Paano mag-set up ng VPN sa iyong router gamit ang OpenVPN nang paunti-unti

  • Mga kalamangan, disbentaha, at mga pangunahing kinakailangan para sa pag-set up ng OpenVPN sa isang router sa bahay o propesyonal.
  • Mga praktikal na gabay para sa pag-configure ng OpenVPN sa mga TP-Link, ASUS at Omada router.
  • Mga rekomendasyon sa pag-encrypt, advanced na seguridad, at pag-troubleshoot ng mga karaniwang error sa koneksyon.
  • Mga alternatibo sa OpenVPN at mga tip sa pagpili ng pinakaangkop na VPN at kagamitan para sa bawat senaryo.
Daniel Terrasa

14 Minutos

Na-configure ang router gamit ang OpenVPN server

I-configure ang VPN nang direkta sa router gamit ang OpenVPN Isa ito sa pinakamalakas at pinaka-flexible na paraan upang protektahan ang iyong buong network ng tahanan o negosyo nang walang abala sa pag-install ng mga app sa bawat device. Kapag nagawa nang tama, anumang device na kumokonekta sa iyong Wi-Fi o sa pamamagitan ng cable ay makaka-access sa internet sa pamamagitan ng isang naka-encrypt na tunnel, na parang pisikal itong nasa ibang network.

Ang gabay na ito ay nangangalap, muling nag-oorganisa, at nagpapalawak ng teknikal na impormasyon mula sa mga tagagawa tulad ng TP-Link, ASUS, Omada, at ang opisyal na dokumentasyon ng OpenVPN para makuha mo ang lahat ng kailangan mo sa isang artikulo: kung ano ito OpenVPNAno ang mga mapapala at mawawala sa paggamit nito, paano ito i-set up sa mga router at server, paano kumonekta mula sa PC at mobile, at paano lutasin ang mga pinakakaraniwang error.

Ano ang OpenVPN at bakit mo ito gagamitin sa iyong router?

Ang OpenVPN ay isang bukas na mapagkukunang software ng VPN Lumilikha ito ng isang naka-encrypt na "tunnel" sa pagitan ng isang client (iyong laptop, mobile phone, atbp.) at isang server (iyong router, isang Linux server, isang NAS, atbp.). Gumagana ito sa pamamagitan ng SSL/TLS, na nagpapahintulot sa paggamit ng mga digital na sertipiko, key, username at password, at iba't ibang modernong algorithm ng pag-encrypt.

Isa sa mga malaking bentahe nito kumpara sa ibang mga protocol tulad ng IPsec ay ito ay mas madaling i-set upBukod pa rito, available ito sa halos anumang operating system (Windows, macOS, GNU/Linux, Android, iOS, routers, firewalls, NAS…).

Kapag na-install at na-activate mo ang OpenVPN sa router, Ang router mismo ay gumaganap bilang isang VPN server. Ang iyong lokal na network ay nagiging "secure side," at ang mga remote device (VPN client) ay kumokonekta mula sa labas ng iyong tahanan o opisina sa pamamagitan ng internet, na palaging naka-encrypt. Ang router ay gumaganap bilang isang gateway sa pagitan ng VPN at ng iyong LAN.

Ang resulta ay kaya mo ligtas na mag-browse mula sa mga pampublikong WiFi networkI-access ang iyong mga internal resources (NAS, printer, IP camera, SMB/FTP server…) na parang nasa bahay ka lang, at itago rin ang iyong totoong IP o i-bypass ang mga geographical block depende sa kung paano mo ise-set up ang configuration.

openvpn

Mga kalamangan at kahinaan ng paggamit ng VPN at OpenVPN

Ang pag-set up ng VPN sa router gamit ang OpenVPN ay maraming praktikal na pakinabangNgunit mayroon ding ilang mga disbentaha na dapat mong malaman bago magsimula, upang mapili mo ang tamang kagamitan, internet provider, at paraan ng pag-install. Narito ang listahan:

  • Kakayahang baguhin o itago ang iyong IP address.
  • I-encrypt ang trapiko para maiwasan ang pagiging minamasdan (lalo na kapaki-pakinabang sa bukas na WiFi).
  • Pag-access sa nilalaman na pinaghihigpitan ng bansa.
  • Mag-browse nang may mas mataas na antas ng pagiging hindi nagpapakilala.

