ROUTE TO ROAMING 是否可以當作CLIENT TO SERVER 來看?
我有爬過文了 關於 PPTP 與 OPENVPN的差異...
不管是加密方式或優缺點...
現行的PPTP已經可以被暴力破解..只要有足夠的時間..
如果被有心人從WIFI截到VPN封包的話..破解是遲早的事...
那麼..如果我只是偶爾人在外面臨時要用到的話...
不致於會被人24小時盯著..然後截取我的VPN封包吧? VPN連線了不起就3~4個小時而已..
又...這麼多人在用PPTP ..有心人要如何找到我家的VPN SERVER..
然後破解我家的VPN連線加密?
我想說的是...會有人盯著隨便一台VPN SERVER 然後 破解..
然後撈一些片子回來看嗎?
如果我是什麼大企業的高層或是政府官員..被盯上的可能性才比較大吧?
OPENVPN 的話 如果用AES-128或256加密..要破解就不是那麼容易的事..
尤其可以自定PORT以及不用這麼麻煩為了封包問題去做靜態路由....
但手持設備或是在外面臨時要用(朋友的電腦或手機)..又不可能隨身帶著KEY..
結果就會有點麻煩...
我的想法是這樣...
手持設備或沒帶到自己的設備時,
可能還是遷就實際狀況而以2組PPTP VPN連線設定+ 傳送所有流量 來因應...
人在東京,要連到京都,就PPTP-1連到京都的 RT-AC56U,
人在福岡,要連到大阪或桃園辦公室就PPTP-1連到京都的RT-AC56U+傳送所有流量(使用預設閘道).
人在千葉,連到桃園辦公室,可以PPTP-2連到桃園辦公室的 RT-AC68U
人在台北,要連到桃園辦公室就PPTP-2連到桃園辦公室的 RT-AC68U,
人在高雄,要連到京都或大阪就PPTP-2連到桃園辦公室的 RT-AC68U+傳送所有流量(使用預設閘道).
人在花連,要連到大阪,可以PPTP-1連到京都的RT-AC56U+傳送所有流量(使用預設閘道).
laptop或PC因為要加入靜態路由相對容易...所以沒必要勾選 傳送所有流量(使用預設閘道).
因為要充份使用硬體,且已經很習慣使用DD-WRT,我都是裝台省電的ESXi主機,
然後跑DD-WRT x86與NAS、winxp等3套VM,反正都24X365..
先假設環境與硬體條件:
-------------------------------------------------------------------------------------------
A點在京都 當VPN SERVER
A-1.一台ROUTE DD-WRT x86,LAN IP是 192.168.101.1,使用pppoe上網,
使用DDNS為kyoto1011.no-ip.org,
可以架設OPENVPN SERVER 或 PPTP SERVER 也可以當CLIENT.
A-2.一台AP RT-AC56U LAN IP是 192.168.101.3,使用pppoe上網,
使用DDNS為kyoto1013.no-ip.org,
可以架設OPENVPN SERVER 或 PPTP SERVER 也可以當CLIENT.
A-3.有台NAS IP是 192.168.101.100/24 gate是192.168.101.1
A-4.WIN-PC 2台,內部區網是192.168.101.0/24
---------------------------------------------------------------------------------------------
B點在 大阪 VPN CLIENT
B-1.一台ROUTE DD-WRT x86,使用DHCP上網,IP 為10.10.200.200,
LAN IP是 192.168.103.1,
可以架設OPENVPN SERVER 或 PPTP SERVER 也可以當CLIENT.
B-2.有台NAS IP是 192.168.103.100/24 gate是192.168.103.1.
B-3.WIN-PC 2台,內部區網是192.168.103.0/24.
----------------------------------------------------------------------------------------------
C點在 桃園辦公室 VPN CLIENT
C-1.一台ROUTE DD-WRT x86,LAN IP是 192.168.105.1,使用pppoe上網,
使用DDNS為taiwan1051.no-ip.org,
可以架設OPENVPN SERVER 或 PPTP SERVER 也可以當CLIENT.
C-2.一台AP RT-AC68U LAN IP是 192.168.105.3,使用pppoe上網,
使用DDNS為taiwan1053.no-ip.org,
可以架設OPENVPN SERVER 或 PPTP SERVER 也可以當CLIENT.
C-3.有台NAS IP是 192.168.105.100/24 gate是192.168.105.1.
C-4.WIN-PC 2台,內部區網是192.168.105.0/24
-----------------------------------------------------------------------------------------------
X 為 移動設備
android 2台
iphone 1台
Win Latop 3台
------------------------------------------------------------------------------------------------
預想的連線與使用方式:
1.C-1 用 OPENVPN / SITE to SITE 連線到 A-1 (可以用DDNS嗎?)
2.B-1 用 OPENVPN / ROUTE TO ROAMING 連線到 A-1 (因為沒有實體IP 對嗎?)
