Guia: configurando o openvpn em roteadores asus

O servidor OpenVPN nesses roteadores é uma funcionalidade que começou com o excelente mod de firmware RMerlin (baseado na implementação do OpenVPN feita no relativamente popular firmware de roteador Tomato), felizmente desde a versão 374.2050 do firmware oficial, A opção está incluída por padrão e é extremamente simples de configurar.

Isso não significa que não possamos configurar todos os detalhes como no passado, mas várias tarefas tediosas são automatizadas, como a geração de chaves públicas e privadas que antes precisavam ser executadas manualmente, permitindo a autenticação de certificados sem a necessidade de muito tempo ou conhecimento para o usuário.

Por que usar o OpenVPN em vez do servidor PPTP usual?

A resposta é simples: é um método muito mais seguro (consulte) do que o servidor PPTP, comumente usado em ambientes domésticos e roteadores devido à sua simplicidade, é relativamente padrão, não é significativamente mais caro em recursos, é muito mais flexível e, embora Algo tedioso de configurar é muito confortável uma vez familiarizado com o meio ambiente.

De fato, é fácil configurar um servidor PPTP em um computador com Windows, sem instalar nenhum software adicional, seguindo guias como o disponível em. Porém, é muito melhor configurá-lo no roteador, que além de nos salvar do requisito de redirecionar portas e criar regras de firewall, está sempre pronto para aceitar conexões. E se puder ser mais seguro que o PPTP, ou seja, o método que explicaremos com o OpenVPN, muito melhor.

Nota: Você também pode configurar um servidor OpenVPN em um PC comum, caso não possua um roteador com este firmware ou compatível com DD-WRT / OpenWRT. Para usuários interessados ​​neste ponto, recomendamos seguir o artigo correspondente no wiki Debian, que detalha perfeitamente os passos a seguir em

Manual de configuração passo a passo

Este não é um guia de configuração completo, mas um primeiro contato para ter um servidor básico em execução que pode ser configurado posteriormente para se adequar a cada usuário.

Os passos a seguir são os seguintes:

1. Nós nos conectamos ao roteador a partir de qualquer navegador, inserindo o IP na barra de endereço (por padrão 192.168.1.1, embora neste guia seja 10.20.30.1), identificando-nos com nosso nome de usuário e senha (por padrão admin / admin em roteadores Asus, mas se estivermos seguindo este guia, eles deverão demorar para mudar) Iremos ao menu VPN em opções avançadas e, na guia OpenVPN, selecione a primeira instância (Servidor 1), mova o comutador para a posição ON. Não é necessário, mas é recomendável adicionar usuários à nossa VPN; nesse caso, escolhemos testes / testes como usuário / senha, é claro que recomendamos o uso de uma senha mais robusta para usá-la em um ambiente real. Clicamos no botão "+" para adicionar o usuário e já podemos aplicar as alterações com o botão Aplicar localizado na parte inferior da página.

   

   OPCIONAL Ao ativar o servidor, vemos que apareceu um menu suspenso no qual podemos selecionar Configuração Avançada e alterar os parâmetros necessários. No nosso caso, usaremos a configuração padrão. Se queremos forçar o uso de nome de usuário e senha, este é o lugar para fazê-lo

   

   Para usuários que desejam uma configuração totalmente manual, é possível gerar nossos próprios certificados / chaves para os usuários que desejamos usar o easy-rsa, conforme descrito em Nesse caso, o mais simples é gerar as chaves do PC e configurar os três valores necessários clicando no link a seguir (keys é uma tradução incorreta de "keys", keys, no firmware):

   

   Esse tipo de configuração é bastante avançado, portanto, é recomendável que os usuários que desejam se aventurar nele configurem e testem primeiro um servidor com chaves geradas automaticamente. Não é uma boa prática para um neófito configurar o servidor dessa maneira sem experiência anterior.

1. Já temos o servidor funcionando. Agora precisamos transferir os certificados para os clientes para uma conexão segura. Você pode ver exemplos detalhados dos arquivos server.conf e client.conf (respectivamente client.ovpn e server.ovpn no Windows) com comentários e documentação, mas, no nosso caso, é muito mais fácil usar o botão Exportar

   O arquivo que obteremos terá a seguinte aparência (chaves excluídas por segurança):

   

   O parâmetro que marquei é o endereço do servidor, que provavelmente não foi configurado corretamente em alguns casos em que o DDNS não "sabe" o endereço para o qual aponta (como no meu caso, uso o Dnsomatic para ter um endereço que sempre aponte para meu IP dinâmico).

   Embora a configuração correta seja assim, com um endereço fixo, não há problema se você não tiver um DDNS configurado. Para testar, você pode preencher este campo com o IP da WAN do nosso roteador (o IP externo, ou seja, aquele que pode ser veja em http://cualesmiip.com ou http://echoip.com), com a desvantagem de que toda vez que nosso IP for alterado, devemos editar o documento para refleti-lo. Como a conexão é com o roteador, obviamente não precisamos redirecionar as portas, precisamos apenas configurar o cliente. Fazemos o download da versão mais recente do site https://openvpn.net/index.php/download/community-downloads.html; no nosso caso, será Windows e 64 bits. A instalação é simples e não a detalharemos. Para uso geral, não é necessário alterar nenhuma das opções padrão.

   

   Agora, dependendo da versão instalada, devemos copiar o arquivo que exportamos anteriormente (chamamos de client1.ovpn) para o diretório de configuração do cliente. No Windows, esse diretório será Arquivos de Programas / OpenVPN / config / ( Arquivos de Programas (x86) / OpenVPN / config / no caso da versão de 32 bits). Resta apenas executar o cliente como administrador; ele solicitará um nome de usuário e senha, além dos certificados que já estão no arquivo de configuração, se o tivermos configurado. Caso contrário, entramos diretamente. Se tudo der certo, veremos um registro semelhante a esse no log (captura feita em um cenário sem validação de senha). O ícone na tela verde da barra de tarefas confirma que estamos conectados e nos informará do IP virtual atribuído ao computador a partir do qual lançamos o cliente na VPN.

   

A partir deste momento, o equipamento se comportará como se estivesse fisicamente conectado à rede local gerenciada pelo roteador no qual configuramos o servidor OpenVPN.

Podemos monitorar todas as conexões desse tipo a partir do nosso roteador. Por exemplo, configurando-o conforme descrito e conectando-o no laptop, veremos algo como isso na seção VPN-> Status da VPN

Nota: Às vezes, é problemático conectar-se a uma VPN a partir de nossa própria rede (logicamente, pois é um uso bastante artificial tentar conectar uma rede local consigo mesma através de uma VPN), se alguém tiver problemas com a operação do Após seguir todas as etapas, seria altamente recomendável tentar a conexão de dados de um telefone celular (via tethering, por exemplo), com um pico de USB 3G / 4G ou diretamente de outro local.

Esperamos que este guia seja útil para você aumentar a segurança de suas conexões à rede doméstica do exterior. Incentive você a deixar qualquer pergunta ou comentário nos comentários.