Зашто користити ВПН за приступ вашем дому
Брзи линкови
- Зашто користити ВПН за приступ вашем дому
- Постави Пи
- Инсталирајте Распбиан
- Подесите ОпенВПН
- Дипломирани орган
- Направите неке кључеве
- Конфигурација сервера
- Покрените Сервер
- Клијентско подешавање
- Конфигурација клијента
- Порт Форвардинг
- Повежите се са клијентом
- Завршне мисли
Постоји пуно разлога због којих желите да приступите матичној мрежи на даљину, а најбољи начин је да то учините са ВПН сервером. Неки рутери заправо вам омогућавају да поставите ВПН сервер директно унутар рутера, али у многим случајевима ћете морати сами да га подесите.
Распберри Пи је одличан начин да се то постигне. За покретање им није потребно пуно енергије и имају довољно снаге за покретање ВПН сервера. Можете га поставити поред рутера и у основи га заборавити.
Када имате приступ својој кућној мрежи на даљину, можете да дођете до својих датотека било где. Кућне рачунаре можете покретати на даљину. Можете чак да користите ВПН везу вашег дома са пута. Оваква конфигурација омогућава вашем телефону, таблету или лаптопу да се понаша као да је код куће било где.
Постави Пи
Пре него што започнете са подешавањем ВПН-а, морат ћете поставити свој Распберри Пи. Најбоље је поставити Пи помоћу кућишта и меморијске картице пристојног величине, 16ГБ би требало да буде више него довољно. Ако је могуће, повежите свој Пи на рутер помоћу Етхернет кабла. То ће минимизирати било каква одлагања мреже.
Инсталирајте Распбиан
Најбољи оперативни систем који се користи на вашем Пи-у је Распбиан. То је подразумевани избор који је поставила Распберри Пи фондација, а заснован је на Дебиану, једној од најсигурнијих и најстабилнијих доступних верзија Линука.
Идите на страницу за преузимање софтвера Расбиан и преузмите најновију верзију. Овде можете користити „Лите“ верзију, јер вам заправо не треба графичка радна површина.
Док се то преузима, набавите најновију верзију Етцхера за ваш оперативни систем. Након завршетка преузимања, извуците Распбиан слику. Затим отворите Етцхер. Изаберите Распбиан слику одакле сте је извукли. Одаберите СД картицу (прво је уметните). На крају, упишите слику на картицу.
Оставите СД картицу у рачунару када буде готова. Отворите менаџер датотека и потражите картицу. Требали бисте видети неколико различитих партиција. Потражите партицију "боот". Она је са датотеком „кернел.имг“. Направите празну текстуалну датотеку на „боот“ партицији и назовите је „ссх“ без екстензије датотеке.
Коначно можете да повежете свој Пи. Обавезно га прикључите последњи. Неће вам требати екран, тастатура или миш. Даљински ћете приступити Распберри Пи преко ваше мреже.
Дајте Пи неколико минута да се постави. Затим отворите веб прегледач и идите на екран за управљање рутера. Пронађите Распберри Пи и забележите његову ИП адресу.
Без обзира да ли сте на Виндовс-у, Линуку или Мац-у, отворите ОпенССХ. Повежите се на Распберри Пи помоћу ССХ.
$ ссх
Очигледно користите стварну ИП адресу Пи. Корисничко име је увек пи, а лозинка је малина.
Подесите ОпенВПН
ОпенВПН није баш једноставно подесити као сервер. Добра вест је да морате то да урадите само једном. Пре него што се копате, проверите да ли је Распбиан потпуно ажуриран.
$ судо апт упдате надоградња $ судо апт
Након завршетка ажурирања можете инсталирати ОпенВПН и услужни програм цертификата који су вам потребни.
$ судо апт инсталација опенвпн еаси-рса
Дипломирани орган
Да бисте аутентификовали своје уређаје када се покушавају повезати на сервер, морате да поставите овлашћење за сертификате за креирање кључева за пријављивање. Ови кључеви ће осигурати да се само ваши уређаји могу повезати с вашом кућном мрежом.
