Các kết nối VPN cho phép bạn có thể truy cập file từ xa hoặc kết nối văn phòng từ xa với nhau qua các kênh an toàn trên Internet. Chúng thậm chí rất có ích trong việc bảo vệ các kết nối trên Internet hoặc các Wi-Fi hotspot công cộng, có thể giấu lưu lượng Internet trước những kẻ rình mò cục bộ. Nếu không nhiều người dùng VPN, bạn có thể xem xét đến việc thiết lập một máy chủ VPN cho riêng mình bằng phần mềm router DD-WRT.
20 trang |
Chia sẻ: franklove | Lượt xem: 2358 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Thiết lập OpenVPN trên DD-WRT Router, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Thiết lập OpenVPN trên DD-WRT Router
Các kết nối VPN cho phép bạn có thể truy cập file từ
xa hoặc kết nối văn phòng từ xa với nhau qua các
kênh an toàn trên Internet.
Chúng thậm chí rất có ích trong việc bảo vệ các kết nối
trên Internet hoặc các Wi-Fi hotspot công cộng, có thể
giấu lưu lượng Internet trước những kẻ rình mò cục bộ.
Nếu không nhiều người dùng VPN, bạn có thể xem xét
đến việc thiết lập một máy chủ VPN cho riêng mình
bằng phần mềm router DD-WRT. Nếu có một router
không dây tương thích, bạn có thể load phần mềm trên
nó. Cách thức này cho phép bạn cho được một máy chủ
và khách OpenVPN và nhiều tính năng thú vị khác. Bạn
có thể thiết lập các kết nối truy cập từ xa hoặc các kết
Simpo PDF Merge and Split Unregistered Version -
nối site-to-site để kết nối các văn phòng với nhau.
DD-WRT hỗ trợ hai giao thức VPN khác: Point-to-
Point Tunneling Protocol (PPTP), giao thức rất phổ biến
nhưng có lỗ hổng và OpenVPN, giao thức sử dụng
Secure Sockets Layer (SSL) và Transport Layer
Security (TLS) cung cấp giải pháp an toàn hơn. Trong
hướng dẫn gồm có hai phần này, chúng ta sẽ thiết lập và
sử dụng OpenVPN.
Trong phần đầu tiên của loạt bài gồm có hai phần này,
chúng tôi sẽ giới thiệu cho các bạn cách sử dụng router
với phần mềm DD-WRT, thay đổi địa chỉ IP và subnet
của router với nhiều lý do, tạo các chứng chỉ SSL.
Trong phần thứ hai, chúng tôi sẽ giới thiệu về việc cấu
hình OpenVPN server, tạo các kịch bản tường lửa và
khởi động, cấu hình máy khách, sau đó là test thử.
Hướng dẫn này được thực thiện bằng cách sử dụng biến
thể VPn của DD-WRT v24-SP2. Để tạo các chứng chỉ
Simpo PDF Merge and Split Unregistered Version -
SSL và các máy khách, chúng tôi đã sử dụng OpenVPN
2.1.1. Các bước trong việc sử dụng các phiên bản phần
mềm khác hoặc OpenVPN có thể khác biệt.
Sử dụng Router với phiên bản VPN của DD-WRT
Đầu tiên cần bảo đảm bạn đang sử dụng một router
không dây tương thích DD-WRT và có đủ không gian
lưu trữ NVRAM. Bạn có thể theo các chỉ dẫn để sử
dụng hoặc upload phiên bản VPN của DD-WRT cho
router của mình.
Để kiểm tra về khả năng có sẵn của NVRAM, bạn phải
sử dụng Telnet hoặc SSH với router. Có thể download
Simpo PDF Merge and Split Unregistered Version -
và sử dụng PuTTY. Chọn Telnet với tư cách là kiểu kết
nối Connection Type và nhập vào địa chỉ IP của router
(192.168.1.1). Sau đó, với DD-WRT Login, nhập vào
“root”. Nếu bạn đã tạo mật khẩu thông qua panel điều
khiển trên web, hãy sử dụng nó; bằng không, sử dụng
đăng nhập mặc định "admin".
Khi đăng nhập thông qua Telnet, nhập vào lệnh dưới
đây:
nvram show | grep size
Nếu có hơn 5.200 byte thì dung lượng này hoàn toàn ổn.
Thay đổi IP và Subnet của router
Cần nhớ rằng, kết nối VPN kết hối hai hoặc nhiều
mạng. Do đó cần bảo đảm subnet của mạng và các IP
không bị xung đột. Vì vậy nếu bạn có kế hoạch sử dụng
các kết nối VPN từ Internet hoặc các Wi-Fi hotspot
công cộng, hãy bảo đảm sao cho mạng nội bộ của bạn
Simpo PDF Merge and Split Unregistered Version -
và mạng VPN không được thiết lập cùng một subnet.
Do DD-WRT sử dụng một IP chung 192.168.1.1 nên
chúng ta nên thay đổi IP này:
Bắt đầu bằng cách kết nối đến router và triệu gọi giao
diện điều khiển web bằng cách nhập vào địa chỉ IP
(192.168.1.1) vào trình duyệt. Sau đó, kích tab Setup và
trong vùng Router IP, thay đổi Local IP Address thành
192.168.2.1, và kích Apply Settings.
Lúc này, bạn phải sử dụng IP mới (192.168.2.1) để đăng
nhập vào panel điều khiển DD-WRT.
Tạo các chứng chỉ máy chủ và máy khách
Bạn phải download và cài đặt OpenVPN trên máy tính
bằng cách sử dụng Windows Installer. Có thể sử dụng
các máy tính Linux để thực hiện điều này, tuy nhiên
chúng tôi sẽ sử dụng các máy tính Windows. Khi đã cài
đặt, đây là cách bắt đầu:
Simpo PDF Merge and Split Unregistered Version -
1. Mở Command Prompt: kích Start, đánh cmd, và
nhấn Enter.
2. Sau đó chuyển sang thư mục khác bằng cách đánh:
cd C:Program FilesOpenVPNeasy-rsa
3. Chạy file .bat để tạo các file cấu hình bằng cách
đánh: init-config
4. Để mở cửa sổ nhắc lệnh Command Prompt cho sử
dụng sau này.
Mở cửa sổ Computer và duyệt đến thư mục C:Program
FilesOpenVPNeasy-rsa. Kích phải vào file vars.bat và
kích Edit. Sau đó bạn phải thiết lập tất cả các thiết lập
dưới đây:
KEY_COUNTRY
KEY_PROVINCE
KEY_CITY
KEY_ORG
Simpo PDF Merge and Split Unregistered Version -
KEY_EMAIL
Bạn có thể thay đổi các giá trị mặc định, giá trị sau dấu
bằng của mỗi tham số. Cần lưu các thay đổi của mình
khi thực hiện xong công việc.
Quay trở lại cửa sổ nhắc lệnh Command Prompt và khởi
tạo PKI bằng cách nhập vào các lệnh dưới đây:
vars
clean-all
build-ca
Sau khi tạo lệnh cuối cùng, bạn sẽ thấy nhắc nhở các
tham số vừa thiết lập trong file vars.bat. Kích Enter để
chấp nhận các tham số đó. Bạn có thể để trống phần
Organizational Unit Name. Mặc dù vậy cần phải nhập
vào phần Common Name. Khá nhiều thứ có thể làm
việc. Chúng tôi đã sử dụng "OpenVPN-CA".
Lúc này bạn có thể tạo một chứng chỉ và khóa riêng cho
Simpo PDF Merge and Split Unregistered Version -
máy chủ bằng cách nhập vào lệnh dưới đây:
build-key-server server
Khi được nhắc nhở về các tham số lần nữa. Chấp nhận
các giá trị mặc định cho những thứ bạn thiết lập trong
file vars.bat. Với phần Common Name, nhập "server".
Bảo đảm nhập vào mật khẩu an toàn mà bạn sẽ nhớ
hoặc lưu ở địa điểm an toàn nào đó. Khi được nhắc để
ký và cam kết chứng chỉ, nhập vào "y".
Lúc này bạn có thể tạo các chứng chỉ cho máy khách
hoặc máy tính sẽ kết nối với máy chủ OpenVPN trên
DD-WRT router. Bạn phải tạo mỗi một chứng chỉ cho
mỗi máy khách. Chỉ cần nhập "build-key", theo sau là
dấu cách và tên. Cho ví dụ, với ba máy khách sau:
build-key client1
build-key client2
build-key client3
Tiếp nữa, bạn sẽ được nhắc nhở về các tham số. Chọn
Simpo PDF Merge and Split Unregistered Version -
tên duy nhất. Bạn có thể sử dụng tên chứng chỉ, chẳng
hạn như client1, client2 hoặc client3.
Lưu ý: Nếu bạn phát hiện thấy mình phải tạo thêm các
chứng chỉ máy khách, hãy trở về thư mục easy-rsa trong
Command Prompt, và đánh "vars", sau đó thực hiện với
lệnh “build-key”, chẳng hạn như build-key client2.
Tiếp đến phải tạo các tham số Diffie Hellman bằng cách
nhập:
build-dh
Cuối cùng, bạn sẽ thấy tất cả các chứng chỉ trong thư
mục sau: C:Program FilesOpenVPNeasy-rsakeys
Cần lưu ý rằng, CA, máy chủ và tất cả các khóa máy
khách cần được bảo vệ an toàn và riêng tư.
Đây là phần hai của loạt bài gồm có hai phần giới
thiệu về cách thiết lập OpenVPN trên DD-WRT
Simpo PDF Merge and Split Unregistered Version -
Router. một phương pháp tuyệt vời để thiết lập các
kết nối an toàn cho mạng của bạn với các “chiến
binh” trên đường hoặc để kết nối các văn phòng từ
xa.
Giải pháp hiệu quả về giá thành này có thể hỗ trợ hàng
tá hoặc hai người dùng VPN.
Trong phần 1 của loạt bài, chúng tôi đã upload phần
mềm DD-WRT lên router, đã thay đổi địa chỉ IP và
subnet của router với một vài lý do và đã tạo các chứng
chỉ SSL cho máy chủ và máy khách OpenVPN.
Giờ đây chúng ta sẽ tiếp tục bằng cách kích hoạt
OpenVPN server và việc copy trong các chứng SSL.
Chúng ta cũng sẽ nhập vào các kịch bản khởi động và
firewall. Sau đó sẽ cấu hình máy khách và cuối cùng là
test thử.
Cấu hình OpenVPN Server
Chúng ta có thể bắt đầu việc cấu hình OpenVPN server
Simpo PDF Merge and Split Unregistered Version -
trên DD-WRT router. Bắt đầu bằng cách kết nối đến
router. Nhập vào địa chỉ IP mới (192.168.2.1) vào trình
duyệt web. Sau đó kích hoạt và cấu hình máy chủ:
1. Kích Services > VPN.
2. Trong vùng OpenVPN Daemon, kích hoạt Start
OpenVPN.
3. Với Start Type, chọn WAN Up.
Với các hộp dưới dây, nhập vào nội dung của file chứng
chỉ được chỉ định bên dưới:
Public Server Cert: ca.crt
Certificate Revoke List: (để trống)
Public Client Cert: server.crt. Không nhập phần đầu
tiên của file. Giống như các thành phần khác, bắt đầu
với -----BEGIN CERTIFICATE----- và kết thúc
với -----END CERTIFICATE-----.
Private Client Key: server.key
Simpo PDF Merge and Split Unregistered Version -
DH PEM: dh1024.pem
OpenVPN Config: (xem bên dưới)
OpenVPN TLS Auth: (để trống)
Mở mỗi file chứng chỉ trong Notepad để xem nội dung.
Một số file bạn có thể kích phải, chọn Open With và
Notepad. Một số bạn có thể phải mở và sau đó chọn
Notepad với tư cách là chương trình được mở.
Với hộp OpenVPN Config, nhập vào các tham số cấu
hình sau:
mode server
proto udp
port 1194
dev tap0
server-bridge 192.168.2.2
255.255.255.0 192.168.2.200
192.168.2.249
Simpo PDF Merge and Split Unregistered Version -
keepalive 10 120
daemon
verb 5
client-to-client
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
management localhost 5001
Khi đã thực hiện xong việc nhập vào tất cả các thông tin
này, kích Apply Settings.
Simpo PDF Merge and Split Unregistered Version -
Cấu hình Startup và Firewall
Lúc này bạn phải nhập kịch bản khởi động để máy chủ
có thể khởi chạy trong quá trình khởi động. Sau đó phải
nhập kịch bản tường lửa để lưu lượng VPN có thể băng
qua. Trên panel điều khiển DD-WRT, kích
Administration > Commands.
Paste đoạn dưới đây và kích Save Startup:
openvpn --mktun --dev tap0
brctl addif br0 tap0
Simpo PDF Merge and Split Unregistered Version -
ifconfig tap0 0.0.0.0 promisc up
Paste the following and click Save
Firewall:
iptables -A INPUT -i tap0 -j ACCEPT
iptables -I INPUT -p udp --dport 1194
-j ACCEPT
Khởi động lại router
Lúc này mọi thứ đã được thiết lập cho OpenVPN server
trên router, khởi động lại nó. Bạn có thể thực hiện bằng
cách rút nguồn router ra một vài giây hoặc thực hiện
thông qua control panel bằng cách kích tab
Administration và nhấn nút Reboot Router ở phía
dưới.
Cấu hình máy khách Windows
Tiếp đến, bạn phải thiết lập các máy khách, các máy
tính mà bạn muốn kết nối với VPN server. Bắt đầu bằng
cách download và cài đặt OpenVPN trên mỗi máy tính
Simpo PDF Merge and Split Unregistered Version -
bằng Windows Installer.
Lúc này, mở Notepad và paste vào các tham số cấu hình
dưới đây:
remote XXX.XXX.XXX.XXX 1194client
dev tap0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
Cần phải thay đổi địa chỉ từ xa trong phần mở đầu bằng
Simpo PDF Merge and Split Unregistered Version -
địa chỉ IP của WAN hoặc Internet. Bạn có thể sử dụng
một hostname, chẳng hạn như cho một dịch vụ DNS
động, nếu kết nối Internet không có IP tĩnh. Thêm vào
đó cũng cần bảo đảm đúng tên chứng chỉ máy khách và
khóa.
Lưu file Notepad với đuôi mở rộng .ovpn vào vị trí sau:
C:Program FilesOpenVPNconfig. Để lưu với một mở
rộng khác, bạn sẽ phải thay đổi tùy chọn Save as Type
trên hộp thoại Save từ Text Files thành All Files.
Bạn cũng phải copy ba dòng dưới dây từ máy tính và
thư mục mà bạn đã tạo các chứng chỉ (C:Program
FilesOpenVPNeasy-rsakeys) vào máy khách trong thư
mục C:Program FilesOpenVPNconfig
ca.crt
client1.crt
client1.key
Cần lưu ý rằng tên của mỗi chứng chỉ máy khách và
Simpo PDF Merge and Split Unregistered Version -
khóa có thể khác nhau; chọn đúng tên cho mỗi máy
khách.
Cấu hình các router DD-WRT bổ sung
Nếu muốn kết nối các văn phòng với nhau, bạn có thể
thiết lập các router DD-WRT phụ tại các địa điểm khác.
Sau đó có thể sử dụng OpenVPN client của nó để kết
nối trở lại với VPN server mà bạn vừa cấu hình. Việc
cấu hình máy khách là hoàn toàn đơn giản, đây là cách
cấu hình chúng:
1. Kích Services > VPN.
2. Với OpenVPN Client, kích Enable.
3. Với Server IP/Name, nhập vào địa chỉ IP của
WAN/Internet hoặc hostname của DD-WRT router đang
cấu hình OpenVPN Server.
Với các hộp dưới dây, nhập vào các nội dung của file
chứng chỉ được chỉ định bên dưới:
Public Server Cert: ca.crt
Simpo PDF Merge and Split Unregistered Version -
Public Client Cert: client1.crt. Không nhập phần
đầu tiên của file. Giống như các thành phần khác, bắt
đầu với -----BEGIN CERTIFICATE----- và kết
thúc với -----END CERTIFICATE-----.
Private Client Key: client1.key
Test
Sau khi đã thực hiện xong các công đoạn trên, bạn có
thể kết nối. Nếu OpenVPN GUI chưa được nạp vào
khay hệ thống, góc bên phải phía dưới của Windows,
hãy khởi chạy chương trình ngay lúc này. Kích Start >
All Programs > OpenVPN > OpenVPN GUI.
Kích phải vào biểu tượng OpenVPN GUI trong khay hệ
thống và chọn Connect.
Lúc này bạn có thể truy cập vào DD-WRT router và các
thành phần chia sẻ trên mạng cục bộ, nơi OpenVPN
server đang cư trú.
Cần nhớ rằng bạn đang kết nối đến một địa chỉ WAN
Simpo PDF Merge and Split Unregistered Version -
hoặc Internet vì vậy bạn nên kết nối từ bên ngoài mạng
cục bộ của router DD-WRT, chẳng hạn từ một vị trí
khác trên Internet.Nếu muốn test máy chủ mà không cần
di chuyển đến một địa điểm khác, bạn hãy kết nối với
DD-WRT router từ cổng WAN/Internet đến cổng
Ethernet trên một mạng khác hoặc router khác. Bảo đảm
rằng DD-WRT router có một địa chỉ IP của WAN; sử
dụng địa chỉ này trong file cấu hình OpenVPN trên máy
khách test. Sau đó bạn có thể truy cập vào mạng khác và
kết nối với OpenVPN server. Cách làm này sẽ mô
phỏng một kết nối từ Internet. Khi đã thực hiện xong
các thao tác và muốn sử dụng nó thông qua Internet
thực, bạn hãy hủy kết nối DD-WRT router và cắm nó
trực tiếp vào modem Internet.Chúng ta có thể xem trạng
thái OpenVPN và các kết nối trong DD-WRT bằng cách
kích Status > OpenVPN.
Simpo PDF Merge and Split Unregistered Version -