Miksi päästä kotiisi VPN-verkon avulla?
Pikalinkit
- Miksi päästä kotiisi VPN-verkon avulla?
- Asenna Pi
- Asenna Raspbian
- Asenna OpenVPN
- Varmentaja
- Tee joitain näppäimiä
- Palvelimen kokoonpano
- Käynnistä palvelin
- Asiakkaan asetukset
- Asiakkaan kokoonpano
- Portin uudelleenohjaus
- Yhdistä asiakkaaseen
- Ajatusten päättäminen
On paljon syitä, että haluat käyttää kotiverkkoasi etäyhteydellä, ja paras tapa tehdä tämä on VPN-palvelimen avulla. Jotkut reitittimet todella antavat sinun määrittää VPN-palvelimen suoraan reitittimeen, mutta monissa tapauksissa joudut määrittämään sen itse.
Vadelma Pi on hieno tapa saavuttaa tämä. Ne eivät vaadi paljon energiaa ajamiseen, ja heillä on tarpeeksi virtaa VPN-palvelimen käyttämiseen. Voit asettaa yhden reitittimen viereen ja unohtaa sen.
Kun sinulla on pääsy kotiverkkoosi etäältä, pääset tiedostoihisi mistä tahansa. Voit käyttää kotitietokoneitasi etänä. Voit jopa käyttää kodisi VPN-yhteyttä tien päältä. Tämänkaltainen asetus antaa puhelimellesi, tablet-laitteellesi tai kannettavallesi toimia samalla tavalla kuin kotona mistä tahansa.
Asenna Pi
Ennen kuin voit aloittaa VPN: n määrittämisen, sinun on määritettävä Raspberry Pi. On parasta perustaa Pi koteloon ja kunnollisen kokoiseen muistikorttiin, 16 Gt: n pitäisi olla enemmän kuin tarpeeksi. Jos mahdollista, liitä Pi reitittimeesi Ethernet-kaapelilla. Se minimoi kaikki verkkoviiveet.
Asenna Raspbian
Paras käyttöjärjestelmä, jota Pi-laitteessasi voi käyttää, on Raspbian. Se on Raspberry Pi-säätiön laatima oletusvalinta, ja se perustuu Debianiin, joka on yksi turvallisimmista ja vakaimmista saatavilla olevista Linux-versioista.
Siirry Rasbian-lataussivulle ja napauta uusin versio. Voit käyttää tässä Lite-versiota, koska et oikeastaan tarvitse graafista työpöytää.
Lataamisen aikana saat uusimman Etcher- version käyttöjärjestelmällesi. Kun lataus on valmis, purkaa Raspbian-kuva. Avaa sitten Etcher. Valitse Raspbian-kuva mistä uutinen on. Valitse SD-kortti (aseta se ensin). Kirjoita lopuksi kuva kortille.
Jätä SD-kortti tietokoneeseen, kun se on valmis. Avaa tiedostonhallinta ja selaa korttia. Sinun pitäisi nähdä pari eri osiota. Etsi “käynnistys” -osiota. Siinä on tiedosto “kernel.img”. Luo tyhjä tekstitiedosto käynnistysosioon ja kutsu sitä ssh: ksi ilman tiedostotunnistetta.
Voit lopulta kytkeä Pi-laitteesi. Varmista, että liität sen viimeiseksi. Et tarvitse näyttöä, näppäimistöä tai hiirtä. Aiot käyttää etäyhteyttä Raspberry Pi-verkkoon.
Anna Pi: lle muutama minuutti asettaa itsensä. Avaa sitten selain ja siirry reitittimen hallintanäyttöön. Etsi Raspberry Pi ja merkitse sen IP-osoite.
Avaa Windows, Linux tai Mac, avaa OpenSSH. Yhdistä Raspberry Pi SSH: lla.
$ ssh
Käytä selvästi Pi: n todellista IP-osoitetta. Käyttäjätunnus on aina pi, ja salasana on vadelma.
Asenna OpenVPN
OpenVPN ei ole aivan helppo määrittää palvelimeksi. Hyvä uutinen on, että sinun täytyy tehdä se vain kerran. Joten ennen kaivamista varmista, että Raspbian on täysin ajan tasalla.
