OpenVPN Client Setup on EdgeOS

Posted on
X

Privacy & Cookies

deze site maakt gebruik van cookies. Door verder te gaan, gaat u akkoord met het gebruik ervan. Meer informatie, waaronder het beheren van cookies.

heb het!

advertenties

Achtergrond

Ik ben geenszins een netwerk liefhebber. Ik heb beperkte Cisco console werk gedaan in mijn IT-carrière, dus duiken in EdgeOS nog steeds kostte me een paar dagen om mijn hoofd rond. Zijn enigszins vergelijkbaar met Cisco IOS, dus als je vertrouwd bent met dat, gewoon in gedachten houden de principes tussen IOS en EdgeOS zijn hetzelfde, behalve dat er verschillende commando ‘ s om te doen wat je wilt.

Ik kocht de EdgeRouter X voornamelijk op basis van de lovende recensies Steve Gibson gaf op de Security Now podcast: een $ 70 CAD / $ 50 USD router die een meerderheid van de enterprise level routing mogelijkheden die je ziet in dure Juniper of Cisco gear, zonder de kosten had.

Ik schreef deze wandeling omdat het me dagen kostte om erachter te komen wat je moet doen om de EdgeRouter X te gebruiken als een OpenVPN client alleen. Veel van de informatie die ik tegenkwam was om het ook te gebruiken als een OpenVPN-server. Ook, een deel van de informatie was niet instructioneel (stap-voor-stap) compleet, met inbegrip van Ubiquity ‘ s eigen support berichten, of waren te betrokken oorzaak van iemands persoonlijke voorkeur (ex. alleen specifieke clients Instellen om de VPN-tunnel te gebruiken in plaats van het hele LAN).

Deze wandeling brengt je van het unboxen van de EdgeRouter X naar OpenVPN client connectiviteit voor het hele LAN, hopelijk met relatieve eenvoud. Ik schrijf dit in de veronderstelling dat je basiskennis hebt van netwerken en computertermen. Feedback over hoe deze gids beter te maken is welkom in de reacties!

initiële instellingen

De EdgeRouter X wordt niet voorgeconfigureerd met DHCP-services zoals de meeste commerciële routers dat doen. Als gevolg daarvan, moet u een paar stappen te doen om het te krijgen in een “winkel gekocht” staat.

  1. wijs de netwerkadapter van uw computer statisch toe aan het 192.168.1.0 / 24-subnet en maak fysiek verbinding met de eth0-poort.
  2. ga naar https://192.168.1.1/ in uw browser. Log in met de standaard referenties:
    • gebruikersnaam: ubnt
    • wachtwoord: ubnt
  3. klik op het tabblad Wizards en ga door de WAN + 2LAN2 setup.
    • Deze wizard configureert eth0 als uw WAN-poort, en eth1, eth2, eth3 en eth4 als LAN-poorten.
      • ” maar ik gebruik nu eth0 om met de router te praten!”Ik weet het. Ga hoe dan ook door.
    • Deze wizard configureert ook DHCP-services voor uw LAN.
      • Opmerking: Voor het gemak en de eenvoud van de algemene configuratie (post OpenVPN client setup), stel uw DNS-servers binnen de DHCP scope in op Google (8.8.8.8 / 8.8.4.4) of Level3 (4.2.2.2 / 4.2.2.3). Als u dit doet, kunt u dezelfde DHCP-leases en DNS-instellingen op uw LAN gebruiken voor zowel VPN-als niet-VPN-verbindingen.
  4. zodra de Wizard is voltooid en de router opnieuw opstart, schakelt u uw fysieke netwerkverbinding van eth0 naar eth1 en sluit u uw internetverbinding aan op eth0.
    • “Oh, I see what you did there…”

nu de basis klaar is en we een typische “store-gekocht” router setup hebben (1x WAN, 4x LAN) om mee te werken, kunnen we beginnen met het maken van onze OpenVPN client verbinding.

OpenVPN Client Setup

deze stappen zijn hoe ik persoonlijk OpenVPN liet werken met TorGuard op zowel hun gedeelde IP als statische IP services. Er zijn misschien betere manieren om dit te doen, en het kan zijn dat ik hierdoor geen efficiënte routes gebruik (onthoud, ik ben geen netwerkgoeroe), maar na 3 dagen door online tutorials te hebben gezeefd, kan ik je verzekeren dat dit je aan de slag zal brengen met de minste stappen & commando ‘ s.

Er zijn 4 basisstappen bij betrokken.

  • Create / download / have access to your VPN provider ‘ s *.ovpn-bestand
  • overdracht van de *.ovpn-bestand (en certificaten, indien nodig) naar de router
  • Maak een interface op de router die naar de *wijst.ovpn-bestand (en certs) voor zijn configuratie
  • Stel een bron NAT-regel in die al uw LAN-verkeer naar de VPN-verbinding vermomd (routeren).

