OpenVPN-klientinställningar på EdgeOS

X

Sekretess & Cookies

den här webbplatsen använder cookies. Genom att fortsätta godkänner du deras användning. Läs mer, inklusive hur du kontrollerar cookies.

fick det!

annonser

Bakgrund

Jag är inte på något sätt ett nätverk aficionado. Jag har gjort begränsat Cisco-konsolarbete i min IT-karriär, så dykning i EdgeOS tog mig fortfarande ett par dagar att sätta på huvudet. Det liknar något Cisco IOS, så om du känner till det, kom bara ihåg att principerna mellan IOS och EdgeOS är desamma förutom att det finns olika kommandon för att göra vad du vill.

Jag köpte EdgeRouter X huvudsakligen baserat på rave recensioner Steve Gibson gav på Security Now podcast: en $70 CAD / $50 USD router som hade en majoritet av enterprise nivå routing kapacitet som du ser i dyra Juniper eller Cisco gear, utan kostnad.

jag skrev denna promenad genom orsak det tog mig dagar att räkna ut vad du behöver göra för att använda EdgeRouter X som en OpenVPN klient endast. Mycket av den information jag kom över var att också använda den som en OpenVPN-server. En del av informationen var inte instruktionsmässigt (steg för steg) komplett, inklusive Ubiquitys egna stödposter, eller var för involverade orsak till någons personliga preferens (ex. konfigurera bara specifika klienter för att använda VPN-tunneln snarare än hela LAN).

denna genomgång tar dig från att unboxing EdgeRouter X till OpenVPN-klientanslutning för hela LAN, förhoppningsvis med relativ enkelhet. Jag skriver detta förutsatt att du har grundläggande förståelse för nätverk och datortermer. Feedback om hur man gör den här guiden bättre är välkommen i kommentarerna!

Initial Setup

EdgeRouter X kommer inte förkonfigurerad med DHCP-tjänster som de flesta kommersiella routrar gör. Som ett resultat måste du göra ett par steg för att få det till ett ”butiksköpt” tillstånd.

  1. tilldela statiskt datorns nätverksadapter till 192.168.1.0 / 24-undernätet och anslut fysiskt till eth0-porten.
  2. gå över till https://192.168.1.1/ I din webbläsare. Logga in med standarduppgifterna:
    • användarnamn: ubnt
    • lösenord: ubnt
  3. Klicka på fliken guider och gå igenom Wan+2lan2-inställningen.
    • den här guiden konfigurerar eth0 för att vara din WAN-port och eth1, eth2, eth3 och eth4 som LAN-portar.
      • ” men jag använder eth0 just nu för att prata med routern!”Jag vet. Fortsätt på något sätt.
    • den här guiden konfigurerar även DHCP-tjänster för ditt LAN.
      • Obs: för enkelheten och enkelheten i den övergripande konfigurationen (post OpenVPN-klientinställningen), Ställ in dina DNS-servrar inom DHCP-räckvidden till Google (8.8.8.8 / 8.8.4.4) eller Level3 (4.2.2.2 / 4.2.2.3). Om du gör det kan du använda samma DHCP-leasing och DNS-inställningar på ditt LAN för både VPN-och icke-VPN-anslutningar.
  4. när guiden är klar och routern startar om, byt din fysiska nätverksanslutning från eth0 till eth1 och anslut din internetanslutning till eth0.
    • ” Åh, jag ser vad du gjorde där…”

Nu när grunderna är klara och vi har en typisk” butiksköpt ” routerinställning (1x WAN, 4x LAN) att arbeta med kan vi börja skapa vår OpenVPN-klientanslutning.

OpenVPN Client Setup

dessa steg är hur jag personligen fick OpenVPN att arbeta med TorGuard på både deras delade IP-och statiska IP-tjänster. Det kan finnas bättre sätt att göra detta, och jag kan inte köra effektiva vägar som ett resultat (kom ihåg, Jag är inte ett nätverk guru), men efter siktning genom online tutorials för 3 dagar, jag kan försäkra er detta kommer att få dig igång med minst antal steg & kommandon.

det finns 4 grundläggande steg inblandade.

  • skapa / ladda ner / få tillgång till din VPN-leverantörs *.ovpn-fil
  • överför *.ovpn-fil (och certifikat, om det behövs) till routern
  • skapa ett gränssnitt på routern som pekar på *.ovpn-fil (och certs) för dess konfiguration
  • Ställ in en källa nat-regel som maskerar (routing) all din LAN-trafik till VPN-anslutningen.