Sa seksyon ng privacy, Pinipigilan ng VPN ang sinuman na madaling makakita. Hindi sinusubaybayan ang mga website na binibisita mo at ang mga lokasyon kung saan ka kumukonekta, bagama't palaging may kaunting visibility ang iyong internet service provider. Gayunpaman, napakahirap pa ring subaybayan ka sa pamamagitan ng mga sniffer, unsecured access point, o mga shared network.

Kapalit, Ang pag-encrypt at pagruruta sa pamamagitan ng VPN server ay kumokonsumo ng mga mapagkukunan. May posibilidad din silang bawasan ang bilis at magagamit na bandwidth, lalo na kung mahina ang iyong router o gumagamit ka ng mga libreng serbisyo. Bukod pa rito, mahalaga pa rin ang isang mahusay na antivirus program, at dapat kang maging maingat kapag nagda-download ng software, dahil hindi ka pinoprotektahan ng VPN mula sa malware.

Nila lakas Ang mga ito ay seguridad, katatagan, malawak na hanay ng pagpapasadya (layer 2 o 3, TUN o TAP tunnels, dynamic IP na walang problema, NAT compatibility…) at mahusay na kontrol sa mga panuntunan ng firewall at mga boot script, ngunit nangangailangan ito ng mahusay na pag-unawa sa configuration nito, lalo na kung iko-customize mo ang mga algorithm at certificate.

Mga kinakailangan at mahahalagang konsiderasyon (CG-NAT, pampublikong IP at dynamic DNS)

Bago mo pa man i-activate ang OpenVPN sa router, may ilang bagay kang kailangang suriin. pangunahing puntos:

  • Kung sinusuportahan ng iyong router ang isang OpenVPN server.
  • Siguraduhing ang iyong koneksyon sa internet ay may pampublikong IP address.
  • Kung kailangan mong gumamit ng dynamic DNS.

Maraming mid-range at high-end routers mula sa TP-Link, ASUS, o Omada ang mayroon nang integrated OpenVPN server, ngunit hindi lahat ng modelo ay may kasamang ito, at hindi rin ito available sa lahat ng bersyon ng firmware. Maipapayo na... Suriin ang mga detalye ng iyong modelo at, kung kinakailangan, i-update ang firmware sa pinakabagong bersyon na inaalok ng tagagawa.

Ang pinakamahalagang kinakailangan ay magkaroon ng pampublikong IP address sa WAN ng routerKung ang iyong ISP ay gumagamit ng CG-NAT at nagbibigay sa iyo ng isang shared private IP address (karaniwan sa mga koneksyon ng 4G/5G o ilang partikular na ISP), hindi mo magagawang ipasa ang mga port mula sa internet papunta sa iyong router, kaya hindi maa-access ang VPN mula sa labas. Sa ganitong kaso, kakailanganin mong humiling ng static o pampublikong IP address mula sa iyong ISP.

Napakapraktikal na mahanap ang iyong router ayon sa pangalan at hindi sa numerical IP address. isaaktibo ang isang dynamic na serbisyo ng DNS sa mismong router (NO-IP, DynDNS, ang sariling serbisyo ng gumawa, atbp.). Sa ganitong paraan, makakakonekta ka sa mydomain.no-ip.org sa halip na isaulo ang iyong pampublikong IP address, na maaaring magbago.

Bukod dito, Inirerekomenda na maayos na i-synchronize ang oras ng system ng router sa Internet.Ito ay dahil ang mga digital na sertipiko at mga function ng TLS ay nakadepende sa mga tamang petsa at oras. Ang isang pagkakaiba ay maaaring magdulot ng mga hindi pangkaraniwang error sa pagpapatunay ng sertipiko.

openvpn

Paano gumagana ang OpenVPN sa teknikal na antas at kung anong mga mode ang inaalok nito (TUN/TAP, UDP/TCP)

Maaaring gumana ang OpenVPN nasa TUN o TAP modeat paggamit ng alinman sa UDP o TCP bilang transport protocol. Ang bawat pagpipilian ay nakakaapekto sa pagganap, compatibility, at ang uri ng network na nilikha sa pagitan ng client at server.

