Создание VPN туннеля между двумя квартирами на базе роутеров с dd-wrt

Предыстория:

Собственно, задача — объединить дом 1 и дом 2. На вооружении имеем схемы: Дом 1: -internet пров. Beeline l2tp; psTV (196.168.2.13); dir615С2 (внут: 192.168.2.1, внеш: 95.24.х.х (будет клиентом VPN)) Дом 2: -internet пров. Interzet с белым ip; PS4 (192.168.1.13); dir615Е4 (внеш st.IP: 188.Х.Х.Х, внут: 192.168.1.1 (будет сервер VPN) На обоих роутерах были установлены прошивки от dd-wrt. Процедура установки не сложная, в интернете много информации на эту тему. Цель чтобы оборудование dir615с2 (далее «В») было доступно в локальной сети dir615Е4 (далее «А») и обратно.

Подготовка, проблемы, решение:

После установки dd-wrt и настройки подключения к интернету было замечено на роутере А отсутствие ping между клиентами, подключенными по lan (по wifi такой проблемы нет). Решается данная проблема двумя способами: 1. Установки прошивки dd-wrt от 04-18-2014-r23919 2. Заход во вкладку «Администратор — Команды » и выполнение команды:

swconfig dev eth0 set enable_vlan 1  swconfig dev eth0 set apply 

Увлекшись настройками, почувствовал желание сделать автоматическое отключение и включение WIFI, то ли с целью эксперимента, то ли для уменьшения количества излучающих приборов в квартире. Для это было найдено несколько решений: 1. Использование команд ifup,ifdown и командами cron. Для это во вкладке «Администратор» в пункте Cron пишем:

0 7 * * * root /sbin/ifconfig ath0 up  0 0 * * * root /sbin/ifconfig ath0 down 

Это позволит вкл. в 7:00 утра и выкл. 00:00 ночи. Но у меня как и у многих она не работала. 2. Этот метод заключается в использовании кнопки WPS/Перезагрузки на корпусе роутера. Для это в меню Services в пункте SES/AOSS/EZ-SETUP/WPS Button следует вкл. Turning off radio. Но каждый раз нажимать кнопку это не очень интересно. 3. Использование команды расписания работы WIFI:

nvram set radio0_timer_enable=1   nvram set radio0_on_time=000000011111111111111111   nvram commit  

Где 0 — выкл, 1 — вкл., в моем примере он вкл. в 7:00 а выкл. в 01:00. Теперь можно и приступить к настройке VPN. На «А» поднят сервер PPTP, а на «В» клиент. Убедится в работе VPN можно на вкладке «Статус — lan». В самом низу указывается, что клиент «В» подключен к серверу «А».(Настройки сервера и клиента проводились в Web интерфейсе) На сервере задавая имя и пароль следует ставить * через пробел. Если у вас, так же как у меня, роутер на базе Atheros AR7240, то возможно клиент VPN будет при подключении оставаться со своим локальным IP (не принимая ip из диапазона сервера). В этом случае необходимо добавить noipdefault в поле мппе шифрование. Также не лишним будет добавить —nobuffer в поле ип пптп сервера через пробел для выкл. буферизации. Теперь, когда у нас есть VPN-туннель, нам надо прописать маршрут в соседнею сеть. «А» имеет сеть 192.168.1.0/24 и ip как сервер VPN 172.16.1.1 «В» имеет сеть 192.168.2.0/24 и ip как клиент VPN 172.16.1.51 Для доступа из «А» в «В» нужно задать:

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1 

Для доступа из «В» в «А» нужно задать:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.1.51 

Так как при переподключении клиента к серверу VPN маршрут будет сброшен и его надо будет повторно задавать, было принято решение о написании Shell-скрипта. Он бы проверял периодически на наличие маршрута и в случае его отсутствия проверял поднятие туннеля, и при его наличии задавал бы маршрут. Выглядит он для сервера так:

#!/bin/sh  if  PPTP=`ip ro | awk '/192.168.2.0/ {print $1}'`;  test "$PPTP" = "192.168.2.0/24"  then  exit;  #Тут мы указали если есть в ip ro маршрут на сеть 192.168.2.0 то скрипт заканчивается иначе идем дальше else  if  PPTPup=`ip ro | awk '/172.16.1.51/ {print $1}'`;  test "$PPTPup" != ""  then  route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1  else  exit; # тут мы указали если в ip ro "VPN" соединение  не равно пустоте то добавить маршрут и закончить скрипт fi  fi  exit; 

Для клиента меняем 192.168.2.0 на 192.168.1.0, 172.16.1.51 на 172.16.1.1, 172.16.1.1 на 172.16.1.51. Теперь нам нужно сделать так, чтобы этот скрипт срабатывал по заданному интервалу. Это возможно сделать во вкладке «Администратор» в пункте Cron, пишем:

*/3 * * * * root /tmp/custom.sh 

Это нам даст запуск скрипта каждые 3 минуты, каждый час и каждый день. На этом настройка VPN туннеля закончена.

Расскажу о том, как настроить VPN-сервер на DD-WRT. VPN — это, вообще, очень интересная штука. Для меня, польза от VPN это шифрование траффика и безопасный доступ к домашней сети и к сервисам, которые в этой сети расположены.

Настроить VPN на DDWRT очень просто. Для начала нужно в web-интерфейсе роутера зайти в Services > VPN.

1. Переключатель напротив PPTP Server должен стоять в режими Enable.
2. Поддержка Broadcast мне не нужна.
3. Force MPPE Encription включу.
4. В DNS1 и DNS2 пропишу DNS-серверы Google: 8.8.8.8 и 8.8.4.4.
5. WINS1 будет равен DNS1. WINS2 можно оставить пустым.
6. Server IP0.0.0.0, хотя, думаю, подойдет 127.0.0.1 или внешний IP роутера, если он статичный.
7. Client IP — это диапазон IP-адресов, которые присваиваются VPN-клиентам.
8. CHAP-Secrets — это логин и пароль для подключения к VPN серверу. Пишется так: vpn_user * vpn_password *.

Настройка VPN на MAC

Для начала, нужно создать новое подключение. Делается это с помощью кнопки + под списком существующих подключений. Interface — VPN, VPN Type — PPTP. Имя сервиса, естественно, любое. Дальше в настройках подключения нужно указать IP сервера Server Address, имя пользователя в Account Name, тип шифрования, и, нажав на Authentication Settings... выбрать тип авторизации — password и ввести пароль.

16.01.2013 «Как рушатся комплексные системы», Ричард И. Кук О фундаментальных проблемах больших запутанных систем 7 паттернов для рефакторинга JavaScript-приложений Перевод отличной серии статей о проектировании и рефакторинге проектов Музыка для работы Мои плейлисты: теплый glitch, нежные девичьи голоса, интересная электроника и chillwave Ссылколог Коллекционирую полезные ссылки

Опубликовано 13.10.2017 · Обновлено 12.11.2017

реклама

Большинство Wi-Fi роутеров не поддерживают встроенную настройку VPN, но Вы можете воспользоватся альтернативной прошивкой. Возможно, самой популярной прошивкой для роутеров на сегодня является DD-WRT. DD-WRT — это бесплатное решение с открытым исходным кодом на базе Linux, которое работает с широким спектром сторонних беспроводных роутеров. Среди других преимуществ, большинство дистрибутивов DD-WRT позволяют пользователям настраивать соединения OpenVPN непосредственно с маршрутизаторе.

Преимущества настройка VPN на Wi-Fi роутере

1. можно подключить любое количество устройств через VPN;
2. можно подключать устройства, которые обычно не поддерживают VPN-подключения.

После этого вы можете подключить столько устройств, сколько хотите, к одному VPN-соединению, лишь бы только хватило полосы пропускания. Это могут быть устройства, которые обычно не поддерживают VPN или их приложения, например, игровые консоли (PlayStation, Xbox), мультимедийные устройства (Chromecast, Roku, Amazon Fire TV, Apple TV).

