Confidentialité&Cookies
Ce site utilise des cookies. En continuant, vous acceptez leur utilisation. En savoir plus, y compris comment contrôler les cookies.
Contexte
Je ne suis en aucun cas un amateur de réseau. J’ai effectué un travail limité sur les consoles Cisco au cours de ma carrière informatique, alors plonger dans EdgeOS m’a quand même pris quelques jours pour me faire une idée. C’est un peu similaire à Cisco IOS, donc si vous êtes familier avec cela, gardez à l’esprit que les principes entre IOS et EdgeOS sont les mêmes, sauf qu’il existe différentes commandes pour faire ce que vous voulez.
J’ai acheté le EdgeRouter X principalement basé sur les critiques élogieuses que Steve Gibson a données sur le podcast Security Now: un routeur à 70 CAD CAD / 50 USD USD qui possédait la majorité des capacités de routage au niveau de l’entreprise que vous voyez dans les équipements coûteux Juniper ou Cisco, sans le coût.
J’ai écrit cette promenade car il m’a fallu des jours pour comprendre ce que vous DEVEZ faire pour utiliser EdgeRouter X en tant que client OpenVPN uniquement. Une grande partie des informations que j’ai trouvées étaient également de l’utiliser comme serveur OpenVPN. De plus, certaines informations n’étaient pas complètes d’un point de vue pédagogique (étape par étape), y compris les propres messages de soutien d’Ubiquity, ou étaient trop impliquées en raison des préférences personnelles de quelqu’un (ex. configuration de clients spécifiques pour utiliser le tunnel VPN plutôt que l’ensemble du réseau local).
Cette promenade vous mènera du déballage du EdgeRouter X à la connectivité client OpenVPN pour l’ensemble du réseau local, espérons-le avec une relative simplicité. J’écris ceci en supposant que vous avez une compréhension de base des termes de réseau et d’ordinateur. Les commentaires sur la façon d’améliorer ce guide sont les bienvenus dans les commentaires!
Configuration initiale
Le EdgeRouter X n’est PAS préconfiguré avec des services DHCP comme le font la plupart des routeurs commerciaux. En conséquence, vous devrez faire quelques étapes pour le mettre dans un état « acheté en magasin ».
- Assignez statiquement la carte réseau de votre ordinateur au sous-réseau 192.168.1.0/24 et connectez-vous physiquement au port eth0.
- Rendez-vous sur https://192.168.1.1/ dans votre navigateur. Connectez-vous avec les informations d’identification par défaut :
- nom d’utilisateur: ubnt
- mot de passe: ubnt
- Cliquez sur l’onglet Assistants et passez par la configuration WAN +2LAN2.
- Cet assistant configurera eth0 comme port WAN et eth1, eth2, eth3 et eth4 comme ports LAN.
- « Mais j’utilise eth0 en ce moment pour parler au routeur! »Je sais. Continuez n’importe comment.
- Cet assistant configure également les services DHCP pour votre réseau local.
- Remarque : pour faciliter et simplifier la configuration globale (après la configuration du client OpenVPN), définissez vos serveurs DNS dans la portée DHCP sur Google (8.8.8.8/ 8.8.4.4) ou Level3 (4.2.2.2/4.2.2.3). Cela vous permettra d’utiliser les mêmes baux DHCP et les mêmes paramètres DNS sur votre réseau local pour les connexions VPN et non VPN.
- Cet assistant configurera eth0 comme port WAN et eth1, eth2, eth3 et eth4 comme ports LAN.
- Une fois l’assistant terminé et le redémarrage du routeur, basculez votre connexion réseau physique de eth0 à eth1 et branchez votre connexion Internet à eth0.
- « Oh, je vois ce que vous avez fait là-bas… »
Maintenant que les bases sont terminées et que nous avons une configuration de routeur typique « achetée en magasin » (1x WAN, 4x LAN) avec laquelle travailler, nous pouvons commencer à créer notre connexion client OpenVPN.
Configuration du client OpenVPN
Ces étapes sont la façon dont j’ai personnellement fait travailler OpenVPN avec TorGuard sur leurs services IP partagés et IP statiques. Il pourrait y avoir de meilleures façons de le faire, et je n’exécute peut-être pas de routes efficaces en conséquence (rappelez-vous, je ne suis pas un gourou du réseau), mais après avoir passé au crible les tutoriels en ligne pendant 3 jours, je peux vous assurer que cela vous permettra de fonctionner avec le moins d’étapes & commandes.
Il y a 4 étapes de base impliquées.
- Créez / téléchargez /accédez à votre fournisseur VPN*.fichier ovpn
- Transférez le *.fichier ovpn (et certificats, si nécessaire) au routeur
- Créez une interface sur le routeur pointant vers le *.fichier ovpn (et certificats) pour sa configuration
- Définissez une règle NAT source masquant (routage) tout votre trafic LAN vers la connexion VPN.
