OpenVPN là gì?
Thông thường, phần mềm và phần cứng VPN tốn rất nhiều tiền để thực hiện. Nếu bạn chưa đoán được, OpenVPN là một giải pháp VPN nguồn mở (trống cuộn) miễn phí. DD-WRT, cùng với OpenVPN, là một giải pháp hoàn hảo cho những ai muốn có kết nối an toàn giữa hai mạng mà không phải mở ví của mình. Tất nhiên, OpenVPN sẽ không hoạt động ngay tức thì. Phải mất một chút tinh chỉnh và cấu hình để làm cho nó vừa phải. Không phải lo lắng mặc dù; chúng tôi ở đây để làm cho quá trình đó dễ dàng hơn cho bạn, vì vậy hãy tự lấy một tách cà phê ấm áp và bắt đầu.
Để biết thêm thông tin về OpenVPN, hãy truy cập vào chính thức OpenVPN là gì? trang.
Điều kiện tiên quyết
Hướng dẫn này giả định rằng bạn hiện đang chạy Windows 7 trên PC của mình và bạn đang sử dụng tài khoản quản trị. Nếu bạn là người dùng Mac hoặc Linux, hướng dẫn này sẽ cung cấp cho bạn ý tưởng về cách mọi thứ hoạt động, tuy nhiên, bạn có thể phải tự nghiên cứu thêm một chút để hoàn thiện mọi thứ.
Hướng dẫn này cũng giả định rằng bạn sở hữu một WRT54GL Linksys và có một sự hiểu biết chung về công nghệ VPN. Nó sẽ phục vụ như là một cơ sở cho việc cài đặt DD-WRT, nhưng hãy chắc chắn kiểm tra hướng dẫn cài đặt DD-WRT chính thức của chúng tôi với một bổ sung bổ sung.
Cài đặt DD-WRT
Nhóm chịu trách nhiệm về DD-WRT đã thực hiện một công việc tuyệt vời giúp người dùng cuối dễ dàng khám phá khả năng tương thích của bộ định tuyến với trang Cơ sở dữ liệu Bộ định tuyến của họ. Bắt đầu bằng cách nhập vào mô hình bộ định tuyến của bạn (trong trường hợp của chúng tôi WRT54GL) trong trường văn bản và xem kết quả tìm kiếm xuất hiện ngay lập tức. Nhấp vào bộ định tuyến của bạn khi nó được tìm thấy.
Bạn sẽ được đưa đến một trang mới liệt kê thông tin về mô hình của bạn - bao gồm các thông số phần cứng và các bản dựng DD-WRT khác nhau. Tải xuống cả bản dựng Mini-Generic và VPN Generic của DD-WRT (dd-wrt.v24_mini_generic.bin và dd-wrt.v24_vpn_generic.bin). Lưu các tệp này vào máy tính của bạn.
Ngoài ra, hãy chắc chắn để làm một thiết lập lại cứng (AKA một 30/30/30) trước khi cài đặt DD-WRT. Nhấn nút đặt lại ở mặt sau bộ định tuyến của bạn trong 30 giây. Sau đó, trong khi vẫn giữ nút đặt lại, hãy rút dây nguồn và để yên phích cắm trong 30 giây. Cuối cùng, cắm cáp nguồn trở lại trong khi vẫn giữ nút reset trong 30 giây nữa. Bạn nên giữ nút nguồn trong 90 giây.
Nhấp vào nút Duyệt qua và điều hướng đến tệp DD-WRT Mini Generic chung mà chúng tôi đã tải xuống trước đó. Làm không phải tải lên tệp.bin DD-WRT VPN. Nhấp vào nút Nâng cấp trong giao diện web. Bộ định tuyến của bạn sẽ bắt đầu cài đặt DD-WRT Mini Generic và sẽ mất ít hơn một phút để hoàn thành.
Cài đặt OpenVPN
Bây giờ, hãy truy cập trang Tải xuống của OpenVPN và tải xuống Trình cài đặt Windows OpenVPN. Trong hướng dẫn này, chúng tôi sẽ sử dụng phiên bản OpenVPN mới nhất thứ hai có tên là 2.1.4. Phiên bản mới nhất (2.2.0) có một lỗi trong đó sẽ làm cho quá trình này phức tạp hơn. Tệp mà chúng tôi đang tải xuống sẽ cài đặt chương trình OpenVPN cho phép bạn kết nối với mạng VPN của bạn, vì vậy hãy chắc chắn cài đặt chương trình này trên bất kỳ máy tính nào khác mà bạn muốn hoạt động với tư cách khách hàng (như chúng ta sẽ thấy cách thực hiện một lát sau). Lưu tệp openvpn-2.1.4-install.exe vào máy tính của bạn.
