Openvpn для windows server 2003 r2

Topic Overview
----------------

 1.) Introduction
 2.) Prerequisites
 3.) Build Machine Setup
 4.) Build OpenSSL v1.1.1m
 5.) Build LZO v2.10 DLL
 6.) Build PKCS11-Helper v1.28 DLL
 7.) Build OpenVPN v2.5.4 include files
 8.) Build OpenVPN v2.5.4
 9.) Build OpenVPN-GUI v11.26 include files
10.) Build OpenVPN-GUI v11.26
11.) Build TAP-Driver v9.9.2
12.) Build NSIS-Installer
13.) OpenVPN configuration file changes for Windows XP
14.) Test if OpenVPN is working correctly
15.) OpenVPN v2.5.4 Windows XP SP3 bug
16.) Version and download link


1.) Introduction
------------------

OpenVPN v2.3.18 was the last version that officially supports Windows XP and Windows Server 2003.
We lately had the need to use the newer version 2.5.4 of OpenVPN to support stronger data ciphers
like AES-256-CBC. Therefore we decided to rebuild the whole package from the ground up to make it
compatible with Windows XP and Windows Server 2003. The following article describes in detail how
you can rebuild OpenVPN v2.5.4 for use on these older operating systems. The build process was a
long journey, because it seems that all official build instructions are partly useless and lead to
a dead end most of the time. For example the official instructions state that OpenVPN for Windows
is cross compiled on Linux, which is not true at all. We checked the binary and can say for sure
that it is a native Windows Visual Studio build!

The benefits of this new version include:

- support of stronger data ciphers like AES-256-CBC
- new TAP-Driver with a network speed of 1 GBit/s instead of 10 MBit/s
- severe bug on Windows XP SP3 solved where we can't connect to the VPN server

If you don't care about the build steps simply install OpenVPN v2.5.4 on Windows XP and Windows
Server 2003 by running the installer package "OpenVPN-v2.5.4.exe" in the root of this archive.

Important: The following steps to build OpenVPN can be done completely in offline mode. You do not
need an internet connection at all.


2.) Prerequisites
-------------------

We included all prerequisite packages in the download archive with the exception of the operating
system, compiler suite and an unpacker for 7-Zip archives. We used the following listed packages to
build the dependencies.

OpenSSL v1.1.1m
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- OpenSSL_v1.1.1mActivePerl-5.20.2.2002-MSWin32-x86-64int-299195.msi
- OpenSSL_v1.1.1mdmake-4.11.20080107.ppd
- OpenSSL_v1.1.1mdmake-4.11.20080107.tar.gz
- OpenSSL_v1.1.1mnasm-2.15.05-installer-x86.exe
- OpenSSL_v1.1.1mopenssl-v1.1.1m.7z

LZO v2.10 DLL
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- LZO_v2.10lzo-2.10.7z

PKCS11-Helper v1.28 DLL
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- PKCS11-Helper_v1.28.0pkcs11-helper-1.28.0.7z

OpenVPN v2.5.4 include files
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- OpenVPN_v2.5.4openvpn-2.5.4.7z

OpenVPN v2.5.4
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- OpenVPN_v2.5.4block_dns.c
- OpenVPN_v2.5.4config-msvc-version.h
- OpenVPN_v2.5.4openvpn-2.5.4.7z
- OpenVPN_v2.5.4route.c
- OpenVPN_v2.5.4tap-windows.h
- OpenVPN_v2.5.4tap-windows-master_for_XP.7z
- OpenVPN_v2.5.4tun.c
- OpenVPN_v2.5.4versionhelpers.h

OpenVPN-GUI v11.26 include files
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- MSYS2msys2-i686-20160205.exe
- MSYS2packages_20160205.7z
- OpenVPN-GUI_v11.26openvpn-gui-11.7z

OpenVPN-GUI v11.26
- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- OpenVPN-GUI_v11.26config.h
- OpenVPN-GUI_v11.26openvpn-gui-11.7z
- OpenVPN-GUI_v11.26versionhelpers.h

