Nastavení VPN přímo na routeru je jedním z nejpohodlnějších způsobů, jak chránit celou domácí nebo kancelářskou síť. Místo toho, abyste šli jednotlivě zařízení po zařízení, Jednoduše si nastavte server OpenVPN na routeru, aby každé zařízení připojující se k Wi-Fi síti bylo již šifrované. a se skrytou vaší skutečnou IP adresou.
OpenVPN je jeden z nejpoužívanějších VPN protokolů na světě; je open source a dostupný na téměř jakémkoli systému. Při správné konfiguraci, Umožňuje kombinovat vysokou úroveň zabezpečení, dobrý výkon a kompatibilitu s routery značek jako ASUS, TP-Link nebo Omada.a také servery s Linuxem a Windows.
Co je VPN a proč si ji instalovat na router?
VPN (virtuální privátní síť) vytváří šifrovaný tunel mezi vaším zařízením a internetemDíky tomu váš poskytovatel internetových služeb, veřejné Wi-Fi sítě nebo potenciální útočníci nemohou vidět nebo manipulovat s vaším provozem. V praxi je vaše veřejná IP adresa nahrazena IP adresou VPN serveru a vaše data putují bezpečně.
Pokud místo instalace VPN na každé zařízení ji nakonfigurujete na routeru, Veškerý provoz procházející tímto routerem bude automaticky chráněn.: počítače, mobily, konzole, chytré televize, IP kamery, domácí automatizace… aniž byste se museli dotýkat čehokoli na každém zařízení (nebo se dotýkat jen minima, když používáte router jako klient).
Výhody a nevýhody používání VPN na routeru
Obecné výhody VPN
Když aktivujete VPN, první věc, které si všimnete, je změna vaší veřejné IP adresy. To znamená, že Svou skutečnou IP adresu můžete skrýt nebo „zamaskovat“ a prohlížet si web soukroměji.i když vás služba zablokovala podle IP adresy nebo se chcete vyhnout nadměrnému sledování.
Další velkou výhodou je, že připojení jde end-to-end šifrování mezi vaším zařízením a VPN serveremI když se připojíte k otevřené Wi-Fi síti v baru nebo na letišti, útočník nebude moci snadno špehovat vaše přihlašovací údaje, bankovní údaje ani soubory, které nahráváte nebo stahujete.
Navíc změnou vaší zdánlivé IP adresy na jinou zemi, Můžete přistupovat k geograficky omezenému obsahu: streamovacím katalogům, webům blokovaným regionem, hazardním webům nebo službám zakázaným ve vaší lokalitě.Pro práci na dálku je také užitečný pro přístup k firemním zdrojům odkudkoli.
Zlepšuje to také vaši relativní anonymitu: Snižuje přímou stopu, kterou zanecháváte, vázanou na vaši domácí IP adresu.Přestože soubory cookie a historie prohlížení stále existují, systematické sledování podle IP adresy se stává mnohem obtížnějším.
Konečně, komerční VPN a samotná OpenVPN jsou poměrně snadné použití pro průměrného uživateleČasto stačí jen otevřít aplikaci, zadat uživatelské jméno a heslo, stisknout tlačítko pro připojení a je hotovo. A pokud je na vašem routeru, nemusíte si ani pamatovat, že ji máte aktivovat na každém zařízení.
Nevýhody a body, na které si dát pozor
Téměř vždy si všimnete určité ztráty výkonu. Šifrování a dodatečný přesměrování na server znamenají, že V závislosti na zvoleném hardwaru a serveru snižte rychlost a mírně zvyšte latenci.Na pomalých routerech nebo bezplatných službách může být rozdíl velmi velký.
Dalším aspektem je, že Používání VPN nenahrazuje antivirový software ani dobré chování.Pokud si stáhnete infikované spustitelné soubory nebo navštívíte škodlivé webové stránky, VPN vás nezachrání. Některé údajně „bezplatné VPN“ programy ve skutečnosti obsahují malware, takže je důležité používat spolehlivé poskytovatele a software.
