OpenVPN Client Setup auf EdgeOS

Posted on
X

Datenschutz & Cookies

Diese Seite verwendet Cookies. Indem Sie fortfahren, stimmen Sie deren Verwendung zu. Erfahren Sie mehr, einschließlich der Kontrolle von Cookies.

Verstanden!

Werbung

Hintergrund

Ich bin keineswegs ein Netzwerk-Fan. Ich habe in meiner IT-Karriere nur begrenzte Cisco-Konsolenarbeit geleistet, daher dauerte es noch ein paar Tage, bis ich mich mit EdgeOS beschäftigt hatte. Wenn Sie also damit vertraut sind, denken Sie daran, dass die Prinzipien zwischen IOS und EdgeOS dieselben sind, außer dass es verschiedene Befehle gibt, um das zu tun, was Sie möchten.Ich kaufte den EdgeRouter X hauptsächlich aufgrund der begeisterten Kritiken, die Steve Gibson im Security Now Podcast gab: ein $ 70 CAD / $ 50 USD Router, der einen Großteil der Routing-Funktionen auf Unternehmensebene hatte, die Sie in teuren Juniper- oder Cisco-Geräten sehen, ohne die Kosten.

Ich habe diese Anleitung geschrieben, weil ich Tage gebraucht habe, um herauszufinden, was Sie tun müssen, um den EdgeRouter X nur als OpenVPN-Client zu verwenden. Viele der Informationen, auf die ich stieß, waren, es auch als OpenVPN-Server zu verwenden. Außerdem waren einige der Informationen nicht instruktiv (Schritt für Schritt) vollständig, einschließlich der eigenen Support-Posts von Ubiquity, oder waren aufgrund der persönlichen Vorlieben einer Person (z. einrichten nur bestimmter Clients zur Verwendung des VPN-Tunnels und nicht des gesamten LAN).

Dieser Rundgang führt Sie vom Auspacken des EdgeRouter X zur OpenVPN-Client-Konnektivität für das gesamte LAN, hoffentlich mit relativer Einfachheit. Ich schreibe dies unter der Annahme, dass Sie grundlegende Kenntnisse der Netzwerk- und Computerbegriffe haben. Feedback zur Verbesserung dieses Handbuchs ist in den Kommentaren willkommen!

Ersteinrichtung

Der EdgeRouter X ist NICHT wie die meisten handelsüblichen Router mit DHCP-Diensten vorkonfiguriert. Infolgedessen müssen Sie einige Schritte ausführen, um es in einen „im Laden gekauften“ Zustand zu bringen.

  1. Weisen Sie den Netzwerkadapter Ihres Computers statisch dem Subnetz 192.168.1.0/24 zu und stellen Sie eine physische Verbindung zum eth0-Port her.
  2. Gehen Sie in Ihrem Browser zu https://192.168.1.1/. Melden Sie sich mit den Standardanmeldeinformationen an:
    • Benutzername: ubnt
    • Passwort: ubnt
  3. Klicken Sie auf die Registerkarte Assistenten und gehen Sie das WAN +2LAN2-Setup durch.
    • Dieser Assistent konfiguriert eth0 als WAN-Port und eth1, eth2, eth3 und eth4 als LAN-Ports.
      • „Aber ich benutze gerade eth0, um mit dem Router zu sprechen!“ Ich weiß. Fahren Sie auf irgendeine Weise fort.
    • Dieser Assistent konfiguriert auch DHCP-Dienste für Ihr LAN.Hinweis: Um die Gesamtkonfiguration (nach der Einrichtung des OpenVPN-Clients) zu vereinfachen, stellen Sie Ihre DNS-Server im DHCP-Bereich auf Google (8.8.8.8 / 8.8.4.4) oder Level3 (4.2.2.2 / 4.2.2.3) ein. Auf diese Weise können Sie dieselben DHCP-Leases und DNS-Einstellungen in Ihrem LAN für VPN- und Nicht-VPN-Verbindungen verwenden.
  4. Sobald der Assistent abgeschlossen ist und der Router neu gestartet wird, schalten Sie Ihre physische Netzwerkverbindung von eth0 auf eth1 um und schließen Sie Ihre Internetverbindung an eth0 an.
    • „Oh, ich sehe, was du da gemacht hast…“

Nun, da die Grundlagen erledigt sind und wir ein typisches „im Laden gekauftes“ Router-Setup (1x WAN, 4x LAN) haben, mit dem wir arbeiten können, können wir mit dem Erstellen unserer OpenVPN-Client-Verbindung beginnen.