TAP-Driver v9.9.2
- Operating System: Windows XP SP3 or Windows Server 2003 R2 SP2
- Compiler Suite: Windows Driver Development Kit v7.1.0 (7600.16385.1)
- NSIS-Installernsis-2.50-setup.exe
- TAP-Driver_v9.9.2tap-windows-master_for_XP.7z

NSIS-Installer for OpenVPN v2.5.4
- Operating System: Windows XP SP3 or Windows Server 2003 R2 SP2
- NSIS-Installernsis-2.50-setup.exe
- NSIS-Installeropenvpn.nsi
- NSIS-Installeropenvpn-build-release-2.3.7z
- NSIS-InstallerOpenVPN-v2.3.18_last_version_for_XP.exe
- NSIS-InstallerVC-Redistributable_v14.27.29114.0_x86.exe


3.) Build Machine Setup
-------------------------

We need two machines for building OpenVPN v2.5.4. The first one with "Windows XP SP3 x86" or
"Windows Server 2003 R2 SP2 x86" and "Windows Driver Development Kit v7.1.0 (7600.16385.1)", the
second one with "Windows 10 x64 Build 21H2" and "Visual Studio Enterprise 2019 Version 16.0.1".
On both machines we need an unpacker for 7-Zip archives.

Packages build on first machine

- TAP-Driver v9.9.2
- NSIS-Installer for OpenVPN v2.5.4

Packages build on second machine

- OpenSSL v1.1.1m
- LZO v2.10 DLL
- PKCS11-Helper v1.28 DLL
- OpenVPN v2.5.4 include files
- OpenVPN v2.5.4
- OpenVPN-GUI v11.26 include files
- OpenVPN-GUI v11.26

Install Visual Studio 2019 on the second machine with the following workloads:

- Desktop development with C++
- on the "Installation details" on the right side check:
  - MSVC v141 - VS 2017 C++ x64/x86 build tools (v14.16)
- choose tab "Individual components" and select the following on the left side under the category
  "Compilers, build tools, and runtimes":
  - C++ Windows XP Support for VS 2017 (v141) tools [Deprecated]


4.) Build OpenSSL v1.1.1m
---------------------------

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- install "OpenSSL_v1.1.1mActivePerl-5.20.2.2002-MSWin32-x86-64int-299195.msi" to "C:Perl"
- install "OpenSSL_v1.1.1mnasm-2.15.05-installer-x86.exe" to "C:Program Files (x86)NASM"
- copy "OpenSSL_v1.1.1mdmake-4.11.20080107.ppd" to "C:dmake-4.11.20080107.ppd"
- copy "OpenSSL_v1.1.1mdmake-4.11.20080107.tar.gz" to "C:dmake-4.11.20080107.tar.gz"
- unpack "OpenSSL_v1.1.1mopenssl-v1.1.1m.7z" to "C:openssl-v1.1.1m"
- to build the shared release version open an administrative command prompt and type the following
  commands:
  REM change directory to root of drive C:
  cd C:

  REM install DMAKE Perl package
  ppm install dmake-4.11.20080107.ppd

  REM run VS2019 x86 command line and set correct variables
  "C:Program Files (x86)Microsoft Visual Studio2019EnterpriseVCAuxiliaryBuildvcvars32.bat"

  REM add NASM assembler to path variable
  set "PATH=C:Program Files (x86)NASM;%PATH%"

  REM change current directory to OpenSSL source code directory
  cd C:openssl-v1.1.1m

  REM We have to use the configure parameter "-D_WIN32_WINNT=0x0501" for Windows XP and Windows
  REM Server 2003.
  perl Configure VC-WIN32 -D_WIN32_WINNT=0x0501 --prefix=C:openssl-v1.1.1m-shared

  REM starts the build process and compiles all OpenSSL libraries and files
  nmake

  REM tests the inner workings of the OpenSSL libraries, this should be run mandatory to be sure
  REM that everything works as designed later on
  nmake test

