Подписаться

Настройка и использование OpenVPN на роутерах IRZ

1. OpenVPN Layer 2: dev TAP
OpenVPN туннель бывает двух типов: Ethernet Bridging и Routing. В данном разделе рассматривается туннель OpenVPN типа Ethernet Bridging.
Этот тип туннеля OpenVPN характеризуется общим адресным пространством между устройствами, а маршрутизаторы, на которых создается OpenVPN, прозрачны для остальных сетевых устройств. Данный туннель создаётся на базе виртуального сетевого интерфейса TAP.
Всего четыре варианта настройки туннеля, различающиеся по методу аутентификации:

      -без аутентификации (Authentication method: None);

      -с аутентификацией по общему ключу (Authentication method: Shared secret);

      -в роли сервера OpenVPN (Authentication method: TLS Server);

      -в роли клиента OpenVPN (Authentication method: TLS Client).


При этом необходимо учитывать, что туннель может работать по двум сетевым протоколам: UDP и TCP. Для протокола TCP есть возможность работать по методу сервера, когда роутер ожидает подключения извне, так и по методу клиента, когда роутер инициирует подключение с другим сетевым
устройством.
В примерах настройки используется следующая схема сети:


Рис. 1 Примеры конфигураций OpenVPN. Схема сети


1.1. Пример настройки туннеля без аутентификации (Authentication method: None)
Для настройки OpenVPN-туннеля с TAP (Layer 2) без аутентификации между сетевыми устройствами,
в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TAP (L2);
      4. В поле Authentication Method выберите значение None;
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 1 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), основные настройки, Таблица 2 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), Bridge with Interface = None).


Рис. 2 Примеры конфигураций OpenVPN. Настройка OpenVPN (без аутентификации), базовая
TAP (L2)


Таблица 1 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2),


Если создать мост с LAN-портами (Bridge with Interface = LAN), тогда эти порты будут использоваться как интерфейсы для туннеля. Если не создавать мост (Add to Bridge or Create New = None), тогда в настройках необходимо будет дополнительно указать вручную адрес подсети, маску и шлюз по умолчанию, как показано на Рис. 5 Примеры конфигураций OpenVPN. Настройка OpenVPN (без аутентификации), Bridge with Interface = None.


Таблица 2 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), Bridge
with Interface = None


Поле Additional Config позволяет указывать дополнительные конфигурационные параметры для создания туннеля. Пункты и их расшифровка, которые указываются в данном поле, можно посмотреть на официальном сайте OpenVPN по адресу:
https://openvpn.net/index.php/open-source/documentation/howto.html#server


Рис. 3 Примеры конфигураций OpenVPN. Настройка OpenVPN (без аутентификации), Bridge
with Interface = None


1.2. Пример настройки туннеля с аутентификацией по ключу (Authentication method:
Shared Secret)
Для настройки OpenVPN-туннеля с TAP (Layer 2) с аутентификацией по общему ключу между сетевыми устройствами, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TAP (L2);
      4. В поле Authentication Method выберите значение Shared Secret;
      5. Добавьте заранее сгенерированный ключ в поле Shared Secret (см. описание далее);
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 1 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), основные настройки, Таблица 2 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), Bridge with Interface = None). При выборе данного метода аутентификации, все настройки в окне интерфейса такие же, как в разделе 1.1, к ним прибавляется лишь поле Shared Secret, в котором указывается общий ключ. Сам ключ необходимо заранее сгенерировать и распространить на устройствах участниках (см. Рис. 6)


Рис. 4 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по ключу)


1.3. Пример настройки туннеля с аутентификацией по протоколу TLS, когда роутер
выступает в роли сервера OpenVPN
Для настройки OpenVPN-туннеля с TAP (Layer 2) с аутентификацией по протоколу TLS между
сетевыми устройствами, при этом роутер выступает в роли OpenVPN-сервера, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TAP (L2);
      4. В поле Authentication Method выберите значение TLS Server;
      5. Добавьте необходимые сертификаты и ключи в поля: CA Certificate, DH Parameter, Local
Certificate, Local Private Key (см. далее описание);
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 1 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), основные настройки, Таблица 2 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), Bridge with Interface = None). При выборе данного метода аутентификации, все настройки в окне интерфейса такие же, как в разделе 1.2, к ним прибавляется лишь поля для указания сертификатов и ключей: CA Certificate, DH Parameter,
Local Certificate, Local Private Key. Ключи и сертификаты необходимо получить либо от
сертификационного центра, либо создать свой собственный сертификационный центр и создать на его основе требуемые ключи и сертификаты. Для работы туннеля понадобятся файлы, указанные в Таблица 3 Таблица 3 Примеры конфигураций OpenVPN. Ключи и сертификаты для аутентификации по протоколу TLS

Полученные файлы сертификатов необходимо загрузить на роутер по кнопке Upload в соответствии с
полями согласно Таблица 3. Пример настройки показан на Рис. 5.


