מדוע להשתמש ב- VPN כדי לגשת לביתך
קישורים מהירים
- מדוע להשתמש ב- VPN כדי לגשת לביתך
- הגדר את ה- Pi
- התקן את Raspbian
- הגדר את OpenVPN
- רשות אישורים
- הפוך כמה מפתחות
- תצורת שרת
- הפעל את השרת
- הגדרת לקוח
- תצורת לקוח
- שילוח נמל
- התחבר ללקוח
- מחשבות סוגרות
ישנן המון סיבות לכך שתרצה לגשת לרשת הביתית שלך מרחוק, והדרך הטובה ביותר לעשות זאת היא עם שרת VPN. חלק מהנתבים מאפשרים לך למעשה להגדיר שרת VPN ישירות בתוך הנתב, אך בהרבה מקרים תצטרך להגדיר שרת עצמך.
Pi פטל הוא דרך נהדרת להשיג זאת. הם לא דורשים הרבה אנרגיה כדי להפעיל, ויש להם מספיק כוח כדי להריץ שרת VPN. אתה יכול להגדיר אחד ליד הנתב שלך ובעצם לשכוח ממנו.
כשיש לך גישה לרשת הביתית שלך מרחוק, אתה יכול להגיע לקבצים שלך מכל מקום. אתה יכול להריץ את המחשבים הביתיים שלך מרחוק. אתה יכול אפילו להשתמש בחיבור ה- VPN של הבית שלך מהדרך. הגדרה כזו מאפשרת לטלפון, לטאבלט או למחשב הנייד שלכם להתנהג ממש כמו שהיה בבית מכל מקום.
הגדר את ה- Pi
לפני שתוכל להתחיל להתקין את ה- VPN, תצטרך להגדיר את ה- Raspberry Pi שלך. עדיף להגדיר את ה- Pi עם כרטיס זיכרון עם מארז וכושר זיכרון בגודל הגון, 16 ג'יגה-בייט צריך להיות מספיק. במידת האפשר, חבר את ה- Pi שלך לנתב שלך עם כבל Ethernet. זה ימזער את כל העיכובים ברשת.
התקן את Raspbian
מערכת ההפעלה הטובה ביותר לשימוש ב- Pi שלך היא Raspbian. זוהי בחירת ברירת המחדל שהוצגה על ידי קרן Raspberry Pi והיא מבוססת על דביאן, אחת הגרסאות הלינוקסיות המאובטחות והיציבות ביותר.
עבור אל דף ההורדה של Rasbian, וקח את הגרסה האחרונה. אתה יכול להשתמש בגרסת "Lite" כאן, מכיוון שאינך זקוק למעשה לשולחן עבודה גרפי.
בזמן ההורדה, קבל את הגרסה האחרונה של Etcher עבור מערכת ההפעלה שלך. לאחר סיום ההורדה, הוציאו את תמונת Raspbian. ואז, פתח את אתר. בחר בתמונה Raspbian ממנה חילצת אותה. בחר את כרטיס ה- SD שלך (הכנס אותו תחילה). לבסוף, כתוב את התמונה לכרטיס.
השאר את כרטיס ה- SD במחשב שלך בסיום. פתח מנהל קבצים ודפדף לכרטיס. אתה אמור לראות כמה מחיצות שונות. חפש את מחיצת "האתחול". זה זה עם קובץ "kernel.img". צור קובץ טקסט ריק במחיצת "אתחול", וקרא לו "ssh" ללא סיומת קובץ.
סוף סוף תוכלו לחבר את ה- Pi שלכם. ודא שתחבר אותו לאחרונה. אתה לא תצטרך מסך, מקלדת או עכבר. אתה הולך לגישה מרחוק ל- Raspberry Pi דרך הרשת שלך.
תן לפי כמה דקות להגדיר את עצמו. לאחר מכן, פתח דפדפן אינטרנט ונווט אל מסך הניהול של הנתב שלך. מצא את ה- Raspberry Pi וציין את כתובת ה- IP שלו.
בין אם אתה נמצא ב- Windows, Linux או Mac, פתח את OpenSSH. התחבר ל- Pasp פטל עם SSH.
$ ssh
ברור, השתמש בכתובת ה- IP בפועל של ה- Pi. שם המשתמש הוא תמיד pi, והסיסמה היא פטל.
