Конфигурирайте VPN директно на рутера, използвайки OpenVPN Това е един от най-мощните и гъвкави начини да защитите цялата си домашна или бизнес мрежа, без да се налага да инсталирате приложения на всяко устройство. Когато се направи правилно, всяко устройство, което се свързва с вашата Wi-Fi мрежа или чрез кабел, ще има достъп до интернет чрез криптиран тунел, сякаш физически е в друга мрежа.
Това ръководство събира, реорганизира и разширява техническа информация от производители като TP-Link, ASUS, Omada и официалната документация на OpenVPN, така че да имате всичко необходимо в една статия: какво представлява OpenVPNКакво печелите и какво губите, като го използвате, как да го настроите на рутери и сървъри, как да се свържете от компютър и мобилно устройство и как да разрешите най-често срещаните грешки.
Какво е OpenVPN и защо го използвате на вашия рутер?
OpenVPN е VPN софтуер с отворен код Той създава криптиран „тунел“ между клиент (вашият лаптоп, мобилен телефон и др.) и сървър (вашият рутер, Linux сървър, NAS и др.). Работи през SSL/TLS, позволявайки използването на цифрови сертификати, ключове, потребителски имена и пароли, както и голямо разнообразие от съвременни алгоритми за криптиране.
Едно от големите му предимства пред други протоколи като IPsec е, че е по-лесно за настройванеОсвен това, той е достъпен на почти всяка операционна система (Windows, macOS, GNU/Linux, Android, iOS, рутери, защитни стени, NAS...).
Когато инсталирате и активирате OpenVPN на рутера, Самият рутер действа като VPN сървър. Вашата локална мрежа става „защитената страна“ и отдалечени устройства (VPN клиенти) се свързват извън вашия дом или офис чрез интернет, винаги криптирани. Рутерът действа като шлюз между VPN и вашата локална мрежа.
Резултатът е, че можете сърфирайте безопасно от обществени WiFi мрежиДостъпвайте до вътрешните си ресурси (NAS, принтери, IP камери, SMB/FTP сървъри…), сякаш сте у дома, а също така скрийте истинския си IP адрес или заобиколете географските блокировки в зависимост от това как сте настроили конфигурацията.
Предимства и недостатъци на използването на VPN и OpenVPN
Настройването на VPN на рутера с OpenVPN има много практически предимстваНо има и някои недостатъци, за които трябва да сте наясно, преди да започнете, за да можете да изберете правилното оборудване, интернет доставчик и метод на инсталиране. Ето списъка:
- Възможност за промяна или скриване на вашия IP адрес.
- Криптирайте трафика, за да предотвратите шпиониране (особено полезно при отворена WiFi мрежа).
- Достъпът до съдържание е ограничен по държава.
- Разглеждайте с много по-голяма степен на анонимност.
В раздела за поверителност, VPN мрежата не позволява на всеки лесно да вижда. Уебсайтовете, които посещавате, и местоположенията, от които се свързвате, не се проследяват, въпреки че вашият доставчик на интернет услуги винаги ще има известна видимост. Въпреки това е изключително трудно да ви проследите чрез снифери, необезпечени точки за достъп или споделени мрежи.
В замяна, Криптирането и маршрутизирането през VPN сървъра консумират ресурси. Те също така са склонни да намалят скоростта и наличната честотна лента, особено ако вашият рутер е слаб или използвате безплатни услуги. Освен това, добрата антивирусна програма е от съществено значение и трябва да бъдете внимателни, когато изтегляте софтуер, защото VPN не ви предпазва от зловреден софтуер.
Sus силни страни Те са сигурност, стабилност, широк спектър от персонализиране (слой 2 или 3, TUN или TAP тунели, динамичен IP без проблеми, NAT съвместимост...) и отличен контрол върху правилата на защитната стена и скриптовете за зареждане, но това изисква добро разбиране на конфигурацията му, особено ако ще персонализирате алгоритми и сертификати.
Предварителни изисквания и важни съображения (CG-NAT, публичен IP адрес и динамичен DNS)
Преди дори да активирате OpenVPN на рутера, трябва да проверите няколко неща. ключови точки:
- Ако вашият рутер поддържа OpenVPN сървър.
- Уверете се, че вашата интернет връзка има публичен IP адрес.
- Ако е необходимо да използвате динамичен DNS.
Много рутери от среден и висок клас от TP-Link, ASUS или Omada вече имат интегриран OpenVPN сървър, но не всички модели го включват, нито пък е наличен във всички версии на фърмуера. Препоръчително е да... Проверете спецификациите на вашия модел и, ако е необходимо, актуализирайте фърмуера до най-новата версия, предлагана от производителя.