Рис. 5 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по
протоколу TLS), роутер – сервер


При выборе протокола передачи данных в поле Transport Protocol следует учитывать, что по
протоколу UDP туннель будет работать быстрее всего, так как при использовании протокола TCP Server роутер будет ожидать установления соединения от удаленного устройства. При выборе TCP Client (необходимо будет указать в поле Remote – адрес устройства) – роутер будет сам инициировать соединение с удалённым устройством.


1.4. Пример настройки туннеля с аутентификацией по протоколу TLS, когда роутер
выступает в роли клиента OpenVPN
Для настройки OpenVPN-туннеля с TAP (Layer 2) с аутентификацией по протоколу TLS между
сетевыми устройствами, при этом роутер выступает в роли OpenVPN-клиента, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TAP (L2);
      4. В поле Authentication Method выберите значение TLS Client;
      5. Добавьте необходимые сертификаты и ключи в поля: CA Certificate, Local Certificate, Local Private Key (см. далее описание);
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 1 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), основные настройки, Таблица 2 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TAP (L2), Bridge with Interface = None).
При выборе данного метода аутентификации, все настройки в окне интерфейса такие же, как в разделе 1.2, к ним прибавляется лишь поля для указания сертификатов и ключей: CA Certificate, Local Certificate, Local Private Key. Ключи и сертификаты необходимо получить либо от сертификационного центра, либо создать свой собственный сертификационный центр и создать на его основе требуемые ключи и сертификаты. Для работы туннеля понадобятся файлы, указанные в Таблица 3 Примеры конфигураций OpenVPN. Ключи и сертификаты для аутентификации по протоколу TLS, кроме файла Диффи-Хелмана. Пример настройки показан на Рис. 6 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по протоколу TLS), роутер – клиент.


Рис. 6 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по
протоколу TLS), роутер – клиент


2. OpenVPN Layer 3: dev TUN
OpenVPN туннель бывает двух типов: Ethernet Bridging и Routing. В данном разделе рассматривается
туннель OpenVPN типа Routing.
Данный тип туннеля OpenVPN характеризуется маршрутизацией пакетов между сетями на разных
концах туннеля, находящимися за сетевыми устройствами, и устанавливающими туннель между собой.
Данный вид туннеля создается на базе виртуального сетевого интерфейса TUN.
Всего четыре варианта настройки туннеля, различающиеся по методу аутентификации:

      без аутентификации (Authentication method: None);

      с аутентификацией по общему ключу (Authentication method: Shared secret);

      в роли сервера OpenVPN (Authentication method: TLS Server);

      в роли клиента OpenVPN (Authentication method: TLS Client).


При этом необходимо учитывать, что туннель может работать по двум сетевым протоколам: UDP и TCP. Для протокола TCP есть возможность работать по методу сервера, когда роутер ожидает подключения извне, так и по методу клиента, когда роутер инициирует подключение с другим сетевым устройством.
В примерах настройки используется следующая схема сети:


Рис. 7 Примеры конфигураций OpenVPN. Схема сети


2.1. Пример настройки туннеля без аутентификации (Authentication method: None)
Для настройки OpenVPN-туннеля с TUN (Layer 3) без аутентификации между сетевыми устройствами,
в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TUN (L3);
      4. В поле Authentication Method выберите значение None;
      5. А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 4 и Таблица 5)


Рис. 8 Примеры конфигураций OpenVPN. Настройка OpenVPN (без аутентификации), TUN (L3)


Таблица 4 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TUN (L3),
основные настройки


Поле Bridge with Interface не активно в данной конфигурации, из-за типа туннеля OpenVPN с
маршрутизацией.