  REM After this command the installation can be found in the directory "C:Program FilesOpenSSL".
  nmake install

After these steps the OpenSSL files will be present in the directory which you specified with the
"--prefix" parameter for the perl Configure command. In our case the shared release DLLs of OpenSSL
are present in the directory "C:openssl-v1.1.1m-shared". The include files we need are placed in
"C:openssl-v1.1.1m-sharedincludeopenssl". The library files we need are placed in
"C:openssl-v1.1.1m-sharedlib". We packed the complete directory into the included archive named
"OpenSSL_v1.1.1mopenssl-v1.1.1m-shared.7z".


5.) Build LZO v2.10 DLL
-------------------------

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- unpack "LZO_v2.10lzo-2.10.7z" to "C:lzo-2.10"
- to build the DLL release version open an administrative command prompt and type the following
  commands:
  
  REM run VS2019 x86 command line and set correct variables
  "C:Program Files (x86)Microsoft Visual Studio2019EnterpriseVCAuxiliaryBuildvcvars32.bat"
  
  REM change current directory to LZO source code directory
  cd C:lzo-2.10
  
  REM This will build the shared DLLs.
  Bwin32vc_dll.bat

We packed the complete directory into the included archive named "LZO_v2.10lzo-2.10-shared-DLL.7z".


6.) Build PKCS11-Helper v1.28 DLL
-----------------------------------

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- unpack "PKCS11-Helper_v1.28.0pkcs11-helper-1.28.0.7z" to "C:pkcs11-helper-1.28.0"
- to build the DLL release version open an administrative command prompt and type the following
  commands:
  
  REM run VS2019 x86 command line and set correct variables
  "C:Program Files (x86)Microsoft Visual Studio2019EnterpriseVCAuxiliaryBuildvcvars32.bat"
  
  REM change current directory to PKCS11-Helper source code directory
  cd C:pkcs11-helper-1.28.0lib
  
  REM starts the build process and compiles the PKCS11-Helper library
  nmake -f Makefile.w32-vc OPENSSL=1 OPENSSL_HOME=C:openssl-v1.1.1m-shared

We packed the complete directory into the included archive named "PKCS11-Helper_v1.28.0pkcs11-helper-1.28.0-shared-DLL.7z".
The DLL we use is located at "PKCS11-Helper_v1.28.0pkcs11-helper-1.28.0-shared-DLL.7zliblibpkcs11-helper-1.dll".


7.) Build OpenVPN v2.5.4 include files
----------------------------------------

The include file config-msvc-version.h is auto generated by the Visual Studio solution of OpenVPN.
The standard OpenVPN source code does not include this file, which is absolutely necessary to build
OpenVPN. In the following steps we describe how to generate the include file config-msvc-version.h.
The generated include file by this procedure is already present in the directory "OpenVPN_v2.5.4".

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- unpack "OpenVPN_v2.5.4openvpn-2.5.4.7z" to "C:openvpn-2.5.4"
- to build the file "config-msvc-version.h" open an administrative command prompt and type the
  following commands:
  
  REM change current directory to OpenVPN msvc-generate source code directory
  cd C:openvpn-2.5.4buildmsvcmsvc-generate
  
  REM run the java script file with parameters
  cscript //Nologo msvc-generate.js --config="C:openvpn-2.5.4version.m4" --input="C:openvpn-2.5.4config-msvc-version.h.in" --output="C:openvpn-2.5.4config-msvc-version.h"

After these steps the resulting file is located at "C:openvpn-2.5.4config-msvc-version.h".

Pay attention: This file does contain errors! It seems the PRODUCT_VERSION_PATCH has a wrong value
of ".4" instead of simply "4". Therefore also the PACKAGE_VERSION and PRODUCT_VERSION are wrong and
have both the value "2.5..4". This error is triggered by the file "C:openvpn-2.5.4version.m4" which
has the following define:

define([PRODUCT_VERSION_PATCH], [.4])

If we correct this line and remove the point, we get another error in the config-msvc-version.h file.
After this change the PACKAGE_STRING is "OpenVPN 2.54", which is missing a point, but both the
PACKAGE_VERSION and PRODUCT_VERSION are correct. We already corrected these errors manually in the
included file "OpenVPN_v2.5.4config-msvc-version.h".

