OpenVPN Client Setup on EdgeOS

Posted on

Privacy &Cookies

denne side bruger cookies. Ved at fortsætte accepterer du deres brug. Lær mere, herunder hvordan du styrer cookies.

fik det!

annoncer

baggrund

Jeg er på ingen måde et netværk aficionado. Jeg har lavet begrænset Cisco-konsolarbejde i min IT-karriere, så dykning i EdgeOS tog mig stadig et par dage at pakke mit hoved rundt. Det ligner noget Cisco IOS, så hvis du har kendskab til det, skal du bare huske, at principperne mellem IOS og EdgeOS er de samme, bortset fra at der er forskellige kommandoer til at gøre, hvad du vil.baseret på de rave anmeldelser Steve Gibson gav på sikkerhed nu podcast: en $70 CAD / $ 50 USD router, der havde et flertal af de enterprise level routing kapaciteter, som du ser i dyre Juniper eller Cisco gear, uden omkostninger.

Jeg skrev denne tur igennem, fordi det tog mig dage at finde ud af, hvad du skal gøre for at bruge EdgeRouter som kun en OpenVPN-klient. Meget af den information, jeg stødte på, var også at bruge den som en OpenVPN-server. Nogle af oplysningerne var heller ikke instruktionsmæssigt (trin for trin) komplette, inklusive allestedsnærværende egne supportposter, eller var for involveret årsag til nogens personlige præference (f.eks. opsætning af kun specifikke klienter til at bruge VPN-tunnelen snarere end hele LAN).

denne tur tager dig fra at fjerne boksen til OpenVPN-klientforbindelsen til hele LAN, forhåbentlig med relativ enkelhed. Jeg skriver dette forudsat du har grundlæggende forståelse af netværk og computer Vilkår. Feedback om, hvordan man gør denne vejledning bedre, er velkommen i kommentarerne!

Initial Setup

EdgeRouter kommer ikke forudkonfigureret med DHCP-tjenester som de fleste kommercielle routere gør. Som følge heraf skal du gøre et par trin for at få det til en “butikskøbt” tilstand.

  1. Tildel statisk din computers netværksadapter til undernettet 192.168.1.0 / 24 og opret fysisk forbindelse til eth0-porten.
  2. gå over tilhttps://192.168.1.1/ i din bro.ser. Log ind med standardoplysninger:
    • brugernavn: ubnt
    • adgangskode: ubnt
  3. Klik på fanen guider og gå gennem opsætningen van+2lan2.
    • denne guide konfigurerer eth0 til at være din van-port og eth1, eth2, eth3 og eth4 som LAN-porte.
      • ” men jeg bruger eth0 lige nu til at tale med routeren!”Jeg ved det. Fortsæt på nogen måde.
    • denne guide konfigurerer også DHCP-tjenester til dit LAN.
      • Bemærk: For at lette og lette den samlede konfiguration (opsætning af OpenVPN-klient) skal du indstille dine DNS-servere inden for DHCP-omfanget til Google (8.8.8.8 / 8.8.4.4) eller Level3 (4.2.2.2 / 4.2.2.3). Hvis du gør det, kan du bruge de samme DHCP-lejemål og DNS-indstillinger på dit LAN til både VPN-og ikke-VPN-forbindelser.
  4. når guiden er færdig, og routeren genstarter, skal du skifte din fysiske netværksforbindelse fra eth0 til eth1 og tilslutte din internetforbindelse til eth0.
    • “Åh, jeg kan se, hvad du gjorde der…”

nu hvor det grundlæggende er gjort, og vi har en typisk “butikskøbt” routeropsætning (1 gang, 4 gange LAN) at arbejde med, kan vi begynde at oprette vores OpenVPN-klientforbindelse.

OpenVPN Client Setup

disse trin er, hvordan jeg personligt fik OpenVPN til at arbejde med TorGuard på både deres delte IP-og statiske IP-tjenester. Der kan være bedre måder at gøre dette på, og jeg kører muligvis ikke effektive ruter som et resultat (husk, jeg er ikke en netværksguru), men efter at have sigtet gennem online tutorials i 3 dage, kan jeg forsikre dig om, at dette får dig i gang med det mindste antal trin & kommandoer.

der er 4 grundlæggende trin involveret.

  • Opret / Hent / få adgang til din VPN-udbyders *.ovpn-fil
  • Overfør *.ovpn-fil (og certifikater, hvis det kræves) til routeren
  • Opret en grænseflade på routeren, der peger på *.ovpn-fil (og certs) til dens konfiguration
  • Indstil en kilde NAT-regel, der maskerer (routing) al din LAN-trafik til VPN-forbindelsen.

