Jak krok za krokem nastavit VPN na routeru s OpenVPN

  • Výhody, nevýhody a klíčové požadavky pro nastavení OpenVPN na domácím nebo profesionálním routeru.
  • Praktické návody pro konfiguraci OpenVPN na routerech TP-Link, ASUS a Omada.
  • Doporučení pro šifrování, pokročilé zabezpečení a řešení běžných chyb připojení.
  • Alternativy k OpenVPN a tipy pro výběr nejvhodnější VPN a zařízení pro každý scénář.
Daniel Terrasa

14 minut

Router nakonfigurovaný se serverem OpenVPN

Konfigurace VPN přímo na routeru pomocí OpenVPN Je to jeden z nejúčinnějších a nejflexibilnějších způsobů, jak chránit celou vaši domácí nebo firemní síť bez nutnosti instalace aplikací na každé zařízení. Pokud se to udělá správně, každé zařízení, které se připojí k vaší Wi-Fi síti nebo kabelem, bude mít přístup k internetu přes šifrovaný tunel, jako by se fyzicky nacházelo v jiné síti.

Tato příručka shromažďuje, reorganizuje a rozšiřuje technické informace od výrobců, jako jsou TP-Link, ASUS, Omada, a oficiální dokumentace OpenVPN, abyste měli vše, co potřebujete, v jednom článku: co to je OpenVPNCo jeho používáním získáte a ztratíte, jak jej nastavit na routerech a serverech, jak se připojit z počítače a mobilu a jak řešit nejčastější chyby.

Co je OpenVPN a proč ho používat na routeru?

OpenVPN je VPN software s otevřeným zdrojovým kódem Vytváří šifrovaný „tunel“ mezi klientem (vaším notebookem, mobilním telefonem atd.) a serverem (vaším routerem, Linuxovým serverem, NAS atd.). Funguje přes SSL/TLS, což umožňuje použití digitálních certifikátů, klíčů, uživatelských jmen a hesel a široké škály moderních šifrovacích algoritmů.

Jednou z jeho velkých výhod oproti jiným protokolům, jako je IPsec, je to, že je snadnější nastaveníNavíc je k dispozici prakticky na jakémkoli operačním systému (Windows, macOS, GNU/Linux, Android, iOS, routery, firewally, NAS…).

Když nainstalujete a aktivujete OpenVPN na routeru, Samotný router funguje jako VPN server. Vaše lokální síť se stává „zabezpečenou stranou“ a vzdálená zařízení (VPN klienti) se připojují zvenčí vašeho domova nebo kanceláře přes internet, vždy šifrovaně. Router funguje jako brána mezi VPN a vaší lokální sítí LAN.

Výsledkem je, že můžete Bezpečné prohlížení veřejných WiFi sítíPřistupujte ke svým interním zdrojům (NAS, tiskárnám, IP kamerám, SMB/FTP serverům…), jako byste byli doma, a také skryjte svou skutečnou IP adresu nebo obejděte geografické bloky v závislosti na nastavení konfigurace.

OpenVPN

Výhody a nevýhody používání VPN a OpenVPN

Nastavení VPN na routeru s OpenVPN má mnoho praktických výhodExistují však i některé nevýhody, kterých byste si měli být vědomi, než začnete, abyste si mohli vybrat správné vybavení, poskytovatele internetu a způsob instalace. Zde je jejich seznam:

  • Možnost změnit nebo skrýt vaši IP adresu.
  • Šifrujte provoz, abyste zabránili jeho špehování (obzvláště užitečné na otevřených Wi-Fi sítích).
  • Přístup k obsahu je omezen podle země.
  • Procházejte s mnohem větší mírou anonymity.

V sekci ochrany osobních údajů VPN brání komukoli v snadném prohlížení. Webové stránky, které navštěvujete, a místa, ze kterých se připojujete, nejsou sledovány, ačkoli váš poskytovatel internetových služeb bude mít vždy určitý přehled o nich. Přesto je extrémně obtížné vás sledovat pomocí snifferů, nezabezpečených přístupových bodů nebo sdílených sítí.

