Poradnik sieciowy. Część 8 – Konfiguracja funkcji routera

Serwer i połączenie OpenVPN

Pora na pokazanie, w jaki sposób uzyskać bezpieczny dostęp do domowej sieci lokalnej z zewnątrz za pomocą VPN. TP-Link Archer C1200 (podobnie, jak i inne routery tego producenta) umożliwia stworzenie takiego tunelu przy wykorzystaniu jednej z dwóch technologii: PPTP oraz OpenVPN. Przede wszystkim, z racji zapewnienia wyższego poziomu bezpieczeństwa skorzystamy z tej drugiej. Jak już wskazaliśmy we wstępie, konfiguracja połączenia OpenVPN przeważnie jest skomplikowana, szczególnie dla osoby, która nie miała wcześniej do czynienia z tą technologią do czynienia. Oprogramowanie routerów TP-Linka na szczęście pozwala ten proces sprowadzić tylko do konieczności podania minimalnej ilości danych i kilku kliknięć.

Wszystkie ustawienia dotyczące OpenVPN znajdziemy oczywiście na karcie Zaawansowane, wybierając właściwą pozycję w menu opisanym jako Serwer VPN. Jak widać, nie ma tu za dużo rzeczy do ustawienia.

Podczas pierwszej próby konfiguracji OpenVPN wyświetlony zostanie komunikat: Uwaga: Brak certyfikatu. Wygeneruj certyfikat przed włączeniem serwera VPN. By połączenie za pośrednictwem OpenVPN w ogóle funkcjonowało, musimy wygenerować tzw. certyfikat serwera, czego dokonamy klikając na przycisk Generuj w sekcji Certyfikat serwera. Na routerze uruchomiona zostanie procedura generowania certyfikatu za pomocą biblioteki OpenSSL, co chwilę potrwa. Po pomyślnym zakończeniu tej operacji zaznaczamy oczywiście pozycję Włącz serwer VPN. Klikamy następnie na przycisk Eksportuj w sekcji Plik konfiguracyjny. Zostanie dla nas wygenerowany plik konfiguracyjny klienta OpenVPN, który należy pobrać i zapisać na dysku.

Domyślne ustawienia połączenia VPN wielu osobom powinny wystarczyć. Na routerze zostanie otwarty port 1194 protokołu UDP, a po połączeniu się z serwerem, przydzielony nam adres IP będzie pochodził z puli 10.8.0.0. Standardowo router umożliwi klientom VPN dostęp jedynie do sieci lokalnej. Jeśli chcemy korzystać z naszego domowego połączenia internetowego przez tunel VPN musimy wybrać opcję Sieć domowa i Internet. Po każdej zmianie należy oczywiście kliknąć przycisk Zapisz.

Jeśli podejrzymy zawartość pobranego pliku w dowolnym edytorze tekstu, ujrzymy powód, dla którego TP-Link postanowił nas wyręczyć i skonfigurować połączenie serwer VPN, a także przygotować stosowną konfigurację dla klienta za nas. Ogólnie, dostępnych opcji jest całkiem sporo i związane są one z różnymi aspektami funkcjonowania tunelu realizowanego przez OpenVPN, jak rodzaj szyfrowania, kompresja danych, czy adres IP służący do połączenia. Odnośnie tego ostatniego, to upewnijmy się, czy zaznaczona na czerwono wartość faktycznie odpowiada adresowi IP, jaki router otrzymał od dostawcy internetowego. Oczywiście połączenie nawiążemy jedynie wtedy, gdy adres ten będzie z puli adresów publicznych i operator nie będzie w żaden sposób blokował do niego dostępu. Jeśli takim adresem nie dysponujemy i nie możemy takiego adresu u ISP „wyprosić”, możemy tu wpisać adres domenowy uzyskany od operatora usługi DDNS, co omówiliśmy na poprzedniej stronie.

Ogólnie rzecz biorąc, dobrane przez oprogramowanie routera ustawienia tunelu są jak najbardziej OK. Mimo, że przyjęło się ustawiania algorytmu szyfrowania AES-256 w trybie CBC, jego wariant ze 128-bitowym kluczem również uznawany jest za bezpieczny. Ponadto, z tych „ważniejszych” rzeczy, w pliku konfiguracyjnym mamy zaszyte tzw. certyfikat CA oraz certyfikat klienta. Ten pierwszy służy do weryfikacji kluczy klienta – serwer OpenVPN dopuści do połączenia tylko tych klientów, których klucze zostały podpisane właśnie przez to lokalne, „zaufane” centrum certyfikacji.

Odnośnie zaś samego pliku konfiguracyjnego, to niewielką (lub dużą, w zależności od naszych wymagań) wadą jest to, że router wymusza od nas stosowanie jednego pliku klucza dla każdego użytkownika, który chce się z nim połączyć przez OpenVPN. Nie ma możliwości wygenerowania różnych kluczy – po kliknięciu na przycisk Eksportuj generowana jest za każdym razem ta sama konfiguracja. Dlaczego jest to wada? Otóż w sytuacji, gdy ten sam klucz posiada kilku użytkowników i przykładowo jednemu z nich zostanie on wykradziony, należy ponownie generować certyfikat serwera i rozdysponowywać certyfikat pozostałym użytkownikom, zamiast po prostu unieważnić ten „skompromitowany”.

Aby połączyć się ze świeżo skonfigurowanym serwerem należy pobrać klienta OpenVPN ze strony https://openvpn.net/index.php/open-source/downloads.html. Wybór wariantu instalacji należy dostosować do posiadanego systemu operacyjnego. Jeśli korzystamy z systemu Microsoft Windows pobieramy link oznaczony jako openvpn-install-2.4.4-i601.exe. Oczywiście numer wersji może się różnić w miarę wydawania nowych wersji aplikacji.

Instalujemy klienta OpenVPN pozostawiając domyślne opcje w spokoju i klikając w zasadzie cały czas klawisz Next / Dalej.

Po zainstalowaniu kopiujemy pobrany uprzednio plik konfiguracyjny do lokalizacji katalogu config, w folderze, w którym zainstalowany został klient OpenVPN (domyślnie będzie to C:\Program Files\OpenVPN\config).

Folder konfiguracji i uruchomienie klienta OpenVPN

Uruchamiamy klienta OpenVPN. W obszarze powiadomień pojawi się ikona wyszarzonego monitora z kłódką. Klikamy na niej dwukrotnie lub otwieramy menu podręczne i wybieramy Połącz.

Jeśli cały proces konfiguracji przebiegł poprawnie pokaże nam się okienko OpenVPN, w którym to obserwować będziemy przebieg nawiązywania połączenia. Sukces symbolizuje zmiana ikony z szarej na zieloną. Od teraz możemy korzystać z zasobów domowej sieci na maszynie zlokalizowanej gdzieś w czeluściach Internetu.

• « pierwsza
• ‹ poprzednia
• 1
• 2
• 3
• 4
• 5