Первым делом Вам нужно выбрать подходящий сервис VPN. В этой статье мы составили список из ТОП 5 VPN для DD-WRT роутеров на основе следующих критериев:

• возможность загружать файлы конфигурации OpenVPN для каждого сервера;
• поддержка пользователей DD-WRT в виде техподдержки или наличие учебных пособий;
• соединения OpenVPN включают защиту от утечки DNS;
• быстрая и надежная работа;
• безопасность и отсутствие журналов.

ExpressVPN

ExpressVPN

ExpressVPN — лучший выбор для пользователей, которым нужен роутер поддержкой VPN. Поставщик предлагает учебные пособия, файлы конфигурации OpenVPN и постоянную поддержку клиентов с прошивкой DD-WRT. Кроме того, ExpressVPN имеет собственную облегченную прошивку для нескольких маршрутизаторов LinkSys, которые вы можете установить самостоятельно, или даже купить уже предварительно настроенные роутеры. Прошивка упрощает настройку, соединяет серверы и настраивает раздельное туннелирование для каждого устройства в вашем доме.

Защита от утечки DNS включена во все конфигурации сервера. Компания не ведет идентификационные операции или журналы метаданных. ExpressVPN использует самые высокие стандарты безопасности, в том числе 256-битное шифрование AES-канала и совершенную секретность. Он устанавливает золотой стандарт, когда дело доходит до скорости и стабильности. ExpressVPN может разблокировать геозависимые службы, которые большинство VPN не могут, например, US Netflix и Hulu.

Включает в себя 3 месяца бесплатно при покупке годового пакета. А также компания гарантирует 30-дневный возврата денег, поэтому вы можете просто попробовать без риска и получить возврат денег, если продукт вам не понравится.

IPVanish

IPVanish

Веб-сайт IPVanish включает в себя каталог файлов конфигурации OpenVPN и инструкции по их использованию, в том числе и для DD-WRT.

IPVanish поставляется с защитой от утечки DNS и встроенной защитой от утечки IPv6. Компания не хранит журналы активности пользователей и их метаданные. PPTP и OpenVPN доступны для пользователей DD-WRT, с 128-битным и 256-битным шифрованием, соответственно. И мы рекомендуем использовать последний вариант.

NordVPN

NordVPN предлагает техподдержку клиентов и учебные пособия для пользователей DD-WRT. Конфигурационные файлы OpenVPN для всех серверов NordVPN, включая VPN с двойным ходом и Tor через VPN-серверы, доступны для загрузки непосредственно с веб-сайта.

Встроена защита от утечки DNS. NordPVN поддерживает строгую политику «без журналов» и, таким образом, не сохраняет на своих серверах никакой информации, связанной с вашей онлайн-активностью. Для защиты ваших данных компания использует 256-битное шифрование военного класса, и вам не составит труда найти быстрый сервер в огромной сети серверов по всему миру. NordVPN может разблокировать US Netflix и Hulu, потоковые службы, которые неподсилу большинству VPN.

VyprVPN

VyprVPN

На веб-сайте VyprVPN есть обучающие материалы и сведения о конфигурации для подключения к любому из его серверов через OpenVPN и PPTP. Увы, но нет предварительно настроенных маршрутизаторов. Однако, если ваш маршрутизатор будет работать с прошивкой Tomato, VyprVPN сделает для этого специальное приложение VPN. Есть удобная живая техподдержка клиентов, если будет нужна помощь с настройкой OpenVPN.

Компания не ведет журналы трафика, но записывает исходящий IP-адрес пользователя. Эта информация сохраняется только в течение 30 дней. С другой стороны VyprVPN предлагает первоклассную защиту с 256-битным шифрованием, разблокировкой Netflix и фантастическую скорость работы.

