OpenVPN Client Setup on EdgeOS

Posted on
X

Privacy &Cookies

Tämä sivusto käyttää evästeitä. Jatkamalla hyväksyt niiden käytön. Lue lisää, mukaan lukien evästeiden hallinta.

Got It!

advertises

Background

i am suinkaan a network aficionado. Olen tehnyt it-urallani rajoitettua Cisco-konsolityötä, joten edgeoihin Sukeltaminen vei vielä pari päivää pään pyörittelyyn. Sen hieman samanlainen Cisco IOS, joten jos olet perehtynyt, että, vain pitää mielessä periaatteet IOS ja EdgeOS ovat samat paitsi on olemassa erilaisia komentoja tehdä mitä haluat.

ostin EdgeRouter X: n pääasiassa Steve Gibsonin Security Now-podcastissa antamien ylistävien arvostelujen perusteella: 70 dollarin CAD / 50 dollarin USD-reititin, jossa oli suurin osa kalliissa Juniperissa tai Cisco Gearissa näkyvistä enterprise-tason reititysominaisuuksista ilman kustannuksia.

kirjoitin tämän kävelyn läpi, koska kesti päiviä selvittää, mitä sinun täytyy tehdä, jotta voit käyttää EdgeRouter X: ää vain OpenVPN-asiakkaana. Paljon tietoa törmäsin oli myös käyttää sitä OpenVPN-palvelin. Myös, jotkut tiedot eivät olleet ohjeellisesti (askel-askeleelta) täydellinen, mukaan lukien Ubiquity oma tuki virkaa, tai olivat liian mukana syy jonkun henkilökohtaisen mieltymyksen (ex. asetus vain tiettyjä asiakkaita käyttämään VPN tunnelin sijaan koko LAN).

tämä kävely vie sinut EdgeRouter X: n avaamisesta OpenVPN-asiakasyhteyteen koko lähiverkossa, toivottavasti suhteellisen yksinkertaisena. Kirjoitan tätä olettaen, että ymmärrät verkko-ja tietokonetermit. Palaute siitä, miten tästä oppaasta tehdään parempi, on tervetullutta kommenteissa!

alkuasetukset

EdgeRouter X: ää ei ole valmiiksi konfiguroitu DHCP-palveluilla, kuten useimmissa kaupallisissa reitittimissä. Tämän seurauksena, sinun täytyy tehdä pari askelta saada se ”store-ostettu” tilaan.

  1. määritä tietokoneesi verkkosovitin staattisesti 192.168.1.0 / 24-aliverkolle ja muodosta fyysinen yhteys eth0-porttiin.
  2. Head over to https://192.168.1.1/ in your browser. Kirjaudu sisään oletustunnuksilla:
    • käyttäjätunnus: ubnt
    • salasana: ubnt
  3. klikkaa velhot-välilehteä ja käy läpi Wan+2lan2-asetukset.
    • Tämä ohjattu toiminto määrittää eth0: n Wan-portiksesi ja eth1: n, eth2: n, eth3: n ja eth4: n LAN-porteiksi.
      • ” mutta käytän eth0: tä juuri nyt puhuakseni reitittimelle!”Tiedän. Jatka miten vain.
    • Tämä ohjattu toiminto määrittää myös DHCP-palvelut LÄHIVERKOLLESI.
      • Huomautus: yleisen kokoonpanon helppouden ja yksinkertaisuuden vuoksi (post OpenVPN-asiakasasetukset), aseta DNS-palvelimet DHCP: n piiriin Google (8.8.8.8 / 8.8.4.4) tai Taso3 (4.2.2.2 / 4.2.2.3). Näin voit käyttää samoja DHCP-vuokrasopimuksia ja DNS-asetuksia lähiverkossa sekä VPN-että ei-VPN-yhteyksissä.
  4. kun velho on valmis ja reititin käynnistyy uudelleen, Vaihda fyysinen verkkoyhteytesi eth0: stä eth1: een ja kytke internetyhteytesi eth0: een.
    • ”Oh, I see what you did there …”

nyt kun perusasiat on tehty ja meillä on käytössä tyypillinen ”kaupasta ostettu” reitittimen asennus (1x WAN, 4x LAN), voimme aloittaa OpenVPN-asiakasyhteyden luomisen.

OpenVPN Client Setup

nämä vaiheet ovat, miten sain OpenVPN: n toimimaan Torguardin kanssa sekä yhteisissä IP-että staattisissa IP-palveluissa. Voisi olla parempiakin tapoja tehdä tämä, enkä välttämättä juokse tehokkaita reittejä sen takia (muista, en ole verkkoguru), mutta selattuani Online-tutoriaaleja 3 päivän ajan, voin vakuuttaa, että tämä saa sinut vauhtiin pienimmillä askelmäärillä & komennoilla.

mukana on 4 perusvaihetta.

