NỘI DUNG KHÔNG ĐƯỢC CHỨNG MINH
Vài tuần trước chúng tôi đã cài đặt Tomato , một chương trình cơ sở bộ định tuyến nguồn mở, trên Linksys WRT54GL của bạn. Hôm nay chúng ta sẽ hướng dẫn cách cài đặt OpenVPN cùng với Tomato và thiết lập nó để truy cập mạng gia đình của bạn từ mọi nơi trên thế giới!
OpenVPN là gì?
Mạng riêng ảo [VPN] là một kết nối an toàn, đáng tin cậy giữa một mạng cục bộ [LAN] và một mạng khác. Hãy coi bộ định tuyến của bạn là người trung gian giữa các mạng mà bạn đang kết nối. Cả máy tính của bạn và máy chủ OpenVPN [trong trường hợp này là bộ định tuyến của bạn] “bắt tay” bằng cách sử dụng các chứng chỉ xác thực lẫn nhau. Sau khi xác thực, cả máy khách và máy chủ đồng ý tin tưởng lẫn nhau và sau đó máy khách được phép truy cập vào mạng của máy chủ.
Thông thường, phần mềm và phần cứng VPN tốn rất nhiều tiền để thực hiện. Nếu bạn chưa đoán ra thì OpenVPN là một giải pháp VPN mã nguồn mở miễn phí [trống cuộn]. Tomato, cùng với OpenVPN, là một giải pháp hoàn hảo cho những ai muốn có kết nối an toàn giữa hai mạng mà không cần phải mở ví của họ. Tất nhiên, OpenVPN sẽ không hoạt động ngay lập tức. Cần một chút tinh chỉnh và cấu hình để làm cho nó vừa phải. Không phải lo lắng mặc dù; chúng tôi ở đây để giúp bạn thực hiện quá trình đó dễ dàng hơn, vì vậy hãy lấy cho mình một tách cà phê ấm và bắt đầu.
Để biết thêm thông tin về OpenVPN, hãy truy cập trang chính thức OpenVPN là gì? trang.
Điều kiện tiên quyết
Hướng dẫn này giả định rằng bạn hiện đang chạy Windows 7 trên PC và bạn đang sử dụng tài khoản quản trị. Nếu bạn là người dùng Mac hoặc Linux, hướng dẫn này sẽ cung cấp cho bạn ý tưởng về cách mọi thứ hoạt động, tuy nhiên, bạn có thể phải tự mình nghiên cứu thêm một chút để hoàn thiện mọi thứ. Ngoài ra, chúng tôi sẽ cài đặt một phiên bản đặc biệt của Tomato có tên là TomatoUSB VPN trên bộ định tuyến Linksys WRT54GL phiên bản 1.1. Để biết liệu bộ định tuyến của bạn có tương thích với TomatoUSB hay không, hãy xem Các loại bản dựng trang.
Phần đầu của hướng dẫn này giả định rằng bạn có:
- chương trình cơ sở Linksys gốc được cài đặt trên bộ định tuyến của bạn hoặc
- phần mềm Tomato mà chúng tôi đã mô tả trong bài báo
Hãy lưu ý văn bản ở trên các bước nhất định cho biết đó là dành cho chương trình cơ sở Linksys hay chương trình cơ sở Tomato.
Cài đặt TomatoUSB
Trong một trước bài báo chúng tôi đã thảo luận về cách cài đặt chương trình cơ sở Tomato v1.28 gốc từ trang web của PolarCloud. Rất tiếc, phiên bản Tomato đó không đi kèm với hỗ trợ OpenVPN, vì vậy chúng tôi sẽ cài đặt phiên bản mới hơn có tên TomatoUSB VPN .
Điều đầu tiên bạn muốn làm là đi tới TomatoUSB trang chủ và nhấp vào liên kết Download Tomato USB.
Tải xuống VPN Bên dưới Kernel 2.4 [ổn định] phần. Lưu tệp .rar vào máy tính của bạn.
Bạn sẽ cần một chương trình để giải nén tệp .rar. Chúng tôi khuyên bạn nên sử dụng WinRAR vì nó miễn phí để dùng thử và dễ sử dụng. Bạn có thể tải xuống cho mình một bản sao của phiên bản miễn phí trên website . Sau khi cài đặt WinRAR, nhấp chuột phải vào tệp bạn đã tải xuống và nhấp vào Giải nén tại đây. Sau đó, bạn sẽ thấy hai tệp được gọi là CHANGELOG và cà chua-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ.
