الدليل: إعداد openvpn على أجهزة راوتر آسوس

خادم OpenVPN على هذه الموجهات هي ميزة بدأت مع تعديل برنامج RMerlin الثابت الممتاز (استنادًا إلى تنفيذ OpenVPN الذي تم إجراؤه على البرامج الثابتة لجهاز التوجيه Tomato الشائعة نسبيًا) ، لحسن الحظ منذ الإصدار 374.2050 من البرنامج الثابت الرسمي هذا يتم تضمين الخيار افتراضيًا ، وهو سهل التكوين للغاية.

هذا لا يعني أنه لا يمكننا تكوين كل التفاصيل كما كان في الماضي ، ولكن العديد من المهام المملة مؤتمتة ، مثل توليد المفاتيح العامة والخاصة التي كان يجب إجراؤها سابقًا يدويًا ، مما يسمح بمصادقة الشهادة دون الحاجة إلى الكثير من الوقت أو المعرفة المستخدم.

لماذا تستخدم OpenVPN بدلاً من خادم PPTP المعتاد؟

الجواب بسيط ، إنها طريقة أكثر أمانًا (انظر) من خادم PPTP شائع الاستخدام في البيئات والموجهات المنزلية بسبب بساطته ، وهو قياسي نسبيًا ، ولا يعد أكثر تكلفة بكثير في الموارد ، وأكثر مرونة بكثير ، وعلى الرغم من شيء ممل لإعداده يكون مريحًا جدًا عندما يكون على دراية بالبيئة.

في الواقع ، من السهل تكوين خادم PPTP على جهاز كمبيوتر يعمل بنظام Windows ، دون تثبيت أي برامج إضافية ، باتباع الأدلة مثل الدليل المتاح على. ولكن من الأفضل بكثير تكوينه على جهاز التوجيه ، والذي بالإضافة إلى توفير متطلبات إعادة توجيه المنافذ وإنشاء قواعد جدار الحماية ، يتم تشغيله دائمًا لقبول الاتصالات. وإذا كان يمكن أن يكون أكثر أمانًا من PPTP ، فهذا يعني أن الطريقة التي سنشرحها باستخدام OpenVPN ، أفضل بكثير.

ملاحظة: يمكنك أيضًا تكوين خادم OpenVPN على جهاز كمبيوتر عادي ، في حالة عدم وجود جهاز توجيه مع هذا البرنامج الثابت أو متوافق مع DD-WRT / OpenWRT. بالنسبة للمستخدمين المهتمين بهذه النقطة ، نوصي باتباع المقالة المقابلة في ويكي ديبيان ، والتي توضح بالتفصيل الخطوات التي يجب اتباعها

دليل التكوين خطوة بخطوة

لا يُقصد بهذا أن يكون دليل تكوين شامل ، ولكن جهة الاتصال الأولى التي لديها خادم أساسي قيد التشغيل يمكن تكوينه لاحقًا ليناسب كل مستخدم.

الخطوات الواجب اتباعها هي التالية:

1. نقوم بالاتصال بجهاز التوجيه من أي متصفح ، وإدخال IP في شريط العنوان (بشكل افتراضي 192.168.1.1 ، على الرغم من أنه في هذا الدليل سيكون 10.20.30.1) ، وتحديد أنفسنا باستخدام اسم المستخدم وكلمة المرور (عن طريق المشرف / المشرف الافتراضي على أجهزة توجيه Asus ، ولكن إذا كنا نتبع هذا الدليل ، فينبغي أن يستغرق الأمر بعض الوقت للتغيير) نذهب إلى قائمة VPN ضمن الخيارات المتقدمة ، وفي علامة التبويب OpenVPN حدد المثيل الأول (الخادم 1) ، قم بتحريك المفتاح إلى الوضع ON. هذا ليس ضروريًا ، ولكن يوصى بإضافة مستخدمين لشبكة VPN الخاصة بنا ، وفي هذه الحالة اخترنا الاختبارات / الاختبارات كمستخدم / كلمة مرور ، نوصي بالطبع باستخدام كلمة مرور أكثر قوة لاستخدامها في بيئة حقيقية. نضغط على الزر "+" لإضافة المستخدم ويمكننا بالفعل تطبيق التغييرات باستخدام الزر تطبيق الموجود في أسفل الصفحة.

   

   اختياري عند تنشيط الخادم ، نرى ظهور قائمة منسدلة يمكننا من خلالها تحديد التكوين المتقدم وتغيير المعلمات التي نحتاجها. في حالتنا ، سنستخدم التكوين الافتراضي. إذا أردنا فرض استخدام اسم المستخدم وكلمة المرور ، فهذا هو المكان المناسب للقيام بذلك

   

   بالنسبة للمستخدمين الذين يرغبون في تكوين يدوي بالكامل ، من الممكن إنشاء شهادات / مفاتيح خاصة بنا للمستخدمين الذين نريد استخدام easy-rsa ، كما هو موضح في. في هذه الحالة ، أبسطها هو إنشاء المفاتيح من جهاز الكمبيوتر وتهيئة القيم الثلاث الضرورية بالنقر على الرابط التالي (المفاتيح هي ترجمة سيئة لـ "المفاتيح" ، المفاتيح في البرنامج الثابت):

   

   هذا النوع من التهيئة متقدم للغاية ، لذا يوصى بأن يقوم المستخدمون الذين يرغبون في المغامرة فيه بتكوين واختبار خادم باستخدام مفاتيح تم إنشاؤها ذاتيًا أولاً. ليس من الممارسة الجيدة للمبتدئ تكوين الخادم بهذه الطريقة دون خبرة سابقة.