Ik zal u twee verschillende manieren tonen om dingen in te stellen. Het gebruik van Certs sectie zal gaan over hoe ik het opzetten van toegang tot TorGuard ‘ s gedeelde IP-service, die betrokken punt om certificaat en sleutelbestanden te scheiden in de OpenVPN config. Het gebruik van alleen de *.ovpn File sectie zal gaan over hoe ik het opzetten van de toegang tot TorGuard statische IP-service met behulp van, je raadt het, alleen de *.ovpn-bestand (waarin het certificaat en de belangrijkste informatie zijn ingebouwd).

met behulp van Certs

deze stappen stellen de EdgeRouter X in als een OpenVPN-client met providers die een certificaat en sleutelbestanden gebruiken in combinatie met de *.ovpn-bestand.

1.) Download de configuratiebestanden van de downloadpagina van TorGuard (of van uw VPN-provider). Ik gebruikte de openvpn UDP configuratiebestanden.

  • pak de bestanden uit en kies de gedeelde IP-site waarmee u verbinding wilt maken. In mijn geval was het TorGuard.USA-SEATTLE.ovpn

2.) Maak een nieuw tekstbestand aan met de naam pass.txt.

  • plaats de gebruikersnaam voor uw VPN-dienst op de eerste regel en het wachtwoord voor de VPN-dienst op de tweede regel.
  • sla het bestand op.

3.) Wijzig de *.ovpn bestand met een teksteditor en pas het volgende aan:

  • op de regel zegt ‘ca’, maak het: 
    • ca /config/auth/ca.crt
  • op de regel die zegt ’tls-auth’, maak het: 
    • tls-auth /config/auth/ta.key 1
  • op de regel ‘auth-user-pass’, Maak het: 
    • auth-user-pass /config/auth/pass.txt
  • sla de wijzigingen op.
  • opmerking: afhankelijk van uw serviceprovider de CA-en remote-cert-tls-lijnen in de *.opvn-bestand moet mogelijk verwijzen naar *.pem bestanden in plaats daarvan. Neem contact op met uw serviceprovider voor de nodige aanpassingen.

4.) Breng de volgende bestanden over naar de EdgeRouter X via SSH. Je kunt FileZilla gebruiken om het te doen met behulp van een GUI, of je kunt SCP gebruiken om het te doen via de commandoregel, ofwel werkt.

  • De *.ovpn bestand gaat naar / config/
  • de *.beeldbuis / *.pem/*.sleutelbestanden gaan naar/config/auth/
  • de pass.txt-bestand gaat ook naar/config/auth/

5.) Open een SSH-opdrachtregel (met terminal op MacOS, putty op Windows, of met behulp van de CLI-knop op de configuratiepagina van de router) en:

  • Log in op de router:
  • voer de volgende opdrachten uit: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • zodra u commit, zal de VPN-tunnel worden gestart.
    • wees voorbereid om offline te zijn als het goed gaat! Stap 6 brengt u weer online (via de VPN)
  • u kunt nu naar de webconsole-pagina van de router gaan en zien dat een nieuwe vtun0-interface aan het Dashboard is toegevoegd. Hier kunt u de interface in – / uitschakelen om de VPN-verbinding in – /uit te schakelen.
    • De interface zal altijd zeggen verbonden, zelfs als de interface is uitgeschakeld. Dat is ok, als de maskerades in Stap 6 zal bepalen waar uw LAN-verkeer gaat.
  • Opmerking 1: naam uw verbinding verwijst naar de naam van de .ovpn-bestand dat u in Stap 4 naar de map /config/ hebt overgebracht.
  • Opmerking 2: als er een manier is om dit te doen via de EdgeRouter X configuratie boom, laat het me weten en Ik zal het toevoegen aan De Gids, omdat dit het enige deel van het proces is dat ik vond dat command line vereist.

6.) Voeg een LAN-masquarade toe om uw LAN-verkeer naar de nieuwe vtun0-interface

  • te wijzen In de admin-webpagina van de router (https://192.168.1.1), klik op Firewall/NAT en klik vervolgens op het tabblad NAT.
  • Klik op ‘ Add Source NAT Regel knop
    • Description – ‘masquerade voor vtun0’
    • Uitgaande Interface – selecteer ‘vtun0’
    • Vertaling – selecteer ‘Gebruik Maskerade’
    • Protocol – selecteer ‘Alle protocollen’
    • Klik op Opslaan
  • Sleep de nieuwe vtun0 lijn boven de WAN-line, klik dan op ‘Opslaan Regel Om’
    • Dit zorgt ervoor dat de LAN-routering naar de VPN wordt verwerkt voordat dat WAN. Wanneer de VPN tunnel actief is, wordt de vtun0 masquerade gebruikt. Wanneer de tunnel is uitgeschakeld, wordt de WAN masquerade gebruikt.

als er iets mis gaat, kunt u de Logs controleren om te zien of er problemen waren bij het opzetten van de OpenVPN-verbinding.