Nếu bạn đang chạy chương trình cơ sở Linksys…
Mở trình duyệt của bạn và nhập địa chỉ IP của bộ định tuyến [mặc định là 192.168.1.1]. Bạn sẽ được nhắc nhập tên người dùng và mật khẩu. Các giá trị mặc định cho Linksys WRT54GL là “admin” và “admin”.
Nhấp vào tab Quản trị ở trên cùng. Tiếp theo, nhấp vào Nâng cấp chương trình cơ sở như bên dưới.
Nhấp vào nút Duyệt qua và điều hướng đến các tệp TomatoUSB VPN được giải nén. Chọn cà chua-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ và nhấp vào nút Nâng cấp trong giao diện web. Bộ định tuyến của bạn sẽ bắt đầu cài đặt TomatoUSB VPN và sẽ mất chưa đầy một phút để hoàn tất. Sau khoảng một phút, hãy mở dấu nhắc lệnh và nhập ipconfig –release để xác định địa chỉ IP mới của bộ định tuyến của bạn. Sau đó gõ ipconfig –renew . Địa chỉ IP ở bên phải Cổng mặc định… là địa chỉ IP của bộ định tuyến của bạn.
Ghi chú : Sau khi cài đặt Tomato, vào Quản trị> Cấu hình và chọn “Xóa tất cả NVRAM…”.
Nếu bạn đang chạy chương trình cơ sở Tomato…
Mở trình duyệt của bạn và nhập địa chỉ IP của bộ định tuyến của bạn. Chúng tôi giả định rằng nếu bạn đã cài đặt Tomato, bạn biết địa chỉ IP của bộ định tuyến của mình. Nếu bạn không chắc chắn, thì có thể nó được đặt thành mặc định là 192.168.1.1. Sau đó, nhập tên người dùng và mật khẩu của bạn.
Mặc dù không bắt buộc, bạn có thể muốn sao lưu cấu hình Tomato hiện tại của mình trước khi nâng cấp lên TomatoUSB VPN, đề phòng. Để lưu cấu hình của bạn, hãy điều hướng đến Quản trị> Cấu hình và nhấp vào nút Sao lưu. Thao tác này sẽ nhắc bạn lưu tệp .cfg vào máy tính của bạn.
Bây giờ đã đến lúc nâng cấp Tomato lên TomatoUSB VPN. Nhấp vào Nâng cấp ở cột bên trái và nhấp vào nút Chọn tệp. Điều hướng đến các tệp chúng tôi đã trích xuất trước đó và chọn cà chua-ΝΔΥΣΒ-1.28.θ754-vpn3.6.τρχ tập tin. Sau đó nhấp vào nút nâng cấp.
Bạn sẽ được yêu cầu xác nhận việc nâng cấp; chỉ cần nhấp vào OK.
Bộ định tuyến của bạn sẽ bắt đầu tải lên chương trình cơ sở mới và sẽ khởi động lại trong vòng một phút.
Nó có thể có địa chỉ IP giống hoặc khác sau khi khởi động lại. Trong trường hợp của chúng tôi, cấu hình bộ định tuyến vẫn giống nhau do đó địa chỉ IP của chúng tôi vẫn như cũ. Để xác định địa chỉ IP mới của bộ định tuyến, hãy mở dấu nhắc lệnh và nhập ipconfig –release . Sau đó gõ ipconfig –renew . Địa chỉ IP ở bên phải Cổng mặc định… là địa chỉ bộ định tuyến của bạn. Nếu cấu hình của bạn được đặt lại về mặc định, hãy quay lại trang Cấu hình [Quản trị> Cấu hình] và nhấp vào nút Chọn tệp trong Khôi phục cấu hình. Duyệt tìm tệp .cfg bạn đã lưu vào máy tính của mình trước đó và nhấp vào nút Khôi phục.