Tạo chứng chỉ và khóa
Bây giờ bạn đã cài đặt OpenVPN trên máy tính của mình, chúng tôi phải bắt đầu tạo chứng chỉ và khóa để xác thực thiết bị. Nhấp vào nút Start của Windows và điều hướng bên dưới Accessories. Bạn sẽ thấy chương trình Command Prompt. Kích chuột phải vào nó và kích Run as administrator.
Trong dấu nhắc lệnh, gõ cd c: Program Files (x86) OpenVPN easy-rsa nếu bạn đang chạy Windows 7 64 bit như bên dưới. Kiểu cd c: Program Files OpenVPN easy-rsa nếu bạn đang chạy Windows 32 bit 7. Sau đó nhấn Enter.
Bây giờ hãy nhập init-config và nhấn Enter để sao chép hai tệp được gọi là vars.bat và openssl.cnf vào thư mục easy-rsa. Hãy giữ lời nhắc lệnh của bạn vì chúng tôi sẽ sớm quay lại ngay.
Hướng đến C: Program Files (x86) OpenVPN easy-rsa (hoặc là C: Program Files OpenVPN easy-rsa trên Windows 7 32 bit) và nhấp chuột phải vào tệp có tên vars.bat. Nhấp vào Chỉnh sửa để mở nó trong Notepad. Ngoài ra, chúng tôi khuyên bạn nên mở tệp này bằng Notepad ++ vì nó định dạng văn bản trong tệp tốt hơn nhiều. Bạn có thể tải xuống Notepad ++ từ trang chủ của họ.
Phần dưới cùng của tệp là những gì chúng tôi quan tâm. Bắt đầu từ dòng 31, thay đổi KEY_COUNTRY giá trị, KEY_PROVINCE giá trị, v.v … cho quốc gia, tỉnh của bạn, v.v. Ví dụ: chúng tôi đã thay đổi tỉnh thành thành phố “IL”, thành phố thành “Chicago”, thành “HowToGeek” và gửi email đến địa chỉ email của chính chúng tôi. Ngoài ra, nếu bạn đang chạy Windows 7 64 bit, hãy thay đổi NHÀ giá trị trong dòng 6 đến % ProgramFiles (x86)% OpenVPN easy-rsa. Không thay đổi giá trị này nếu bạn đang chạy Windows 32 bit 7. Tệp của bạn sẽ trông giống như dưới đây (với các giá trị tương ứng của bạn, tất nhiên). Lưu tệp bằng cách ghi đè tệp đó sau khi bạn chỉnh sửa xong.
Quay lại dấu nhắc lệnh và nhập vars và nhấn Enter. Sau đó nhập làm sạch tất cả và nhấn Enter. Cuối cùng, nhập xây dựng ca và nhấn Enter.
Sau khi thực hiện xây dựng ca lệnh, bạn sẽ được nhắc nhập vào Tên Quốc gia, Nhà nước, Địa phương, v.v. Vì chúng tôi đã thiết lập các thông số này trong vars.bat, chúng tôi có thể bỏ qua các tùy chọn này bằng cách nhấn Enter, nhưng! Trước khi bạn bắt đầu đập vào phím Enter, hãy xem tham số Common Name. Bạn có thể nhập bất kỳ thứ gì trong thông số này (tức là tên của bạn). Chỉ cần chắc chắn rằng bạn nhập một cái gì đó. Lệnh này sẽ xuất ra hai tệp (chứng chỉ CA gốc và khóa Gốc CA) trong thư mục easy-rsa / keys.
Bây giờ chúng ta sẽ xây dựng một chìa khóa cho khách hàng. Trong cùng một loại dấu nhắc lệnh khóa xây dựng client1. Bạn có thể thay đổi “client1” thành bất kỳ thứ gì bạn muốn (ví dụ: Acer-Laptop). Chỉ cần chắc chắn nhập tên giống với tên chung khi được nhắc. Chạy qua tất cả các giá trị mặc định như bước cuối cùng mà chúng tôi đã thực hiện (ngoại trừ Common Name, tất nhiên). Tuy nhiên, cuối cùng, bạn sẽ được yêu cầu ký giấy chứng nhận và cam kết. Nhập “y” cho cả hai và nhấp Enter.
Ngoài ra, đừng lo lắng nếu bạn nhận được lỗi “không thể ghi‘ trạng thái ngẫu nhiên ’”. Chúng tôi nhận thấy rằng các chứng chỉ của bạn vẫn được tạo mà không gặp sự cố. Lệnh này sẽ xuất ra hai tệp (Khóa Client1 và Chứng chỉ Client1) trong thư mục easy-rsa / keys. Nếu bạn muốn tạo một khóa khác cho một ứng dụng khách khác, hãy lặp lại bước trước đó, nhưng hãy chắc chắn thay đổi Tên Chung.
