χρήση open vpn server σε rasberry pi - ερωτήσεις

[ggeo1]

Καλησπέρα,

 

Επειδή κατά πάσα πιθανότητα θα λείξω στο εξωτερικό και αναγκαστικά θα συνδέομαι σε public wifi spots, σκέφτηκα να φτιάξω ένα server σε rasberry pi.

 

Έχω κάποιες ερωτήσεις.

 

 

1) Θέλω τα πάντα (browsing,email,skype) να περνάνε μέσω vpn.

Τί κόστος θα έχει όλο αυτό σε ταχύτητα?Δεδομένου και ότι ο server θα είναι το rasberry pi.

 

2) Αν κοπεί το ρεύμα τι γίνεται?Θα πρέπει κάποιος να ανοίξει τον server?Υπάρχει περίπτωση να προγραμματιστεί έτσι ώστε να επανέρχεται μόνο του?

 

3) Aν υπάρχει κάποια καλύτερη πρόταση για τη σύνδεση σε δημόσιους χώρους με ασφάλεια. 

 

 

Ευχαριστώ

 

[xinetd]

Υπαρχει καλυτερη προταση, αγορασε ενα συμβατο με OpenWrt router με τουλαχιστον 8ΜΒ flash μνημης, περνα του OpenWrt και στησε εκει πανω τον OpenVPN server. Φτιαχνεις και ενα DDNS account στο noip.com, κανεις τις ρυθμισεις στο OpenWrt για DDNS και εληξε το θεμα.

 

Και ετσι στην περιπτωση διακοπης ρευματος, το router θα ξαναπαρει IP, θα σηκωσει DDNS και θα εισαι μια χαρα.

 

Το να στησεις OpenVPN σε OpenWrt ειναι πραγματικα αστειο...

http://wiki.openwrt.org/doc/howto/vpn.openvpn

 

Για Windows Client, χρησιμοποιω το Viscosity.

 

Εχει μια επιλογη "Send all traffic over VPN connection":

 

[ggeo1]

Λοιπόν,  αυτό το ρούτερ θα δρα και ως server δηλ.

Και από άποψη ταχύτητας?Κανονικά ,όπως κάθε ρούτερ?

 

To DDNS account γιατί χρειάζεται?Από άποψη ασφάλειας,τι παίζει με αυτό?

 

Ευχαριστώ

Επίσης , από τα λίγα που διάβασα,αν πάρω ένα τέτοιο ρούτερ υπάρχει περίπτωση σε ένα firmware update να μην υποστηρίζει το openwrt?Ή τη στιγμή που θα το αγοράσω πως ξέρω τι version θα έχει και αν το υποστηρίζει?

[xinetd]

H ταχυτητα το πιθανοτερο ειναι πως θα ειναι μικροτερη (λιγο εως πολυ) απο αυτην που εχεις στην ADSL τωρα.

Επηρεαζεται απο πολλα πραγματα στο VPN...

 

Το DDNS χρειαζεται για να ξερεις ανα πασα στιγμη την IP του router/server.

 

Aν αγορασεις ενα TP-Link για παραδειγμα με 8MB flash (το τονιζω για να μην αγορασεις με 4MB γιατι θα εχεις προβλημα μετα), μπορεις απο πριν να ρωτησεις το καταστημα ή τον πωλητη τεσπα τι εκδοση ειναι.

 

Οι μελλοντικες εκδοσεις OpenWrt θα συνεχισουν να υποστηριζουν ενα μοντελο που εχει ηδη υποστηριχθει.

 

Ενα καλο και φθηνο μοντελο ειναι το TL-WDR3600 εκδοση 1.1 εως 1.4

Αν αγορασεις αλλη εκδοση π.χ 1.5 (αν υπαρχει), μπορει να μην παιζει.

[ggeo1]

Ωραία , οπότε σε σύγκριση με server σε rasberry  είναι καλύτερα από την άποψη ταχύτητας και επανεκκίνησης (λόγω διακοπή ρεύματος)?

[xinetd]

Ναι, ακριβως.

Και θα ειναι πολυ πιο ευκολο να σεταρεις τον OpenVPN server, απ'οτι αν ειχες μια οποιαδηποτε διανομη Linux.

 

Παντως...

Πριν κανεις αγορα router, ψαξε οπως και δηποτε αν υποστηριζεται απο το OpenWrt.

Υπαρχουν οι σταθερες εκδοσεις, και οι δοκιμαστικες (το trunk που λεμε που ειναι διαρκως σε αναπτυξη).

 

Ειναι καλυτερο να αγορασεις ενα router που υποστηριζεται απο την τελευταια σταθερη εκδοση OpenWrt (Attitude Adjustment λεγεται), παρα απο το trunk.