  • Ginagaya ng TUN mode ang isang point-to-point interface Ito ay eksklusibong gumagana sa trapiko ng IP. Ito ay mainam para sa paglikha ng isang bagong virtual subnet (halimbawa, 10.8.0.0/24) kung saan matatagpuan ang mga VPN client, hiwalay sa pisikal na LAN. Ito ang pinakakaraniwang mode para sa malayuang pag-access at karaniwang nag-aalok ng mas mahusay na pagganap.
  • Ginagaya ng TAP mode ang isang Layer 2 Ethernet interfaceKabilang dito ang direktang pag-encapsulate ng mga Ethernet frame. Pinapayagan nito ang mga remote device na nasa parehong subnet gaya ng LAN, na kapaki-pakinabang kapag gusto mong magmukhang "nakasaksak" ang mga VPN client sa local switch, bagama't maaari itong magdulot ng mga problema kung ang mga saklaw ng network ay magkakapatong at sa pangkalahatan ay hindi gaanong mahusay.

Tungkol sa protokol, Inirerekomenda ang UDP kaysa sa TCP Para sa VPN tunnel, mas mainam ang TCP dahil iniiwasan nito ang mga hindi kinakailangang internal retransmission at mas nakakayanan ang packet loss at denial-of-service attacks. Posible rin ang TCP, ngunit mas maraming overhead ang ipinakikilala nito at dinoble ang mga session control.

Sa pagsasagawa, ang karamihan sa mga inirerekomendang pagsasaayos Gumagamit sila ng TUN sa pamamagitan ng UDP, na may nakalaang virtual subnet para sa VPN at mga partikular na ruta upang ma-access ang LAN o upang pilitin ang lahat ng trapiko sa Internet na dumaan sa tunnel.

Encryption, mga sertipiko, at advanced na seguridad sa OpenVPN

Isa sa mga kalakasan ng OpenVPN ay ang pagbibigay-daan nito sa iyong pumili nang may lubos na katumpakan ng simetriko, asimetriko, at hash encryption algorithm, pati na rin ang bersyong TLS at iba't ibang karagdagang hakbang laban sa mga denial-of-service attack.

Para sa pampublikong pangunahing imprastraktura (PKI)Karaniwang gumamit ng mga sertipiko batay sa mga elliptic curve (EC) sa halip na klasikong RSA. Halimbawa, maaaring i-configure ang Easy-RSA 3 upang makabuo ng mga sertipiko ng CA, server certificate, at client gamit ang secp521r1 curve at lagdaan ang mga ito gamit ang SHA512, na nagreresulta sa lubos na ligtas at medyo magaan na mga key.

Sa channel ng kontrol (negosasyon sa TLS)Sinusuportahan ng OpenVPN ang kahit man lang TLS 1.2 at, sa mga bagong bersyon, ang TLS 1.3. Inirerekomenda ang malalakas na suite na may Perfect Forward Secrecy, tulad ng TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 o ang mas bagong TLS_AES_256_GCM_SHA384 at TLS_CHACHA20_POLY1305_SHA256 para sa TLS 1.3, at palaging tinitingnan sa openvpn --show-tls kung ano ang sinusuportahan ng iyong instalasyon.

Para sa channel ng datos (totoong trapiko ng VPN)Ang mga inirerekomendang cipher ay AES-256-GCM o AES-128-GCM, na nagsasama ng authentication (AEAD) at nag-aalis ng pangangailangan para sa isang hiwalay na hash. Kung ang iyong processor ay hindi sumusuporta sa AES-NI acceleration, ang CHACHA20-POLY1305 cipher ay karaniwang nag-aalok ng mas mahusay na pagganap at sinusuportahan din mula sa OpenVPN 2.5 pataas.