Navíc, v konkrétním případě OpenVPN, ačkoli je instalace na PC nebo mobilní zařízení jednoduchá, Pokročilá konfigurace (certifikáty, skripty, trasy…) může být náročná. Pro ty, kteří na to nejsou zvyklí, instalace na router přidává další vrstvu: potřebujete kompatibilní router nebo použít specifický firmware.
Proč je OpenVPN dobrá volba?
OpenVPN je široce používané VPN řešení s otevřeným zdrojovým kódem, které je schopné fungovat na Tunelový režim vrstvy 3 (TUN) nebo mostový režim vrstvy 2 (TAP)Je kompatibilní s prakticky všemi stolními systémy (Windows, Linux, macOS), servery a také s Androidem a iOS prostřednictvím aplikací.
Spoléháním se na SSL/TLS, Umožňuje ověřování pomocí digitálních certifikátů, uživatelských jmen/hesel nebo obojího.Je flexibilnější a v mnoha případech snáze spravovatelný než IPsec a nabízí obrovské množství parametrů pro úpravu výkonu a zabezpečení.
Co se týče výkonu, OpenVPN je schopen nabídnout Velmi dobré rychlosti s nízkou latencí a stabilním připojenímPokud má server dostatek zdrojů a je správně zvolena konfigurace šifrování, obvykle pracuje přes UDP, aby se zabránilo opakovaným přenosům a dosáhlo se vyšších rychlostí, s dalšími možnostmi komprese a optimalizace.
Režimy TUN a TAP v OpenVPN
S režimem TUNOpenVPN Emuluje rozhraní typu point-to-point, které zpracovává IP provoz.Zapouzdřuje IP pakety do protokolu UDP nebo TCP, což je ideální pro vytvoření virtuální podsítě odlišné od fyzické lokální sítě; například 10.8.0.0/24, kde se nacházejí všichni VPN klienti.
V režimu TAPsimuluje se kompletní ethernetové rozhraní, proto Celé ethernetové rámce jsou zapouzdřenyNejen IP. To umožňuje vzdáleným zařízením jevit se, jako by byla ve stejné podsíti jako lokální (užitečné pro některé scénáře přemostění a služby, které závisí na vysílání), i když se to komplikuje, pokud zdrojová a cílová síť sdílejí stejný rozsah.
Doporučená kryptografie pro bezpečnou OpenVPN VPN
Moderní a robustní konfigurace OpenVPN se obvykle spoléhá na certifikáty založené na eliptických křivkách (EC) pro CA, server a klientyNapříklad použití křivky secp521r1 a silného hashu jako SHA-512 v podpisu.
V řídicím kanálu TLS je doporučený postup Používejte minimálně TLS 1.2 a pokud možno TLS 1.3Sady s ECDHE se používají pro Perfect Forward Secrecy, například TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 nebo novější sady TLS_AES_256_GCM_SHA384 a TLS_CHACHA20_POLY1305_SHA256 v TLS 1.3. Můžete zkontrolovat, co vaše instalace podporuje, pomocí příkazů OpenVPN pro výpis šifer a křivek.
Pro datový kanál je v dnešní době ideální AES‑256‑GCM nebo CHACHA20‑POLY1305Pokud váš procesor podporuje AES-NI, je AES-GCM obvykle rychlejší; na zařízeních bez akcelerace obvykle dosahuje lepších výsledků CHACHA20-POLY1305. OpenVPN obsahuje nástroje pro zobrazení dostupných šifer (openvpn --show-ciphers).
Navíc se doporučuje Přidání vrstvy HMAC pomocí tls-cryptProtokol tls-auth šifruje a ověřuje počáteční fázi TLS. Tím se zmírňují útoky typu denial-of-service, zahlcení portů UDP a útoky TCP SYN a klient bez správného klíče ani nezačne s navazováním spojení. Starší verze používaly protokol tls-auth; tls-crypt je evoluční verze, která tento předsdílený klíč také šifruje.
Předpoklady pro použití OpenVPN na vašem routeru
Než začnete na routeru povolovat OpenVPN, je vhodné zkontrolovat několik věcí. Nejprve, Ujistěte se, že váš router podporuje servery OpenVPNMnoho modelů střední/vyšší třídy od společností ASUS, TP-Link, Omada a dalších ji obsahuje, ale ne všechny.
