O que é o OpenVPN?
Normalmente, o software e o hardware de VPN custam muito dinheiro para serem implementados. Se você ainda não adivinhou, o OpenVPN é uma solução VPN de código aberto que é gratuita. Tomato, juntamente com o OpenVPN, é uma solução perfeita para quem quer uma conexão segura entre duas redes sem ter que abrir sua carteira. Claro, o OpenVPN não vai funcionar de imediato. É preciso um pouco de ajustes e configurações para acertar. Não se preocupe; Estamos aqui para facilitar o processo para você, então tome uma xícara de café quente e vamos começar.
Para mais informações sobre o OpenVPN, visite o oficial O que é o OpenVPN? página.
Pré-requisitos
Este guia pressupõe que você esteja executando o Windows 7 no seu PC e que esteja usando uma conta administrativa. Se você é um usuário de Mac ou Linux, este guia lhe dará uma ideia de como as coisas funcionam, no entanto, talvez você precise fazer um pouco mais de pesquisa por conta própria para melhorar as coisas. Além disso, estaremos instalando uma versão especial do Tomato chamado TomatoUSB VPN em um roteador Linksys WRT54GL versão 1.1. Para descobrir se o seu roteador é compatível com TomatoUSB, confira a página Build Types.
O início deste guia pressupõe que você tenha:
- o firmware Linksys original instalado no seu roteador ou
- o firmware Tomato que descrevemos em nosso último artigo
Anote o texto acima de determinadas etapas, indicando se é para o firmware Linksys ou para o firmware Tomato.
Instalando o TomatoUSB
Em um artigo anterior, discutimos como instalar o firmware Tomato v1.28 original do site da PolarCloud. Infelizmente, essa versão do Tomato não veio com o suporte do OpenVPN, por isso vamos instalar uma nova versão chamada TomatoUSB VPN.
A primeira coisa que você vai querer fazer é ir até a homepage do TomatoUSB e clicar no link Download Tomato USB.
Baixar VPN debaixo de Kernel 2.4 (estável) seção. Salve o arquivo.rar no seu computador.
Você precisará de um programa para extrair o arquivo.rar. Sugerimos usar o WinRAR, já que é gratuito e fácil de usar. Você pode fazer o download de uma cópia da versão gratuita em seu site. Depois de instalar o WinRAR, clique com o botão direito no arquivo que você baixou e clique em Extrair Aqui. Você deve então ver dois arquivos chamados CHANGELOG e tomate-NDUSB-1.28.8754-vpn3.6.trx.
Se você está executando o firmware da Linksys …
Abra seu navegador e insira o endereço IP do seu roteador (o padrão é 192.168.1.1). Você receberá um nome de usuário e uma senha. Os padrões para um Linksys WRT54GL são “admin” e “admin”.
Clique no botão Procurar e navegue até os arquivos extraídos do TomatoUSB VPN. Selecione os tomate-NDUSB-1.28.8754-vpn3.6.trx arquivo e clique no botão Atualizar na interface da Web. Seu roteador começará a instalar o TomatoUSB VPN e levará menos de um minuto para ser concluído. Após cerca de um minuto, abra um prompt de comando e digite ipconfig –release para determinar o novo endereço IP do seu roteador. Então digite ipconfig –renew. O endereço IP à direita do Gateway padrão… é o endereço IP do seu roteador.
Nota: Depois de instalar o Tomato, vá para Administration> Configuration e selecione “Erase all NVRAM…”.
Se você estiver executando o firmware do Tomato…
Abra seu navegador e insira o endereço IP do seu roteador. Assumimos que, se você instalou o Tomato, você sabe o endereço IP do seu roteador. Se você não tem certeza, provavelmente é o padrão 192.168.1.1. Depois, digite seu nome de usuário e senha.
Agora é hora de atualizar o Tomato para o TomatoUSB VPN. Clique em Atualizar na coluna da esquerda e clique no botão Escolher arquivo. Navegue até os arquivos que extraímos anteriormente e escolha o tomate-NDUSB-1.28.8754-vpn3.6.trx Arquivo. Em seguida, clique no botão de atualização.
Pode ter o mesmo ou um endereço IP diferente depois de ser reiniciado.No nosso caso, a configuração do roteador ainda era a mesma, portanto nosso endereço IP ainda era o mesmo. Para determinar o novo endereço IP do seu roteador, abra um prompt de comando e digite ipconfig –release. Então digite ipconfig –renew. O endereço IP à direita do Gateway padrão… é o endereço do seu roteador. Se a configuração estiver de volta aos padrões, volte para a página Configuração (Administração> Configuração) e clique no botão Escolher Arquivo em Restaurar Configuração. Procure o arquivo.cfg que você salvou no seu computador anteriormente e clique no botão Restaurar.
Configurando o OpenVPN
Se você tinha firmware Linksys ou firmware Tomato instalado, agora você deve ter o novo TomatoUSB VPN instalado no seu roteador. Você observará alguns novos menus na coluna da esquerda, incluindo Uso da Web, USB e NAS e Tunelamento de VPN. Para este guia, estamos preocupados apenas com o menu de túnel VPN. Em seguida, clique em Tunelamento VPN. Mantenha esta janela do navegador aberta; Voltaremos em breve.
