Защо да използвате VPN за достъп до дома си
Има много причини, поради които бихте искали да осъществите дистанционен достъп до домашната си мрежа, а най-добрият начин да направите това е с VPN сървър. Някои рутери всъщност ви позволяват да настроите VPN сървър директно в рутера, но в много случаи ще трябва да настроите сами.
Raspberry Pi е чудесен начин да постигнете това. Те не изискват много енергия, за да работят, и имат достатъчно мощност, за да работят VPN сървър. Можете да настроите такъв до вашия рутер и да забравите за него.
Когато имате достъп до домашната си мрежа отдалечено, можете да стигнете до файловете си отвсякъде. Можете да стартирате домашните си компютри дистанционно. Можете дори да използвате VPN връзката на дома си от пътя. Подобна настройка позволява на вашия телефон, таблет или лаптоп да действат точно както вкъщи отвсякъде.
Настройте Pi
Преди да започнете да настройвате VPN, ще трябва да настроите вашия Raspberry Pi. Най-добре е да настроите Pi с калъф и карта с памет с приличен размер, 16 GB трябва да са повече от достатъчни. Ако е възможно, свържете вашия Pi към вашия рутер с Ethernet кабел. Това ще сведе до минимум всички закъснения в мрежата.
Инсталирайте Raspbian
Най-добрата операционна система за използване на вашия Pi е Raspbian. Това е изборът по подразбиране, изложен от фондацията Raspberry Pi, и се основава на Debian, една от най-сигурните и стабилни налични версии на Linux.
Отидете на Страница за изтегляне на Rasbian и вземете последната версия. Тук можете да използвате Lite версията, защото всъщност не се нуждаете от графичен работен плот.
Докато това се изтегля, вземете най-новата версия на Еч за вашата операционна система. След като изтеглянето завърши, извлечете изображението на Raspbian. След това отворете Etcher. Изберете изображението на Raspbian от мястото, където сте го извлекли. Изберете вашата SD карта (Поставете я първо). Накрая напишете изображението на картата.
как да заобиколите роблокс филтъра
Оставете SD картата в компютъра си, когато приключи. Отворете файлов мениджър и прегледайте картата. Трябва да видите няколко различни дяла. Потърсете дяла за зареждане. Това е този с файл kernel.img в него. Създайте празен текстов файл на дяла за зареждане и го извикайте ssh без разширение на файла.
Най-накрая можете да свържете вашия Pi. Уверете се, че сте го включили последно. Няма да имате нужда от екран, клавиатура или мишка. Ще имате достъп до дистанционно Raspberry Pi през вашата мрежа.
Дайте на Pi няколко минути да се настрои. След това отворете уеб браузър и отидете до екрана за управление на вашия рутер. Намерете Raspberry Pi и отбележете IP адреса му.
Независимо дали сте на Windows, Linux или Mac, отворете OpenSSH. Свържете се с Raspberry Pi с SSH.
$ ssh [email protected]
Очевидно е, че използвайте действителния IP адрес на Pi. Потребителското име евинаги пи, а паролата емалина.
Настройте OpenVPN
OpenVPN не е съвсем лесно да се настрои като сървър. Добрата новина е, че трябва да го направите само веднъж. Така че, преди да копаете, уверете се, че Raspbian е напълно актуален.
$ sudo apt update $ sudo apt upgrade
След като актуализацията приключи, можете да инсталирате OpenVPN и помощната програма за сертификат, от която се нуждаете.
$ sudo apt install openvpn easy-rsa
Сертифициращ орган
За да удостоверите вашите устройства, когато те се опитват да се свържат със сървъра, трябва да настроите орган за сертифициране, за да създадете ключове за подписване. Тези клавиши ще гарантират, че само вашите устройства ще могат да се свързват с вашата домашна мрежа.
Първо създайте директория за вашите сертификати. Преместете се в тази директория.
$ sudo make-cadir /etc/openvpn/certs $ cd /etc/openvpn/certs
Огледайте се за конфигурационни файлове на OpenSSL. След това свържете най-новия сopenssl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
В същата тази папка за сертификати има файл, наречен vars. Отворете този файл с вашия текстов редактор. Nano е по подразбиране, но не се колебайте да инсталирате Vim, ако ви е по-удобно.