Za druhé, potřebujete připojení k internetu Veřejná IP adresa přístupná zvenčíPokud jste za CG-NAT (běžné u některých poskytovatelů optických nebo rádiových linek), nebudete moci přesměrovat porty na router a OpenVPN nebude fungovat zvenčí, pokud vám poskytovatel nepřidělí statickou veřejnou IP adresu nebo neopustíte CG-NAT.
Je to také důležité Nakonfigurujte dynamický DNS (DDNS) nebo mějte statickou IP adresu v síti WANTo umožňuje zákazníkům připojit se pomocí jediného jména (my-vpn.dyndns.org), aniž by se museli starat o změny své IP adresy. Z bezpečnostních důvodů se doporučuje synchronizovat systémový čas s internetem, což moderní routery dělají přes NTP.
Konfigurace serveru OpenVPN na routerech TP-Link
Případ 1: V domácí síti je pouze jeden router
V jednoduchém scénáři s jedním routerem TP-Link je typickým postupem přihlášení k webovému rozhraní zařízení, přechod do pokročilé sekce VPN server > OpenVPN a aktivujte serverPokud to děláte poprvé, router vás požádá o vygenerování certifikátů, aby mohl pokračovat.
Pak si budete muset vybrat protokol (UDP nebo TCP), nastavte servisní port v rozsahu 1024–65535 a definujte podsíť/masku VPN (například 10.8.0.0/24), ze které budou klientům přiřazovány virtuální IP adresy.
Router vám také umožní vybrat si typ přístupu zákazníka: pouze do domácí sítě nebo do domácí sítě a internetu (aby provoz do internetu procházel přes váš domov, což je užitečné, pokud chcete používat domácí IP adresu, když jste pryč). Po konfiguraci se nastavení uloží, vygeneruje se certifikát, pokud ještě neexistuje, a exportuje se konfigurační soubor pro použití klienty OpenVPN.
Případ 2: Dva nebo více routerů na mapě sítě
Pokud máte od svého poskytovatele internetových služeb modem-router a za ním druhý router TP-Link v neutrálním režimu, věci se trochu komplikují. Stejně jako předtím, nakonfigurujete OpenVPN na vnitřním routeru (Router2)protokol, port, podsíť VPN, typ přístupu, generování a export konfiguračního souboru.
Pak musíte Otevřete port na hlavním modemu/routeru (Router1) na IP adresu Routeru2 pomocí funkce virtuálního serveru nebo přesměrování portů. Je důležité, aby interní port odpovídal nakonfigurovanému portu služby VPN a abyste si pamatovali externí port, který používáte.
Pak v souboru .ovpn exportovaném Routerem2, Budete muset upravit dvě klíčové informace.Změňte vzdálenou adresu na WAN IP adresu Routeru1 (veřejná IP adresa poskytnutá vaším poskytovatelem internetových služeb) a nahraďte port externím portem, který jste přesměrovali. Uložte soubor a poté jej můžete použít na externích klientech.
Konfigurace serveru OpenVPN na routerech ASUS
Na routerech ASUS s AsusWRT je proces také poměrně řízený. Po přístupu k webovému rozhraní (http://www.asusrouter.com nebo IP adresa routeru v LAN) Přejděte do sekce VPN > VPN server a vyberte OpenVPNV závislosti na firmwaru se rozhraní může mírně lišit, ale logika je podobná.
Budete moci nastavit port serveru (doporučuje se port mezi 1024 a 65535)Délka klíče RSA a to, zda klienti budou VPN používat pouze pro svou lokální síť, nebo také pro přístup k internetu, jsou také faktory, které je třeba zvážit. Ve výchozím nastavení jsou přihlašovací údaje klienta OpenVPN obvykle přihlašovací údaje samotného routeru, i když pro zvýšení zabezpečení můžete přidat specifické účty.