Criando os Certificados e Chaves
Clique no botão Iniciar do Windows e navegue até Acessórios. Você verá o programa Prompt de Comando. Clique com o botão direito e clique em Executar como administrador.
No prompt de comando, digite cd c: Arquivos de programas (x86) OpenVPN easy-rsa se você estiver executando o Windows 7 de 64 bits, como visto abaixo. Tipo cd c: Arquivos de programas OpenVPN easy-rsa se você estiver executando o Windows 7 de 32 bits. Em seguida, pressione Enter.
Agora digite init-config e pressione Enter para copiar dois arquivos chamados vars.bat e openssl.cnf para a pasta easy-rsa. Mantenha seu comando pronto, pois retornaremos em breve.
Navegar para C: Arquivos de Programas (x86) OpenVPN easy-rsa (ou C: Arquivos de Programas OpenVPN easy-rsa no Windows 7 de 32 bits) e clique com o botão direito no arquivo chamado vars.bat. Clique em Editar para abri-lo no Bloco de Notas. Como alternativa, recomendamos abrir esse arquivo com o Notepad ++, pois ele formata muito melhor o texto no arquivo. Você pode baixar o Notepad ++ de sua página inicial.
A parte inferior do arquivo é o que nos interessa. Começando na linha 31, mude o KEY_COUNTRY valor, KEY_PROVINCE valor, etc. para o seu país, província, etc. Por exemplo, mudamos a nossa província para “IL”, cidade para “Chicago”, org para “HowToGeek”, e email para nosso próprio endereço de e-mail. Além disso, se você estiver executando o Windows 7 de 64 bits, altere CASA valor na linha 6 para % ProgramFiles (x86)% OpenVPN easy-rsa. Não altere esse valor se você estiver executando o Windows 7 de 32 bits. O arquivo deve ser semelhante ao nosso abaixo (com seus respectivos valores, é claro). Salve o arquivo sobrescrevendo-o depois de concluir a edição.
Volte para o seu prompt de comando e digite vars e pressione Enter. Então digite limpar tudo e pressione Enter. Finalmente, digite construir-ca e pressione Enter.
Depois de executar o construir-ca comando, você será solicitado a inserir o seu nome de país, estado, localidade, etc. Uma vez que já configuramos esses parâmetros em nosso vars.bat arquivo, podemos ignorar essas opções pressionando Enter, mas! Antes de começar a bater na tecla Enter, atente para o parâmetro Common Name. Você pode inserir qualquer coisa neste parâmetro (ou seja, seu nome). Apenas certifique-se de digitar alguma coisa. Esse comando gerará dois arquivos (um certificado CA raiz e uma chave CA raiz) na pasta easy-rsa / keys.
Agora vamos criar uma chave para um cliente. No mesmo tipo de prompt de comando chave de compilação client1. Você pode alterar "client1" para qualquer coisa que desejar (por exemplo, Acer-Laptop). Só não se esqueça de digitar o mesmo nome que o nome comum quando solicitado. Por exemplo, quando você executa o comando chave de compilação Acer-Laptop, seu nome comum deve ser "Acer-Laptop". Percorra todos os padrões, como o último passo que fizemos (com exceção do Common Name, é claro). No entanto, no final, você será solicitado a assinar o certificado e a se comprometer. Digite "y" para ambos e clique em Enter.
Além disso, não se preocupe se você recebeu o erro "não foi possível gravar o estado aleatório". Eu percebi que seus certificados ainda são feitos sem problemas. Este comando produzirá dois arquivos (uma Client1 Key e um Client1 Certificate) na pasta easy-rsa / keys. Se você quiser criar outra chave para outro cliente, repita a etapa anterior, mas certifique-se de alterar o nome comum.
O último certificado que geraremos é a chave do servidor. No mesmo prompt de comando, digite servidor de chaves de compilação servidor. Você pode substituir "servidor" no final do comando por qualquer coisa que você queira (por exemplo, HowToGeek-Server). Como sempre, certifique-se de digitar o mesmo nome que o nome comum quando solicitado. Por exemplo, quando você executa o comando Construir-chave-servidor HowToGeek-Server, seu nome comum deve ser "HowToGeek-Server". Pressione Enter e percorra todos os padrões, exceto Common Name. No final, digite "y" para assinar o certificado e confirmar. Este comando produzirá dois arquivos (uma chave do servidor e um certificado do servidor) na pasta easy-rsa / keys.
No mesmo tipo de prompt de comando construir-dh. Este comando irá mostrar um arquivo (dh1024.pem) na pasta easy-rsa / keys.
Criando os arquivos de configuração para o cliente
Antes de editarmos qualquer arquivo de configuração, devemos configurar um serviço DNS dinâmico. Utilize este serviço se o seu ISP emitir um endereço IP externo dinâmico de tempos em tempos. Se você tiver um endereço IP externo estático, pule para a próxima etapa.