Je vais vous montrer deux façons différentes de configurer les choses. La section Utilisation des certificats expliquera comment j’ai configuré l’accès au service IP partagé de TorGuard, ce qui impliquait de séparer les fichiers de certificat et de clé dans la configuration OpenVPN. L’utilisation de SEULEMENT le *.la section des fichiers ovpn expliquera comment j’ai configuré l’accès au service IP statique de TorGuard en utilisant, vous le devinez, juste le *.fichier ovpn (qui contient le certificat et les informations clés).
Utilisation des certificats
Ces étapes configurent le EdgeRouter X en tant que client OpenVPN avec des fournisseurs qui utilisent un certificat et des fichiers clés en conjonction avec le *.fichier ovpn.
1.) Téléchargez les fichiers de configuration depuis la page de téléchargement de TorGuard (ou depuis votre fournisseur VPN). J’ai utilisé les fichiers de configuration UDP OpenVPN.
- Décompressez les fichiers et choisissez le site IP partagé auquel vous souhaitez vous connecter. Dans mon cas, c’était TorGuard.États-UNIS – SEATTLE.ovpn
2.) Créez un nouveau fichier texte appelé pass.txt.
- Mettez le nom d’utilisateur de votre service VPN sur la première ligne et le mot de passe du service VPN sur la deuxième ligne.
- Enregistrez le fichier.
3.) Modifiez le *.fichier ovpn avec n’importe quel éditeur de texte et ajustez ce qui suit:
- sur la ligne qui dit ‘ca’, faites-le:
-
ca /config/auth/ca.crt
-
- sur la ligne qui dit ‘tls-auth’, faites-le:
-
tls-auth /config/auth/ta.key 1
-
- sur la ligne qui dit ‘auth-user-pass’, faites-le :
-
auth-user-pass /config/auth/pass.txt
-
- Enregistrez les modifications.
- Note: selon votre fournisseur de services, les lignes ca et remote-cert-tls dans le *.le fichier opvn peut avoir besoin de pointer vers *.fichiers pem à la place. Vérifiez auprès de votre fournisseur de services les ajustements nécessaires.
4.) Transférez les fichiers suivants vers EdgeRouter X via SSH. Vous pouvez utiliser FileZilla pour le faire à l’aide d’une interface graphique, ou vous pouvez utiliser SCP pour le faire via la ligne de commande, soit fonctionne.
- le *.le fichier ovpn va dans /config/
- le *.CRT / *.pem/*.les fichiers clés vont dans /config/auth/
- la passe.le fichier txt va également dans /config/auth/
5.) Ouvrez une ligne de commande SSH (en utilisant terminal sous macOS, putty sous Windows ou en utilisant le bouton CLI dans la page de configuration du routeur) et :
- Connectez-vous au routeur :
- émettez les commandes suivantes :
-
# configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
-
- DÈS QUE VOUS VALIDEZ, LE TUNNEL VPN SERA LANCÉ.
- Soyez prêt à être hors ligne si les choses vont bien! L’étape 6 vous remettra en ligne (via le VPN)
- Vous pouvez maintenant accéder à la page de la console Web du routeur et voir qu’une nouvelle interface vtun0 a été ajoutée au tableau de bord. C’est là que vous pouvez Activer / Désactiver l’interface pour activer / désactiver la connexion VPN.
- L’interface dira toujours Connecté même lorsque l’interface est désactivée. C’est ok, car les mascarades de l’étape 6 détermineront où va votre trafic LAN.
- Note 1: nameyourconnection fait référence au nom de la.fichier ovpn que vous avez transféré dans le répertoire /config/ à l’étape 4.
- Remarque 2: s’il existe un moyen de le faire via l’arborescence de configuration de EdgeRouter X, faites-le moi savoir et je l’ajouterai au guide, car c’est la seule partie du processus que j’ai trouvée qui NÉCESSITE une ligne de commande.
6.) Ajoutez une masquarade LAN pour diriger votre trafic LAN vers la nouvelle interface vtun0
- Dans la page d’administration du routeur (https://192.168.1.1), cliquez sur Firewall/NAT, puis cliquez sur l’onglet NAT.
- Cliquez sur le bouton Ajouter une règle NAT Source
- Description – ‘mascarade pour vtun0’
- Interface sortante – sélectionnez ‘vtun0’
- Traduction – sélectionnez ‘Utiliser la Mascarade’
- Protocole – sélectionnez ‘Tous les protocoles’
- Cliquez sur Enregistrer
- Faites glisser la nouvelle ligne vtun0 au-dessus de la ligne WAN, puis cliquez sur ‘Enregistrer l’ordre des règles’
- ul>
- Cela garantit que le routage LAN vers le VPN est traité avant ce WAN. Lorsque le tunnel VPN est actif, la mascarade vtun0 est utilisée. Lorsque le tunnel est désactivé, la mascarade WAN est utilisée.