Na oplátku, Šifrování a směrování přes VPN server spotřebovává prostředky. Také mají tendenci snižovat rychlost a dostupnou šířku pásma, zejména pokud je váš router nedostatečně výkonný nebo používáte bezplatné služby. Kromě toho je stále nezbytný dobrý antivirový program a při stahování softwaru byste měli být opatrní, protože VPN vás nechrání před malwarem.

Jejich silné stránky Jsou to bezpečnost, stabilita, široká škála přizpůsobení (vrstva 2 nebo 3, tunely TUN nebo TAP, dynamická IP adresa bez problémů, kompatibilita s NAT…) a skvělá kontrola nad pravidly firewallu a bootovacími skripty, ale vyžaduje to dobrou znalost jeho konfigurace, zejména pokud se chystáte upravovat algoritmy a certifikáty.

Předpoklady a důležité aspekty (CG-NAT, veřejná IP adresa a dynamický DNS)

Než vůbec aktivujete OpenVPN na routeru, je třeba zkontrolovat několik věcí. Klíčové body:

  • Pokud váš router podporuje server OpenVPN.
  • Ujistěte se, že vaše internetové připojení má veřejnou IP adresu.
  • Pokud potřebujete použít dynamické DNS.

Mnoho routerů střední a vyšší třídy od společností TP-Link, ASUS nebo Omada již má integrovaný server OpenVPN, ale ne všechny modely jej obsahují a ani není k dispozici ve všech verzích firmwaru. Doporučuje se... Zkontrolujte specifikace vašeho modelu a v případě potřeby aktualizujte firmware na nejnovější verzi nabízenou výrobcem.

Nejdůležitějším požadavkem je mít veřejnou IP adresu v síti WAN routeruPokud váš poskytovatel internetových služeb používá CG-NAT a poskytuje vám sdílenou privátní IP adresu (běžná u připojení 4G/5G nebo některých poskytovatelů internetových služeb), nebudete moci přesměrovávat porty z internetu do routeru, takže VPN nebude přístupná zvenčí. V takovém případě budete muset od svého poskytovatele internetových služeb požádat o statickou nebo veřejnou IP adresu.

Je velmi praktické, abyste mohli svůj router najít podle názvu a nikoli podle číselné IP adresy. aktivujte dynamickou službu DNS na samotném routeru (NO-IP, DynDNS, vlastní služba výrobce atd.). Tímto způsobem se můžete připojit k mydomain.no-ip.org namísto zapamatování si veřejné IP adresy, která se může měnit.

Navíc, Doporučuje se správně synchronizovat systémový čas routeru s internetovým časem.Je to proto, že digitální certifikáty a funkce TLS závisí na správném datu a čase. Nesrovnalost může způsobit neobvyklé chyby při ověřování certifikátu.

OpenVPN

Jak OpenVPN funguje na technické úrovni a jaké režimy nabízí (TUN/TAP, UDP/TCP)

OpenVPN může fungovat v režimu TUN nebo TAPa použití buď UDP, nebo TCP jako transportního protokolu. Každá volba ovlivňuje výkon, kompatibilitu a typ sítě vytvořené mezi klientem a serverem.

  • Režim TUN emuluje rozhraní point-to-point Pracuje výhradně s IP provozem. Je ideální pro vytvoření nové virtuální podsítě (například 10.8.0.0/24), kde se nacházejí VPN klienti, odděleně od fyzické sítě LAN. Je to nejběžnější režim pro vzdálený přístup a obvykle nabízí lepší výkon.
  • Režim TAP simuluje rozhraní Ethernet vrstvy 2To zahrnuje přímé zapouzdření ethernetových rámců. To umožňuje vzdáleným zařízením být ve stejné podsíti jako LAN, což je užitečné, když chcete, aby se VPN klienti jevili jako „připojení“ k lokálnímu přepínači, i když to může způsobit problémy, pokud se síťové rozsahy překrývají, a obecně je to méně efektivní.

Ohledně protokolu, Doporučuje se UDP před TCP Pro VPN tunel je vhodnější TCP, protože se vyhýbá zbytečným interním opakovaným přenosům a lépe odolává ztrátě paketů a útokům typu „denial-of-service“. TCP je také možný, ale zavádí větší režii a duplikuje řízení relací.

