Configurazione client OpenVPN su EdgeOS

Sfondo

Non sono affatto un appassionato di rete. Ho svolto un lavoro limitato sulla console Cisco nella mia carriera IT, quindi immergermi in EdgeOS mi ha richiesto ancora un paio di giorni per capirmi. È in qualche modo simile a Cisco IOS, quindi se hai familiarità con questo, tieni presente che i principi tra IOS e EdgeOS sono gli stessi tranne che ci sono diversi comandi per fare ciò che vuoi.

Ho comprato il EdgeRouter X principalmente sulla base delle recensioni entusiastiche Steve Gibson ha dato sul podcast Security Now: un CAD 70 CAD / router 50 USD router che aveva la maggior parte delle capacità di routing di livello enterprise che si vede in costosi Juniper o Cisco gear, senza il costo.

Ho scritto questa passeggiata perché mi ci sono voluti giorni per capire cosa devi fare per usare EdgeRouter X solo come client OpenVPN. Un sacco di informazioni che mi sono imbattuto è stato quello di usarlo anche come server OpenVPN. Inoltre, alcune delle informazioni non erano complete in modo istruttivo (passo dopo passo), inclusi i post di supporto di Ubiquity, o erano troppo coinvolte a causa delle preferenze personali di qualcuno (es. impostare solo client specifici per utilizzare il tunnel VPN piuttosto che l’intera LAN).

Questa passeggiata attraverso vi porterà da unboxing il EdgeRouter X per la connettività client OpenVPN per l’intera LAN, si spera con relativa semplicità. Sto scrivendo questo supponendo che tu abbia una conoscenza di base dei termini di rete e computer. Feedback su come rendere questa guida migliore è il benvenuto nei commenti!

Configurazione iniziale

EdgeRouter X NON viene preconfigurato con i servizi DHCP come fanno la maggior parte dei router commerciali. Di conseguenza, dovrai fare un paio di passaggi per farlo entrare in uno stato “comprato al supermercato”.

1. Assegnare staticamente la scheda di rete del computer alla sottorete 192.168.1.0 / 24 e connettersi fisicamente alla porta eth0.
2. Vai a https://192.168.1.1/ nel tuo browser. Accedere con le credenziali predefinite:
   • nome utente: ubnt
   • password: ubnt
3. Fare clic sulla scheda Wizards e passare attraverso la configurazione WAN+2LAN2.
   • Questa procedura guidata configurerà eth0 come porta WAN e eth1, eth2, eth3 e eth4 come porte LAN.
     • ” Ma sto usando eth0 in questo momento per parlare con il router!”Lo so. Continua in qualsiasi modo.
   • Questa procedura guidata configura anche i servizi DHCP per la LAN.
     • Nota: per facilitare e semplificare la configurazione complessiva (post OpenVPN client setup), impostare i server DNS nell’ambito DHCP su Google (8.8.8.8 / 8.8.4.4) o Level3 (4.2.2.2 / 4.2.2.3). In questo modo sarà possibile utilizzare gli stessi contratti di locazione DHCP e le impostazioni DNS sulla LAN sia per le connessioni VPN e non VPN.
4. Una volta completata la procedura guidata e riavviato il router, passare la connessione di rete fisica da eth0 a eth1, e collegare la connessione Internet in eth0.
   • “Oh, vedo quello che hai fatto lì there “

Ora che le basi sono fatte e abbiamo una tipica configurazione del router” comprato al supermercato ” (1x WAN, 4x LAN) con cui lavorare, possiamo iniziare a creare la nostra connessione client OpenVPN.

OpenVPN Client Setup

Questi passaggi sono come ho personalmente ottenuto OpenVPN lavorare con TorGuard su entrambi i loro servizi IP condiviso e IP statico. Potrebbero esserci modi migliori per farlo, e potrei non eseguire percorsi efficienti come risultato (ricorda, non sono un guru della rete), ma dopo aver setacciato i tutorial online per 3 giorni, posso assicurarti che questo ti farà funzionare con il minor numero di passaggi & comandi.

Ci sono 4 passaggi fondamentali coinvolti.

• Crea / scarica / accedi al tuo provider VPN *.file ovpn
• Trasferire il *.file ovpn (e certificati, se necessario) al router
• Creare un’interfaccia sul router che punta al *.file ovpn (e certs) per la sua configurazione
• Impostare una regola NAT sorgente mascherare (routing) tutto il traffico LAN alla connessione VPN.