Chứng chỉ cuối cùng mà chúng tôi sẽ tạo ra là khóa máy chủ. Trong cùng một dấu nhắc lệnh, gõ build-key-server máy chủ. Bạn có thể thay thế "máy chủ" ở cuối lệnh bằng bất kỳ thứ gì bạn muốn (ví dụ: HowToGeek-Server). Như mọi khi, hãy chắc chắn nhập tên giống với Tên chung khi được nhắc. Nhấn Enter và chạy qua tất cả các giá trị mặc định trừ Common Name. Cuối cùng, nhập “y” để ký chứng chỉ và cam kết. Lệnh này sẽ xuất ra hai tệp (một Khóa Máy chủ và Chứng chỉ Máy chủ) trong thư mục easy-rsa / keys.
Trong cùng một loại dấu nhắc lệnh build-dh. Lệnh này sẽ xuất ra một tệp (dh1024.pem) trong thư mục easy-rsa / keys.
Tạo các tệp cấu hình cho máy khách
Trước khi chúng tôi chỉnh sửa bất kỳ tệp cấu hình nào, chúng tôi nên thiết lập dịch vụ DNS động. Sử dụng dịch vụ này nếu ISP của bạn phát hành cho bạn địa chỉ IP bên ngoài động rất thường xuyên. Nếu bạn có địa chỉ IP bên ngoài tĩnh, hãy bỏ qua bước tiếp theo.
Chúng tôi khuyên bạn nên sử dụng DynDNS.com, một dịch vụ cho phép bạn trỏ tên máy chủ (ví dụ: howtogeek.dyndns.org) đến địa chỉ IP động. Điều quan trọng là OpenVPN luôn biết địa chỉ IP công khai của mạng của bạn và bằng cách sử dụng DynDNS, OpenVPN sẽ luôn biết cách định vị mạng của bạn bất kể địa chỉ IP công khai của bạn là gì. Đăng ký tên máy chủ miễn phí và trỏ đến địa chỉ IP công khai của bạn.
Bây giờ trở lại để cấu hình OpenVPN. Trong Windows Explorer, điều hướng đến C: Program Files (x86) OpenVPN mẫu-config nếu bạn đang chạy Windows 7 64 bit hoặc C: Program Files OpenVPN sample-config nếu bạn đang chạy Windows 7 32 bit.Trong thư mục này, bạn sẽ tìm thấy ba tệp cấu hình mẫu; chúng tôi chỉ quan tâm đến client.ovpn tập tin.
Nhấp chuột phải vào client.ovpn và mở nó bằng Notepad hoặc Notepad ++. Bạn sẽ thấy tệp của mình trông giống như hình dưới đây:
Tuy nhiên, chúng tôi muốn client.ovpn tệp trông giống như điều này bức tranh dưới đây. Hãy chắc chắn thay đổi tên máy chủ DynDNS thành tên máy chủ của bạn trong dòng 4 (hoặc thay đổi nó thành địa chỉ IP công cộng của bạn nếu bạn có địa chỉ tĩnh). Để lại số cổng đến 1194 vì nó là cổng OpenVPN chuẩn. Ngoài ra, hãy chắc chắn thay đổi dòng 11 và 12 để phản ánh tên của tệp chứng chỉ và tệp khóa của khách hàng của bạn. Lưu tệp này dưới dạng tệp.ovpn mới trong thư mục OpenVPN / config.
Cấu hình Daemon OpenVPN của DD-WRT
Ý tưởng cơ bản bây giờ là sao chép các chứng chỉ máy chủ và các khóa mà chúng ta đã thực hiện trước đó và dán chúng vào các menu Daemon của DD-WRT OpenVPN. Mở lại trình duyệt của bạn và điều hướng đến bộ định tuyến của bạn. Bây giờ bạn đã cài đặt phiên bản DD-WRT VPN trên bộ định tuyến của mình. Bạn sẽ nhận thấy một tab phụ mới trong tab Dịch vụ có tên là VPN. Nhấp vào nút Bật radio dưới OpenVPN Daemon.
