OpenVPN Client Setup na EdgeOS

Posted on
X

Soukromí & soubory Cookie

Tento web používá soubory cookie. Pokračováním souhlasíte s jejich použitím. Další informace, včetně toho, jak ovládat soubory cookie.

Mám to!

reklamy

pozadí

nejsem v žádném případě fanouškem sítě. Ve své it kariéře jsem udělal omezenou práci na konzoli Cisco, takže potápění do Edgeosu mi stále trvalo pár dní, než jsem si omotal hlavu. Jeho poněkud podobný Cisco IOS, takže pokud máte obeznámenost s tím, jen mějte na paměti zásady mezi IOS a EdgeOS jsou stejné kromě toho, že tam jsou různé příkazy dělat to, co chcete.

koupil jsem EdgeRouter X, a to především na základě nadšené recenze Steve Gibson dal na Bezpečnost Teď podcast: $70 CAD / $50 USD router, který měl většinu podnikové úrovni směrování schopnosti, které vidíte v drahé Juniper nebo Cisco zařízení, bez nákladů.

napsal jsem tuto procházku, protože mi trvalo dny, než jsem zjistil, co musíte udělat, abyste mohli EdgeRouter X používat pouze jako OpenVPN klient. Mnoho informací, na které jsem narazil, bylo také použít jako server OpenVPN. Také některé informace nebyly instrukčně (krok za krokem) kompletní, včetně vlastních podpůrných příspěvků Ubiquity, nebo byly příliš zapojeny kvůli osobním preferencím někoho (např. nastavení pouze konkrétních klientů pro použití VPN tunelu spíše než celé LAN).

tato procházka vás zavede od rozbalení EdgeRouter X k připojení klienta OpenVPN pro celou LAN, doufejme, že s relativní jednoduchostí. Píšu to za předpokladu, že máte základní znalosti o síťových a počítačových pojmech. Zpětná vazba o tom, jak tuto příručku vylepšit, je v komentářích vítána!

počáteční nastavení

EdgeRouter X není předkonfigurován se službami DHCP jako většina komerčních směrovačů. V důsledku toho budete muset udělat pár kroků, abyste se dostali do stavu „zakoupeného v obchodě“.

  1. staticky přiřaďte síťový adaptér počítače podsíti 192.168.1.0/24 a fyzicky se připojte k portu eth0.
  2. přejděte dohttps://192.168.1.1/ ve Vašem prohlížeči. Přihlásit se výchozí přihlašovací údaje:
    • uživatelské jméno: ubnt
    • heslo: ubnt
  3. Klikněte na Wizards kartu a jít přes WAN+2LAN2 nastavení.
    • tento průvodce nakonfiguruje eth0 jako váš WAN port a eth1, eth2, eth3 a eth4 jako LAN porty.
      • “ ale právě teď používám eth0, abych mluvil se směrovačem!“Já vím. Pokračujte jakýmkoli způsobem.
    • tento průvodce také konfiguruje služby DHCP pro vaši LAN.
      • poznámka: pro snadnou a jednoduchost celkové konfigurace (post OpenVPN Client setup) nastavte DNS servery v rámci DHCP na Google (8.8.8.8 / 8.8.4.4) nebo Level3 (4.2.2.2 / 4.2.2.3). Pokud tak učiníte, umožní vám používat stejné DHCP leasing a nastavení DNS v síti LAN pro připojení VPN i non-VPN.
  4. Po dokončení průvodce a restartování routeru přepněte fyzické síťové připojení z eth0 na eth1 a připojte připojení k internetu do eth0.
    • „Oh, vidím, co jsi udělal…“

Nyní, že základy jsou hotové a máme typickou „kupovaný“ router setup (1x WAN, 4x LAN) pro práci s, můžeme začít vytvářet naše OpenVPN připojení klienta.

nastavení klienta OpenVPN

tyto kroky jsou, jak jsem osobně dostal OpenVPN práci s Torguardem na jejich sdílených IP i statických IP službách. Tam by mohlo být lepší způsoby, jak to udělat, a já nemusí být běh efektivní trasy jako výsledek (pamatujte si, že nejsem sítě guru), ale po prosévání prostřednictvím on-line konzultace po dobu 3 dnů, mohu vás ujistit, že to bude mít vás a běží s minimem kroků, & příkazy.

jsou zahrnuty 4 základní kroky.

