Γιατί να χρησιμοποιήσετε ένα VPN για πρόσβαση στο σπίτι σας
Υπάρχουν πολλοί λόγοι για τους οποίους θέλετε να αποκτήσετε απομακρυσμένη πρόσβαση στο οικιακό σας δίκτυο και ο καλύτερος τρόπος να το κάνετε είναι με έναν διακομιστή VPN. Ορισμένοι δρομολογητές σάς επιτρέπουν πραγματικά να ρυθμίσετε έναν διακομιστή VPN απευθείας μέσα στο δρομολογητή, αλλά σε πολλές περιπτώσεις, θα πρέπει να το ρυθμίσετε μόνοι σας.
Το Raspberry Pi είναι ένας πολύ καλός τρόπος για να το επιτύχετε. Δεν απαιτούν πολλή ενέργεια για να τρέξουν και έχουν αρκετή ισχύ για να εκτελέσουν έναν διακομιστή VPN. Μπορείτε να το ρυθμίσετε δίπλα στον δρομολογητή σας και βασικά να το ξεχάσετε.
Όταν έχετε πρόσβαση στο οικιακό σας δίκτυο από απόσταση, μπορείτε να μεταβείτε στα αρχεία σας από οπουδήποτε. Μπορείτε να εκτελέσετε τους οικιακούς υπολογιστές σας από απόσταση. Μπορείτε ακόμη και να χρησιμοποιήσετε τη σύνδεση VPN του σπιτιού σας από το δρόμο. Μια τέτοια ρύθμιση επιτρέπει στο τηλέφωνό σας, το tablet ή τον φορητό υπολογιστή σας να ενεργεί όπως ήταν στο σπίτι από οπουδήποτε.
Ρύθμιση του Pi
Προτού ξεκινήσετε τη ρύθμιση του VPN, θα πρέπει να ρυθμίσετε το Raspberry Pi. Είναι καλύτερο να ρυθμίσετε το Pi με θήκη και κάρτα μνήμης αξιοπρεπούς μεγέθους, τα 16 GB θα πρέπει να είναι περισσότερο από αρκετά. Εάν είναι δυνατόν, συνδέστε το Pi στο δρομολογητή σας με καλώδιο Ethernet. Θα ελαχιστοποιήσει τυχόν καθυστερήσεις στο δίκτυο.
Εγκαταστήστε το Raspbian
Το καλύτερο λειτουργικό σύστημα για χρήση στο Pi σας είναι το Raspbian. Είναι η προεπιλεγμένη επιλογή από το Ίδρυμα Raspberry Pi και βασίζεται στο Debian, μια από τις πιο ασφαλείς και σταθερές διαθέσιμες εκδόσεις Linux.
μεταβείτε στο Σελίδα λήψης Rasbian και πάρτε την τελευταία έκδοση. Μπορείτε να χρησιμοποιήσετε την έκδοση Lite εδώ, επειδή δεν χρειάζεστε γραφικό υπολογιστή.
Κατά τη λήψη, λάβετε την τελευταία έκδοση του Χαράκτης για το λειτουργικό σας σύστημα. Αφού ολοκληρωθεί η λήψη, εξαγάγετε την εικόνα Raspbian. Στη συνέχεια, ανοίξτε τον Etcher. Επιλέξτε την εικόνα Raspbian από όπου την εξαγάγατε. Επιλέξτε την κάρτα SD σας (Τοποθετήστε την πρώτα). Τέλος, γράψτε την εικόνα στην κάρτα.
πώς να σταματήσετε μόνιμα την ενημέρωση των Windows 10
Αφήστε την κάρτα SD στον υπολογιστή σας όταν τελειώσει. Ανοίξτε έναν διαχειριστή αρχείων και περιηγηθείτε στην κάρτα. Θα πρέπει να δείτε μερικά διαφορετικά διαμερίσματα. Αναζητήστε το διαμέρισμα εκκίνησης. Είναι αυτό με ένα αρχείο kernel.img σε αυτό. Δημιουργήστε ένα κενό αρχείο κειμένου στο διαμέρισμα εκκίνησης και καλέστε το ssh χωρίς επέκταση αρχείου.
