Virtuální privátní sítě (VPN) lze využít pro řadu velmi užitečných aplikací. Můžete se bezpečně připojit k jakémukoli veřejnému WiFi hotspotu. Můžete překonat omezení geografického blokování na svých oblíbených webových stránkách. A dokonce se můžete připojit ke své domácí nebo kancelářské síti odkudkoli na světě, jako byste seděli přímo u svého stolu. Tato příručka vás provede procesem nastavení vašeho vlastního serveru OpenVPN a připojení k němu pomocí vaší kopie Viscosity.

Provozování vlastního serveru OpenVPN vám umožní zašifrovat vše, co děláte na internetu, takže můžete bezpečně provádět online bankovnictví na bezplatné WiFi ve vaší oblíbené kavárně. Vše, co odešlete přes připojení VPN, bude z vašeho zařízení šifrováno, dokud se nedostane na váš server OpenVPN doma. Nastavením vašeho OpenVPN serveru pro přístup k vaší domácí nebo kancelářské síti získáte plný přístup ke všem vašim souborům ve vaší síti.

Tato příručka vás provede kroky souvisejícími s nastavením serveru OpenVPN na instanci DD-WRT, která vám umožní bezpečný přístup k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni posílá veškerý síťový provoz, abyste měli přístup. také internet bezpečně.

Protože se DD-WRT primárně používá na hardwaru routeru, budeme předpokládat, že instance DD-WRT má přímé připojení k internetu a vlastní IP adresu. Proto nebudeme zvažovat žádné problémy související s umístěním vaší instance DD-WRT za jiným routerem.

Příprava

Pro tuto příručku předpokládáme:

• Již jste nainstalovali příslušnou verzi DD-WRT pro hardware vašeho routeru
• DD-WRT bylo nastaveno s alespoň rozhraním WAN a LAN
• Během této příručky jste se svým klientským zařízením připojeni k serveru DD-WRT prostřednictvím jeho rozhraní LAN
• Tato instalace DD-WRT je nová instalace
• Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii DD-WRT, informace naleznete na http://www.dd-wrt.com/wiki/index.php/Installation. Nebudeme se zabývat podrobnostmi nastavení instance DD-WRT, mnoho průvodců lze nalézt online. Bez ohledu na verzi DD-WRT, kterou používáte, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Vaše klientské zařízení musí být připojeno k serveru DD-WRT přes rozhraní LAN. To je nezbytné, abyste měli přístup k ovládacímu panelu a mohli upravit konfiguraci DD-WRT. Specifika toho, jak toho můžete dosáhnout, závisí na konkrétní konfiguraci sítě.

Pokud ještě nemáte na svém klientovi nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a co nejlépe ji využít. Důkladně jsme otestovali kroky v této příručce, abychom zajistili, že pokud budete postupovat podle pokynů podrobně uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

Pro další informace nebo pomoc s DD-WRT doporučujeme podívat se na https://dd-wrt.com/support/

Generování certifikátů a klíčů

Dalším krokem je vygenerování vašich konfigurací pro server a vaše klienty, stejně jako certifikáty k nim. Můžete to snadno provést podle Průvodce vytvářením certifikátů a klíčů. Vygenerujte vše na svém PC nebo Macu a poté si poznamenejte cestu k vašemu serveru složku, která je vytvořena, budeme zde soubory později používat.

Pokud používáte výchozí DNS Server (10.8.0.1), budete si muset DNS server nastavit sami, pokyny jsou na konci tohoto článku. Místo toho doporučujeme použít existující DNS server, veřejně dostupný DNS server, jako je Google (8.8.8.8 a 8.8.4.4), je nejjednodušší.

Vytvoření serveru OpenVPN

Nyní můžeme použít webový ovládací panel k nastavení serveru OpenVPN na naší instanci DD-WRT. K ovládacímu panelu se musíte přihlásit ze svého klientského zařízení připojeného k rozhraní LAN serveru DD-WRT. Upozorňujeme, že „C:\cesta\k“ a „cesta/k/“ níže by měly být nahrazeny umístěním, kde jste vytvořili svůj certifikát/klíče.