Jakmile jsou nastavení použita, aktivujte server OpenVPN a exportovat konfigurační soubor .ovpnkterý již obsahuje vložené certifikáty a základní parametry. Kdykoli změníte konfiguraci příslušného serveru, je vhodné soubor znovu exportovat, aby klienti zůstali synchronizovaní.
OpenVPN server s Omadou (TP-Link)
V prostředích spravovaných pomocí Omada Controlleru můžete vytvořit zásady VPN typu VPN server – OpenVPN Pro účely komunikace klient-site. Přiřadíte mu název, povolíte ho, zvolíte režim tunelu (rozdělený nebo plný), protokol (TCP/UDP), port, metodu lokálního ověřování a rozsah IP adres, které mají být přiřazeny klientům.
Můžete také definovat Primární a sekundární DNS, který bude klient používat (například 8.8.8.8 a 8.8.4.4 nebo ty z vaší interní sítě). Po uložení zásad se vytvoří uživatelé VPN přidružení k danému serveru (s názvem účtu, heslem a typem OpenVPN).
Pak se exportuje soubor .ovpn dané zásady a Importuje se do desktopového nebo mobilního klienta OpenVPN.Pokud se něco pokazí, někdy je nejlepší použít klienta OpenVPN „Community“ místo OpenVPN Connect a upravit parametry, jako jsou datové šifry (například přidáním AES-128-CBC), nebo změnit vzdálenou IP adresu na skutečnou veřejnou IP adresu webu.
Nastavení pokročilého OpenVPN serveru na GNU/Linuxu
Pokud chcete mít úplnou kontrolu místo spoléhání se na rozhraní routeru, můžete Nastavte si vlastní OpenVPN server na Linuxu (například Debian) a poté na routeru vytvořte statickou trasu směřující k tomuto serveru, aby lokální síť viděla VPN klienty.
Základní instalace OpenVPN na Debianu
V Debianu nebo jiných odvozených distribucích instalace zahrnuje aktualizaci systému a instalaci balíčku OpenVPN z repozitářů. Poté lze použít jednoduchý příkaz apt. Stáhněte si binární soubor OpenVPN a jeho závislosti, čímž je připraven k zahájení generování certifikátů a konfiguračních souborů.
Generování certifikátů pomocí Easy-RSA 3
Pro pohodlnou správu PKI (infrastruktury veřejných klíčů) se běžně používá Easy-RSA 3, který automatizuje vytváření certifikačních autorit, serverových certifikátů a klientůObvykle se stáhne z GitHubu, rozbalí a pracuje se v jeho hlavním adresáři.
Srdce konfigurace je v souboru varsZde definujete, zda budete používat RSA nebo eliptické křivky (EASYRSA_ALGO), křivku (EASYRSA_CURVE), hash (EASYRSA_DIGEST), časy expirace a zda chcete plný rozlišovací název (Distinguished Name) nebo pouze CN (Contextual Name - kód rozlišovacího jména). Upravte zde EC pomocí secp521r1 a SHA-512. Získáte tak velmi robustní kryptografický základ..
Jakmile jsou proměnné nakonfigurovány, PKI se inicializuje odpovídajícím příkazem (init-pki), vytvoří se CA (s heslem pro privátní klíč nebo bez něj) a Žádosti o certifikáty (gen-req) jsou generovány ze serveru a každého klienta.a následně je podepíše (sign-req) jako server nebo klient, dle potřeby.
Dále je vhodné uspořádat soubory do samostatných složek: jeden pro server a jeden pro každého klienta, s jeho .crt, jeho .key, ca.crt a klíčem ta.key, které budete používat pro tls-crypt. Díky tomu je pozdější vytváření souborů .conf/.ovpn mnohem snazší, aniž byste museli zbytečně pracovat.
TLS-crypt klíč a parametry Diffie-Hellmana
S moderními verzemi OpenVPN nemusíte při používání ECDHE vytvářet specifický soubor parametrů Diffie-Hellman, takže můžete v konfiguraci serveru vyberte dh noneZásadní je vygenerovat symetrický klíč, který budete používat s tls-crypt (například ta.key), a který budete muset zkopírovat. identické na serveru i klientech.
