Konfiguracja klienta OpenVPN na EdgeOS

Posted on
X

Prywatność & Pliki cookie

Ta strona używa plików cookie. Kontynuując, zgadzasz się na ich użycie. Dowiedz się więcej, w tym jak kontrolować pliki cookie.

mam!

reklamy

Tło

nie jestem bynajmniej miłośnikiem sieci. W mojej karierze IT wykonałem ograniczoną pracę z konsolą Cisco,więc nurkowanie w Edgeoos Zajęło mi jeszcze kilka dni, aby owinąć głowę. Jest nieco podobny do Cisco IOS, więc jeśli masz z tym znajomość, po prostu pamiętaj, że zasady między IOS i Edgeoos są takie same, z wyjątkiem różnych poleceń, aby robić to, co chcesz.

kupiłem EdgeRouter X głównie w oparciu o entuzjastyczne recenzje Steve Gibson dał na temat podcastu Security Now: router $70 CAD / $50 USD, który miał większość możliwości routingu na poziomie przedsiębiorstwa, które widzisz w drogim sprzęcie Juniper lub Cisco, bez kosztów.

napisałem ten spacer, ponieważ zajęło mi kilka dni, aby dowiedzieć się, co musisz zrobić, aby używać EdgeRouter X jako klienta OpenVPN. Wiele informacji, na które natknąłem się, dotyczyło również użycia go jako serwera OpenVPN. Ponadto, niektóre informacje nie były instrukcyjnie (krok po kroku) kompletne, w tym własne posty wsparcia Ubiquity lub były zbyt zaangażowane z powodu osobistych preferencji kogoś (np. konfigurowanie tylko konkretnych klientów do korzystania z tunelu VPN, a nie z całej sieci LAN).

ten spacer zabierze cię od rozpakowania EdgeRouter X do łączności klienta OpenVPN dla całej sieci LAN, miejmy nadzieję, że z względną prostotą. Piszę to zakładając, że masz podstawową wiedzę na temat sieci i terminów komputerowych. Opinie na temat tego, jak ulepszyć ten przewodnik, są mile widziane w komentarzach!

Wstępna konfiguracja

EdgeRouter X nie jest wstępnie skonfigurowany z usługami DHCP, jak większość komercyjnych routerów. W rezultacie będziesz musiał wykonać kilka kroków, aby uzyskać stan „kupiony w sklepie”.

  1. statycznie Przypisz kartę sieciową komputera do podsieci 192.168.1.0/24 i fizycznie połącz się z portem eth0.
  2. przejdź dohttps://192.168.1.1/ w przeglądarce. Zaloguj się przy użyciu domyślnych danych uwierzytelniających:
    • nazwa użytkownika: ubnt
    • hasło: ubnt
  3. kliknij kartę kreatory i przejdź przez konfigurację WAN+2LAN2.
    • ten kreator skonfiguruje eth0 jako twój port WAN, a eth1, eth2, eth3 i eth4 jako porty LAN.
      • „ale teraz używam eth0, aby porozmawiać z routerem!”Wiem. Kontynuuj.
    • ten kreator konfiguruje również usługi DHCP dla Twojej sieci LAN.
      • Uwaga: Aby ułatwić i uprościć ogólną konfigurację (po konfiguracji klienta OpenVPN), Ustaw swoje serwery DNS w zakresie DHCP na Google (8.8.8.8 / 8.8.4.4) lub Level3 (4.2.2.2 / 4.2.2.3). Pozwoli to na korzystanie z tych samych dzierżaw DHCP i ustawień DNS W SIECI LAN zarówno dla połączeń VPN, jak i innych niż VPN.
  4. Po zakończeniu Kreatora i ponownym uruchomieniu routera Przełącz fizyczne połączenie sieciowe z eth0 na eth1 i podłącz połączenie internetowe do eth0.
    • „Oh, I see what you did there…”

teraz, gdy podstawy są już gotowe i mamy typową konfigurację routera „kupionego w sklepie” (1x WAN, 4x LAN) do pracy, możemy rozpocząć tworzenie naszego połączenia klienta OpenVPN.

Konfiguracja klienta OpenVPN

te kroki są sposobem, w jaki osobiście dostałem OpenVPN współpracujący z TorGuard zarówno na ich wspólnych IP, jak i statycznych usługach IP. Mogą być lepsze sposoby, aby to zrobić ,i może nie być uruchomiony wydajne trasy w wyniku (pamiętaj, że nie jestem guru sieci), ale po Przesiewaniu przez samouczki online przez 3 dni, mogę zapewnić, że będzie można dostać się do pracy z najmniejszą ilością kroków & polecenia .

istnieją 4 podstawowe kroki.

  • Utwórz / Pobierz / uzyskaj dostęp do dostawcy VPN *.plik ovpn
  • Przenieś *.plik ovpn (i certyfikaty, jeśli są wymagane) do routera
  • Utwórz interfejs na routerze wskazujący *.plik ovpn (i certy) dla jego konfiguracji
  • Ustaw źródłową regułę nat maskującą (routing) cały ruch sieci LAN do połączenia VPN.

pokażę wam dwa różne sposoby konfigurowania rzeczy. Sekcja Korzystanie z Certs omówi, w jaki sposób skonfigurowałem dostęp do współdzielonej usługi TorGuard IP, co wiązało się z wskazaniem oddzielnych plików certyfikatu i klucza w konfiguracji OpenVPN. Użycie tylko *.sekcja plików ovpn omówi, jak skonfigurowałem dostęp do statycznej usługi IP TorGuard za pomocą, zgadujesz, tylko *.plik ovpn (który ma wbudowany certyfikat i kluczowe informacje).

używanie certyfikatów

te kroki konfigurują EdgeRouter X jako klienta OpenVPN z dostawcami, którzy używają certyfikatów i plików kluczy w połączeniu z *.plik ovpn.

1.) Pobierz pliki konfiguracyjne ze strony pobierania TorGuard (lub od dostawcy VPN). Użyłem plików konfiguracyjnych OpenVPN UDP.

  • Rozpakuj pliki i wybierz współdzieloną witrynę IP, z którą chcesz się połączyć. W moim przypadku to był TorGuard.USA-SEATTLE.ovpn

2.) Utwórz nowy plik tekstowy o nazwie pass.txt.

  • umieść nazwę Użytkownika dla usługi VPN w pierwszej linii, a hasło dla usługi VPN w drugiej linii.
  • Zapisz plik.

3.) Edytuj *.plik ovpn z dowolnym edytorem tekstowym i dostosuj następujące ustawienia:

  • w linii mówi 'ca’, zrób to: 
    • ca /config/auth/ca.crt
  • w linii, która mówi 'TLS-auth’, zrób to: 
    • tls-auth /config/auth/ta.key 1
  • w linii, która mówi 'AUTH-user-pass’, wykonaj: 
    • auth-user-pass /config/auth/pass.txt
  • Zapisz zmiany.
  • Uwaga: w zależności od dostawcy usług linie ca i remote-cert-TLS w*.plik opvn może wymagać wskazania *.zamiast tego Pliki pem. Skontaktuj się z dostawcą usług w celu uzyskania niezbędnych zmian.

4.) Przenieś następujące pliki do EdgeRouter X przez SSH. Możesz użyć Filezilli do zrobienia tego za pomocą GUI, lub możesz użyć SCP do zrobienia tego za pomocą wiersza poleceń, albo działa.

  • the *.plik ovpn przechodzi do / config/
  • *.crt / *.pem/*.pliki kluczy przejdź do / config/auth/
  • the pass.plik txt przechodzi również do / config/auth/

5.) Otwórz wiersz poleceń SSH (używając terminala w systemie MacOS, putty w systemie Windows lub używając przycisku CLI na stronie konfiguracji routera) i:

  • Zaloguj się do routera:
  • wydaj następujące polecenia: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • Po zatwierdzeniu zostanie uruchomiony tunel VPN.
    • przygotuj się na offline, jeśli wszystko pójdzie dobrze! Krok 6 przywróci cię do trybu online (przez VPN)
  • możesz teraz przejść do strony konsoli internetowej routera i zobaczyć, że nowy interfejs vtun0 został dodany do Pulpitu Nawigacyjnego. W tym miejscu możesz włączyć / wyłączyć interfejs, aby włączyć / wyłączyć połączenie VPN.
    • interfejs zawsze powie podłączony, nawet gdy interfejs jest wyłączony. To jest w porządku, ponieważ maskarady w kroku 6 określą, gdzie trafia Twój ruch w sieci LAN.
  • Uwaga 1: nameyourconnection odnosi się do nazwy.plik ovpn przesłany do katalogu / config / w kroku 4.
  • Uwaga 2: jeśli istnieje sposób, aby to zrobić za pomocą drzewa konfiguracyjnego EdgeRouter X, daj mi znać, a dodam go do przewodnika, ponieważ jest to jedyna część procesu, którą znalazłem, która wymaga wiersza poleceń.

6.) Dodaj masquarade LAN, aby skierować ruch sieciowy do nowego interfejsu vtun0

  • na stronie administratora routera (https://192.168.1.1), kliknij Firewall/NAT, a następnie kliknij kartę NAT.
  • kliknij przycisk Dodaj regułę źródłową NAT
    • opis – „maskarada dla vtun0”
    • interfejs wychodzący – wybierz „vtun0”
    • tłumaczenie – wybierz „Użyj maskarady”
    • Protokół – wybierz „Wszystkie Protokoły”
    • kliknij Zapisz
  • przeciągnij nową linię vtun0 nad linią WAN, a następnie kliknij „Zapisz kolejność reguł”
    • > zapewnia to, że routing LAN do VPN jest przetwarzany przed tą siecią WAN. Gdy tunel VPN jest aktywny, używana jest maskarada vtun0. Gdy tunel jest wyłączony, używana jest maskarada WAN.

Jeśli coś pójdzie nie tak, możesz sprawdzić logi, aby sprawdzić, czy nie wystąpiły problemy z nawiązaniem połączenia OpenVPN.

  • na stronie administratora routera (https://192.168.1.1), kliknij Toolbox, Monitor dziennika
  • zobacz, czy są jakieś komunikaty, które mówią:
    • „Sekwencja inicjacji zakończona” – co oznacza, że połączenie się powiodło, lub
    • „xxxxx.XXX file not found – – co oznacza literówkę / niedopasowanie pomiędzy *.plik ovpn i pliki na routerze. Sprawdź & popraw swoje ścieżki & nazwy plików.

używając tylko *.plik ovpn

TorGuard ma tę fajną funkcję, w której utworzy *.plik ovpn do połączenia wybranego przez Ciebie i dołącz do pliku Informacje o cert. To sprawia, że konfiguracja połączenia jest jeszcze łatwiejsza, jako jedyna Regulacja, którą musisz wprowadzić do *.plik ovpn wskazuje linię „auth-user-pass” na Twoją przepustkę.plik txt w /config / auth.

oto konfiguracja krok po kroku.

1.) Pobierz *.plik konfiguracyjny ovpn i upewnij się (za pomocą edytora tekstu), że zawiera informacje Twojego dostawcy i informacje.

2.) Utwórz nowy plik tekstowy o nazwie pass.txt.

  • umieść nazwę Użytkownika dla usługi VPN w pierwszej linii, a hasło dla usługi VPN w drugiej linii.
  • Zapisz plik.

3.) Edytuj *.plik ovpn z dowolnym edytorem tekstowym i dostosuj następujące ustawienia:

  • w linii, która mówi 'AUTH-user-pass’, wykonaj: 
    • auth-user-pass /config/auth/pass.txt
  • Zapisz zmiany.

4.) Przenieś następujące pliki do EdgeRouter X przez SSH. Możesz użyć Filezilli do zrobienia tego za pomocą GUI, lub możesz użyć SCP do zrobienia tego za pomocą wiersza poleceń, albo działa.

  • the *.plik ovpn przechodzi do/config/
  • .plik txt przechodzi również do / config/auth/

5.) Otwórz wiersz poleceń SSH (używając terminala w systemie MacOS, putty w systemie Windows lub używając przycisku CLI na stronie konfiguracji routera) i:

  • Zaloguj się do routera:
  • wydaj następujące polecenia: 
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • Po zatwierdzeniu zostanie uruchomiony tunel VPN.
    • przygotuj się na offline, jeśli wszystko pójdzie dobrze! Krok 6 przywróci cię do sieci (przez VPN)

6.) Dodaj masquarade LAN, aby skierować ruch sieciowy do nowego interfejsu vtun0

  • na stronie administratora routera (https://192.168.1.1), kliknij Firewall/NAT, a następnie kliknij kartę NAT.
  • kliknij przycisk Dodaj regułę źródłową NAT
    • opis – „maskarada dla vtun0”
    • interfejs wychodzący – wybierz „vtun0”
    • tłumaczenie – wybierz „Użyj maskarady”
    • Protokół – wybierz „Wszystkie Protokoły”
    • kliknij Zapisz
  • przeciągnij nową linię vtun0 nad linią WAN, a następnie kliknij „Zapisz kolejność reguł”

super proste.

szkoda, że nie wiedziałem o singlu *.opcja ovpn przed rozpoczęciem, ponieważ mój vtun0 jest konfigurowany za pomocą certs (dla współdzielonego IP VPN), ale mój vtun1 jest konfigurowany za pomocą pojedynczego pliku konfiguracyjnego (dla statycznego IP VPN).

co dalej na mojej liście konfiguracji?

cóż, w rzeczywistości nie potrzebuję Shared IP VPN (vtun0) na routerze, po prostu potrzebuję tego na moim komputerze, a TorGuard ma do tego klienta Mac. To, co prawdopodobnie będę chciał jako permanentną konfigurację, to Apple TV do korzystania ze statycznego IP VPN (vtun1). Następnym celem konfiguracji będzie:

  • skonfiguruj statyczne przypisanie DHCP dla Apple TV (łatwe do zrobienia w interfejsie użytkownika)
  • skonfiguruj grupę klientów, która będzie oddzielona od Apple TV
  • Przypisz tę grupę klientów do połączenia vtun1.

Po zakończeniu będę mógł mieć wszystkie urządzenia korzystające z WAN, z wyjątkiem Apple TV, który zawsze będzie używał vtun1. W ten sposób nie będę musiał uruchamiać i wyłączać vtun1 na routerze, aby korzystać ze statycznego IP VPN z Apple TV.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.