הגדר את OpenVPN
OpenVPN אינו בדיוק פשוט להגדרה כשרת. החדשות הטובות הן שאתה צריך לעשות זאת רק פעם אחת. לכן, לפני שתתחברו, וודאו כי Raspbian מעודכן לחלוטין.
עדכון $ sudo apt. שדרוג
לאחר סיום העדכון, באפשרותך להתקין את OpenVPN ואת כלי האישור הדרוש לך.
$ sudo apt להתקין openvpn easy-rsa
רשות אישורים
על מנת לאמת את המכשירים שלך כאשר הם מנסים להתחבר לשרת, עליך להגדיר רשות אישורים ליצירת מפתחות חתימה. מקשים אלה יבטיחו שרק המכשירים שלך יוכלו להתחבר לרשת הביתית שלך.
ראשית, צור מדריך לתעודות שלך. עבור לספרייה זו.
$ sudo make-cadir / etc / openvpn / certs $ cd / etc / openvpn / certs
חפש סביב קבצי תצורת OpenSSL. לאחר מכן, קשר את האחרון עם opensl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
באותה תיקיית "certs" הוא קובץ שנקרא "vars." פתח את הקובץ הזה בעורך הטקסט שלך. ננו הוא ברירת המחדל, אך אל תהסס להתקין את Vim, אם אתה מרגיש בנוח יותר עם זה.
מצא תחילה את המשתנה KEY_SIZE. הוא מוגדר כברירת מחדל ל- 2048. שנה אותו ל- 4096.
ייצא KEY_SIZE = 4096
החסימה העיקרית שעליך לטפל בה קובעת מידע על רשות האישורים שלך. זה עוזר אם מידע זה מדויק, אבל כל מה שאתה יכול לזכור זה בסדר.
export KEY_COUNTRY = "US" ייצוא KEY_PROVINCE = "CA" ייצוא KEY_CITY = "SanFrancisco" ייצוא KEY_ORG = "Fort-Funston" ייצוא KEY_EMAIL = "" ייצא KEY_OU = "MyOrganizationalUnit" ייצוא KEY_NAME = "HomeVPN"
כשיש לך הכל, שמור וצא.
חבילת ה- Easy-RSA שהתקנת לפני כן מכילה הרבה סקריפטים המסייעים בהגדרת כל מה שאתה צריך. אתה רק צריך לנהל אותם. התחל על ידי הוספת קובץ "vars" כמקור. זה יטען את כל המשתנים שהגדרת זה עתה.
מקור sudo ./vars
בשלב הבא, נקו את המפתחות. אין לך כאלה, אז אל תדאג מההודעה שתודיע לך שהמפתחות שלך יימחקו.
$ sudo ./clean-install
לבסוף, בנה את רשות האישורים שלך. כבר הגדרת את ברירת המחדל, כך שתוכל לקבל את ברירות המחדל שהיא מציגה. זכור להגדיר סיסמה חזקה ולענות "כן" על שתי השאלות האחרונות, בעקבות הסיסמה.
הפוך כמה מפתחות
עברת את כל הבעיות האלה כדי להגדיר רשות אישורים כדי שתוכל לחתום על מפתחות. עכשיו הגיע הזמן להכין. התחל בבניית המפתח לשרת שלך.
שרת $ sudo ./build-key-server
בשלב הבא, בנה את PEM של דיפי-הלמן. זה מה ש- OpenVPN משתמשת בכדי לאבטח את חיבורי הלקוח שלך לשרת.
$ sudo openssl dhparam 4096> /etc/openvpn/dh4096.pem
המפתח האחרון הדרוש לך מעכשיו נקרא מפתח HMAC. OpenVPN משתמש במפתח זה כדי לחתום על כל חבילת מידע נפרדת המוחלפת בין הלקוח לשרת. זה עוזר למנוע סוגים מסוימים של התקפות על החיבור.
$ sudo openvpn - genkey --secret /etc/openvpn/certs/keys/ta.key
תצורת שרת
יש לך את המפתחות. היצירה הבאה בהגדרת OpenVPN היא תצורת השרת עצמה. למרבה המזל, אין כל כך הרבה מה שאתה צריך לעשות כאן. Debian מספקת תצורת בסיס שבה אתה יכול להשתמש כדי להתחיל. אז התחל בקבלת קובץ תצורה זה.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
השתמש שוב בעורך הטקסט כדי לפתוח /etc/openvpn/server.conf. הדברים הראשונים שאתה צריך למצוא הם קבצי ca, cert ומפתח. עליכם להגדיר אותם כך שיתאימו למיקומם של הקבצים שיצרתם בפועל, וכולם בתוך / etc / openvpn / certs / מפתחות.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # יש לשמור את הקובץ בסוד
מצא את ההגדרה dh, ושנה אותה כך שתתאים ל- Diffie-Hellman .pem שיצרת.
dh dh4096.pem
קבע גם את הנתיב למפתח HMAC שלך.
tls-autor /etc/openvpn/certs/keys/ta.key 0
מצא את הצופן וודא שהוא תואם את הדוגמה למטה.
צופן AES-256-CBC
שתי האפשרויות הבאות קיימות, אך הן עונות עם; הסר את הפסיקות לפני כל אפשרות כדי לאפשר אותן.
דחוף "שער הפניה מחדש def1 עקיפה-dhcp" דחוף "אפשרות אפשרות dhcp DNS 208.67.222.222" דחוף "אפשרות dhcp DNS 208.67.220.220"
חפש את אפשרויות המשתמש והקבוצה. בטל את ההסרה שלהם ולשנות את המשתמש ל "openvpn."
משתמש openvpn קבוצה - -
לבסוף, שתי השורות האחרונות אינן בתצורת ברירת המחדל. יהיה עליך להוסיף אותם בסוף הקובץ.
הגדר את עיכול האימות כדי לציין הצפנה חזקה יותר לאימות משתמשים.
# אימות Digest Authority SHA512
לאחר מכן, הגביל את הצ'יפים שבהם OpenVPN יכול להשתמש רק לחזקים יותר. זה עוזר להגביל התקפות אפשריות על צופים חלשים.
# צופרים מגבילים TLS-DHE-RSA-With-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-With-AES-256- CBC-SHA: TLS-DHE-RSA-With-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-With-AES-128-CBC-SHA: TLS-DHE-RSA-With-CAMELLIA-128-CBC- ש.א.
זה הכל לתצורה. שמור את הקובץ וצא.
הפעל את השרת
לפני שתוכל להפעיל את השרת, עליך ליצור את אותו openvpn שציינת.
$ Sudo adduser - מערכת - מעטפת / usr / sbin / nologin - לא-ליצור-בית openvpn
זהו משתמש מיוחד רק להפעלת OpenVPN, והוא לא יעשה שום דבר אחר.
כעת, הפעל את השרת.
$ sudo systemctl התחל openvpn $ sudo systemctl start
בדוק ששניהם רצים
סטטוס $ sudo מערכתctl openvpn *. שירות
אם הכל נראה טוב, אפשר אותם בעת ההפעלה.
$ sudo systemctl לאפשר openvpn $ sudo systemctl לאפשר
הגדרת לקוח
השרת שלך מוגדר כעת ופועל. בשלב הבא עליך להגדיר את תצורת הלקוח שלך. זוהי התצורה בה תשתמש לחיבור המכשירים שלך לשרת שלך. חזור לתיקיית Certs והתכונן לבניית מפתח / ות הלקוח. אתה יכול לבחור לבנות מפתחות נפרדים לכל לקוח או מפתח אחד לכל הלקוחות. לשימוש ביתי, מפתח אחד צריך להיות בסדר.
$ cd / etc / openvpn / certs $ sudo מקור ./vars $ sudo ./build-key client
התהליך כמעט זהה לשרת, לכן עקוב אחר אותו נוהל.
תצורת לקוח
התצורה עבור לקוחות דומה מאוד לזו של השרת. שוב, יש לך תבנית שהוכנה מראש לבסיס התצורה שלך. אתה צריך לשנות אותו רק כדי להתאים לשרת.
שנה לספריית הלקוח. לאחר מכן, פרוק את תצורת הדגימה.
$ cd / etc / openvpn / client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
פתח את קובץ client.ovpn עם עורך הטקסט שלך. ואז, מצא את האפשרות המרוחקת. בהנחה שאתה כבר לא משתמש ב- VPN, חפש בגוגל "מה ה- IP שלי." קח את הכתובת שהיא מציגה והגדר את כתובת ה- IP המרוחקת אליה. השאר את מספר היציאה.
