我剛剛將老化的 Netgear 路由器升級到 DD-WRT,並且我想使用內建的 OpenVPN 伺服器元件來為我家的私人單一子網路提供服務。
所以我有這樣的設定: [public-Internet]----[動態dns 主機]<---ISP--->[DD-WRT/OpenVPN-Server 路由器192.186.0.1 與家庭私有子網路192.168.0.0 /24客戶]
當我在公共網路或不安全的 Wifi 上時,我希望能夠安全地使用我的家庭網路連線並安全地存取我的家庭專用子網路電腦。
我的 DD-WRT 有能力成為 OpenVPN 伺服器。
到目前為止,我讀過的許多指南似乎都希望 OpenVPN 用戶端擁有與我的單一私人子網路位址不同的私人 IP。他們中的許多人似乎都想向您指出諸如 10.xxx 之類的客戶端 IP。
這實際上是這份工作的要求嗎?
該 10.xxx 類型網路是我必須為其配備第二個路由器的實際實體子網,還是我的 DD-WRT 的 OpenVPN 伺服器為其自身「建立」的虛擬子網?
或者我可以使用我物理上擁有的單一私有子網路來完成所有這些操作嗎?
預先感謝您對我最初設定 OpenVPN 的深入了解。
答案1
openVPN IP 位址必須與您家庭網路的 IP 範圍不同,否則您會遇到麻煩。
另一方面,openVPN IP 位址僅在 openVPN 伺服器和連接裝置(例如您的筆記型電腦)之間使用。因此,您的筆記型電腦可能被指派為 10.8.0.2,而您的 openVPN 伺服器則為 10.8.0.1。這兩個 IP 位址(基本上)僅存在於 VPN 隧道內。原因是openVPN將在伺服器和用戶端上建立虛擬網路介面(例如tun0)並為其指派這些IP位址。沒有要設定的「實體」網路 10.8.0.0。
您可以設定openVPN(伺服器或用戶端)以了解您的家庭IP範圍192.168.0.0/24的路由,以便您
- 連接您的 VPN
- 您的筆記型電腦將被指派用於 VPN 隧道的 10.8.0.2
- 您可以開啟瀏覽器、SSH 或 Microsoft 終端機服務
- 並將其指向 192.168.0.x
您的 openVPN 伺服器/路由器本身有兩個 IP 位址:10.8.0.1 和 192.168.0.1。
路線對應的語句是
push "route 192.168.0.0 255.255.255.0"
在伺服器上和
route 192.168.0.0 255.255.255.0
分別在客戶端上。你只需要其中一個;在您的場景中,這取決於您將其放在哪個設定檔中。與 iptables 中的 IP 偽裝(我認為 openWRT 已經擁有)一起,它將允許您從遠端連接到您的家庭網絡,並從遠端瀏覽互聯網。簡單的例子:
Your laptop -> unencrypted, public WIFI -> internet
那麼將會是
Your laptop -> encrypted VPN -> openWRT -> internet.
因此,未加密的公共 WIFI 提供者或該 WIFI 內的嗅探器將無法讀取您的流量。
如果您想在不同的連接埠上執行 openVPN 伺服器,例如保護您免受連接埠掃描、腳本小子或類似的攻擊,請使用port 9411以下範例。
(編輯:將此答案下面的評論中的問題和答案添加到此答案中。)