CyberGhost Pro

CyberGhost Pro

CyberGhost предлагает учебник и конфигурации DD-WRT для коммерческих пользователей. Вы даже можете указать, какие функции вы хотите включить в пользовательскую конфигурацию при добавлении устройства из панели управления пользователя, например, предотвращение отслеживания, блокирование рекламы, принудительное HTTPS и сжатие данных.

CyberGhost не сохраняет активность или журналы метаданных. Для защиты вашего соединения с защитой от утечки DNS используется 256-битное шифрование. VPN хорошо зарекомендовал себя в наших тестах скорости.

Избегайте бесплатных VPN

Бесплатные виртуальные частные сети, как правило,

• используют плохую безопасность;
• могут размещать объявления в вашем браузерезаписывать активность просмотра для рекламодателей;
• ограниченное количество серверов, которые, как правило, перегружены;
• часто применяются ограничения пропускной способности или данных.

VPNBook — это один из поставщиков, который предлагает OpenVPN-конфигурации бесплатно, но относительно мало известно о том, кто стоит за организацией. В 2013 году коллектив Hacker Anonymous однажды обвинил VPNBook в том, что он предоставлял доступ к данным для правоохранительных органов. Это всего лишь один пример того, почему нужно осторожно  относится к выбору бесплатных VPN.

Будет ли DD-WRT работать на моем маршрутизаторе?

Не все маршрутизаторы поддерживают DD-WRT. Вы можете найти список поддерживаемых устройств на официальном сайте DD-WRT. Более дешевые и более новые роутеры с меньшей вероятностью поддерживают эту альтернативную прошивку. Старые маршрутизаторы могут использовать устаревшие версии DD-WRT, которые не поддерживают OpenVPN. Кстати, для вашего маршрутизатора потребуется не менее 8 МБ флеш-памяти.

Внимательно выбирайте правильную версию DD-WRT для своей модели роутера и тщательно следуйте инструкциям, приведенным на сайте DD-WRT. Попытка прошивки несовместимой версии или неправильного прошивки может навсегда повредить ваш роутер.

Как настроить OpenVPN на DD-WRT?

Прежде всего, перейдите на веб-сайт поставщика VPN и загрузите файлы конфигурации OpenVPN — у них будет расширение ovpn — для всех серверов, к которым вы хотите подключиться. Вам также понадобятся имя пользователя и пароль для VPN.

При подключении к роутеру, предпочтительно через локальную сеть, перейдите в панель управления роутером в веб-браузере. Как правило, для этого нужно ввести в строке браузера 192.168.1.1, если это не сработает, попробуйте 192.168.0.1.

1. войдите в свою панель управления, используя учетные данные, которые вы установили при первой установке DD-WRT;
2. перейдите на вкладку Services;
3. затем выберите VPN;
4. под OpenVPN Client включите Enable, появится панель конфигурации.

То, что вы делаете дальше, зависит от вашей версии DD-WRT. Если ваша прошивка имеет аутентификацию пользователя, вам необходимо открыть файл конфигурации для сервера, к которому вы хотите подключиться, с текстовым редактором, таким как Блокнот. Скопируйте настройки из файла конфигурации, включая адрес сервера (IP-адрес или доменное имя), имя пользователя и пароль. В зависимости от вашего провайдера вам также может потребоваться установить порт, туннельный протокол, шифрование или алгоритм хеширования.

настройки openvpn client

Если ваша прошивка не имеет аутентификации пользователя, найдите текстовое поле «Дополнительная конфигурация» и введите следующую команду:

auth-user-pass /tmp/auth.txt

Вы увидите несколько полей, которые соответствуют файлам в вашем конфигурационном файле OpenVPN. Откройте файл config (.ovpn) в текстовом редакторе, таком как «Блокнот». Вам нужно будет скопировать по адресу сервера (IP-адрес или доменное имя) и номер порта, которые отображаются после «удаленной» строки в файле конфигурации.

