weekend - projektet: etablering af et vpn - på din linux router eller gateway

,,,, vores seneste linux.com undersøgelsesresultater fortalte os, at de ønsker flere tutorials på stedet, således at vi i dag er indførelsen af en ny serie kaldet " weekend projekter. " disse tutorials vil løbe om fredagen, og det vil være længere end vores regelmæssige oprindelige tutorials, da de har til formål at give brugerne et sjovt projekt linux - at indlede i weekenden.jeg deler med dine venner og kolleger og have det sjovt med det!og som altid, lad os vide, hvis det ' er nyttige, og hvad andre emner, du gerne vil se i denne serie.,,, virtual private networks (vpn '), ikke længere er det yderst følsomme fjerntliggende kontor arbejdere.da arbejdsstyrken bliver mere mobile, og antallet af tilsluttede enheder i vores hjem stiger, og' er i stigende grad, at nødvendigheden af at forbinde vores hjem - nettet fra hotellet, netcafe eller blot fra hele byen.linux indeholder en lang række frie vpn - alternativer, som man kan oprette og test i et par timer, og'.hvis du kører en linux baseret router porten mellem din ian og internettet, opgave bliver enklere.,,, at få fart,,, - vpn 'kom i to grundlæggende smag (undtagen medicinske, single sælger tilbud, naturligvis): de, der bruger ipsec protokol, og dem, der bruger transport layer security (tls) eller dets forgænger ssl - til at skabe en tunnel mellem klient computer og vpn - server.ipsec er en officiel ietf specifikation, der fungerer som et sikkert internet lag erstatning til undersøgelsesperioden protokol.mens stærk og solid, der lider af det praktiske problem med mange internetudbydere og offentlige adgangspunkter for ipsec for at sælge adgang til det som en tjeneste.tls /ssl baseret vpn 'operere to lag i den protokol, der i ansøgningen lag og kryptering af trafik over normal tcp og udp - kanaler.næsten alle internetudbydere og offentlige adgangspunkter tillade tls /ssl trafik, for det er absolut nødvendigt, at net handel lokaliteter.,, i øjeblikket den største ipsec vpn - system til linux er openswan og den førende tls /ssl vpn - system er openvpn.i tillæg til tls /ssl tilgængelighed, openvpn også har den fordel, at den er til rådighed som en pakke for den folkelige broadcom baseret linux router udlodninger: dd-wrt, openwrt og tomat, køre på billige linksys og buffalo router hardware - og kan køre openvpn med en simpel, webbaseret administration panel som en bonus.,,, openvpn grundlæggende, at oprette et vpn, openvpn skal være anbragt på hver maskine, der kontakter effektparameter: i de typiske anvendelse betyder, at router på kanten af ian og bærbare eller mobile enhed, der skal forbinde til, at ian kommer.det samme openvpn eksekverbar kan løbe som " server " (dvs. om router) eller som " klient " (dvs. bærbare computere).når kunden indleder en forbindelse til serveren, begge maskiner giver hinanden og' s identiteter, enten med en før - delt nøgle, eller med ssl certifikat.,, der er den foretrukne metode.du skaber et særskilt certifikat for hver maskine, når du laver din vpn. på den måde du kan tilbagekalde en kompromitteret certifikat og erstatte den med forbehold af andre kunder.desuden, du underskriver hvert certifikat med en " stamcertifikat ", der aldrig bliver kopieret eller fremsendt online i alle. du kan selv foretage undertegnelsen skridt adskilt fra nettet fuldstændigt, og opbevare nøglen i en boks,.,, runtime, openvpn har to driftsformer og vælg: med den her tilstand, kunden, maskiner, få en separat blok af ip - adresse rum, der fungerer som enhver anden undernettet.openvpn doles de adresser, og ruter trafik baseret på det undernet division.for at bygge bro over tilstand, du har lavet en virtuel ethernet - adapter på server, som broer, - - og' fysiske ethernet - anordning med virtuelle openvpn anordning, at skabe et enkelt, samlet grænseflade, over er navnlig mere arbejde, og i de fleste tilfælde er den eneste forskel er, at kunderne forbindes med ian ' s dhcp - server og modtage ip - adresser fra det - - ikke fra openvpn... ligesom lokale maskiner.men nogle anvendelser, f.eks. flere spillere ian spil, påberåbe sig denne funktion.for alle andre, begyndende med rutning tilstand er den bedste ide,.,,, installere openvpn og skabe stamcertifikat,,,,,, din linux router ' s distribution kan eller ikke kan omfatte openvpn som en del af de normale programmer; få passende ajourføring er første trin, hvis. du arbejder med dd-wrt, _mega og _vpn bygger bl.a. openvpn støtte; disse kan give dig flash direkte på din router."keith moyer giver tomat firmware pakker med openvpn fabriksinstallerede på sin hjemmeside og giver regelmæssige opdateringer.openwrt ikke skib fabriksinstallerede firmware billeder med openvpn, men giver det som en installable pakke.endelig er alle store stationære og server linux udlodninger