$ sudo apt päivitys $ sudo apt päivitys
Kun päivitys on valmis, voit asentaa OpenVPN: n ja tarvitsemasi varmenneapuohjelman.
$ sudo apt install openvpn easy-rsa
Varmentaja
Jotta laitteesi voidaan todentaa, kun ne yrittävät muodostaa yhteyden palvelimeen, sinun on määritettävä varmenteen myöntäjä allekirjoituksen avainten luomiseksi. Nämä näppäimet varmistavat, että vain laitteesi voivat muodostaa yhteyden kotiverkkoosi.
Luo ensin hakemisto varmenteille. Siirry siihen hakemistoon.
$ sudo make-cadir / etc / openvpn / certs $ cd / etc / openvpn / certs
Katso OpenSSL-määritystiedostot. Yhdistä sitten viimeisin julkaisu openssl.cnf-tiedostoon.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Tässä samassa ”certs” -kansiossa on tiedosto nimeltään “vars”. Avaa tämä tiedosto tekstieditorilla. Nano on oletusasetus, mutta asenna Vim, jos sinulla on mukavampaa asennusta.
Etsi ensin muuttuja KEY_SIZE. Se on oletuksena asetettu arvoon 2048. Vaihda se arvoon 4096.
vie KEY_SIZE = 4096
Päälohko, joka sinun on käsiteltävä, määrittää tiedot varmentajastasi. On apua, jos nämä tiedot ovat tarkkoja, mutta kaikki mitä muistat, on hienoa.
vienti KEY_COUNTRY = "US" vienti KEY_PROVINCE = "CA" vienti KEY_CITY = "SanFrancisco" vienti KEY_ORG = "Fort-Funston" vienti KEY_EMAIL = "" vienti KEY_OU = "MyOrganizationalUnit" vie KEY_NAME = "HomeVPN"
Kun sinulla on kaikki, tallenna ja poistu.
Tuo aiemmin asentama Easy-RSA-paketti sisältää paljon skriptejä, jotka auttavat asettamaan kaiken tarvitsemasi. Sinun täytyy vain ajaa heidät. Aloita lisäämällä vars-tiedosto lähteeksi. Se lataa kaikki juuri asettamasi muuttujat.
$ sudo lähde ./vars
Siirrä seuraavaksi avaimet. Sinulla ei ole yhtään, joten älä välitä viestistä, jossa kerrotaan, että avaimet poistetaan.
$ sudo ./clean-install
Lopuksi rakenna varmenteen myöntäjä. Olet jo asettanut oletusasetukset, joten voit vain hyväksyä sen esittämät oletukset. Muista asettaa vahva salasana ja vastata "kyllä" kahteen viimeiseen kysymykseen salasanan jälkeen.
Tee joitain näppäimiä
Olet käynyt läpi kaikki nämä ongelmat perustaessasi varmenteen myöntäjän, jotta voit allekirjoittaa avaimia. Nyt on aika tehdä joitain. Aloita rakentamalla avain palvelimellesi.
$ sudo ./build-key-server-palvelin
Seuraavaksi rakenna Diffie-Hellman PEM. Se on mitä OpenVPN käyttää suojaamaan asiakasyhteydet palvelimeen.
$ sudo openssl dhparam 4096> /etc/openvpn/dh4096.pem
Viimeistä avainta, jota tarvitset nyt, kutsutaan HMAC-avaimeksi. OpenVPN käyttää tätä avainta allekirjoittaakseen asiakkaan ja palvelimen välillä vaihdetut yksittäiset tietopaketit. Se auttaa estämään tietyn tyyppisiä hyökkäyksiä yhteyteen.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Palvelimen kokoonpano
Sinulla on avaimet. Seuraava osa OpenVPN: n asettamisessa on itse palvelimen kokoonpano. Onneksi täällä ei ole mitään niin paljon, mitä sinun on tehtävä. Debian tarjoaa peruskonfiguraation, jonka avulla voit aloittaa. Joten aloita hankkimalla kyseinen asetustiedosto.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Avaa /etc/openvpn/server.conf käyttämällä uudelleen tekstieditoria. Ensimmäiset etsimäsi asiat ovat ca-, sert- ja avaintiedostot. Sinun on asetettava ne vastaamaan luomiesi tiedostojen todellisia sijainteja, jotka ovat kaikki hakemistossa / etc / openvpn / certs / avaimet.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # Tämä tiedosto on pidettävä salassa
Etsi dh-asetus ja muuta se vastaamaan luomaasi Diffie-Hellman .pem.