Прво направите директоријум за своје сертификате. Померите се у тај директориј.
$ судо маке-цадир / етц / опенвпн / цертс $ цд / етц / опенвпн / цертс
Погледајте око конфигурационих датотека ОпенССЛ-а. Затим повежите најновију верзију са опенссл.цнф.
$ лс | греп -и опенссл $ судо лн -с опенссл-1.0.0.цнф опенссл.цнф
У тој истој фасцикли „цертс“ налази се датотека звана „варс“. Отворите датотеку заједно са својим уређивачем текста. Нано је подразумевано, али слободно инсталирајте Вим, ако вам више одговара.
Прво пронађите променљиву КЕИ_СИЗЕ. Подразумевано је постављена на 2048. Промените га на 4096.
извоз КЕИ_СИЗЕ = 4096
Главни блок са којим треба да се бавите успоставља податке о вашем ауторитету сертификата. Помаже ако су ове информације тачне, али све што се можете сетити је у реду.
екпорт КЕИ_ЦОУНТРИ = "УС" извоз КЕИ_ПРОВИНЦЕ = "ЦА" екпорт КЕИ_ЦИТИ = "СанФранцисцо" екпорт КЕИ_ОРГ = "Форт-Фунстон" екпорт КЕИ_ЕМАИЛ = "" екпорт КЕИ_ОУ = "МиОрганизатионалУнит" екпорт КЕИ_НАМЕ = "ХомеВПН
Када имате све, сачувајте и изађите.
Тај Еаси-РСА пакет који сте претходно инсталирали садржи пуно скрипти које помажу да подесите све што вам је потребно. Само их требате покренути. Започните додавањем датотеке „варс“ као извора. То ће учитати све променљиве које сте управо поставили.
$ судо извор ./варс
Затим очистите кључеве. Немате их, па се не брините због поруке која ће вам рећи да ће ваши кључеви бити избрисани.
$ судо ./цлеан-инсталл
На крају, изградите свој сертификат. Задане вредности сте већ поставили, тако да можете једноставно прихватити задане вредности које представља. Не заборавите да поставите јаку лозинку и одговорите „да“ на последња два питања, пратећи лозинку.
Направите неке кључеве
Прошли сте кроз све те проблеме да бисте поставили ауторитет за сертификате тако да можете да потпишете кључеве. Сада је време да их направимо. Започните стварањем кључа за ваш сервер.
$ судо ./буилд-кеи-сервер сервер
Затим изградите Диффие-Хеллман ПЕМ. То је оно што ОпенВПН користи да осигура везу вашег клијента са сервером.
$ судо опенссл дхпарам 4096> /етц/опенвпн/дх4096.пем
Посљедњи кључ који вам је од сад потребан зове се ХМАЦ кључ. ОпенВПН користи овај тастер за потписивање сваког појединачног пакета информација које се размењују између клијента и сервера. Помаже у спречавању одређених напада на везу.
$ судо опенвпн --генкеи --сецрет /етц/опенвпн/цертс/кеис/та.кеи
Конфигурација сервера
Имате кључеве. Следећи део подешавања ОпенВПН-а је сама конфигурација сервера. Срећом, овдје нема толико тога што требате учинити. Дебиан пружа основну конфигурацију коју можете да употребите за почетак. Дакле, почните са добијањем те конфигурационе датотеке.
$ судо гунзип -ц /уср/схаре/доц/опенвпн/екамплес/сампле-цонфиг-филес/сервер.цонф.гз> /етц/опенвпн/сервер.цонф
Употријебите поново уређивач текста да бисте отворили /етц/опенвпн/сервер.цонф. Прве ствари које требате пронаћи су датотеке ца, церт и кључеви. Морате их подесити да одговарају стварним локацијама датотека које сте креирали и које се налазе у / етц / опенвпн / цертс / кеи.