НамериKEY_SIZEпърво променлива. Това е настроено2048по подразбиране. Променете го на4096.
export KEY_SIZE=4096
Основният блок, с който трябва да се справите, установява информация за вашия сертифициращ орган. Помага, ако тази информация е точна, но всичко, което можете да запомните, е добре.
export KEY_COUNTRY='US' export KEY_PROVINCE='CA' export KEY_CITY='SanFrancisco' export KEY_ORG='Fort-Funston' export KEY_EMAIL=' [email protected] ' export KEY_OU='MyOrganizationalUnit' export KEY_NAME='HomeVPN'
Когато имате всичко, запазете и излезте.
Този пакет Easy-RSA, който сте инсталирали преди, съдържа много скриптове, които помагат да настроите всичко, от което се нуждаете. Просто трябва да ги стартирате. Започнете с добавяне на файла vars като източник. Това ще зареди всички променливи, които току-що сте задали.
$ sudo source ./vars
След това почистете ключовете. Нямате такива, така че не се притеснявайте, че съобщението ви казва, че ключовете ви ще бъдат изтрити.
$ sudo ./clean-install
И накрая, изградете вашия сертифициращ орган. Вече сте задали настройките по подразбиране, така че можете просто да приемете настройките по подразбиране, които той представя. Не забравяйте да зададете силна парола и да отговорите с да на последните два въпроса, следвайки паролата.
$ sudo ./build-ca
Направете някои ключове
Преминахте през всички тези проблеми, за да настроите сертифициращ орган, за да можете да подписвате ключове. Сега е време да направите малко. Започнете с изграждането на ключа за вашия сървър.
$ sudo ./build-key-server server
След това изградете PEM на Diffie-Hellman. Това е, което OpenVPN използва, за да защити вашите клиентски връзки към сървъра.
$ sudo openssl dhparam 4096 > /etc/openvpn/dh4096.pem
Последният ключ, от който се нуждаете от сега, се нарича HMAC ключ. OpenVPN използва този ключ за подписване на всеки отделен пакет информация, обменен между клиента и сървъра. Помага за предотвратяване на определени видове атаки на връзката.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Конфигурация на сървъра
Ти имаш ключовете. Следващата част от настройката на OpenVPN е самата конфигурация на сървъра. За щастие тук не е необходимо да направите толкова много. Debian предоставя основна конфигурация, която можете да използвате, за да започнете. Така че, започнете, като вземете този конфигурационен файл.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Използвайте отново текстов редактор, за да отворите/etc/openvpn/server.conf. Първите неща, които трябва да намерите, саче,сертификат, иключфайлове. Трябва да ги настроите така, че да съответстват на действителното местоположение на създадените от вас файлове, които са всички/ etc / openvpn / certs / ключове.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # This file should be kept secret
Намерит.е.настройка и я променете, за да съответства на Diffie-Hellman.pemкоито сте създали.
dh dh4096.pem
Задайте пътя и за вашия HMAC ключ.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Намеришифъри се уверете, че съвпада с примера по-долу.
cipher AES-256-CBC
Следващите няколко опции са налице, но те са коментирани с;. Премахнете точка и запетая пред всяка опция, за да ги активирате.
push 'redirect-gateway def1 bypass-dhcp' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220'
Потърсетепотребителигрупанастроики. Коментирайте ги и променетепотребителкъм openvpn.
user openvpn group nogroup
И накрая, тези два последни реда не са в конфигурацията по подразбиране. Ще трябва да ги добавите в края на файла.
Задайте дайджеста за удостоверяване, за да посочите по-силно криптиране за удостоверяване на потребителя.
# Authentication Digest auth SHA512
След това ограничете циперите, които OpenVPN може да използва, само до по-силни. Това помага да се ограничат възможните атаки срещу слаби шифри.
# Limit Ciphers tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Това е всичко за конфигурация. Запазете файла и излезте.
Стартирайте сървъра
Преди да можете да стартирате сървъра, трябва да го направитеopenvpnпотребител, който сте посочили.
$ sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
Това е специален потребител само за стартиране на OpenVPN и няма да направи нищо друго.
Сега стартирайте сървъра.
$ sudo systemctl start openvpn $ sudo systemctl start [email protected]
Проверете дали и двамата работят
$ sudo systemctl status openvpn*.service
Ако всичко изглежда добре, активирайте ги при стартиране.
