我刚刚将老旧的 Netgear 路由器升级到 DD-WRT,我想使用内置的 OpenVPN 服务器组件来服务我家的私人单个子网。
所以我有这样的设置:[公共互联网]----[动态 DNS 主机]<---ISP--->[DD-WRT/OpenVPN-Server 路由器 192.186.0.1 与家庭私有子网 192.168.0.0/24 客户端]
我希望能够安全地使用我的家庭互联网连接,并在使用公共互联网或不安全的 Wifi 时安全地访问我的家庭私有子网机器。
我的 DD-WRT 可以作为 OpenVPN 服务器。
到目前为止,我读过的许多指南似乎都希望 OpenVPN 客户端拥有一个与我的单个私有子网地址不同的私有 IP。其中很多似乎都希望将客户端 IP 指向 10.xxx 之类的地址。
这实际上是实现此功能的要求吗?
10.xxx 类型的网络是否是实际的物理子网(我必须为其配备第二个路由器),还是我的 DD-WRT 的 OpenVPN 服务器为自己“创建”的虚拟子网?
或者我可以用我实际拥有的单个私有子网来完成所有这些工作吗?
在此先感谢您对我首次设置 OpenVPN 的见解。
答案1
openVPN IP 地址必须与您的家庭网络的 IP 范围不同,否则您将遇到麻烦。
另一方面,openVPN IP 地址将仅用于 openVPN 服务器和连接设备(例如您的笔记本电脑)之间。因此,您的笔记本电脑可能分配有 10.8.0.2,而您的 openVPN 服务器有 10.8.0.1。这两个 IP 地址(基本上)仅存在于 VPN 隧道内。原因是 openVPN 将在服务器和客户端上创建一个虚拟网络接口(例如 tun0)并将这些 IP 地址分配给它。没有要配置的“物理”网络 10.8.0.0。
您可以配置 openVPN(服务器或客户端)来了解到您家庭 IP 范围 192.168.0.0/24 的路由,以便您
- 连接你的 VPN
- 您的笔记本电脑将被分配 10.8.0.2 作为 VPN 隧道
- 您可以打开浏览器、SSH 或 Microsoft 终端服务
- 并将其指向 192.168.0.x
您的 openVPN 服务器/路由器本身将有两个 IP 地址:10.8.0.1 和 192.168.0.1。
路线对应的语句是
push "route 192.168.0.0 255.255.255.0"
在服务器上
route 192.168.0.0 255.255.255.0
在客户端上分别安装。您只需要其中之一;在您的场景中,将其放在哪个配置文件中取决于您的喜好。结合 iptables 中的 IP 伪装(我认为 openWRT 已经具备),它将允许您从远程连接到您的家庭网络,并从远程浏览互联网。简单示例:
Your laptop -> unencrypted, public WIFI -> internet
然后将是
Your laptop -> encrypted VPN -> openWRT -> internet.
因此未加密的公共 WIFI 提供商或该 WIFI 内的嗅探器将无法读取您的流量。
如果您想在不同的端口上运行 openVPN 服务器,例如为了保护您免受端口扫描、脚本小子或类似攻击,请使用port 9411作为示例。
(编辑:将此答案下方评论中的问题和答案添加到此答案中。)