Thiết lập OpenVPN trên DD-WRT Router

Các kết nối VPN cho phép bạn có thể truy cập file từ xa hoặc kết nối văn phòng từ xa với nhau qua các kênh an toàn trên Internet. Chúng thậm chí rất có ích trong việc bảo vệ các kết nối trên Internet hoặc các Wi-Fi hotspot công cộng, có thể giấu lưu lượng Internet trước những kẻ rình mò cục bộ. Nếu không nhiều người dùng VPN, bạn có thể xem xét đến việc thiết lập một máy chủ VPN cho riêng mình bằng phần mềm router DD-WRT.

pdf20 trang | Chia sẻ: franklove | Lượt xem: 2358 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Thiết lập OpenVPN trên DD-WRT Router, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Thiết lập OpenVPN trên DD-WRT Router Các kết nối VPN cho phép bạn có thể truy cập file từ xa hoặc kết nối văn phòng từ xa với nhau qua các kênh an toàn trên Internet. Chúng thậm chí rất có ích trong việc bảo vệ các kết nối trên Internet hoặc các Wi-Fi hotspot công cộng, có thể giấu lưu lượng Internet trước những kẻ rình mò cục bộ. Nếu không nhiều người dùng VPN, bạn có thể xem xét đến việc thiết lập một máy chủ VPN cho riêng mình bằng phần mềm router DD-WRT. Nếu có một router không dây tương thích, bạn có thể load phần mềm trên nó. Cách thức này cho phép bạn cho được một máy chủ và khách OpenVPN và nhiều tính năng thú vị khác. Bạn có thể thiết lập các kết nối truy cập từ xa hoặc các kết Simpo PDF Merge and Split Unregistered Version - nối site-to-site để kết nối các văn phòng với nhau. DD-WRT hỗ trợ hai giao thức VPN khác: Point-to- Point Tunneling Protocol (PPTP), giao thức rất phổ biến nhưng có lỗ hổng và OpenVPN, giao thức sử dụng Secure Sockets Layer (SSL) và Transport Layer Security (TLS) cung cấp giải pháp an toàn hơn. Trong hướng dẫn gồm có hai phần này, chúng ta sẽ thiết lập và sử dụng OpenVPN. Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng router với phần mềm DD-WRT, thay đổi địa chỉ IP và subnet của router với nhiều lý do, tạo các chứng chỉ SSL. Trong phần thứ hai, chúng tôi sẽ giới thiệu về việc cấu hình OpenVPN server, tạo các kịch bản tường lửa và khởi động, cấu hình máy khách, sau đó là test thử. Hướng dẫn này được thực thiện bằng cách sử dụng biến thể VPn của DD-WRT v24-SP2. Để tạo các chứng chỉ Simpo PDF Merge and Split Unregistered Version - SSL và các máy khách, chúng tôi đã sử dụng OpenVPN 2.1.1. Các bước trong việc sử dụng các phiên bản phần mềm khác hoặc OpenVPN có thể khác biệt. Sử dụng Router với phiên bản VPN của DD-WRT Đầu tiên cần bảo đảm bạn đang sử dụng một router không dây tương thích DD-WRT và có đủ không gian lưu trữ NVRAM. Bạn có thể theo các chỉ dẫn để sử dụng hoặc upload phiên bản VPN của DD-WRT cho router của mình. Để kiểm tra về khả năng có sẵn của NVRAM, bạn phải sử dụng Telnet hoặc SSH với router. Có thể download Simpo PDF Merge and Split Unregistered Version - và sử dụng PuTTY. Chọn Telnet với tư cách là kiểu kết nối Connection Type và nhập vào địa chỉ IP của router (192.168.1.1). Sau đó, với DD-WRT Login, nhập vào “root”. Nếu bạn đã tạo mật khẩu thông qua panel điều khiển trên web, hãy sử dụng nó; bằng không, sử dụng đăng nhập mặc định "admin". Khi đăng nhập thông qua Telnet, nhập vào lệnh dưới đây: nvram show | grep size Nếu có hơn 5.200 byte thì dung lượng này hoàn toàn ổn. Thay đổi IP và Subnet của router Cần nhớ rằng, kết nối VPN kết hối hai hoặc nhiều mạng. Do đó cần bảo đảm subnet của mạng và các IP không bị xung đột. Vì vậy nếu bạn có kế hoạch sử dụng các kết nối VPN từ Internet hoặc các Wi-Fi hotspot công cộng, hãy bảo đảm sao cho mạng nội bộ của bạn Simpo PDF Merge and Split Unregistered Version - và mạng VPN không được thiết lập cùng một subnet. Do DD-WRT sử dụng một IP chung 192.168.1.1 nên chúng ta nên thay đổi IP này: Bắt đầu bằng cách kết nối đến router và triệu gọi giao diện điều khiển web bằng cách nhập vào địa chỉ IP (192.168.1.1) vào trình duyệt. Sau đó, kích tab Setup và trong vùng Router IP, thay đổi Local IP Address thành 192.168.2.1, và kích Apply Settings. Lúc này, bạn phải sử dụng IP mới (192.168.2.1) để đăng nhập vào panel điều khiển DD-WRT. Tạo các chứng chỉ máy chủ và máy khách Bạn phải download và cài đặt OpenVPN trên máy tính bằng cách sử dụng Windows Installer. Có thể sử dụng các máy tính Linux để thực hiện điều này, tuy nhiên chúng tôi sẽ sử dụng các máy tính Windows. Khi đã cài đặt, đây là cách bắt đầu: Simpo PDF Merge and Split Unregistered Version - 1. Mở Command Prompt: kích Start, đánh cmd, và nhấn Enter. 2. Sau đó chuyển sang thư mục khác bằng cách đánh: cd C:Program FilesOpenVPNeasy-rsa 3. Chạy file .bat để tạo các file cấu hình bằng cách đánh: init-config 4. Để mở cửa sổ nhắc lệnh Command Prompt cho sử dụng sau này. Mở cửa sổ Computer và duyệt đến thư mục C:Program FilesOpenVPNeasy-rsa. Kích phải vào file vars.bat và kích Edit. Sau đó bạn phải thiết lập tất cả các thiết lập dưới đây:  KEY_COUNTRY  KEY_PROVINCE  KEY_CITY  KEY_ORG Simpo PDF Merge and Split Unregistered Version -  KEY_EMAIL Bạn có thể thay đổi các giá trị mặc định, giá trị sau dấu bằng của mỗi tham số. Cần lưu các thay đổi của mình khi thực hiện xong công việc. Quay trở lại cửa sổ nhắc lệnh Command Prompt và khởi tạo PKI bằng cách nhập vào các lệnh dưới đây: vars clean-all build-ca Sau khi tạo lệnh cuối cùng, bạn sẽ thấy nhắc nhở các tham số vừa thiết lập trong file vars.bat. Kích Enter để chấp nhận các tham số đó. Bạn có thể để trống phần Organizational Unit Name. Mặc dù vậy cần phải nhập vào phần Common Name. Khá nhiều thứ có thể làm việc. Chúng tôi đã sử dụng "OpenVPN-CA". Lúc này bạn có thể tạo một chứng chỉ và khóa riêng cho Simpo PDF Merge and Split Unregistered Version - máy chủ bằng cách nhập vào lệnh dưới đây: build-key-server server Khi được nhắc nhở về các tham số lần nữa. Chấp nhận các giá trị mặc định cho những thứ bạn thiết lập trong file vars.bat. Với phần Common Name, nhập "server". Bảo đảm nhập vào mật khẩu an toàn mà bạn sẽ nhớ hoặc lưu ở địa điểm an toàn nào đó. Khi được nhắc để ký và cam kết chứng chỉ, nhập vào "y". Lúc này bạn có thể tạo các chứng chỉ cho máy khách hoặc máy tính sẽ kết nối với máy chủ OpenVPN trên DD-WRT router. Bạn phải tạo mỗi một chứng chỉ cho mỗi máy khách. Chỉ cần nhập "build-key", theo sau là dấu cách và tên. Cho ví dụ, với ba máy khách sau: build-key client1 build-key client2 build-key client3 Tiếp nữa, bạn sẽ được nhắc nhở về các tham số. Chọn Simpo PDF Merge and Split Unregistered Version - tên duy nhất. Bạn có thể sử dụng tên chứng chỉ, chẳng hạn như client1, client2 hoặc client3. Lưu ý: Nếu bạn phát hiện thấy mình phải tạo thêm các chứng chỉ máy khách, hãy trở về thư mục easy-rsa trong Command Prompt, và đánh "vars", sau đó thực hiện với lệnh “build-key”, chẳng hạn như build-key client2. Tiếp đến phải tạo các tham số Diffie Hellman bằng cách nhập: build-dh Cuối cùng, bạn sẽ thấy tất cả các chứng chỉ trong thư mục sau: C:Program FilesOpenVPNeasy-rsakeys Cần lưu ý rằng, CA, máy chủ và tất cả các khóa máy khách cần được bảo vệ an toàn và riêng tư. Đây là phần hai của loạt bài gồm có hai phần giới thiệu về cách thiết lập OpenVPN trên DD-WRT Simpo PDF Merge and Split Unregistered Version - Router. một phương pháp tuyệt vời để thiết lập các kết nối an toàn cho mạng của bạn với các “chiến binh” trên đường hoặc để kết nối các văn phòng từ xa. Giải pháp hiệu quả về giá thành này có thể hỗ trợ hàng tá hoặc hai người dùng VPN. Trong phần 1 của loạt bài, chúng tôi đã upload phần mềm DD-WRT lên router, đã thay đổi địa chỉ IP và subnet của router với một vài lý do và đã tạo các chứng chỉ SSL cho máy chủ và máy khách OpenVPN. Giờ đây chúng ta sẽ tiếp tục bằng cách kích hoạt OpenVPN server và việc copy trong các chứng SSL. Chúng ta cũng sẽ nhập vào các kịch bản khởi động và firewall. Sau đó sẽ cấu hình máy khách và cuối cùng là test thử. Cấu hình OpenVPN Server Chúng ta có thể bắt đầu việc cấu hình OpenVPN server Simpo PDF Merge and Split Unregistered Version - trên DD-WRT router. Bắt đầu bằng cách kết nối đến router. Nhập vào địa chỉ IP mới (192.168.2.1) vào trình duyệt web. Sau đó kích hoạt và cấu hình máy chủ: 1. Kích Services > VPN. 2. Trong vùng OpenVPN Daemon, kích hoạt Start OpenVPN. 3. Với Start Type, chọn WAN Up. Với các hộp dưới dây, nhập vào nội dung của file chứng chỉ được chỉ định bên dưới:  Public Server Cert: ca.crt  Certificate Revoke List: (để trống)  Public Client Cert: server.crt. Không nhập phần đầu tiên của file. Giống như các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc với -----END CERTIFICATE-----.  Private Client Key: server.key Simpo PDF Merge and Split Unregistered Version -  DH PEM: dh1024.pem  OpenVPN Config: (xem bên dưới)  OpenVPN TLS Auth: (để trống) Mở mỗi file chứng chỉ trong Notepad để xem nội dung. Một số file bạn có thể kích phải, chọn Open With và Notepad. Một số bạn có thể phải mở và sau đó chọn Notepad với tư cách là chương trình được mở. Với hộp OpenVPN Config, nhập vào các tham số cấu hình sau: mode server proto udp port 1194 dev tap0 server-bridge 192.168.2.2 255.255.255.0 192.168.2.200 192.168.2.249 Simpo PDF Merge and Split Unregistered Version - keepalive 10 120 daemon verb 5 client-to-client dh /tmp/openvpn/dh.pem ca /tmp/openvpn/ca.crt cert /tmp/openvpn/cert.pem key /tmp/openvpn/key.pem management localhost 5001 Khi đã thực hiện xong việc nhập vào tất cả các thông tin này, kích Apply Settings. Simpo PDF Merge and Split Unregistered Version - Cấu hình Startup và Firewall Lúc này bạn phải nhập kịch bản khởi động để máy chủ có thể khởi chạy trong quá trình khởi động. Sau đó phải nhập kịch bản tường lửa để lưu lượng VPN có thể băng qua. Trên panel điều khiển DD-WRT, kích Administration > Commands. Paste đoạn dưới đây và kích Save Startup: openvpn --mktun --dev tap0 brctl addif br0 tap0 Simpo PDF Merge and Split Unregistered Version - ifconfig tap0 0.0.0.0 promisc up Paste the following and click Save Firewall: iptables -A INPUT -i tap0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT Khởi động lại router Lúc này mọi thứ đã được thiết lập cho OpenVPN server trên router, khởi động lại nó. Bạn có thể thực hiện bằng cách rút nguồn router ra một vài giây hoặc thực hiện thông qua control panel bằng cách kích tab Administration và nhấn nút Reboot Router ở phía dưới. Cấu hình máy khách Windows Tiếp đến, bạn phải thiết lập các máy khách, các máy tính mà bạn muốn kết nối với VPN server. Bắt đầu bằng cách download và cài đặt OpenVPN trên mỗi máy tính Simpo PDF Merge and Split Unregistered Version - bằng Windows Installer. Lúc này, mở Notepad và paste vào các tham số cấu hình dưới đây: remote XXX.XXX.XXX.XXX 1194client dev tap0 proto udp resolv-retry infinite nobind persist-key persist-tun float ca ca.crt cert client1.crt key client1.key ns-cert-type server Cần phải thay đổi địa chỉ từ xa trong phần mở đầu bằng Simpo PDF Merge and Split Unregistered Version - địa chỉ IP của WAN hoặc Internet. Bạn có thể sử dụng một hostname, chẳng hạn như cho một dịch vụ DNS động, nếu kết nối Internet không có IP tĩnh. Thêm vào đó cũng cần bảo đảm đúng tên chứng chỉ máy khách và khóa. Lưu file Notepad với đuôi mở rộng .ovpn vào vị trí sau: C:Program FilesOpenVPNconfig. Để lưu với một mở rộng khác, bạn sẽ phải thay đổi tùy chọn Save as Type trên hộp thoại Save từ Text Files thành All Files. Bạn cũng phải copy ba dòng dưới dây từ máy tính và thư mục mà bạn đã tạo các chứng chỉ (C:Program FilesOpenVPNeasy-rsakeys) vào máy khách trong thư mục C:Program FilesOpenVPNconfig  ca.crt  client1.crt  client1.key Cần lưu ý rằng tên của mỗi chứng chỉ máy khách và Simpo PDF Merge and Split Unregistered Version - khóa có thể khác nhau; chọn đúng tên cho mỗi máy khách. Cấu hình các router DD-WRT bổ sung Nếu muốn kết nối các văn phòng với nhau, bạn có thể thiết lập các router DD-WRT phụ tại các địa điểm khác. Sau đó có thể sử dụng OpenVPN client của nó để kết nối trở lại với VPN server mà bạn vừa cấu hình. Việc cấu hình máy khách là hoàn toàn đơn giản, đây là cách cấu hình chúng: 1. Kích Services > VPN. 2. Với OpenVPN Client, kích Enable. 3. Với Server IP/Name, nhập vào địa chỉ IP của WAN/Internet hoặc hostname của DD-WRT router đang cấu hình OpenVPN Server. Với các hộp dưới dây, nhập vào các nội dung của file chứng chỉ được chỉ định bên dưới:  Public Server Cert: ca.crt Simpo PDF Merge and Split Unregistered Version -  Public Client Cert: client1.crt. Không nhập phần đầu tiên của file. Giống như các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc với -----END CERTIFICATE-----.  Private Client Key: client1.key Test Sau khi đã thực hiện xong các công đoạn trên, bạn có thể kết nối. Nếu OpenVPN GUI chưa được nạp vào khay hệ thống, góc bên phải phía dưới của Windows, hãy khởi chạy chương trình ngay lúc này. Kích Start > All Programs > OpenVPN > OpenVPN GUI. Kích phải vào biểu tượng OpenVPN GUI trong khay hệ thống và chọn Connect. Lúc này bạn có thể truy cập vào DD-WRT router và các thành phần chia sẻ trên mạng cục bộ, nơi OpenVPN server đang cư trú. Cần nhớ rằng bạn đang kết nối đến một địa chỉ WAN Simpo PDF Merge and Split Unregistered Version - hoặc Internet vì vậy bạn nên kết nối từ bên ngoài mạng cục bộ của router DD-WRT, chẳng hạn từ một vị trí khác trên Internet.Nếu muốn test máy chủ mà không cần di chuyển đến một địa điểm khác, bạn hãy kết nối với DD-WRT router từ cổng WAN/Internet đến cổng Ethernet trên một mạng khác hoặc router khác. Bảo đảm rằng DD-WRT router có một địa chỉ IP của WAN; sử dụng địa chỉ này trong file cấu hình OpenVPN trên máy khách test. Sau đó bạn có thể truy cập vào mạng khác và kết nối với OpenVPN server. Cách làm này sẽ mô phỏng một kết nối từ Internet. Khi đã thực hiện xong các thao tác và muốn sử dụng nó thông qua Internet thực, bạn hãy hủy kết nối DD-WRT router và cắm nó trực tiếp vào modem Internet.Chúng ta có thể xem trạng thái OpenVPN và các kết nối trong DD-WRT bằng cách kích Status > OpenVPN. Simpo PDF Merge and Split Unregistered Version -