[ggeo1]

Ok, ευχαριστώ πολύ!

[xinetd]

Τιποτα. Αν αγορασεις τελικα router και εχεις αποριες για το OpenWrt (πως να το εγκαταστησεις, τι ρυθμισεις να κανεις κλπ), ξαναμπες εδω και ασ'τες. Εχω κανει subscribe στο θεμα και θα το δω, εχω μαθει και κατι περισσοτερο απο τα βασικα του OpenWrt οποτε μπορω να σε βοηθησω...

[ggeo1]

Να σαι καλά,ευχαριστώ

[vasilisbilias]

Τιποτα. Αν αγορασεις τελικα router και εχεις αποριες για το OpenWrt (πως να το εγκαταστησεις, τι ρυθμισεις να κανεις κλπ), ξαναμπες εδω και ασ'τες. Εχω κανει subscribe στο θεμα και θα το δω, εχω μαθει και κατι περισσοτερο απο τα βασικα του OpenWrt οποτε μπορω να σε βοηθησω...

 

Γεια σου φίλε και μπράβο για τα ποιοτικά σχόλια. 

 

Αν κατάλαβα καλά κάνεις το router σου Vpn server αντί να βάλεις κάποιο Pc σωστά; 

[xinetd]

Σ'ευχαριστω Βασιλη για τα καλα λογια.

Αυτο ακριβως εχω κανει...

 

Ειναι πιο πρακτικο ετσι, απο ολες τις πλευρες.

 

- Καταναλωση ρευματος ελαχιστη.

- Ευκολια διαχειρισης (ssh).

- Το router εχει ενσωματωμενο switch, το pc δεν εχει.

- Μπορεις να "κουμπωσεις" πανω στο router και κανα δισκο USB και να τον βλεπεις αμεσα σε ολο το δικτυο.

 

κλπ κλπ...

 

Ααα.. και δεν χρειαζεται ρυθμισεις για routing, firewall, και αλλες τετοιες αφου υπαρχουν ηδη στο router...

[vasilisbilias]

Σ'ευχαριστω Βασιλη για τα καλα λογια.

Αυτο ακριβως εχω κανει...

 

Ειναι πιο πρακτικο ετσι, απο ολες τις πλευρες.

 

- Καταναλωση ρευματος ελαχιστη.

- Ευκολια διαχειρισης (ssh).

- Το router εχει ενσωματωμενο switch, το pc δεν εχει.

- Μπορεις να "κουμπωσεις" πανω στο router και κανα δισκο USB και να τον βλεπεις αμεσα σε ολο το δικτυο.

 

κλπ κλπ...

 

Ααα.. και δεν χρειαζεται ρυθμισεις για routing, firewall, και αλλες τετοιες αφου υπαρχουν ηδη στο router...

 

Σε ευχαριστώ για την άμεση απάντηση.

 

Από ότι είδα το OpenWrt είναι ένα λειτουργικό σύστημα για router και μάλιστα αρκετά καλό. 

 

Μπορείς να μου πεις εάν παρέχει κρυπτογράφηση (λογικά ναι) και πόσο ισχυρή είναι ; Επίσης, όσον αφορά τον σκληρό, λογικά θα παίρνει τροφοδοσία από κάποιο καλώδιο ρεύματος, γιατί αυτό που δίνει το usb δεν νομίζω να είναι αρκετό. 

[xinetd]

Καλα, ο δισκος θελει σιγουρα τροφοδοσια, δεν επαρκει το ρευμα της USB του router για να δουλεψει.

Χθες αφησα την παρακατω φωτο σε αλλο θεμα (περι συσκευης ανωνυμιας στις ειδησεις-lobby).

 

Ειναι απο τα logs του router...

 

 

Οποτε αν ερμηνευω καλα τα logs, η κρυπτογραφηση ειναι 1024 bit RSA...

Τουλαχιστον αυτη προκυπτει αν ακολουθησεις κατα γραμμα τις εντολες που δινονται στο wiki του OpenWrt...

[xinetd]

φιλε ggeo1, σου αφηνω τις παρακατω οδηγιες για εγκατασταση OpenVPN σε OpenWrt, μιας και θα σου χρειαστουν. Τα παρακατω προυποθετουν οτι ειναι συνδεδεμενο το router στο Internet, και πως εχεις εγκαταστησει και το πακετο "nano" για την επεξεργασια ορισμενων αρχειων. Αν εισαι familiar με το "vi", δεν χρειαζεται να το εγκαταστησεις.

