Tại sao sử dụng VPN để truy cập vào nhà của bạn
Có rất nhiều lý do khiến bạn muốn truy cập mạng gia đình của mình từ xa và cách tốt nhất để làm điều đó là sử dụng máy chủ VPN. Một số bộ định tuyến thực sự cho phép bạn thiết lập máy chủ VPN trực tiếp trong bộ định tuyến, nhưng trong nhiều trường hợp, bạn sẽ cần phải tự thiết lập một máy chủ.
Raspberry Pi là một cách tuyệt vời để thực hiện điều này. Chúng không yêu cầu nhiều năng lượng để chạy và chúng có đủ năng lượng để chạy một máy chủ VPN. Bạn có thể thiết lập một thiết bị bên cạnh bộ định tuyến của mình và về cơ bản hãy quên nó đi.
Khi bạn có quyền truy cập vào mạng gia đình của mình từ xa, bạn có thể truy cập tệp của mình từ bất kỳ đâu. Bạn có thể chạy các máy tính tại nhà của mình từ xa. Bạn thậm chí có thể sử dụng kết nối VPN của nhà mình từ đường. Thiết lập như thế này cho phép điện thoại, máy tính bảng hoặc máy tính xách tay của bạn hoạt động giống như ở nhà từ bất kỳ đâu.
Thiết lập Pi
Trước khi có thể bắt đầu thiết lập VPN, bạn cần thiết lập Raspberry Pi của mình. Tốt nhất là bạn nên thiết lập Pi với hộp đựng và thẻ nhớ kích thước vừa phải, 16GB là quá đủ. Nếu có thể, hãy kết nối Pi với bộ định tuyến của bạn bằng cáp Ethernet. Nó sẽ giảm thiểu mọi sự chậm trễ của mạng.
Cài đặt Raspbian
Hệ điều hành tốt nhất để sử dụng trên Pi của bạn là Raspbian. Đây là lựa chọn mặc định do nền tảng Raspberry Pi đưa ra và dựa trên Debian, một trong những phiên bản Linux ổn định và an toàn nhất hiện có.
Đi đến Trang tải xuống Rasbian và tải phiên bản mới nhất. Bạn có thể sử dụng phiên bản Lite tại đây, vì bạn không thực sự cần màn hình đồ họa.
Trong khi tải xuống, hãy tải phiên bản mới nhất của Etcher cho hệ điều hành của bạn. Sau khi quá trình tải xuống hoàn tất, hãy giải nén hình ảnh Raspbian. Sau đó, mở Etcher. Chọn hình ảnh Raspbian từ nơi bạn đã trích xuất nó. Chọn thẻ SD của bạn (Lắp thẻ trước). Cuối cùng, ghi hình ảnh vào thẻ.
cách xóa lịch sử xem trên netflix
Để thẻ SD trong máy tính của bạn khi hoàn tất. Mở trình quản lý tệp và duyệt đến thẻ. Bạn sẽ thấy một vài phân vùng khác nhau. Tìm phân vùng khởi động. Đó là tệp có tệp kernel.img trong đó. Tạo một tệp văn bản trống trên phân vùng khởi động và gọi nó là ssh không có phần mở rộng tệp.
Cuối cùng bạn có thể kết nối Pi của mình. Đảm bảo rằng bạn cắm nó vào cuối cùng. Bạn sẽ không cần màn hình, bàn phím hoặc chuột. Bạn sẽ truy cập từ xa Raspberry Pi qua mạng của mình.
Cho số Pi một vài phút để tự thiết lập. Sau đó, mở trình duyệt web và điều hướng đến màn hình quản lý bộ định tuyến của bạn. Tìm Raspberry Pi và ghi lại địa chỉ IP của nó.
Cho dù bạn đang sử dụng Windows, Linux hay Mac, hãy mở OpenSSH. Kết nối với Raspberry Pi bằng SSH.
$ ssh [email protected]
Rõ ràng, hãy sử dụng địa chỉ IP thực của Pi. Tên người dùng làluôn luôn số Pivà mật khẩu làdâu rừng.
Thiết lập OpenVPN
OpenVPN không hoàn toàn đơn giản để thiết lập làm máy chủ. Tin tốt là bạn chỉ cần làm điều đó một lần. Vì vậy, trước khi tìm hiểu, hãy đảm bảo rằng Raspbian đã được cập nhật hoàn toàn.
