Для чего нужен VPN-туннель между двумя роутерами? Чтобы объединить ресурсы локальных сетей в единую сеть. В примере, рассмотренном ниже, используются два обычных роутера, где первый – служит VPN-сервером, второй – клиентом, и создается туннель. При этом, роутер с VPN сервером – должен иметь постоянный IP. Если все, приведенное выше, для вас актуально, дальше — читаем внимательно.

Что мы получим?

Топология соединений – такая:

На схеме, «красный» роутер – это «сервер», а «синий» – «клиент». Вместе — они образуют туннель. Заметим еще раз, что IP-адрес в «глобальной» сети у «сервера» — должен быть постоянным (фиксированным). Протокол VPN, других вариантов – не позволяет. Канал VPN через роутер — «сервер» – идет в Интернет, где его видит роутер-«клиент».

В примере, рассмотренном дальше, внутренний IP первого роутера: 192.168.0.1, адреса всех устройств – отличаются только в последней цифре. Внутренний IP «клиентского» роутера- уже отличается (вместо предпоследнего «0», там – «1»). Соответственно, после «прокладки» туннеля, мы объединим две локальных сети: 192.168.0.хх и 192.168.1.хх.

Теперь – вопросы практические

Сразу оговоримся: мы будем использовать «не заводские» прошивки. А именно, это dd-wrt. В качестве «сервера», возьмем WRT54GL от Linksys, он будет работать под управлением v24-vpn-generic:

Установка должна проходить в два этапа (сперва mini-build в качестве «первоначальной» прошивки, затем – собственно, «vpn»).

В качестве роутера «филиала» (то есть, «клиентского» роутера), может быть роутер с прошивкой dd-wrt на ядре 2.6-kernel (в названиях – обозначается «K2.6»). Вообще, прошивка нужна, возможно, и с более старым ядром (со встроенным «open-vpn» — оьязательно).

Примечание: ознакомьтесь с процессом установки данных прошивок! Для разных моделей, действия – будут различны. Рекомендуется только опытным пользователям.

Настроим туннель VPN

Как настроить VPN на роутере – рассматривают во многих обзорах. Там речь идет об оборудовании Cisco и прочем, способном создать «серьезную» сеть. Однако, прошивки dd-wrt позволят нам быстро включить wifi роутер с VPN – сервером (просто, пишется скрипт начальной загрузки).

В прошивке для «сервера», такой, как мы взяли, «open-vpn» — реализован. Vpn-демон, нужно просто включить и настроить скриптом. Чтобы создать туннель, роутер openvpn «с сервером» – нужен только один. А сейчас мы рассмотрим, как настроить VPN-«клиент».

Настройка VPN-клиента

Заходим в web-интерфейс. Вкладка «Administration» -> «Commands», позволяет устанавливать скрипт:

Если нажать «Save Startup» — скрипт будет выполнен при начальной загрузке. А «Save Firewall» — это скрипт «файервола».

Стартовый скрипт для клиентского роутера:

#перейти в каталог

#начинаем создание файла

remote 10.10.10.10

#первой строкой здесь – соединяемся с «сервером» (мы должны знать его IP)

#выбрали протокол

#и – значение порта (по умолчанию, в open-vpn старых версий — было «5000»)

#внутреннее «имя» устройства-туннеля

secret /tmp/ key.key

#этот файл — будет содержать ключ

#это – чтобы автоматически подключался к «серверу» при обрыве (раз в 15 сек)

» > client1-main.conf

#файлик с конфигурацией — был сохранен

тут должен быть ключ (надо подставить)

#записали файлик с ключом

ln -s /usr/sbin/openvpn /tmp/myvpn

#указали на нужный нам демон (точнее, на файл)

/tmp/myvpn —mktun —dev tun0

#открытие туннеля, настройка

ifconfig tun0 10.0.1.2 netmask 255.255.255.0 promisc up

# значение для IP VPN

route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.1.1

#здесь мы объединили две сети

/tmp/myvpn —config client1-main.conf

#применили настройки для tun0-туннеля

На этом – все. И заметим, что «адрес» туннеля – мы придумали сами (с другими IP — не связан никак).

Без скрипта файервола, как мы не старались – работать не будет. А скрипт – следующий:

iptables -I INPUT 2 -p udp —dport 1194 -j ACCEPT

#разрешение на прием

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT

#теперь, полученные из туннеля пакеты (и направленные в него) – файервол «игнорирует»

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

В результате, страница настроек — выглядит так:

Настройки для «сервера»

Стартовый скрипт «серверной» части «туннеля» – выглядит проще:

Все – то же самое, но без «remote». До строки с «ifconfig».

Эта строка – будет с другим аргументом tun0:

ifconfig tun0 10.0.1.1 netmask 255.255.255.0 promisc up #серверный VPN IP не равен клиентскому

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.2

Нажимается «Save Startup». А скрипт файервола – здесь нужен тоже, и он — полностью совпадает с «клиентским».

Настройка VPN через роутер, на этом – завершена. Изменения всех настроек, как и скрипты, вступят в силу после перезагрузки (что касается и «клиентского» роутера»).

Генерим ключ с помощью OpenVpn

Как видим, настройка роутера VPN (как «сервера», так и «клиента») — оказалась не очень и сложной. В каждом скрипте, в приведенных примерах, мы писали: «здесь должен быть ключ». Разумеется, эту запись, при внесении скрипта в роутер – не нужно копировать.

С генерировать ключ VPN, можно программой под Windows. Название – не будет оригинальным, это — программа «OpenVpn».

Скачайте ее с официального сайта (openvpn.net), один exe-файл (приблизительно 5 Мегабайт). Запустите на установку (выбрав галочки, как на рисунке).

Для генерации файла с ключом, в Windows-консоли, вы наберете: openvpn.exe —genkey —secret key.txt. Примечание: предварительно, командой «cd», надо зайти в папку этой программы (затем – в папку /bin).

Ключ VPN – появится в созданном текстовом файле. Его «содержимое», вы копируете в каждый скрипт (ключ – один для «клиента» и «сервера»).

Результаты ваших действий

Каждый роутер с VPN – сервисом (будь это «сервер», или «клиент») – продолжает быть «роутером». Он — раздает сеть wi-fi, и т.д. Смысл «туннеля» — в «объединении» (все IP-адреса первой «локалки» – станут видимыми из другой, и обратно).

Конечно, все это – мы не придумали сами. Исходник статьи (на английском, но там — много лишнего) – взят с адреса: www.tux89.com/reseau/installation-de-openvpn-serveur-sur-le-routeur-dd-wrt/?lang=en.

Тесты скорости – демонстрируют, что канал VPN работает не так уж и быстро. Скорость доступа (между сетями), имеет границу в 5-6 Мбит/с. Возможно, сказались характеристики роутера Linksys (ведь Linksys WRT – являются «прародителями» dd-wrt). Любой современны D Link VPN роутер в качестве «сервера» — использовать с dd-wrt не удастся. Для dir-620, к примеру, подходит прошивка dd-wrt «от Asus RT-N13U B1». Но в этой прошивке, «open-wrt» — не предусмотрено. На более сильном железе, с прошивками «K2.6»-версий – результаты должны быть другими. Хотя, скорости в 3-5 Мегабит/с вполне хватит, если передавать небольшие файлы и данные.

Помните: установка «альтернативных» прошивок – лишает гарантии.

Если локальных сетей – больше двух

В этом случае, смысл – будет тот же. Взяв один «сервер», и n-1 роутер-«клиент» VPN, можно объединить n сетей. Будет проложен ровно «n-1» VPN-туннель, и по идее, вся «маршрутизация» — будет идти через «сервер» (а как же еще). Избежать серьезной нагрузки на «сервер», в этом случае – не удается. Для «домашнего» роутера – это будет приемлемо вряд ли (ну, максимум – 2-3 сети).

При добавлении нового «роутера» (то есть, локальной сети «n+1»), нужно вносить изменения в «серверный» скрипт. Такая настройка – для опытных администраторов.

Рассмотрим, как настраивать соединение в роутерах в случае, если провайдер использует VPN-тоннель. Связь по VPN роутер поддерживает, если в нем – реализованы протоколы соединений L2TP, PPTP, а для будущего – желательно и IPsec. В качестве примера «хорошей» реализации, был выбран роутер TL-WDR3600 фирмы TP-Link. Также, будет рассмотрено, как настроить соединение в бюджетных моделях D-Link.

Во-первых, сразу надо отметить, что если поддержка PPTP заявлена в инструкции, это не всегда значит, что все будет работать. Для доступа к ресурсам локальной сети провайдера, например, нужна поддержка «dual access» (двунаправленного доступа) по L2TP или PPTP. Что может обозначаться в инструкции, как Russian PPTP/ L2TP. Провайдер использует один из приведенных здесь протоколов (например, у «Билайна» был PPTP, но теперь все подключения постепенно переводят на L2TP).

Перед выполнением настройки, выполняют стандартные действия: подключают роутер к компьютеру (используя патч-корд), настраивают сетевую карту. Рассмотрим данную последовательность более подробно.

Действия, выполняемые перед настройкой роутера

Последовательность аппаратных подключений

На задней стенке роутера находится порт, обозначаемый как «WAN» или «Интернет». К нему подключают кабель провайдера:

Схема соединений

Затем, любой из портов LAN – соединяют с портом сетевой карты. Патч-корд (двусторонний сетевой шнур) обычно идет в комплекте.

Блок питания роутера должен быть включен в последнюю очередь. Перед включением, настраивают сетевую карту компьютера (на «Автоматическое получение» DNS и IP):

Свойства проводного соединения

Выполните настройку, нажмите «ОК», отправьте ПК на перезагрузку. После этого – включите роутер.

Инструкция является верной для роутеров любой фирмы (кроме очень старых моделей, где VPN, по идее, отсутствует).

Как начать работу с web-интерфейсом

Когда компьютер загрузится полностью, надо открыть любой браузер, и перейти к адресу 192.168.0.1. Должно появиться окно авторизации (используйте логин и пароль admin). Пробуем сделать, смотрим, что получится:

Адрес web-интерфейса

В качестве примера роутера D-Link, здесь рассматривается dir-330 vpn router (для него есть поправка: пароль – пустой).

Важно знать! Если открыть интерфейс – нельзя, выполняют аппаратный сброс. Через минуту после включения роутера, нажимают reset на его корпусе (удерживая кнопку 10-12 секунд).

Настройка VPN-соединения

Пример создания соединения L2TP в роутерах TP-Link

Мы рассматриваем настройку роутера TL-WDR3600. Открыв web-интерфейс, переходим к вкладке «Network» –> «Mac Clone»:

Вкладка настройки MAC-адреса

При создании соединения можно поступить двумя способами. Либо, провайдеру сообщается истинное значение MAC (которое отображено в верхнем поле). Либо, можно в это же поле установить другое значение (которое использовалось раньше). Есть возможность просто «скопировать» MAC с подключенного к роутеру компьютера (надо нажать «Clone Mac…»). Поменяв значение в верхнем поле, нажимают «Save».

Если с адресом MAC – все понятно, переходим к следующей вкладке. Она называется «WAN»:

Настройка L2TP в роутерах TP-Link

Допустим, нужно соединение, работающее по протоколу L2TP с «динамическим» адресом. У нас VPN через роутер будет «двунаправленным»: надо выбирать L2TP/Russia L2TP. В этом случае, появится доступ к ресурсам провайдера.

Режим подключения лучше сделать «Автоматическим» (Connect Automatically). В завершение, нажимают «Save». Соединение должно появиться через минуту (на вкладке «Status» — смотрим блок с названием «WAN»). Успешной настройки!

Настройка для работы через модем

Порт WAN роутера – должен быть соединен с LAN-портом модема. Последний настраивают как «bridge».

Ну а в роутере настройки будут выглядеть, как указано выше. За одним исключением: не надо менять адрес MAC (сразу идем к вкладке «WAN», расположенной в разделе «Network»).

Пример создания соединения L2TP в роутерах D-Link

Разработчики сочли, что L2TP соединение может использоваться только с ADSL-модемом. Так что, настройка VPN на роутере – не предусматривает подмену адреса MAC.

Настройка L2TP в роутерах D-Link

На вкладке «Setup» -> «Internet», нажмите кнопку «Manual Internet…».

Страница изменит свой вид. Останется установить значения:

1. Тип соединения – «L2TP (Username/Password)»
2. Селектор – должен быть в значении «Dynamic IP» (у нас подключение с динамическим адресом)
3. Server IP/Name – может содержать как адрес, так и доменное имя VPN-сервера
4. L2TP Account – это «логин абонента» (что отмечают в русской инструкции)
5. L2TP Password – пароль абонента (с подтверждением)
6. Режим Connect Mode – рекомендуем перевести в «Allways-on»

В завершение, нажимают кнопку «Save Settings» (в сером блоке вверху). Соединение – должно появиться автоматически. Удачного роутинга!

Сравнение возможностей роутеров

Как видим, у каждого из устройств – есть плюсы и минусы. Возможность установки имени сервера VPN (вместо адреса) – это определенный плюс. Адрес может смениться, провайдер имеет на это право.

В то же время, доступ к полю MAC-адреса (в роутерах D-Link) при настройке VPN-клиента – был бы не лишним. Разработчики учли пожелания, теперь настройка D-Link dir-300 – выглядит так:

Настройка PPTP в роутерах dir-300 последних ревизий

Появился и «двунаправленный» VPN, и возможность клонирования MAC.

У D-Link, вдобавок, есть несколько вариантов интерфейса.

В «новом» варианте, подключение PPTP – настраивают так: