Конфигуришите VPN директно на рутеру користећи OpenVPN То је један од најмоћнијих и најфлексибилнијих начина да заштитите целу кућну или пословну мрежу без муке око инсталирања апликација на сваки уређај. Када се правилно уради, сваки уређај који се повезује на ваш Wi-Fi или путем кабла приступаће интернету преко шифрованог тунела, као да се физички налази на другој мрежи.
Овај водич прикупља, реорганизује и проширује техничке информације произвођача као што су TP-Link, ASUS, Omada и званична OpenVPN документација тако да имате све што вам је потребно у једном чланку: шта је то ОпенВПНШта добијате, а шта губите коришћењем, како га подесити на рутерима и серверима, како се повезати са рачунара и мобилног телефона и како решити најчешће грешке.
Шта је OpenVPN и зашто га користити на рутеру?
OpenVPN је VPN софтвер отвореног кода Креира шифровани „тунел“ између клијента (ваш лаптоп, мобилни телефон итд.) и сервера (ваш рутер, Linux сервер, NAS итд.). Ради преко SSL/TLS-а, омогућавајући употребу дигиталних сертификата, кључева, корисничких имена и лозинки, као и широк спектар модерних алгоритама за шифровање.
Једна од његових великих предности у односу на друге протоколе попут IPsec-а је то што је лакше за подешавањеШтавише, доступан је на практично свим оперативним системима (Windows, macOS, GNU/Linux, Android, iOS, рутери, заштитни зидови, NAS…).
Када инсталирате и активирате OpenVPN на рутеру, сам рутер делује као VPN сервер. Ваша локална мрежа постаје „безбедна страна“, а удаљени уређаји (VPN клијенти) се повезују изван вашег дома или канцеларије путем интернета, увек шифровано. Рутер делује као капија између VPN-а и ваше локалне мреже.
Резултат је да можете безбедно прегледајте садржај преко јавних WiFi мрежаПриступите својим интерним ресурсима (NAS, штампачи, IP камере, SMB/FTP сервери…) као да сте код куће, а такође сакријте своју праву IP адресу или заобиђите географске блокаде у зависности од тога како сте подесили конфигурацију.
Предности и мане коришћења VPN-а и OpenVPN-а
Подешавање VPN-а на рутеру помоћу OpenVPN-а је многе практичне предностиАли постоје и неки недостаци којих би требало да будете свесни пре него што почнете, како бисте могли да изаберете праву опрему, интернет провајдера и начин инсталације. Ево листе:
- Могућност промене или скривања ваше ИП адресе.
- Шифрујте саобраћај да бисте спречили шпијунирање (посебно корисно на отвореном WiFi-ју).
- Приступ садржају је ограничен по земљи.
- Прегледајте са много већим степеном анонимности.
У одељку о приватности, VPN спречава било кога да лако види. Веб странице које посећујете и локације са којих се повезујете се не прате, иако ће ваш интернет провајдер увек имати одређену видљивост. Упркос томе, изузетно је тешко пратити вас путем снифера, необезбеђених приступних тачака или дељених мрежа.
Заузврат, Шифровање и рутирање кроз VPN сервер троше ресурсе. Такође имају тенденцију да смање брзину и расположиви пропусни опсег, посебно ако је ваш рутер недовољно снажан или користите бесплатне услуге. Штавише, добар антивирусни програм је и даље неопходан и требало би да будете опрезни приликом преузимања софтвера, јер вас VPN не штити од злонамерног софтвера.
Ваш снаге То су безбедност, стабилност, широк спектар прилагођавања (слој 2 или 3, TUN или TAP тунели, динамичка IP адреса без проблема, NAT компатибилност…) и одлична контрола над правилима заштитног зида и скриптама за покретање, али то захтева добро разумевање његове конфигурације, посебно ако ћете прилагођавати алгоритме и сертификате.
Предуслови и важна разматрања (CG-NAT, јавна IP адреса и динамички DNS)
Пре него што уопште активирате OpenVPN на рутеру, потребно је да проверите неколико ствари. Кључне тачке:
- Ако ваш рутер подржава OpenVPN сервер.
- Уверите се да ваша интернет веза има јавну ИП адресу.
- Ако треба да користите динамички ДНС.
Многи рутери средње и високе класе од TP-Link-а, ASUS-а или Omada-е већ имају интегрисани OpenVPN сервер, али га не укључују сви модели, нити је доступан у свим верзијама фирмвера. Препоручљиво је да... Проверите спецификације вашег модела и, ако је потребно, ажурирајте фирмвер на најновију верзију коју нуди произвођач.
Најкритичнији захтев је имати јавну IP адресу на WAN мрежи рутераАко ваш интернет провајдер користи CG-NAT и пружа вам дељену приватну IP адресу (уобичајено код 4G/5G веза или одређених интернет провајдера), нећете моћи да прослеђујете портове са интернета на свој рутер, тако да VPN неће бити доступан споља. У том случају, мораћете да затражите статичку или јавну IP адресу од свог интернет провајдера.
Веома је практично да бисте могли да пронађете свој рутер по имену, а не по нумеричкој ИП адреси. активирајте динамичку DNS услугу на самом рутеру (NO-IP, DynDNS, сопствена услуга произвођача, итд.). На овај начин можете се повезати на mydomain.no-ip.org уместо да памтите своју јавну IP адресу, која се може променити.
Поред тога, Препоручује се да правилно синхронизујете системско време рутера са интернетомТо је зато што дигитални сертификати и TLS функције зависе од тачних датума и времена. Неслагање може проузроковати необичне грешке у валидацији сертификата.
Како OpenVPN функционише на техничком нивоу и које режиме нуди (TUN/TAP, UDP/TCP)
OpenVPN може да ради у TUN или TAP режимуи коришћење UDP или TCP као транспортног протокола. Сваки избор утиче на перформансе, компатибилност и тип мреже креиране између клијента и сервера.
- TUN режим емулира интерфејс од тачке до тачке Ради искључиво са IP саобраћајем. Идеалан је за креирање нове виртуелне подмреже (на пример, 10.8.0.0/24) где се налазе VPN клијенти, одвојено од физичке локалне мреже. То је најчешћи режим за удаљени приступ и обично нуди боље перформансе.
- TAP режим симулира Ethernet интерфејс другог слојаОво подразумева директно капсулирање Ethernet фрејмова. Ово омогућава удаљеним уређајима да буду на истој подмрежи као и LAN, што је корисно када желите да VPN клијенти изгледају „прикључено“ на локални прекидач, иако може изазвати проблеме ако се мрежни опсези преклапају и генерално је мање ефикасно.
Што се тиче протокола, Препоручује се UDP у односу на TCP За VPN тунел, TCP је пожељнији јер избегава непотребне интерне ретрансмисије и боље отпорнији је на губитак пакета и нападе ускраћивања услуге. TCP је такође могућ, али уводи више оптерећења и дуплира контроле сесије.
У пракси, већина препоручених конфигурација Они користе TUN преко UDP-а, са наменском виртуелном подмрежом за VPN и специфичним рутама за приступ LAN-у или за провођење целог интернет саобраћаја кроз тунел.
Шифровање, сертификати и напредна безбедност у OpenVPN-у
Једна од предности OpenVPN-а је то што вам омогућава да са значајном прецизношћу изаберете симетричне, асиметричне и хеш алгоритме за шифровање, као и TLS верзију и разне додатне мере против напада ускраћивања услуге.
За инфраструктура јавног кључа (PKI)Уобичајено је користити сертификате засноване на елиптичним кривама (EC) уместо класичних RSA. На пример, Easy-RSA 3 се може конфигурисати да генерише CA, сертификат сервера и клијентске сертификате користећи secp521r1 криву и потписује их са SHA512, што резултира веома безбедним и релативно лаганим кључевима.
У контролни канал (TLS преговарање)OpenVPN подржава најмање TLS 1.2, а у новијим верзијама и TLS 1.3. Препоручују се јаки пакети са Perfect Forward Secrecy, као што су TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 или новији TLS_AES_256_GCM_SHA384 и TLS_CHACHA20_POLY1305_SHA256 за TLS 1.3, увек проверавајући са openvpn --show-tls шта ваша инсталација подржава.
За канал података (стварни VPN саобраћај)Препоручене шифре су AES-256-GCM или AES-128-GCM, које интегришу аутентификацију (AEAD) и елиминишу потребу за посебним хешем. Ако ваш процесор не подржава AES-NI убрзање, шифра CHACHA20-POLY1305 обично нуди боље перформансе и подржана је од OpenVPN 2.5 па надаље.
Још један важан додатни слој је коришћење додатног HMAC кључа Са tls-crypt (или tls-auth у старијим верзијама), који штити почетну фазу везе од преплављивања UDP портова, SYN напада и скенирања, такође се скрива сам унапред дељени кључ када се користи tls-crypt. Сви клијенти морају да деле овај исти кључ ако користите прву верзију, док са tls-crypt-v2 сваки клијент може имати другачији.
Креирање PKI помоћу Easy-RSA и организације сертификата
Ако подесите „чисти“ OpenVPN сервер на GNU/Linux-у или сличномУобичајена пракса је да креирате сопствене сертификате помоћу Easy-RSA 3, подешавајући vars датотеку да бисте дефинисали да ли ћете користити RSA или EC, хеш, криву, истек CA и сертификата итд.
Након копирања vars.example у vars и уређивања, можете изабрати cn_only режим да бисте поједноставили DN-ове, активирали EASYRSA_ALGO ec, изабрали secp521r1 криву, конфигурисали рок трајања (на пример, 10 година за CA и 1080 дана за сертификате) и подесили EASYRSA_DIGEST на sha512.
Када је та датотека спремна, иницијализујете PKI помоћу ./easyrsa init-pkiЦА креирате помоћу ./easyrsa build-ca (са или без лозинке на приватном кључу) и одатле генеришете захтев за сертификат за сервер и онолико клијената колико вам је потребно, а затим их потписујете као сервер или клијент, респективно.
У овом тренутку се топло препоручује организовати датотеке у чистим фасциклама:
- Један за сервер (ca.crt, server.crt, server.key, ta.key и опционо dh.pem ако не користите ECDHE).
- По један за сваког клијента (ca.crt, clientX.crt, clientX.key и ta.key).
На овај начин избегавате мешање кључева и сертификата.
Поред сертификата, OpenVPN омогућава употребу додатна аутентификација помоћу корисничког имена/лозинке, било против самог система, или против RADIUS сервера или друге базе података, појачавајући безбедност од крађе сертификата.
Конфигуришите OpenVPN клијенте на рачунарима, мобилним уређајима и рутерима
Следећи корак је конфигуришите удаљене клијентешто могу бити Windows или Linux рачунари, Android/iOS мобилни телефони, други рутери или чак опрема која се повезује са контролера попут Omada-е.
У једном класични десктоп клијентДатотека client.ovpn садржи директиве као што су client, dev tun, proto udp, удаљену линију са јавном IP адресом или доменом рутера и изабраним портом, resolv-retry infinite, nobind и путању до ca.crt, клијентов сопствени сертификат и кључ, плус tls-crypt ta.key.
За додатну сигурност, клијент валидира сервер Са `remote-cert-tls server`, користите исту шифру и аутентификацију као сервер и идеално реплицирајте исте подржане TLS пакете. Кључно је да се шифре и криве подударају; у супротном, TLS руковање неће успети.
На Андроиду можете користити званичну апликацију OpenVPN или напредније апликације трећих страна које подржавају најновије функције. Обично је довољно копирати фасциклу која садржи ca.crt, cliente.crt, cliente.key, ta.key и .ovpn датотеку у меморију телефона, а затим увести тај профил из саме апликације.
На Windows-у, OpenVPN Community клијент Обично се очекује да копирате .ovpn датотеку и сертификате у C:\Program Files\OpenVPN\config (или путању наведену током инсталације). Затим, кликните десним тастером миша на икону OpenVPN у системској палети, изаберите профил и повежите се.
Конфигуришите OpenVPN на TP-Link рутерима
Неколико ТП-Линк рутера нове генерације долази са интегрисаним ОпенВПН сервером у свом напредном веб интерфејсу, што знатно поједностављује ствари јер аутоматски генерише сертификате и .ovpn датотеку за клијенте.
У једноставном сценарију са један рутер на мрежиТок је обично следећи: уђите у веб интерфејс, идите на Напредно > VPN сервер > OpenVPN, означите Омогући VPN сервер и, ако је то први пут, кликните на Генериши да бисте креирали интерни сертификат.
Затим се врши избор врста услуге (UDP или TCP), сервисни порт је дефинисан између 1024 и 65535, VPN подмрежа и маска су конфигурисане и изабран је тип клијентског приступа: Само кућна мрежа (само LAN 192.168.xx) или Интернет и кућна мрежа (сав интернет саобраћај пролази кроз VPN).
После сачувајте конфигурацију и генеришите/ажурирајте сертификатеКликните на „Извези“ да бисте преузели конфигурациону датотеку OpenVPN-а коју ће клијенти користити. Затим једноставно инсталирајте OpenVPN клијент на свој рачунар или мобилни уређај, копирајте извезену датотеку у фасциклу за конфигурацију и повежите се.
Када у кућној топологији постоје два или више рутера (на пример, ИСП рутер и ТП-Линк рутер иза њега), поред конфигурисања OpenVPN-а на другом рутеру, мораћете да креирате порт форвардовање (виртуелни сервер) на првом, усмеравајући спољни порт на ЛАН ИП адресу другог и исти интерни порт који користи OpenVPN.
Конфигуришите OpenVPN на ASUS рутерима
Л ASUS рутери са ASUSWRT фирмвером Такође укључују OpenVPN сервер са прилично једноставним графичким интерфејсом, иако се екрани мало мењају између верзија фирмвера пре и после верзије 3.0.0.4.388.xxxx.
Процес почиње приступ графичком корисничком интерфејсу рутера Са http://www.asusrouter.com или ваше ЛАН IP адресе, пријавите се са својим администраторским корисничким именом и лозинком и идите на VPN > VPN сервер да бисте активирали OpenVPN.
У општим подешавањима порт сервера је дефинисан (на пример, 2000 или вредност између 1024 и 65535), подразумевана дужина RSA шифровања и поново да ли ће клијенти моћи да приступе само локалној мрежи или и интернету преко рутера.
Када је све примењено, Датотека client.ovpn је извезена Из одељка OpenVPN сервера. Та датотека већ садржи потребне сертификате, кључеве и параметре. Ако касније промените кључеве или сертификате, мораћете да је поново извезете и дистрибуирате клијентима.
У одељку Детаљи VPN-а > Напредна подешавања Можете ручно уређивати кључеве и сертификате, подешавати параметре као што су TLS верзија или алгоритми и прилагођавати конфигурацију захтевнијим окружењима без додиривања фирмвера.
Конфигуришите OpenVPN у Omada (TP-Link) као сервер и креирајте кориснике
У окружењима којима управља контролер Омада Можете дефинисати VPN политике типа OpenVPN Server за приступ клијент-сајт, што је идеално када желите да централизујете управљање у једном панелу.
Са контролера којем приступате Konfiguracija> VPNКликните на Додај да бисте креирали нову политику и наведите име (на пример „тест“), подесите је на Омогућено, изаберите Намену клијента до локације и Тип ВПН-а: ВПН сервер - ОпенВПН.
У истој тој политици Ви одлучујете да ли ћете користити подељени или пуни тунелИзаберите између Подељеног тунела, тако да само саобраћај ка интерној мрежи иде кроз VPN, или Потпуног тунела, тако да сав интернет саобраћај такође иде кроз сервер. Такође бирате протокол (TCP/UDP), порт сервиса (подразумевано 1194), режим аутентификације (локални), тип локалне мреже и опсег IP адреса које ћете доделити клијентима.
После VPN кориснике креирате у Подешавања > VPN > КориснициОво подразумева додељивање имена налога и лозинке, избор OpenVPN протокола и повезивање корисника са новокреираним VPN сервером. Сваки корисник ће тада имати своје основне акредитиве.
Коначно, .ovpn датотека се извози са листе политика.Копирајте датотеку на клијент (рачунар, лаптоп итд.), инсталирајте OpenVPN Community софтвер, ставите датотеку у фасциклу за конфигурацију и повежите се. Статус можете проверити на контролеру под Insight > VPN Status.
Недавна ажурирања OpenVPN-а и доступне алтернативе
OpenVPN се наставља развијати са сваком верзијомдодавање побољшања безбедности, перформанси и употребљивости. Недавне измене укључују tls-crypt-v2 (за додељивање кључева специфичних за клијента и додатно ублажавање DoS напада), подршку за CHACHA20-POLY1305 и побољшано преговарање о шифрама података помоћу шифара података.
У исто време Подршка за застареле шифре је повучена као што је BF-CBC у подразумеваним конфигурацијама, што подстиче администраторе да користе AES-GCM или CHACHA20, који су у пракси много безбеднији и бржи.
У компанијама је такође уобичајено комбинујте OpenVPN са клауд решењима као што је Azure VPN Gateway или са заштитним зидовима који интегришу IPsec и друге протоколе за везе између локација, док у кућним окружењима добро конфигурисан рутер компатибилан са OpenVPN-ом обично пружа све што је потребно.
Са свим виђеним, Конфигуришите VPN на рутеру користећи OpenVPN Прелази из нечег мистериозног у потпуно управљив пројекат ако испуните основне захтеве (јавна ИП адреса, компатибилан рутер, мало стрпљења) и пратите јасну структуру: припремите сертификате или користите оне које генерише рутер, активирајте и подесите сервер, извезите конфигурацију за клијенте и мирно тестирајте, исправљајући типичне грешке; заузврат добијате много сигурнију, флексибилнију мрежу, спремну и за рад на даљину и за заштиту свих уређаја код куће једним потезом.