Μπορείτε τελικά να συνδέσετε το Pi σας. Βεβαιωθείτε ότι το συνδέσατε τελευταία. Δεν θα χρειαστείτε οθόνη, πληκτρολόγιο ή ποντίκι. Πρόκειται να αποκτήσετε απομακρυσμένη πρόσβαση στο Raspberry Pi μέσω του δικτύου σας.
Δώστε στο Pi λίγα λεπτά για να ρυθμιστεί. Στη συνέχεια, ανοίξτε ένα πρόγραμμα περιήγησης ιστού και μεταβείτε στην οθόνη διαχείρισης του δρομολογητή σας. Βρείτε το Raspberry Pi και σημειώστε τη διεύθυνση IP του.
Είτε χρησιμοποιείτε Windows, Linux ή Mac, ανοίξτε το OpenSSH. Συνδεθείτε στο Raspberry Pi με SSH.
$ ssh [email protected]
Προφανώς, χρησιμοποιήστε την πραγματική διεύθυνση IP του Pi. Το όνομα χρήστη είναιπάντα πικαι ο κωδικός είναιβατόμουρο.
Ρύθμιση OpenVPN
Το OpenVPN δεν είναι ακριβώς απλό να ρυθμιστεί ως διακομιστής. Τα καλά νέα είναι ότι πρέπει να το κάνετε μόνο μία φορά. Έτσι, προτού το σκάψετε, βεβαιωθείτε ότι το Raspbian είναι εντελώς ενημερωμένο.
$ sudo apt update $ sudo apt upgrade
Μετά την ολοκλήρωση της ενημέρωσης, μπορείτε να εγκαταστήσετε το OpenVPN και το βοηθητικό πρόγραμμα πιστοποιητικών που χρειάζεστε.
$ sudo apt install openvpn easy-rsa
Αρχή έκδοσης πιστοποιητικών
Προκειμένου να γίνει έλεγχος ταυτότητας των συσκευών σας όταν προσπαθούν να συνδεθούν στον διακομιστή, πρέπει να ρυθμίσετε μια αρχή έκδοσης πιστοποιητικών για τη δημιουργία κλειδιών ελέγχου. Αυτά τα κλειδιά διασφαλίζουν ότι μόνο οι συσκευές σας θα μπορούν να συνδεθούν στο οικιακό σας δίκτυο.
Αρχικά, δημιουργήστε έναν κατάλογο για τα πιστοποιητικά σας. Μεταβείτε σε αυτόν τον κατάλογο.
$ sudo make-cadir /etc/openvpn/certs $ cd /etc/openvpn/certs
Αναζητήστε αρχεία διαμόρφωσης OpenSSL. Στη συνέχεια, συνδέστε το πιο πρόσφατοopenssl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Σε αυτόν τον ίδιο φάκελο πιστοποιητικών είναι ένα αρχείο που ονομάζεται vars. Ανοίξτε αυτό το αρχείο με τον επεξεργαστή κειμένου σας. Το Nano είναι η προεπιλογή, αλλά μη διστάσετε να εγκαταστήσετε το Vim, εάν είστε πιο άνετοι με αυτό.
Βρες τοKEY_SIZEμεταβλητή πρώτα. Είναι έτοιμο να2048από προεπιλογή. Αλλάξτε το σε4096.
export KEY_SIZE=4096
Το κύριο μπλοκ που πρέπει να αντιμετωπίσετε καθορίζει πληροφορίες σχετικά με την αρχή έκδοσης πιστοποιητικών. Βοηθά αν αυτές οι πληροφορίες είναι ακριβείς, αλλά οτιδήποτε μπορείτε να θυμάστε είναι εντάξει.
export KEY_COUNTRY='US' export KEY_PROVINCE='CA' export KEY_CITY='SanFrancisco' export KEY_ORG='Fort-Funston' export KEY_EMAIL=' [email protected] ' export KEY_OU='MyOrganizationalUnit' export KEY_NAME='HomeVPN'
Όταν έχετε τα πάντα, αποθηκεύστε και βγείτε.
Αυτό το πακέτο Easy-RSA που εγκαταστήσατε προηγουμένως περιέχει πολλά σενάρια που σας βοηθούν να ρυθμίσετε όλα όσα χρειάζεστε. Απλά πρέπει να τα εκτελέσετε. Ξεκινήστε προσθέτοντας το αρχείο vars ως πηγή. Αυτό θα φορτώσει όλες τις μεταβλητές που μόλις ορίσατε.
$ sudo source ./vars
Στη συνέχεια, καθαρίστε τα πλήκτρα. Δεν έχετε, οπότε μην ανησυχείτε για το μήνυμα που σας λέει ότι τα κλειδιά σας θα διαγραφούν.
$ sudo ./clean-install
Τέλος, δημιουργήστε την αρχή έκδοσης πιστοποιητικών. Έχετε ήδη ορίσει τις προεπιλογές, ώστε να μπορείτε να αποδεχτείτε τις προεπιλογές που παρουσιάζει. Θυμηθείτε να ορίσετε έναν ισχυρό κωδικό πρόσβασης και να απαντήσετε ναι στις δύο τελευταίες ερωτήσεις, ακολουθώντας τον κωδικό πρόσβασης.
$ sudo ./build-ca
Κάντε μερικά κλειδιά
Αντιμετωπίσατε όλο αυτό το πρόβλημα για να δημιουργήσετε μια αρχή έκδοσης πιστοποιητικών, ώστε να μπορείτε να υπογράψετε κλειδιά. Τώρα, ήρθε η ώρα να φτιάξετε μερικά. Ξεκινήστε δημιουργώντας το κλειδί για τον διακομιστή σας.
$ sudo ./build-key-server server
Στη συνέχεια, δημιουργήστε το Diffie-Hellman PEM. Είναι αυτό που χρησιμοποιεί το OpenVPN για να ασφαλίσει τις συνδέσεις των πελατών σας στον διακομιστή.
$ sudo openssl dhparam 4096 > /etc/openvpn/dh4096.pem
Το τελευταίο κλειδί που χρειάζεστε από τώρα ονομάζεται κλειδί HMAC. Το OpenVPN χρησιμοποιεί αυτό το κλειδί για να υπογράψει κάθε μεμονωμένο πακέτο πληροφοριών που ανταλλάσσονται μεταξύ του πελάτη και του διακομιστή. Βοηθά στην αποτροπή ορισμένων ειδών επιθέσεων στη σύνδεση.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Διαμόρφωση διακομιστή
Έχετε τα κλειδιά. Το επόμενο κομμάτι στη ρύθμιση του OpenVPN είναι η ίδια η διαμόρφωση του διακομιστή. Ευτυχώς, δεν υπάρχουν τόσα πολλά που πρέπει να κάνετε εδώ. Το Debian παρέχει μια βασική διαμόρφωση που μπορείτε να χρησιμοποιήσετε για να ξεκινήσετε. Λοιπόν, ξεκινήστε με τη λήψη αυτού του αρχείου διαμόρφωσης.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Χρησιμοποιήστε ξανά το πρόγραμμα επεξεργασίας κειμένου για να το ανοίξετε/etc/openvpn/server.conf. Τα πρώτα πράγματα που πρέπει να βρείτε είναι ταότι,πιστοποιητικό, καικλειδίαρχεία. Πρέπει να τα ρυθμίσετε ώστε να ταιριάζουν με τις πραγματικές τοποθεσίες των αρχείων που δημιουργήσατε, τα οποία είναι όλα/ etc / openvpn / πιστοποιητικά / κλειδιά.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # This file should be kept secret
Βρες τοδηλρύθμιση, και να το αλλάξετε για να ταιριάζει με το Diffie-Hellman.μπου δημιουργήσατε.
dh dh4096.pem
Ορίστε επίσης τη διαδρομή για το κλειδί HMAC σας.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Βρες τοκρυπτογράφημακαι βεβαιωθείτε ότι ταιριάζει με το παρακάτω παράδειγμα.
cipher AES-256-CBC
Οι επόμενες επιλογές είναι εκεί, αλλά σχολιάζονται με ένα;. Αφαιρέστε τα ερωτηματικά μπροστά από κάθε επιλογή για να τα ενεργοποιήσετε.
push 'redirect-gateway def1 bypass-dhcp' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220'
Ψάξτε για τοχρήστηςκαιομάδαεπιλογές. Ξεχάστε τους και αλλάξτε τοχρήστηςστο openvpn.
user openvpn group nogroup
Τέλος, αυτές οι δύο τελευταίες γραμμές δεν βρίσκονται στην προεπιλεγμένη διαμόρφωση. Θα πρέπει να τα προσθέσετε στο τέλος του αρχείου.
Ρυθμίστε τη σύνοψη ελέγχου ταυτότητας για να καθορίσετε ισχυρότερη κρυπτογράφηση για έλεγχο ταυτότητας χρήστη.
# Authentication Digest auth SHA512
Στη συνέχεια, περιορίστε τις κρυφές μνήμες που μπορεί να χρησιμοποιήσει το OpenVPN μόνο σε ισχυρότερες. Αυτό βοηθά στον περιορισμό πιθανών επιθέσεων σε αδύναμους κρυπτογράφους.
# Limit Ciphers tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Αυτό είναι όλο για διαμόρφωση. Αποθηκεύστε το αρχείο και βγείτε.
Ξεκινήστε τον διακομιστή
Για να μπορέσετε να ξεκινήσετε τον διακομιστή, πρέπει να το κάνετεάνοιγμαχρήστη που καθορίσατε.
$ sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
Είναι ένας ειδικός χρήστης μόνο για την εκτέλεση του OpenVPN και δεν θα κάνει τίποτα άλλο.
Τώρα, ξεκινήστε τον διακομιστή.
$ sudo systemctl start openvpn $ sudo systemctl start [email protected]
Ελέγξτε ότι και οι δύο τρέχουν
$ sudo systemctl status openvpn*.service
Εάν όλα φαίνονται καλά, ενεργοποιήστε τα κατά την εκκίνηση.
$ sudo systemctl enable openvpn $ sudo systemctl enable [email protected]
Ρύθμιση πελάτη
Ο διακομιστής σας έχει πλέον ρυθμιστεί και λειτουργεί. Στη συνέχεια, πρέπει να ρυθμίσετε τη διαμόρφωση του πελάτη σας. Αυτή είναι η διαμόρφωση που θα χρησιμοποιήσετε για να συνδέσετε τις συσκευές σας στον διακομιστή σας. Επιστροφή στοβέβαιοςφάκελο και προετοιμαστείτε να δημιουργήσετε τα κλειδιά πελάτη. Μπορείτε να επιλέξετε να δημιουργήσετε ξεχωριστά κλειδιά για κάθε πελάτη ή ένα κλειδί για όλους τους πελάτες. Για οικιακή χρήση, ένα κλειδί πρέπει να είναι καλό.
$ cd /etc/openvpn/certs $ sudo source ./vars $ sudo ./build-key client
Η διαδικασία είναι σχεδόν πανομοιότυπη με εκείνη του διακομιστή, οπότε ακολουθήστε την ίδια διαδικασία.
Διαμόρφωση πελάτη
Η διαμόρφωση για τους πελάτες είναι πολύ παρόμοια με εκείνη του διακομιστή. Και πάλι, έχετε ένα προκατασκευασμένο πρότυπο για να βασίσετε τη διαμόρφωσή σας. Πρέπει να το τροποποιήσετε μόνο για να ταιριάζει με τον διακομιστή.
Αλλαγή σεπελάτηςΕυρετήριο. Στη συνέχεια, αποσυμπιέστε το δείγμα διαμόρφωσης.
$ cd /etc/openvpn/client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Ανοίξτε τοπελάτης.ovpnαρχείο με το πρόγραμμα επεξεργασίας κειμένου σας. Στη συνέχεια, βρείτε τομακρινόςεπιλογή. Υποθέτοντας ότι δεν χρησιμοποιείτε ήδη ένα VPN, αναζήτηση Google Τι είναι το IP μου. Πάρτε τη διεύθυνση που εμφανίζει και ορίστε τομακρινόςΔιεύθυνση IP σε αυτό. Αφήστε τον αριθμό θύρας.
remote 107.150.28.83 1194 #That IP ironically is a VPN
Αλλάξτε τα πιστοποιητικά ώστε να αντικατοπτρίζουν αυτά που δημιουργήσατε, όπως κάνατε με τον διακομιστή.
ca ca.crt cert client.crt key client.key
Βρείτε τις επιλογές των χρηστών και αποσυνδέστε τις. Είναι ωραίο να τρέχετε τους πελάτες ωςκανείς.
user nobody group nogroup
Αποπληρωμή τοtls-authεπιλογή για HMAC.
tls-auth ta.key 1
Στη συνέχεια, αναζητήστε τοκρυπτογράφημαεπιλογή και βεβαιωθείτε ότι ταιριάζει με το διακομιστή.
cipher AES-256-CBC
Στη συνέχεια, απλώς προσθέστε τους περιορισμούς ελέγχου ταυτότητας και κρυπτογράφησης στο κάτω μέρος του αρχείου.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Όταν όλα φαίνονται σωστά, αποθηκεύστε το αρχείο και βγείτε. Χρήσηπίσσαγια να συσκευάσετε τη διαμόρφωση και τα πιστοποιητικά, ώστε να μπορείτε να τα στείλετε στον πελάτη.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C /etc/openvpn/certs/keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Μεταφέρετε αυτό το πακέτο στον πελάτη όπως κι αν επιλέξετε. Τα SFTP, FTP και μια μονάδα USB είναι όλες εξαιρετικές επιλογές.
Προώθηση θύρας
Για να λειτουργήσει οποιοδήποτε από αυτά, πρέπει να ρυθμίσετε το δρομολογητή σας ώστε να προωθεί την εισερχόμενη κίνηση VPN στο Pi. Εάν χρησιμοποιείτε ήδη ένα VPN, πρέπει να βεβαιωθείτε ότι δεν συνδέεστε στην ίδια θύρα. Εάν είστε, αλλάξτε τη θύρα στις διαμορφώσεις του πελάτη και του διακομιστή σας.
Συνδεθείτε στη διεπαφή ιστού του δρομολογητή σας πληκτρολογώντας τη διεύθυνση IP του στο πρόγραμμα περιήγησής σας.
Κάθε δρομολογητής είναι διαφορετικός. Ακόμα και ακόμα, όλοι πρέπει να έχουν κάποια μορφή αυτής της λειτουργικότητας. Βρείτε το στο δρομολογητή σας.
Η εγκατάσταση είναι βασικά η ίδια σε κάθε δρομολογητή. Εισαγάγετε τις θύρες έναρξης και λήξης. Θα πρέπει να είναι το ίδιο μεταξύ τους και αυτό που έχετε ορίσει στις διαμορφώσεις σας. Στη συνέχεια, για τη διεύθυνση IP, ορίστε την στην IP του Raspberry Pi. Αποθηκεύστε τις αλλαγές σας.
Συνδεθείτε στον πελάτη
Κάθε πελάτης είναι διαφορετικός, επομένως δεν υπάρχει καθολική λύση. Εάν χρησιμοποιείτε Windows, θα χρειαστείτε το Πρόγραμμα-πελάτης Windows OpenVPN .
Στο Android, μπορείτε να ανοίξετε το tarball και να μεταφέρετε τα κλειδιά στο τηλέφωνό σας. Στη συνέχεια, εγκαταστήστε την εφαρμογή OpenVPN. Ανοίξτε την εφαρμογή και συνδέστε τις πληροφορίες από το αρχείο διαμόρφωσης. Στη συνέχεια, επιλέξτε τα κλειδιά σας.
Στο Linux, πρέπει να εγκαταστήσετε το OpenVPN πολύ όπως και για τον διακομιστή.
$ sudo apt install openvpn
Στη συνέχεια, αλλάξτε σε/ etc / openvpnκαι αποσυμπιέστε το tarball που στείλατε.
$ cd /etc/openvpn $ sudo tar xJf /path/to/client.tar.xz
Μετονομάστε το αρχείο πελάτη.
$ sudo mv client.ovpn client.conf
Μην ξεκινήσετε τον πελάτη ακόμα. Θα αποτύχει. Πρέπει πρώτα να ενεργοποιήσετε την προώθηση θύρας στο δρομολογητή σας.
Κλείνοντας Σκέψεις
Θα πρέπει τώρα να έχετε μια λειτουργική ρύθμιση. Ο πελάτης σας θα συνδεθεί απευθείας μέσω του δρομολογητή σας στο Pi. Από εκεί, μπορείτε να κάνετε κοινή χρήση και σύνδεση μέσω του εικονικού σας δικτύου, αρκεί όλες οι συσκευές να είναι συνδεδεμένες στο VPN. Δεν υπάρχει όριο, επομένως μπορείτε πάντα να συνδέσετε όλους τους υπολογιστές σας στο Pi VPN.