Cấu hình OpenVPN
Cho dù bạn đã cài đặt chương trình cơ sở Linksys hay chương trình cơ sở Tomato, bây giờ bạn sẽ cài đặt TomatoUSB VPN mới trên bộ định tuyến của mình. Bạn sẽ nhận thấy một vài menu mới ở cột bên trái bao gồm Sử dụng web, USB và NAS và VPN Tunneling. Đối với hướng dẫn này, chúng tôi chỉ quan tâm đến menu VPN Tunneling, vì vậy hãy tiếp tục và nhấp vào VPN Tunneling. Giữ cửa sổ trình duyệt này mở; Chúng tôi sẽ quay lại nó trong thời gian ngắn.
Bây giờ chúng ta hãy đến với OpenVPN's Tải xuống và tải xuống OpenVPN Windows Installer. Trong hướng dẫn này, chúng tôi sẽ sử dụng phiên bản OpenVPN mới nhất thứ hai có tên 2.1.4. Phiên bản mới nhất [2.2.0] có bọ cánh cứng trong đó sẽ làm cho quá trình này phức tạp hơn. Tệp chúng tôi đang tải xuống sẽ cài đặt chương trình OpenVPN cho phép bạn kết nối với mạng VPN của mình, vì vậy hãy đảm bảo cài đặt chương trình này trên bất kỳ máy tính nào khác mà bạn muốn hoạt động như máy khách [vì chúng tôi sẽ xem cách thực hiện điều đó một lát sau]. Lưu tệp .exe openvpn-2.1.4-install vào máy tính của bạn.
Điều hướng đến tệp OpenVPN mà chúng tôi vừa tải xuống và nhấp đúp vào tệp đó. Thao tác này sẽ bắt đầu cài đặt OpenVPN trên máy tính của bạn. Chạy qua trình cài đặt với tất cả các giá trị mặc định đã được chọn. Trong quá trình cài đặt, một hộp thoại sẽ bật lên yêu cầu cài đặt bộ điều hợp mạng ảo mới có tên TAP-Win32. Nhấp vào nút Cài đặt.
Bây giờ bạn đã cài đặt OpenVPN trên máy tính của mình, chúng tôi phải bắt đầu tạo chứng chỉ và khóa để xác thực thiết bị.
Tạo chứng chỉ và chìa khóa
Nhấp vào nút Bắt đầu của Windows và điều hướng trong Phụ kiện. Bạn sẽ thấy chương trình Command Prompt. Nhấp chuột phải vào nó và nhấp vào Chạy với tư cách quản trị viên.
Trong dấu nhắc lệnh, nhập cd c: \ Program Files [x86] \ OpenVPN \ easy-rsa nếu bạn đang chạy Windows 7 64-bit như bên dưới. Kiểu cd c: \ Program Files \ OpenVPN \ easy-rsa nếu bạn đang chạy Windows 32-bit 7. Sau đó nhấn Enter.
Bây giờ gõ init-config và nhấn Enter để sao chép hai tệp có tên vars.bat và openssl.cnf vào thư mục easy-rsa. Luôn cập nhật lệnh của bạn vì chúng tôi sẽ sớm quay lại với nó.
Hướng đến C: \ Program Files [x86] \ OpenVPN \ easy-rsa [hoặc là C: \ Program Files \ OpenVPN \ easy-rsa trên Windows 7 32-bit] và nhấp chuột phải vào tệp có tên Năm . Nhấp vào Chỉnh sửa để mở nó trong Notepad. Ngoài ra, chúng tôi khuyên bạn nên mở tệp này bằng Notepad ++ vì nó định dạng văn bản trong tệp tốt hơn nhiều. Bạn có thể tải xuống Notepad ++ từ trang chủ .
Phần dưới cùng của tệp là những gì chúng tôi quan tâm. Bắt đầu từ dòng 31, thay đổi KEY_COUNTRY giá trị, KEY_PROVINCE giá trị, v.v. đối với quốc gia, tỉnh của bạn, v.v. Ví dụ: chúng tôi đã thay đổi tỉnh thành “IL”, thành phố thành “Chicago”, tổ chức thành “HowToGeek” và gửi email đến địa chỉ email của chính chúng tôi. Ngoài ra, nếu bạn đang chạy Windows 7 64-bit, hãy thay đổi TRANG CHỦ giá trị ở dòng 6 thành % ProgramFiles [x86]% \ OpenVPN \ easy-rsa . Không thay đổi giá trị này nếu bạn đang chạy Windows 32-bit 7. Tệp của bạn sẽ trông giống với giá trị của chúng tôi bên dưới [tất nhiên với các giá trị tương ứng của bạn]. Lưu tệp bằng cách ghi đè lên sau khi bạn chỉnh sửa xong.