Ang isa pang mahalagang karagdagang layer ay ang paggamit ng karagdagang HMAC key Gamit ang tls-crypt (o tls-auth sa mga mas lumang bersyon), na nagpoprotekta sa unang yugto ng koneksyon laban sa pagbaha ng UDP port, mga SYN attack, at mga scan, itinatago rin nito ang mismong pre-shared key kapag ginagamit ang tls-crypt. Dapat ibahagi ng lahat ng kliyente ang parehong key na ito kung gagamitin mo ang unang bersyon, habang sa tls-crypt-v2, maaaring magkaroon ng iba't ibang key ang bawat kliyente.

openvpn

Paglikha ng PKI gamit ang Easy-RSA at organisasyon ng sertipiko

Kung magtatayo ka ng "purong" OpenVPN server sa GNU/Linux o katulad nitoAng karaniwang gawain ay ang paggawa ng sarili mong mga sertipiko gamit ang Easy-RSA 3, inaayos ang vars file upang tukuyin kung gagamit ka ng RSA o EC, ang hash, ang curve, ang expiration ng CA at ang mga sertipiko, atbp.

Pagkatapos kopyahin ang vars.example sa vars at i-edit ito, maaari mong piliin ang cn_only mode upang pasimplehin ang mga DN, i-activate ang EASYRSA_ALGO ec, piliin ang secp521r1 curve, i-configure ang expiration (halimbawa, 10 taon para sa CA at 1080 araw para sa mga certificate), at itakda ang EASYRSA_DIGEST sa sha512.

Kapag handa na ang file na iyon, i-initialize mo ang PKI gamit ang ./easyrsa init-pkiGagawin mo ang CA gamit ang ./easyrsa build-ca (mayroon o walang password sa private key) at mula doon, bubuo ka ng kahilingan para sa sertipiko para sa server at kahit gaano karaming sertipiko para sa mga kliyente ayon sa iyong pangangailangan, pagkatapos ay pipirmahan sila bilang server o kliyente ayon sa pagkakabanggit.

Sa puntong ito, lubos na inirerekomenda ayusin ang mga file sa mga malinaw na folder:

  • Isa para sa server (ca.crt, server.crt, server.key, ta.key, at opsyonal na dh.pem kung hindi ka gumagamit ng ECDHE).
  • Isa para sa bawat kliyente (ca.crt, clientX.crt, clientX.key at ta.key).

Sa ganitong paraan, maiiwasan mo ang paghahalo ng mga susi at sertipiko.

Bukod sa mga sertipiko, pinapayagan ng OpenVPN ang paggamit ng karagdagang pagpapatunay sa pamamagitan ng username/password, alinman laban sa mismong sistema, o laban sa isang RADIUS server o iba pang database, na nagpapatibay sa seguridad laban sa pagnanakaw ng sertipiko.

I-configure ang mga OpenVPN client sa mga PC, mobile device, at router

Ang susunod na hakbang ay i-configure ang mga remote clientna maaaring mga computer na may Windows o Linux, mga mobile na may Android/iOS, iba pang mga router, o kahit na mga kagamitan na kumokonekta mula sa isang controller tulad ng Omada.

Sa isang klasikong desktop clientAng client.ovpn file ay naglalaman ng mga direktiba tulad ng client, dev tun, proto udp, ang remote line na may pampublikong IP o domain ng router at ang napiling port, resolv-retry infinite, nobind at ang path papunta sa ca.crt, ang sariling certificate at key ng client, kasama ang tls-crypt ta.key.

Para sa karagdagang seguridad, Pinapatunayan ng kliyente ang server Sa `remote-cert-tls server`, gamitin ang parehong cipher at authentication gaya ng server, at mainam na kopyahin ang parehong sinusuportahang TLS suites. Mahalaga na magkatugma ang mga cipher at curve; kung hindi, mabibigo ang TLS handshake.

