Guida: configurazione di openvpn su router asus

Il server OpenVPN su questi router è una funzionalità che è iniziata con l'eccellente mod del firmware RMerlin (basato a sua volta sull'implementazione OpenVPN fatta sul relativamente popolare firmware del router Tomato), fortunatamente dalla versione 374.2050 del firmware ufficiale questo L'opzione è inclusa per impostazione predefinita ed è estremamente semplice da configurare.

Ciò non significa che non possiamo configurare tutti i dettagli come in passato, ma diverse attività noiose sono automatizzate, come la generazione di chiavi pubbliche e private che in precedenza dovevano essere eseguite manualmente, consentendo l'autenticazione del certificato senza la necessità di troppo tempo o conoscenza per l'utente.

Perché usare OpenVPN invece del solito server PPTP?

La risposta è semplice, è un metodo molto più sicuro (vedi) rispetto al server PPTP che viene comunemente utilizzato negli ambienti domestici e nei router grazie alla sua semplicità, è relativamente standard, non è significativamente più costoso in termini di risorse, è molto più flessibile e sebbene Qualcosa di noioso da installare è molto comodo quando si ha familiarità con l'ambiente.

In effetti, è facile configurare un server PPTP su un computer Windows, senza installare alcun software aggiuntivo, seguendo le guide come quella disponibile su. Ma molto meglio configurarlo sul router, che oltre a salvarci il requisito di reindirizzare le porte e creare regole del firewall, accetta sempre connessioni. E se può essere più sicuro di PPTP, cioè il metodo che spiegheremo con OpenVPN, molto meglio.

Nota: è anche possibile configurare un server OpenVPN su un normale PC, nel caso in cui non si disponga di un router con questo firmware o compatibile con DD-WRT / OpenWRT. Per gli utenti interessati a questo punto, raccomandiamo di seguire l'articolo corrispondente sul wiki di Debian, che dettaglia perfettamente i passi da seguire

Manuale di configurazione passo dopo passo

Non si tratta di una guida alla configurazione esaustiva, ma di un primo contatto con un server di base in esecuzione che può essere successivamente configurato per adattarsi a ciascun utente.

I passaggi da seguire sono i seguenti:

1. Ci connettiamo al router da qualsiasi browser, inserendo l'IP nella barra degli indirizzi (per impostazione predefinita 192.168.1.1, sebbene in questa guida sarà 10.20.30.1), identificandoci con il nostro nome utente e password (per impostazione predefinita admin / admin sui router Asus, ma se stiamo seguendo questa guida, dovrebbero volerci del tempo per cambiare) Andiamo al menu VPN tra le opzioni avanzate e nella scheda OpenVPN selezioniamo la prima istanza (Server 1), spostiamo l'interruttore in posizione ON. Non è necessario, ma si consiglia di aggiungere utenti per la nostra VPN, in questo caso abbiamo scelto test / test come utente / password, ovviamente consigliamo di utilizzare una password più solida per usarlo in un ambiente reale. Facciamo clic sul pulsante "+" per aggiungere l'utente e possiamo già applicare le modifiche con il pulsante Applica situato nella parte inferiore della pagina.

   

   OPZIONALE Quando si attiva il server, viene visualizzato un menu a discesa in cui è possibile selezionare Configurazione avanzata e modificare i parametri di cui abbiamo bisogno. Nel nostro caso, useremo la configurazione predefinita. Se vogliamo forzare l'uso di nome utente e password, questo è il posto giusto per farlo

   

   Per gli utenti che desiderano una configurazione completamente manuale, è possibile generare i propri certificati / chiavi per gli utenti che desideriamo utilizzare easy-rsa, come descritto in. In questo caso, il più semplice è generare le chiavi dal PC e configurare i tre valori necessari facendo clic sul seguente link (chiavi è una cattiva traduzione di "chiavi", chiavi, nel firmware):

   

   Questo tipo di configurazione è piuttosto avanzato, quindi si consiglia agli utenti che desiderano avventurarsi in esso di configurare e testare prima un server con chiavi autogenerate. Non è buona norma per un neofita configurare il server in questo modo senza esperienza precedente.

1. Abbiamo già il server funzionante. Ora dobbiamo trasferire i certificati ai client per una connessione sicura. Puoi vedere esempi dettagliati dei file server.conf e client.conf (rispettivamente client.ovpn e server.ovpn in Windows) con commenti e documentazione, ma nel nostro caso è molto più facile usare il pulsante Esporta

   Il file che otterremo sarà simile a questo (chiavi cancellate per sicurezza):

   

   Il parametro che ho contrassegnato è l'indirizzo del nostro server, che probabilmente non è stato configurato correttamente in alcuni casi in cui il DDNS non "conosce" l'indirizzo a cui punta (come nel mio caso, utilizzo Dnsomatic per avere un indirizzo che punta sempre al mio IP dinamico).

   Sebbene la configurazione corretta sia questa, con un indirizzo fisso, non c'è alcun problema se non si dispone di un DDNS configurato, per il test è possibile compilare questo campo con l'IP WAN del nostro router (l'IP esterno, cioè quello che può essere vedi su http://cualesmiip.com o http://echoip.com), con il rovescio della medaglia che ogni volta che cambia il nostro IP dobbiamo modificare il documento per rispecchiarlo. Poiché la connessione è al router, ovviamente non dobbiamo reindirizzare le porte, dobbiamo solo configurare il client. Scarichiamo l'ultima versione dal suo sito Web https://openvpn.net/index.php/download/community-downloads.html, nel nostro caso sarà Windows e 64 bit. L'installazione è semplice e non la dettagliamo. Per uso generale non è necessario modificare nessuna delle opzioni predefinite.

   

   Ora, a seconda della versione installata, dobbiamo copiare il file che abbiamo precedentemente esportato (lo abbiamo chiamato client1.ovpn) nella directory di configurazione del client. Su Windows, questa directory sarà Programmi / OpenVPN / config / (Programmi (x86) / OpenVPN / config / nel caso della versione a 32 bit). Resta solo da eseguire il client come amministratore, ci chiederà un nome utente e una password oltre ai certificati che sono già nel file di configurazione se lo abbiamo configurato per farlo. Altrimenti entriamo direttamente. Se tutto è andato bene, vedremo un record simile a questo nel registro (acquisizione eseguita in uno scenario senza convalida della password). L'icona sullo schermo verde della barra delle applicazioni conferma che siamo connessi e ci informerà dell'IP virtuale assegnato al computer dal quale abbiamo lanciato il client nella VPN.

   

Da questo momento l'apparecchiatura si comporterà come se fosse fisicamente connessa alla rete locale gestita dal router in cui abbiamo configurato il server OpenVPN.

Siamo in grado di monitorare tutte le connessioni di questo tipo dal nostro router. Ad esempio, configurandolo come descritto e connettendosi dal laptop, vedremo qualcosa di simile nella sezione VPN-> Stato VPN

Nota: a volte è problematico connettersi a una VPN dall'interno della nostra rete (logicamente, poiché è un uso piuttosto artificiale tentare di connettere una rete locale con se stessa tramite una VPN), se qualcuno ha problemi con il funzionamento del connessione dopo aver seguito tutti i passaggi, si consiglia vivamente di provare la connessione dati di un telefono cellulare (tramite tethering, ad esempio), con un picco USB 3G / 4G o direttamente da un'altra posizione.

Speriamo che questa guida ti sia utile per aumentare la sicurezza delle tue connessioni alla rete domestica dall'estero. Ti incoraggiamo a lasciare qualsiasi domanda o commento nei commenti.