The file tap-windows.h is copied from the archive "OpenVPN_v2.5.4tap-windows-master_for_XP.7zsrctap-windows.h".
The file versionhelpers.h is copied from the Windows 10 SDK version 10.0.17763.0 which comes with
Visual Studio 2019. We slightly modified it to make it work without additional include files like
winapifamily.h. The original file is located at "C:Program Files (x86)Windows Kits10Include
10.0.17763.0umVersionHelpers.h" after Visual Studio 2019 is installed.


8.) Build OpenVPN v2.5.4
--------------------------

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- unpack "OpenVPN_v2.5.4openvpn-2.5.4.7z" to "C:openvpn-2.5.4"
  This step is not necessary if you compiled OpenVPN v2.5.4 include files before!
- start Visual Studio 2019 > Create a new project > Empty Project > Next >
  Project name: openvpn
  Location: C:UsersPublic
  Solution name: openvpn
  check "Place solution and project in the same directory"
  > Create
- copy all files and directories from "C:openvpn-2.5.4srcopenvpn" to "C:UsersPublicopenvpn"
  Do not overwrite the files "openvpn.vcxproj" and "openvpn.vcxproj.filters".
- delete the following files from the directory "C:UsersPublicopenvpn":
  Makefile.am
  Makefile.in
- copy the file "C:openvpn-2.5.4config-msvc.h" to "C:UsersPublicopenvpn"
- copy the file "C:openvpn-2.5.4includeopenvpn-msg.h" to "C:UsersPublicopenvpn"
- copy the file "C:openvpn-2.5.4includeopenvpn-plugin.h" to "C:UsersPublicopenvpn"
- copy the file "OpenVPN_v2.5.4block_dns.c" to "C:UsersPublicopenvpn" and overwrite
  the existing file
  This newly created C source file contains code to support DNS leak blocking for Windows XP.
- copy the file "OpenVPN_v2.5.4config-msvc-version.h" to "C:UsersPublicopenvpn"
- copy the file "OpenVPN_v2.5.4route.c" to "C:UsersPublicopenvpn" and overwrite the
  existing file
  This changes the function get_default_gateway_ipv6 and simply returns, because Windows XP does not
  support IPv6 at all correctly without a dual stack in combination with IPv4. We can discard this
  completely and simply return from the function. The implementation of GetBestRoute in Windows XP
  does not support IPv6 at all.
- copy the file "OpenVPN_v2.5.4tap-windows.h" to "C:UsersPublicopenvpn"
- copy the file "OpenVPN_v2.5.4tun.c" to "C:UsersPublicopenvpn" and overwrite the
  existing file
  This changes the function windows_set_mtu to compile on Windows XP. The patch and function will
  not work at all. We tried several methods to set the MTU without success. Read the comments inside
  the code for more details.
- copy the file "OpenVPN_v2.5.4versionhelpers.h" to "C:UsersPublicopenvpn"
- copy "C:openssl-v1.1.1m-shared" to "C:UsersPublicopenvpnOpenSSL_v1.1.1m"
- delete the following directories:
  C:UsersPublicopenvpnOpenSSL_v1.1.1mbin
  C:UsersPublicopenvpnOpenSSL_v1.1.1mhtml
- copy "C:lzo-2.10" to "C:UsersPublicopenvpnlzo-2.10"
- delete all files and directories in the folder "C:UsersPublicopenvpnlzo-2.10"
  except "include", "lzo2.dll" and "lzo2.lib"
- copy "C:pkcs11-helper-1.28.0" to "C:UsersPublicopenvpnpkcs11-helper-1.28.0"
- delete all files and directories in the folder "C:UsersPublicopenvpnpkcs11-helper-1.28.0"
  except "include" and "lib"
- delete the following files:
  C:UsersPublicopenvpnpkcs11-helper-1.28.0includeMakefile.am
  C:UsersPublicopenvpnpkcs11-helper-1.28.0includeMakefile.in
  C:UsersPublicopenvpnpkcs11-helper-1.28.0includepkcs11-helper-1.0Makefile.am
  C:UsersPublicopenvpnpkcs11-helper-1.28.0includepkcs11-helper-1.0Makefile.in
  C:UsersPublicopenvpnpkcs11-helper-1.28.0includepkcs11-helper-1.0pkcs11h-version.h.in
- delete all files in the folder "C:UsersPublicopenvpnpkcs11-helper-1.28.0lib" except
  "libpkcs11-helper-1.dll" and "pkcs11-helper.dll.lib"
- in VS2019 Solution Explorer right click on openvpn "Header Files" > Add > Existing Item... > in the
  "File name" field enter "*.h" and press Enter > select first header file press Shift and click on
