Miks kasutada VPN-i oma kodu juurde pääsemiseks
On palju põhjuseid, miks soovite oma koduvõrku kaugjuurdepääsu teha, ja parim viis selleks on VPN-server. Mõned ruuterid võimaldavad teil VPN-serveri seadistada otse ruuteris, kuid paljudel juhtudel peate selle ise seadistama.
Raspberry Pi on suurepärane viis selle saavutamiseks. Nende käitamiseks pole vaja palju energiat ja VPN-serveri käitamiseks on neil piisavalt energiat. Võite selle ruuteri kõrvale seadistada ja selle põhimõtteliselt unustada.
Kui teil on juurdepääs koduvõrgule kaugjuurdepääsu kaudu, saate failide juurde pääseda kõikjalt. Koduarvuteid saate juhtida eemalt. Võite isegi kasutada oma kodu VPN-ühendust teelt. Selline seadistus võimaldab teie telefonil, tahvelarvutil või sülearvutil toimida täpselt nii, nagu see oli kodus kõikjalt.
Pii seadistamine
Enne VPN-i seadistamise alustamist peate seadistama oma Raspberry Pi. Parim on seadistada Pi korpuse ja korraliku suurusega mälukaardiga, 16 GB peaks olema enam kui piisav. Kui võimalik, ühendage oma Pi ruuteriga Etherneti kaabli abil. See vähendab viivitusi võrgus.
Installige Raspbian
Parim operatsioonisüsteem, mida teie Pi-s kasutada, on Raspbian. See on vaikevalik, mille on välja pannud fond Raspberry Pi, ja see põhineb Debianil, mis on üks turvalisemaid ja stabiilsemaid saadaolevaid Linuxi versioone.
Mine Rasbiti allalaadimisleht ja haarake uusim versioon. Siin saate kasutada Lite versiooni, sest tegelikult pole vaja graafilist töölauda.
Selle allalaadimise ajal hankige uusim versioon Etcher teie opsüsteemi jaoks. Pärast allalaadimise lõppu eraldage Raspbian pilt. Seejärel avage Etcher. Valige Raspbiani pilt, kust selle välja võtsite. Valige oma SD-kaart (sisestage see kõigepealt). Lõpuks kirjutage pilt kaardile.
kuidas uuesti helistada uksekell uue wifi-ga
Kui see on valmis, jätke SD-kaart arvutisse. Avage failihaldur ja sirvige kaarti. Peaksite nägema paari erinevat vaheseina. Otsige alglaadimispartitsiooni. Selles on fail kernel.img. Looge alglaadimispartitsioonile tühi tekstifail ja nimetage seda ssh-ks ilma faililaiendita.
Lõpuks saate oma Pi ühendada. Veenduge, et ühendate selle viimasena. Teil pole vaja ekraani, klaviatuuri ega hiirt. Lähete Raspberry Pi-le kaugvõrgu kaudu juurde.
Andke Pi-le mõni minut aega, et ta ennast seadistaks. Seejärel avage veebibrauser ja navigeerige ruuteri haldusekraanile. Leidke Raspberry Pi ja märkige üles selle IP-aadress.
Ükskõik, kas kasutate Windowsi, Linuxi või Maci, avage OpenSSH. Ühendage Raspberry Pi-ga SSH-ga.
$ ssh [email protected]
Ilmselgelt kasutage Pi tegelikku IP-aadressi. Kasutajanimi onalati pija parool onvaarikas.
Seadistage OpenVPN
OpenVPN-i pole serverina seadistamine päris lihtne. Hea uudis on see, et peate seda tegema ainult üks kord. Nii et enne süvenemist veenduge, et Raspbian on täiesti ajakohane.
$ sudo apt update $ sudo apt upgrade
Pärast värskenduse lõppu saate installida OpenVPN-i ja vajaliku sertifikaadi utiliidi.
$ sudo apt install openvpn easy-rsa
Sertifikaadiasutus
Oma seadmete autentimiseks, kui nad üritavad serveriga ühendust luua, peate seadistama märgistusvõtmete loomiseks sertifikaadi volituse. Need klahvid tagavad, et koduvõrguga saavad ühendust luua ainult teie seadmed.
Kõigepealt looge oma sertifikaatide kataloog. Liikuge sellesse kataloogi.
$ sudo make-cadir /etc/openvpn/certs $ cd /etc/openvpn/certs
Otsige ringi OpenSSL-i konfiguratsioonifailide kohta. Seejärel linkige uusimopenssl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Selles samas kaustas certs on fail nimega vars. Avage see fail oma tekstiredaktoriga. Nano on vaikimisi, kuid installige Vim, kui teil on sellega mugavam.
LeidkeKEY_SIZEkõigepealt muutuja. See on seatud2048algselt. Muutke see väärtuseks4096.
export KEY_SIZE=4096
Peamine blokk, millega peate tegelema, loob teavet teie sertifikaadi asutuse kohta. See aitab, kui see teave on täpne, kuid kõik, mis teile meelde jääb, on korras.
export KEY_COUNTRY='US' export KEY_PROVINCE='CA' export KEY_CITY='SanFrancisco' export KEY_ORG='Fort-Funston' export KEY_EMAIL=' [email protected] ' export KEY_OU='MyOrganizationalUnit' export KEY_NAME='HomeVPN'
Kui teil on kõik olemas, salvestage ja väljuge.
Varem installitud Easy-RSA pakett sisaldab palju skripte, mis aitavad seadistada kõik vajaliku. Peate lihtsalt neid käivitama. Alustuseks lisage vars-fail allikaks. See laadib kõik teie määratud muutujad.
$ sudo source ./vars
Järgmisena puhastage võtmed. Teil pole ühtegi, nii et ärge muretsege sõnumi pärast, mis ütleb teile, et teie võtmed kustutatakse.
$ sudo ./clean-install
Lõpuks ehitage oma sertifikaadi asutus. Vaikimisi olete juba määranud, nii et saate lihtsalt aktsepteerida vaikeseadeid, mida see esitab. Ärge unustage seada tugev parool ja vastake kahele viimasele küsimusele jah, järgides parooli.
$ sudo ./build-ca
Tehke mõned võtmed
Teil tekkis kogu vaev sertifikaadiasutuse seadistamisel, et saaksite võtmetele alla kirjutada. Nüüd on aeg mõned teha. Alustuseks ehitage oma serveri jaoks võti.
$ sudo ./build-key-server server
Järgmisena ehitage Diffie-Hellman PEM. Seda kasutab OpenVPN teie kliendiühenduste kaitsmiseks serveriga.
$ sudo openssl dhparam 4096 > /etc/openvpn/dh4096.pem
Viimast võtit, mida nüüd vajate, nimetatakse HMAC-võtmeks. OpenVPN kasutab seda võtit iga kliendi ja serveri vahel vahetatud teabepaketi allkirjastamiseks. See aitab vältida ühenduse teatud tüüpi rünnakuid.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Serveri seadistamine
Teil on võtmed. Järgmine osa OpenVPN-i seadistamisel on serveri konfiguratsioon ise. Õnneks pole siin nii palju vaja teha. Debian pakub baaskonfiguratsiooni, mida saate kasutada alustamiseks. Alustuseks hankige see konfiguratsioonifail.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Avamiseks kasutage uuesti tekstiredaktorit/etc/openvpn/server.conf. Esimesed asjad, mida peate leidma, onseda,sertjavõtifaile. Peate need seadistama nii, et need vastaksid teie loodud failide tegelikele asukohtadele/ etc / openvpn / certs / võtmed.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # This file should be kept secret
Leidkestja muutke see Diffie-Hellmaniga sobivaks.pemmille lõite.
dh dh4096.pem
Määrake ka oma HMAC-võtme tee.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Leidkesalakirija veenduge, et see vastaks allpool toodud näitele.
cipher AES-256-CBC
Paar järgmist valikut on olemas, kuid neid kommenteeritakse a-ga;. Nende lubamiseks eemaldage semikoolonid iga võimaluse ees.
push 'redirect-gateway def1 bypass-dhcp' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220'
Otsige üleskasutajajaGruppvalikud. Kommenteerige neid ja muutkekasutajato openvpn.
user openvpn group nogroup
Lõpuks pole need kaks viimast rida vaikekonfiguratsioonis. Peate need lisama faili lõppu.
Määrake autentimise kokkuvõte, et määrata kasutaja autentimiseks tugevam krüptimine.
# Authentication Digest auth SHA512
Seejärel piirake OpenVPN-i kasutada olevaid šifreid ainult tugevamatega. See aitab piirata võimalikke rünnakuid nõrkade šifrite vastu.
# Limit Ciphers tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
See on kõik konfiguratsiooni jaoks. Salvestage fail ja väljuge.
Käivitage server
Enne serveri käivitamist peate selle tegemaopenvpnteie määratud kasutaja.
$ sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
See on spetsiaalne kasutaja lihtsalt OpenVPN-i käitamiseks ja see ei tee midagi muud.
Nüüd käivitage server.
$ sudo systemctl start openvpn $ sudo systemctl start [email protected]
Kontrollige, kas nad mõlemad jooksevad
$ sudo systemctl status openvpn*.service
Kui kõik tundub hea, lubage need käivitamisel.