Εγκατασταση πακετων:

opkg update
opkg install openvpn openvpn-easy-rsa

Επεξεργασια αρχειου /etc/easy-rsa/vars

nano /etc/easy-rsa/vars

Αλλαξε τις τιμες στα παρακατω.
Εγω συνηθως βαζω αυτα:

export KEY_COUNTRY="GR"
export KEY_PROVINCE="N/A"
export KEY_CITY="Athens"
export KEY_ORG="OpenWrt"
export KEY_EMAIL="root@localhost"
export KEY_EMAIL=root@localhost
export KEY_CN=OpenWrt
export KEY_NAME=OpenWrt
export KEY_OU=OpenWrt

cd /etc/easy-rsa/keys

Δημιουργια certificates:

build-ca

Πατας enter σε ολα:

Country Name (2 letter code) [GR]:
State or Province Name (full name) [N/A]:
Locality Name (eg, city) [Athens]:
Organization Name (eg, company) [OpenWrt]:
Organizational Unit Name (eg, section) [OpenWrt]:
Common Name (eg, your name or your server's hostname) [OpenWrt]:
Name [OpenWrt]:
Email Address [root@localhost]:

build-dh

θελει λιγο χρονο για να εκετελεστει η παραπανω εντολη.

build-key-server server

Αλλαζεις μονο την default τιμη του hostname.
Οταν σου ζητηθει να δωσεις password, δωσε ενα της αρεσκειας σου.
Παρακατω το password ειναι "my_password".

root@OpenWrt:/etc/easy-rsa/keys# 
build-key-server serverNOTE: If you run ./clean-all, I will be doing a rm 
-rf on /etc/easy-rsa/keysGenerating a 1024 bit RSA private 
key...................................++++++...........................................++++++writing 
new private key to 'server.key'-----You are about to be asked to enter 
information that will be incorporatedinto your certificate request.What 
you are about to enter is what is called a Distinguished Name or a DN.There 
are quite a few fields but you can leave some blankFor some fields there 
will be a default value,If you enter '.', the field will be left 
blank.-----Country Name (2 letter code) [GR]:State or Province Name 
(full name) [N/A]:Locality Name (eg, city) [Athens]:Organization Name 
(eg, company) [OpenWrt]:Organizational Unit Name (eg, section) 
[OpenWrt]:Common Name (eg, your name or your server's hostname) 
[server]:OpenWrtName [OpenWrt]:Email Address 
[root@localhost]: Please enter the following 'extra' 
attributesto be sent with your certificate requestA challenge password 
[]:my_passwordAn optional company name []:Using configuration from 
/etc/easy-rsa/openssl-1.0.0.cnfCheck that the request matches the 
signatureSignature okThe Subject's Distinguished Name is as 
followscountryName           
:PRINTABLE:'GR'stateOrProvinceName   
:PRINTABLE:'N/A'localityName          
:PRINTABLE:'Athens'organizationName      
:PRINTABLE:'OpenWrt'organizationalUnitName:PRINTABLE:'OpenWrt'commonName            
:PRINTABLE:'OpenWrt'name                  
:PRINTABLE:'OpenWrt'emailAddress          
:IA5STRING:'root@localhost'Certificate is to be certified until Dec 17 
21:00:14 2023 GMT (3650 days)Sign the certificate? 
[y/n]:y  1 out of 1 certificate requests certified, 
commit? [y/n]yWrite out database with 1 new entriesData Base Updated

Δημιουργια certificate χρηστη.

Θα σου ζητηθει να θεσεις password για το certificate και αλλο ενα για το export.
Παρακατω τα passwords ειναι "my_passwοrd2" και "my_password3".

Στο server's hostname αφηνεις το "anonymous", δεν το αλλαζεις σε "OpenWrt"

build-key-pkcs12 anonymous

root@OpenWrt:/etc/easy-rsa/keys# 
build-key-pkcs12 anonymousNOTE: If you run ./clean-all, I will be doing a rm 
-rf on /etc/easy-rsa/keysGenerating a 1024 bit RSA private 
key.....................++++++.++++++writing new private key to 
'anonymous.key'-----You are about to be asked to enter information that 
will be incorporatedinto your certificate request.What you are about to 
enter is what is called a Distinguished Name or a DN.There are quite a few 
fields but you can leave some blankFor some fields there will be a default 
value,If you enter '.', the field will be left blank.-----Country 
Name (2 letter code) [GR]:State or Province Name (full name) 
[N/A]:Locality Name (eg, city) [Athens]:Organization Name (eg, company) 
[OpenWrt]:Organizational Unit Name (eg, section) [OpenWrt]:Common Name 
(eg, your name or your server's hostname) [anonymous]:Name 
[OpenWrt]:Email Address [root@localhost]: Please enter the 
following 'extra' attributesto be sent with your certificate requestA 
challenge password []:my_password2An optional company name []:Using 
configuration from /etc/easy-rsa/openssl-1.0.0.cnfCheck that the request 
matches the signatureSignature okThe Subject's Distinguished Name is as 
followscountryName           
:PRINTABLE:'GR'stateOrProvinceName   
:PRINTABLE:'N/A'localityName          
:PRINTABLE:'Athens'organizationName      
:PRINTABLE:'OpenWrt'organizationalUnitName:PRINTABLE:'OpenWrt'commonName            
:PRINTABLE:'anonymous'name                  
:PRINTABLE:'OpenWrt'emailAddress          
:IA5STRING:'root@localhost'Certificate is to be certified until Dec 17 
21:06:47 2023 GMT (3650 days)Sign the certificate? 
[y/n]:y  1 out of 1 certificate requests certified, 
commit? [y/n]yWrite out database with 1 new entriesData Base 
UpdatedEnter Export Password:my_password3Verifying - Enter Export 
Password:my_password3root@OpenWrt:/etc/easy-rsa/keys#