  the last header file > Add
- right click on openvpn "Resource Files" > Add > Existing Item... > select "openvpn_win32_resources.rc" > Add
- right click on openvpn "Source Files" > Add > Existing Item... > in the "File name" field enter "*.c" and
  press Enter > select first C source file press Shift and click on the last C source file > Add
- in Solution Explorer right click on "Solution 'openvpn' (1 project)" > Add > New Project... >
  Empty Project > Next >
  Project Name: compat
  Location: C:UsersPublic
  > Create
- copy all files from "C:openvpn-2.5.4srccompat" to "C:UsersPubliccompat"
  Do not overwrite the files "openvpn.vcxproj" and "openvpn.vcxproj.filters".
- delete the following files from the directory "C:UsersPubliccompat":
  Debug.props
  Makefile.am
  Makefile.in
  PropertySheet.props
  Release.props
- copy the file "C:openvpn-2.5.4config-msvc.h" to "C:UsersPubliccompat"
- copy the file "OpenVPN_v2.5.4config-msvc-version.h" to "C:UsersPubliccompat"
- in VS2019 Solution Explorer right click on compat "Header Files" > Add > Existing Item... > in the
  "File name" field enter "*.h" and press Enter > select first header file press Shift and click on
  the last header file > Add
- right click on compat "Source Files" > Add > Existing Item... > in the "File name" field enter "*.c" and
  press Enter > select first C source file press Shift and click on the last C source file > Add
- in Solution Explorer select compat > Menu > Project > Properties > choose Configuration:
  All Configurations > Platform: All Platforms and change the following values:
  Configuration Properties > General
  - Platform Toolset: Visual Studio 2017 - Windows XP (v141_xp)
  - Configuration Type: Static library (.lib)
  Configuration Properties > C/C++ > Preprocessor
  - Preprocessor Definitions > choose arrow > <Edit...> > enter
    _CRT_SECURE_NO_WARNINGS
    > OK
  Configuration Properties > C/C++ > Command Line
  - Additional Options > enter
    /D_WIN32_WINNT=0x0501
  Configuration Properties > Linker > Manifest File
  - Generate Manifest: No (/MANIFEST:NO)
  > OK
- open the file "C:UsersPubliccompatconfig-msvc.h" and change code line 1 from
  #include <config-msvc-version.h>
  to
  #include "config-msvc-version.h"
  in addition add a new line before line 172 and insert the following code
  #define _WIN32_WINNT_VISTA 0x0600
- to solve the warning "Support for targeting Windows XP is deprecated and will not be present in
  future releases of Visual Studio." do the following steps:
  In Solution Explorer select compat > Menu > View > Property Manager > right click "compat" >
  Add New Project Property Sheet... > Add > expand "compat" > expand "Debug | Win32" > right
  click on PropertySheet > Properties > Common Properties > User Macros > button "Add Macro":
  Name: XPDeprecationWarning
  Value: false
  > 2 x OK
  This property sheets gets added to every build configuration automatically.
- in Solution Explorer select openvpn > Menu > Project > Properties > choose Configuration:
  All Configurations > Platform: All Platforms and change the following values:
  Configuration Properties > General
  - Platform Toolset: Visual Studio 2017 - Windows XP (v141_xp)
  Configuration Properties > VC++ Directories
  - Include Directories > choose arrow > <Edit...> > choose a new line for every value listed here > enter
    ..compat
    $(SolutionDir)lzo-2.10include
    $(SolutionDir)OpenSSL_v1.1.1minclude
    $(SolutionDir)pkcs11-helper-1.28.0include
    > OK
  - Library Directories > choose arrow > <Edit...> > choose a new line for every value listed here > enter
    $(OutDir)
    This is used for compat.lib static library, otherwise the library is not found.
    $(SolutionDir)lzo-2.10
    $(SolutionDir)OpenSSL_v1.1.1mlib
    $(SolutionDir)pkcs11-helper-1.28.0lib
    > OK
  Configuration Properties > C/C++ > General
