Kāpēc izmantot VPN, lai piekļūtu mājām?
Ātrās saites
- Kāpēc izmantot VPN, lai piekļūtu mājām?
- Iestatīt Pi
- Instalējiet Raspbian
- Iestatiet OpenVPN
- Sertifikātu iestāde
- Izveidojiet dažus taustiņus
- Servera konfigurācija
- Startējiet serveri
- Klienta iestatīšana
- Klienta konfigurācija
- Ostas pāradresācija
- Izveidojiet savienojumu ar klientu
- Domu noslēgšana
Ir daudz iemeslu, kāpēc vēlaties attālināti piekļūt mājas tīklam, un vislabākais veids, kā to izdarīt, ir VPN serveris. Daži maršrutētāji faktiski ļauj jums iestatīt VPN serveri tieši maršrutētājā, taču daudzos gadījumos jums tas būs jāiestata pats.
Aveņu Pi ir lielisks veids, kā to paveikt. Viņiem nav nepieciešams daudz enerģijas, lai palaistu, un viņiem ir pietiekami daudz enerģijas, lai darbinātu VPN serveri. Varat to iestatīt blakus savam maršrutētājam un būtībā par to aizmirst.
Ja attālināti varat piekļūt mājas tīklam, varat piekļūt failiem no jebkuras vietas. Mājas datorus varat palaist no attāluma. Jūs pat varat izmantot mājas VPN savienojumu no ceļa. Šāda iestatīšana ļauj tālrunim, planšetdatoram vai klēpjdatoram rīkoties tāpat kā mājās no jebkuras vietas.
Iestatīt Pi
Pirms varat sākt iestatīt VPN, jums būs jāiestata Raspberry Pi. Vislabāk ir uzstādīt Pi ar korpusu un pienācīga izmēra atmiņas karti, 16 GB vajadzētu būt vairāk nekā pietiekami. Ja iespējams, pievienojiet Pi savam maršrutētājam ar Ethernet kabeli. Tas samazinās tīkla kavēšanos līdz minimumam.
Instalējiet Raspbian
Vislabākā operētājsistēma, ko izmantot jūsu Pi, ir Raspbian. Tā ir noklusējuma izvēle, ko izteicis Raspberry Pi fonds, un tās pamatā ir Debian, viena no drošākajām un stabilākajām pieejamajām Linux versijām.
Dodieties uz Rasbian lejupielādes lapu un satveriet jaunāko versiju. Šeit varat izmantot “Lite” versiju, jo jums faktiski nav nepieciešama grafiskā darbvirsma.
Lejupielādes laikā iegūstiet operētājsistēmas jaunāko Etcher versiju. Kad lejupielāde ir pabeigta, izvelciet Raspbian attēlu. Pēc tam atveriet Etcher. Atlasiet Raspbian attēlu no vietas, kur to ieguvāt. Atlasiet SD karti (ievietojiet to vispirms). Visbeidzot, ierakstiet attēlu kartē.
Kad tas ir izdarīts, atstājiet SD karti datorā. Atveriet failu pārvaldnieku un pārlūkojiet karti. Jums vajadzētu redzēt pāris dažādus nodalījumus. Meklējiet nodalījumu “sāknēšana”. Tas ir tas, kurā ir “kernel.img” fails. Nodalījumā “sāknēšana” izveidojiet tukšu teksta failu un nosauciet to par “ssh” bez faila paplašinājuma.
Jūs beidzot varat savienot savu Pi. Pārliecinieties, ka to pēdējā laikā pievienojat. Jums nevajadzēs ekrānu, tastatūru vai peli. Jūs no attāluma piekļūsit Raspberry Pi tīklā.
Dodiet Pi dažas minūtes, lai viņš pats iestatītos. Pēc tam atveriet tīmekļa pārlūku un dodieties uz sava maršrutētāja pārvaldības ekrānu. Atrodiet Raspberry Pi un atzīmējiet tā IP adresi.
Neatkarīgi no tā, vai izmantojat Windows, Linux vai Mac, atveriet OpenSSH. Savienojiet ar Raspberry Pi ar SSH.
USD ssh
Acīmredzot izmantojiet faktisko Pi adresi. Lietotājvārds vienmēr ir pi, un parole ir aveņu.