Таблица 5 Примеры конфигураций OpenVPN. Настройки OpenVPN Tunnel → TUN (L3), Bridge
with Interface = None


Поле Additional Config позволяет указывать конфигурационные параметры, которые роутер будет
передавать, подключающемуся к нему сетевому устройству. Пункты и их расшифровка, которые
указываются в данном поле, можно посмотреть на официальном сайте OpenVPN по адресу:
https://openvpn.net/index.php/open-source/documentation/howto.html#server


2.2. Пример настройки туннеля с аутентификацией по ключу (Authentication method:
Shared Secret)
Для настройки OpenVPN-туннеля с TUN (Layer 3) с аутентификацией по общему ключу между
сетевыми устройствами, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TUN (L3);
      4. В поле Authentication Method выберите значение Shared Secret;
      5. Добавьте заранее сгенерированный ключ в поле Shared Secret (см. описание далее);
      6. А также настройте остальные параметры на странице в зависимости от требуемой конфигурации
(см. Таблица 4 и Таблица 5).
При выборе данного метода аутентификации, большинство настроек в окне интерфейса такие же, как в разделе 2.1, к ним прибавляется лишь поле Shared Secret, в котором указывается общий ключ. Сам ключ необходимо заранее сгенерировать и распространить на устройствах участниках (см. Рис. 9).


Рис. 9 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по ключу)


2.3. Пример настройки туннеля с аутентификацией по протоколу TLS, когда роутер
выступает в роли сервера OpenVPN
Для настройки OpenVPN-туннеля с TUN (Layer 3) с аутентификацией по протоколу TLS между
сетевыми устройствами, при этом роутер выступает в роли OpenVPN-сервера, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TUN (L3);
      4. В поле Authentication Method выберите значение TLS Server;
      5. Добавьте необходимые сертификаты и ключи в поля: CA Certificate, DH Parameter, Local
Certificate, Local Private Key (см. далее описание);
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 4 и Таблица 5). При выборе данного метода аутентификации, все настройки в окне интерфейса такие же, как в разделе 2.1, к ним прибавляется лишь поля для указания сертификатов и ключей: CA Certificate, DH Parameter,
Local Certificate, Local Private Key. Необходимые ключи и сертификаты необходимо получить либо от сертификационного центра, либо создать свой собственный сертификационный центр и создать на его основе требуемые ключи и сертификаты. Для работы туннеля понадобятся файлы, указанные в Таблица 6.

Таблица 6 Примеры конфигураций OpenVPN. Ключи и сертификаты для аутентификации по
протоколу TLS



Полученные файлы необходимо будет загрузить посредством кнопок Upload в соответствующие поля
согласно Таблица 6. Пример настройки показан на Рис. 10.


Рис. 10 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по
протоколу TLS), роутер – сервер


2.4. Пример настройки туннеля с аутентификацией по протоколу TLS, когда роутер
выступает в роли клиента OpenVPN
Для настройки OpenVPN-туннеля с TUN (Layer 3) с аутентификацией по протоколу TLS между
сетевыми устройствами, при этом роутер выступает в роли OpenVPN-клиента, в веб-интерфейсе роутера:
      1. Зайдите в раздел Network → OpenVPN Tunnel;
      2. Поставьте галочку напротив пункта Enable OpenVPN tunnel;
      3. Выберите в поле Device значение TUN (L3);
      4. В поле Authentication Method выберите значение TLS Client;
      5. Добавьте необходимые сертификаты и ключи в поля: CA Certificate, Local Certificate, Local Private Key (см. далее описание);
А также настройте остальные параметры на странице в зависимости от требуемой конфигурации (см. Таблица 4 и Таблица 5).
При выборе данного метода аутентификации, все настройки в окне интерфейса такие же, как в разделе 2.1, к ним прибавляется лишь поля для указания сертификатов и ключей: CA Certificate, Local Certificate, Local Private Key. Ключи и сертификаты необходимо получить либо от сертификационного центра, либо создать свой собственный сертификационный центр и создать на его основе требуемые ключи и сертификаты. Для работы туннеля понадобятся файлы, указанные в Таблица 6, кроме файла Диффи-Хелмана. Пример настройки показан на Рис. 11.


Рис. 11 Примеры конфигураций OpenVPN. Настройка OpenVPN (с аутентификацией по
протоколу TLS), роутер – клиент

0 Комментарии

Войдите в службу, чтобы оставить комментарий.
На базе технологии Zendesk