1. Otevřete prohlížeč na svém klientovi a přejděte na IP adresu rozhraní LAN vašeho serveru DD-WRT (něco jako http://192.168.1.1 ). Pokud se k ovládacímu panelu DD-WRT přihlašujete poprvé, zobrazí se výzva k vytvoření nových přihlašovacích údajů.
   
   
   
   
   
2. Klikněte na Services a poté VPN tab.
3. V Démonu OpenVPN klikněte na Povolit . Tím se sekce rozšíří a poskytne vám oblasti pro vložení do certifikátů, které jsme vytvořili výše.
4. Ujistěte se, že Typ zahájení parametr je nastaven na WAN Up .
5. Na svém klientském zařízení si v terminálu (Mac) nebo příkazovém řádku (Windows) přečtěte obsah souboru ca.crt soubor zadáním:

   Mac

   cat path/to/server/ca.crt

   Windows

   type "C:\path\to\server\ca.crt"

6. Zkopírujte výstup tohoto příkazu (včetně částí -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----) a vložte jej do ovládacího panelu DD-WRT sekce označená CA Cert .
7. Zkopírujte výstup z následujícího příkazu a vložte jej do Public Server Cert části ovládacího panelu DD-WRT:

   Mac

   cat path/to/server/server.crt

   Windows

   type "C:\path\to\server\server.crt"

8. Zkopírujte výstup z následujícího příkazu a vložte jej do Private Server Key části ovládacího panelu DD-WRT.

   Mac

   cat path/to/server/server.key

   Windows

   type "C:\path\to\server\server.key"

9. Zkopírujte výstup parametrů Diffie Hellmana a vložte jej do DH PEM části ovládacího panelu DD-WRT:

   Mac

   cat path/to/server/dh.pem

   Windows

   type "C:\path\to\server\dh.pem"

Nakonec musíme vložit konfiguraci serveru. Vložte následující do OpenVPN Config sekce ovládacího panelu DD-WRT:

# The credential files
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem

# Our VPN connection will be transported over UDP
proto udp

# The server needs to keep a record of client virtual IP addresses so that they
# can be reassigned if the server goes down
ifconfig-pool-persist /tmp/openvpn/ip-pool.txt

# To ensure that each side of the VPN knows if the connection has been severed,
# we want to ping each side every 10 seconds. If either side fails to recieve a
# ping within 2 minutes, then it will assume the other side is down
keepalive 10 120

# To avoid attempting to access resources that may no longer be accessible on
# restart
persist-key
persist-tun

# To write (and rewrite) a short summary of current VPN connections every minute
# to a file
status /tmp/openvpn/openvpn-status.log

# The verbosity of this connection logging (displayed in the Viscosity 'Details'
# window) can range from 0 (silent) to 9 extremely verbose. We will use the
# default of 3
verb 3

# To prevent more than 10 duplicates of the same log message in a row from
# flooding the Viscosity log
mute 10

# Provide GUI access over port 5002
management 127.0.0.1 5002

# This server will use the default OpenVPN port (1194)
port 1194

# We need the VPN to create a tun network interface through which we can route
# all our traffic
dev tun0

# The VPN requires a private IP subnet. We will use the default OpenVPN IP
# subnet
server 10.8.0.0 255.255.255.0

# We want VPN clients connected to this server to be able to access any hosts
# accessible on your home network. We are assuming that your local network
# subnet is 192.168.0.x/24. If it is something else, you will need to change the
# IP address in the command below
push "route 192.168.0.0 255.255.255.0"

# We want to allow hosts connected to the OpenVPN server to be able to see each
# other
client-to-client

Věnujte zvláštní pozornost IP adrese v push "route 192.168.0.0 255.255.255.0" . Ujistěte se, že tato podsíť odpovídá vaší domácí/kancelářské podsíti LAN IP. Pokud nenastavujete tento VPN server pro přístup k vaší domácí/kancelářské LAN, můžete tento řádek okomentovat. Až budete hotovi, klikněte na Apply Settings tlačítko ve spodní části. To způsobí, že se server OpenVPN spustí s těmito nastaveními.