Příklad konfigurace zabezpečeného serveru OpenVPN
Typický serverový soubor v Linuxu bude obsahovat direktivy jako například port 11949, proto udp a dev tuns určením portu, protokolu a typu virtuálního rozhraní. Poté se odkazuje na certifikáty a klíče: ca, cert, key, dh (nebo dh none) a tls-crypt ta.key.
V sekci zabezpečení, parametry jako například Šifra AES‑256‑GCM, sady tls-ciphersuites a tls-cipher se zabezpečenými sadami TLS 1.2/1.3, ecdh-curve secp521r1 a tls-version-min 1.2Opětovné vyjednávání lze také zakázat (reneg-sec 0) a pokud se používá režim jiný než AEAD, lze zadat ověřování SHA512.
Sekce sítě bude definovat topologii (podsíť) a virtuální podsíť, například server 10.8.0.0 255.255.255.0Kromě souboru ipp.txt pro udržování statických IP adres pro konkrétní klienty se k lokální síti přistupuje zadáním trasy (trasa 192.168.X.0 255.255.255.0), vynucením veškerého provozu přes VPN (redirect-gateway) a poskytnutím konkrétních DNS serverů pomocí volby dhcp.
Lze také povolit komunikaci mezi klienty a funkci keepalive lze použít k detekci výpadků. omezit maximální počet simultánních připojeníZ bezpečnostních důvodů je OpenVPN spuštěn s uživatelem/skupinou bez oprávnění, je povolena perzistence klíčů a rozhraní a cesty protokolů jsou definovány s mírnou úrovní podrobnosti.
Konfigurace klienta OpenVPN (PC, Linux, Windows)
Klienti potřebují soubor .ovpn nebo .conf s direktivami, jako například klient, vývojářský tun, proto udp a vzdálený přístup ukazující na doménu serveru nebo veřejnou IP adresu a port, který používáte. Pro zlepšení stability je běžné povolit `resolv-retry infinite`, `nobind` a `persist-key/tun`.
Pokud jde o pověřovací údaje, klient se bude odkazovat ca, jeho vlastní certifikát a klíč a ta.key pro tls-cryptParametry cipher, auth a TLS se musí shodovat s parametry serveru; pokud klient podporuje TLS 1.3, přidají se příslušné sady šifrovacích kódů TLS, a pokud se používá pouze TLS 1.2, použijí se ekvivalentní šifrovací kódy TLS. Úroveň protokolování se v případě problémů upraví na úroveň verb 3 nebo vyšší.
Povolte lokální síti přístup k VPN klientům
Pokud nastavíte server OpenVPN na počítači ve vaší lokální síti (Raspberry Pi, server Debian atd.) a ne přímo na routeru, Budete muset na routeru vytvořit statickou trasu aby byla síť 10.8.0.0/24 (nebo ta, kterou používáte) dosažitelná.
Myšlenka je jednoduchá: v routeru uvedete, že Podsíť 10.8.0.0/24 má jako bránu IP adresu LAN serveru OpenVPN. (například 192.168.1.100). Když tedy zařízení v lokální síti chce reagovat na VPN klienta, odešle provoz na server, který se poté postará o směrování v tunelu.
Konfigurace klientů OpenVPN na zařízeních Android a dalších mobilních zařízeních
Na Androidu můžete použít buď oficiální aplikaci OpenVPN, nebo pokročilejší klienty kompatibilní s novými funkcemi (TLS 1.3, moderní datové šifry atd.). První věc je Zkopírujte složku obsahující soubor ca.crt, klientský certifikát a klíč, soubor ta.key a soubor .ovpn do paměti telefonu..
Poté se z aplikace importuje profil (soubor .ovpn). Kontroluje se, zda načtené parametry odpovídají tomu, co máte na serveru. a je uloženo. Poté stačí klepnout na profil a navázat připojení. Pokud vše funguje správně, uvidíte, že telefon získá IP adresu z virtuální podsítě a bude mít přístup ke vzdáleným zdrojům.
