezett RSA titkosítási hossz, és ismét az, hogy a kliensek csak a helyi hálózathoz vagy az internethez is hozzáférhetnek-e a routeren keresztül.

Miután mindent alkalmaztak, A client.ovpn fájl exportálásra kerül. Az OpenVPN szerver részből. Ez a fájl már tartalmazza a szükséges tanúsítványokat, kulcsokat és paramétereket. Ha később módosítja a kulcsokat vagy tanúsítványokat, akkor újra kell exportálnia és terjesztenie kell a klienseknek.

A VPN részletei > Speciális beállítások részben Manuálisan szerkesztheti a kulcsokat és tanúsítványokat, beállíthatja a paramétereket, például a TLS verzióját vagy az algoritmusokat, és a konfigurációt az igényesebb környezetekhez is igazíthatja a firmware megérintése nélkül.

Konfigurálja az OpenVPN-t az Omada (TP-Link) szerverként, és hozzon létre felhasználókat

Vezérlő által felügyelt környezetekben omada OpenVPN Server típusú VPN-szabályzatokat definiálhatsz kliens-helyszín hozzáféréshez, ami ideális, ha egyetlen panelen szeretnéd központosítani a kezelést.

A vezérlőről, amelyhez hozzáférsz Konfiguráció> VPNA Hozzáadás gombra kattintva létrehozhat egy új szabályzatot, megadhat egy nevet (például „teszt”), Engedélyezett értékre állíthatja, majd a Kliens és a Helyszín célja beállításoknál a VPN típusa: VPN-kiszolgáló - OpenVPN lehetőséget választja.

Ugyanebben a politikában Ön dönti el, hogy osztott vagy teljes alagutat használVálaszthatsz a Split Tunnel (osztott alagút) közül, ahol csak a belső hálózatra irányuló forgalom halad át a VPN-en, vagy a Full Tunnel (teljes alagút), ahol az összes internetes forgalom is a szerveren keresztül halad. Kiválaszthatod a protokollt (TCP/UDP), a szolgáltatás portját (alapértelmezett: 1194), a hitelesítési módot (helyi), a helyi hálózat típusát és az ügyfelekhez rendelni kívánt IP-címek tartományát is.

Után VPN-felhasználókat hozhat létre a Beállítások > VPN > Felhasználók menüpontban.Ez magában foglalja egy fióknév és jelszó hozzárendelését, az OpenVPN protokoll kiválasztását, és a felhasználó összekapcsolását az újonnan létrehozott VPN-kiszolgálóval. Minden felhasználó megkapja az alapvető hitelesítő adatait.

Végül a .ovpn fájl exportálásra kerül a szabályzatlistából.Másold a fájlt a kliensre (PC, laptop stb.), telepítsd az OpenVPN Community szoftvert, helyezd a fájlt a konfigurációs mappába, és csatlakozz. A vezérlő állapotát az Insight > VPN Status menüpont alatt ellenőrizheted.

Legutóbbi OpenVPN frissítések és elérhető alternatívák

Az OpenVPN minden verzióval folyamatosan fejlődikBiztonsági, teljesítménybeli és használhatósági fejlesztések hozzáadása. A legújabb változások közé tartozik a tls-crypt-v2 (kliensspecifikus kulcsok hozzárendeléséhez és a DoS-támadások további mérsékléséhez), a CHACHA20-POLY1305 támogatása, valamint az adatrejtjelek adatrejtjelek használatával történő továbbfejlesztett tárgyalása.

Ugyanakkor, Az elavult titkosítások támogatása megszűnt. például a BF-CBC az alapértelmezett konfigurációkban, ami az adminisztrátorokat az AES-GCM vagy a CHACHA20 használatára készteti, amelyek a gyakorlatban sokkal biztonságosabbak és gyorsabbak.

A cégeknél is gyakori, OpenVPN kombinálása felhőalapú megoldásokkal, mint például az Azure VPN Gateway vagy olyan tűzfalakkal, amelyek integrálják az IPsec-et és más protokollokat a telephelyek közötti kapcsolatokhoz, míg otthoni környezetben egy jól konfigurált OpenVPN-kompatibilis router általában mindent biztosít, amire szükség van.

Minden látottal, Konfigurálj VPN-t az útválasztódon az OpenVPN használatával Egy rejtélyes projektből egy teljesen kezelhetővé válik, ha megfelelsz az alapvető követelményeknek (nyilvános IP-cím, kompatibilis router, némi türelem) és követsz egy világos struktúrát: előkészíted a tanúsítványokat, vagy használod a router által generáltakat, aktiválod és beállítod a szervert, exportálod a konfigurációt a kliensek számára, és nyugodtan teszteled, kijavítva a tipikus hibákat; cserébe egy sokkal biztonságosabb, rugalmasabb hálózatot kapsz, amely készen áll mind a távmunkára, mind az otthoni összes eszköz egy csapásra történő védelmére.