Miért használjon VPN-t az otthona eléréséhez?
Gyors linkek
- Miért használjon VPN-t az otthona eléréséhez?
- Állítsa be a Pi-t
- Telepítse a Raspbian szoftvert
- Az OpenVPN beállítása
- Tanúsító hatóság
- Készítsen néhány kulcsot
- Szerverkonfiguráció
- Indítsa el a szervert
- Ügyfél beállítása
- Ügyfélkonfiguráció
- Port továbbítás
- Csatlakozás az ügyféllel
- Záró gondolatok
Számos oka van annak, hogy távolról szeretne hozzáférni otthoni hálózatához, és erre a VPN szerver segítségével lehet a legjobb módot. Néhány útválasztó valójában lehetővé teszi a VPN-kiszolgáló beállítását közvetlenül az útválasztón belül, de sok esetben Önnek saját maga kell beállítania ezt.
A Raspberry Pi egy nagyszerű lehetőség ennek elérésére. Nem igényelnek sok energiát a futtatáshoz, és elegendő energiával rendelkeznek a VPN-kiszolgáló futtatásához. Beállíthat egyet az útválasztó mellé, és alapvetően elfelejtheti róla.
Ha távoli hozzáféréssel rendelkezik otthoni hálózatához, bárhonnan hozzáférhet fájljainakhoz. Az otthoni számítógépeket távolról is futtathatja. Még az otthoni VPN-kapcsolatot is felhasználhatja az útról. Az ilyen beállítás lehetővé teszi, hogy telefonja, táblagépe vagy laptopja bárhonnan úgy viselkedjen, mint otthon.
Állítsa be a Pi-t
A VPN beállításának megkezdése előtt be kell állítania a Raspberry Pi készüléket. A legjobb, ha a Pi-t tokkal és megfelelő méretű memóriakártyával állítja be, a 16 GB-osnak többnek kell lennie. Ha lehetséges, csatlakoztassa Pi-t az útválasztóhoz Ethernet-kábellel. Minimalizálja a hálózati késéseket.
Telepítse a Raspbian szoftvert
A Pi-n a legjobb operációs rendszer a Raspbian. Ez az alapértelmezett választás, amelyet a Raspberry Pi alapítvány adott ki, és a Debianon alapul, amely a rendelkezésre álló legbiztonságosabb és legstabilabb Linux verzió.
Nyissa meg a Rasbian letöltési oldalt, és ragadja meg a legújabb verziót. Itt használhatja a „Lite” verziót, mert valójában nincs szüksége grafikus asztalra.
A letöltés ideje alatt szerezze be az Etcher legújabb verzióját az operációs rendszeréhez. A letöltés befejezése után bontsa ki a Raspbian képet. Ezután nyissa meg az Etcher-t. Válassza ki a Raspbian képet, ahonnan kibontotta. Válassza ki az SD-kártyát (Helyezze be először). Végül írja a képet a kártyára.
Ha kész, hagyja az SD-kártyát a számítógépben. Nyisson meg egy fájlkezelőt, és keresse meg a kártyát. Látnia kellene néhány különféle partíciót. Keresse meg a „boot” partíciót. Az egyikben van egy „kernel.img” fájl. Hozzon létre egy üres szövegfájlt a „boot” partíción, és nevezze „ssh” fájlkiterjesztés nélkül.
Végül csatlakoztathatja a Pi-készüléket. Ügyeljen rá, hogy utoljára csatlakoztassa. Nincs szüksége képernyőre, billentyűzetre vagy egérre. A hálózaton keresztül távolról hozzáférhet a Raspberry Pi-hez.
Adj néhány percet a Pi-nek, hogy beállítsa magát. Ezután nyisson meg egy webböngészőt, és keresse meg az útválasztó kezelőképernyőjét. Keresse meg a Raspberry Pi-t, és jegyezze fel annak IP-címét.
Függetlenül attól, hogy Windows, Linux vagy Mac alatt van, nyissa meg az OpenSSH-t. Csatlakoztassa a Raspberry Pi-hez SSH-val.