Чтобы настроить ключи и сертификаты, вам нужно проконсультироваться со службой поддержки или базой знаний поставщика VPN, чтобы получить правильные команды для входа в поле «Дополнительная настройка». Скопируйте и вставьте ключ аутентификации TLS, сертификат CA, сертификат открытого клиента, ключ частного клиента в каждое из соответствующих полей в панели мониторинга DD-WRT.

По завершении нажмите «Применить настройки», чтобы запустить VPN-соединение.

настройки openvpn client

Настройка DNS на маршрутизаторе

Если вы не хотите, чтобы ваш интернет-провайдер получал запросы DNS, которые могут передавать ваше местоположение и активность в браузере, вам также следует рассмотреть возможность установки DNS-серверов в DD-WRT. Хотя вы можете обычно указывать их на отдельных устройствах, вы можете позаботиться обо всех них сразу в DD-WRT.

В административной панели DD-WRT перейдите в раздел «Настройка» — «Базовая настройка». В разделе DHCP и введите DNS-адреса рядом со статическим DNS 1, 2 и 3. Вы можете использовать DNS-серверы Google, OpenNIC или DNS, предоставляемые вашим провайдером VPN.

настройка DNS в ddwrt

Нажмите «Сохранить» и «Применить настройки».

Мы еще не все сделали. Перейдите в раздел Службы — Услуги. В разделе DNSMasq в дополнительных параметрах DNSMasq введите эту команду, заменив «dns.ip.1.here» DNS-серверами, которые вы использовали выше:

dhcp-option=6, dns.ip.1.here, dns.ip.1.here, dns.ip.1.here, dns.ip.1.here

Включить DNSMasq. Это обеспечит отправку всех DNS-запросов через туннель VPN.

включение DNSMasq в DDWRT

Сплит-туннелирование в DD-WRT

В некоторых случаях необходимо чтобы определенные устройства имели доступ к интернет-трафику через VPN. Некоторые сборки DD-WRT позволяют разделить туннелирование, которое позволяет вам выбирать, какие устройства проходят туннелирование через VPN, а какие могут используют незашифрованную сеть провайдера.

Чтобы настроить сплит-туннелирование, в административной панели DD-WRT перейдите в раздел Сервис — VPN. Найдите поле маршрутизации на основе политик и введите IP-адреса для каждого из устройств, которые вы хотите пускать через VPN.

Если вы хотите включить раздельное туннелирование для определенных веб-сайтов, приложений, серверов или других назначений трафика, это нужно будет настроить в брандмауэре с помощью iptables. Откройте «Администрирование»> «Команды». В разделе «Межсетевой экран» нажмите «Изменить» и введите необходимые команды.

Как насчет PPTP?

Некоторые DD-WRT поддерживают протокол PPTP VPN, но мы не рекомендуем его использовать. Хотя он может работать как рудиментарный VPN, он имеет уязвимости безопасности.

Хотя PPTP проще настраивать и, как правило, он считается более быстрым, чем OpenVPN. Поэтому, если вас не беспокоит безопасность и конфиденциальность, а Вы просто хотите, чтобы VPN использовался в качестве базового прокси-сервера — настройте PPTP.

Недостатки использования VPN на роутере

Настройка VPN на роутере DD-WRT имеет очевидные преимущества, как описано выше, но у него есть и некоторые недостатки, которые следует учитывать.

1. все устройства туннелируются через одно VPN-соединение, которое, в зависимости от поставщика и сервера, может быстро перегружаться, если у вас много устройств, подключенных к одному роутеру;
2. если сервер перестает работать — отключить VPN или серверы переключения — это боль.

Предварительно сконфигурированные роутеры или настраиваемые прошивки, например, предлагаемые ExpressVPN, существенно устраняют эти недостатки.

Используемые источники:

• https://habr.com/post/270563/
• http://shuvalov.info/2013/01/16/ddwrt-vpn/
• https://routers.in.ua/luchshie-vpn-dlya-routerov-dd-wrt-i-kak-nastroit-openvpn/