Quản trị mạng – Đây là phần hai của loạt bài gồm có hai phần giới thiệu về cách thiết lập OpenVPN trên DD-WRT Router. một phương pháp tuyệt vời để thiết lập các kết nối an toàn cho mạng của bạn với các “chiến binh” trên đường hoặc để kết nối các văn phòng từ xa. Giải pháp hiệu quả về giá thành này có thể hỗ trợ hàng tá hoặc hai người dùng VPN.
Thiết lập OpenVPN trên DD-WRT Router – Phần 1
Trong phần 1 của loạt bài, chúng tôi đã upload phần mềm DD-WRT lên router, đã thay đổi địa chỉ IP và subnet của router với một vài lý do và đã tạo các chứng chỉ SSL cho máy chủ và máy khách OpenVPN.
Giờ đây chúng ta sẽ tiếp tục bằng cách kích hoạt OpenVPN server và việc copy trong các chứng SSL. Chúng ta cũng sẽ nhập vào các kịch bản khởi động và firewall. Sau đó sẽ cấu hình máy khách và cuối cùng là test thử.
Cấu hình OpenVPN Server
Chúng ta có thể bắt đầu việc cấu hình OpenVPN server trên DD-WRT router. Bắt đầu bằng cách kết nối đến router. Nhập vào địa chỉ IP mới (192.168.2.1) vào trình duyệt web. Sau đó kích hoạt và cấu hình máy chủ:
- Kích Services > VPN.
- Trong vùng OpenVPN Daemon, kích hoạt Start OpenVPN.
- Với Start Type, chọn WAN Up.
Với các hộp dưới dây, nhập vào nội dung của file chứng chỉ được chỉ định bên dưới:
- Public Server Cert: ca.crt
- Certificate Revoke List: (để trống)
- Public Client Cert: server.crt. Không nhập phần đầu tiên của file. Giống như các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc với -----END CERTIFICATE-----.
- Private Client Key: server.key
- DH PEM: dh1024.pem
- OpenVPN Config: (xem bên dưới)
- OpenVPN TLS Auth: (để trống)
Mở mỗi file chứng chỉ trong Notepad để xem nội dung. Một số file bạn có thể kích phải, chọn Open With và Notepad. Một số bạn có thể phải mở và sau đó chọn Notepad với tư cách là chương trình được mở.
Với hộp OpenVPN Config, nhập vào các tham số cấu hình sau:
mode serverproto udpport 1194dev tap0server-bridge 192.168.2.2 255.255.255.0 192.168.2.200 192.168.2.249keepalive 10 120daemonverb 5client-to-clientdh /tmp/openvpn/dh.pemca /tmp/openvpn/ca.crtcert /tmp/openvpn/cert.pemkey /tmp/openvpn/key.pemmanagement localhost 5001
Khi đã thực hiện xong việc nhập vào tất cả các thông tin này, kích Apply Settings.
Cấu hình Startup và Firewall
Lúc này bạn phải nhập kịch bản khởi động để máy chủ có thể khởi chạy trong quá trình khởi động. Sau đó phải nhập kịch bản tường lửa để lưu lượng VPN có thể băng qua. Trên panel điều khiển DD-WRT, kích Administration > Commands.
Paste đoạn dưới đây và kích Save Startup:
openvpn --mktun --dev tap0brctl addif br0 tap0ifconfig tap0 0.0.0.0 promisc upPaste the following and click Save Firewall:iptables -A INPUT -i tap0 -j ACCEPTiptables -I INPUT -p udp --dport 1194 -j ACCEPT
Khởi động lại router
Lúc này mọi thứ đã được thiết lập cho OpenVPN server trên router, khởi động lại nó. Bạn có thể thực hiện bằng cách rút nguồn router ra một vài giây hoặc thực hiện thông qua control panel bằng cách kích tab Administration và nhấn nút Reboot Router ở phía dưới.
Cấu hình máy khách Windows
Tiếp đến, bạn phải thiết lập các máy khách, các máy tính mà bạn muốn kết nối với VPN server. Bắt đầu bằng cách download và cài đặt OpenVPN trên mỗi máy tính bằng Windows Installer.