Най-критичното изискване е имат публичен IP адрес в WAN мрежата на рутераАко вашият интернет доставчик използва CG-NAT и ви предоставя споделен частен IP адрес (често срещан при 4G/5G връзки или някои интернет доставчици), няма да можете да пренасочвате портове от интернет към вашия рутер, така че VPN няма да бъде достъпен отвън. В този случай ще трябва да поискате статичен или публичен IP адрес от вашия интернет доставчик.
За да можете да локализирате рутера си по име, а не по числов IP адрес, е много практично активирайте динамична DNS услуга на самия рутер (NO-IP, DynDNS, собствената услуга на производителя и др.). По този начин можете да се свържете с mydomain.no-ip.org, вместо да запомняте публичния си IP адрес, който може да се променя.
Освен това, Препоръчително е правилно да синхронизирате системното време на рутера с интернетТова е така, защото цифровите сертификати и TLS функциите зависят от правилните дати и часове. Несъответствие може да причини необичайни грешки при валидирането на сертификата.
Как работи OpenVPN на техническо ниво и какви режими предлага (TUN/TAP, UDP/TCP)
OpenVPN може да работи в режим TUN или TAPи използване на UDP или TCP като транспортен протокол. Всеки избор влияе върху производителността, съвместимостта и типа на мрежата, създадена между клиента и сървъра.
- TUN режимът емулира интерфейс от точка до точка Работи изключително с IP трафик. Идеален е за създаване на нова виртуална подмрежа (например 10.8.0.0/24), където се намират VPN клиенти, отделно от физическата локална мрежа. Това е най-често срещаният режим за отдалечен достъп и обикновено предлага по-добра производителност.
- TAP режимът симулира Ethernet интерфейс от слой 2Това включва директно капсулиране на Ethernet кадри. Това позволява отдалечени устройства да бъдат в същата подмрежа като локалната мрежа, което е полезно, когато искате VPN клиентите да изглеждат „включени“ към локалния комутатор, въпреки че може да причини проблеми, ако мрежовите диапазони се припокриват и като цяло е по-неефективно.
Относно протокола, UDP се препоръчва пред TCP За VPN тунела, TCP е за предпочитане, защото избягва ненужни вътрешни повторни предавания и по-добре издържа на загуба на пакети и атаки от типа „отказ от услуга“. TCP също е възможен, но въвежда повече режийни разходи и дублира контрола на сесията.
На практика, повечето препоръчителни конфигурации Те използват TUN през UDP, със специална виртуална подмрежа за VPN и специфични маршрути за достъп до локалната мрежа или за принудително прекарване на целия интернет трафик през тунела.
Криптиране, сертификати и разширена сигурност в OpenVPN
Една от силните страни на OpenVPN е, че ви позволява да избирате със значителна прецизност симетричните, асиметричните и хеш алгоритмите за криптиране, както и TLS версията и различни допълнителни мерки срещу атаки от типа „отказ от услуга“.
За инфраструктура с публичен ключ (PKI)Често срещано е използването на сертификати, базирани на елиптични криви (EC), вместо класически RSA. Например, Easy-RSA 3 може да бъде конфигуриран да генерира CA, сървърен сертификат и клиентски сертификати, използвайки кривата secp521r1 и да ги подписва с SHA512, което води до високо сигурни и относително леки ключове.
В контролен канал (TLS преговори)OpenVPN поддържа поне TLS 1.2, а в по-новите версии и TLS 1.3. Препоръчват се силни пакети с Perfect Forward Secrecy, като TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 или по-новите TLS_AES_256_GCM_SHA384 и TLS_CHACHA20_POLY1305_SHA256 за TLS 1.3, като винаги проверявате с openvpn --show-tls какво поддържа вашата инсталация.
За канал за данни (реален VPN трафик)Препоръчителните шифри са AES-256-GCM или AES-128-GCM, които интегрират удостоверяване (AEAD) и елиминират необходимостта от отделен хеш. Ако вашият процесор не поддържа AES-NI ускорение, шифърът CHACHA20-POLY1305 обикновено предлага по-добра производителност и се поддържа от OpenVPN 2.5 нататък.
Друг важен допълнителен слой е използването на допълнителен HMAC ключ С tls-crypt (или tls-auth в по-стари версии), който защитава началната фаза на връзката от UDP порт flood, SYN атаки и сканирания, той също така скрива самия предварително споделен ключ при използване на tls-crypt. Всички клиенти трябва да споделят този един и същ ключ, ако използвате първата версия, докато с tls-crypt-v2 всеки клиент може да има различен.