V praxi většina doporučených konfigurací Používají TUN přes UDP s vyhrazenou virtuální podsítí pro VPN a specifickými trasami pro přístup k lokální síti LAN nebo pro vynucení veškerého internetového provozu tunelem.

Šifrování, certifikáty a pokročilé zabezpečení v OpenVPN

Jednou ze silných stránek OpenVPN je, že umožňuje s velkou přesností vybrat symetrické, asymetrické a hashovací šifrovací algoritmy, stejně jako verzi TLS a různá další opatření proti útokům typu denial-of-service.

Pro infrastruktura veřejných klíčů (PKI)Je běžné používat certifikáty založené na eliptických křivkách (EC) místo klasických RSA. Například Easy-RSA 3 lze nakonfigurovat tak, aby generoval CA, certifikát serveru a klientské certifikáty pomocí křivky secp521r1 a podepisoval je pomocí SHA512, což vede k vysoce bezpečným a relativně lehkým klíčům.

V řídicí kanál (vyjednávání TLS)OpenVPN podporuje alespoň TLS 1.2 a v novějších verzích i TLS 1.3. Doporučují se silné sady s Perfect Forward Secrecy, jako například TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 nebo novější TLS_AES_256_GCM_SHA384 a TLS_CHACHA20_POLY1305_SHA256 pro TLS 1.3, vždy s ověřením pomocí openvpn --show-tls, co vaše instalace podporuje.

Pro datový kanál (skutečný provoz VPN)Doporučené šifry jsou AES-256-GCM nebo AES-128-GCM, které integrují ověřování (AEAD) a eliminují potřebu samostatného hashe. Pokud váš procesor nepodporuje akceleraci AES-NI, šifra CHACHA20-POLY1305 obvykle nabízí lepší výkon a je také podporována od verze OpenVPN 2.5.

Další důležitou doplňkovou vrstvou je použití dalšího klíče HMAC S tls-crypt (nebo tls-auth ve starších verzích), který chrání počáteční fázi připojení před zahlcením UDP portů, SYN útoky a skenováním, se také skryje samotný předsdílený klíč při použití tls-crypt. Všichni klienti musí sdílet tento stejný klíč, pokud používáte první verzi, zatímco s tls-crypt-v2 může mít každý klient jiný klíč.

OpenVPN

Vytvoření PKI pomocí Easy-RSA a organizace certifikátů

Pokud si nastavíte „čistý“ OpenVPN server na GNU/Linuxu nebo podobnémObvyklá praxe je vytvářet si vlastní certifikáty pomocí Easy-RSA 3, přičemž se v souboru vars definuje, zda se použije RSA nebo EC, hash, křivka, expirace CA a certifikátů atd.

Po zkopírování souboru vars.example do vars a jeho úpravě můžete zvolit režim cn_only pro zjednodušení DN, aktivovat EASYRSA_ALGO ec, vybrat křivku secp521r1, nakonfigurovat dobu platnosti (například 10 let pro CA a 1080 dní pro certifikáty) a nastavit EASYRSA_DIGEST na sha512.

S tímto souborem připraveným inicializujete PKI pomocí ./easyrsa init-pki.Certifikační autoritu (CA) vytvoříte pomocí příkazu ./easyrsa build-ca (s heslem na soukromém klíči nebo bez něj) a odtud vygenerujete žádost o certifikát pro server a tolik certifikátů pro klienty, kolik potřebujete, a poté je podepíšete jako server, respektive jako klienta.

V tomto okamžiku se velmi doporučuje organizovat soubory v průhledných složkách:

  • Jeden pro server (ca.crt, server.crt, server.key, ta.key a volitelně dh.pem, pokud nepoužíváte ECDHE).
  • Jeden pro každého klienta (ca.crt, clientX.crt, clientX.key a ta.key).

Tímto způsobem se vyhnete záměně klíčů a certifikátů.

Kromě certifikátů umožňuje OpenVPN použití dodatečné ověření pomocí uživatelského jména/hesla, a to buď proti samotnému systému, nebo proti serveru RADIUS či jiné databázi, čímž se posiluje zabezpečení proti krádeži certifikátu.