dh dh4096.pem
Aseta polku myös HMAC-avaimellesi.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Etsi salaus ja varmista, että se vastaa alla olevaa esimerkkiä.
salaus AES-256-CBC
Seuraavat pari vaihtoehtoa on olemassa, mutta niitä kommentoidaan painikkeella;. Poista puolipisteet kunkin vaihtoehdon edestä, jotta ne otetaan käyttöön.
push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"
Etsi käyttäjän ja ryhmän vaihtoehdot. Poista niiden komento ja vaihda käyttäjäksi ”openvpn”.
käyttäjän openvpn-ryhmän nogroup
Lopuksi, nämä kaksi viimeistä riviä eivät ole oletusasetuksissa. Sinun on lisättävä ne tiedoston loppuun.
Aseta todennuskokonaisuus määrittämään vahvempi salaus käyttäjän todennusta varten.
# Authentication Digest auth SHA512
Rajoita sitten siivet, joita OpenVPN voi käyttää, vain vahvempiin. Tämä auttaa rajoittamaan mahdollisia hyökkäyksiä heikkoihin salauksiin.
# Limit Ciphers tls-salaus TLS-DHE-RSA-WITH-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH-AES-256- CBC-SHA: TLS-DHE-RSA-JA-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-JA-AES-128-CBC-SHA: TLS-DHE-RSA-JA-CAMELLIA-128-CBC- SHA
Siinä kaikki konfigurointiin. Tallenna tiedosto ja poistu.
Käynnistä palvelin
Ennen kuin voit käynnistää palvelimen, sinun on tehtävä kyseinen määrittämäsi openvpn-käyttäjä.
$ sudo adduser --systeemi --shell / usr / sbin / nologin --no-create-home openvpn
Se on erityinen käyttäjä vain OpenVPN: n suorittamiseen, eikä se tee mitään muuta.
Käynnistä nyt palvelin.
$ sudo systemctl start openvpn $ sudo systemctl start
Tarkista, että molemmat ovat käynnissä
$ sudo systemctl status openvpn * .service
Jos kaikki näyttää hyvältä, ota ne käyttöön käynnistyksen yhteydessä.
$ sudo systemctl enable openvpn $ sudo systemctl Ota käyttöön
Asiakkaan asetukset
Palvelin on nyt määritetty ja käynnissä. Seuraavaksi sinun on määritettävä asiakasmääritykset. Tämä on kokoonpano, jota käytetään yhdistämään laitteet palvelimeesi. Palaa serts-kansioon ja valmistaudu rakentamaan asiakasavaimet. Voit valita rakentamalla erilliset avaimet jokaiselle asiakkaalle tai yhden avaimen kaikille asiakkaille. Kotikäyttöön yhden avaimen tulisi olla hyvä.
$ cd / etc / openvpn / certs $ sudo lähde ./vars $ sudo ./build-key Client
Prosessi on melkein identtinen palvelinprosessin kanssa, joten noudata samaa menettelyä.
Asiakkaan kokoonpano
Asiakkaiden kokoonpano on hyvin samanlainen kuin palvelimen. Jälleen kerran, sinulla on valmiiksi valmistettu malli, jonka perusteella kokoonpano perustuu. Sinun on vain muokattava sitä vastaamaan palvelinta.
Vaihda asiakashakemistoon. Pura sitten näytteen kokoonpano.