$ sudo apt update $ sudo apt upgrade
Sau khi cập nhật kết thúc, bạn có thể cài đặt OpenVPN và tiện ích chứng chỉ mà bạn cần.
$ sudo apt install openvpn easy-rsa
Tổ chức phát hành chứng chỉ
Để xác thực thiết bị của bạn khi chúng cố gắng kết nối với máy chủ, bạn cần thiết lập tổ chức phát hành chứng chỉ để tạo khóa ký. Các phím này sẽ đảm bảo rằng chỉ các thiết bị của bạn mới có thể kết nối với mạng gia đình của bạn.
Đầu tiên, hãy tạo một thư mục cho các chứng chỉ của bạn. Di chuyển vào thư mục đó.
$ sudo make-cadir /etc/openvpn/certs $ cd /etc/openvpn/certs
Tìm kiếm các tệp cấu hình OpenSSL xung quanh. Sau đó, liên kết cái mới nhất vớiopenssl.cnf.
$ ls | grep -i openssl $ sudo ln -s openssl-1.0.0.cnf openssl.cnf
Trong cùng một thư mục certs đó là một tệp có tên là vars. Mở tệp đó bằng trình soạn thảo văn bản của bạn. Nano là mặc định, nhưng hãy cài đặt Vim nếu bạn cảm thấy thoải mái hơn với nó.
TìmKEY_SIZEbiến đầu tiên. Nó được đặt thành2048theo mặc định. Thay đổi nó thành4096.
export KEY_SIZE=4096
Khối chính mà bạn cần xử lý thiết lập thông tin về tổ chức phát hành chứng chỉ của bạn. Sẽ hữu ích nếu thông tin này là chính xác, nhưng bất cứ điều gì bạn có thể nhớ đều tốt.
export KEY_COUNTRY='US' export KEY_PROVINCE='CA' export KEY_CITY='SanFrancisco' export KEY_ORG='Fort-Funston' export KEY_EMAIL=' [email protected] ' export KEY_OU='MyOrganizationalUnit' export KEY_NAME='HomeVPN'
Khi bạn có mọi thứ, hãy lưu và thoát.
Gói Easy-RSA mà bạn đã cài đặt trước đó chứa rất nhiều tập lệnh giúp thiết lập mọi thứ bạn cần. Bạn chỉ cần chạy chúng. Bắt đầu bằng cách thêm tệp vars làm nguồn. Điều đó sẽ tải tất cả các biến mà bạn vừa đặt.
$ sudo source ./vars
Tiếp theo, làm sạch các phím. Bạn không có bất kỳ khóa nào, vì vậy đừng lo lắng về thông báo cho bạn biết rằng khóa của bạn sẽ bị xóa.
$ sudo ./clean-install
Cuối cùng, xây dựng cơ quan cấp chứng chỉ của bạn. Bạn đã đặt các giá trị mặc định, vì vậy bạn có thể chỉ cần chấp nhận các giá trị mặc định mà nó hiển thị. Hãy nhớ đặt mật khẩu mạnh và trả lời có cho hai câu hỏi cuối cùng, sau mật khẩu.
$ sudo ./build-ca
Tạo một số chìa khóa
Bạn đã trải qua tất cả những khó khăn đó để thiết lập một tổ chức phát hành chứng chỉ để bạn có thể ký các khóa. Bây giờ, đã đến lúc làm một số. Bắt đầu bằng cách xây dựng khóa cho máy chủ của bạn.
$ sudo ./build-key-server server
Tiếp theo, xây dựng Diffie-Hellman PEM. Đó là những gì OpenVPN sử dụng để bảo mật các kết nối máy khách của bạn với máy chủ.
$ sudo openssl dhparam 4096 > /etc/openvpn/dh4096.pem
Chìa khóa cuối cùng mà bạn cần từ bây giờ được gọi là khóa HMAC. OpenVPN sử dụng khóa này để ký từng gói thông tin riêng lẻ được trao đổi giữa máy khách và máy chủ. Nó giúp ngăn chặn một số loại tấn công vào kết nối.
$ sudo openvpn --genkey --secret /etc/openvpn/certs/keys/ta.key
Cấu hình máy chủ
Bạn có chìa khóa. Phần tiếp theo trong việc thiết lập OpenVPN là cấu hình máy chủ. Rất may, không có nhiều thứ bạn cần làm ở đây. Debian cung cấp một cấu hình cơ sở mà bạn có thể sử dụng để bắt đầu. Vì vậy, hãy bắt đầu bằng cách lấy tệp cấu hình đó.