Trước tiên, hãy chắc chắn thay đổi loại Bắt đầu thành "Wan Up" thay vì "System" mặc định. Bây giờ chúng ta sẽ cần các khóa và chứng chỉ máy chủ mà chúng tôi đã tạo trước đó. Trong Windows Explorer, điều hướng đến C: Program Files (x86) OpenVPN easy-rsa phím trên Windows 7 64 bit (hoặc C: Program Files OpenVPN easy-rsa keys trên Windows 7 32 bit). Mở từng tệp tương ứng bên dưới (ca.crt, server.crt, server.keyvà dh1024.pem) với Notepad hoặc Notepad ++ và sao chép nội dung. Dán nội dung vào các hộp tương ứng như bên dưới.
push “route 192.168.1.0 255.255.255.0” server 10.8.0.0 255.255.255.0
dev tun0 proto tcp keepalive 10 120 dh /tmp/openvpn/dh.pem ca /tmp/openvpn/ca.crt cert /tmp/openvpn/cert.pem key /tmp/openvpn/key.pem
# Only use crl-verify if you are using the revoke list – otherwise leave it commented out # crl-verify /tmp/openvpn/ca.crl
# management parameter allows DD-WRT’s OpenVPN Status web page to access the server’s management port # port must be 5001 for scripts embedded in firmware to work management localhost 5001
Bây giờ chúng ta phải cấu hình tường lửa để cho phép các máy khách kết nối với máy chủ OpenVPN của chúng tôi thông qua cổng 1194. Chuyển đến tab Quản trị và nhấp vào tab phụ Lệnh. Trong hộp văn bản Lệnh, hãy dán như sau:
iptables -I INPUT 1 -p udp –dport 1194 -j ACCEPT iptables -I FORWARD 1 –source 192.168.1.0/24 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Hãy chắc chắn thay đổi IP mạng LAN của bạn trong dòng thứ hai nếu nó khác với mặc định. Sau đó nhấp vào nút Lưu Tường lửa bên dưới.
Cuối cùng, hãy chắc chắn kiểm tra Cài đặt thời gian của bạn trong tab Thiết lập nếu không trình tiện ích OpenVPN sẽ từ chối tất cả các máy khách. Chúng tôi khuyên bạn nên truy cập TimeAndDate.com và tìm kiếm thành phố của mình trong Thời gian hiện tại. Trang web này sẽ cung cấp cho bạn tất cả thông tin bạn cần để điền vào trong Cài đặt thời gian giống như chúng tôi đã làm bên dưới. Ngoài ra, hãy xem trang web của NTP Pool Project để biết các máy chủ NTP công khai để sử dụng.
Thiết lập ứng dụng khách OpenVPN
Trong ví dụ này, chúng tôi sẽ sử dụng máy tính xách tay Windows 7 làm ứng dụng khách trên một mạng riêng biệt. Điều đầu tiên bạn cần làm là cài đặt OpenVPN trên máy khách như chúng tôi đã làm ở trên trong các bước đầu tiên trong Định cấu hình OpenVPN. Sau đó điều hướng đến C: Program Files OpenVPN config đó là nơi chúng tôi sẽ dán các tệp của mình.
Bây giờ chúng ta phải quay trở lại trên máy tính ban đầu của chúng tôi và thu thập tổng cộng bốn tệp để sao chép sang máy tính xách tay của khách hàng của chúng tôi. Hướng đến C: Program Files (x86) OpenVPN easy-rsa phím một lần nữa và sao chép ca.crt, client1.crtvà client1.key. Dán các tệp này vào ứng dụng của khách hàng cấu hình thư mục.
Cuối cùng, chúng tôi cần sao chép thêm một tệp nữa. Hướng đến C: Program Files (x86) OpenVPN config và sao chép tệp client.ovpn mới mà chúng tôi đã tạo trước đó. Dán tệp này vào ứng dụng của khách hàng cấu hình cũng có thư mục.
Kiểm tra ứng dụng OpenVPN
Trên máy tính xách tay của khách hàng, nhấp vào nút Start của Windows và điều hướng đến All Programs> OpenVPN. Nhấp chuột phải vào tệp GUI OpenVPN và nhấp vào Chạy với tư cách quản trị viên. Lưu ý rằng bạn phải luôn chạy OpenVPN làm quản trị viên để nó hoạt động bình thường. Để đặt vĩnh viễn tệp để luôn chạy với tư cách quản trị viên, hãy nhấp chuột phải vào tệp và nhấp vào Thuộc tính. Trong tab Tương thích, hãy chọn Chạy chương trình này với tư cách quản trị viên.
Biểu tượng GUI OpenVPN sẽ xuất hiện bên cạnh đồng hồ trên thanh tác vụ. Nhấp chuột phải vào biểu tượng và nhấp vào Kết nối. Vì chúng tôi chỉ có một tệp.ovpn trong cấu hình thư mục, OpenVPN sẽ kết nối với mạng đó theo mặc định.
