Så här konfigurerar du ett VPN på din router med OpenVPN steg för steg

  • Fördelar, nackdelar och viktiga krav för att konfigurera OpenVPN på en router för hemmet eller den professionella routern.
  • Praktiska guider för att konfigurera OpenVPN på TP-Link-, ASUS- och Omada-routrar.
  • Krypteringsrekommendationer, avancerad säkerhet och felsökning av vanliga anslutningsfel.
  • Alternativ till OpenVPN och tips för att välja den lämpligaste VPN-tjänsten och utrustningen för varje scenario.
Daniel Terrasa

14 minuter

Router konfigurerad med OpenVPN-server

Konfigurera ett VPN direkt på routern med OpenVPN Det är ett av de mest kraftfulla och flexibla sätten att skydda hela ditt hem- eller företagsnätverk utan att behöva installera appar på varje enhet. När det görs korrekt kommer alla enheter som ansluter till ditt Wi-Fi eller via kabel att få åtkomst till internet via en krypterad tunnel, som om de fysiskt befann sig i ett annat nätverk.

Den här guiden samlar in, omorganiserar och utökar teknisk information från tillverkare som TP-Link, ASUS, Omada och den officiella OpenVPN-dokumentationen så att du har allt du behöver i en artikel: vad det är OpenVPNVad du vinner och förlorar genom att använda det, hur du konfigurerar det på routrar och servrar, hur du ansluter från PC och mobil, och hur du löser de vanligaste felen.

Vad är OpenVPN och varför ska man använda det på sin router?

OpenVPN är en VPN-programvara med öppen källkod Den skapar en krypterad "tunnel" mellan en klient (din bärbara dator, mobiltelefon etc.) och en server (din router, en Linux-server, en NAS etc.). Den fungerar via SSL/TLS, vilket möjliggör användning av digitala certifikat, nycklar, användarnamn och lösenord, och en mängd olika moderna krypteringsalgoritmer.

En av dess stora fördelar jämfört med andra protokoll som IPsec är att det är enklare att ställa inDessutom är den tillgänglig på praktiskt taget alla operativsystem (Windows, macOS, GNU/Linux, Android, iOS, routrar, brandväggar, NAS…).

När du installerar och aktiverar OpenVPN på routern, routern i sig fungerar som en VPN-server. Ditt lokala nätverk blir den "säkra sidan", och fjärrenheter (VPN-klienter) ansluter från utsidan av ditt hem eller kontor via internet, alltid krypterade. Routern fungerar som en gateway mellan VPN och ditt lokala nätverk.

Resultatet är att du kan surfa säkert från offentliga WiFi-nätverkFå åtkomst till dina interna resurser (NAS, skrivare, IP-kameror, SMB/FTP-servrar…) som om du vore hemma, och dölj även din riktiga IP-adress eller kringgå geografiska blockeringar beroende på hur du har konfigurerat.

openvpn

Fördelar och nackdelar med att använda VPN och OpenVPN

Att konfigurera ett VPN på routern med OpenVPN har många praktiska fördelarMen det finns också några nackdelar du bör vara medveten om innan du börjar, så att du kan välja rätt utrustning, internetleverantör och installationsmetod. Här är listan:

  • Möjlighet att ändra eller dölja din IP-adress.
  • Kryptera trafik för att förhindra att du blir spionerad (särskilt användbart på öppet WiFi).
  • Åtkomst till innehåll begränsat per land.
  • Surfa med en mycket större grad av anonymitet.

I sekretessavsnittet, VPN:et hindrar någon från att enkelt se. Webbplatserna du besöker och platserna du ansluter från spåras inte, även om din internetleverantör alltid har viss insyn. Ändå gör det det extremt svårt att spåra dig via sniffers, osäkra åtkomstpunkter eller delade nätverk.

