Tomato (Toastman) OpenVPN nastavení

V nedávné době jsem zakoupil router Asus RT-N16, po prvním spuštění sem zjistil, že defaultní firmware neumí téměř nic použitelného. Proto sem v první řadě router upgradoval pomocí DD-WRT. Tento firmware není špatný, ale později sem objevil Tomato firmware. Respektive jeho úpravu Toastman firmware ve verzi tomato-K26USB-NVRAM60K-x.xx.xxxx.xMIPSR2-Toastman- RT-VPN.trx. Tento firmware má v základu mimo jiné podporu MediaServer, FTP, Samba (Windows Sharing), VPN … V tomto článku popíšu nastavení openVPN serveru v tomto firmwaru.

• Instalace firmware – instalace spočívá v nahrání staženého firmware do routeru, tento postup je již popsán v mnoha článcích

• Výběr položky v menu – viz. obrázek, a první záložku “Basic”

Zde je vhodné povolit “Start with WAN”. Toto nám zaručí že se VPN server spustí pokaždé, když bude připojena WAN (ve většině případů připojení k internetu)

• Dále nastavit “Interface Type” na Vámi vybrané
• TAP – zařízení připojené přes VPN se připojí na rozsah IP vaší sítě
• TUN – zařízení se připojí na vlastní subset IP adres (vhodné pokud používáte na obou stranách tunelu stejné IP rozsahy)
• “Protocol” doporučuji nechat na UDP (rychlejší spojení)
• “Port” je vhodné opět nechat na výchozí hodnotě 1194 pro TAP interface
• “Firewall” na “Automatic”
• “Authorization Mode” na TLS
• “Extra HMAC authorization (tls-auth)” nastavte podle Vašich preferencí
• “Client address pool” umožňuje nastavit rozsah přidělovaných IP adres, pokud je zatrženo použije se DHCP pool cílové sítě, včetně stejných pravidel (static IP, omezení přístupu…)
• Další záložku “Advanced” doporučuji pouze pro pokročilé uživatele
• Záložka “Keys” je pro nás nejzajímavější
• Klíče vygenerujeme například podle tohoto návodu
• Po vygenerování klíčů zde nastavíme kompletní obsah z uvedených souborů podle obrázku

• Vše potvrdíme tlačítkem “Save” a po uložení je možné server tlačítkem “Start Now” spustit
• Jestli se Vám vše podařilo nastavit správně tak na záložce “Status” uvidíme stav serveru. V případě neúspěchu zde bude informace, že nelze zjistit stav serveru.
• A je hotovo, klienty zle opět nastavit podle výše uvedeného návodu.

 

Jako aplikaci pro OS Windows doporučuji OpenVPN Portable. Soubor stáhneme, nainstalujeme a spustíme jako správce (instaluje se TAP ovladač, instalaci je nutné následně schválit).

Po instalaci je potřeba do path/OpenVPNPortable/data/config (path je cesta k aplikaci) nakopírovat soubory “ca.crt”, “clientX.crt” (kde X je číslo klienta), “client.key” (soubory jsme vygenerovali dříve) a “client.ovpn” (opět vytvořen podle dřívějšího návodu). Pak je již možné se pomocí connect připojit na Váš VPN server.