  • vytvořit / stáhnout / mít přístup k poskytovateli VPN *.soubor ovpn
  • přeneste *.soubor ovpn (a certifikáty, pokud je to nutné) do routeru
  • Vytvořte rozhraní na routeru směřující na *.soubor ovpn (a certs) pro jeho konfiguraci
  • Nastavte zdrojové pravidlo Nat maskující (směrování) veškerý provoz LAN do připojení VPN.

ukážu vám dva různé způsoby konfigurace věcí. Sekce používání certifikátů přejde na to, jak jsem nastavil přístup ke sdílené IP službě TorGuard, která zahrnovala odkaz na samostatné soubory certifikátů a klíčů v konfiguraci OpenVPN. Použití pouze *.sekce souborů ovpn se bude zabývat tím, Jak nastavím přístup ke statické IP službě TorGuard pomocí, hádáte to, jen*.soubor ovpn (který má zabudovaný certifikát a klíčové informace).

pomocí certifikátů

tyto kroky nastaví EdgeRouter X jako OpenVPN klienta s poskytovateli, kteří používají certifikát a klíčové soubory ve spojení s *.soubor ovpn.

1.) Stáhněte konfigurační soubory ze stránky pro stahování TorGuard (nebo od poskytovatele VPN). Použil jsem konfigurační soubory OpenVPN UDP.

  • rozbalte soubory a vyberte sdílenou IP stránku, ke které se chcete připojit. V mém případě to byl TorGuard.USA-SEATTLE.ovpn

2.) Vytvořte nový textový soubor s názvem pass.txt.

  • vložte uživatelské jméno pro vaši službu VPN na první řádek a heslo pro službu VPN na druhý řádek.
  • uložte soubor.

3.) Upravit*.ovpn soubor pomocí libovolného textového editoru a upravte následující:

  • na řádek říká, ‚ca‘, aby to: 
    • ca /config/auth/ca.crt
  • na řádek, který říká ‚tls-auth‘, aby to: 
    • tls-auth /config/auth/ta.key 1
  • na řádku, který říká, ‚auth-user-pass‘, aby to: 
    • auth-user-pass /config/auth/pass.txt
  • Uložit změny.
  • poznámka: v závislosti na poskytovateli služeb jsou řádky ca a remote-cert-tls v *.soubor opvn může být nutné ukázat na *.místo toho soubory pem. Potřebné úpravy si vyžádejte u svého poskytovatele služeb.

4.) Přeneste následující soubory na EdgeRouter X přes SSH. Můžete použít FileZilla, jak to udělat pomocí GUI, nebo můžete použít SCP, jak to udělat pomocí příkazového řádku, a to buď funguje.

  • *.soubor ovpn jde do /config /
  • *.crt / *.pem / *.klíčové soubory přejděte na/config/auth/
  • průchod.soubor txt také přejde do /config / auth /

5.) Otevřete SSH příkazového řádku (pomocí terminálu na MacOS, tmel na Okna, nebo pomocí CLI tlačítko v routeru se konfigurační stránka) a:

  • Přihlaste se do routeru:
  • vydat následující příkazy: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • jakmile se ZAVÁZAT, VPN TUNELU BUDOU ZAHÁJENY.
    • buďte připraveni být offline, pokud to půjde správně! Krok 6 se dostanete zpět do režimu online (přes VPN)
  • nyní můžete jít do routeru webové konzoly stránky a uvidíte, že nový vtun0 rozhraní byla přidána do Panelu. Zde můžete povolit / zakázat rozhraní pro zapnutí / vypnutí připojení VPN.
    • rozhraní bude vždy říkat připojeno, i když je rozhraní zakázáno. To je v pořádku, protože maškarády v kroku 6 určí, kam jde váš provoz LAN.
  • poznámka 1: nameyourconnection odkazuje na název .soubor ovpn, který jste přenesli do adresáře/ config / v kroku 4.
  • Poznámka 2: pokud existuje způsob, jak to udělat pomocí konfiguračního stromu EdgeRouter X, dejte mi prosím vědět a přidám jej do průvodce, protože toto je jediná část procesu, kterou jsem zjistil, že vyžaduje příkazový řádek.

6.) Přidat LAN masquarade bodu LAN provoz na nové vtun0 rozhraní,

  • V routeru admin stránky (https://192.168.1.1), klikněte na Firewall/NAT, pak klikněte na NAT tab.
  • Klepněte na Přidat Zdroj NAT Pravidlo tlačítko
    • Popis – ‚maškarní pro vtun0‘
    • Odchozí Rozhraní – vyberte ‚vtun0‘
    • Překlad – vyberte ‚Masquerade‘
    • Protokol – vyberte Všechny protokoly‘
    • Klepněte na tlačítko Uložit
  • Přetáhněte nové vtun0 řádek výše WAN linky, pak klepněte na tlačítko ‚Uložit Pravidlo, Aby‘
    • tím je zajištěno, že LAN směrování VPN, je zpracován dříve, než, že WAN. Když je tunel VPN aktivní, použije se maškaráda vtun0. Když je tunel vypnutý, použije se maškaráda WAN.

