OpenWrt - OpenVPN server mini howto
hivatkozva:
http://wiki.openwrt.org/doc/howto/vpn.openvpn
http://openvpn.net/index.php/open-source/documentation/howto.html

Alább bemutatom, hogy lehet a Tp-Link 1043ND routerünkön OpenVPN szervert futtatni.
Bridge üzemmódban fogjuk felépíteni a konfigot, ez egyszerűbb és például a távoli samba használatot is megengedi. Ha van működő OpenVPN szervered a routeren, akkor például becsukhatod a távoli ssh és LuCI portokat, mert ezután szinte bárhonnan egyszerűen hozzá tudsz kapcsolódni a belső hálódhoz és azon keresztül a routert is el tudod érni. Azt nem is említem, hogy akár a médialejátszód samba megosztását is csatolni tudod távolról vagy a távoli IP címedet át tudod változtatni az otthonira...
Ez a howto elsősorban annak segítség, aki próbálkozott már ilyesmivel, de sikertelenül. Ha új vagy ebben, először a két belinkelt howto-t tanulmányozd át és utána érthetőbb lesz a dolog.

Router beállítások
1. állítsd át a routert 192.168.1.1-től eltérő, kevésbé gyakori alhálózatra, hogy ne 192.168.1.1-es IP címe legyen, én a példában 192.168.10.1-es címet adtam a routernek, mely ezután a 192.168.10.100-as címtől oszt ki DHCP-n címeket a 192.168.10.0 / 255.255.255.0 belső LAN-on.
(a LAN-odnak ugyanis ritkán használt alhálózaton kell működnie, különben ha távolról egy másik LAN-ból csatlakozol, nagy lesz az esélye hogy az is 192.168.1.x belső címeket használ, és ez IP ütközést/routing problémákat okozna az OpenVPN és a másik távoli LAN között)

2. ha dinamikus IP címed van, regisztrálj pl a no-ip.com-on és állítsd be megfelelően az OpenWrt ddns részét
(ez ahhoz kell, hogy távolról mindig megtaláld az OpenVPN-t futtató routered)

3. telepítsd az openvpn, openvpn-easy-rsa csomagokat
(az utóbbi csak akkor kell, ha tanúsítványokat kell létrehozzál)

4. szerver konfig (a távoli gép a 192.168.10.70-79 tartományból fog címet kapni)
#/etc/config/openvpn tartalma:
config 'openvpn' 'lan'
option 'enable' '1'
option 'port' '1194'
option 'proto' 'udp'
option 'dev' 'tap0'
option 'ca' '/etc/openvpn/ca.crt'
option 'cert' '/etc/openvpn/server.crt'
option 'key' '/etc/openvpn/server.key'
option 'dh' '/etc/openvpn/dh1024.pem'
option 'ifconfig_pool_persist' '/tmp/ipp.txt'
option 'keepalive' '10 120'
option 'comp_lzo' '1'
option 'persist_key' '1'
option 'persist_tun' '1'
option 'status' '/tmp/openvpn-status.log'
option 'verb' '1'
option 'server_bridge' '192.168.10.1 255.255.255.0 192.168.10.70 192.168.10.79'

5. szükség lesz vagy egy static.key-re, vagy amit inkább javaslok: szerver és kliens tanúsítványra (a példámban ezek server.crt, server.key, client.crt, client.key névre hallgatnak), melyet az openvpn-easy-rsa csomaggal készíthetsz el (ennek módját mindkét belinkelt howto bemutatja)
generálás után a routeren az /etc/openvpn mappában a következő fájlok legyenek:
ca.crt
ca.key
dh1024.pem
server.crt
server.key

6. létre kell hozni a tap0 eszközt. Ennek két módja van:
a.) /usr/sbin/openvpn --mktun --dev tap0
b.) szerver config és tanúsítványok létrehozását követően
/etc/init.d/openvpn start

7. a létrehozott tap0 eszközt hozzá kell adni a br-lan hídhoz
LuCI-ból Network / Interfaces / LAN / Edit / Physical Settings alatt a
Ethernet Adapter: "tap0" (lan) mellé be kell tenni egy pipát és Save & Apply

8. át kell engedni a tűzfalon az OpenVPN portját, a példában ez 1194
LuCI-ból Network / Firewall / Rules szekció Add gomb
Name (optional) OpenVPN
Protocol UDP
Destination port 1194
Save & Apply

9. engedélyezzük és elindítjuk az openvpn-t
/etc/init.d/openvpn enable
/etc/init.d/openvpn start
ezzel reboot után is futni fog az openvpn szerver

Távoli kliens beállítások
1. telepítsd fel Windows esetén az OpenVPN GUI-t
http://openvpn.net/index.php/open-source/downloads.html

2. a routerről le kell emelni az /etc/rsa_keys mappából az alábbi fájlokat és biztonságos csatornán keresztül (scp, pendrive, kódolt archívum emailben vagy pl DropBoxban) a távoli gép C:\Program Files\OpenVPN\Config mappájába kell felmásolni
ca.crt
client.crt
client.key

3. létre kell hozni ugyanebben a mappában egy client.ovpn fájlt az alábbi tartalommal
#C:\Program Files\OpenVPN\Config\client.ovpn tartalma:
client
tls-client
dev tap
proto udp

remote my.no-ip.org 1194 # írd ide a regisztrált no-ip.com-os domained vagy a fix IP-d
resolv-retry infinite
nobind

persist-tun
persist-key

ca ca.crt
cert client.crt
key client.key

comp-lzo
verb 1

4. OpenVPN GUI-val csatlakozz és használd egészséggel. Az OpenVPN GUI Win7 és Vista alatt rendszergazdai jogokat szeret, ez tapasztalatom szerint akkor szükséges csak, ha a routing táblát is módosítani szeretnéd (pl. otthoni WAN IP-re szeretnéd cserélni a távoli WAN IP-t).

[ Szerkesztve ]