Създаване на PKI с Easy-RSA и организация на сертификати
Ако настроите „чист“ OpenVPN сървър на GNU/Linux или подобенОбичайната практика е да създавате свои собствени сертификати с Easy-RSA 3, като коригирате vars файла, за да определите дали ще използвате RSA или EC, хеша, кривата, срока на валидност на CA и сертификатите и т.н.
След като копирате vars.example във vars и го редактирате, можете да изберете режим cn_only, за да опростите DN, да активирате EASYRSA_ALGO ec, да изберете кривата secp521r1, да конфигурирате срока на валидност (например 10 години за CA и 1080 дни за сертификати) и да зададете EASYRSA_DIGEST на sha512.
След като този файл е готов, инициализирате PKI с ./easyrsa init-pkiСъздавате CA с ./easyrsa build-ca (със или без парола за частния ключ) и оттам генерирате заявка за сертификат за сървъра и толкова за клиенти, колкото са ви необходими, след което ги подписвате съответно като сървър или клиент.
На този етап е силно препоръчително организирайте файлове в ясни папки:
- Един за сървъра (ca.crt, server.crt, server.key, ta.key и по избор dh.pem, ако не използвате ECDHE).
- По един за всеки клиент (ca.crt, clientX.crt, clientX.key и ta.key).
По този начин избягвате объркване на ключове и сертификати.
В допълнение към сертификатите, OpenVPN позволява използването на допълнително удостоверяване чрез потребителско име/парола, или срещу самата система, или срещу RADIUS сървър или друга база данни, което засилва сигурността срещу кражба на сертификати.
Конфигурирайте OpenVPN клиенти на компютри, мобилни устройства и рутери
Следващата стъпка е конфигуриране на отдалечени клиентикоито могат да бъдат компютри с Windows или Linux, мобилни телефони с Android/iOS, други рутери или дори оборудване, което се свързва от контролер като Omada.
В един класически десктоп клиентФайлът client.ovpn включва директиви като client, dev tun, proto udp, отдалечената линия с публичния IP адрес или домейн на рутера и избрания порт, resolv-retry infinite, nobind и пътя до ca.crt, собствения сертификат и ключ на клиента, плюс tls-crypt ta.key.
За допълнителна сигурност, клиентът валидира сървъра С `remote-cert-tls server` използвайте същия шифър и удостоверяване като сървъра и в идеалния случай репликирайте същите поддържани TLS пакети. Изключително важно е шифрите и кривите да съвпадат; в противен случай TLS ръкостискането ще се провали.
На Android можете да използвате официалното приложение OpenVPN или по-модерни приложения на трети страни, които поддържат най-новите функции. Обикновено е достатъчно да копирате папката, съдържаща ca.crt, cliente.crt, cliente.key, ta.key и файла .ovpn в паметта на телефона си и след това да импортирате този профил от самото приложение.
В Windows, клиентът на OpenVPN Community Обикновено се очаква да копирате .ovpn файла и сертификатите в C:\Program Files\OpenVPN\config (или по пътя, посочен по време на инсталацията). След това щракнете с десния бутон върху иконата на OpenVPN в системния трей, изберете профила и се свържете.
Конфигуриране на OpenVPN на рутери TP-Link
Няколко рутера TP-Link от ново поколение се предлагат с интегриран OpenVPN сървър в своя усъвършенстван уеб интерфейс, което значително опростява нещата, защото автоматично генерира сертификатите и .ovpn файла за клиентите.
В един прост сценарий с един рутер в мрежатаОбикновено процедурата е следната: влезте в уеб интерфейса, отидете на Advanced > VPN Server > OpenVPN, отметнете Enable VPN server и, ако е за първи път, щракнете върху Generate, за да създадете вътрешния сертификат.
След това се прави избор вид услуга (UDP или TCP), сервизният порт е дефиниран между 1024 и 65535, VPN подмрежата и маската са конфигурирани и е избран типът на клиентски достъп: Само домашна мрежа (само LAN 192.168.xx) или Интернет и домашна мрежа (целият интернет трафик преминава през VPN).
След запазете конфигурацията и генерирайте/актуализирайте сертификатитеЩракнете върху „Експортиране“, за да изтеглите конфигурационния файл на OpenVPN, който клиентите ще използват. След това просто инсталирайте клиента OpenVPN на вашия компютър или мобилно устройство, копирайте експортирания файл в папката с конфигурации и се свържете.
Когато в домашната топология има два или повече рутера (например, рутер на интернет доставчик и рутер на TP-Link зад него), освен конфигурирането на OpenVPN на втория рутер, ще трябва да създадете пренасочване на портове (виртуален сървър) на първия, като насочите външния порт към LAN IP адреса на втория и същия вътрешен порт, който OpenVPN използва.