Si quelque chose ne va pas, vous pouvez vérifier les journaux pour voir s’il y a eu des problèmes pour établir la connexion OpenVPN.
- Dans la page d’administration du routeur (https://192.168.1.1), cliquez sur Toolbox, le moniteur de journal
- Voit s’il y a des messages qui disent:
- « Séquence d’initiation terminée » – ce qui indique que la connexion a réussi, ou
- « xxxxx.fichier xxx introuvable » – ce qui signifie qu’il y a une faute de frappe / incompatibilité entre le *.fichier ovpn et les fichiers sur le routeur. Vérifiez &corrigez vos chemins & noms de fichiers.
En utilisant UNIQUEMENT le *.le fichier ovpn
TorGuard a cette fonctionnalité astucieuse où ils créeront un *.fichier ovpn pour la connexion de votre choix et incluez les informations de certificat dans le fichier. Cela rend la configuration de la connexion encore plus facile, car le seul réglage que vous devez effectuer sur le *.le fichier ovpn consiste à pointer la ligne ‘auth-user-pass’ vers votre passe.fichier txt dans /config/auth.
Voici la configuration étape par étape.
1.) Téléchargez le *.fichier de configuration ovpn et assurez-vous (à l’aide d’un éditeur de texte) qu’il contient les informations et les informations de votre fournisseur.
2.) Créez un nouveau fichier texte appelé pass.txt.
- Mettez le nom d’utilisateur de votre service VPN sur la première ligne et le mot de passe du service VPN sur la deuxième ligne.
- Enregistrez le fichier.
3.) Modifiez le *.fichier ovpn avec n’importe quel éditeur de texte et ajustez ce qui suit:
- sur la ligne qui dit ‘auth-user-pass’, faites-le:
-
auth-user-pass /config/auth/pass.txt
-
- Enregistrez les modifications.
4.) Transférez les fichiers suivants vers EdgeRouter X via SSH. Vous pouvez utiliser FileZilla pour le faire à l’aide d’une interface graphique, ou vous pouvez utiliser SCP pour le faire via la ligne de commande, soit fonctionne.
- le *.le fichier ovpn va à /config/
- la passe.le fichier txt va également dans /config/auth/
5.) Ouvrez une ligne de commande SSH (en utilisant terminal sous macOS, putty sous Windows ou en utilisant le bouton CLI dans la page de configuration du routeur) et :
- Connectez-vous au routeur :
- émettez les commandes suivantes :
-
# configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
-
- DÈS QUE VOUS VALIDEZ, LE TUNNEL VPN SERA LANCÉ.
- Soyez prêt à être hors ligne si les choses vont bien! L’étape 6 vous remettra en ligne (via le VPN)
6.) Ajoutez une masquarade LAN pour diriger votre trafic LAN vers la nouvelle interface vtun0
- Dans la page d’administration du routeur (https://192.168.1.1), cliquez sur Firewall/NAT, puis cliquez sur l’onglet NAT.
- Cliquez sur le bouton Ajouter une règle NAT Source
- Description – ‘mascarade pour vtun0’
- Interface sortante – sélectionnez ‘vtun0’
- Traduction – sélectionnez ‘Utiliser la Mascarade’
- Protocole – sélectionnez ‘Tous les protocoles’
- Cliquez sur Enregistrer
- Faites glisser la nouvelle ligne vtun0 au-dessus de la ligne WAN, puis cliquez sur ‘Enregistrer l’ordre des règles’
- /li>
Super simple.
J’aurais aimé connaître le single*.option ovpn avant de commencer, car mon vtun0 est configuré à l’aide de certificats (pour un VPN IP partagé), mais mon vtun1 est configuré à l’aide d’un seul fichier de configuration (pour un VPN IP statique).
Quelle est la prochaine étape de ma liste de configuration ?
Eh bien, en réalité, je n’ai pas besoin de VPN IP partagé (vtun0) sur le routeur, j’en ai juste besoin sur mon ordinateur, et TorGuard a un client Mac pour cela. Ce que je voudrai probablement en tant que configuration permanente, c’est que l’Apple TV utilise le VPN IP statique (vtun1). Le prochain objectif de configuration sera de :
- configurer une affectation statique DHCP pour l’Apple TV (facile à faire dans l’interface utilisateur)
- configurer un groupe de clients dont l’Apple TV sera séparée
- affecter ce groupe de clients à la connexion vtun1.
Une fois terminé, je pourrai que tous les appareils utilisent le WAN, à l’exception de l’Apple TV qui utilisera toujours vtun1. De cette façon, je n’aurai pas à démarrer et arrêter vtun1 sur le routeur pour utiliser le VPN IP statique avec l’Apple TV.