Ti mostrerò due modi diversi di configurare le cose. La sezione Using Certs esaminerà come ho impostato l’accesso al servizio IP condiviso di TorGuard, che ha coinvolto il punto per separare i file di certificato e chiave nella configurazione di OpenVPN. L’utilizzo SOLO il *.la sezione del file ovpn esaminerà come ho impostato l’accesso al servizio IP statico di TorGuard usando, lo indovini, solo il *.file ovpn (che contiene il certificato e le informazioni chiave).

Utilizzo di Certs

Questi passaggi configurano EdgeRouter X come client OpenVPN con provider che utilizzano un certificato e file chiave in combinazione con *.file ovpn.

1.) Scarica i file di configurazione dalla pagina di download di TorGuard (o dal tuo provider VPN). Ho usato i file di configurazione UDP OpenVPN.

• Decomprimere i file e scegliere il sito IP condiviso a cui connettersi. Nel mio caso, era TorGuard.USA-SEATTLE.ovpn

2.) Creare un nuovo file di testo chiamato pass.txt.

• Metti il nome utente per il tuo servizio VPN sulla prima riga e la password per il servizio VPN sulla seconda riga.
• Salva il file.

3.) Modificare il *.ovpn file con qualsiasi editor di testo e modificare la seguente:

• in linea la dice ‘ca’, a farla:

  • ca /config/auth/ca.crt

• sulla riga che dice ‘tls-auth’, a farla:

  • tls-auth /config/auth/ta.key 1

• sulla riga che dice ‘auth-user-pass’, a farla:

  • auth-user-pass /config/auth/pass.txt

• Salva le modifiche.
• Nota: a seconda del fornitore di servizi, le linee ca e remote-cert-tls nel*.il file opvn potrebbe dover puntare a *.file pem invece. Verificare con il proprio fornitore di servizi le regolazioni necessarie.

4.) Trasferire i seguenti file su EdgeRouter X tramite SSH. Puoi usare FileZilla per farlo usando una GUI, oppure puoi usare SCP per farlo tramite riga di comando, o funziona.

• il *.il file ovpn va a / config /
• il *.CRT / *.pem/*.i file chiave vanno a/config/auth/
• il passaggio.il file txt va anche in / config / auth/

5.) Aprire una riga di comando SSH (utilizzare il terminale su MacOS, putty su Windows, o usare la CLI pulsante all’interno della pagina di configurazione del router) e:

• Accedere al router:

  • ssh [email protected]

• eseguire i seguenti comandi:

  • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save

• non appena SI IMPEGNANO, IL TUNNEL VPN ESSERE AVVIATO.
  • Preparati ad essere offline se le cose vanno bene! Passo 6 ti farà tornare online (tramite la VPN)
• Ora puoi andare alla pagina della console Web del router e vedere che una nuova interfaccia vtun0 è stata aggiunta alla Dashboard. Questo è dove è possibile attivare / disattivare l’interfaccia per attivare/disattivare la connessione VPN.
  • L’interfaccia dirà sempre Connesso anche quando l’interfaccia è disabilitata. Va bene, poiché le mascherate nel passaggio 6 determineranno dove va il traffico LAN.
• Nota 1: nameyourconnection si riferisce al nome del .file ovpn trasferito nella directory/ config / al passaggio 4.
• Nota 2: se c’è un modo per farlo tramite l’albero di configurazione di EdgeRouter X, per favore fatemelo sapere e lo aggiungerò alla guida, poiché questa è l’unica parte del processo che ho trovato che RICHIEDE la riga di comando.

6.) Aggiungere una masquarade LAN per indirizzare il traffico LAN alla nuova interfaccia vtun0

• Nella pagina web di amministrazione del router (https://192.168.1.1), fare clic su Firewall/NAT, quindi fare clic sulla scheda NAT.
• fare Clic su Aggiungi Sorgente Regola di NAT pulsante
  • Descrizione – ‘mascherata per vtun0’
  • Interfaccia di Uscita – selezionare ‘vtun0’
  • Traduzione – selezionare “Utilizzare Masquerade’
  • Protocollo – selezionare” Tutti i protocolli’
  • fare Clic su Salva
• Trascinare il nuovo vtun0 riga sopra la WAN linea, quindi fare clic su ” Salva Regola di Ordine’
  • Questo assicura che il routing LAN per la VPN viene elaborato prima che WAN. Quando il tunnel VPN è attivo, viene utilizzato il vtun0 masquerade. Quando il tunnel è disabilitato, viene utilizzata la mascherata WAN.