Конфигурирайте OpenVPN на ASUS рутери
Лос ASUS рутери с фърмуер ASUSWRT Те включват и OpenVPN сървър с доста лесен за ползване графичен интерфейс, въпреки че екраните се променят леко между версиите на фърмуера преди и след 3.0.0.4.388.xxxx.
Процесът започва достъп до графичния потребителски интерфейс на рутера От http://www.asusrouter.com или вашия LAN IP адрес, влезте с потребителското си име и парола на администратор и отидете на VPN > VPN сървър, за да активирате OpenVPN.
В общите настройки портът на сървъра е дефиниран (например 2000 или стойност между 1024 и 65535), дължината на RSA криптиране по подразбиране и отново дали клиентите ще имат достъп само до локалната мрежа или и до интернет през рутера.
След като всичко е приложено, Файлът client.ovpn се експортира От секцията на OpenVPN сървъра. Този файл вече включва необходимите сертификати, ключове и параметри. Ако по-късно промените ключовете или сертификатите, ще трябва да го експортирате отново и да го разпространите до клиентите.
В секцията „Детайли за VPN“ > „Разширени настройки“ Можете ръчно да редактирате ключове и сертификати, да регулирате параметри като TLS версия или алгоритми и да адаптирате конфигурацията към по-взискателни среди, без да докосвате фърмуера.
Конфигурирайте OpenVPN на Omada (TP-Link) като сървър и създайте потребители
В среди, управлявани от контролер Омада Можете да дефинирате VPN политики от типа OpenVPN Server за достъп от клиент към сайт, което е идеално, когато искате да централизирате управлението в един панел.
От контролера, до който имате достъп Конфигурация> VPNЩраквате върху „Добавяне“, за да създадете нова политика и задавате име (например „тест“), задавате го на „Разрешено“, избирате „Цел от клиент към сайт“ и „Тип на VPN“: VPN сървър - OpenVPN.
В същата тази политика Вие решавате дали да използвате разделен или пълен тунелИзберете между Split Tunnel (Разделен тунел), така че само трафикът към вътрешната мрежа да преминава през VPN, или Full Tunnel (Пълен тунел), така че целият интернет трафик също да преминава през сървъра. Вие също така избирате протокола (TCP/UDP), порта на услугата (по подразбиране 1194), режима на удостоверяване (локален), типа на локалната мрежа и диапазона от IP адреси, които да се присвоят на клиентите.
след това Създавате VPN потребители в Настройки > VPN > ПотребителиТова включва задаване на име и парола за акаунт, избор на OpenVPN протокол и свързване на потребителя с новосъздадения VPN сървър. След това всеки потребител ще има своите основни идентификационни данни.
Накрая, .ovpn файлът се експортира от списъка с правила.Копирайте файла на клиента (компютър, лаптоп и др.), инсталирайте софтуера OpenVPN Community, поставете файла в папката config и се свържете. Можете да проверите състоянието на контролера в Insight > VPN Status.
Последни актуализации на OpenVPN и налични алтернативи
OpenVPN продължава да се развива с всяка версиядобавяне на подобрения в сигурността, производителността и използваемостта. Последните промени включват tls-crypt-v2 (за присвояване на специфични за клиента ключове и допълнително смекчаване на DoS атаки), поддръжка за CHACHA20-POLY1305 и подобрено договаряне на шифри за данни с помощта на шифри за данни.
В същото време, Поддръжката за остарели шифри е преустановена. като например BF-CBC в конфигурации по подразбиране, което подтиква администраторите да използват AES-GCM или CHACHA20, които са много по-сигурни и по-бързи на практика.
В компаниите също е често срещано комбинирайте OpenVPN с облачни решения като Azure VPN Gateway или със защитни стени, които интегрират IPsec и други протоколи за връзки от сайт към сайт, докато в домашна среда добре конфигуриран рутер, съвместим с OpenVPN, обикновено осигурява всичко необходимо.
С всичко видяно, Конфигурирайте VPN на вашия рутер, използвайки OpenVPN Преминава от нещо мистериозно до напълно управляем проект, ако отговаряте на основните изисквания (публичен IP адрес, съвместим рутер, малко търпение) и следвате ясна структура: подгответе сертификати или използвайте генерирани от рутера, активирайте и настройте сървъра, експортирайте конфигурацията за клиентите и тествайте спокойно, коригирайки типични грешки; в замяна получавате много по-сигурна и гъвкава мрежа, готова както за дистанционна работа, така и за защита на всички устройства у дома с един замах.