Sa Android, maaari mong gamitin ang opisyal na OpenVPN app. o mas advanced na mga third-party application na sumusuporta sa mga pinakabagong feature. Kadalasan, sapat na ang kopyahin ang folder na naglalaman ng ca.crt, cliente.crt, cliente.key, ta.key, at ang .ovpn file papunta sa memory ng iyong telepono, at pagkatapos ay i-import ang profile na iyon mula sa loob mismo ng app.

Sa Windows, ang OpenVPN Community client Karaniwan nitong inaasahan na kopyahin mo ang .ovpn file at mga certificate sa C:\Program Files\OpenVPN\config (o sa path na tinukoy noong ini-install). Pagkatapos, i-right-click ang OpenVPN icon sa system tray, piliin ang profile, at kumonekta.

pa extend ang link

I-configure ang OpenVPN sa mga TP-Link router

Maraming bagong henerasyon ng TP-Link routers ang may kasamang integrated OpenVPN server sa advanced web interface nito, na lubos na nagpapadali sa mga bagay-bagay dahil awtomatiko nitong binubuo ang mga certificate at ang .ovpn file para sa mga client.

Sa isang simpleng senaryo na may isang router sa networkAng proseso ay karaniwang ganito: pumunta sa web interface, pumunta sa Advanced > VPN Server > OpenVPN, lagyan ng tsek ang Enable VPN server at, kung ito ang unang beses, i-click ang Generate para gawin ang internal certificate.

Susunod, gagawin ang pagpili uri ng serbisyo (UDP o TCP), ang service port ay tinukoy sa pagitan ng 1024 at 65535, ang VPN subnet at mask ay na-configure, at ang uri ng access ng client ay pipiliin: Home network lamang (LAN 192.168.xx lamang) o Internet at home network (lahat ng trapiko sa Internet ay dumadaan sa VPN).

Pagkatapos i-save ang configuration at bumuo/mag-update ng mga certificateI-click ang Export para i-download ang OpenVPN configuration file na gagamitin ng mga client. Pagkatapos, i-install lang ang OpenVPN client sa iyong PC o mobile device, kopyahin ang na-export na file sa config folder, at kumonekta.

Kapag mayroong dalawa o higit pang mga router sa topolohiya ng bahay (halimbawa, isang ISP router at isang TP-Link router sa likod nito), bukod sa pag-configure ng OpenVPN sa pangalawang router, kakailanganin mo ring lumikha ng port forwarding (virtual server) sa una, na itinuturo ang external port sa LAN IP ng pangalawa at sa parehong internal port na ginagamit ng OpenVPN.

I-configure ang OpenVPN sa mga ASUS router

Los Mga ASUS router na may ASUSWRT firmware Kasama rin dito ang isang OpenVPN server na may medyo user-friendly na graphical interface, bagama't bahagyang nagbabago ang mga screen sa pagitan ng mga bersyon ng firmware bago at pagkatapos ng 3.0.0.4.388.xxxx.

Nagsisimula ang proseso pag-access sa GUI ng router Mula sa http://www.asusrouter.com o sa iyong LAN IP, mag-log in gamit ang username at password ng iyong administrator at pumunta sa VPN > VPN Server para i-activate ang OpenVPN.

Sa mga pangkalahatang setting tinukoy ang port ng server (halimbawa, 2000 o isang halaga sa pagitan ng 1024 at 65535), ang default na haba ng RSA encryption, at muli kung ang mga kliyente ay makaka-access lamang sa lokal na network o maging sa Internet sa pamamagitan ng router.

Kapag nailapat na ang lahat, Ang client.ovpn file ay nai-export na Mula sa seksyon ng OpenVPN server. Kasama na sa file na iyon ang mga kinakailangang sertipiko, key, at parameter. Kung babaguhin mo ang mga key o sertipiko sa ibang pagkakataon, kakailanganin mong i-export muli ito at ipamahagi sa mga kliyente.

Sa seksyong Mga Detalye ng VPN > Mga Advanced na Setting Maaari mong manu-manong i-edit ang mga key at certificate, isaayos ang mga parameter tulad ng bersyon o algorithm ng TLS, at iakma ang configuration sa mas mahigpit na mga kapaligiran nang hindi inaalis ang firmware.

