Acabei de atualizar meu antigo roteador Netgear para DD-WRT e quero usar o componente OpenVPN Server integrado para atender a sub-rede privada única da minha casa.
Então eu tenho esta configuração: [public-Internet]----[dynamic dns host]<---ISP--->[DD-WRT/OpenVPN-Server router 192.186.0.1 com sub-rede privada doméstica 192.168.0.0/24 clientes]
Quero poder usar com segurança minha conexão doméstica com a Internet e acessar com segurança minhas máquinas de sub-rede privada doméstica quando estiver na Internet pública ou em Wifi não seguro.
Meu DD-WRT tem a capacidade de ser um servidor OpenVPN.
Até agora, muitos dos guias que li parecem querer que os clientes OpenVPN tenham um IP privado diferente do endereço da minha única sub-rede privada. Muitos deles parecem querer apontar algo como 10.xxx para IPs de clientes.
Isso é realmente um requisito para que isso funcione?
Essa rede do tipo 10.xxx é uma sub-rede física real para a qual devo ter um segundo roteador ou é uma sub-rede virtual que o servidor OpenVPN do meu DD-WRT 'criaria' para si mesmo?
Ou posso fazer tudo isso com a única sub-rede privada que possuo fisicamente?
Agradecemos antecipadamente por sua visão sobre minha incursão inicial na configuração de um OpenVPN.
Responder1
O endereço IP do openVPNdeveseja diferente do intervalo de IP da sua rede doméstica, caso contrário você terá problemas.
Por outro lado, o endereço IP openVPN só será usado entre o servidor openVPN e o dispositivo de conexão, por exemplo, seu laptop. Portanto, seu laptop pode ter 10.8.0.2 atribuído e seu servidor openVPN tem 10.8.0.1. Ambos os endereços IP (basicamente) existem apenas dentro do túnel VPN. A razão é que o openVPN criará uma interface de rede virtual (por exemplo, tun0) no servidor e também no cliente e atribuirá esses endereços IP a ela. Não há rede "física" 10.8.0.0 para configurar.
Você pode configurar o openVPN (servidor ou cliente) para saber a rota para o seu intervalo de IP doméstico 192.168.0.0/24, para que você
- conecte sua VPN
- seu laptop receberá 10.8.0.2 para o túnel VPN
- você pode abrir seu navegador, SSH ou Microsoft Terminal Services
- e aponte para 192.168.0.x
O próprio servidor/roteador openVPN será conhecido por dois endereços IP: 10.8.0.1 e 192.168.0.1.
As declarações correspondentes para as rotas são
push "route 192.168.0.0 255.255.255.0"
no servidor e
route 192.168.0.0 255.255.255.0
no cliente respectivamente. Você só precisa de um deles; no seu cenário é uma questão de gosto em qual arquivo de configuração você o coloca. Juntamente com o mascaramento de IP em seu iptables (que, presumo, o openWRT já possui), ele permitirá que você se conecte à sua rede doméstica remotamente e também navegue na Internet remotamente. Exemplo simples:
Your laptop -> unencrypted, public WIFI -> internet
será então
Your laptop -> encrypted VPN -> openWRT -> internet.
Portanto, o provedor de WIFI público e não criptografado ou os sniffers dentro desse WIFI não serão capazes de ler seu tráfego.
Se você deseja executar o servidor openVPN em uma porta diferente, por exemplo, para protegê-lo de varredura de porta, script kiddies ou similar, use port 9411como exemplo.
(Editar: perguntas e respostas adicionadas dos comentários abaixo desta resposta a esta resposta.)