I gengäld, Kryptering och routing via VPN-servern förbrukar resurser. De tenderar också att minska hastighet och tillgänglig bandbredd, särskilt om din router har för lite ström eller om du använder gratistjänster. Dessutom är ett bra antivirusprogram fortfarande viktigt, och du bör vara försiktig när du laddar ner programvara, eftersom ett VPN inte skyddar dig mot skadlig kod.

deras styrkor De är säkerhet, stabilitet, ett brett utbud av anpassningsmöjligheter (lager 2 eller 3, TUN- eller TAP-tunnlar, dynamisk IP utan problem, NAT-kompatibilitet...) och stor kontroll över brandväggsregler och startskript, men det kräver en god förståelse för dess konfiguration, särskilt om du ska anpassa algoritmer och certifikat.

Förutsättningar och viktiga överväganden (CG-NAT, publik IP och dynamisk DNS)

Innan du ens aktiverar OpenVPN på routern måste du kontrollera flera saker. nyckelord:

  • Om din router stöder en OpenVPN-server.
  • Se till att din internetanslutning har en offentlig IP-adress.
  • Om du behöver använda dynamisk DNS.

Många routrar i mellan- och avancerad prisklass från TP-Link, ASUS eller Omada har redan en integrerad OpenVPN-server, men inte alla modeller inkluderar den, och den är inte heller tillgänglig i alla firmwareversioner. Det är lämpligt att... Kontrollera din modells specifikationer och, om nödvändigt, uppdatera den inbyggda programvaran till den senaste versionen som erbjuds av tillverkaren.

Det mest kritiska kravet är ha en offentlig IP-adress på routerns WANOm din internetleverantör använder CG-NAT och ger dig en delad privat IP-adress (vanligt med 4G/5G-anslutningar eller vissa internetleverantörer) kommer du inte att kunna vidarebefordra portar från internet till din router, så VPN-tjänsten kommer inte att vara tillgänglig utifrån. I så fall måste du begära en statisk eller offentlig IP-adress från din internetleverantör.

Att kunna hitta din router med namn och inte med numerisk IP-adress är mycket praktiskt. aktivera en dynamisk DNS-tjänst på själva routern (NO-IP, DynDNS, tillverkarens egen tjänst, etc.). På så sätt kan du ansluta till mydomain.no-ip.org istället för att memorera din publika IP-adress, som kan ändras.

Dessutom, Det rekommenderas att synkronisera routerns systemtid korrekt med internet.Detta beror på att digitala certifikat och TLS-funktioner är beroende av korrekta datum och tider. En avvikelse kan orsaka ovanliga certifikatvalideringsfel.

openvpn

Hur OpenVPN fungerar på teknisk nivå och vilka lägen det erbjuder (TUN/TAP, UDP/TCP)

OpenVPN kan fungera i TUN- eller TAP-lägeoch använder UDP eller TCP som transportprotokoll. Varje val påverkar prestanda, kompatibilitet och vilken typ av nätverk som skapas mellan klienten och servern.

  • TUN-läget emulerar ett punkt-till-punkt-gränssnitt Den fungerar uteslutande med IP-trafik. Den är idealisk för att skapa ett nytt virtuellt subnät (till exempel 10.8.0.0/24) där VPN-klienter finns, separat från det fysiska lokala nätverket. Det är det vanligaste läget för fjärråtkomst och erbjuder vanligtvis bättre prestanda.
  • TAP-läget simulerar ett Layer 2 Ethernet-gränssnittDetta innebär att direkt inkapsla Ethernet-ramar. Detta gör att fjärrenheter kan vara på samma subnät som LAN:et, vilket är användbart när du vill att VPN-klienter ska se ut som "anslutna" till den lokala switchen, även om det kan orsaka problem om nätverksområden överlappar varandra och generellt är mindre effektivt.

Angående protokoll, UDP rekommenderas framför TCP För VPN-tunneln är TCP att föredra eftersom det undviker onödiga interna omsändningar och bättre motstår paketförlust och överbelastningsattacker. TCP är också möjligt, men det introducerar mer overhead och duplicerar sessionskontroller.

