Zyxel openvpn client windows

Первый этап настройки OpenVPN — генерация ключей для серверной и клиентской частей OpenVPN, необходимых для безопасного подключения. Мы рассмотрим самый распространенный вариант работы — один ключ сервера и неограниченное количество ключей клиентов. Для их создания понадобится установочный файл OpenVPN для систем Windows, который можно взять по ссылке: Windows Installer (32-bit или 64-bit). После его установки необходимо перейти в папку с установленным OpenVPN (по умолчанию: «C:\Program Files\OpenVPN»), открыть папку «easy-rsa», скопировать файл «vars.bat» (или если его нет, то файл «vars.bat.sample») и переименовать в «vars-server.bat», открыть его в любом блокноте для редактирования и заменить строки как в примере (или просто нажать на имя файла в примере для того, чтобы скачать его себе на компьютер):

Далее необходимо еще раз скопировать файл «vars.bat», но в этот раз дать ему имя «vars-client.bat», открыть его и заменить строки (будьте внимательны — несколько строк отличаются от предыдущего блока кода):

Далее нужно запустить Командную строку Windows (можно сделать с помощью сочетания клавиш Win+R, или выбрать в меню Пуск > Все программы > Стандартные) ввести в нее последовательно:

Далее после ввода команды, через пробел, необходимо ввести Имя_сервера, которое мы вводили в коде файла «vars-server», после чего в консоли могут возникать вопросы на которые нужно отвечать «yes» (если предоставляется выбор «y/n» или просто жать «Enter» когда запрашиваются данные (мы их уже указали в файле «vars-server»).

Следующие действия очень похожи на предыдущие — после ввода команды, через пробел, необходимо ввести Имя_клиента, которое мы вводили в коде файла «vars-client», после чего в консоли могут возникать вопросы на которые нужно отвечать «yes» (если предоставляется выбор «y/n» или просто жать «Enter» когда запрашиваются данные (мы их уже указали в файле «vars-client»).

После чего для проверки создания ключей зайдите в папку C:\Program Files\OpenVPN\easy-rsa\keys, там должны быть следующие файлы:

Если все они там присутствуют, то можно смело приступать к следующему этапу.

Установка пакетов необходимых для работы OpenVPN

Для установки пакетов OpenVPN необходимо подключившись по SSH к консоли ввести следующую команду:

Подготовка OpenVPN

Если планируется постоянное использование OpenVPN, то удобнее всего будет настроить его автозапуск, для чего нужно ввести следующую команду в консоли:

Первое что необходимо сделать — это скопировать файлы сгенерированных ключей в папку /media/DISK_A1/system/etc/openvpn/keys.

Настройка сервера OpenVPN

Необходимо отредактировать основной файл настроек OpenVPN, находящийся по адресу »/media/DISK_A1/system/etc/openvpn/openvpn.conf». Рассмотрим некоторые возможные настройки: Порт на который будут поступать соединения.

Протокол, по которому будет идти соединение.

Тип интерфейса и режим работы: tun = L3-туннель, tap = L2-туннель.

Файл, содержащий параметры Diffie Hellman.

Опция ca определяет корневой (root) сертификат, которым подписаны клиентские пары сертификат/ключ. Значение этой опции keys/ca.crt указывает месторасположение этого сертификата относительно каталога openvpn. (Или, иными словами, это открытый ключ сервера).

Каждый участник OpenVPN соединения в TLS режиме должен иметь собственный сертификат и файл с закрытым ключом. Каждый сертификат должен быть подписан закрытым ключом центра сертификатов, чей открытый ключ указывается в опции ca.

Закрытый ключ, который генерируется вместе с сертификатом, указанным в опции cert.

Использование режима TLS:

Режим работы сервера. По умолчанию OpenVPN работает в p2p-режиме (point-to-point или один-к-одному), при указании mode server он работает в режиме сервера со многими клиентами.

Конфигурация интерфейса. При помощи параметра ifconfig определяем IP адрес сервера и маску подсети.

Выделение пула IP адресов, которые будут выдаваться клиентам.

Если вы хотите, чтобы клиенты могли видеть друг друга, то необходимо добавить следующее:

Если вы хотите, что бы за клиентами закреплялись постоянные адреса, добавьте следующий параметр:

Он определяет файл, в котором будет сохраняться информация о машине и ее IP. Файл содержит строки: Имя машины,IP адрес. Во время работы, сервер с периодичностью в 600 секунд обновляет содержимое этого файла. При включении, сервер читает содержимое файла. Использование шифрования для повышения уровня безопасности соединения.

Макрокоманда «пинговать» противоположную сторону туннеля с указанным периодом 10 сек, при отсутствии встречных пингов в течение 120 сек, считать туннель упавшим и запускать пересоединение.

Не перечитывать заново файлы ключей при получении сигнала SIGUSR1 (переустановка соединения) или через интервал, указанный в опции «keepalive m n» (переустановить соединение через n секунд после отправки последнего icmp пакета клиенту, который остался без ответа).

Не закрывать или переоткрывать устройства TUN/TAP при получении сигнала SIGUSR1 или по прошествию интервала n опции «keepalive m n».

Использование компрессии для уменьшения объема передаваемого траффика.

Сохранение информации о текущих соединениях сервера:

Cохранять или добавлять лог в указанный файл:

Установка уровня детализации событий для логов.

Установка ограничения на повторяющиеся события в логах.

В итоге должно получиться что-то вроде следующего файла:

Настройка клиента OpenVPN

Настройка аналогична настройке сервера за исключением нескольких параметров, которые мы сейчас рассмотрим: Задание доменного имени хоста или IP адреса для соединения с сервером OpenVPN:

Включение постоянного обновления адреса сервера, если указано доменное имя хоста.

Эта команда заставляет клиента проверить сертификат, предъявленный сервером. Проверяется то, что сертификат именно серверный.

В итоге должно получиться что-то вроде следующего файла:

Задание правил IPTABLES

Для успешного функционирования OpenVPN нам понадобится добавить правила в IPTABLES. Проще всего это будет сделать создав (изменив) файл /media/DISK_A1/system/etc/firewall.d/fw.sh, в который внести необходимые строки. Обязательна только первая строка,а далее в зависимости от настроек:
Если наш OpenVPN настроен на порт 1194 и использует для соединения tcp:

Если наш OpenVPN настроен на порт 1194 и использует для соединения udp:

Настройка OpenVPN с форвардингом на роутере Zyxel Keenetic Giga II

Хотите получить из роутера практически полноценный Linux сервер с некоторым набором базовых программ на базе NDMS? В свое время, мой выбор пал на «Zyxel Keenetic Giga», он бюджетный и простой в настройке, да и в целом я в нем не разочаровался.

Однако, два года назад я так и не написал статью о том как получить из него полноценный Linux. Теперь же, мы купили себе вторую версию этого роутера «Zyxel Keenetic Giga II» и я всетаки заставил себя написать о настройке статью, поехали!

О прошивке

Сразу скажу, я усердно пробовал работать с прошивкой V2 (конкретно 2.04), но как бы я не пытался, так и не смог завести dropbear.

Почитав в интернетах о прошивке «V2», я понял что она сырая и не годится для расширения. В итоге я наткнулся на комментарий на 4pda и установил себе на Giga II прошивку «V1.11» (брал от сюда, ставил «Firmware-KEENETIC_GIGA_II-V1.11.RU.NDMS_140108210221.bin»), если файл уже не доступен, то пишите и я расшарю. Некоторые подробности о работе V1 на Giga II можно подчерпунть тут. Прошивку можно поменять в разделе «Система > Конфигурация», подробнее можно ознакомится тут.

Из-за того что мы установили прошивку V1.11 — дальнейшие инструкции также корректны и для первой версии Giga.

Расширяем Keenetic, добавляем sshd и opkg

Берем флешку от 1Гб, форматируем её в ext3 (например в GParted). Можете ознакомится с официальными требованиями к USB носителю.

Далее, идем на страницу документации о системе opkg, действуем по их инструкциям и скачиваем нужный архив тут, у меня это был «ext_init.sh-r2.tar.gz».

Теперь создаем каталоги и копируем содержимое архива:

Проверяем права на файл «ext_init.sh», главное чтобы он был исполняемым (это мы сделали в последней строчке).

Теперь вставляем флешку в первый USB-слот (определится как «DISK_A1»), на главной странице панели администрирования Zyxel, в разделе «USB-накопитель» должна появится наша флешка. Переходим в раздел «Система > Журнал» и ожидаем примерно такую запись:

Теперь вы можете подключится по SSH.

Завершаем установку

Подключаемся по ssh:

Теперь перво-наперво сменим пароль:

Запускаем finish_install.sh для завершения установки:

Обновление системы и установка нужных приложений

Обновляем установленные пакеты:

И доустановливаем нужные:

Теперь настроим OpenVPN

Создадим файл /media/DISK_A1/system/etc/firewall.d/fw.sh с правилами для iptables со следующим содержимым:

Чтобы вы могли зайти на свой сервер из под VPN, добавьте перед последней строчкой:

Сделаем этот файл исполняемым:

В каталоге /media/DISK_A1/system/etc/openvpn надо создать конфиг клиента openvpn.conf и положить туда предварительно сгенерированные (или полученные от какого-либо сервиса) ключи. Вот пример возможного конфига:

Подробности опций и как сгенерировать нужные ключи можно почитать в моей статье о OpenVPN.

Если вы захотите запустить openvpn без init-скрипта, то столнетесь с проблемой с устройством tun:Эту проблему я быстро решил при помощи этой статьи, для этого надо создать каталог /dev/net и создать там файл устройства:Но после этого произошла новая проблема:
Я проверил через lsmod наличие модуля «tun» и не обнаружил его: Значит надо его подгрузить, т.к. modprobe не идет в поставку с нашим Linux, то я воспользовался insmod. Я нашел подходящий модуль и загрузил его: Теперь все впорядке, lsmod говорит что модуль подгружен.

Запускаем OpenVPN

Для того, чтобы после перезапуска системы у нас запускался демон OpenVPN самостоятельно, надо переименовать его init-скрипт из K11openvpn в S11openvpn:

Добавлять вызов /media/DISK_A1/system/etc/firewall.d/fw.sh никуда не надо, он запустится автоматически.

Я столкнулся с проблемой запуска модуля tun.ko в init-скрипте. Тот что был там указан выдавал следующее: в результате я нашел альтернативный и он корретно заработал:
после чего я поменял в файле S11openvpn на альтернативный модуль:

Впринципе всё, перезапустите роутер и должно все заработать как надо!

Обновление с zyxware на entware

Не особо рекомендую обновляться до entware, т.к. при запуске OpenVPN через init-скрипт я получал Segmentation Fault (правда если просто запускать openvpn openvpn.conf, то проблемы не наблюдалось), разбираться с этим мне не хотелось, т.к. для себя особого смысла обновляться я не видел. Главное отличие entware это большее количество пакетов чем в zyxware, так что если хочется, то попробовать всетаки можно. Ниже расскажу как это сделать:

Для этого вынем нашу флешку из роутера и запишем туда архив, который можно взять отсюда. Снова подключите флешку в первый USB-слот. В сети рекомендуют обновлятся через telnet, но я обновлялся по ssh:

После чего перезапустите роутер из веб-панели Zyxel. На вашей флешке, помимо каталога /system появится еще /opt. Все, теперь вы счастливый обладатель entware!

Комментарии

Дополнение: у меня были проблемы с качеством работы wifi, я грешил на многое, в том числе аппартаные проблемы (перегрев, флюс проводящий эл-во и т.д.). В итоге все было проще, в БЦ мешали друг-другу сети, а авто-режим выбирал всегда 1-ый канал. Но с помощью программы wifi-radar я выявил какой канал мне использовать (рекомендую выбирать из «неперекрывающихся» каналов 1/6/11):

А также оставил только 802.11n, выбрал короткую преамбулу и уменьшил мощность сигнала до 12%. После чего исчезли коллизии.

Вы не могли бы мне скинуть tun.ko ?
У меня ошибка
insmod: cannot insert ‘/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko’: invalid module format (-1): Exec format error

Но альтернативных модулей нет!

Помогите разобраться. Кинетик белый, при запуске демона пишет : Starting OpenVPN in daemon mode. failed. Где посмотреть в чем ошибка чего не хватает? Тунель не поднимает, модуль tun загружен.

VPN на все случаи жизни

Выбирайте: клиент/сервер PPTP, OpenVPN, IPSec, L2TP over IPsec

Для чего нужен VPN-клиент? Ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в интернет. До сих пор еще встречаются и провайдеры, дающие интернет именно по технологии VPN.

С точки зрения совместимости, вы можете подключаться по PPTP, OpenVPN, L2TP/IPsec с любого интернет-центра Keenetic. Иметь такой универсальный VPN-клиент особенно полезно, если при соединении сетей (например, чтобы получить доступ из городского дома к дачному) на одной стороне (обычно на даче) нет белого IP-адреса.

Помимо VPN-клиента, любая, даже самая младшая модель Keenetic имеет в арсенале аналогичные VPN-серверы: PPTP, OpenVPN, L2TP/IPsec.

Если вы не знаете, какой тип VPN выбрать, возьмите на карандаш, что во многих моделях Keenetic передача данных по IPSec (в том числе L2TP over IPsec) ускоряется аппаратно. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. PPTP наиболее прост и удобен, но потенциально уязвим. OpenVPN очень популярен в определенных кругах, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPsec.

Если провайдер выдает вам белый IP-адрес, рекомендуем обратить внимание на две опции: так называемый виртуальный сервер IPSec (Xauth PSK) и сервер L2TP over IPSec. Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Если вы вдалеке от дома, в незнакомом или подозрительно месте используете открытую сеть Wi-Fi, ваши данные могут быть перехвачены. Чтобы не волноваться об этом, включите обязательное туннелирование вашего интернет-трафика через домашнюю сеть. Для вас это будет совершенно бесплатно и не опаснее, чем если бы вы выходили в интернет из дома.

Интернета хватит и гостям, и хозяевам, а безопасность домашней сети останется на замке.

Добавьте цифровую телефонию

Несколько наших интернет-центров с USB-портом могут быть дополнены модулем Keenetic Plus DECT и функциями беспроводной телефонной станции