OpenVPN Client Setup

Mit diesen Schritten habe ich OpenVPN persönlich dazu gebracht, mit TorGuard sowohl für die gemeinsam genutzte IP als auch für die statischen IP-Dienste zu arbeiten. Es könnte bessere Möglichkeiten geben, dies zu tun, und ich führe möglicherweise keine effizienten Routen aus (denken Sie daran, ich bin kein Netzwerk-Guru), aber nachdem ich 3 Tage lang Online-Tutorials durchgesehen habe, kann ich Ihnen versichern, dass Sie damit mit der geringsten Anzahl von Schritten & Befehle.

Es gibt 4 grundlegende Schritte.

  • Erstellen / herunterladen / Zugriff auf die VPN-Provider *.ovpn-Datei
  • Übertragen Sie die *.ovpn-Datei (und Zertifikate, falls erforderlich) an den Router
  • Erstellen Sie eine Schnittstelle auf dem Router zeigt auf die *.ovpn-Datei (und Zertifikate) für die Konfiguration
  • Legen Sie eine Quell-NAT-Regel fest, die den gesamten LAN-Datenverkehr an die VPN-Verbindung maskiert (weiterleitet).

Ich zeige Ihnen zwei verschiedene Möglichkeiten, Dinge zu konfigurieren. Im Abschnitt Using Certs wird beschrieben, wie ich den Zugriff auf den gemeinsam genutzten IP-Dienst von TorGuard einrichte, der auf separate Zertifikat- und Schlüsseldateien in der OpenVPN-Konfiguration verweist. Die Verwendung nur der *.im Abschnitt ovpn-Datei wird erläutert, wie ich den Zugriff auf den statischen IP-Dienst von TorGuard mithilfe von * eingerichtet habe.ovpn-Datei (in die das Zertifikat und die Schlüsselinformationen integriert sind).

Zertifikate verwenden

Mit diesen Schritten wird der EdgeRouter X als OpenVPN-Client mit Anbietern eingerichtet, die ein Zertifikat und Schlüsseldateien in Verbindung mit dem * verwenden.ovpn-Datei.

1.) Laden Sie die Konfigurationsdateien von der Download-Seite von TorGuard (oder von Ihrem VPN-Anbieter) herunter. Ich habe die OpenVPN UDP-Konfigurationsdateien verwendet.

  • Entpacken Sie die Dateien und wählen Sie die freigegebene IP-Site aus, mit der Sie eine Verbindung herstellen möchten. In meinem Fall war es TorGuard.VEREINIGTE STAATEN-SEATTLE.ovpn

2.) Erstellen Sie eine neue Textdatei namens pass.txt.

  • Geben Sie den Benutzernamen für Ihren VPN-Dienst in die erste Zeile und das Kennwort für den VPN-Dienst in die zweite Zeile ein.
  • Speichern Sie die Datei.

3.) Bearbeiten Sie das *.ovpn-Datei mit einem beliebigen Texteditor und passen Sie Folgendes an:

  • In der Zeile mit der Aufschrift „ca“ machen Sie es: 
    • ca /config/auth/ca.crt
  • In der Zeile mit der Aufschrift „tls-auth“ machen Sie es: 
    • tls-auth /config/auth/ta.key 1
  • in der Zeile mit der Aufschrift ‚auth-user-pass‘: 
    • auth-user-pass /config/auth/pass.txt
  • Speichern Sie die Änderungen.
  • Hinweis: abhängig von Ihrem Dienstanbieter die Zeilen ca und remote-cert-tls im *.die OPVN-Datei muss möglicherweise auf * zeigen.pem-Dateien statt. Erkundigen Sie sich bei Ihrem Dienstanbieter nach den erforderlichen Anpassungen.