Lúc này, mở Notepad và paste vào các tham số cấu hình dưới đây:
remote XXX.XXX.XXX.XXX 1194clientdev tap0proto udpresolv-retry infinitenobindpersist-keypersist-tunfloatca ca.crtcert client1.crtkey client1.keyns-cert-type server
Cần phải thay đổi địa chỉ từ xa trong phần mở đầu bằng địa chỉ IP của WAN hoặc Internet. Bạn có thể sử dụng một hostname, chẳng hạn như cho một dịch vụ DNS động, nếu kết nối Internet không có IP tĩnh. Thêm vào đó cũng cần bảo đảm đúng tên chứng chỉ máy khách và khóa.
Lưu file Notepad với đuôi mở rộng .ovpn vào vị trí sau: C:Program FilesOpenVPNconfig. Để lưu với một mở rộng khác, bạn sẽ phải thay đổi tùy chọn Save as Type trên hộp thoại Save từ Text Files thành All Files.
Bạn cũng phải copy ba dòng dưới dây từ máy tính và thư mục mà bạn đã tạo các chứng chỉ (C:Program FilesOpenVPNeasy-rsakeys) vào máy khách trong thư mục C:Program FilesOpenVPNconfig
- ca.crt
- client1.crt
- client1.key
Cần lưu ý rằng tên của mỗi chứng chỉ máy khách và khóa có thể khác nhau; chọn đúng tên cho mỗi máy khách.
Cấu hình các router DD-WRT bổ sung
Nếu muốn kết nối các văn phòng với nhau, bạn có thể thiết lập các router DD-WRT phụ tại các địa điểm khác. Sau đó có thể sử dụng OpenVPN client của nó để kết nối trở lại với VPN server mà bạn vừa cấu hình. Việc cấu hình máy khách là hoàn toàn đơn giản, đây là cách cấu hình chúng:
- Kích Services > VPN.
- Với OpenVPN Client, kích Enable.
- Với Server IP/Name, nhập vào địa chỉ IP của WAN/Internet hoặc hostname của DD-WRT router đang cấu hình OpenVPN Server.
Với các hộp dưới dây, nhập vào các nội dung của file chứng chỉ được chỉ định bên dưới:
- Public Server Cert: ca.crt
- Public Client Cert: client1.crt. Không nhập phần đầu tiên của file. Giống như các thành phần khác, bắt đầu với -----BEGIN CERTIFICATE----- và kết thúc với -----END CERTIFICATE-----.
- Private Client Key: client1.key
Test
Sau khi đã thực hiện xong các công đoạn trên, bạn có thể kết nối. Nếu OpenVPN GUI chưa được nạp vào khay hệ thống, góc bên phải phía dưới của Windows, hãy khởi chạy chương trình ngay lúc này. Kích Start > All Programs > OpenVPN > OpenVPN GUI.
Kích phải vào biểu tượng OpenVPN GUI trong khay hệ thống và chọn Connect.
Lúc này bạn có thể truy cập vào DD-WRT router và các thành phần chia sẻ trên mạng cục bộ, nơi OpenVPN server đang cư trú.
Cần nhớ rằng bạn đang kết nối đến một địa chỉ WAN hoặc Internet vì vậy bạn nên kết nối từ bên ngoài mạng cục bộ của router DD-WRT, chẳng hạn từ một vị trí khác trên Internet.
Nếu muốn test máy chủ mà không cần di chuyển đến một địa điểm khác, bạn hãy kết nối với DD-WRT router từ cổng WAN/Internet đến cổng Ethernet trên một mạng khác hoặc router khác. Bảo đảm rằng DD-WRT router có một địa chỉ IP của WAN; sử dụng địa chỉ này trong file cấu hình OpenVPN trên máy khách test. Sau đó bạn có thể truy cập vào mạng khác và kết nối với OpenVPN server. Cách làm này sẽ mô phỏng một kết nối từ Internet. Khi đã thực hiện xong các thao tác và muốn sử dụng nó thông qua Internet thực, bạn hãy hủy kết nối DD-WRT router và cắm nó trực tiếp vào modem Internet.
Chúng ta có thể xem trạng thái OpenVPN và các kết nối trong DD-WRT bằng cách kích Status > OpenVPN.