3.A、B、C點的PC 可以互相存取檔案、NAS、RDP或是RSYNC備份NAS
4.A點與C點的AP 加入 靜態路由 使之PPTP VPN連線進來的設備可以存取任何一處的檔案..
(如果是AP在內部加路由把 目的封包推到 VPN SERVER的話...是否手機也不用自定路由
目前我在AP上有加靜態路由..可是PPTP連線下 手機若沒開 傳送所有流量..還是沒法找到另一處的NAS )
5.自己的手機或LAPTOP 安裝OPENVPN 的APP或GUI,隨時可以存在三個點的資料..
6.如果不是自己的手機或人在外面需要臨時改稿卻又沒帶LAPTOP..
就用系統內建的VPN連線連到AP內建的PPTP VPN SERVER,RDP到ESXi上的WINXP去改檔案..
因為大部份狀況下只是臨時存取某些檔案、改稿或看影片..
只要檔案一撈到設備上或稿件改完..就可以關閉 VPN連線..
持續連線的時間較短..所以不見得安全性上有破綻(如果是高官的話就不一定了)
這樣的OPENVPN與PPTP VPN搭配的使用方式應該可以兼顧安全性與方便性吧?
------------------------------------------------------------------------------
如前面提到的..習慣使用DD-WRT...所以想請問一下..
1.現在已經做好了ca.key、ca.crt、dh1024.pem、server.key、server.crt、shared.key
client01.key、client01.crt (client01~08 一口氣做了8組)
產生的證書本身跟我OPENVPN之後打算要用的AES-128加密有無關係?
2.我看別人在PC上用OPENVPN時會建一個config參數設定檔.ovpn,
DD-WRT本身已經寫到GUI了,所以應該不需要這個檔案...
但這些功能要從OPENVPN對應到DD-WRT時..很多功能我看不懂..
尤其除了ca 證書外..還有一堆什麼key或TLS等完全不知是做啥的存在..
目前SERVER端我先參考這一篇 這一篇教學 因為為這篇也是用DD-WRT內的GUI去設定的...
對於一些有看得懂的 我改成以下設定
OpenVPN = "Enable" ; Startup Type = "Wan Up"
Config as - Server (原教學是選GUI,如果選Daemon 就沒有接下來的選項可以設定)
Server mode - Router(Tun)
Network - 192.168.100.0
Netmask - 255.255.255.0
port - 28001
Tunnel Protocol - UDP
Encryption Cipher - AES-128 CRC (我選擇AES-128的加密方式)
Hash Algorithm - SHA1
Advanced Options - Enable
Use LZO Compression - Disabled (我選擇關掉壓縮傳輸)
Redirect default Gateway - Disabled (關掉後是否代表 不作為預設閘道 ?)
Allow Client to Client - Enable (這部份是代表可以 讓CLIENT 之間相通?)
Allow duplicate cn - Enable (複製cn? 這是幹什麼用的? 是給多站點狀況下用的嗎?
TLS Cipher - Disable (這是指不要使用TLS伺服器嗎? TLS是幹什麼用的?)
Additional Config - push "dhcp-option DNS 8.8.8.8" (如果不作為預設閘道..是否就不用填? 是否可以將routing push rule填在裡面?)
如果我是要做多站點 SITE TO SITE 與 LAPTOP 也可以用OPEN VPN site to roaming連進去...
是否就是開啟剛才做好的相關檔案 把檔案內的東西 貼進 GUI內的相應文字框?
接下來這部份有些不懂...
CA Cert(公共伺服器端證書) = ca.crt
Certificate Revoke List = blank (不知做啥用的)
Public Server Cert = server.crt
Private Server Key = server.key
DH PEM = dh1024/2048.pem
參考你前一篇說的..做出來的shared.key..我要填在哪裡? ca.key要填嗎? 填在哪裡?
我用的這一版DD-WRT內還多了一些 可以 填入的設定
CCD-Dir DEFAULT file
Client connect script
Static Key (是否為 shared.key ?)
PKCS12 Key
TLS Auth Key (我從教學文章的Remark (6)中看到 If TLS authentication is to be implemented, populate the content of ta.key(generated in step #1 remark) to the field "TLS Auth Key "
Begin from "-----BEGIN OpenVPN Static key V1-----" to "-----END OpenVPN Static key V1-----" inclusive.
為什麼TLS Auth Key是填入Static key (shared.key的內容?)
我在這篇 http://wadihzaatar.com/?p=11 看到 是把 key的內容寫到static.key內
按照教學做完後:
5. Reboot router and see status at Status > OpenVPN
If VPN server is up properly, GUI>Status > OpenVPN, State will show message "Server: CONNECTED:Local Address:Remote Address 192.168.60.1".
可是我的Remote Address 並沒有出現192.168.100.1...我確定有修改過適合我這邊的防火牆指令..
...。真這樣搞,日本那邊很可能會抓狂