מרחוק 107.150.28.83 1194 # ש- IP באופן אירוני זה VPN
שנה את הסרטים כך שישקף את אלה שיצרת, בדיוק כמו שעשית עם השרת.
ca. crt cert client.crt מפתח client.key
מצא את אפשרויות המשתמש, ובטל את ההסרה שלהם. זה בסדר לנהל את הלקוחות כשאיש.
אף אחד לא משתמש בקבוצה
בטל את הבחירה באפשרות tls-authentic עבור HMAC.
tls-autor ta.key 1
בשלב הבא חפש את אפשרות ההצפנה וודא שהיא תואמת את השרת.
צופן AES-256-CBC
לאחר מכן, פשוט הוסף את מגבלות העיכול והצפנה של האימות בתחתית הקובץ.
# אימות Digest Authority SHA512 # הגבלות הצפנה tls-chiffer TLS-DHE-RSA-With-AES-256-GCM-SHA384: TLS-DHE-RSA-With-AES-128-GCM-SHA256: TLS-DHE-RSA-With -AES-256-CBC-SHA: TLS-DHE-RSA-With-CAMELLIA-256-CBC-SHA: TLS-DHE-RSA-With-AES-128-CBC-SHA: TLS-DHE-RSA-With-CAMELLIA -128-CBC-SHA
כאשר הכל נראה נכון, שמור את הקובץ וצא ממנו. השתמש בזפת כדי לארוז את התצורה ואת ה- Certs, כך שתוכל לשלוח אותם ללקוח.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C / etc / openvpn / certs / מפתחות ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
העבר חבילה זו ללקוח ככל שתבחר. SFTP, FTP וכונן USB הם כולם אפשרויות נהדרות.
שילוח נמל
על מנת שכל אחד מהם יעבוד, עליכם להגדיר את הנתב שלכם להעברת תנועת VPN נכנסת אל ה- Pi. אם אתה כבר משתמש ב- VPN, עליך לוודא שאתה לא מתחבר לאותה יציאה. אם כן, שנה את היציאה בתצורות הלקוח והשרת שלך.
התחבר לממשק האינטרנט של הנתב שלך על ידי הקלדת כתובת ה- IP שלו בדפדפן שלך.
כל נתב שונה. למרות זאת, לכולם צריך להיות צורה כלשהי של פונקציונליות זו. מצא אותו בנתב שלך.
ההתקנה זהה למעשה בכל נתב. הזן את יציאות ההתחלה והסיום. הם צריכים להיות זהים זה לזה זה לזה שתגדיר בתצורות שלך. לאחר מכן, עבור כתובת ה- IP, קבע זאת ל- IP של Raspberry Pi שלך. שמור את השינויים שלך.
התחבר ללקוח
כל לקוח הוא שונה, ולכן אין פיתרון אוניברסאלי. אם אתה נמצא ב- Windows, תזדקק ללקוח Windows OpenVPN .
באנדרואיד, אתה יכול לפתוח את הכדור שלך ולהעביר את המפתחות לטלפון שלך. לאחר מכן התקן את אפליקציית OpenVPN. פתח את האפליקציה וחבר את המידע מקובץ התצורה שלך. ואז בחר את המקשים שלך.
ב- Linux אתה צריך להתקין את OpenVPN הרבה כמו שעשית לשרת.
$ sudo apt להתקין openvpn
לאחר מכן, השתנה ל- / etc / openvpn, ופרק את הכדור ששלחת.
$ cd / etc / openvpn $ sudo tar xJf /path/to/client.tar.xz
שנה את שם קובץ הלקוח.
$ sudo mv client.ovpn client.conf
אל תפתח את הלקוח עדיין. זה ייכשל. ראשית עליך לאפשר העברת יציאות בנתב שלך.
מחשבות סוגרות
כעת אמורה להיות לך הגדרת עבודה. הלקוח שלך יתחבר ישירות דרך הנתב שלך ל- Pi. משם אתה יכול לשתף ולחבר דרך הרשת הווירטואלית שלך, כל עוד כל המכשירים מחוברים ל- VPN. אין מגבלה, כך שתוכל תמיד לחבר את כל המחשבים שלך ל- VPN של Pi.