$ cd / etc / openvpn / client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Avaa client.ovpn-tiedosto tekstieditorilla. Etsi sitten etävaihtoehto. Olettaen, että et vielä käytä VPN-verkkoa, Google-haku ”Mikä on minun IP-osoite”. Ota näyttöön osoite ja aseta etä-IP-osoite siihen. Jätä porttinumero.
kauko 107.150.28.83 1194 #Tämä IP on ironisesti VPN
Vaihda luettelot luomaasi vastaavasti, samoin kuin palvelimen kanssa.
ca ca.crt sertifikaatti asiakas.crt avain asiakas.avain
Etsi käyttäjän vaihtoehdot ja poista niiden komennot. On hienoa hoitaa asiakkaita kukaan.
käyttäjä ei kukaan ryhmittele ryhmää
Peruuta HMAC: n tls-auth-vaihtoehto.
tls-auth ta.key 1
Seuraavaksi etsi salausvaihtoehto ja varmista, että se vastaa palvelinta.
salaus AES-256-CBC
Lisää sitten sitten todennuksen tiivistelmä ja salausrajoitukset tiedoston alaosaan.
# Authentication Digest auth SHA512 # Kooperirajoitukset tls-salaus TLS-DHE-RSA-WITH-AES-256-GCM-SHA384: TLS-DHE-RSA-WITH-AES-128-GCM-SHA256: TLS-DHE-RSA-WITH -AES-256-CBC-SHA: TLS-DHE-RSA-JA-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-JA-AES-128-CBC-SHA: TLS-DHE-RSA-JA-CAMELLIA -128-CBC-SHA
Kun kaikki näyttää oikealta, tallenna tiedosto ja poistu. Pakkaa kokoonpano ja sertifikaatit tervan avulla, jotta voit lähettää ne asiakkaalle.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C / etc / openvpn / certs / avaimet ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Siirrä paketti valitsemallesi asiakkaalle. SFTP, FTP ja USB-asema ovat kaikki hienoja vaihtoehtoja.
Portin uudelleenohjaus
Jotta tämä toimisi, sinun on määritettävä reititin lähettämään saapuva VPN-liikenne Pi-verkkoon. Jos käytät jo VPN-verkkoa, sinun on varmistettava, että et ole yhteydessä samaan porttiin. Jos olet, muuta asiakas- ja palvelinkonfiguraatioiden porttia.
Yhdistä reitittimen verkkoliittymään kirjoittamalla selaimesi IP-osoite.
Jokainen reititin on erilainen. Silti heillä kaikilla on oltava jokin muoto tätä toimintoa. Löydä se reitittimeltäsi.
Asennus on periaatteessa sama kaikilla reitittimillä. Syötä aloitus- ja lopetusportit. Niiden tulisi olla samoja kuin toistensa ja ne, jotka olet asettanut kokoonpanoissasi. Aseta sitten IP-osoitteelle Raspberry Pi: n IP-osoite. Tallenna muutokset.
Yhdistä asiakkaaseen
Jokainen asiakas on erilainen, joten universaalia ratkaisua ei ole. Jos sinulla on Windows, tarvitset Windows OpenVPN -asiakasohjelman .
Android-sovelluksessa voit avata tarballisi ja siirtää näppäimet puhelimeesi. Asenna sitten OpenVPN-sovellus. Avaa sovellus ja kytke tiedot määritystiedostosi. Valitse sitten avaimet.
Linuxissa sinun on asennettava OpenVPN paljon kuin palvelimelle.
$ sudo apt install openvpn
Vaihda sitten tiedostoon / etc / openvpn ja pakkaa pakkauksesi, jonka lähetit.
$ cd / etc / openvpn $ sudo tar xJf /path/to/client.tar.xz
Nimeä asiakastiedosto uudelleen.
$ sudo mv client.ovpn asiakas.conf
Älä käynnistä asiakasta vielä. Se epäonnistuu. Sinun on ensin sallittava portin edelleenlähetys reitittimessäsi.
Ajatusten päättäminen
Sinulla pitäisi olla nyt toimivat asetukset. Asiakkaasi muodostaa yhteyden reitittimen kautta suoraan Pi: hen. Sieltä voit jakaa ja muodostaa yhteyden virtuaalisen verkon kautta, kunhan kaikki laitteet ovat yhteydessä VPN: ään. Ei ole mitään rajoituksia, joten voit aina liittää kaikki tietokoneesi Pi VPN -verkkoon.