Quay lại dấu nhắc lệnh của bạn và nhập ai và nhấn Enter. Sau đó gõ làm sạch tất cả và nhấn Enter. Cuối cùng, gõ build-ca và nhấn Enter.
Sau khi thực hiện build-ca lệnh, bạn sẽ được nhắc nhập Tên quốc gia, Tiểu bang, Địa phương, v.v. Vì chúng tôi đã thiết lập các tham số này trong Năm , chúng ta có thể bỏ qua các tùy chọn này bằng cách nhấn Enter, nhưng! Trước khi bạn bắt đầu nhấn phím Enter, hãy để ý thông số Common Name. Bạn có thể nhập bất kỳ thứ gì vào tham số này [tức là tên của bạn]. Chỉ cần đảm bảo bạn nhập cái gì đó . Lệnh này sẽ xuất ra hai tệp [chứng chỉ Root CA và khóa CA gốc] trong thư mục easy-rsa / key.
Bây giờ chúng ta sẽ xây dựng khóa cho khách hàng. Trong cùng một loại dấu nhắc lệnh khóa xây dựng client1 . Bạn có thể thay đổi “client1” thành bất kỳ thứ gì bạn muốn [tức là Acer-Laptop]. Chỉ cần đảm bảo nhập tên giống với Tên chung khi được nhắc. Ví dụ: khi bạn chạy lệnh máy tính xách tay Acer-key xây dựng , Tên thường gọi của bạn phải là “Acer-Laptop”. Chạy qua tất cả các giá trị mặc định như bước cuối cùng chúng ta đã làm [tất nhiên là ngoại trừ Tên chung]. Tuy nhiên, ở phần cuối, bạn sẽ được yêu cầu ký vào chứng chỉ và cam kết. Nhập “y” cho cả hai và nhấp Enter.
Ngoài ra, đừng lo lắng nếu bạn nhận được lỗi "không thể viết" trạng thái ngẫu nhiên "". Tôi nhận thấy rằng chứng chỉ của bạn vẫn được tạo mà không gặp sự cố. Lệnh này sẽ xuất ra hai tệp [một Khóa Client1 và Chứng chỉ Client1] trong thư mục easy-rsa / key. Nếu bạn muốn tạo một khóa khác cho ứng dụng khách khác, hãy lặp lại bước trước đó, nhưng hãy đảm bảo thay đổi Tên chung.
Chứng chỉ cuối cùng mà chúng tôi sẽ tạo là khóa máy chủ. Trong cùng một dấu nhắc lệnh, hãy nhập build-key-server người phục vụ . Bạn có thể thay thế "máy chủ" ở cuối lệnh bằng bất kỳ thứ gì bạn muốn [tức là HowToGeek-Server]. Như mọi khi, hãy đảm bảo nhập cùng tên với Tên chung khi được nhắc. Ví dụ: khi bạn chạy lệnh build-key-server HowToGeek-Server , Tên thường gọi của bạn phải là “HowToGeek-Server”. Nhấn Enter và chạy qua tất cả các giá trị mặc định ngoại trừ Tên chung. Ở cuối, gõ “y” để ký chứng chỉ và cam kết. Lệnh này sẽ xuất ra hai tệp [Khóa máy chủ và Chứng chỉ máy chủ] trong thư mục easy-rsa / key.
Bây giờ chúng ta phải tạo các tham số Diffie Hellman. Giao thức Diffie Hellman “cho phép hai người dùng trao đổi khóa bí mật qua một phương tiện không an toàn mà không có bất kỳ bí mật nào trước đó”. Bạn có thể đọc thêm về Diffie Hellman trên trang web của RSA.
Trong cùng một loại dấu nhắc lệnh build-dh . Lệnh này sẽ xuất ra một tệp [dh1024.pem] trong thư mục easy-rsa / keys.
