OpenVPN、ホームネットワークの接続

この記事では、複数のホームLANと、VPNを使用したネットワークリソースの透過的な共有を組み合わせることに焦点を当てています。 VPNの実装はopenvpnによって行われます 。 クライアントとopenvpnサーバーは、ホームネットワークルーター、特定の場合ではasus wl500ファミリールーターにインストールされますが、このマニュアルは、OSにアクセスできる他のルーターに適用でき、openvpnをインストールできます。

このようなインターネット上のマニュアルは1ダースですが、ホームシステムルーターのユーザーは主にハッカーではなく、通常のユーザーであり、Linuxコマンドラインを初めて見たときに、* nixシステムで豊富な経験を持つ管理者向けに書かれています。ルーター自体。 誰もがはっきりとわかるように書きます。

たくさんの手紙が好きではない人のために、私たちがカットの下で話していることが明確になるように、私は写真を持ってくる



そこで、もう一度、問題を形式化します。 ルーターを介してインターネットにアクセスできる複数のネットワークがあり、暗号化されたインターネットトンネルを介して相互のネットワークリソースへのアクセスを提供する必要があります。

そこで必要なもの

1. Asus wl500ファミリールーター
2. ルータにはフラッシュとRAMがほとんどなく、非常に古いジャンク（9Mb未満）を除き、どれでも十分に適合するため、ルータにusbフラッシュドライブを装備することが非常に望ましいです。 新しいフラッシュドライブを使用する理由は何ですか？ :)
3. 少なくとも1つのルーターが実際のIPアドレスでインターネットにアクセスするか、すべてのルーターがプロバイダーのローカルネットワークの同じセグメントに存在する必要があります。
4. ルーターの背後のネットワークには異なるアドレス範囲が必要です
5. いくつかの時間と脳

ルーターを一緒に構成する必要があるため、同時にそれらにアクセスすることをお勧めします。 あるアパートから別のアパートに移動するのは特に便利ではないので、インターネットからルーターの背後にあるコンピューターへのアクセスを提供するか（私がしたように）、単にアパートのルーターを収集してクライアントにルーターを接続します彼らの絶え間ない仕事は、openvpnサーバーのアドレスを変更するだけです。

理論

システムがどのように機能するかを簡単に考えてみましょう。 ネットワークは、サーバー（図では火星ルーター）とEarthおよびMercuryクライアントで構成されています。 サーバーは、あるネットワークから別のネットワークへの仮想ネットワーク操作、トラフィック暗号化、およびパケットルーティングを提供します。

サーバー操作の詳細を次の図に示します（図は非常に条件付きであり、一般的な理解のみを目的としており、プログラムコンポーネントは反映していません）。 クライアントモードでは、openvpnはまったく同じように機能しますが、ルーティングは提供しません。



したがって、最初のルーター（Mars）の背後にあるアドレス範囲192.168.1.1-192.168.1.255と、Earthルーターの背後にある範囲192.168.2.1-192.168.2.255のネットワークがあります。 OpenVPNは特別な仮想ネットワークカードtun0を作成し、そこに到着するパケットは復号化され、サーバー（ローカルではサーバーコンピューター、インターネット経由でKlinetsky）に送信され、そこで復号化されて必要なトンネルを介して宛先に送信されます。

たとえば、PhobosコンピューターからMoonコンピューターへのパケットの通過を考えてみましょう。 フォボスからのパケットはデフォルトゲートウェイに送信されます-火星、ルーティングテーブルで、tun0トンネルに送信する必要があると言われ、openvpnに到達します。これは、Moonが入っているネットワークのパケットが地球へのトンネルに送信されることを既に知っています。 地球に到着すると、パケットはロークラクに接続された月に安全に送信されます。

練習する

ルータをOlegのファームウェアでフラッシュし、ikpgを配置します。 多くのユーザーがこの手順を知っているwl500yhだと思います。 http://wl500g.info/showthread.php?t=3171に非常に詳細に記述されています 。 手順1〜4、実際のファームウェア、および7、追加パッケージのインストールが必要です。

すべての準備が整ったら、ipkg install <パッケージ名>コマンドでパッケージをインストールします

• openvpn-これは推測しやすいです:)
• vim-テキストエディター（シェルに組み込まれているものは、何にも完全に適さない）
• wget-ssl-サーバーに動的外部IPがある場合、dnsのエントリを更新するために必要です。

パッケージのインストール中に、Linuxから少し脱線し、vpn接続のキーを生成します。 Windowsでこれを行う方法（Linuxoid、トピックですでに:)）はHaberですでに詳細に議論されていますが、それを繰り返すことは意味がありません.ca.keyを追加する必要があるだけです、たとえば、不要なフラッシュドライブに書き込まれるなど、さらにどこかに削除する必要があります ca.crtとca.keyを知っているのでホームネットワークに安全に接続できるので、フラッシュドライブを33のロックの下の胸に入れます。これは明らかに計画の一部ではありません。

証明書が手元にある場合、サーバーとなるルーターに証明書を配置する必要があります。これらは通常のテキストファイルなので、ルーターのテキストエディターにコピーするだけです。
たとえば、telnetでルーターに接続します

C：\> telnet 192.168.1.1

さらに：

$ vim /opt/etc/openvpn/keys/ca.crt
次に、iボタンを押して、ca.crtファイルの内容を挿入します。 dh2048.pem、mars.crt、およびmars.keyファイルでも同じことを行います。

その後、openvpn構成ファイルを作成する必要があります。含まれているファイルは破棄して、次のように挿入できます。

$ rm /opt/etc/openvpn/openvpn.conf
$ vim /opt/etc/openvpn/openvpn.conf

開発者

tls-server
サーバー192.168.255.0 255.255.255.0
ifconfig 192.168.255.1 192.168.255.2

client-config-dir ccd

route 192.168.255.0 255.255.255.0 #VPNのIP範囲
route 192.168.2.0 255.255.255.0＃地球のIP範囲

「ルート192.168.1.0 255.255.255.0」を押します
#Marsが192.168.1.0/24 LANを持っているクライアントに言う

#keys

dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/home2.crt
キー/opt/etc/openvpn/keys/home2.key

＃何をしているかわからない限り変更しないでください

クライアント間

ポート1194
プロトUDP

ユーザーなし
グループなし

comp-lzo
持続する
永続キー
動詞3

log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

キープアライブ10 60

クライアントの構成が配置されるディレクトリを作成します

$ mkdir / opt / etc / openvpn / ccd /

このディレクトリに、統合されたネットワークが配置されるクライアントのファイルを作成する必要があります。 私たちの場合、これはEarthクライアントであり、Earthファイルを作成します

$ vim / opt / etc / openvpn / ccd / Earth

1行だけにします

iroute 192.168.2.0 255.255.255.0

この行は、192.168.2.0 / 24ネットワークのパケットの送信先をopenvpnに指示します。

そのため、openvpnが起動するまで、起動スクリプト/opt/etc/init.d/S20openvpnを微調整し、そこから行リターン0を削除するだけです。

それだけです、openvpnを実行します

/opt/etc/init.d/S20openvpn

すべて問題なければ、netstat -ul | grep 1194はステッチを発行する必要があります
udp 0 0 *:1194 *:*

また、ファイル/opt/var/log/openvpn/openvpn.logに、サーバーが正常に起動したというエントリがあります。

サーバーが機能しているので、パケットがファイアウォールを通過できるようにする必要があります。
これを行うには：
$iptables -I INPUT -p udp --dport 1194 -j ACCEPT
$iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
$iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
$iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT


毎回ルールを適用するには、ファイルを/ usr / local / sbin / post-firewallに追加し、/ opt / etc / init.d / S20openvpnの行をpost-mountに追加して、ルーターが起動するたびにサーバーが起動するようにする必要があります（$はコマンドラインプロンプトの場合、ファイルに追加する必要はありません！）。

（flashfsへの変更を書き込むのを忘れましたか？）

これで、サーバーのセットアップはほぼ完了しました。 唯一のことは、サーバーに動的IPがある場合、クライアントがサーバーに現在どのIPを持っているかを確認する必要があるということです。 このために、DDNS、つまり動的DNSなどがあります。 Asusには、一部のDDNSプロバイダーが組み込まれていますが、すべてではありません（たとえばmineなど） 。 そのため、ルーターのIPが変更された場合にIPをDNSに更新する簡単なスクリプトを作成しました。

#!/bin/sh
IFACE="ppp0"
TMPFILE="/tmp/oldip.txt"

/sbin/ifconfig $IFACE > /dev/null 2>&1
if [ "$?" -ne "0" ]
then
logger "update_ip.sh: Interface $IFACE is down, exiting..."
exit 1
fi

new=`/sbin/ifconfig $IFACE|grep inet\ addr|sed -e 's/.*\ addr:\([0-9\.]*\).*/\1/'`

if [ -f $TMPFILE ]
then
old=`cat $TMPFILE`
else
touch $TMPFILE
old=" "
fi

if [ "$new" != "$old" ]
then
/opt/bin/wget --no-check-certificate "https://dynamicdns.park-your-domain.com/update?host=mars&domain=yourdomain&password=PASSWORD" > /dev/null 2>&1
logger "update_ip.sh: New ip $new detected"
echo $new > $TMPFILE
fi


cronのインストールおよび設定方法については、 wl500g.info / showpost.php？p = 52524＆postcount = 1で詳しく説明しています。

それで、クライアントに渡します。 クライアントのインストールはサーバーとまったく同じです。唯一のことは、クライアントキー（ca.crt、Earth.crt、Earth.keyが必要）および別の構成ファイルを追い越すことです。 起動スクリプトを微調整することを忘れないでください。

クライアント設定、リモートフィールドにサーバーアドレスを挿入する必要があります

client
dev tun
proto udp
remote mars.yourdomain 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/Earth.crt
key /opt/etc/openvpn/keys/Eartth.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log


同様に、iptablesルールを適用します。
$iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
$iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
$iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT


クライアントでopenvpnを起動します。サーバーに接続して生活を楽しみます。 映画、写真を見ることができ、LANのようなゲームに切り刻むことができます。

私ができなかったことは、内部DNSサーバーを同期することだけでした。そのため、IPを介してネットワーク間のコンピューターにアクセスする必要があります。

まあ、これが誰かに役立つことを願っています、私はこの壮大なマニュアルを書くのにうんざりしています。

宿題として、Mercuryコンピューターを接続して、たとえばgprや公共のwifiなど、どこからでもローカルリソースにアクセスできるようにします。

高度な宿題として、水銀からネットワークに接続する機能を取り除いて、火星の構成のみを変更します。

（C）イヴァンリセンコフ2009