4.) Übertragen Sie die folgenden Dateien per SSH auf den EdgeRouter X. Sie können FileZilla verwenden, um dies über eine GUI zu tun, oder Sie können SCP verwenden, um dies über die Befehlszeile zu tun.

  • die *.ovpn Datei geht an /config/
  • die *.CRT / *.pem / *.schlüsseldateien gehen zu /config/auth/
  • der Pass.txt-Datei geht auch zu /config/auth/

5.) Öffnen Sie eine SSH-Befehlszeile (mit Terminal unter macOS, Putty unter Windows oder mit der CLI-Schaltfläche auf der Konfigurationsseite des Routers) und:

  • Melden Sie sich am Router an:
  • Geben Sie die folgenden Befehle aus: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • SOBALD SIE SICH VERPFLICHTEN, WIRD DER VPN-TUNNEL INITIIERT.
    • Seien Sie bereit, offline zu sein, wenn die Dinge richtig laufen! Schritt 6 bringt Sie wieder online (über das VPN)
  • Sie können jetzt zur Webkonsolenseite des Routers gehen und sehen, dass dem Dashboard eine neue vtun0-Schnittstelle hinzugefügt wurde. Hier können Sie die Schnittstelle aktivieren / deaktivieren, um die VPN-Verbindung ein- / auszuschalten.
    • Die Schnittstelle sagt immer Verbunden, auch wenn die Schnittstelle deaktiviert ist. Das ist in Ordnung, da die Maskeraden in Schritt 6 bestimmen, wohin Ihr LAN-Verkehr geht.
  • Hinweis 1: nameyourconnection bezieht sich auf den Namen des .ovpn-Datei, die Sie in Schritt 4 in das Verzeichnis /config/ übertragen haben.Hinweis 2: Wenn es eine Möglichkeit gibt, dies über den Konfigurationsbaum von EdgeRouter X zu tun, lassen Sie es mich bitte wissen und ich werde es dem Handbuch hinzufügen, da dies der einzige Teil des Prozesses ist, den ich gefunden habe erfordert die Befehlszeile.

6.) Fügen Sie eine LAN-Maske hinzu, um Ihren LAN-Datenverkehr auf die neue vtun0-Schnittstelle zu verweisen

  • Klicken Sie auf der Admin-Webseite des Routers (https://192.168.1.1) auf Firewall/NAT und dann auf die Registerkarte NAT.
  • Klicken Sie auf die Schaltfläche Add Source NAT Rule
    • Beschreibung – ‚masquerade for vtun0‘
    • Outbound Interface – Wählen Sie ‚vtun0‘
    • Übersetzung – wählen Sie ‚Use Masquerade‘
    • Protocol – wählen Sie ‚All protocols‘
    • Klicken Sie auf Save
  • Ziehen Sie die neue vtun0-Zeile über die
  • Dies stellt sicher, dass das LAN-Routing zum VPN vor diesem WAN verarbeitet wird. Wenn der VPN-Tunnel aktiv ist, wird die vtun0-Maskerade verwendet. Wenn der Tunnel deaktiviert ist, wird die WAN-Maskerade verwendet.

Wenn etwas schief geht, können Sie die Protokolle überprüfen, um festzustellen, ob Probleme beim Herstellen der OpenVPN-Verbindung aufgetreten sind.

  • Klicken Sie auf der Admin–Webseite des Routers (https://192.168.1.1) auf Toolbox, der Protokollmonitor
  • Prüfen Sie, ob Meldungen vorhanden sind, die besagen:
    • „Initiierungssequenz abgeschlossen“ – was anzeigt, dass die Verbindung erfolgreich war, oder
    • „xxxxx.xxx Datei nicht gefunden“ – was bedeutet, dass es einen Tippfehler / eine Nichtübereinstimmung zwischen den * gibt.ovpn-Datei und die Dateien auf dem Router. Überprüfen Sie & Korrigieren Sie Ihre Pfade & Dateinamen.
Nur mit dem *.ovpn-Datei

TorGuard verfügt über diese raffinierte Funktion, mit der ein * erstellt wird.ovpn-Datei für die Verbindung Ihrer Wahl und fügen Sie die Zertifikatsinformationen in die Datei ein. Dies macht das Einrichten der Verbindung noch einfacher, da Sie nur die Einstellungen am * vornehmen müssen.die ovpn-Datei soll die Zeile ‚auth-user-pass‘ auf Ihren Pass verweisen.txt-Datei in /config/auth.

Hier ist das Setup Schritt für Schritt.

1.) Laden Sie die *.ovpn-Konfigurationsdatei und stellen Sie sicher (mit einem Texteditor), dass Ihr Provider und Ihre Informationen darin enthalten sind.

2.) Erstellen Sie eine neue Textdatei namens pass.txt.

  • Geben Sie den Benutzernamen für Ihren VPN-Dienst in die erste Zeile und das Kennwort für den VPN-Dienst in die zweite Zeile ein.
  • Speichern Sie die Datei.

3.) Bearbeiten Sie das *.ovpn-Datei mit einem beliebigen Texteditor und passen Sie Folgendes an:

  • Machen Sie in der Zeile mit der Aufschrift „auth-user-pass“ Folgendes: 
    • auth-user-pass /config/auth/pass.txt
  • Speichern Sie die Änderungen.

4.) Übertragen Sie die folgenden Dateien per SSH auf den EdgeRouter X. Sie können FileZilla verwenden, um dies über eine GUI zu tun, oder Sie können SCP verwenden, um dies über die Befehlszeile zu tun.

  • die *.ovpn Datei geht an /config/
  • der Pass.txt-Datei geht auch zu /config/auth/

5.) Öffnen Sie eine SSH-Befehlszeile (mit Terminal unter macOS, Putty unter Windows oder mit der CLI-Schaltfläche auf der Konfigurationsseite des Routers) und:

  • Melden Sie sich am Router an:
  • Geben Sie die folgenden Befehle aus: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • SOBALD SIE SICH VERPFLICHTEN, WIRD DER VPN-TUNNEL INITIIERT.
    • Seien Sie bereit, offline zu sein, wenn die Dinge richtig laufen! Schritt 6 bringt Sie wieder online (über das VPN)

6.) Fügen Sie eine LAN-Maske hinzu, um Ihren LAN-Datenverkehr auf die neue vtun0-Schnittstelle zu verweisen

  • Klicken Sie auf der Admin-Webseite des Routers (https://192.168.1.1) auf Firewall/NAT und dann auf die Registerkarte NAT.
  • Klicken Sie auf die Schaltfläche Add Source NAT Rule
    • Description – ‚masquerade for vtun0‘
    • Outbound Interface – wählen Sie ‚vtun0‘
    • Translation – wählen Sie ‚Use Masquerade‘
    • Protocol – wählen Sie ‚All protocols‘
    • Klicken Sie auf Save
  • Ziehen Sie die neue vtun0-Zeile >

Super einfach.

Ich wünschte, ich hätte von der Single * gewusst.ovpn-Option, bevor ich anfing, da mein vtun0 mit Zertifikaten (für gemeinsam genutztes IP-VPN) eingerichtet wird, mein vtun1 jedoch mit einer einzigen Konfigurationsdatei (für statisches IP-VPN).

Was steht als nächstes auf meiner Konfigurationsliste?

Nun, in Wirklichkeit brauche ich kein Shared IP VPN (vtun0) auf dem Router, ich brauche das nur auf meinem Computer, und TorGuard hat dafür einen Mac-Client. Was ich wahrscheinlich als permanente Einrichtung haben möchte, ist das Apple TV zur Verwendung des statischen IP-VPN (vtun1). Das nächste Konfigurationsziel wird sein:

  • Einrichten einer statischen DHCP-Zuweisung für das Apple TV (einfach in der Benutzeroberfläche zu tun)
  • Einrichten einer Client-Gruppe, von der das Apple TV getrennt sein wird
  • Weisen Sie diese Client-Gruppe der vtun1-Verbindung zu.

Sobald ich fertig bin, kann ich alle Geräte das WAN verwenden lassen, mit Ausnahme des Apple TV, das immer vtun1 verwendet. Auf diese Weise muss ich vtun1 auf dem Router nicht starten und herunterfahren, um das statische IP-VPN mit dem Apple TV zu verwenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.