Я только что обновил свой старый маршрутизатор Netgear до DD-WRT и хочу использовать встроенный компонент сервера OpenVPN для обслуживания частной подсети моего дома.
Итак, у меня такая настройка: [public-Internet]----[динамический DNS-хост]<---ISP--->[DD-WRT/OpenVPN-Server маршрутизатор 192.186.0.1 с домашней частной подсетью 192.168.0.0/24 клиентов]
Я хочу иметь возможность безопасно использовать свое домашнее подключение к Интернету и получать безопасный доступ к компьютерам моей домашней частной подсети, когда я нахожусь в публичном Интернете или незащищенном Wi-Fi.
Мой DD-WRT может выступать в роли сервера OpenVPN.
До сих пор многие руководства, которые я читал, похоже, хотят, чтобы клиенты OpenVPN имели частный IP, отличный от адреса моей единственной частной подсети. Многие из них, похоже, хотят указать вам что-то вроде 10.xxx для клиентских IP.
Действительно ли это является обязательным условием для работы?
Является ли эта сеть типа 10.xxx реальной физической подсетью, для которой мне нужен второй маршрутизатор, или это виртуальная подсеть, которую мой сервер OpenVPN DD-WRT «создаст» для себя?
Или я могу сделать все это с помощью одной частной подсети, которая у меня физически есть?
Заранее спасибо за ваше мнение о моих первых попытках настроить OpenVPN.
решение1
IP-адрес openVPNдолженотличаться от диапазона IP-адресов вашей домашней сети, иначе у вас будут проблемы.
С другой стороны, IP-адрес openVPN будет использоваться только между сервером openVPN и подключающимся устройством, например, вашим ноутбуком. Таким образом, вашему ноутбуку может быть назначен 10.8.0.2, а вашему серверу openVPN — 10.8.0.1. Оба IP-адреса (по сути) существуют только внутри туннеля VPN. Причина в том, что openVPN создаст виртуальный сетевой интерфейс (например, tun0) на сервере, а также на клиенте и назначит ему эти IP-адреса. Нет «физической» сети 10.8.0.0 для настройки.
Вы можете настроить OpenVPN (сервер или клиент) так, чтобы он знал маршрут к вашему домашнему диапазону IP-адресов 192.168.0.0/24, так что вы
- подключите свой VPN
- Вашему ноутбуку будет назначен адрес 10.8.0.2 для VPN-туннеля.
- вы можете открыть свой браузер, SSH или службы терминалов Microsoft
- и укажите его на 192.168.0.x
Ваш сервер/маршрутизатор OpenVPN будет известен по двум IP-адресам: 10.8.0.1 и 192.168.0.1.
Соответствующие заявления для маршрутов:
push "route 192.168.0.0 255.255.255.0"
на сервере и
route 192.168.0.0 255.255.255.0
на клиенте соответственно. Вам нужен только один из них; в вашем сценарии это дело вкуса, в какой файл конфигурации вы его поместите. Вместе с IP-маскировкой в ваших iptables (которая, я полагаю, уже есть в openWRT), это позволит вам подключаться к вашей домашней сети удаленно, а также просматривать интернет удаленно. Простой пример:
Your laptop -> unencrypted, public WIFI -> internet
тогда будет
Your laptop -> encrypted VPN -> openWRT -> internet.
Таким образом, незашифрованный публичный провайдер WIFI или снифферы в этом WIFI не смогут прочитать ваш трафик.
Если вы хотите запустить сервер OpenVPN на другом порту, например, для защиты от сканирования портов, скрипт-кидди и т. п., используйте port 9411в качестве примера.
(Изменение: добавлены вопросы и ответы из комментариев под этим ответом в этот ответ.)