Αντιγραφη ορισμενων αρχειων απο τον φακελο /etc/easy-rsa/keys στον φακελο /etc/openvpn

cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn/

Backup του original αρχειου /etc/config/openvpn και δημιουργια νεου στη θεση του.

mv /etc/config/openvpn /etc/config/openvpn.bak

nano /etc/config/openvpn

config 'openvpn' 'lan'
	option 'enable' '1'
	option 'port' '1194'
	option 'proto' 'udp'
	option 'dev' 'tap0'
	option 'ca' '/etc/openvpn/ca.crt'
	option 'cert' '/etc/openvpn/server.crt'        
	option 'key' '/etc/openvpn/server.key'
	option 'dh' '/etc/openvpn/dh1024.pem'        
	option 'ifconfig_pool_persist' '/tmp/ipp.txt'
	option 'keepalive' '10 120'
	option 'comp_lzo' '1'
	option 'persist_key' '1'
	option 'persist_tun' '1'
	option 'status' '/tmp/openvpn-status.log'
	option 'verb' '3'
	option 'server_bridge' '192.168.1.1 255.255.255.0 192.168.1.200 192.168.1.225'

Επεξεργασια του αρχειου /etc/config/dhcp

Θετουμε dhcp pool απο 192.168.1.50 εως 192.168.1.199
(αλλαγη της τιμης "start" απο 100 σε 50)

nano /etc/config/dhcp

option start    50
option limit    150

Restart του dhcp server:

/etc/init.d/dnsmasq restart

Ενεργοποιουμε το openvpn service, και το ξεκιναμε:

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Προσθετουμε καταχωρηση στο /etc/config/firewall για το OpenVPN
(κανουμε port forward δηλαδη)

 

nano /etc/config/firewall

config	'rule'
	option 'target' 'ACCEPT'
	option 'dest_port' '1194'
	option 'src' 'wan'
	option 'proto' 'tcpudp'
	option 'family' 'ipv4'

Κανουμε restart το firewall

/etc/init.d/firewall restart

Απο το γραφικο περιβαλλον, παμε στο LAN interface, και προσθετουμε το tap device στις bridged συσκευες.

 

Συνδεομαστε με winscp στο router (προσοχη: με SCP και οχι SFTP σαν πρωτοκολλο), και αντιγραφουμε (π.χ με drag & drop) καπου στον δισκο το certificate του χρηστη:

 

Το configuration του server εχει τελειωσει.

 

Windows Client configuration:

 

Κατεβαζεις το viscosity, το εγκαθιστας και φτιαχνεις μια νεα δοκιμαστικη συνδεση:

 

 

Στην καρτελα "Authentication", δινεις το μονοπατι του user certificate:

 

 

Δεξι κλικ πανω στη νεα συνδεση και "connect".
Θα σου ζητησει password.
Eιναι το "my_password3", που το ορισες κατα το export του certificate.

 

 

Θα γινει η συνδεση και θα δεις κατω στη μπαρα ενα balloon με ειδοποιηση.

 

 

Η δοκιμαστικη συνδεση ηταν επιτυχης.
Μπορεις πλεον να συνδεθεις και απο το internet.

 

Εγκατεστησε το πακετο luci-app-ddns

opkg update
opkg install luci-app-ddns

Φτιαξε account στο no-ip.com και περνα μετα τα στοιχεια στο web interface του router.

 

 

Φτιαχνεις στο viscosity μια νεα συνδεση και δινεις το hostname του ddns σου.

 

All done.

Επεξ/σία 20 Δεκεμβρίου 2013 από xinetd

[ggeo1]

Σε ευχαριστώ πολύ!Να σαι καλά!

Όταν το δοκιμάσω ,μάλλον αύριο ή μεθαύριο θα σε ενημερώσω.

 

Ευχαριστώ για το χρόνο σου.