  - Warning Level: Level2 (/W2)
    This will suppress 238 warnings. The developers also do this in the original openvpn VS2019 solution.
  Configuration Properties > C/C++ > Preprocessor
  - Preprocessor Definitions > choose arrow > <Edit...> > enter
    _CRT_NONSTDC_NO_DEPRECATE
    _CRT_SECURE_NO_WARNINGS
    > OK
  Configuration Properties > C/C++ > Command Line
  - Additional Options > enter
    /D_WIN32_WINNT=0x0501
  Configuration Properties > Linker > Input
  - Additional Dependencies > choose arrow > <Edit...> > enter
    compat.lib
    libssl.lib
    libcrypto.lib
    lzo2.lib
    pkcs11-helper.dll.lib
    gdi32.lib
    ws2_32.lib
    wininet.lib
    crypt32.lib
    iphlpapi.lib
    winmm.lib
    rpcrt4.lib
    setupapi.lib
    advapi32.lib
    > OK
  Configuration Properties > Linker > Manifest File
  - Generate Manifest: No (/MANIFEST:NO)
  > OK
- in Solution Explorer select openvpn > Menu > Project > Project Dependencies... > tab Dependencies
  > Project: choose openvpn > Depends on: check compat > OK
- open the file "C:UsersPublicopenvpnconfig-msvc.h" and change code line 1 from
  #include <config-msvc-version.h>
  to
  #include "config-msvc-version.h"
  in addition add a new line before line 172 and insert the following code
  #define _WIN32_WINNT_VISTA 0x0600
- open file "C:UsersPublicopenvpntun.h" and change the code line 29 from
  #include <tap-windows.h>
  to
  #include "tap-windows.h"
- open file "C:UsersPublicopenvpnwin32.c" and change the code line 50 from
  #include <versionhelpers.h>
  to
  #include "versionhelpers.h"
- open file "C:UsersPublicopenvpnsyshead.h" and change the code line 586 from
  #define ENABLE_CRYPTOAPI
  to
  //#define ENABLE_CRYPTOAPI
- open file "C:UsersPublicopenvpnconsole_systemd.c" and change the code line 30 from
  #include "config.h"
  to
  //#include "config.h"
- open file "C:UsersPublicopenvpnssl_ncp.h" and change code line 53 from
  check_pull_client_ncp(struct context *c, int found);
  to
  check_pull_client_ncp(struct context *c, const int found);
- open file "C:UsersPublicopenvpnauth_token.c" and change code line 62 from
  const char *state;
  to
  const char *state = "Invalid";
- open file "C:UsersPublicopenvpnpkcs11-helper-1.28.0includepkcs11-helper-1.0pkcs11.h"
  and change code line 1213 from
  struct ck_interface **interface,
  to
  struct ck_interface **Interface,
- to solve the warning "Support for targeting Windows XP is deprecated and will not be present in
  future releases of Visual Studio." do the following steps
  In Solution Explorer select openvpn > Menu > View > Property Manager > right click "openvpn" >
  Add New Project Property Sheet... > Add > expand "openvpn" > expand "Debug | Win32" > right
  click on PropertySheet > Properties > Common Properties > User Macros > button "Add Macro":
  Name: XPDeprecationWarning
  Value: false
  > 2 x OK
  This property sheets gets added to every build configuration automatically.
- choose Menu > Build > Configuration Manager... > Active solution configuration: Release >
  Active solution platform: x86 > Close
- in Solution Explorer select compat > Menu > Project > Properties > choose Configuration:
  Active(Release) > Platform: Active(Win32) and change the following values:
  Configuration Properties > C/C++ > Optimization
  - Optimization: Maximum Optimization (Favor Size) (/O1)
  - Enable Intrinsic Functions: No
  - Favor Size Or Speed: Favor small code (/Os)
  > OK
- in Solution Explorer select openvpn > Menu > Project > Properties > choose Configuration:
  Active(Release) > Platform: Active(Win32) and change the following values:
  Configuration Properties > C/C++ > Optimization
  - Optimization: Maximum Optimization (Favor Size) (/O1)
  - Enable Intrinsic Functions: No
  - Favor Size Or Speed: Favor small code (/Os)
  Linker > Debugging
  - Generate Debug Info: No
  > OK
- choose Menu > Build > Rebuild Solution