Tạo tệp cấu hình cho máy khách
Trước khi chỉnh sửa bất kỳ tệp cấu hình nào, chúng tôi nên thiết lập một dịch vụ DNS động. Sử dụng dịch vụ này nếu ISP của bạn thường xuyên cấp cho bạn một địa chỉ IP động bên ngoài. Nếu bạn có địa chỉ IP tĩnh bên ngoài, hãy chuyển sang bước tiếp theo.
Chúng tôi đề nghị sử dụng DynDNS.com , một dịch vụ cho phép bạn trỏ tên máy chủ [tức là howtogeek.dyndns.org] đến một địa chỉ IP động. Điều quan trọng đối với OpenVPN là luôn biết địa chỉ IP công cộng của mạng của bạn và bằng cách sử dụng DynDNS, OpenVPN sẽ luôn biết cách định vị mạng của bạn bất kể địa chỉ IP công cộng của bạn là gì. Đăng ký một tên máy chủ và chỉ nó cho công chúng của bạn địa chỉ IP . Sau khi bạn đã đăng ký dịch vụ, đừng quên thiết lập dịch vụ tự động cập nhật trong Tomato trong Cơ bản> DDNS.
Bây giờ quay lại cấu hình OpenVPN. Trong Windows Explorer, điều hướng đến C: \ Program Files [x86] \ OpenVPN \ sample-config nếu bạn đang chạy Windows 7 64 bit hoặc C: \ Program Files \ OpenVPN \ sample-config nếu bạn đang chạy Windows 32-bit 7. Trong thư mục này, bạn sẽ tìm thấy ba tệp cấu hình mẫu; chúng tôi chỉ quan tâm đến client.ovpn file.
Nhấp chuột phải vào client.ovpn và mở nó bằng Notepad hoặc Notepad ++. Bạn sẽ nhận thấy tệp của mình sẽ giống như hình dưới đây:
Tuy nhiên, chúng tôi muốn client.ovpn tệp trông giống với điều này bức tranh dưới đây. Đảm bảo thay đổi tên máy chủ DynDNS thành tên máy chủ của bạn ở dòng 4 [hoặc thay đổi nó thành địa chỉ IP công cộng của bạn nếu bạn có địa chỉ tĩnh]. Để số cổng là 1194 vì đây là cổng OpenVPN tiêu chuẩn. Ngoài ra, hãy đảm bảo thay đổi dòng 11 và 12 để phản ánh tên của tệp chứng chỉ và tệp khóa của khách hàng của bạn. Lưu tệp này dưới dạng tệp .ovpn mới trong thư mục OpenVPN / config.
Định cấu hình đường hầm VPN của Tomato
Ý tưởng cơ bản bây giờ là sao chép các chứng chỉ và khóa máy chủ mà chúng tôi đã tạo trước đó và dán chúng vào menu máy chủ Tomato VPN. Sau đó, chúng tôi sẽ kiểm tra một số cài đặt trong Tomato, kiểm tra kết nối VPN và sau đó chúng tôi sẽ có thể rửa tay và gọi nó là một ngày!
Mở trình duyệt và điều hướng đến bộ định tuyến của bạn. Nhấp vào menu VPN Tunneling ở thanh bên trái. Đảm bảo rằng Server1 và Basic cũng được chọn. Thiết lập cài đặt của bạn chính xác như chúng xuất hiện bên dưới. Nhấp vào để lưu.
Cập nhật: Chế độ mặc định là TUN, hoặc đường hầm, nhưng bạn có thể muốn thay đổi nó thành TAP, chế độ kết nối mạng thay thế. Chế độ đường hầm sẽ đặt các máy khách bên ngoài của bạn vào một mạng khác với mạng nội bộ. Vì vậy, chắc chắn thay đổi Loại giao diện thành TAP để thay thế.
Tiếp theo, nhấp vào tab Nâng cao bên cạnh Cơ bản. Cũng giống như trước đây, hãy đảm bảo cài đặt của bạn chính xác như bên dưới. Nhấp vào để lưu.