1. لدينا بالفعل الخادم يعمل. الآن نحن بحاجة إلى نقل الشهادات للعملاء من أجل اتصال آمن. يمكنك مشاهدة أمثلة تفصيلية لملفات server.conf و client.conf (على التوالي ، client.ovpn و server.ovpn في Windows) مع التعليقات والوثائق ، ولكن في حالتنا ، من الأسهل بكثير استخدام زر التصدير

   سيبدو الملف الذي سنحصل عليه بهذا الشكل (تم حذف المفاتيح للأمان):

   

   المعلمة التي قمت بتمييزها هي عنوان خادمنا ، والذي ربما لم يتم تكوينه بشكل صحيح في بعض الحالات حيث لا يعرف DDNS العنوان الذي يشير إليه (كما في حالتي ، أستخدم Dnsomatic للحصول على عنوان أشر دائمًا إلى عنوان IP الديناميكي).

   على الرغم من أن التكوين الصحيح مثل هذا ، مع وجود عنوان ثابت ، لا توجد مشكلة إذا لم يكن لديك DDNS مهيأ ، للاختبار يمكنك ملء هذا الحقل بعنوان IP WAN لجهاز التوجيه الخاص بنا (IP الخارجي ، أي عنوان IP الذي يمكن أن يكون انظر على http://cualesmiip.com أو http://echoip.com) ، مع الجانب السلبي أنه في كل مرة يتغير فيها عنوان IP لدينا ، يجب علينا تحرير المستند ليعكسه. نظرًا لأن الاتصال بالموجه ، فمن الواضح أنه لا يتعين علينا إعادة توجيه المنافذ ، علينا فقط تكوين العميل. نقوم بتنزيل أحدث إصدار من موقعها الإلكتروني https://openvpn.net/index.php/download/community-downloads.html ، في حالتنا سيكون Windows و 64 بت. التثبيت بسيط ولن نقوم بتفصيله. للاستخدام العام ، ليس من الضروري تغيير أي من الخيارات الافتراضية.

   

   الآن ، اعتمادًا على الإصدار المثبت ، يجب علينا نسخ الملف الذي قمنا بتصديره مسبقًا (أطلقنا عليه اسم client1.ovpn) إلى دليل تكوين العميل. في نظام التشغيل Windows ، سيكون هذا الدليل هو Program Files / OpenVPN / config / (Program Files (x86) / OpenVPN / config / في حالة الإصدار 32 بت). يبقى فقط لتشغيل العميل كمسؤول ، وسيطلب منا اسم مستخدم وكلمة مرور بالإضافة إلى الشهادات الموجودة بالفعل في ملف التكوين إذا قمنا بتكوينه للقيام بذلك. وإلا ندخل مباشرة. إذا سار كل شيء على ما يرام ، فسوف نرى سجلاً مشابهًا لهذا في السجل (يتم التقاط الصورة في سيناريو دون التحقق من صحة كلمة المرور). يؤكد الرمز الموجود على الشاشة الخضراء لشريط المهام أننا متصلون ، وسيبلغنا عن IP الافتراضي المعين للكمبيوتر الذي أطلقنا منه العميل في VPN.

   

من هذه اللحظة ، ستتصرف المعدات كما لو كانت متصلة فعليًا بالشبكة المحلية المُدارة بواسطة جهاز التوجيه الذي قمنا بتكوين خادم OpenVPN فيه.

يمكننا مراقبة جميع الاتصالات من هذا النوع من جهاز التوجيه الخاص بنا. على سبيل المثال ، بتكوينه كما وصفنا والاتصال من الكمبيوتر المحمول ، سنرى شيئًا مثل هذا في قسم VPN-> VPN Status

ملاحظة: في بعض الأحيان يكون من الصعب الاتصال بشبكة VPN من داخل شبكتنا (منطقيًا ، نظرًا لأنه استخدام مصطنع إلى حد ما لمحاولة توصيل شبكة محلية بنفسها من خلال شبكة افتراضية خاصة) ، إذا كان لدى شخص ما مشاكل في تشغيل الشبكة بعد اتباع جميع الخطوات ، يوصى بشدة بتجربة اتصال البيانات للهاتف المحمول (عبر الربط ، على سبيل المثال) ، مع ارتفاع USB 3G / 4G ، أو مباشرة من موقع آخر.

نأمل أن يكون هذا الدليل مفيدًا لك لزيادة أمان اتصالاتك بالشبكة المنزلية من الخارج. نشجعك على ترك أي أسئلة أو تعليقات في التعليقات.