I praktiken rekommenderas de flesta konfigurationerna De använder TUN över UDP, med ett dedikerat virtuellt subnät för VPN och specifika vägar för att komma åt LAN:et eller för att tvinga all internettrafik genom tunneln.

Kryptering, certifikat och avancerad säkerhet i OpenVPN

En av OpenVPNs styrkor är att det låter dig med avsevärd precision välja symmetriska, asymmetriska och hashkrypteringsalgoritmer, såväl som TLS-versionen och olika ytterligare åtgärder mot denial-of-service-attacker.

För offentlig nyckelinfrastruktur (PKI)Det är vanligt att använda certifikat baserade på elliptiska kurvor (EC) istället för klassisk RSA. Till exempel kan Easy-RSA 3 konfigureras för att generera CA, servercertifikat och klientcertifikat med hjälp av secp521r1-kurvan och signera dem med SHA512, vilket resulterar i mycket säkra och relativt lätta nycklar.

I kontrollkanal (TLS-förhandling)OpenVPN stöder minst TLS 1.2 och, i senare versioner, TLS 1.3. Starka sviter med Perfect Forward Secrecy rekommenderas, såsom TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 eller de nyare TLS_AES_256_GCM_SHA384 och TLS_CHACHA20_POLY1305_SHA256 för TLS 1.3, och kontrollera alltid med openvpn --show-tls vad din installation stöder.

För datakanal (verklig VPN-trafik)De rekommenderade chiffrorna är AES-256-GCM eller AES-128-GCM, vilka integrerar autentisering (AEAD) och eliminerar behovet av en separat hash. Om din processor inte stöder AES-NI-acceleration erbjuder CHACHA20-POLY1305-chiffern vanligtvis bättre prestanda och stöds även från OpenVPN 2.5 och framåt.

Ett annat viktigt extra lager är användningen av en extra HMAC-nyckel Med tls-crypt (eller tls-auth i äldre versioner), som skyddar den inledande fasen av anslutningen mot UDP-portöversvämningar, SYN-attacker och skanningar, döljs även den fördelade nyckeln när man använder tls-crypt. Alla klienter måste dela samma nyckel om man använder den första versionen, medan med tls-crypt-v2 kan varje klient ha en annan.

openvpn

PKI-skapande med Easy-RSA och certifikatorganisation

Om du sätter upp en "ren" OpenVPN-server på GNU/Linux eller liknandeVanligtvis skapar man egna certifikat med Easy-RSA 3, justerar vars-filen för att definiera om man ska använda RSA eller EC, hashen, kurvan, utgångsdatumet för CA och certifikaten, etc.

Efter att du har kopierat vars.example till vars och redigerat det kan du välja cn_only-läget för att förenkla DN:er, aktivera EASYRSA_ALGO ec, välja secp521r1-kurvan, konfigurera utgångsdatumet (till exempel 10 år för CA och 1080 dagar för certifikat) och ställa in EASYRSA_DIGEST till sha512.

Med den filen klar initierar du PKI med ./easyrsa init-pkiDu skapar certifikatutfärdaren med ./easyrsa build-ca (med eller utan lösenord på den privata nyckeln) och därifrån genererar du en certifikatförfrågan för servern och så många för klienter som du behöver, och signerar dem sedan som server respektive klient.

Vid denna tidpunkt rekommenderas det starkt organisera filer i tydliga mappar:

  • En för servern (ca.crt, server.crt, server.key, ta.key och eventuellt dh.pem om du inte använder ECDHE).
  • En för varje klient (ca.crt, clientX.crt, clientX.key och ta.key).

På så sätt undviker du att blanda ihop nycklar och certifikat.

Förutom certifikat tillåter OpenVPN användning av ytterligare autentisering med användarnamn/lösenord, antingen mot själva systemet eller mot en RADIUS-server eller annan databas, vilket förstärker säkerheten mot certifikatstöld.

Konfigurera OpenVPN-klienter på datorer, mobila enheter och routrar

Nästa steg är konfigurera fjärrklientervilket kan vara Windows- eller Linux-datorer, Android/iOS-mobiler, andra routrar eller till och med utrustning som ansluts från en kontroller som Omada.

I ett klassisk skrivbordsklientFilen client.ovpn innehåller direktiv som client, dev tun, proto udp, fjärrlinjen med routerns publika IP-adress eller domän och den valda porten, resolv-retry infinite, nobind och sökvägen till ca.crt, klientens eget certifikat och nyckel, plus tls-crypt ta.key.

För ökad säkerhet, klienten validerar servern Med `remote-cert-tls server`, använd samma chiffer och autentisering som servern, och replikera helst samma TLS-sviter som stöds. Det är avgörande att chiffern och kurvorna matchar; annars kommer TLS-handskakningen att misslyckas.

På Android kan du använda den officiella OpenVPN-appen eller mer avancerade tredjepartsapplikationer som stöder de senaste funktionerna. Vanligtvis räcker det att kopiera mappen som innehåller ca.crt, cliente.crt, cliente.key, ta.key och .ovpn-filen till telefonens minne och sedan importera den profilen från själva appen.

På Windows, OpenVPN Community-klienten Den förväntar sig vanligtvis att du kopierar .ovpn-filen och certifikaten till C:\Program Files\OpenVPN\config (eller den sökväg som angavs under installationen). Högerklicka sedan på OpenVPN-ikonen i systemfältet, välj profilen och anslut.

tp-länkförlängare

Konfigurera OpenVPN på TP-Link-routrar

Flera nya generationens TP-Link-routrar levereras med en integrerad OpenVPN-server i sitt avancerade webbgränssnitt, vilket förenklar saker och ting avsevärt eftersom det automatiskt genererar certifikaten och .ovpn-filen för klienter.

I ett enkelt scenario med en enda router i nätverketFlödet är vanligtvis: gå till webbgränssnittet, gå till Avancerat > VPN-server > OpenVPN, markera Aktivera VPN-server och, om det är första gången, klicka på Generera för att skapa det interna certifikatet.

Därefter görs valet typ av tjänst (UDP eller TCP), serviceporten definieras mellan 1024 och 65535, VPN-subnätet och -masken konfigureras och klientåtkomsttypen väljs: Endast hemnätverk (endast LAN 192.168.xx) eller Internet och hemnätverk (all internettrafik passerar genom VPN).

Efter spara konfigurationen och generera/uppdatera certifikatenKlicka på Exportera för att ladda ner OpenVPN-konfigurationsfilen som klienterna kommer att använda. Installera sedan helt enkelt OpenVPN-klienten på din dator eller mobila enhet, kopiera den exporterade filen till konfigurationsmappen och anslut.

När det finns två eller fler routrar i hemtopologin (till exempel en internetleverantörsrouter och en TP-Link-router bakom den), förutom att konfigurera OpenVPN på den andra routern måste du skapa en portvidarebefordran (virtuell server) på den första, där den externa porten pekar till den andra routerns LAN-IP och samma interna port som OpenVPN använder.

Konfigurera OpenVPN på ASUS-routrar

mycket ASUS-routrar med ASUSWRT-firmware De inkluderar också en OpenVPN-server med ett ganska användarvänligt grafiskt gränssnitt, även om skärmarna ändras något mellan firmwareversioner före och efter 3.0.0.4.388.xxxx.

Processen börjar åtkomst till routerns grafiska gränssnitt Från http://www.asusrouter.com eller din LAN-IP, logga in med ditt administratörsanvändarnamn och lösenord och gå till VPN > VPN-server för att aktivera OpenVPN.