Pokud se něco pokazí, můžete zkontrolovat Logy, aby zjistil, jestli tam byly nějaké problémy, kterým OpenVPN připojení.

  • V routeru admin stránky (https://192.168.1.1), klepněte na Toolbox, Log Monitor
  • zjistit, zda existují nějaké zprávy, které říkají:
    • „Zahájení sekvence dokončena“ – což ukazuje, že spojení bylo úspěšné, nebo
    • „xxxxx.xxx soubor nebyl nalezen – – což znamená, že existuje překlep / nesoulad mezi *.soubor ovpn a soubory na routeru. Zkontrolujte & opravte své cesty & názvy souborů.
pouze pomocí*.soubor ovpn

TorGuard má tuto šikovnou funkci, kde vytvoří *.ovpn Soubor pro připojení dle vašeho výběru a zahrnout cert informace v souboru. Díky tomu je nastavení připojení ještě snazší, jako jediné nastavení, které musíte provést na *.ovpn soubor je poukázat na‘ auth-user-pass ‚ řádek do průsmyku.txt soubor v /config / auth.

zde je nastavení krok za krokem.

1.) Stáhněte si *.ovpn konfigurační soubor a zajistit (pomocí textového editoru), že má svého poskytovatele a informace v něm.

2.) Vytvořte nový textový soubor s názvem pass.txt.

  • vložte uživatelské jméno pro vaši službu VPN na první řádek a heslo pro službu VPN na druhý řádek.
  • uložte soubor.

3.) Upravit*.ovpn soubor pomocí libovolného textového editoru a upravte následující:

  • na řádku, který říká, ‚auth-user-pass‘, aby to: 
    • auth-user-pass /config/auth/pass.txt
  • Uložit změny.

4.) Přeneste následující soubory na EdgeRouter X přes SSH. Můžete použít FileZilla, jak to udělat pomocí GUI, nebo můžete použít SCP, jak to udělat pomocí příkazového řádku, a to buď funguje.

  • *.soubor ovpn přejde na/config/
  • průchod.soubor txt také přejde do /config / auth /

5.) Otevřete SSH příkazového řádku (pomocí terminálu na MacOS, tmel na Okna, nebo pomocí CLI tlačítko v routeru se konfigurační stránka) a:

  • Přihlaste se do routeru:
  • vydat následující příkazy: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • jakmile se ZAVÁZAT, VPN TUNELU BUDOU ZAHÁJENY.
    • buďte připraveni být offline, pokud to půjde správně! Krok 6 se dostanete zpět do režimu online (přes VPN)

6.) Přidat LAN masquarade bodu LAN provoz na nové vtun0 rozhraní,

  • V routeru admin stránky (https://192.168.1.1), klikněte na Firewall/NAT, pak klikněte na NAT tab.
  • Klepněte na Přidat Zdroj NAT Pravidlo tlačítko
    • Popis – ‚maškarní pro vtun0‘
    • Odchozí Rozhraní – vyberte ‚vtun0‘
    • Překlad – vyberte ‚Masquerade‘
    • Protokol – vyberte Všechny protokoly‘
    • Klepněte na tlačítko Uložit
  • Přetáhněte nové vtun0 řádek výše WAN linky, pak klepněte na tlačítko ‚Uložit Pravidlo, Aby‘

Super jednoduché.

přál bych si, abych věděl o singlu *.možnost ovpn, než jsem začal, protože můj vtun0 je nastaven pomocí certifikátů (pro sdílenou IP VPN), ale můj vtun1 je nastaven pomocí jediného konfiguračního souboru (pro statickou IP VPN).

co bude dál v mém konfiguračním seznamu?

ve skutečnosti nepotřebuji sdílenou IP VPN (vtun0) na routeru, potřebuji to jen na svém počítači a TorGuard má pro to klienta Mac. To, co budu pravděpodobně chtít jako trvalé nastavení, je Apple TV pomocí statické IP VPN (vtun1). Další konfigurace úkolem bude:

  • nastavení DHCP statické přiřazení pro Apple TV (snadné dělat v UI)
  • nastavení klienta-skupinu, že Apple TV bude od sebe
  • přiřadit že klient-skupina vtun1 připojení.

po dokončení budu moci mít všechna zařízení, která používají WAN, s výjimkou Apple TV, která bude vždy používat vtun1. Tímto způsobem nebudu muset spustit a vypnout vtun1 na routeru, abych použil statickou IP VPN s Apple TV.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.