configurarea clientului OpenVPN pe EdgeOS

fundal

nu sunt în niciun caz un pasionat de rețea. Am făcut o muncă limitată de consolă Cisco în cariera mea IT, așa că scufundarea în EdgeOS mi-a luat încă câteva zile pentru a-mi înfășura capul. Este oarecum similar cu Cisco IOS, deci dacă aveți familiaritate cu asta, rețineți că principiile dintre IOS și EdgeOS sunt aceleași, cu excepția faptului că există comenzi diferite pentru a face ceea ce doriți.

am cumpărat EdgeRouter X bazat în principal pe recenziile rave pe care Steve Gibson le-a dat pe podcast-ul Security Now: un router de 70 USD CAD / 50 USD care avea majoritatea capabilităților de rutare la nivel de întreprindere pe care le vedeți în scump Juniper sau Cisco gear, fără costuri.

am scris această plimbare prin cauza mi-a luat zile să dau seama ce trebuie să faceți pentru a utiliza EdgeRouter X ca un client OpenVPN numai. Multe dintre informațiile pe care le-am întâlnit au fost să le folosesc și ca server OpenVPN. De asemenea, unele informații nu au fost complete din punct de vedere instructiv (pas cu pas), inclusiv postările de asistență ale Ubiquity sau au fost prea implicate din cauza preferințelor personale ale cuiva (ex. configurarea doar a anumitor clienți pentru a utiliza tunelul VPN, mai degrabă decât întreaga rețea LAN).

această plimbare vă va duce de la dezarhivarea EdgeRouter X la conectivitatea clientului OpenVPN pentru întreaga rețea LAN, sperăm cu o relativă simplitate. Scriu acest presupunând că aveți înțelegere de bază de rețea și termeni de calculator. Feedback – ul cu privire la modul de îmbunătățire a acestui ghid este binevenit în comentarii!

configurare inițială

EdgeRouter X nu vine pre-configurat cu servicii DHCP ca cele mai multe routere comerciale fac. Drept urmare, va trebui să faceți câțiva pași pentru a intra într-o stare „cumpărată din magazin”.

1. atribuiți static adaptorul de rețea al computerului la subrețeaua 192.168.1.0 / 24 și conectați fizic la portul eth0.
2. mergeți lahttps://192.168.1.1/ în browserul dvs. Conectați-vă cu acreditările implicite:
   • nume de utilizator: ubnt
   • parolă: ubnt
3. Faceți clic pe fila Wizards și treceți prin configurarea WAN+2lan2.
   • acest expert va configura eth0 pentru a fi portul WAN și eth1, eth2, eth3 și eth4 ca porturi LAN.
     • „dar folosesc eth0 chiar acum pentru a vorbi cu routerul!”Știu. Continuați în orice fel.
   • acest expert Configurează, de asemenea, servicii DHCP pentru LAN.
     • Notă: Pentru ușurința și simplitatea configurației generale (post openvpn client setup), setați serverele DNS în domeniul de aplicare DHCP la Google (8.8.8.8 / 8.8.4.4) sau Level3 (4.2.2.2 / 4.2.2.3). Acest lucru vă va permite să utilizați aceleași contracte de leasing DHCP și setări DNS pe LAN atât pentru conexiunile VPN, cât și pentru cele non-VPN.
4. odată ce expertul este completă și router repornește, comuta conexiunea de rețea fizică de la eth0 la eth1, și conectați conexiunea la internet în eth0.
   • „Oh, văd ce ai făcut acolo…”

acum că elementele de bază sunt făcute și avem o configurare tipică a routerului „cumpărat din magazin” (1x WAN, 4X LAN) cu care să lucrăm, putem începe să creăm conexiunea noastră client OpenVPN.

OpenVPN client Setup

acești pași sunt modul în care am personal OpenVPN de lucru cu TorGuard pe ambele IP partajate și servicii IP statice. S-ar putea să existe modalități mai bune de a face acest lucru și este posibil să nu rulez rute eficiente ca rezultat (amintiți-vă, nu sunt un guru de rețea), dar după ce am cernut tutorialele online timp de 3 zile, vă pot asigura că acest lucru vă va pune în funcțiune cu cel mai mic număr de pași & comenzi.

există 4 pași de bază implicate.

• creați / descărcați / aveți acces la furnizorul VPN *.fișierul ovpn
• transferă *.fișier ovpn (și certificate, dacă este necesar) la router
• creați o interfață pe router arătând spre *.fișier ovpn (și certs) pentru configurația sa
• setați o regulă sursă nat masquerading (rutare) tot traficul LAN la conexiunea VPN.

vă voi arăta două moduri diferite de configurare a lucrurilor. Secțiunea folosind Certs va trece peste modul în care am configurat accesul la Serviciul IP partajat al TorGuard, care a implicat punct pentru a separa certificatul și fișierele cheie în configurația OpenVPN. Folosind doar *.secțiunea de fișiere ovpn va trece peste modul în care am configurat accesul la Serviciul IP Static al lui TorGuard folosind, îl ghiciți, doar *.fișier ovpn (care are certificatul și informațiile cheie încorporate în acesta).

utilizarea Certs

acești pași setup EdgeRouter X ca un client OpenVPN cu furnizorii care utilizează un certificat și fișiere cheie în legătură cu *.fișier ovpn.

1.) Descărcați fișierele de configurare de pe pagina de descărcare a TorGuard (sau de la furnizorul dvs. Am folosit fișierele de configurare OpenVPN UDP.

• dezarhivați fișierele și alegeți site-ul IP partajat la care doriți să vă conectați. În cazul meu, a fost TorGuard.STATELE UNITE ALE AMERICII-SEATTLE.ovpn

2.) Creați un nou fișier text numit pass.txt.

• puneți numele de utilizator pentru serviciul VPN pe prima linie și parola pentru serviciul VPN pe a doua linie.
• salvați fișierul.

3.) Editați *.fișier ovpn cu orice editor de text și ajusta următoarele:

• pe linia spune ‘ca’, face:

  • ca /config/auth/ca.crt

• pe linia care spune ‘tls-auth’, face:

  • tls-auth /config/auth/ta.key 1

• pe linia care spune ‘auth-user-pass’, faceți-o:

  • auth-user-pass /config/auth/pass.txt

• salvați modificările.
• notă: în funcție de furnizorul dvs. de servicii, liniile ca și remote-cert-tls din *.fișier opvn ar putea avea nevoie pentru a indica *.fișiere pem în schimb. Verificați cu furnizorul de servicii pentru ajustările necesare.

4.) Transferați următoarele fișiere pe EdgeRouter X prin SSH. Puteți utiliza FileZilla pentru a o face folosind o interfață grafică sau puteți utiliza SCP pentru a o face prin linia de comandă, fie funcționează.

• *.fișierul ovpn merge la / config/
• *.crt / *.pem/*.fișierele cheie merg la/config/auth/
• trecerea.fișier txt, de asemenea, merge la /config/auth/

5.) Deschideți o linie de comandă SSH (folosind terminal pe MacOS, putty pe Windows sau folosind butonul CLI din pagina de configurare a routerului) și:

• Conectați-vă la router:

  • ssh [email protected]

• emiteți următoarele comenzi:

  • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save

• De îndată ce vă angajați, tunelul VPN va fi inițiat.
  • fii pregătit să fii offline dacă lucrurile merg bine! Pasul 6 vă va readuce online(prin VPN)
• acum Puteți accesa pagina consolei web a routerului și puteți vedea că o nouă interfață vtun0 a fost adăugată la tabloul de bord. Aici puteți activa/dezactiva interfața pentru a activa / dezactiva conexiunea VPN.
  • interfața va spune întotdeauna conectat chiar și atunci când interfața este dezactivată. Acest lucru este în regulă, deoarece mascaradele din Pasul 6 vor determina unde merge traficul dvs. LAN.
• Nota 1: nameyourconnection se referă la numele .fișier ovpn pe care l-ați transferat în directorul /config/ la Pasul 4.
• Nota 2: dacă există o modalitate de a face acest lucru prin intermediul arborelui de configurare EdgeRouter X, vă rog să-mi spuneți și o voi adăuga la ghid, deoarece aceasta este singura parte a procesului pe care l-am găsit care necesită linia de comandă.

6.) Adăugați o masquarade LAN pentru a indica traficul LAN către noua interfață VTUN0

• în pagina de administrare a routerului (https://192.168.1.1), faceți clic pe Firewall / NAT, apoi faceți clic pe fila nat.
• Faceți clic pe butonul Add Source Nat Rule
  • Description – ‘masquerade for vtun0’
  • Outbound Interface – selectați ‘Vtun0’
  • Translation – selectați ‘Use Masquerade’
  • Protocol – selectați ‘All protocoals’
  • Faceți clic pe Save
• trageți noua linie vtun0 deasupra liniei WAN, apoi faceți clic pe ‘Save rule Order’
  • acest lucru asigură că rutarea Lan către VPN este procesată înainte de acel wan. Când tunelul VPN este activ, se utilizează mascarada vtun0. Când tunelul este dezactivat, se folosește mascarada WAN.

dacă ceva nu merge bine, puteți verifica jurnalele pentru a vedea dacă au existat probleme de stabilire a conexiunii OpenVPN.

• în pagina de administrare a routerului (https://192.168.1.1), faceți clic pe Toolbox, Monitorul jurnal
• vedeți dacă există mesaje care spun:
  • „secvența de inițiere finalizată” – ceea ce indică faptul că conexiunea a avut succes sau
  • „xxxxx.xxx fișier nu a fost găsit” – ceea ce înseamnă că există o greșeală de scriere / nepotrivire între *.fișier ovpn și fișierele de pe router. Verificați & remediați căile & nume de fișiere.

folosind doar *.fișier ovpn

TorGuard are această caracteristică puturos în cazul în care acestea vor crea un *.fișier ovpn pentru conectarea la alegere și includeți informațiile cert în fișier. Acest lucru face ca configurarea conexiunii să fie și mai ușoară, fiind singura ajustare pe care trebuie să o faceți la *.fișierul ovpn este de a indica linia ‘auth-user-pass’ la permisul dvs.fișier txt în / config / auth.

Iată configurarea pas cu pas.

1.) Descărcați *.ovpn fișier de configurare și să se asigure (folosind un editor de text) are furnizorului și informații în ea.

2.) Creați un nou fișier text numit pass.txt.

• puneți numele de utilizator pentru serviciul VPN pe prima linie și parola pentru serviciul VPN pe a doua linie.
• salvați fișierul.

3.) Editați *.fișier ovpn cu orice editor de text și ajustați următoarele:

• pe linia care spune”auth-user-pass”, faceți-l:

  • auth-user-pass /config/auth/pass.txt

• Salvați modificările.

4.) Transferați următoarele fișiere pe EdgeRouter X prin SSH. Puteți utiliza FileZilla pentru a o face folosind o interfață grafică sau puteți utiliza SCP pentru a o face prin linia de comandă, fie funcționează.

• *.fișierul ovpn merge la/config/
• trecerea.fișier txt, de asemenea, merge la /config/auth/

5.) Deschideți o linie de comandă SSH (folosind terminal pe MacOS, putty pe Windows sau folosind butonul CLI din pagina de configurare a routerului) și:

• Conectați-vă la router:

  • ssh [email protected]

• emiteți următoarele comenzi:

  • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save

• De îndată ce vă angajați, tunelul VPN va fi inițiat.
  • fii pregătit să fii offline dacă lucrurile merg bine! Pasul 6 vă va readuce online (prin VPN)

6.) Adăugați o masquarade LAN pentru a indica traficul LAN către noua interfață VTUN0

• în pagina de administrare a routerului (https://192.168.1.1), faceți clic pe Firewall / NAT, apoi faceți clic pe fila nat.
• Faceți clic pe butonul Add Source Nat Rule
  • Description – ‘masquerade for vtun0’
  • Outbound Interface – selectați ‘Vtun0’
  • Translation – selectați ‘Use Masquerade’
  • Protocol – selectați ‘All protocoals’
  • Faceți clic pe Save
• trageți noua linie vtun0 deasupra liniei WAN, apoi faceți clic pe ‘Save rule Order’

Super simplu.

aș fi vrut să știu despre single *.opțiunea ovpn înainte de a începe, deoarece vtun0-ul meu este configurat folosind certs (pentru VPN IP partajat), dar vtun1-ul meu este configurat folosind un singur fișier de configurare (pentru VPN IP static).

ce urmează pe lista mea de configurare?

Ei bine, în realitate, nu am nevoie de VPN IP partajat (vtun0) pe router, am nevoie doar de asta pe computerul meu, iar TorGuard are un client Mac pentru asta. Ceea ce voi dori probabil ca un set permant este Apple TV pentru a utiliza Static IP VPN (vtun1). Următorul obiectiv de configurare va fi să:

• configurați o atribuire statică DHCP pentru Apple TV (ușor de făcut în UI)
• configurați un grup client pe care Apple TV îl va separa de
• alocați acel grup client conexiunii vtun1.

odată finalizat, voi putea avea toate dispozitivele care utilizează WAN, cu excepția Apple TV, care va folosi întotdeauna vtun1. În acest fel nu va trebui să pornesc și să închid vtun1 pe router pentru a utiliza VPN-ul IP static cu Apple TV.