$ sudo gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
Sử dụng lại bạn là trình soạn thảo văn bản để mở/etc/openvpn/server.conf. Điều đầu tiên bạn cần tìm làcái đó,chứng chỉ, vàChìa khóacác tập tin. Bạn cần đặt chúng để khớp với vị trí thực của các tệp mà bạn đã tạo, tất cả đều nằm trong/ etc / openvpn / certs / key.
ca /etc/openvpn/certs/keys/ca.crt cert /etc/openvpn/certs/keys/server.crt key /etc/openvpn/certs/keys/server.key # This file should be kept secret
TìmI Evà thay đổi nó để phù hợp với Diffie-Hellman.pemmà bạn đã tạo.
dh dh4096.pem
Đặt cả đường dẫn cho khóa HMAC của bạn.
tls-auth /etc/openvpn/certs/keys/ta.key 0
Tìmmật mãvà đảm bảo rằng nó khớp với ví dụ bên dưới.
cipher AES-256-CBC
Có một số lựa chọn tiếp theo, nhưng chúng được nhận xét là;. Bỏ dấu chấm phẩy trước mỗi tùy chọn để bật chúng.
push 'redirect-gateway def1 bypass-dhcp' push 'dhcp-option DNS 208.67.222.222' push 'dhcp-option DNS 208.67.220.220'
Tìm kiếmngười dùngvànhómcác tùy chọn. Bỏ ghi chú chúng và thay đổingười dùngsang openvpn.
user openvpn group nogroup
Cuối cùng, hai dòng cuối cùng này không có trong cấu hình mặc định. Bạn sẽ cần thêm chúng vào cuối tệp.
Đặt thông báo xác thực để chỉ định mã hóa mạnh hơn cho xác thực người dùng.
# Authentication Digest auth SHA512
Sau đó, giới hạn các mật mã mà OpenVPN có thể sử dụng chỉ những mật mã mạnh hơn. Điều này giúp hạn chế các cuộc tấn công có thể xảy ra đối với các mật mã yếu.
# Limit Ciphers tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Đó là tất cả cho cấu hình. Lưu file và thoát.
Khởi động máy chủ
Trước khi có thể khởi động máy chủ, bạn cần thực hiệnopenvpnngười dùng mà bạn đã chỉ định.
$ sudo adduser --system --shell /usr/sbin/nologin --no-create-home openvpn
Đó là một người dùng đặc biệt chỉ để chạy OpenVPN và nó sẽ không làm bất cứ điều gì khác.
Bây giờ, khởi động máy chủ.
$ sudo systemctl start openvpn $ sudo systemctl start [email protected]
Kiểm tra xem cả hai đều đang chạy
$ sudo systemctl status openvpn*.service
Nếu mọi thứ đều ổn, hãy kích hoạt chúng khi khởi động.
$ sudo systemctl enable openvpn $ sudo systemctl enable [email protected]
Thiết lập khách hàng
Máy chủ của bạn hiện đã được thiết lập và đang chạy. Tiếp theo, bạn cần thiết lập cấu hình máy khách của mình. Đây là cấu hình mà bạn sẽ sử dụng để kết nối thiết bị với máy chủ của mình. Trở lạichắc chắnthư mục và chuẩn bị xây dựng (các) khóa máy khách. Bạn có thể chọn xây dựng các khóa riêng biệt cho từng máy khách hoặc một khóa cho tất cả các máy khách. Để sử dụng tại nhà, một phím sẽ ổn.
$ cd /etc/openvpn/certs $ sudo source ./vars $ sudo ./build-key client
Quá trình này gần giống với máy chủ, vì vậy hãy làm theo quy trình tương tự.
Cấu hình máy khách
Cấu hình cho máy khách rất giống cấu hình cho máy chủ. Một lần nữa, bạn có một mẫu được tạo sẵn để làm cơ sở cho cấu hình của mình. Bạn chỉ cần sửa đổi nó để phù hợp với máy chủ.
Thay đổi thànhkhách hàngdanh mục. Sau đó, giải nén cấu hình mẫu.