  • Create / download / have access to your VPN provider ’ s*.ovpn-tiedosto
  • siirrä*.ovpn-tiedosto (ja tarvittaessa varmenteet) reitittimeen
  • luo reitittimeen käyttöliittymä, joka osoittaa *.ovpn-tiedosto (ja certit) sen kokoonpanolle
  • asetti lähteen Nat-säännön, joka naamioi (reitityksen) kaiken LAN-liikenteen VPN-yhteydelle.

näytän teille kaksi erilaista tapaa konfiguroida asioita. Käyttämällä Certs-osiossa käydään läpi, miten määritin pääsyn Torguardin jaettuun IP-palveluun, johon liittyi kohta erottaa varmenne ja avaintiedostot OpenVPN-asetuksissa. Käyttämällä vain *.ovpn-Tiedostoosiossa käydään läpi, miten määritin pääsyn Torguardin staattiseen IP-palveluun käyttäen, arvaat sen, vain *.ovpn-tiedosto (johon on sisäänrakennettu varmenne ja avaintiedot).

käyttämällä Certejä

nämä vaiheet asettavat EdgeRouter X: n OpenVPN-asiakkaaksi tarjoajille, jotka käyttävät sertifikaattia ja avaintiedostoja*: n yhteydessä.ovpn-tiedosto.

1.) Lataa asetustiedostot Torguardin lataussivulta (tai VPN-palveluntarjoajaltasi). Käytin OpenVPN UDP config tiedostoja.

  • avaa tiedostot ja valitse jaettu IP-sivusto, johon haluat muodostaa yhteyden. Minun tapauksessani se oli TorGuard.USA-SEATTLE.ovpn

2.) Luo uusi tekstitiedosto nimeltään pass.txt.

  • laita VPN-palvelusi käyttäjätunnus ensimmäiselle riville ja VPN-palvelun salasana toiselle riville.
  • Tallenna tiedosto.

3.) Muokkaa *.ovpn-tiedosto millä tahansa tekstieditorilla ja säädä seuraava:

  • rivillä lukee”ca”, make it: 
    • ca /config/auth/ca.crt
  • rivillä, jossa lukee”TLS-auth”, make it: 
    • tls-auth /config/auth/ta.key 1
  • rivillä, jossa lukee ”auth-user-pass”, tee se: 
    • auth-user-pass /config/auth/pass.txt
  • Tallenna muutokset.
  • Huom.: riippuen palveluntarjoajan ca ja kauko-cert-tls linjat *.opvn-tiedosto voi joutua osoittamaan *.PEM-tiedostot sen sijaan. Tarkista tarvittavat säädöt palveluntarjoajaltasi.

4.) Siirrä seuraavat tiedostot EDGEROUTER X: ään SSH: n kautta. Voit käyttää Filezillaa tehdä sen GUI, tai voit käyttää SCP tehdä sen kautta komentorivi, joko toimii.

  • the*.ovpn-tiedosto menee osoitteeseen / config /
  • the *.CRT / *.pem/*.avaintiedostot menevät/config/auth/
  • syöttöön.txt-tiedosto menee myös /config/auth/

5.) Avaa SSH-komentorivi (käyttäen päätettä MacOS: ssa, kitti Windowsissa tai Cli-painiketta reitittimen asetussivulla) ja:

  • Kirjaudu reitittimeen:
  • anna seuraavat komennot: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • heti kun sitoudut, VPN-tunneli käynnistyy.
    • ole valmis olemaan offline-tilassa, jos asiat menevät oikein! Vaihe 6 saa sinut takaisin verkkoon (VPN: n kautta)
  • voit nyt mennä reitittimen web-konsolin sivulle ja nähdä, että kojelautaan on lisätty uusi vtun0-käyttöliittymä. Tässä voit ottaa / poistaa käyttöliittymän päälle/pois VPN-yhteyden.
    • rajapinta sanoo aina kytketty silloinkin, kun rajapinta on pois käytöstä. Se on ok, koska naamiaiset vaiheessa 6 määrittää, missä LAN liikenne menee.
  • Note 1: nameyourconnection viittaa the: n nimeen .ovpn-tiedosto, jonka siirsit /config/ – hakemistoon vaiheessa 4.
  • Huomautus 2: Jos on olemassa tapa tehdä tämä EdgeRouter X: n Asetuspuun kautta, Kerro minulle ja lisään sen oppaaseen, koska tämä on ainoa löytämäni prosessin osa, joka vaatii komentorivin.

6.) Lisää LAN-masquarade osoittamaan LAN-liikenteen uudelle vtun0-liittymälle

  • reitittimen ylläpitämälle verkkosivulle (https://192.168.1.1), Napsauta palomuuria/Nat ja napsauta sitten Nat-välilehteä.
  • napsauta lisää lähdekoodi NAT – Sääntöpainiketta
    • Description – ”masquerade for vtun0”
    • Outbound Interface – select ”Vtun0”
    • Translation – select ”Use Masquerade”
    • Protocol-select ”All protocol”
    • napsauta Tallenna
  • vedä Uusi vtun0-rivi WAN-linjan yläpuolelle, valitse sitten ”Tallenna Sääntöjärjestys”
    • tämä varmistaa, että Lan-reititys VPN: ään käsitellään ennen sitä wan. Kun VPN-tunneli on aktiivinen, käytetään vtun0-naamiota. Kun tunneli on pois käytöstä, käytetään WAN masqueradea.