Iestatiet OpenVPN
OpenVPN nav precīzi vienkārši iestatīt kā serveri. Labā ziņa ir tā, ka jums tas jādara tikai vienreiz. Tāpēc, pirms jūs rakt, pārliecinieties, vai Raspbian ir pilnībā atjaunināts.
$ sudo apt update $ sudo apt jauninājums
Pēc atjaunināšanas pabeigšanas varat instalēt OpenVPN un nepieciešamo sertifikāta utilītu.
$ sudo apt instalēt openvpn easy-rsa
Sertifikātu iestāde
Lai autentificētu ierīces, kad tās mēģina izveidot savienojumu ar serveri, ir jāiestata sertifikāta pilnvaras, lai izveidotu parakstīšanas atslēgas. Šie taustiņi nodrošinās, ka tikai jūsu ierīces varēs izveidot savienojumu ar jūsu mājas tīklu.
Vispirms izveidojiet sertifikātu direktoriju. Pārvietot šajā direktorijā.
$ sudo make-cadir / etc / openvpn / certs $ cd / etc / openvpn / certs
Apmeklējiet OpenSSL konfigurācijas failus. Pēc tam sasaistiet jaunāko ar openssl.cnf.
USD ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Tajā pašā mapē “certs” ir fails ar nosaukumu “vars”. Atveriet šo failu, izmantojot savu teksta redaktoru. Nano ir noklusējuma iestatījums, taču droši instalējiet Vim, ja jums tas patīk.
Vispirms atrodiet mainīgo KEY_SIZE. Pēc noklusējuma tas ir iestatīts uz 2048. Mainiet to uz 4096.
eksportēt KEY_SIZE = 4096
Galvenais bloks, kas jums jārisina, nosaka informāciju par sertifikātu autoritāti. Tas palīdz, ja šī informācija ir pareiza, taču viss, ko varat atcerēties, ir lieliski.
eksportēt KEY_COUNTRY = "ASV" eksportēt KEY_PROVINCE = "CA" eksportēt KEY_CITY = "SanFrancisco" eksportēt KEY_ORG = "Fort-Funston" eksportēt KEY_EMAIL = "" eksportēt KEY_OU = "MyOrganizationalUnit" eksportēt KEY_NAME = "HomeVPN"
Kad jums ir viss, saglabājiet un izejiet.
Šajā iepriekš instalētajā Easy-RSA paketē ir daudz skriptu, kas palīdz iestatīt visu nepieciešamo. Jums tie vienkārši jāpalaiž. Sāciet, pievienojot “vars” failu kā avotu. Tiks ielādēti visi jūsu tikko iestatītie mainīgie.
$ sudo avots ./vars
Tālāk sakopiet atslēgas. Jums tādu nav, tāpēc neuztraucieties par ziņojumu, kurā teikts, ka atslēgas tiks izdzēstas.
$ sudo. / notīrīt - instalēt
Visbeidzot izveidojiet sertifikātu autoritāti. Jūs jau esat iestatījis noklusējumus, lai jūs vienkārši varētu pieņemt noklusējumus, kurus tas uzrāda. Atcerieties iestatīt spēcīgu paroli un atbildiet “jā” uz pēdējiem diviem jautājumiem, ievērojot paroli.
Izveidojiet dažus taustiņus
Jūs esat izturējis visas šīs problēmas, lai iestatītu sertifikātu autoritāti, lai jūs varētu parakstīt atslēgas. Tagad ir pienācis laiks tos izveidot. Sāciet ar sava servera atslēgas izveidi.
$ sudo ./build-key-server serveris
Pēc tam izveidojiet diferenci Hellmana PEM. Tas ir tas, ko OpenVPN izmanto, lai nodrošinātu jūsu klienta savienojumus ar serveri.
$ sudo openssl dhparam 4096> /etc/openvpn/dh4096.pem
Pēdējo atslēgu, kas jums tagad nepieciešama, sauc par HMAC atslēgu. OpenVPN izmanto šo atslēgu, lai parakstītu katru atsevišķu informācijas paketi, ar kuru apmainās klients un serveris. Tas palīdz novērst noteikta veida uzbrukumus savienojumam.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Servera konfigurācija
Jums ir atslēgas. Nākamais OpenVPN iestatīšanas elements ir pati servera konfigurācija. Par laimi, šeit nav tik daudz, kas jums jādara. Debian nodrošina bāzes konfigurāciju, kuru varat izmantot, lai sāktu. Tātad, sāciet ar šī konfigurācijas faila iegūšanu.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Atkal izmantojiet teksta redaktoru, lai atvērtu /etc/openvpn/server.conf. Pirmās lietas, kas jums jāatrod, ir ca, cert un atslēgu faili. Jums tie jāiestata atbilstoši izveidoto failu faktiskajām atrašanās vietām, kas visi atrodas mapē / etc / openvpn / certs / taustiņi.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # Šis fails jāglabā slepenībā
Atrodiet dh iestatījumu un mainiet to, lai tas atbilstu jūsu izveidotajam diffija-Helmaņa .pem.
dh dh4096.pem
Iestatiet ceļu arī savai HMAC atslēgai.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Atrodiet šifru un pārliecinieties, vai tas atbilst tālāk sniegtajam piemēram.
šifrs AES-256-CBC
Nākamie pāris varianti ir, taču tos komentē ar. Lai tos iespējotu, noņemiet semikolu pirms katras opcijas.
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Meklējiet lietotāja un grupas iespējas. Atsauciet tos un mainiet lietotāju uz “openvpn”.
lietotāja openvpn grupas nogroup
Visbeidzot, šīs pēdējās divas līnijas nav noklusējuma konfigurācijā. Jums tie būs jāpievieno faila beigās.
Iestatiet autentifikācijas kopsavilkumu, lai norādītu spēcīgāku šifrēšanu lietotāja autentifikācijai.
# Autentifikācijas kopsavilkums auth SHA512
Pēc tam ierobežojiet šķēres, kuras OpenVPN var izmantot tikai stiprākiem. Tas palīdz ierobežot iespējamos uzbrukumus vājiem šifriem.
# Limit Ciphers tls-šifrs TLS-DHE-RSA-AR-AES-256-GCM-SHA384: TLS-DHE-RSA-AR-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-256- CBC-SHA: TLS-DHE-RSA-AR-KAMĒLIJA-256-CBC-SHA: TLS-DHE-RSA-AR-AES-128-CBC-SHA: TLS-DHE-RSA-AR-CAMELLIA-128-CBC- ŠA
Tas viss ir paredzēts konfigurēšanai. Saglabājiet failu un izejiet.
Startējiet serveri
Pirms servera palaišanas jums ir jādara tas norādītais openvpn lietotājs.
$ sudo adduser --sistēma --shell / usr / sbin / nologin --no-create-home openvpn
Tas ir īpašs lietotājs tikai OpenVPN darbināšanai, un tas neko citu nedarīs.
Tagad palaidiet serveri.
$ sudo systemctl start openvpn $ sudo systemctl start
Pārbaudiet, vai viņi abi darbojas
$ sudo systemctl status openvpn * .service
Ja viss izskatās labi, iespējojiet tos startējot.
Klienta iestatīšana
Tagad jūsu serveris ir iestatīts un darbojas. Tālāk jums jāiestata klienta konfigurācija. Šī ir konfigurācija, kuru izmantosit, lai ierīces savienotu ar serveri. Atgriezieties certs mapē un sagatavojieties klienta atslēgas (-u) izveidošanai. Jūs varat izvēlēties veidot atsevišķus atslēgas katram klientam vai vienu atslēgu visiem klientiem. Lietojot mājās, vienai atslēgai jābūt labi.
$ cd / etc / openvpn / certs $ sudo avots ./vars $ sudo ./buildkeykey klients
Process ir gandrīz identisks servera procesam, tāpēc rīkojieties tāpat.
Klienta konfigurācija
Klientu konfigurācija ir ļoti līdzīga servera konfigurācijai. Atkal jums ir iepriekš sagatavota veidne, uz kuras balstīt savu konfigurāciju. Jums tas jāmaina tikai, lai tas atbilstu serverim.
Pāriet uz klientu direktoriju. Pēc tam izsaiņojiet parauga konfigurāciju.
$ cd / etc / openvpn / client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Izmantojot teksta redaktoru, atveriet failu client.ovpn. Pēc tam atrodiet attālo iespēju. Pieņemot, ka jūs vēl neizmantojat VPN, Google meklē “Kas ir mans IP”. Paņemiet tajā parādīto adresi un iestatiet tai attālo IP adresi. Atstājiet ostas numuru.
tālvadības pults 107.150.28.83 1194 # Tas IP ironiski ir VPN
Mainiet sertifikātus, lai tie atspoguļotu jūsu izveidotos, tāpat kā jūs ar serveri.
ca ca.crt sert client.crt atslēga client.key
Atrodiet lietotāja opcijas un atsauciet tās. Ir lieliski vadīt klientus kā neviens.
lietotājs neviena grupa nogroup
Neatvienojiet HMAC opciju tls-auth.
tls-auth ta.key 1
Pēc tam atrodiet šifra opciju un pārliecinieties, vai tā atbilst serverim.
šifrs AES-256-CBC
Pēc tam faila apakšdaļā vienkārši pievienojiet autentifikācijas kopsavilkumu un šifrēšanas ierobežojumus.
# Autentificēšanas kopsavilkums auth SHA512 # Šifra ierobežojumi tls-šifrs TLS-DHE-RSA-AR-AES-256-GCM-SHA384: TLS-DHE-RSA-AR-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH -AES-256-CBC-SHA: TLS-DHE-RSA-AR KAMĪLIJU-256-CBC-SHA: TLS-DHE-RSA-AR-AES-128-CBC-SHA: TLS-DHE-RSA-WITH-CAMELLIA -128-CBC-SHA
Kad viss izskatās pareizi, saglabājiet failu un izejiet. Izmantojiet darvu, lai iesaiņotu konfigurāciju un sertifikātus, lai jūs varētu tos nosūtīt klientam.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C / etc / openvpn / certs / keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Pārsūtiet šo paketi klientam neatkarīgi no jūsu izvēles. Lieliskas iespējas ir SFTP, FTP un USB diskdzinis.
Ostas pāradresācija
Lai kaut kas no tā darbotos, jums ir jākonfigurē maršrutētājs, lai pārsūtītu ienākošo VPN trafiku uz Pi. Ja jūs jau izmantojat VPN, jums jāpārliecinās, ka jūs nepieslēdzaties tajā pašā ostā. Ja esat, mainiet portu klienta un servera konfigurācijās.
Pievienojieties maršrutētāja tīmekļa saskarnei, pārlūkprogrammā ierakstot tā IP adresi.
Katrs maršrutētājs ir atšķirīgs. Pat joprojām viņiem visiem vajadzētu būt kaut kādai šai funkcionalitātei. Atrodiet to savā maršrutētājā.
Uzstādīšana principā ir vienāda katram maršrutētājam. Ievadiet sākuma un beigu portus. Tiem vajadzētu būt tādiem pašiem kā viens otram un tiem, kurus iestatījāt konfigurācijās. Pēc tam IP adresei iestatiet to uz jūsu Raspberry Pi IP. Saglabājiet izmaiņas.
Izveidojiet savienojumu ar klientu
Katrs klients ir atšķirīgs, tāpēc nav universāla risinājuma. Ja izmantojat sistēmu Windows, jums būs nepieciešams Windows OpenVPN klients .
Operētājsistēmā Android varat atvērt savu tarbolu un pārsūtīt taustiņus uz tālruni. Pēc tam instalējiet OpenVPN lietotni. Atveriet lietotni un pievienojiet informāciju no sava konfigurācijas faila. Pēc tam atlasiet taustiņus.
Operētājsistēmā Linux ir jāinstalē OpenVPN līdzīgi kā serverim.
$ sudo apt instalēt openvpn
Pēc tam nomainiet uz / etc / openvpn un izsaiņojiet tarbolu, kuru nosūtījāt.
$ cd / etc / openvpn $ sudo tar xJf /path/to/client.tar.xz
Pārdēvējiet klienta failu.
$ sudo mv client.ovpn client.conf
Pagaidām nesāciet klientu. Tas neizdosies. Vispirms maršrutētājā ir jāatspējo portu pāradresācija.
Domu noslēgšana
Tagad jums vajadzētu darboties. Jūsu klients caur jūsu maršrutētāju tieši izveidos savienojumu ar Pi. Turpmāk jūs varat koplietot un izveidot savienojumu virtuālajā tīklā, ja visas ierīces ir savienotas ar VPN. Nav nekādu ierobežojumu, tāpēc vienmēr varat visus savus datorus savienot ar Pi VPN.