Bước cuối cùng của chúng tôi là dán các khóa và chứng chỉ mà chúng tôi đã tạo ban đầu. Mở tab Phím bên cạnh Nâng cao. Trong Windows Explorer, điều hướng đến C: \ Program Files [x86] \ OpenVPN \ easy-rsa \ phím trên Windows 7 64-bit [hoặc C: \ Program Files \ OpenVPN \ easy-rsa \ key trên Windows 7 32-bit]. Mở từng tệp tương ứng bên dưới [ cacrt , server.crt , server.key và dh1024.pem ] bằng Notepad hoặc Notepad ++ và sao chép nội dung. Dán nội dung vào các ô tương ứng như bên dưới. Tôi nên lưu ý rằng bạn chỉ cần dán mọi thứ bên dưới —–BEGIN CHỨNG NHẬN—– trong server.crt . OpenVPN sẽ vẫn hoạt động bình thường nếu bạn dán toàn bộ tệp, nhưng "sạch" hơn khi chỉ dán thông tin chứng chỉ thực. Bấm Lưu rồi bấm Bắt đầu ngay.
Trước khi chúng tôi kiểm tra kết nối VPN của mình, còn một điều nữa chúng tôi phải kiểm tra bên trong Tomato. Nhấp vào Cơ bản ở cột bên trái, sau đó nhấp vào Thời gian. Đảm bảo rằng Thời gian bộ định tuyến là chính xác và Múi giờ hiển thị múi giờ hiện tại của bạn. Đặt Máy chủ thời gian NTP thành quốc gia của bạn.
Thiết lập ứng dụng khách OpenVPN
Trong ví dụ này, chúng tôi sẽ sử dụng máy tính xách tay Windows 7 làm khách hàng của mình. Điều đầu tiên bạn cần làm là cài đặt OpenVPN trên ứng dụng khách của mình như chúng tôi đã làm ở trên trong các bước đầu tiên trong Định cấu hình OpenVPN. Sau đó điều hướng đến C: \ Program Files \ OpenVPN \ config đó là nơi chúng tôi sẽ dán các tệp của mình.
Bây giờ chúng ta phải quay lại máy tính ban đầu và thu thập tổng cộng bốn tệp để sao chép sang máy tính xách tay của khách hàng. Hướng đến C: \ Program Files [x86] \ OpenVPN \ easy-rsa \ phím một lần nữa và sao chép cacrt , client1.crt và client1.key . Dán các tệp này vào máy khách cấu hình thư mục.
Cuối cùng, chúng ta cần sao chép thêm một tệp nữa. Hướng đến C: \ Program Files [x86] \ OpenVPN \ config và sao chép qua tệp client.ovpn mới mà chúng tôi đã tạo trước đó. Dán tệp này vào của khách hàng cấu hình thư mục cũng được.
Kiểm tra ứng dụng khách OpenVPN
Trên máy tính xách tay khách, nhấp vào nút Bắt đầu Windows và điều hướng đến Tất cả chương trình> OpenVPN. Nhấp chuột phải vào tệp OpenVPN GUI và nhấp vào Chạy với tư cách quản trị viên. Lưu ý rằng bạn phải luôn chạy OpenVPN với tư cách quản trị viên để nó hoạt động bình thường. Để đặt vĩnh viễn tệp luôn chạy với tư cách quản trị viên, hãy nhấp chuột phải vào tệp và nhấp vào Thuộc tính. Trong tab Tương thích, chọn Chạy chương trình này với tư cách quản trị viên.
Biểu tượng OpenVPN GUI sẽ xuất hiện bên cạnh đồng hồ trên thanh tác vụ. Nhấp chuột phải vào biểu tượng và nhấp vào Kết nối. Vì chúng tôi chỉ có một tệp .ovpn trong cấu hình thư mục, OpenVPN sẽ kết nối với mạng đó theo mặc định.
Một hộp thoại sẽ bật lên hiển thị nhật ký kết nối.
Khi bạn đã kết nối với VPN, biểu tượng OpenVPN trên thanh tác vụ sẽ chuyển sang màu xanh lục và sẽ hiển thị địa chỉ IP ảo của bạn.
Và thế là xong! Giờ đây, bạn có kết nối an toàn giữa máy chủ và mạng của khách hàng bằng OpenVPN và TomatoUSB. Để kiểm tra thêm kết nối, hãy thử mở trình duyệt trên máy tính xách tay của khách hàng và điều hướng đến bộ định tuyến Tomato của bạn trên mạng của máy chủ.
Hình ảnh của Ewan