Jos jokin menee vikaan, voit tarkistaa lokeista, oliko OpenVPN-yhteyden muodostamisessa ongelmia.

  • reitittimen ylläpitämällä verkkosivulla (https://192.168.1.1) klikkaa työkalupakkia, Lokinäytöllä
  • katso, onko viestejä, joissa lukee:
    • ”Initiation sequence completed” – mikä osoittaa yhteyden onnistuneen, tai
    • ”xxxxx.xxx tiedostoa ei löydy ” – mikä tarkoittaa, että*: n välillä on kirjoitusvirhe / epäsuhta.ovpn-tiedosto ja reitittimen tiedostot. Tarkista & korjaa polkusi & tiedostonimet.
käyttäen vain *.ovpn-tiedostossa

TorGuard on tämä näppärä ominaisuus, jossa he luovat *.ovpn-tiedosto valitsemaasi yhteyttä varten ja sisällytä cert-tiedot tiedostoon. Tämä tekee yhteyden perustamisesta entistä helpompaa, koska ainoa säätö sinun täytyy tehdä *.ovpn-tiedosto osoittaa ”auth-user-pass” – rivin passiisi.txt tiedosto /config/auth.

tässä kokoonpano vaihe vaiheelta.

1.) Lataa *.ovpn config-tiedosto ja varmista (tekstieditorilla), että siinä on tarjoajasi tiedot ja tiedot.

2.) Luo uusi tekstitiedosto nimeltään pass.txt.

  • laita VPN-palvelusi käyttäjätunnus ensimmäiselle riville ja VPN-palvelun salasana toiselle riville.
  • Tallenna tiedosto.

3.) Muokkaa *.ovpn-tiedosto millä tahansa tekstieditorilla ja säädä seuraava:

  • riville, jossa lukee”auth-user-pass”, tee se: 
    • auth-user-pass /config/auth/pass.txt
  • Tallenna muutokset.

4.) Siirrä seuraavat tiedostot EDGEROUTER X: ään SSH: n kautta. Voit käyttää Filezillaa tehdä sen GUI, tai voit käyttää SCP tehdä sen kautta komentorivi, joko toimii.

  • the*.ovpn-tiedosto menee/config/
  • syöttöön.txt-tiedosto menee myös /config/auth/

5.) Avaa SSH-komentorivi (käyttäen päätettä MacOS: ssa, kitti Windowsissa tai Cli-painiketta reitittimen asetussivulla) ja:

  • Kirjaudu reitittimeen:
  • anna seuraavat komennot: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • heti kun sitoudut, VPN-tunneli käynnistyy.
    • ole valmis olemaan offline-tilassa, jos asiat menevät oikein! Vaihe 6 saa sinut takaisin verkkoon (VPN: n kautta)

6.) Lisää LAN-masquarade osoittamaan LAN-liikenteen uudelle vtun0-liittymälle

  • reitittimen ylläpitämälle verkkosivulle (https://192.168.1.1), Napsauta palomuuria/Nat ja napsauta sitten Nat-välilehteä.
  • napsauta lisää lähdekoodi NAT – Sääntöpainiketta
    • Description – ”masquerade for vtun0”
    • Outbound Interface – select ”Vtun0”
    • Translation – select ”Use Masquerade”
    • Protocol-select ”All protocol”
    • napsauta Tallenna
  • vedä Uusi vtun0-rivi WAN-linjan yläpuolelle, valitse sitten ”Tallenna Sääntöjärjestys”

Superyksinkertainen.

Olisinpa tiennyt singlestä *.ovpn vaihtoehto ennen aloitin, koska minun vtun0 on setup käyttäen certs (jaetun IP VPN), mutta minun vtun1 on setup käyttämällä yhtä asetustiedosto (staattinen IP VPN).

mitä seuraavaksi asetuslistallani?

no, todellisuudessa en tarvitse jaettua IP VPN: ää (vtun0) reitittimeen, tarvitsen vain sen tietokoneellani, ja Torguardilla on sitä varten Mac-asiakasohjelma. Mitä todennäköisesti Haluan permantiksi perustaa on Apple TV käyttää staattista IP VPN (vtun1). Seuraava asetustavoite on:

  • setup DHCP staattinen määritys Apple TV: lle (helppo tehdä käyttöliittymässä)
  • setup asiakasryhmä, jonka Apple TV on erossa
  • määritä kyseinen asiakasryhmä vtun1-yhteydelle.

kun se on valmis, kaikki laitteet käyttävät Wania, paitsi Apple TV, joka käyttää aina vtun1: tä. Näin minun ei tarvitse käynnistää ja sammuttaa vtun1 reitittimessä käyttääkseni staattista IP VPN: ää Apple TV: n kanssa.

Vastaa

Sähköpostiosoitettasi ei julkaista.