VPN Host-to-LAN OpenVPN

Instrukcja konfiguracji routera DrayTek z systemem DrayOS 3/4 w roli serwera VPN (respondera) dla połączeń OpenVPN Host-to-LAN (Remote Access).

Routery DrayTek z systemem DrayOS 4 to m.in. seria Vigor 2135, 2765, 2915, 2865, 2927, 2962, 3910, 3912
Routery DrayTek z systemem DrayOS 3 to m.in. seria Vigor 2133, 2762, 2862, 2926, 2952, 3220
Routery serii Vigor 2912, 2860, 2925 nie wspierają OpenVPN

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows

Główne założenia przykładu:
– typ tunelu VPN: Host-to-LAN (Remote Access)
– protokół VPN: OpenVPN
– autentykacja: nazwa użytkownika i hasło
– urządzenia wykorzystują certyfikaty wygenerowane przez router Vigor
– adres WAN serwera VPN: stały (IP 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykłademDynamiczny DNS (DrayDDNS).

Serwer VPN – router Vigor

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Włącz obsługę protokołu OpenVPN.
Wyłącz nieużywane protokoły VPN.
Przejdź do zakładki VPN and Remote Access >> OpenVPN -> General Setup.
Sprawdź ustawienia ogólne OpenVPN – wybierz algorytmy, włącz Certificate Authenication.
Routery DrayOS 4 wspierają algorytmy AES-GCM (AES128-GCM, AES192-GCM, AES256-GCM), które są wymagane przez nowsze wersje klienta OpenVPN.
Wybierz Router generated certificates i kliknij przycisk GENERATE, aby router wygenerował certyfikaty.
Pomiń ten krok jeśli certyfikaty są już wygenerowane i używane przez klientów OpenVPN.
Proces może potrwać kilka minut.
Po jego ukończeniu pojawią się certyfikaty.
Wygenerowane certyfikaty są zlokalizowane w Certificate >> Local Certificate oraz Certificate >> Trusted CA Certificate.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz OpenVPN.
– Wpisz nazwę użytkownika w polu Username (możliwe są różne formaty np. jkowalski, j.kowalski, jan.kowalski)
– Wpisz hasło polu Password

Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Przejdź do zakładki VPN and Remote Access >> OpenVPN -> Client Config.
Stwórz profil konfiguracji, który zaimportujesz do klienta VPN.
W ustawieniu Remote Server określ publiczny adres IP routera albo nazwę domeny routera.
Kliknij przycisk Download Configuration, aby pobrać konfigurację klienta w pliku .ovpn

Wyeksportowany plik .ovpn zawiera m.in. certyfikat zaufanego CA, certyfikat klienta oraz klucz prywatny klienta, gdyż w omawianym przykładzie włączona jest opcja “Certificate Authentication” oraz certyfikaty zostały wygenerowane przez router.

Nowsze wersje klienta OpenVPN Community wymagają algorytmu AES-GCM, zatem jeśli używasz algorytmu AES256-CBC to upewnij się (jeśli nie ma to dodaj), że w wyeksportowanym pliku .ovpn są poniższe wartości:
“data-ciphers aes-256-cbc
data-ciphers-fallback aes-256-cbc”Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows

Przykład OpenVPN z Windows