Jeg vil vise dig to forskellige måder at konfigurere ting på. Afsnittet Brug af Certs vil gennemgå, hvordan jeg konfigurerer adgang til Torguards delte IP-tjeneste, som involverede peger på separate certifikat-og nøglefiler i OpenVPN-konfigurationen. Den bruger bare *.ovpn-Filsektionen vil gå over, hvordan jeg opretter adgang til Torguards statiske IP-tjeneste ved hjælp af, du gætter det, bare *.ovpn-fil (som har certifikatet og nøgleoplysninger indbygget i det).

brug af Certs

disse trin opsætter EdgeRouter som en OpenVPN-klient med udbydere, der bruger et certifikat og nøglefiler i forbindelse med *.ovpn-fil.

1.) Hent konfigurationsfilerne fra Torguards overførselsside (eller fra din VPN-udbyder). Jeg brugte OpenVPN UDP config filer.

  • Pak filerne ud, og vælg det delte IP-sted, du vil oprette forbindelse til. I mit tilfælde var det TorGuard.USA-SEATTLE.ovpn

2.) Opret en ny tekstfil kaldet pass.TST.

  • sæt brugernavnet til din VPN-tjeneste på den første linje og adgangskoden til VPN-tjenesten på den anden linje.
  • Gem filen.

3.) Rediger *.ovpn-fil med enhver teksteditor og juster følgende:

  • på linjen siger ‘ca’, gør det: 
    • ca /config/auth/ca.crt
  • på linjen, der siger ‘tls-auth’, gør det: 
    • tls-auth /config/auth/ta.key 1
  • på linjen, der siger ‘auth-user-pass’, gør det: 
    • auth-user-pass /config/auth/pass.txt
  • gem ændringerne.
  • Bemærk: afhængigt af din tjenesteudbyder CA og remote-cert-tls linjer i *.opvn-filen skal muligvis pege på *.PEM-filer i stedet. Kontakt din tjenesteudbyder for de nødvendige justeringer.

4.) Overfør følgende filer til EdgeRouter via SSH. Du kan bruge Filesilla til at gøre det ved hjælp af en GUI, eller du kan bruge SCP til at gøre det via kommandolinje, enten fungerer.

  • den *.ovpn fil går til / config /
  • den *.CRT / *.pem/*.nøglefiler gå til/config/auth/
  • passet.denne fil går også til / config / auth/

5.) Åbn en SSH-kommandolinje (ved hjælp af terminal på MacOS, putty på vinduer eller ved hjælp af CLI-knappen på routerens konfigurationsside) og:

  • Log ind på routeren:
  • udsted følgende kommandoer: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • så snart du forpligter dig, vil VPN-tunnelen blive startet.
    • vær forberedt på at være offline, hvis tingene går rigtigt! Trin 6 vil få dig tilbage online(via VPN)
  • du kan nu gå til routerens hjemmeside konsol side og se, at en ny vtun0 interface er blevet tilføjet til instrumentbrættet. Det er her, du kan aktivere / deaktivere grænsefladen for at tænde/slukke for VPN-forbindelsen.
    • grænsefladen vil altid sige tilsluttet, selv når grænsefladen er deaktiveret. Det er ok, da maskeraderne i Trin 6 bestemmer, hvor din LAN-trafik går.
  • Note 1: nameyourconnection henviser til navnet på .ovpn-fil, som du overførte til mappen / config / i Trin 4.
  • Note 2: Hvis der er en måde at gøre dette via Edgerouter-Konfigurationstræet, så lad mig det vide, og jeg tilføjer det til guiden, da dette er den eneste del af processen, som jeg fandt, der kræver kommandolinje.

6.) Tilføj en LAN-maskvarade for at pege din LAN-trafik til den nye vtun0-grænseflade

  • på routerens admin-hjemmeside (https://192.168.1.1), klik på Brandvæg/NAT, og klik derefter på nat-fanen.
  • Klik på knappen Tilføj kilde NAT – regel
    • beskrivelse – ‘maskerade til vtun0’
    • udgående grænseflade – Vælg ‘vtun0’
    • oversættelse – vælg ‘Brug maskerade’
    • protokol-Vælg ‘alle protokoller’
    • Klik på Gem
  • træk den nye vtun0-linje over linjen, og klik derefter på ‘Gem regelordre’
    • dette sikrer, at LAN-routingen til VPN ‘ en behandles, før den vil. Når VPN-tunnelen er aktiv, bruges vtun0-maskeraden. Når tunnelen er deaktiveret, bruges Vang-maskeraden.