I-configure ang OpenVPN sa Omada (TP-Link) bilang isang server at lumikha ng mga user

Sa mga kapaligirang pinamamahalaan ng controller omada Maaari mong tukuyin ang mga patakaran ng OpenVPN Server-type na VPN para sa Client-to-Site access, na mainam kapag gusto mong i-sentralisa ang pamamahala sa iisang panel.

Mula sa controller na iyong ina-access Configuration> VPNI-click mo ang Add para gumawa ng bagong patakaran at tukuyin ang pangalan (halimbawa "test"), itakda ito sa Enabled, piliin ang Client to Site Purpose at VPN Type: VPN Server - OpenVPN.

Sa parehong patakarang iyon Ikaw ang magpapasya kung gagamit ng hati o buong tunnelPumili sa pagitan ng Split Tunnel, para ang trapiko lamang patungo sa internal network ang dumadaan sa VPN, o Full Tunnel, para lahat ng trapiko sa internet ay dumadaan din sa server. Pipiliin mo rin ang protocol (TCP/UDP), ang service port (default 1194), ang authentication mode (local), ang uri ng local network, at ang hanay ng mga IP address na itatalaga sa mga client.

Pagkatapos Lumilikha ka ng mga VPN user sa Mga Setting > VPN > Mga UserKabilang dito ang pagtatalaga ng pangalan ng account at password, pagpili ng OpenVPN protocol, at pag-link ng user sa bagong gawang VPN server. Pagkatapos, magkakaroon ang bawat user ng kani-kanilang mga pangunahing kredensyal.

Panghuli, ang .ovpn file ay ine-export mula sa listahan ng patakaran.Kopyahin ang file sa client (PC, laptop, atbp.), i-install ang OpenVPN Community software, ilagay ang file sa config folder, at kumonekta. Maaari mong tingnan ang status sa controller sa ilalim ng Insight > VPN Status.

Mga kamakailang update sa OpenVPN at mga alternatibong magagamit

Patuloy na nagbabago ang OpenVPN sa bawat bersyonpagdaragdag ng mga pagpapabuti sa seguridad, pagganap, at usability. Kabilang sa mga kamakailang pagbabago ang tls-crypt-v2 (upang magtalaga ng mga client-specific key at higit pang mapagaan ang mga DoS attack), suporta para sa CHACHA20-POLY1305, at pinahusay na negosasyon ng mga data cipher gamit ang mga data cipher.

Kasabay nito, Binawi na ang suporta para sa mga hindi na ginagamit na cipher tulad ng BF-CBC sa mga default na configuration, na nagtutulak sa mga administrator na gumamit ng AES-GCM o CHACHA20, na mas ligtas at mas mabilis sa pagsasagawa.

Sa mga kompanya, karaniwan din ito pagsamahin ang OpenVPN gamit ang mga solusyon sa cloud tulad ng Azure VPN Gateway o sa pamamagitan ng mga firewall na nagsasama ng IPsec at iba pang mga protocol para sa mga koneksyon sa site-to-site, habang sa mga kapaligiran sa bahay, ang isang mahusay na na-configure na OpenVPN-compatible na router ay karaniwang nagbibigay ng lahat ng kailangan.

Sa lahat ng nakikita, I-configure ang VPN sa iyong router gamit ang OpenVPN Mula sa pagiging isang misteryoso, ito ay nagiging isang ganap na madaling pamahalaang proyekto kung matutugunan mo ang mga pangunahing kinakailangan (pampublikong IP, tugmang router, kaunting pasensya) at susundin ang isang malinaw na istruktura: maghanda ng mga sertipiko o gamitin ang mga nabuo ng router, i-activate at ayusin ang server, i-export ang configuration para sa mga kliyente at mahinahong subukan, itatama ang mga karaniwang error; bilang kapalit, makakakuha ka ng mas ligtas at flexible na network, handa para sa teleworking at para protektahan ang lahat ng device sa bahay sa isang iglap.