ца /етц/опенвпн/цертс/кеис/ца.црт церт /етц/опенвпн/цертс/кеис/сервер.црт кључ /етц/опенвпн/цертс/кеис/сервер.кеи # Ову датотеку треба чувати у тајности
Пронађите подешавање дх и промените га тако да одговара Диффие-Хеллман .пему који сте креирали.
дх дх4096.пем
Подесите путању и за ваш ХМАЦ тастер.
тлс-аутх /етц/опенвпн/цертс/кеис/та.кеи 0
Пронађите шифру и провјерите да ли одговара примјеру у наставку.
шифра АЕС-256-ЦБЦ
Следећих неколико опција је, али су коментарисане са;. Уклоните тачке са зарезима испред сваке опције да бисте их омогућили.
пусх "преусмеравање гатеваи-а деф1 бипасс-дхцп" пусх "дхцп-опција ДНС 208.67.222.222" пусх "дхцп-опција ДНС 208.67.220.220"
Потражите опције корисника и групе. Изкоментирајте их и промијените корисника у „опенвпн“.
усер опенвпн група ногроуп
Коначно, ова последња два реда нису у подразумеваној конфигурацији. Морат ћете их додати на крају датотеке.
Подесите проверу аутентичности да одредите јачу енкрипцију за аутентификацију корисника.
# Аутхентицатион Дигест аутх СХА512
Затим ограничите ципере које ОпенВПН може да користи само јаче. Ово помаже у ограничавању могућих напада на слабе шифре.
# Ограничите шифре тлс-шифра ТЛС-ДХЕ-РСА-СА-АЕС-256-ГЦМ-СХА384: ТЛС-ДХЕ-РСА-ВИТХ-АЕС-128-ГЦМ-СХА256: ТЛС-ДХЕ-РСА-С-АЕС-256- ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-КАМЕЛИЈА-256-ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-АЕС-128-ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-ЦАМЕЛЛИА-128-ЦБЦ- СХА
То је све за конфигурацију. Сачувајте датотеку и изађите.
Покрените Сервер
Пре него што покренете сервер, морате направити тог корисника опенвпн који сте навели.
$ судо аддусер --систем --схелл / уср / сбин / нологин --но-цреате-хоме опенвпн
Посебан је корисник само за покретање ОпенВПН-а и неће радити ништа друго.
Сада покрените сервер.
$ судо системцтл старт опенвпн $ судо системцтл старт
Провери да ли обојица трче
$ судо системцтл статус опенвпн * .сервице
Ако све изгледа добро, омогућите им при покретању.
$ судо системцтл енабле опенвпн $ судо системцтл енабле
Клијентско подешавање
Ваш сервер је сада постављен и ради. Затим морате поставити конфигурацију вашег клијента. Ово је конфигурација коју ћете користити за повезивање уређаја са сервером. Вратите се у фасциклу цертс и припремите се за израду клијентског кључа. Можете одабрати засебне кључеве за сваког клијента или један кључ за све клијенте. За кућну употребу, један кључ би требао бити у реду.
$ цд / етц / опенвпн / цертс $ судо соурце ./варс $ судо ./буилд-кеи цлиент
Процес је готово идентичан ономе на серверу, па следите исти поступак.
Конфигурација клијента
Конфигурација за клијенте је врло слична оној за сервер. Опет имате унапред направљен предложак на којем можете подесити своју конфигурацију. Морате га само модификовати да одговара серверу.
Промените се у директоријуму клијента. Затим распакирајте конфигурацију узорка.
$ цд / етц / опенвпн / цлиент $ судо цп /уср/схаре/доц/опенвпн/екамплес/сампле-цонфиг-филес/цлиент.цонф /етц/опенвпн/цлиент/цлиент.овпн
Отворите датотеку цлиент.овпн помоћу свог уређивача текста. Затим пронађите даљинску опцију. Под претпоставком да већ не користите ВПН, Гоогле тражи „Шта је мој ИП.“ Узмите адресу коју приказује и поставите јој удаљену ИП адресу. Оставите број порта.