Běžné problémy s připojením a jak je odhalit
Při prvním nastavení OpenVPN se v protokolech poměrně často vyskytují chyby. Pokud klient uvede, že Nelze rozpoznat doménu serveru (neznámý hostitel)Zkontrolujte název ve vzdáleném serveru a stav služby dynamického DNS; jako rychlý test se připojte přímo pomocí veřejné IP adresy, abyste vyloučili problémy s rozlišením.
Zprávy jako Nelze určit protokol IPv4/IPv6 Tyto zprávy indikují, že se neprovádí rozpoznávání platné adresy; opět se kontrolují záznamy hostitele a DNS. Jiné přijaté zprávy typu SIGUSR1[soft,init_instance] obvykle indikují opakované pokusy po předchozím selhání, například nesprávné heslo certifikátu nebo problémy s firewallem na trase.
Pokud klient zůstane ve stavu typu WAIT po neurčito bez postupu, obvykle Port na routeru není správně otevřený/přesměrovaný nebo neběží server OpenVPN.Je důležité zkontrolovat přesměrování portů a ověřit na serveru, zda se zobrazuje alespoň zpráva „Inicializační sekvence dokončena“.
Další běžné problémy
Systém Windows někdy zobrazuje varování, že možnosti uživatele a skupiny nejsou implementovány; Nejedná se o kritické chyby, pouze o direktivy Linuxu, které můžete ze souboru .ovpn odstranit. Pokud vás obtěžují. Dalším častým varováním je ignorovat dh v klientském režimu, protože Diffie-Hellman patří pouze do konfigurace serveru.
Chyby jako např Chyba rozbalení tls-crypt nebo chyba TLS: lokální/vzdálené klíče TLS nejsou synchronizované To obvykle znamená, že soubor ta.key se neshoduje mezi serverem a klientem nebo že byl zkopírován nesprávně. Kontrola a opětovné zkopírování tohoto klíče obvykle problém vyřeší.
Pokud se zobrazí varování týkající se MTU (nekonzistentní link-mtu) nebo komprese (comp-lzo), pravděpodobně se jedná o Server a klienti se neshodují v nastavení komprese nebo maximální velikosti paketů.V dnešní době je z bezpečnostních důvodů nejlepší kompresi na obou stranách kdykoli je to možné zcela vypnout.
Generický TLS handshake selhal v podstatě to znamená Nebyla nalezena běžná kombinace šifer nebo existuje nekompatibilní parametr TLS.Kontrola cipher, data-ciphers, tls-cipher(suites) a minimální verze TLS na serveru a klientovi obvykle problém odhalí.
Co dělá dobrou VPN a jaké jsou alternativy k OpenVPN?
Při výběru VPN (nebo služby, která používá OpenVPN) je třeba zvážit několik faktorů. Dobrá služba by měla Nabízejí silné šifrování IP adres a protokolů a chrání soubory cookie a historii prohlížení. a pokud možno, zahrňte dvoufaktorové ověřování pro přístup k účtu.
Funkce jako Funkce Kill switch, blokování úniků DNS, přísné zásady neukládání protokolů a servery optimalizované pro streamování nebo P2P To jsou zajímavé výhody. Na provozní úrovni je významným detailem také fakt, že se aplikace snadno používá a podpora reaguje rychle.
Kromě OpenVPN existují i další technologie a služby: WireGuard (velmi rychlý a moderní), IPsec (klasika v korporátním prostředí) nebo řešení jako NordVPN, ProtonVPN, ExpressVPN, CyberGhost, Surfshark atd. které vše spojují s vlastními aplikacemi. Existují také bezplatné alternativy, jako je Tinc, který nabízí šifrované tunelování a velkou flexibilitu, ideální pro složité sítě nebo integraci VPN do routerů a NAS zařízení s omezenými zdroji.
Správně nasazená VPN založená na OpenVPN na vašem routeru nebo domácím serveru Může vám poskytnout bezpečný vzdálený přístup k vaší síti, robustní šifrování, dobrou rychlost a pohodlí ochrany všech vašich zařízení najednou.za předpokladu, že věnujete pozornost konfiguraci certifikátů, šifrování, tras a portů a ověříte, že vaše připojení má veřejnou IP adresu bez blokování cesty CG-NAT.