  • in de admin webpagina van de router (https://192.168.1.1), klik op Toolbox, de Log Monitor
  • kijk of er berichten zijn die zeggen:
    • ” Initiation sequence completed – – wat aangeeft dat de verbinding succesvol was, of
    • “xxxxx.xxx bestand niet gevonden – – wat betekent dat er een typefout / mismatch tussen de *.ovpn bestand en de bestanden op de router. Controleer & uw paden herstellen & bestandsnamen.

met alleen de *.ovpn bestand

TorGuard heeft deze handige functie waar ze een *zullen aanmaken.ovpn bestand voor de verbinding van uw keuze en voeg de cert info in het bestand. Dit maakt het instellen van de verbinding nog eenvoudiger, als enige aanpassing aan de *.ovpn bestand is om de ‘auth-user-pass’ regel naar uw pass te wijzen.txt-bestand in / config / auth.

Hier is de setup stap voor stap.

1.) Download de *.ovpn config file en zorg ervoor (met behulp van een teksteditor) het heeft uw provider en info in het.

2.) Maak een nieuw tekstbestand aan met de naam pass.txt.

  • plaats de gebruikersnaam voor uw VPN-dienst op de eerste regel en het wachtwoord voor de VPN-dienst op de tweede regel.
  • sla het bestand op.

3.) Wijzig de *.ovpn-bestand met een willekeurige teksteditor en pas het volgende aan:

  • op de regel ‘auth-user-pass’, Maak het: 
    • auth-user-pass /config/auth/pass.txt
  • sla de wijzigingen op.

4.) Breng de volgende bestanden over naar de EdgeRouter X via SSH. Je kunt FileZilla gebruiken om het te doen met behulp van een GUI, of je kunt SCP gebruiken om het te doen via de commandoregel, ofwel werkt.

  • De *.ovpn-bestand gaat naar/config/
  • de pass.txt-bestand gaat ook naar/config/auth/

5.) Open een SSH-opdrachtregel (met terminal op MacOS, putty op Windows, of met behulp van de CLI-knop op de configuratiepagina van de router) en:

  • Log in op de router:
  • voer de volgende opdrachten uit: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • zodra u commit, zal de VPN-tunnel worden gestart.
    • wees voorbereid om offline te zijn als het goed gaat! Stap 6 brengt u weer online (via de VPN)

6.) Voeg een LAN-masquarade toe om uw LAN-verkeer naar de nieuwe vtun0-interface

  • te wijzen In de admin-webpagina van de router (https://192.168.1.1), klik op Firewall/NAT en klik vervolgens op het tabblad NAT.
  • Klik op ‘ Add Source NAT Regel knop
    • Description – ‘masquerade voor vtun0’
    • Uitgaande Interface – selecteer ‘vtun0’
    • Vertaling – selecteer ‘Gebruik Maskerade’
    • Protocol – selecteer ‘Alle protocollen’
    • Klik op Opslaan
  • Sleep de nieuwe vtun0 lijn boven de WAN-line, klik dan op ‘Opslaan Regel Om’

Super eenvoudig.

Ik wou dat ik had geweten over de single *.ovpn optie voordat ik begon, omdat mijn vtun0 is ingesteld met behulp van certs (voor gedeelde IP VPN), maar mijn vtun1 is ingesteld met behulp van een enkel configuratiebestand (voor statische IP VPN).

Wat is het volgende op mijn configuratielijst?

in werkelijkheid heb ik geen gedeelde IP VPN (vtun0) op de router nodig, Ik heb dat alleen op mijn computer nodig, en TorGuard heeft daarvoor een Mac-client. Wat ik waarschijnlijk wil als een permant instellen is de Apple TV met behulp van de statische IP VPN (vtun1). Het volgende configuratiedoel is:

  • een statische DHCP-toewijzing instellen voor de Apple TV (eenvoudig te doen in de gebruikersinterface)
  • een clientgroep instellen die op de Apple TV apart staat van
  • die clientgroep toewijzen aan de vtun1-verbinding.

eenmaal voltooid, zal ik in staat zijn om alle apparaten het WAN te laten gebruiken, behalve voor de Apple TV die altijd vtun1 zal gebruiken. Op die manier hoef ik vtun1 niet op te starten en af te sluiten op de router om de statische IP VPN te gebruiken met de Apple TV.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.