Hvis noget går galt, kan du kontrollere logfilerne for at se, om der var problemer med at etablere OpenVPN-forbindelsen.

  • på routerens admin – hjemmeside (https://192.168.1.1) skal du klikke på værktøjskassen, Logmonitoren
  • se om der er nogen meddelelser, der siger:
    • “Initieringssekvens afsluttet” – hvilket indikerer, at forbindelsen var vellykket, eller
    • “.fil ikke fundet ” – hvilket betyder, at der er en skrivefejl / mismatch mellem *.ovpn-fil og filerne på routeren. Check & ret dine stier & filnavne.
Brug kun *.ovpn-fil

TorGuard har denne smarte funktion, hvor de opretter en *.ovpn-fil til den forbindelse, du vælger, og inkluder cert-info i filen. Dette gør opsætningen af forbindelsen endnu nemmere, som den eneste justering, du skal foretage til *.ovpn-filen er at pege linjen ‘auth-user-pass’ til dit pas.tekstfil i / config / auth.

Her er opsætningen trin for trin.

1.) Hent *.ovpn config fil og sikre (ved hjælp af en teksteditor) det har din udbyder og info i det.

2.) Opret en ny tekstfil kaldet pass.TST.

  • sæt brugernavnet til din VPN-tjeneste på den første linje og adgangskoden til VPN-tjenesten på den anden linje.
  • Gem filen.

3.) Rediger *.ovpn-fil med enhver teksteditor og juster følgende:

  • på linjen, der siger ‘auth-user-pass’, gør det: 
    • auth-user-pass /config/auth/pass.txt
  • gem ændringerne.

4.) Overfør følgende filer til EdgeRouter via SSH. Du kan bruge Filesilla til at gøre det ved hjælp af en GUI, eller du kan bruge SCP til at gøre det via kommandolinje, enten fungerer.

  • den *.ovpn fil går til / config /
  • passet.denne fil går også til / config / auth/

5.) Åbn en SSH-kommandolinje (ved hjælp af terminal på MacOS, putty på vinduer eller ved hjælp af CLI-knappen på routerens konfigurationsside) og:

  • Log ind på routeren:
  • udsted følgende kommandoer: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • så snart du forpligter dig, vil VPN-tunnelen blive startet.
    • vær forberedt på at være offline, hvis tingene går rigtigt! Trin 6 vil få dig tilbage online (via VPN)

6.) Tilføj en LAN-maskvarade for at pege din LAN-trafik til den nye vtun0-grænseflade

  • på routerens admin-hjemmeside (https://192.168.1.1), klik på Brandvæg/NAT, og klik derefter på nat-fanen.
  • Klik på knappen Tilføj kilde NAT – regel
    • beskrivelse – ‘maskerade til vtun0’
    • udgående grænseflade – Vælg ‘vtun0’
    • oversættelse – vælg ‘Brug maskerade’
    • protokol-Vælg ‘alle protokoller’
    • Klik på Gem
  • træk den nye vtun0-linje over linjen, og klik derefter på ‘Gem regelordre’

super enkel.

Jeg ville ønske, at jeg havde kendt til singlen *.ovpn mulighed før jeg startede, da min vtun0 er konfigureret ved hjælp af certs (til delt IP VPN), men min vtun1 er konfigureret ved hjælp af en enkelt konfigurationsfil (til Statisk IP VPN).

Hvad er det næste på min konfigurationsliste?

Nå, i virkeligheden har jeg ikke brug for delt IP VPN (vtun0) på routeren, jeg har bare brug for det på min computer, og TorGuard har en Mac-klient til det. Hvad jeg sandsynligvis vil have som en permanent opsætning, er Apple TV til at bruge den statiske IP VPN (vtun1). Det næste konfigurationsmål er at:

  • Opsæt en DHCP statisk tildeling til Apple TV (let at gøre i brugergrænsefladen)
  • Opsæt en klientgruppe, som Apple TV vil være adskilt fra
  • Tildel denne klientgruppe til vtun1-forbindelsen.

Når jeg er færdig, vil jeg være i stand til at få alle enheder til at bruge VTUN1, bortset fra Apple TV, som altid vil bruge vtun1. På den måde behøver jeg ikke at starte og lukke vtun1 på routeren for at bruge den statiske IP VPN med Apple TV.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.