Jag kommer att visa dig två olika sätt att konfigurera saker. Avsnittet med hjälp av Certs kommer att gå igenom hur jag ställer in åtkomst till Torguards delade IP-tjänst, vilket innebar att peka på separata certifikat och nyckelfiler i OpenVPN-konfigurationen. Den använder bara *.ovpn-Filavsnittet kommer att gå över hur jag ställer in åtkomst till Torguards statiska IP-tjänst med, du antar det, bara *.ovpn-fil (som har certifikatet och nyckelinformationen inbyggd i den).

använda Certs

dessa steg ställer in EdgeRouter X som en OpenVPN-klient med leverantörer som använder ett certifikat och nyckelfiler i samband med *.ovpn-fil.

1.) Ladda ner konfigurationsfilerna från Torguards nedladdningssida (eller från din VPN-leverantör). Jag använde OpenVPN UDP config-filerna.

  • packa upp filerna och välj den delade IP-webbplats som du vill ansluta till. I mitt fall var det TorGuard.USA-SEATTLE.ovpn

2.) Skapa en ny textfil som heter pass.txt.

  • sätt användarnamnet för din VPN-tjänst på första raden och lösenordet för VPN-tjänsten på andra raden.
  • spara filen.

3.) Redigera*.ovpn-fil med någon textredigerare och justera följande:

  • på raden säger”ca”, gör det:
    • ca /config/auth/ca.crt
  • på raden som säger”TLS-auth”, gör det:
    • tls-auth /config/auth/ta.key 1
  • på raden som säger ”auth-user-pass”, gör det:
    • auth-user-pass /config/auth/pass.txt
  • spara ändringarna.
  • notera: beroende på din tjänsteleverantör linjerna ca och remote-cert-tls i *.opvn-filen kan behöva peka på*.pem-filer istället. Kontrollera med din tjänsteleverantör för nödvändiga justeringar.

4.) Överför följande filer till EdgeRouter X via SSH. Du kan använda FileZilla för att göra det med en GUI, eller du kan använda SCP för att göra det via kommandoraden, antingen fungerar.

  • den *.ovpn filen går till / config /
  • den *.CRT / *.pem / *.viktiga filer går till/config/auth/
  • passet.txt-fil går också till / config/auth/

5.) Öppna en ssh-kommandorad (med terminal på MacOS, putty på Windows eller med CLI-knappen på routerns konfigurationssida) och:

  • logga in på routern:
  • utfärda följande kommandon:
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • så snart du begår kommer VPN-tunneln att initieras.
    • var beredd att vara offline om saker går rätt! Steg 6 kommer att få dig tillbaka online (via VPN)
  • Du kan nu gå till routerns webbkonsolsida och se att ett nytt vtun0-gränssnitt har lagts till i instrumentpanelen. Det är här du kan aktivera / inaktivera gränssnittet för att slå PÅ/AV VPN-anslutningen.
    • gränssnittet kommer alltid att säga ansluten även när gränssnittet är inaktiverat. Det är ok, eftersom maskeraderna i steg 6 kommer att avgöra var din LAN-trafik går.
  • Notera 1: nameyourconnection hänvisar till namnet på .ovpn-fil som du överförde till katalogen / config / i steg 4.
  • Note 2: om det finns ett sätt att göra detta via Edgerouter Xs Config-träd, vänligen meddela mig och jag lägger till det i guiden, eftersom det här är den enda delen av processen som jag hittade som kräver kommandorad.

6.) Lägg till en LAN masquarade för att peka din LAN-trafik till det nya vtun0-gränssnittet

  • på routerns administratörswebbplats (https://192.168.1.1), klicka på Firewall/NAT och klicka sedan på fliken NAT.
  • Klicka på knappen Lägg till källa Nat – regel
    • beskrivning – ’maskerad för vtun0’
    • utgående gränssnitt – Välj ’Vtun0’
    • översättning – välj ’Använd maskerad’
    • protokoll-Välj ’alla protokoll’
    • Klicka på Spara
  • dra den nya vtun0-raden ovanför Wan-raden och klicka sedan på ’Spara Regelordning’
    • detta säkerställer att Lan-routningen till VPN behandlas före det wan. När VPN-tunneln är aktiv används vtun0-maskeraden. När tunneln är inaktiverad används Wan-maskeraden.

om något går fel kan du kontrollera loggarna för att se om det fanns några problem med att upprätta OpenVPN-anslutningen.