omfatter openvpn i deres pakke forvaltningssystemer, - - hvis du bruger en standard pc som din openvpn server, blot at installere pakken.,, installere openvpn på kunden maskiner vil du bruge til at forbinde deres ian.officielle binaries fastsat os x og vinduer på openvpn side.linux pakker er til rådighed, men prøv distro ' s pakke forvaltningssystem,.,, får du brug for en openvpn anlæg med henblik på at skabe de nødvendige ssl certifikater for enkelthedens skyld vil vi gå ud fra, at dette er en linux maskine, men de samme foranstaltninger er mulige på andre påtænker.openvpn omfatter et sæt passende certifikat generation manuskripter, der skal være placeret inden for anlægget directory (typisk /bar /andel /doc /openvpn /eksempler /let rsa /).enten at ændre denne fortegnelse, eller kopi manuskriptet til et andet sted, før proceduren.,,, løb (enten som rod, eller før med sudo) initialization manuskript:,,,. /lokalitet ud,,, påbegynd indstilling:,,, sudo kilde. /vars,,, rydde eventuelle rester af filer fra tidligere løber med sudo.... ren, løb sudo. /skabe ca. for at skabe stamcertifikat og en associeret nøgle (som også betegnes som certifikatet myndighed).det vil få dig til forskellige oplysninger, så deres navn, organisation, navn og e - mail - adresse - - for en privat benyttede certifikat som denne, er svarene er ikke kritisk, men du kan ikke lade dem blanke.det vigtigste er en fælles betegnelse, som i stamcertifikat ' tilfælde bør vælges, skal være klart i sit formål, hvis du har glemt det - - såsom " min openvpn mester. " resultatet vil være de filer ca.crt indeholdende stamcertifikat, og ca.key med sin nøgle.,, skabe, underskrive og installere deres certifikater, næste, skabe et certifikat for openvpn server, som løbende:,, sudo. /bygge centrale server server1,,, og for hver kunde, som løbende:,,, sudo. /bygge centrale client1,,,,,,,,, sudo. /bygge de vigtigste clientn,,, som før, de manuskripter, vil få dig til oplysninger, herunder fælles navn.det er en meget god idé at vælge en let associeret fælles navn; i disse tilfælde skal de filer oprettet præfikset server1 og client1 gennem clientn, så at genbruge de som fælles navne gør det enkelt.,, hver bygge centrale manuskript vil også spørge dig, om du vil underskrive certifikatet skabt - - altid at sige ja.dette tegn på nyslåede certifikat via master ca nøgle, du skabte tidligere; det er denne fælles underskrift, som giver mulighed for en server og kunder til at bekræfte hinanden i naturen.sidst, men ikke mindst, løb sudo. /bygge dh at generere diffie - hellman nøgleaftale parametre.disse vil blive lagret på serveren og anvendes til at oprette forbindelser, med alle dine kryptografiske filer nu fuldstændigt, er det tid til at flytte dem til deres rette steder på serveren og kunder.hver kunde, skal en kopi af sit eget certifikat og et centralt, f.eks. client1.crt og client1.key, samt en kopi af mester ca certifikat, men ikke mester ca. nøgle.- har brug for en kopi af certifikatet og centrale, diffie - hellman parametre, og mester - certifikat.,, sikkerhedsbevidst vil fortælle dem, at det er vigtigt at overføre disse dokumenter (især de nøgler) over en sikker kanal.hvis du bruger en usb - nøgle til at flytte filer til kunderne, bør du sikkert slette det, når i er færdige... usb - nøgler er alt for let at miste.- nøglerne vil blive kopieret til router via internettet administration grænseflade, så du skal ikke foretage dette skridt over for usikrede internet.mester ca nøgle ikke tjener nogen funktion efter undertegnelsen skridt, så det kan være oplagret sikkert offline.,,, - konfiguration, gå til din router ' s web - administration - panelet.openvpn normalt er fundet under " tjenesteydelser " regning, med kvaliteten af tjenesten, voip ruter og andre supplerende funktionalitet.du skal gøre tjeneste typisk, udvælger kommissionen de grundlæggende indstillinger, modtaget over certifikater og nøgler, og genstarte systemet for at lancere openvpn dæmon.,, om dd-wrt, openvpn konfiguration er beliggende i " tjenesteydelser " - > " tjenesteydelser " regning.i den aktuelle overgang (v24 service - pakning 1), du kan udføre alle de nødvendige konfiguration via internettet administration grænseflade, før i service - pakning 1, du havde til at uploade en server konfiguration fil og andre ændringer via ssh.de udvalgte misligholdelse er fornuftige til routing - modus vpn, selv om man kan ændre tcp /udp - havn nummer anvendes (misligholdelse er 1194), og om at bruge tcp eller udp - som transport (standard er udp), hvis det er nødvendigt.konfigurationen skærm er tekst indrejse kasser, som du skal skære og pasta cryptographic certifikater og nøgler (som kønsbestemte lønforskelle og ssh nøgler, de er ascii - tekst), og som i pasta - eller type konfiguration fil.,, der er prøve - og klient konfiguration