Sugerimos usar o DynDNS.com, um serviço que permite apontar um nome de host (ou seja, howtogeek.dyndns.org) para um endereço IP dinâmico. É importante que a OpenVPN sempre conheça o endereço IP público da sua rede e, usando o DynDNS, o OpenVPN sempre saberá como localizar sua rede, independentemente do seu endereço IP público. Inscreva-se para um hostname e aponte-o para o seu endereço IP público. Depois de se inscrever no serviço, não se esqueça de configurar o serviço de atualização automática no Tomato, em Básico> DDNS.
Agora de volta para configurar o OpenVPN. No Windows Explorer, navegue para C: Arquivos de Programas (x86) OpenVPN sample-config se você estiver executando o Windows 7 de 64 bits ou C: Arquivos de Programas OpenVPN sample-config Se você estiver executando o Windows 7 de 32 bits. Nessa pasta, você encontrará três arquivos de configuração de amostra. nós só estamos preocupados com o client.ovpn Arquivo.
Clique com o botão direito em client.ovpn e abra-o com o Notepad ou o Notepad ++. Você perceberá que seu arquivo será semelhante à imagem abaixo:
No entanto, queremos nosso client.ovpn arquivo para ser semelhante a isto imagem abaixo. Certifique-se de alterar o nome do host DynDNS para seu nome de host na linha 4 (ou altere-o para seu endereço IP público, se você tiver um endereço estático). Deixe o número da porta para 1194, pois é a porta padrão do OpenVPN. Além disso, lembre-se de alterar as linhas 11 e 12 para refletir o nome do arquivo de certificado e do arquivo de chave do seu cliente. Salve este arquivo como novo arquivo.ovpn na pasta OpenVPN / config.
Configurando o tunelamento de VPN do Tomato
A idéia básica agora é copiar os certificados e chaves do servidor que fizemos anteriormente e colá-los nos menus do servidor Tomato VPN. Em seguida, verificaremos algumas configurações no Tomato, testaremos a conexão VPN e poderemos lavar nossas mãos e encerrá-las um dia!
Abra um navegador e navegue até o seu roteador. Clique no menu VPN Tunneling na barra lateral esquerda. Certifique-se de que Server1 e Basic também estejam selecionados. Configure suas configurações exatamente como aparecem abaixo. Clique em Salvar.
Atualização: O modo padrão é TUN, ou túnel, mas você provavelmente deseja alterá-lo para TAP, que faz a ponte na rede. O modo de túnel colocará seus clientes externos em uma rede diferente da rede interna. Então mude definitivamente o tipo de interface para o TAP.
Nosso último passo é colar as chaves e os certificados que criamos originalmente. Abra a guia Chaves ao lado de Avançado. No Windows Explorer, navegue para C: Arquivos de Programas (x86) OpenVPN easy-rsa keys no Windows 7 de 64 bits (ou C: Arquivos de Programas OpenVPN easy-rsa keys no Windows 7 de 32 bits). Abra cada arquivo correspondente abaixo (ca.crt, server.crt, server.keye dh1024.pem) com o Notepad ou Notepad ++ e copie o conteúdo. Cole o conteúdo nas caixas correspondentes, como visto abaixo. Devo observar que você só precisa colar tudo abaixo - BEGIN CERTIFICATE - no server.crt. O OpenVPN ainda funcionará corretamente se você colar o arquivo inteiro, mas é mais "limpo" apenas colando as informações reais do certificado. Clique em Salvar e, em seguida, clique em Iniciar agora.
Configurando um cliente OpenVPN
Neste exemplo, usaremos um laptop com Windows 7 como nosso cliente. A primeira coisa que você vai querer fazer é instalar o OpenVPN no seu cliente como fizemos acima nos primeiros passos em Configurando o OpenVPN. Então navegue para C: Arquivos de Programas OpenVPN config que é onde vamos colar nossos arquivos.
Agora temos que voltar ao nosso computador original e coletar um total de quatro arquivos para copiar para o nosso laptop cliente. Navegar para C: Arquivos de Programas (x86) OpenVPN easy-rsa keys novamente e copie ca.crt, client1.crte client1.key. Cole esses arquivos no cliente config pasta.
Finalmente, precisamos copiar mais um arquivo. Navegar para C: Arquivos de Programas (x86) OpenVPN config e copie o novo arquivo client.ovpn que criamos anteriormente. Cole este arquivo no cliente config pasta também.
Testando o cliente OpenVPN
No laptop do cliente, clique no botão Iniciar do Windows e navegue até Todos os Programas> OpenVPN. Clique com o botão direito do mouse no arquivo GUI do OpenVPN e clique em Executar como administrador. Observe que você sempre deve executar o OpenVPN como um administrador para que ele funcione corretamente. Para definir permanentemente o arquivo para sempre ser executado como administrador, clique com o botão direito do mouse no arquivo e clique em Propriedades. Na guia Compatibilidade, selecione Executar este programa como administrador.
O ícone da GUI do OpenVPN aparecerá ao lado do relógio na barra de tarefas. Clique com o botão direito no ícone e clique em Conectar. Como só temos um arquivo.ovpn em nosso config pasta, o OpenVPN se conectará a essa rede por padrão.
Imagem pelo Ewan