  • i routerns admin webbsida (https://192.168.1.1), klicka på Toolbox, Log Monitor
  • se om det finns några meddelanden som säger:
    • ”Initieringssekvens avslutad” – vilket indikerar att anslutningen lyckades, eller
    • ”xxxxx.xxx file not found ” – vilket betyder att det finns ett stavfel / felmatchning mellan*.ovpn-fil och filerna på routern. Kontrollera & fixa dina sökvägar & filnamn.
använder bara*.ovpn fil

TorGuard har denna fiffiga funktion där de kommer att skapa en *.ovpn-fil för anslutningen du väljer och inkludera cert-informationen i filen. Detta gör installationen av anslutningen ännu enklare, eftersom den enda justering du behöver göra till *.ovpn-filen är att peka på ’auth-user-pass’ – linjen till ditt pass.txt-fil i / config / auth.

här är inställningen steg för steg.

1.) Ladda ner *.ovpn config-fil och se till (med hjälp av en textredigerare) den har din leverantörs och info i den.

2.) Skapa en ny textfil som heter pass.txt.

  • sätt användarnamnet för din VPN-tjänst på första raden och lösenordet för VPN-tjänsten på andra raden.
  • spara filen.

3.) Redigera*.ovpn-fil med någon textredigerare och justera följande:

  • på raden som säger”auth-user-pass”, gör det:
    • auth-user-pass /config/auth/pass.txt
  • spara ändringarna.

4.) Överför följande filer till EdgeRouter X via SSH. Du kan använda FileZilla för att göra det med en GUI, eller du kan använda SCP för att göra det via kommandoraden, antingen fungerar.

  • den *.ovpn-filen går till/config/
  • passet.txt-fil går också till / config/auth/

5.) Öppna en ssh-kommandorad (med terminal på MacOS, putty på Windows eller med CLI-knappen på routerns konfigurationssida) och:

  • logga in på routern:
  • utfärda följande kommandon:
    • # configure# set interfaces openvpn vtun0 config-file /config/nameofyourconnection.ovpn# commit# save
  • så snart du begår kommer VPN-tunneln att initieras.
    • var beredd att vara offline om saker går rätt! Steg 6 kommer att få dig tillbaka online (via VPN)

6.) Lägg till en LAN masquarade för att peka din LAN-trafik till det nya vtun0-gränssnittet

  • på routerns administratörswebbplats (https://192.168.1.1), klicka på Firewall/NAT och klicka sedan på fliken NAT.
  • Klicka på knappen Lägg till källa Nat – regel
    • beskrivning – ’maskerad för vtun0’
    • utgående gränssnitt – Välj ’Vtun0’
    • översättning – välj ’Använd maskerad’
    • protokoll-Välj ’alla protokoll’
    • Klicka på Spara
  • dra den nya vtun0-raden ovanför Wan-raden och klicka sedan på ’Spara Regelordning’

Super enkel.

Jag önskar att jag hade vetat om singeln *.ovpn-alternativet innan jag började, eftersom min vtun0 är inställd med certs (för delad IP VPN), men min vtun1 är inställd med en enda konfigurationsfil (för statisk IP VPN).

Vad är nästa på min konfigurationslista?

Tja, i verkligheten behöver jag inte delad IP VPN (vtun0) på routern, jag behöver bara det på min dator, och TorGuard har en Mac-klient för det. Vad jag sannolikt vill ha som en permanent uppsättning är Apple TV för att använda den statiska IP VPN (vtun1). Nästa konfigurationsmål är att:

  • Ställ in en DHCP-statisk tilldelning för Apple TV (lätt att göra i användargränssnittet)
  • Ställ in en klientgrupp som Apple TV kommer att vara isär av
  • tilldela den klientgruppen till vtun1-anslutningen.

När jag är klar kan jag få alla enheter att använda WAN, förutom Apple TV som alltid kommer att använda vtun1. På så sätt behöver jag inte starta och stänga av vtun1 på routern för att använda den statiska IP VPN med Apple TV.

Lämna ett svar

Din e-postadress kommer inte publiceras.