I de allmänna inställningarna serverporten är definierad (till exempel 2000 eller ett värde mellan 1024 och 65535), standard RSA-krypteringslängden och återigen om klienter endast kommer att kunna komma åt det lokala nätverket eller även internet via routern.

När allt har tillämpats, client.ovpn-filen exporteras Från OpenVPN-serveravsnittet. Den filen innehåller redan nödvändiga certifikat, nycklar och parametrar. Om du senare ändrar nycklarna eller certifikaten måste du exportera den igen och distribuera den till klienterna.

I avsnittet VPN-detaljer > Avancerade inställningar Du kan manuellt redigera nycklar och certifikat, justera parametrar som TLS-version eller algoritmer och anpassa konfigurationen till mer krävande miljöer utan att behöva röra vid den inbyggda programvaran.

Konfigurera OpenVPN på Omada (TP-Link) som en server och skapa användare

I kontrollstyrda miljöer omada Du kan definiera VPN-policyer av OpenVPN-servertyp för klient-till-plats-åtkomst, vilket är idealiskt när du vill centralisera hanteringen i en enda panel.

Från den kontrollenhet du kommer åt Konfiguration> VPNDu klickar på Lägg till för att skapa en ny policy och anger ett namn (till exempel "test"), ställer in det på Aktiverat, väljer Klient till Webbplatsens syfte och VPN-typ: VPN-server - OpenVPN.

I samma policy Du bestämmer om du vill använda en delad eller full tunnelVälj mellan Split Tunnel, så att endast trafik till det interna nätverket går via VPN, eller Full Tunnel, så att all internettrafik också går via servern. Du väljer också protokoll (TCP/UDP), serviceport (standard 1194), autentiseringsläge (lokalt), lokal nätverkstyp och intervallet av IP-adresser som ska tilldelas klienter.

Despues Du skapar VPN-användare i Inställningar > VPN > AnvändareDetta innebär att tilldela ett kontonamn och lösenord, välja OpenVPN-protokollet och länka användaren till den nyskapade VPN-servern. Varje användare kommer då att ha sina grundläggande inloggningsuppgifter.

Slutligen exporteras .ovpn-filen från policylistan.Kopiera filen till klienten (PC, bärbar dator etc.), installera OpenVPN Community-programvaran, placera filen i konfigurationsmappen och anslut. Du kan kontrollera statusen på kontrollenheten under Insikt > VPN-status.

Senaste OpenVPN-uppdateringar och tillgängliga alternativ

OpenVPN fortsätter att utvecklas med varje versionhar lagt till förbättringar av säkerhet, prestanda och användbarhet. Nyligen genomförda ändringar inkluderar tls-crypt-v2 (för att tilldela klientspecifika nycklar och ytterligare mildra DoS-attacker), stöd för CHACHA20-POLY1305 och förbättrad förhandling av datachiffer med hjälp av datachiffer.

Samtidigt, Stöd för föråldrade chiffer har dragits tillbaka såsom BF-CBC i standardkonfigurationer, vilket uppmanar administratörer att använda AES-GCM eller CHACHA20, vilka är mycket säkrare och snabbare i praktiken.

I företag är det också vanligt kombinera OpenVPN med molnlösningar som Azure VPN Gateway eller med brandväggar som integrerar IPsec och andra protokoll för site-to-site-anslutningar, medan en välkonfigurerad OpenVPN-kompatibel router i hemmiljöer vanligtvis tillhandahåller allt som behövs.

Med allt sett, Konfigurera ett VPN på din router med OpenVPN Det går från att vara något mystiskt till ett helt hanterbart projekt om man uppfyller de grundläggande kraven (publik IP, kompatibel router, lite tålamod) och följer en tydlig struktur: förbered certifikat eller använd de som genereras av routern, aktivera och justera servern, exportera konfigurationen för klienter och testa lugnt, korrigera typiska fel; i gengäld får man ett mycket säkrare och mer flexibelt nätverk, redo både för distansarbete och för att skydda alla enheter hemma i ett svep.