Se qualcosa va storto, è possibile controllare i registri per vedere se ci sono stati problemi che stabiliscono la connessione OpenVPN.

• Nella pagina web di amministrazione del router (https://192.168.1.1), fare clic su Toolbox, il Log Monitor
• Vedere se ci sono messaggi che dicono:
  • “Sequenza di iniziazione completata” – che indica che la connessione ha avuto successo, o
  • “xxxxx.xxx file not found” – il che significa che c’è un errore di battitura / mancata corrispondenza tra *.file ovpn e i file sul router. Controlla& correggi i tuoi percorsi& nomi di file.

Utilizzando SOLO il *.File ovpn

TorGuard ha questa caratteristica elegante in cui creeranno un *.file ovpn per la connessione di vostra scelta e includere le informazioni cert nel file. Questo rende la configurazione della connessione ancora più facile, come l’unica regolazione è necessario fare per il *.file ovpn è quello di puntare la linea ‘auth-user-pass’ per il pass.file txt in / config / auth.

Ecco la configurazione passo dopo passo.

1.) Scarica il *.ovpn file di configurazione e garantire (utilizzando un editor di testo) ha il vostro provider e informazioni in esso.

2.) Creare un nuovo file di testo chiamato pass.txt.

• Metti il nome utente per il tuo servizio VPN sulla prima riga e la password per il servizio VPN sulla seconda riga.
• Salva il file.

3.) Modificare il *.file ovpn con qualsiasi editor di testo e regolare quanto segue:

• sulla riga che dice ‘auth-user-pass’, farlo:

  • auth-user-pass /config/auth/pass.txt

• Salvare le modifiche.

4.) Trasferire i seguenti file su EdgeRouter X tramite SSH. Puoi usare FileZilla per farlo usando una GUI, oppure puoi usare SCP per farlo tramite riga di comando, o funziona.

• il *.il file ovpn va a / config /
• il passaggio.il file txt va anche in / config / auth/

5.) Aprire una riga di comando SSH (utilizzare il terminale su MacOS, putty su Windows, o usare la CLI pulsante all’interno della pagina di configurazione del router) e:

• Accedere al router:

  • ssh [email protected]

• eseguire i seguenti comandi:

  • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save

• non appena SI IMPEGNANO, IL TUNNEL VPN ESSERE AVVIATO.
  • Preparati ad essere offline se le cose vanno bene! Passo 6 ti farà tornare online (tramite la VPN)

6.) Aggiungere una masquarade LAN per indirizzare il traffico LAN alla nuova interfaccia vtun0

• Nella pagina web di amministrazione del router (https://192.168.1.1), fare clic su Firewall/NAT, quindi fare clic sulla scheda NAT.
• fare Clic su Aggiungi Sorgente Regola di NAT pulsante
  • Descrizione – ‘mascherata per vtun0’
  • Interfaccia di Uscita – selezionare ‘vtun0’
  • Traduzione – selezionare “Utilizzare Masquerade’
  • Protocollo – selezionare” Tutti i protocolli’
  • fare Clic su Salva
• Trascinare il nuovo vtun0 riga sopra la WAN linea, quindi fare clic su ” Salva Regola di Ordine’

Super semplice.

Vorrei aver saputo del singolo*.opzione ovpn prima di iniziare, poiché il mio vtun0 è configurato utilizzando cert (per VPN IP condivisa), ma il mio vtun1 è configurato utilizzando un singolo file di configurazione (per VPN IP statico).

Qual è il prossimo nella mia lista di configurazione?

Beh, in realtà, non ho bisogno di VPN IP condivisa (vtun0) sul router, ho solo bisogno che sul mio computer, e TorGuard ha un client Mac per questo. Quello che probabilmente vorrò come impostazione permant è l’Apple TV per utilizzare la VPN IP statica (vtun1). Il prossimo obiettivo di configurazione sarà quello di:

• impostare un’assegnazione statica DHCP per l’Apple TV (facile da fare nell’interfaccia utente)
• impostare un gruppo di client che l’Apple TV farà parte di
• assegnare quel gruppo di client alla connessione vtun1.

Una volta completato, sarò in grado di avere tutti i dispositivi utilizza la WAN, ad eccezione della Apple TV che utilizzerà sempre vtun1. In questo modo non dovrò avviare e spegnere vtun1 sul router per utilizzare la VPN IP statica con Apple TV.