Konfigurace klientů OpenVPN na počítačích, mobilních zařízeních a routerech

Dalším krokem je konfigurovat vzdálené klientycož mohou být počítače se systémem Windows nebo Linux, mobilní telefony se systémem Android/iOS, jiné routery nebo dokonce zařízení, které se připojuje z řadiče, jako je Omada.

V jednom klasický desktopový klientSoubor client.ovpn obsahuje direktivy jako client, dev tun, proto udp, vzdálenou linku s veřejnou IP adresou nebo doménou routeru a zvoleným portem, resolv-retry infinite, nobind a cestu k ca.crt, vlastní certifikát a klíč klienta a také tls-crypt ta.key.

Pro větší bezpečnost klient ověří server S příkazem `remote-cert-tls server` použijte stejnou šifru a ověření jako server a ideálně replikujte stejné podporované sady TLS. Je zásadní, aby se šifry a křivky shodovaly, jinak se navazování TLS nezdaří.

Na Androidu můžete použít oficiální aplikaci OpenVPN nebo pokročilejší aplikace třetích stran, které podporují nejnovější funkce. Obvykle stačí zkopírovat složku obsahující soubory ca.crt, cliente.crt, cliente.key, ta.key a soubor .ovpn do paměti telefonu a poté tento profil importovat přímo z aplikace.

Ve Windows, klient OpenVPN Community Obvykle se očekává, že soubor .ovpn a certifikáty zkopírujete do složky C:\Program Files\OpenVPN\config (nebo do cesty zadané během instalace). Poté klikněte pravým tlačítkem myši na ikonu OpenVPN v systémové liště, vyberte profil a připojte se.

tp odkaz rozšířit

Konfigurace OpenVPN na routerech TP-Link

Několik routerů TP-Link nové generace je dodáváno s integrovaným serverem OpenVPN ve svém pokročilém webovém rozhraní, které věci značně zjednodušuje, protože automaticky generuje certifikáty a soubor .ovpn pro klienty.

V jednoduchém scénáři s jeden router v sítiPostup je obvykle následující: vstupte do webového rozhraní, přejděte do sekce Upřesnit > VPN server > OpenVPN, zaškrtněte políčko Povolit VPN server a pokud je to poprvé, klikněte na tlačítko Generovat pro vytvoření interního certifikátu.

Dále se volba provede druh služby (UDP nebo TCP), servisní port je definován mezi 1024 a 65535, je nakonfigurována podsíť a maska ​​VPN a je vybrán typ přístupu klienta: Pouze domácí síť (pouze LAN 192.168.xx) nebo Internet a domácí síť (veškerý internetový provoz prochází přes VPN).

Po uložit konfiguraci a vygenerovat/aktualizovat certifikátyKliknutím na Exportovat si stáhnete konfigurační soubor OpenVPN, který budou klienti používat. Poté si jednoduše nainstalujte klienta OpenVPN do počítače nebo mobilního zařízení, zkopírujte exportovaný soubor do složky config a připojte se.

Pokud jsou v domácí topologii dva nebo více routerů (například router poskytovatele internetových služeb a za ním router TP-Link), kromě konfigurace OpenVPN na druhém routeru budete muset na prvním vytvořit přesměrování portů (virtuální server), přičemž externí port nasměrujete na LAN IP adresu druhého routeru a stejný interní port, který používá OpenVPN.

Konfigurace OpenVPN na routerech ASUS

L Routery ASUS s firmwarem ASUSWRT Zahrnují také server OpenVPN s poměrně uživatelsky přívětivým grafickým rozhraním, ačkoli se obrazovky mezi verzemi firmwaru před a po verzi 3.0.0.4.388.xxxx mírně liší.

Proces začíná přístup k grafickému rozhraní routeru Na adrese http://www.asusrouter.com nebo z vaší IP adresy LAN se přihlaste pomocí uživatelského jména a hesla správce a přejděte do sekce VPN > VPN Server, kde aktivujete OpenVPN.

V obecném nastavení port serveru je definován (například 2000 nebo hodnota mezi 1024 a 65535), výchozí délka šifrování RSA a opět, zda budou klienti moci přistupovat pouze k lokální síti nebo také k internetu přes router.

Jakmile je vše aplikováno, Soubor client.ovpn je exportován. Ze sekce serveru OpenVPN. Tento soubor již obsahuje potřebné certifikáty, klíče a parametry. Pokud později klíče nebo certifikáty změníte, budete jej muset znovu exportovat a distribuovat klientům.

V sekci Podrobnosti VPN > Pokročilá nastavení Můžete ručně upravovat klíče a certifikáty, upravovat parametry, jako je verze TLS nebo algoritmy, a přizpůsobovat konfiguraci náročnějším prostředím, aniž byste se museli dotýkat firmwaru.

Nakonfigurujte OpenVPN v Omadě (TP-Link) jako server a vytvořte uživatele

V prostředích spravovaných řadiči omada Pro přístup typu klient-site můžete definovat zásady VPN typu OpenVPN Server, což je ideální, když chcete centralizovat správu do jednoho panelu.

Z ovladače, ke kterému máte přístup Konfigurace > VPNKliknutím na tlačítko Přidat vytvoříte novou zásadu a zadáte název (například „test“), nastavíte ji na Povoleno, vyberete Účel klienta k serveru a Typ VPN: VPN server – OpenVPN.

V téže politice Vy se rozhodnete, zda použijete dělený nebo plný tunelVyberte si mezi Rozděleným tunelem, takže přes VPN prochází pouze provoz do interní sítě, nebo Plným tunelem, takže veškerý internetový provoz také prochází serverem. Dále si vyberete protokol (TCP/UDP), servisní port (výchozí 1194), režim ověřování (lokální), typ lokální sítě a rozsah IP adres, které chcete přiřadit klientům.

Po Uživatele VPN vytvoříte v Nastavení > VPN > UživateléTo zahrnuje přiřazení uživatelského jména a hesla k účtu, výběr protokolu OpenVPN a propojení uživatele s nově vytvořeným VPN serverem. Každý uživatel pak bude mít své základní přihlašovací údaje.

Nakonec je soubor .ovpn exportován ze seznamu zásad.Zkopírujte soubor do klienta (PC, notebook atd.), nainstalujte software OpenVPN Community, umístěte soubor do složky config a připojte se. Stav můžete zkontrolovat na řadiči v sekci Insight > VPN Status.

Nedávné aktualizace OpenVPN a dostupné alternativy

OpenVPN se s každou verzí neustále vyvíjípřidání vylepšení zabezpečení, výkonu a použitelnosti. Mezi nedávné změny patří tls-crypt-v2 (pro přiřazení klíčů specifických pro klienta a další zmírnění útoků DoS), podpora pro CHACHA20-POLY1305 a vylepšené vyjednávání datových šifer pomocí datových šifer.

Současně Podpora zastaralých šifer byla ukončena. jako například BF-CBC ve výchozích konfiguracích, což administrátory tlačí k používání AES-GCM nebo CHACHA20, které jsou v praxi mnohem bezpečnější a rychlejší.

Ve firmách je to také běžné kombinovat OpenVPN s cloudovými řešeními, jako je Azure VPN Gateway nebo s firewally, které integrují IPsec a další protokoly pro připojení mezi lokalitami, zatímco v domácím prostředí obvykle vše potřebné poskytuje dobře nakonfigurovaný router kompatibilní s OpenVPN.

Se vším viděným, Nakonfigurujte VPN na routeru pomocí OpenVPN Z něčeho záhadného se stane zcela zvládnutelný projekt, pokud splníte základní požadavky (veřejná IP adresa, kompatibilní router, trocha trpělivosti) a budete dodržovat jasnou strukturu: připravíte certifikáty nebo použijete ty generované routerem, aktivujete a upravíte server, exportujete konfiguraci pro klienty a klidně je otestujete s opravou typických chyb; na oplátku získáte mnohem bezpečnější a flexibilnější síť, připravenou jak pro práci na dálku, tak pro ochranu všech zařízení doma jedním tahem.