VPN Host-LAN OpenVPN na Windows

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – OpenVPN Community
Klient VPN – OpenVPN Connect

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: OpenVPN
– autentykacja: nazwa użytkownika i hasło
– urządzenia wykorzystują certyfikaty wygenerowane przez router Vigor
– adres WAN serwera VPN: stały (IP 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Routery Vigor nie akcelerują tunelu OpenVPN zatem jeśli zależy Ci na wysokiej przepustowości użyj IKEv2 EAP.

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykłademDynamiczny DNS (DrayDDNS).

Serwer VPN – router Vigor

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Włącz obsługę protokołu OpenVPN.
Wyłącz nieużywane protokoły VPN.
Przejdź do zakładki VPN and Remote Access >> OpenVPN -> General Setup.
Sprawdź ustawienia ogólne OpenVPN – wybierz algorytmy, włącz Certificate Authenication.
Routery DrayOS4 (Vigor 3912S, 3910, 2962, 2927, 2865, 2915, 2765, 2135) wspierają algorytmy AES-GCM (AES128-GCM, AES192-GCM, AES256-GCM), które są wymagane przez nowsze wersje klienta OpenVPN.
Wybierz Router generated certificates i kliknij przycisk GENERATE, aby router wygenerował certyfikaty.

Proces może potrwać kilka minut.
Po jego ukończeniu pojawią się certyfikaty.
Wygenerowane certyfikaty są zlokalizowane w Certificate >> Local Certificate oraz Certificate >> Trusted CA Certificate.
Przejdź do zakładki VPN and Remote Access >> OpenVPN -> Client Config.
Stwórz profil konfiguracji klienta VPN, który zaimportujesz do oprogramowania OpenVPN.
Kliknij przycisk Export, aby wygenerować plik .ovpn.

Wyeksportowany plik .ovpn zawiera m.in. certyfikat zaufanego CA, certyfikat klienta oraz klucz prywatny klienta, gdyż w omawianym przykładzie włączona jest opcja “Certificate Authentication” oraz certyfikaty zostały wygenerowane przez router.

Nowsze wersje klienta OpenVPN Community wymagają algorytmu AES-GCM, zatem jeśli używasz algorytmu AES256-CBC to upewnij się (jeśli nie ma to dodaj), że w wyeksportowanym pliku .ovpn są poniższe wartości:
“data-ciphers aes-256-cbc
data-ciphers-fallback aes-256-cbc”

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable this account
– Jako akceptowany protokół zaznacz OpenVPN
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’)

Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – OpenVPN Community

Zwróć szczególną uwagę na wersję klienta OpenVPN Community, gdyż oprogramowanie w wersji 2.5.x wykorzystuje OpenSSL 1.x.x, natomiast w wersji 2.6.x wykorzystuje OpenSSL 3.x.x, który może powodować problemy z połączeniem.
Jeśli podsiadasz router DrayOS4 (Vigor 3912S, 2927, 2865, 2915, 2765, 2135) to możesz użyć klienta OpenVPN zarówno w wersji 2.5.x jak i 2.6.x.
Jeśli podsiadasz router DrayOS3/DrayOS4 (Vigor 3910, 2962) to możesz użyć klienta OpenVPN w wersji 2.5.x (wsparcie klienta OpenVPN 2.6.x od wersji firmware 4.4.3).
Jeśli podsiadasz router DrayOS3 (Vigor 3220, 2952, 2926, 2862, 2762, 2133, LTE200) to możesz użyć klienta OpenVPN w wersji 2.5.x.
Jeśli podsiadasz router Linux (Vigor 3900, 2960) to możesz użyć klienta OpenVPN w wersji 2.5.x.

Pobierz plik konfiguracyjny .ovpn wygenerowany przez router.
Nowsze wersje klienta OpenVPN Community wymagają algorytmu AES-GCM, zatem jeśli używasz algorytmu AES256-CBC to upewnij się (jeśli nie ma to dodaj), że w wyeksportowanym pliku .ovpn są poniższe wartości:
“data-ciphers aes-256-cbc
data-ciphers-fallback aes-256-cbc”

Pobierz i zainstaluj oprogramowanie OpenVPN Community zgodne z posiadanym routerem.
Przejdź do obszaru powiadomień paska narzędzi Windows.
Kliknij Import file, aby zaimportować profil konfiguracji klienta VPN test.ovpn.

Przejdź do obszaru powiadomień paska narzędzi Windows.
Kliknij Connect, aby nawiązać połączenie.
Wpisz nazwę użytkownika oraz hasło.
Kliknij przycisk OK, aby połączyć.
Przejdź do obszaru powiadomień paska narzędzi Windows.

Klient VPN – OpenVPN Connect

Zwróć szczególną uwagę na wersję klienta OpenVPN Connect, gdyż oprogramowanie w wersji 3.3.x wykorzystuje OpenSSL 1.x.x, natomiast w wersji 3.4.x lub nowszej wykorzystuje OpenSSL 3.x.x, który może powodować problemy z połączeniem.
Jeśli podsiadasz router DrayOS4 (Vigor 3912S, 2927, 2865, 2915, 2765, 2135) to możesz użyć klienta OpenVPN zarówno w wersji 3.3.x jak i 3.4.x lub nowszej.
Jeśli podsiadasz router DrayOS3/DrayOS4 (Vigor 3910, 2962) to możesz użyć klienta OpenVPN w wersji 3.3.x (wsparcie klienta OpenVPN 3.4.x lub nowszej od wersji firmware 4.4.3).
Jeśli podsiadasz router DrayOS3 (Vigor 3220, 2952, 2926, 2862, 2762, 2133, LTE200) to możesz użyć klienta OpenVPN w wersji 3.3.x.
Jeśli podsiadasz router Linux (Vigor 3900, 2960) to możesz użyć klienta OpenVPN w wersji 3.3.x.

Pobierz plik konfiguracyjny .ovpn wygenerowany przez router.

Pobierz i zainstaluj oprogramowanie OpenVPN Connect zgodne z posiadanym routerem.

Zaimportuj profil konfiguracji klienta VPN test.ovpn.

Przejdź do dostępnych profili.
Kliknij Connect, aby nawiązać połączenie.