$ sudo systemctl enable openvpn $ sudo systemctl enable [email protected]
Kliendi seadistamine
Teie server on nüüd seadistatud ja töötab. Järgmisena peate seadistama oma kliendi konfiguratsiooni. See on konfiguratsioon, mida kasutate seadmete ühendamiseks serveriga. Naaske leheleteatudkaust ja valmistuge kliendivõtme (te) loomiseks. Võite valida iga kliendi jaoks eraldi võtmete loomise või kõigi klientide jaoks ühe võtme loomise. Koduseks kasutamiseks peaks üks võti korras olema.
$ cd /etc/openvpn/certs $ sudo source ./vars $ sudo ./build-key client
Protsess on peaaegu identne serveriga, seega järgige sama protseduuri.
Kliendi seadistamine
Klientide konfiguratsioon on väga sarnane serveri konfiguratsiooniga. Jällegi on teil konfigureerimise aluseks eelnevalt valmistatud mall. Peate seda ainult serveriga sobivaks muutma.
Muudaklientkataloogi. Seejärel pakkige proovikonfiguratsioon lahti.
$ cd /etc/openvpn/client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Avageklient.ovpnfail oma tekstiredaktoriga. Seejärel leidkekaugjuhtimispultvalik. Eeldades, et te ei kasuta veel VPN-i, otsige Google'ist Mis on minu IP. Võtke aadress, mida see kuvab, ja määrakekaugjuhtimispultIP-aadress sellele. Jätke pordi number.
remote 107.150.28.83 1194 #That IP ironically is a VPN
Muutke sertifikaate nii, et need kajastaksid teie loodud, täpselt nagu teie tegite serveriga.
ca ca.crt cert client.crt key client.key
Leidke kasutaja valikud ja tühistage nende kommenteerimine. On hea juhtida kliente kuimitte keegi.
user nobody group nogroup
Kommenteerimatatls-authHMAC-i jaoks.
tls-auth ta.key 1
Järgmisena otsigesalakirija veenduge, et see sobiks serveriga.
cipher AES-256-CBC
Seejärel lisage faili lõppu lihtsalt autentimise kokkuvõte ja šifri piirangud.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Kui kõik tundub õige, salvestage fail ja väljuge. Kasutagetõrvkonfiguratsiooni ja sertifikaatide pakkimiseks, et saaksite need kliendile saata.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C /etc/openvpn/certs/keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Edastage see pakett kliendile nii, nagu soovite. SFTP, FTP ja USB-draiv on kõik suurepärased võimalused.
Sadama edastamine
Selle toimimiseks peate konfigureerima oma ruuteri sissetuleva VPN-liikluse edastamiseks Pi-le. Kui kasutate juba VPN-i, peate veenduma, et te ei loo ühendust samas pordis. Kui olete, muutke oma kliendi ja serveri konfiguratsioonide porti.
Looge ühendus ruuteri veebiliidesega, sisestades oma brauseris selle IP-aadressi.
Iga ruuter on erinev. Isegi sellegipoolest peaks neil kõigil olema mingisugune funktsioon. Leidke see oma ruuterist.
Seadistamine on põhimõtteliselt sama igas ruuteris. Sisestage algus- ja lõppport. Need peaksid olema üksteisega samad ja need, mille olete seadistanud oma konfiguratsioonides. Seejärel määrake IP-aadressi jaoks oma Raspberry Pi IP. Salvestage muudatused.
Looge ühendus kliendiga
Iga klient on erinev, seega pole universaalset lahendust. Kui kasutate Windowsi, vajate seda Windowsi OpenVPN-i klient .
Androidis saate oma tarballi avada ja võtmed telefoni üle kanda. Seejärel installige rakendus OpenVPN. Avage rakendus ja ühendage teave oma konfiguratsioonifailist. Seejärel valige oma klahvid.
Linuxis peate installima OpenVPN-i palju nagu serveri jaoks.
$ sudo apt install openvpn
Seejärel muutke/ etc / openvpnja pakkige pakett, mille üle saatsite.
$ cd /etc/openvpn $ sudo tar xJf /path/to/client.tar.xz
Nimetage kliendifail ümber.
$ sudo mv client.ovpn client.conf
Ärge veel klienti käivitage. See ebaõnnestub. Kõigepealt peate lubama ruuteris pordi edastamise.
Lõpumõtted
Nüüd peaks teil olema toimiv seadistus. Teie klient loob ühenduse otse teie ruuteri kaudu Pi-ga. Sealt saate jagada ja ühendust luua oma virtuaalse võrgu kaudu, kui kõik seadmed on ühendatud VPN-iga. Piirangut pole, nii et saate alati ühendada kõik arvutid Pi VPN-iga.