We can now compile the debug and release configuration for Windows XP without any errors or warnings.
The final source code package is located at "OpenVPN_v2.5.4openvpn_v2.5.4_20220123_for_XP.7z".


9.) Build OpenVPN-GUI v11.26 include files
--------------------------------------------

The include file config.h is auto generated on Linux platforms. The standard OpenVPN-GUI source code
does not include this file, which is absolutely necessary to build the OpenVPN-GUI. In the following
steps we describe how to generate the include file config.h. The generated include file by this
procedure is already present in the directory "OpenVPN-GUI_v11.26".

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- install "MSYS2msys2-i686-20160205.exe" to "C:msys32" > uncheck "Run MSYS2 32 bit now." after
  installation is finished > Finish
  Attention: We need at least 2 to 3 GB free space on drive C: to install MSYS2 with all necessary
  packages!
- unpack "MSYS2packages_20160205.7z" to "C:packages_20160205"
- copy all packages from "C:packages_20160205all-in-one" directory to "C:msys32varcachepacmanpkg"
  directory
- run "C:msys32mingw32_shell.bat" as Administrator
- run the following command in MINGW32 shell:
  pacman -S autoconf automake libtool make mingw-w64-i686 mingw-w64-i686-toolchain mingw-w64-x86_64 mingw-w64-x86_64-toolchain nasm pkg-config
  Press 4 x Enter and 'Y' to install all packages.
  This will install all 129 packages which are present inside the pkg directory.
- now we can delete all files in the directory "C:msys32varcachepacmanpkg"
- unpack "OpenVPN-GUI_v11.26openvpn-gui-11.7z" to "C:msys32homeUserNameopenvpn-gui"
- run the following commands in MINGW32 shell:
  cd openvpn-gui
  autoreconf -i -v
  ./configure --prefix=/ --host=i686-w64-mingw32 --build=i686-pc-mingw32 --program-prefix='' OPENSSL_CRYPTO_CFLAGS="-I /home/UserName/openssl-v1.1.1m/include/" OPENSSL_CRYPTO_LIBS="-L /home/UserName/openssl-v1.1.1m/lib/ -lcrypto"

It does not matter if the OpenSSL directory is present or not for the configure command. After
this configure command the file "C:msys32homeUserNameopenvpn-guiconfig.h" is created. If we only
want to build the OpenVPN-GUI on Visual Studio 2019 we can stop here. It is recommended to stop here
an not try to build the OpenVPN-GUI with MSYS2, because even if we would manage to get a working
executable this is at least double the size of the Windows executable build with Visual Studio 2019.