$ ssh
Nyilvánvalóan használja a Pi tényleges IP-címét. A felhasználónév mindig pi, a jelszó pedig málna.
Az OpenVPN beállítása
Az OpenVPN szerverként való beállítása nem olyan egyszerű. A jó hír az, hogy csak egyszer kell megtennie. Tehát, mielőtt bemélyedne, ellenőrizze, hogy a Raspbian teljesen naprakész-e.
$ sudo apt update $ sudo apt frissítés
A frissítés befejezése után telepítheti az OpenVPN-t és a szükséges tanúsítvány-segédprogramot.
$ sudo apt install openvpn easy-rsa
Tanúsító hatóság
Az eszközök hitelesítéséhez, amikor megkísérlik csatlakozni a szerverhez, be kell állítania egy igazolási jogosultságot aláíró kulcsok létrehozásához. Ezek a gombok biztosítják, hogy csak az Ön készülékei tudják csatlakozni az otthoni hálózathoz.
Először hozzon létre egy könyvtárat a tanúsítványokhoz. Lépjen ebbe a könyvtárba.
$ sudo make-cadir / etc / openvpn / certs $ cd / etc / openvpn / certs
Nézze meg az OpenSSL konfigurációs fájljait. Ezután kapcsolja össze a legújabbat az openssl.cnf fájllal.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Ugyanebben a „certs” mappában található egy „vars” fájl. Nyissa meg ezt a fájlt a szövegszerkesztővel. A Nano az alapértelmezett, de bátran telepítse a Vim szoftvert, ha jobban tetszik.
Először keresse meg a KEY_SIZE változót. Alapértelmezés szerint 2048-ra állítja. Cserélje 4096-ra.
export KEY_SIZE = 4096
A fő blokk, amellyel foglalkoznia kell, információkat szolgáltat a hitelesítésszolgáltatóról. Segít, ha ez az információ pontos, de bármi, amit emlékszel, jó.
export KEY_COUNTRY = "US" export KEY_PROVINCE = "CA" export KEY_CITY = "SanFrancisco" export KEY_ORG = "Fort-Funston" export KEY_EMAIL = "" export KEY_OU = "MyOrganizationalUnit" export KEY_NAME = "HomeVPN"
Ha mindent megkap, mentse el és lépjen ki.
Ez az Easy-RSA csomag, amelyet korábban telepített, sok szkriptet tartalmaz, amelyek segítenek minden szükséges beállításában. Csak futtatnod kell őket. Kezdje hozzátenni a „vars” fájlt forrásként. Ezzel betölti az összes beállított változót.
$ sudo forrás ./vars
Ezután tisztítsa meg a kulcsokat. Nincs ilyen, ezért ne aggódjon az üzenet miatt, amely arról szól, hogy a kulcsokat törlik.
$ sudo ./clean-install
Végül készítse el a tanúsító hatóságot. Már beállította az alapértelmezéseket, így csak elfogadhatja az általa bemutatott alapértelmezéseket. Ne felejtsen el beállítani egy erős jelszót, és válaszoljon igennel az utolsó két kérdésre, a jelszó követésével.
Készítsen néhány kulcsot
Mindezen nehézségeken átment, hogy felállítson egy igazolási jogosultságot, így kulcsok aláírhatók. Itt az ideje, hogy készítsen néhányat. Kezdje a szerver kulcsának elkészítésével.
$ sudo ./build-key-server szerver
Ezután építje fel a Diffie-Hellman PEM-et. Ez az, amit az OpenVPN használ az ügyfél-kapcsolatok kiszolgálójának biztosításához.
$ sudo openssl dhparam 4096> /etc/openvpn/dh4096.pem
Az utóbbi időben kulcsra van szüksége, amelyet HMAC-kulcsnak hívnak. Az OpenVPN ezt a kulcsot használja az egyes, az ügyfél és a szerver között kicserélt információcsomagok aláírására. Segít megakadályozni a kapcsolat támadásait.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Szerverkonfiguráció
Megvan a kulcsod. Az OpenVPN beállításának következő része a szerverkonfiguráció. Szerencsére itt nincs minden, amit tennie kell. A Debian biztosít egy alapkonfigurációt, amely felhasználható az induláshoz. Tehát kezdje azzal, hogy megkapja a konfigurációs fájlt.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Használja újra a szövegszerkesztőt az /etc/openvpn/server.conf megnyitásához. Az első dolog, amit meg kell találnia, a ca, cert és a kulcs fájlok. Be kell állítania őket, hogy azok megfeleljenek a létrehozott fájlok tényleges helyének, amelyek mind az / etc / openvpn / certs / kulcsban vannak.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # Ezt a fájlt titokban kell tartani.
Keresse meg a dh beállítást, és módosítsa úgy, hogy megfeleljen a létrehozott Diffie-Hellman .pem fájlnak.
dh dh4096.pem
Állítsa be a HMAC kulcs elérési útját is.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Keresse meg a rejtjelet, és ellenőrizze, hogy megegyezik-e az alábbi példával.
rejtjel AES-256-CBC
A következő néhány lehetőség ott van, de a; Távolítsa el a pontosvesszőt az egyes opciók elõtt, hogy engedélyezze azokat.
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Keresse meg a felhasználói és a csoport opcióit. Távolítsa el őket, és változtassa meg a felhasználót „openvpn” -re.
felhasználó openvpn csoport nogroup
Végül, ez az utolsó két sor nincs az alapértelmezett konfigurációban. A fájl végére hozzá kell adnia őket.
Állítsa be a hitelesítési kivonatot, hogy erősebb titkosítást adja meg a felhasználói hitelesítéshez.
# Authentication Digest auth SHA512
Ezután korlátozza az OpenVPN által felhasználható cipeket csak erősebbekre. Ez segít korlátozni a gyenge rejtjelek elleni lehetséges támadásokat.
# Limit Ciphers TLS-DHE-RSA-WES-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-256- CBC-SHA: TLS-DHE-RSA-with-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-with-AES-128-CBC-SHA: TLS-DHE-RSA-with-CAMELLIA-128-CBC- SHA
Ez mind a konfiguráció. Mentse el a fájlt és lépjen ki.
Indítsa el a szervert
Mielőtt elindítaná a szervert, el kell készítenie azt a megadott openvpn felhasználót.
$ sudo adduser --system --shell / usr / sbin / nologin --no-create-home openvpn
Ez egy speciális felhasználó, csak az OpenVPN futtatásához, és nem fog mást csinálni.
Most indítsa el a szervert.
$ sudo systemctl start openvpn $ sudo systemctl start
Ellenőrizze, hogy mindkettő fut-e
$ sudo systemctl status openvpn * .service
Ha minden jól néz ki, engedélyezze őket az indításkor.
$ sudo systemctl engedélyezés openvpn $ sudo systemctl engedélyezés
Ügyfél beállítása
A szerver most fel van állítva és fut. Ezután be kell állítania az ügyfélkonfigurációt. Ez a konfiguráció, amelyet eszközöinek a szerverhez történő csatlakoztatására használ. Visszatérés a certs mappához, és készüljön fel az ügyfélkulcs (ok) létrehozására. Dönthet úgy, hogy külön-külön kulcsot épít minden ügyfélhez, vagy egy kulcsot minden ügyfélhez. Otthoni használatra az egyik kulcsnak megfelelőnek kell lennie.
$ cd / etc / openvpn / certs $ sudo source ./vars $ sudo ./build-key kliens
A folyamat szinte azonos a szerverrel, tehát ugyanezt az eljárást kell követni.
Ügyfélkonfiguráció
Az ügyfelek konfigurációja nagyon hasonló a szerver konfigurációjához. Ismét van egy előre elkészített sablon, amellyel a konfigurációt alapozhatja. Csak azt kell módosítania, hogy megfeleljen a szervernek.
Váltson az ügyfélkönyvtárba. Ezután csomagolja ki a minta konfigurációját.
$ cd / etc / openvpn / client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Nyissa meg a client.ovpn fájlt a szövegszerkesztővel. Ezután keresse meg a távoli lehetőséget. Feltéve, hogy még nem használ VPN-t, akkor a „Mi az én IP-m” Google-keresés. Vegye ki a megjelenített címet, és állítsa rá a távoli IP-címet. Hagyja el a portszámot.
távoli 107.150.28.83 1194 #Ez az IP ironikusan VPN
Változtassa meg a tanúsítványokat, hogy azok tükrözzék a létrehozottkat, ugyanúgy, mint a szerverrel.
ca ca.crt sert kliens.crt kulcs kliens kulcs
Keresse meg a felhasználói beállításokat, és szüntesse meg őket. Jó az ügyfelek senkiként futtatása.
felhasználó senki nem csoport nogroup
Távolítsa el a HMAC tls-auth opcióját.
tls-auth ta.key 1
Ezután keresse meg a rejtjel opciót, és ellenőrizze, hogy megegyezik-e a kiszolgálóval.
rejtjel AES-256-CBC
Ezután csak a fájl aljára adja hozzá a hitelesítési kivonatot és a titkosítási korlátozásokat.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-rejtjel TLS-DHE-RSA-WITH-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH -AES-256-CBC-SHA: TLS-DHE-RSA-with-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-with-AES-128-CBC-SHA: TLS-DHE-RSA-with-CAMELLIA -128-CBC-SHA
Amikor minden jól néz ki, mentse el a fájlt és lépjen ki. A tar segítségével csomagolja a konfigurációt és a tanúsítványokat, így elküldheti azokat az ügyfélnek.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C / etc / openvpn / certs / keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Vigyük át ezt a csomagot az ügyfélnek, az Ön által választott módon. Az SFTP, az FTP és az USB-meghajtó remek lehetőségek.
Port továbbítás
Annak érdekében, hogy ez működjön, be kell állítania az útválasztót a bejövő VPN-forgalom továbbítására a Pi-hez. Ha már használ VPN-t, akkor ellenőriznie kell, hogy nem ugyanazon a porton csatlakozik-e. Ha igen, módosítsa az ügyfél- és a kiszolgálókonfigurációk portját.
Csatlakozzon a router webes felületéhez azáltal, hogy beírja annak IP-címét a böngészőbe.
Minden router különbözik. Mégis, mindegyiknek rendelkeznie kell valamiféle ilyen funkcióval. Keresse meg az útválasztón.
A telepítés alapvetően ugyanaz a router. Adja meg a kezdő és a vég portokat. Ezeknek azonosaknak kell lenniük egymással, és azokkal, amelyeket a konfigurációjában beállított. Ezután állítsa be az IP-címhez a Raspberry Pi IP-jét. Mentse el a változtatásokat.
Csatlakozás az ügyféllel
Minden ügyfél különbözik, tehát nincs egyetemes megoldás. Ha Windows rendszeren van, akkor szüksége lesz a Windows OpenVPN kliensre .
Androidon megnyithatja a tarballt, és átviheti a billentyűket a telefonjára. Ezután telepítse az OpenVPN alkalmazást. Nyissa meg az alkalmazást, és dugja be az adatokat a konfigurációs fájlból. Ezután válassza ki a kulcsot.
Linux rendszeren ugyanúgy telepítenie kell az OpenVPN-t, mint a kiszolgálónál.
$ sudo apt install openvpn
Ezután váltson az / etc / openvpn fájlra, és csomagolja ki az átadott tarbolt.
$ cd / etc / openvpn $ sudo tar xJf /path/to/client.tar.xz
Nevezze át az ügyfélfájlt.
$ sudo mv client.ovpn client.conf
Még ne indítsa el az ügyfelet. Ez kudarcot vall. Először engedélyeznie kell a port továbbítást az útválasztón.
Záró gondolatok
Most már működőbeállítással kell rendelkeznie. Ügyfele közvetlenül az útválasztón keresztül csatlakozik a Pi-hez. Innentől megoszthatja és csatlakoztathatja virtuális hálózatát, feltéve, hogy minden eszköz csatlakozik a VPN-hez. Nincs korlátozás, ezért mindig csatlakoztathatja az összes számítógépet a Pi VPN-hez.