даљински 107.150.28.83 1194 #Та ИП иронично је ВПН
Промените цертс тако да одражавају оне које сте креирали, баш као што сте то учинили и са сервером.
ца ца.црт церт цлиент.црт кључ цлиент.кеи
Пронађите корисничке опције и коментирајте их. У реду је водити клијенте као нико.
корисник нико групно ногроуп
Изкоментирајте опцију тлс-аутх за ХМАЦ.
тлс-аутх та.кеи 1
Затим потражите опцију шифре и уверите се да се подудара са сервером.
шифра АЕС-256-ЦБЦ
Затим, само додајте сажетак провјере аутентичности и шифрирање ограничења на дну датотеке.
# Аутхентицатион Дигест аутх СХА512 # Шифријска ограничења тлс-шифра ТЛС-ДХЕ-РСА-С-АЕС-256-ГЦМ-СХА384: ТЛС-ДХЕ-РСА-СА-АЕС-128-ГЦМ-СХА256: ТЛС-ДХЕ-РСА-ВИТХ -АЕС-256-ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-КАМЕЛИЈА-256-ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-АЕС-128-ЦБЦ-СХА: ТЛС-ДХЕ-РСА-СА-КАМЕЛИЈА -128-ЦБЦ-СХА
Кад све изгледа како треба, сачувајте датотеку и изађите. Употријебите тар за пакирање конфигурације и цертс-а, тако да их можете послати клијенту.
$ судо тар цЈф /етц/опенвпн/цлиентс/цлиент.тар.кз -Ц / етц / опенвпн / цертс / кеис ца.црт цлиент.црт цлиент.кеи та.кеи -Ц /етц/опенвпн/цлиентс/цлиент.овпн
Пренесите тај пакет клијенту шта год желите. СФТП, ФТП и УСБ диск су све сјајне опције.
Порт Форвардинг
Да би било шта од овога функционисало, потребно је да конфигуришете рутер тако да долазни ВПН саобраћај проследи на Пи. Ако већ користите ВПН, морате бити сигурни да се не повезујете на истом порту. Ако јесте, промените порт на конфигурацији вашег клијента и сервера.
Повежите се са веб интерфејсом рутера тако што упишете његову ИП адресу на прегледачу.
Сваки рутер је другачији. Чак и даље, сви би они требали имати неки облик ове функционалности. Пронађите га на усмјернику.
Подешавање је у основи исто на сваком рутеру. Унесите почетни и крајњи портови. Они би требали бити исти као и они које сте поставили у својим конфигурацијама. Затим, за ИП адресу, поставите то на ИП адресу вашег Распберри Пи. Сачувајте измене.
Повежите се са клијентом
Сваки клијент је другачији, тако да нема универзалног решења. Ако сте у систему Виндовс, потребан вам је Виндовс ОпенВПН клијент .
На Андроид-у можете да отворите тарбалу и пребаците тастере на телефон. Затим инсталирајте ОпенВПН апликацију. Отворите апликацију и прикључите информације из своје конфигурационе датотеке. Затим изаберите своје кључеве.
На Линуку морате да инсталирате ОпенВПН као што сте учинили за сервер.
$ судо апт инсталл опенвпн
Затим промените у / етц / опенвпн и распакирајте тарболу коју сте послали.
$ цд / етц / опенвпн $ судо тар кЈф /патх/то/цлиент.тар.кз
Преименујте датотеку клијента.
$ судо мв цлиент.овпн цлиент.цонф
Не покретајте клијента још. Неће успети. Морате прво да омогућите прослеђивање порта на вашем рутеру.
Завршне мисли
Сада би требало да имате радно подешавање. Ваш клијент ће се директно повезати путем вашег рутера на Пи. Одатле можете делити и повезивати се путем своје виртуелне мреже све док су сви уређаји повезани на ВПН. Не постоји ограничење, тако да увек можете повезати све своје рачунаре са Пи ВПН.