$ sudo systemctl enable openvpn $ sudo systemctl enable [email protected]
Настройка на клиента
Вашият сървър вече е настроен и работи. След това трябва да настроите конфигурацията на клиента. Това е конфигурацията, която ще използвате, за да свържете устройствата си със сървъра си. Върнете се всигуренпапка и се подгответе за изграждане на клиентски ключ / и. Можете да изберете да изградите отделни ключове за всеки клиент или един ключ за всички клиенти. За домашна употреба един ключ трябва да е наред.
$ cd /etc/openvpn/certs $ sudo source ./vars $ sudo ./build-key client
Процесът е почти идентичен със сървърния, така че следвайте същата процедура.
Клиентска конфигурация
Конфигурацията за клиенти е много подобна на тази за сървъра. Отново имате предварително направен шаблон, на който да базирате вашата конфигурация. Трябва само да го модифицирате, за да съответства на сървъра.
Промяна вклиентдиректория. След това разопаковайте примерната конфигурация.
$ cd /etc/openvpn/client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Отворетеклиент.ovpnфайл с вашия текстов редактор. След това намеретедистанционноопция. Ако приемем, че вече не използвате VPN, търсене с Google Каква е моята IP. Вземете адреса, който се показва, и задайтедистанционноIP адрес към него. Оставете номера на порта.
remote 107.150.28.83 1194 #That IP ironically is a VPN
Променете сертификатите, за да отразяват създадените от вас, точно както направихте със сървъра.
ca ca.crt cert client.crt key client.key
Намерете потребителските опции и ги коментирайте. Добре е да управлявате клиентите катоНикой.
user nobody group nogroup
Коментирайтеtls-authопция за HMAC.
tls-auth ta.key 1
След това потърсетешифъри се уверете, че съответства на сървъра.
cipher AES-256-CBC
След това просто добавете данните за удостоверяване и ограниченията за шифроване в долната част на файла.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Когато всичко изглежда правилно, запазете файла и излезте. Използвайтекатранза да опаковате конфигурацията и сертификатите, за да можете да ги изпратите на клиента.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C /etc/openvpn/certs/keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Прехвърлете този пакет на клиента, както решите. SFTP, FTP и USB устройство са чудесни възможности.
Препращане на портове
За да работи всичко това, трябва да конфигурирате маршрутизатора си да препраща входящия VPN трафик към Pi. Ако вече използвате VPN, трябва да сте сигурни, че не се свързвате на същия порт. Ако сте, променете порта на конфигурациите на вашия клиент и сървър.
Свържете се с уеб интерфейса на вашия рутер, като въведете IP адреса му в браузъра си.
Всеки рутер е различен. Дори и все пак, всички те трябва да имат някаква форма на тази функционалност. Намерете го на вашия рутер.
По принцип настройката е еднаква за всеки рутер. Въведете началния и крайния порт. Те трябва да бъдат еднакви помежду си и тази, която сте задали във вашите конфигурации. След това, за IP адреса, задайте това на вашия Raspberry Pi's IP. Запазете промените си.
Свържете се с клиента
Всеки клиент е различен, така че няма универсално решение. Ако сте под Windows, ще ви трябва Клиент на Windows OpenVPN .
На Android можете да отворите своя tarball и да прехвърлите ключовете на телефона си. След това инсталирайте приложението OpenVPN. Отворете приложението и включете информацията от вашия конфигурационен файл. След това изберете ключовете си.
В Linux трябва да инсталирате OpenVPN много, както направихте за сървъра.
$ sudo apt install openvpn
След това променете в/ и т.н. / openvpnи разопаковайте tarball, който сте изпратили.
$ cd /etc/openvpn $ sudo tar xJf /path/to/client.tar.xz
Преименувайте клиентския файл.
$ sudo mv client.ovpn client.conf
Все още не стартирайте клиента. Ще се провали. Първо трябва да активирате пренасочването на портове на вашия рутер.
Затварящи мисли
Вече трябва да имате работеща настройка. Вашият клиент ще се свърже директно през вашия рутер към Pi. Оттам можете да споделяте и да се свързвате през вашата виртуална мрежа, стига всички устройства да са свързани към VPN. Няма ограничение, така че винаги можете да свържете всичките си компютри към Pi VPN.