filer i samme register, som let rsa mappe. grundlæggende server ud fil ser sådan ud:,, tryk og quot; rute 192.168.1.0 255.255.255.0 ", server 192.168.2.0 255.255.255.0, dev tun0, proto spdu, keepalive 10 120, dh /tmp /openvpn /dh.pem, ca /tmp /openvpn /ca.crt, cert /tmp /openvpn /cert.pem, nøgle /tmp /openvpn /key.pem, at forklare, " push " linje angiver, hvilket netværk adresse tilhører ian... her, 192.168.1. *." server " linje viser, at openvpn kunder får 192.168.2. * adresse blok.yderligere ned, og quot, dev tun0 " linje angiver, at dette er en fælde... at rejsen tilstand mode vpn 'anvendelse tap0 i stedet for tun0.de sidste par linjer angiver placeringen af uploadet kryptografiske filer. endelig fastsat ", start - og quot; " wan og quot, at fortælle openvpn til at starte, når wan grænseflade er aktiveret, og tryk ", anvende indstillinger " knap.hvis du kører en firewall på din router, være sikker på, at de tillader trafik på udp - havn 1194.,, klient konfiguration og afprøvning, klient konfiguration er mere ligetil, ingen web kun grænseflade er påkrævet.blot kopierer brugercertifikat og vigtige filer til /etc /openvpn /register og skabe (eller kopi af stikprøven filer) client.conf. en grundlæggende dossier skal indeholde:,, en kunde, fjerntliggende yourserver.dyndns.org 1194, fjerntliggende cert tls - serveren, dev tun0, proto spdu, resolv endnu uendelig, nobind, stadig nøglen, fortsætter tun svæve, ca ca.crt, cert client1.crt, centrale client1.key, de vigtige værdier, check er ", dev " indrejse, navnene på de kryptografiske filer, og protokollen." fjerntliggende " tråd giver navn eller adresse på den openvpn server og havnen nummer, som forbinder.hvis du har en statiske ip - adresse på din router ' s grænseflade, du kan det her.de fleste internetudbydere, giver ikke det, så du kan bruge en dynamisk dns - tjeneste i stedet.dd-wrt kommer med indbygget støtte til en række dynamiske dns tjenesteydelser, du kan prøve, når der starter openvpn kundetjeneste, med openvpn /etc /openvpn /client.conf (gøre det, mens det ikke er forbundet med lan, naturligvis).klienten vil rapportere enhver fejlmeddelelser i konsol udgangseffekt, du bør se tidsstemplet output rapportering initialization af tls - tunnelen.prøv støj en ip - adresse på ian. et svar, - - selv hvis det ' s langsomt - - tyder på, at din vpn - er oppe og køre.,, fælles problemer ved oprettelsen af openvpn i første omgang omfatte firewall problemer (som du kan prøve for midlertidigt invaliderende firewall), server konfiguration fil problemer (som du kan fangst, som gør det muligt for fejl skovhugst på din router) og rutning problemer.desværre, for du skal prøve openvpn fra en fjerntliggende netværk, er der altid mulighed for at wifi hotspot du kobler dig til der sker en adresse i strid med den reserverede ip - adresse til brug på dit hjem, ian.hvis 192.168.1.100 anvendes begge steder, openvpn er ' t ved, hvor transporten af pakker.den eneste måde at arbejde med dette problem, er at ændre din adresse.,, kan man også finde forskelle i, hvor prøvefiler mellem de europæiske openvpn pakker, og dem, der leveres af din linux distribution.openvpn støttes bredt nok, at finde den rette register er normalt ikke mere komplekse end leder distribution ' s dokumentation.for os x og vinduer kunder, kan du gå med den fortegnelse over oplysninger, som openvpn projekt.,,, at grave dybere,,, oprettelse af openvpn på et hjem, linux router er enkel nok med moderne router udlodninger.men du kan ikke finde ud af, at det opfylder alle dine behov, eller du kan få brug for at oprette openvpn på en ægte server.det bedste sted at starte, er openvpn projekt ' s dokumentation websted, der har detaljerede anvisninger for montering og - arrangement, samt en henvisning til de forskellige konfigureringsparametre.,, oprettelse af en udjævning af mode vpn - er en god næste skridt, hvis du er komfortabel med linux ' t ethernet) funktionalitet.på trods af kræver ekstra foranstaltninger til fælde, en bro over netværk er lettere i nogle henseender at opretholde, alle forbundet openvpn kunder optræder som kunder om ian på forbindelsen.det betyder ikke kun, at de kan sende og modtage tv - trafik, men når der anvendes mellem to routere, kan forbinde to fjerntliggende kontorer i et enkelt net, som er lettere at administrere.den openvpn lokalitet har en fuld reference bruge ethernet), med din vpn.,, hvis din isp ikke blokerer for ipsec trafik, overveje at lære openswan og oprette et ipsec vpn.ved hjælp af ipsec har den fordel, at alle applikationsdel og tcp og udp - trafik kan bruge den uden ændringer.korrekt, at oprette en ipsec vpn - er komplekse, måske for meget for et hjemmenet, men det bør ' ikke stoppe dig i at undersøge det.hvem ved hvornår du ' får brug for endnu et vpn - mulighed i dit bælte?,,,



Previous:
Next Page: