Miksi käyttää VPN: tä kotisi käyttämiseen
On monia syitä, joiden vuoksi haluat käyttää kotiverkkoasi etänä, ja paras tapa tehdä se on VPN-palvelimen avulla. Jotkut reitittimet antavat sinun asettaa VPN-palvelimen suoraan reitittimeen, mutta monissa tapauksissa sinun on määritettävä se itse.
Vadelma Pi on loistava tapa saavuttaa tämä. Ne eivät vaadi paljon energiaa juoksemiseen, ja heillä on riittävästi virtaa VPN-palvelimen käyttämiseen. Voit asettaa yhden reitittimen viereen ja unohtaa sen.
Kun sinulla on pääsy kotiverkkoon etänä, pääset tiedostoihisi mistä tahansa. Voit käyttää kotitietokoneita etänä. Voit jopa käyttää kotisi VPN-yhteyttä tien varrella. Tämänkaltainen asennus antaa puhelimen, tabletin tai kannettavan tietokoneen toimimaan samalla tavalla kuin kotona mistä tahansa.
Määritä Pi
Ennen kuin voit aloittaa VPN: n asettamisen, sinun on määritettävä Raspberry Pi. On parasta asentaa Pi kotelolla ja kunnollisella kokoisella muistikortilla, 16 Gt: n pitäisi olla enemmän kuin tarpeeksi. Jos mahdollista, yhdistä Pi reitittimeesi Ethernet-kaapelilla. Se minimoi kaikki verkon viiveet.
Asenna Raspbian
Paras Pi-käyttöjärjestelmäsi käyttöjärjestelmä on Raspbian. Se on Raspberry Pi -säätiön oletusvalinta, ja se perustuu Debianiin, joka on yksi turvallisimmista ja vakaimmista saatavilla olevista Linux-versioista.
Mene Rasbian-lataussivu , ja tartu uusimpaan versioon. Voit käyttää Lite-versiota täällä, koska et todellakaan tarvitse graafista työpöytää.
Lataa latauksen aikana uusin versio Etsaaja käyttöjärjestelmääsi varten. Kun lataus on valmis, pura Raspbian-kuva. Avaa sitten Etcher. Valitse Raspbian-kuva siitä, mistä se purettiin. Valitse SD-kortti (aseta se ensin). Kirjoita lopuksi kuva kortille.
miksi hiireni kaksoisnapsauttaa
Jätä SD-kortti tietokoneeseesi, kun se on valmis. Avaa tiedostonhallinta ja selaa kortille. Sinun pitäisi nähdä pari erilaista osiota. Etsi käynnistysosio. Siinä on kernel.img-tiedosto. Luo tyhjä tekstitiedosto käynnistysosioon ja kutsu sitä ssh: ksi ilman tiedostotunnistetta.
Voit lopuksi liittää Pi: n. Kytke se viimeiseksi. Et tarvitse näyttöä, näppäimistöä tai hiirtä. Aiot käyttää Raspberry Piä etänä verkon kautta.
Anna Pi: lle muutama minuutti aikaa itsensä asettamiseen. Avaa sitten verkkoselain ja siirry reitittimen hallintanäyttöön. Etsi Vadelma Pi ja kirjoita sen IP-osoite.
Olitpa Windows, Linux tai Mac, avaa OpenSSH. Yhdistä Raspberry Pi: ään SSH: llä.
$ ssh [email protected]
Käytä tietysti Pi: n todellista IP-osoitetta. Käyttäjänimi onaina pi, ja salasana onvadelma.
Määritä OpenVPN
OpenVPN ei ole aivan helppo asettaa palvelimeksi. Hyvä uutinen on, että sinun tarvitsee tehdä se vain kerran. Joten, ennen kuin kaivaa sisään, varmista, että Raspbian on täysin ajan tasalla.
$ sudo apt update $ sudo apt upgrade
Kun päivitys on valmis, voit asentaa OpenVPN: n ja tarvitsemasi varmenteiden apuohjelman.
$ sudo apt install openvpn easy-rsa
Varmentaja
Laitteiden todentamiseksi, kun ne yrittävät muodostaa yhteyden palvelimeen, sinun on määritettävä varmenneviranomainen luomaan merkintäavaimet. Nämä näppäimet varmistavat, että vain laitteesi voivat muodostaa yhteyden kotiverkkoon.
Luo ensin hakemisto varmenteillesi. Siirry kyseiseen hakemistoon.
$ sudo make-cadir /etc/openvpn/certs $ cd /etc/openvpn/certs
Katso ympärillesi OpenSSL-määritystiedostot. Liitä sitten uusinopenssl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Samassa serts-kansiossa on tiedosto nimeltä vars. Avaa tiedosto tekstieditorilla. Nano on oletusarvo, mutta asenna Vim vapaasti, jos se on sinulle mukavampaa.
EtsiKEY_SIZEmuuttuja ensin. Se on asetettu2048oletuksena. Vaihda se muotoon4096.
export KEY_SIZE=4096
Päälohko, jota sinun on käsiteltävä, sisältää tietoja varmentajasta. Se auttaa, jos nämä tiedot ovat tarkkoja, mutta kaikki mitä muistat, on hieno.
export KEY_COUNTRY='US' export KEY_PROVINCE='CA' export KEY_CITY='SanFrancisco' export KEY_ORG='Fort-Funston' export KEY_EMAIL=' [email protected] ' export KEY_OU='MyOrganizationalUnit' export KEY_NAME='HomeVPN'
Kun sinulla on kaikki, tallenna ja poistu.
Aiemmin asentamasi Easy-RSA-paketti sisältää paljon komentosarjoja, jotka auttavat määrittämään kaiken tarvitsemasi. Sinun tarvitsee vain suorittaa ne. Aloita lisäämällä vars-tiedosto lähteeksi. Se lataa kaikki asettamasi muuttujat.
$ sudo source ./vars
Siivoa seuraavaksi avaimet. Sinulla ei ole yhtään, joten älä huoli siitä, että viesti kertoo sinulle, että avaimesi poistetaan.
$ sudo ./clean-install
Rakenna lopuksi varmentajasi. Olet jo asettanut oletusarvot, joten voit vain hyväksyä siinä esitetyt oletusasetukset. Muista asettaa vahva salasana ja vastata kyllä kahteen viimeiseen kysymykseen noudattamalla salasanaa.
$ sudo ./build-ca
Tee joitain avaimia
Olet käynyt läpi kaikki ongelmat varmenteen myöntäjän perustamiseksi, jotta voit allekirjoittaa avaimet. Nyt on aika tehdä joitain. Aloita rakentamalla avain palvelimellesi.
$ sudo ./build-key-server server
Rakenna seuraavaksi Diffie-Hellman PEM. Tätä OpenVPN käyttää asiakkaan yhteyksien suojaamiseen palvelimelle.
$ sudo openssl dhparam 4096 > /etc/openvpn/dh4096.pem
Viimeisintä avainta, jota tarvitset nyt, kutsutaan HMAC-avaimeksi. OpenVPN käyttää tätä avainta allekirjoittamaan jokaisen asiakkaan ja palvelimen välillä vaihdetun tietopaketin. Se auttaa estämään tietyntyyppisiä yhteyshyökkäyksiä.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Palvelimen määritykset
Sinulla on avaimet. Seuraava osa OpenVPN: n määrittämisessä on itse palvelimen kokoonpano. Onneksi tässä ei tarvitse tehdä niin paljon. Debian tarjoaa peruskokoonpanon, jonka avulla voit aloittaa. Joten, aloita hankkimalla tuo kokoonpanotiedosto.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Avaa tekstieditori uudelleen avataksesi/etc/openvpn/server.conf. Ensimmäiset asiat, jotka sinun on löydettävä, ovatettä,serttijaavaintiedostot. Sinun on määritettävä ne vastaamaan luomiesi tiedostojen todellisia sijainteja/ etc / openvpn / certs / avaimet.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # This file should be kept secret
Etsielija muuta se vastaamaan Diffie-Hellmania.pemjonka olet luonut.
dh dh4096.pem
Aseta myös HMAC-avaimen polku.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Etsisalausja varmista, että se vastaa alla olevaa esimerkkiä.
cipher AES-256-CBC
Pari seuraavaa vaihtoehtoa on olemassa, mutta niitä kommentoidaan;. Poista puolipisteet kunkin vaihtoehdon edestä ottaaksesi ne käyttöön.
push 'redirect-gateway def1 bypass-dhcp' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220'
Etsikäyttäjäjaryhmävaihtoehtoja. Kommentoi niitä ja muutakäyttäjäavata VPN.
user openvpn group nogroup
Lopuksi, nämä kaksi viimeistä riviä eivät ole oletusasetuksissa. Sinun on lisättävä ne tiedoston loppuun.
Määritä todennuksen tiivistelmä määrittämään vahvempi salaus käyttäjän todennukseen.
# Authentication Digest auth SHA512
Rajoita sitten salaukset, joita OpenVPN voi käyttää, vain vahvempiin. Tämä auttaa rajoittamaan mahdollisia hyökkäyksiä heikkoihin salauksiin.
# Limit Ciphers tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Se on kaikki kokoonpanoa varten. Tallenna tiedosto ja poistu.
Käynnistä palvelin
Ennen kuin voit käynnistää palvelimen, sinun on tehtävä seopenvpnmäärittämäsi käyttäjä.
$ sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
Se on erityinen käyttäjä vain OpenVPN: n suorittamiseen, eikä se tee mitään muuta.
Käynnistä palvelin.
$ sudo systemctl start openvpn $ sudo systemctl start [email protected]
Tarkista, että molemmat ovat käynnissä
$ sudo systemctl status openvpn*.service
Jos kaikki näyttää hyvältä, ota ne käyttöön käynnistyksen yhteydessä.
$ sudo systemctl enable openvpn $ sudo systemctl enable [email protected]
Asiakkaan asetukset
Palvelimesi on nyt määritetty ja käynnissä. Seuraavaksi sinun on määritettävä asiakkaan kokoonpano. Tätä määritystä käytetään yhdistämään laitteesi palvelimeen. Palaa sivullevarmakansio ja valmistaudu rakentamaan asiakasavaimet. Voit rakentaa erilliset avaimet kullekin asiakkaalle tai yhden avaimen kaikille asiakkaille. Kotikäyttöön yhden avaimen pitäisi olla hieno.
$ cd /etc/openvpn/certs $ sudo source ./vars $ sudo ./build-key client
Prosessi on melkein identtinen palvelimen kanssa, joten noudata samaa menettelyä.
Asiakkaan määritykset
Asiakkaiden kokoonpano on hyvin samanlainen kuin palvelimelle. Jälleen sinulla on valmiiksi valmistettu malli, johon kokoonpano perustuu. Sinun tarvitsee vain muokata sitä vastaamaan palvelinta.
Vaihdaasiakashakemistoon. Pura sitten näytekokoonpano pakkauksesta.
$ cd /etc/openvpn/client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Avaaclient.ovpntiedosto tekstieditorilla. Etsi sittenetävaihtoehto. Jos olet, ettet jo käytä VPN: ää, Google-haku Mikä on IP-osoitteeni. Ota sen näyttämä osoite ja asetaetäIP-osoite siihen. Jätä portin numero.
remote 107.150.28.83 1194 #That IP ironically is a VPN
Muuta sertifikaatit vastaamaan luomiasi todistuksia, aivan kuten teit palvelimen kanssa.
ca ca.crt cert client.crt key client.key
Etsi käyttäjän asetukset ja poista kommentit niistä. On hieno ajaa asiakkaita nimelläkukaan.
user nobody group nogroup
Kommentoitls-authvaihtoehto HMAC: lle.
tls-auth ta.key 1
Seuraavaksi etsisalausja varmista, että se vastaa palvelinta.
cipher AES-256-CBC
Lisää sitten vain todennuksen tiivistelmä ja salausrajoitukset tiedoston alaosaan.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Kun kaikki näyttää oikealta, tallenna tiedosto ja poistu. Käyttäätervapakata kokoonpano ja sertifikaatit, jotta voit lähettää ne asiakkaalle.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C /etc/openvpn/certs/keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Siirrä paketti asiakkaalle valitsemallasi tavalla. SFTP, FTP ja USB-asema ovat kaikki upeita vaihtoehtoja.
Portin uudelleenohjaus
Jotta mikä tahansa näistä toimisi, sinun on määritettävä reitittimesi lähettämään saapuva VPN-liikenne Pi: lle. Jos käytät jo VPN: ää, sinun on varmistettava, että et muodosta yhteyttä samaan porttiin. Jos olet, muuta asiakas- ja palvelinkokoonpanojen porttia.
Muodosta yhteys reitittimesi verkkoliittymään kirjoittamalla sen IP-osoite selaimeesi.
Jokainen reititin on erilainen. Silti heillä kaikilla on oltava jonkinlainen toiminto. Löydä se reitittimestäsi.
Asennus on periaatteessa sama kaikilla reitittimillä. Syötä aloitus- ja lopetusportit. Niiden tulisi olla samat kuin toiset ja määrittämäsi kokoonpanot. Määritä sitten IP-osoitteeksi Raspberry Pi: n IP-osoite. Tallenna muutokset.
Yhdistä asiakkaaseen
Jokainen asiakas on erilainen, joten universaalia ratkaisua ei ole. Jos käytät Windowsia, tarvitset Windowsin OpenVPN-asiakasohjelma .
Androidissa voit avata tarballisi ja siirtää avaimet puhelimeesi. Asenna sitten OpenVPN-sovellus. Avaa sovellus ja liitä tiedot kokoonpanotiedostostasi. Valitse sitten avaimesi.
Linuxissa sinun on asennettava OpenVPN paljon kuten palvelimellesi.
$ sudo apt install openvpn
Vaihda sitten/ etc / openvpnja pura lähettämäsi tarball.
$ cd /etc/openvpn $ sudo tar xJf /path/to/client.tar.xz
Nimeä asiakastiedosto uudelleen.
$ sudo mv client.ovpn client.conf
Älä käynnistä asiakasta vielä. Se epäonnistuu. Sinun on ensin otettava käyttöön portin edelleenlähetys reitittimessä.
Päätösajatukset
Sinulla pitäisi nyt olla toimiva asennus. Asiakkaasi muodostaa yhteyden suoraan reitittimen kautta Pi: hen. Sieltä voit jakaa ja muodostaa yhteyden virtuaaliverkkosi kautta, kunhan kaikki laitteet ovat yhteydessä VPN: ään. Rajaa ei ole, joten voit aina liittää kaikki tietokoneesi Pi VPN: ään.