Nastavení serveru DNS

Pokud plánujete šifrování veškerého síťového provozu přes váš VPN server, pak se doporučuje povolit váš vlastní DNS server.

1. Klikněte na Setup na webovém ovládacím panelu a přejděte dolů na Nastavení serveru síťových adres (DHCP) sekce.
2. Ujistěte se, že jsou zaškrtnuta všechna tři následující nastavení:

   • Použijte DNSMasq pro DHCP
   • Použijte DNSMasq pro DNS
   • DHCP-Autoritativní

3. Klikněte na tlačítko Apply Settings tlačítko pro uložení těchto změn.
4. Klikněte na Služby a poté přejděte dolů na DNSMasq sekce.
5. Ujistěte se, že jsou povolena obě následující nastavení:

   • DNSMasq
   • Místní DNS

6. Pod těmito nastaveními byste měli vidět pole pro Další možnosti DNSMasq . Do tohoto pole zkopírujte následující řádky:

   domain-needed
   bogus-priv
   
   interface=tun0
   listen-address=127.0.0.1
   
   server=8.8.8.8
   server=8.8.4.4

   kde používáme servery Google DNS (8.8.8.8 a 8.8.4.4). Pokud máte jiného poskytovatele služeb DNS na výběr, můžete zde použít jeho servery.

7. Klikněte na tlačítko Apply Settings tlačítko v dolní části stránky. Tím se restartuje server DNSMasq s těmito nastaveními.

Časový server

Je dobré správně nastavit hodiny na vašem DD-WRT routeru.

1. Klikněte na Setup a přejděte dolů na Nastavení času sekce.
2. Nastavte čas podle vaší oblasti. Vyhledávání Google pro časový server vaší oblasti by vám mělo poskytnout příslušnou IP/název serveru (například pool.ntp.org).
   
   
   
   
   
3. Klikněte na tlačítko Apply Settings tlačítko v dolní části stránky.
4. Chcete-li potvrdit, že nastavení času bylo použito, klikněte na Administration a poté klikněte na Commands podzáložka.
5. V části Příkazy do pole zadejte:

   date

   a stiskněte Run Commands knoflík. To by mělo vypsat aktuální datum a čas (nejpravděpodobněji v časovém pásmu UTC).

Nastavení brány firewall

1. Klikněte na Administration a poté klikněte na Commands podzáložka.
2. Zkopírujte následující položky do Příkazů box:

   iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
   iptables -I FORWARD -p udp -s 10.8.0.0/24 -j ACCEPT
   iptables -I INPUT -p udp --dport=1194 -j ACCEPT
   iptables -I OUTPUT -p udp --sport=1194 -j ACCEPT
   
   iptables -I INPUT -p udp -i eth0 -j ACCEPT
   iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
   iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
   
   iptables -I INPUT -p udp -i br0 -j ACCEPT
   iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
   iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

3. Klikněte na tlačítko Save Firewall knoflík.

Nastavení viskozity

Posledním krokem je nastavení viskozity. Díky openvpn-generate je to stejně snadné jako import a připojení.

Import

Zkopírujte svůj soubor *.visz, který jste vytvořili pomocí openvpn-generate, do počítače Mac nebo Windows s nainstalovanou viskozitou a dvakrát na soubor klikněte. Měli byste vidět výzvu, že konfigurace byla úspěšně importována.

Připojení a používání připojení VPN

Nyní jste připraveni se připojit. Kliknutím na ikonu Viscosity na liště nabídky macOS nebo na systémové liště Windows otevřete nabídku Viscosity Menu, vyberte připojení, které jste importovali, a Viscosity se připojí.

Chcete-li zkontrolovat, zda je VPN v provozu, můžete otevřít okno Podrobnosti z nabídky Viskozita. To vám umožní zobrazit podrobnosti o připojení, provoz a protokol OpenVPN.

To je vše, nastavili jste svůj vlastní server OpenVPN. Gratulujeme, nyní můžete zdarma využívat výhod provozování vlastního serveru OpenVPN!