$ cd /etc/openvpn/client $ sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/client.ovpn
Mở raclient.ovpntập tin bằng trình soạn thảo văn bản của bạn. Sau đó, tìmXa xôiLựa chọn. Giả sử bạn chưa sử dụng VPN, hãy tìm kiếm trên Google IP của tôi là gì. Lấy địa chỉ mà nó hiển thị và đặtXa xôiĐịa chỉ IP của nó. Để lại số cổng.
remote 107.150.28.83 1194 #That IP ironically is a VPN
Thay đổi chứng chỉ để phản ánh những chứng chỉ bạn đã tạo, giống như bạn đã làm với máy chủ.
ca ca.crt cert client.crt key client.key
Tìm các tùy chọn người dùng và bỏ ghi chú chúng. Điều hành khách hàng là tốt nhấtkhông ai.
user nobody group nogroup
Bỏ ghi chútls-authtùy chọn cho HMAC.
tls-auth ta.key 1
Tiếp theo, tìm kiếmmật mãvà đảm bảo rằng nó phù hợp với máy chủ.
cipher AES-256-CBC
Sau đó, chỉ cần thêm thông báo xác thực và các hạn chế mật mã ở cuối tệp.
# Authentication Digest auth SHA512 # Cipher Restrictions tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
Khi mọi thứ đều ổn, hãy lưu tệp và thoát. Sử dụngnhựa đườngđể đóng gói cấu hình và chứng chỉ, vì vậy bạn có thể gửi chúng cho máy khách.
$ sudo tar cJf /etc/openvpn/clients/client.tar.xz -C /etc/openvpn/certs/keys ca.crt client.crt client.key ta.key -C /etc/openvpn/clients/client.ovpn
Chuyển gói đó cho khách hàng theo cách bạn chọn. SFTP, FTP và ổ USB đều là những lựa chọn tuyệt vời.
Cổng chuyển tiếp
Để bất kỳ điều này hoạt động, bạn cần phải định cấu hình bộ định tuyến của mình để chuyển tiếp lưu lượng VPN đến cho Pi. Nếu đang sử dụng VPN, bạn cần đảm bảo rằng bạn không kết nối trên cùng một cổng. Nếu đúng như vậy, hãy thay đổi cổng trên cấu hình máy khách và máy chủ của bạn.
Kết nối với giao diện web của bộ định tuyến bằng cách nhập địa chỉ IP của bộ định tuyến trên trình duyệt của bạn.
Mỗi bộ định tuyến đều khác nhau. Thậm chí, tất cả chúng đều phải có một số dạng của chức năng này. Tìm nó trên bộ định tuyến của bạn.
Việc thiết lập về cơ bản là giống nhau trên mọi bộ định tuyến. Nhập cổng bắt đầu và cổng kết thúc. Chúng phải giống nhau và giống nhau mà bạn đặt trong cấu hình của mình. Sau đó, đối với địa chỉ IP, hãy đặt địa chỉ đó thành IP của Raspberry Pi. Lưu các thay đổi của bạn.
Kết nối với khách hàng
Mỗi khách hàng đều khác nhau, vì vậy không có giải pháp chung. Nếu bạn đang sử dụng Windows, bạn sẽ cần Ứng dụng khách Windows OpenVPN .
Trên Android, bạn có thể mở tarball của mình và chuyển các phím vào điện thoại. Sau đó, cài đặt ứng dụng OpenVPN. Mở ứng dụng và cắm thông tin từ tệp cấu hình của bạn. Sau đó chọn khóa của bạn.
Trên Linux, bạn cần cài đặt OpenVPN giống như cách bạn đã làm cho máy chủ.
$ sudo apt install openvpn
Sau đó, thay đổi thành/ etc / openvpnvà giải nén tarball mà bạn đã gửi qua.
$ cd /etc/openvpn $ sudo tar xJf /path/to/client.tar.xz
Đổi tên tệp khách hàng.
$ sudo mv client.ovpn client.conf
Chưa khởi động ứng dụng khách. Nó sẽ thất bại. Trước tiên, bạn cần bật chuyển tiếp cổng trên bộ định tuyến của mình.
Bớt tư tưởng
Bây giờ bạn sẽ có một thiết lập hoạt động. Máy khách của bạn sẽ kết nối trực tiếp qua bộ định tuyến của bạn với Pi. Từ đó, bạn có thể chia sẻ và kết nối qua mạng ảo của mình, miễn là tất cả các thiết bị đều được kết nối với VPN. Không có giới hạn, vì vậy bạn luôn có thể kết nối tất cả các máy tính của mình với Pi VPN.