The file versionhelpers.h is copied from the Windows 10 SDK version 10.0.17763.0 which comes with
Visual Studio 2019. We slightly modified it to make it work without additional include files like
winapifamily.h. The original file is located at "C:Program Files (x86)Windows Kits10Include
10.0.17763.0umVersionHelpers.h" after Visual Studio 2019 is installed.


10.) Build OpenVPN-GUI v11.26
-------------------------------

- Operating System: Windows 10 x64 Build 21H2
- Compiler Suite: Visual Studio 2019
- unpack "OpenVPN-GUI_v11.26openvpn-gui-11.7z" to "C:openvpn-gui"
- start Visual Studio 2019 > Create a new project > Empty Project > Next >
  Project name: openvpn-gui
  Location: C:UsersPublic
  Solution name: openvpn-gui
  check "Place solution and project in the same directory"
  > Create
- copy all files and directories from "C:openvpn-gui" to "C:UsersPublicopenvpn-gui"
- delete the following files from the directory "C:UsersPublicopenvpn-gui":
  aclocal.m4
  compile
  config.guess
  config.h.in
  config.sub
  configure
  configure.ac
  COPYING
  COPYRIGHT.GPL
  depcomp
  install-sh
  Makefile.am
  Makefile.in
  missing
- move all files from the directory "C:UsersPublicopenvpn-guires" to
  "C:UsersPublicopenvpn-gui"
- delete the directory "C:UsersPublicopenvpn-guires"
- copy the file "OpenVPN-GUI_v11.26config.h" to "C:UsersPublicopenvpn-gui"
- copy the file "OpenVPN-GUI_v11.26versionhelpers.h" to "C:UsersPublicopenvpn-gui"
- delete the directory "C:OpenSSL_v1.1.1m" if it is present
- unpack "OpenSSL_v1.1.1mopenssl-v1.1.1m-shared.7z" to "C:OpenSSL_v1.1.1m"
- copy "C:OpenSSL_v1.1.1m" to "C:UsersPublicopenvpn-guiOpenSSL_v1.1.1m"
- delete the following directories:
  C:UsersPublicopenvpn-guiOpenSSL_v1.1.1mbin
  C:UsersPublicopenvpn-guiOpenSSL_v1.1.1mhtml
- in VS2019 Solution Explorer right click on openvpn-gui "Header Files" > Add > Existing Item... >
  in the "File name" field enter "*.h" and press Enter > select first header file press Shift and
  click on the last header file > Add
- right click on "Resource Files" > Add > Existing Item... > select "openvpn-gui-res.rc" > Add
- right click on "Source Files" > Add > Existing Item... > in the "File name" field enter "*.c" and
  press Enter > select first C source file press Shift and click on the last C source file > Add
- in Solution Explorer select openvpn-gui > Menu > Project > Properties > choose Configuration:
  All Configurations > Platform: All Platforms and change the following values:
  Configuration Properties > General
  - Platform Toolset: Visual Studio 2017 - Windows XP (v141_xp)
  - Character Set: Use Unicode Character Set
  Configuration Properties > VC++ Directories
  - Include Directories > choose arrow > <Edit...> > choose New Line > enter
    $(SolutionDir)OpenSSL_v1.1.1minclude
    > OK
  - Library Directories > choose arrow > <Edit...> > choose New Line > enter
    $(SolutionDir)OpenSSL_v1.1.1mlib
    > OK
  Configuration Properties > C/C++ > Preprocessor
  - Preprocessor Definitions > choose arrow > <Edit...> > enter
    _CRT_NONSTDC_NO_DEPRECATE
    _CRT_SECURE_NO_WARNINGS
    > OK
  Configuration Properties > C/C++ > Command Line
  - Additional Options > enter
    /D "HAVE_CONFIG_H"  /D "WIN32_LEAN_AND_MEAN" /D_WIN32_WINNT=0x0501
  Configuration Properties > Linker > Input
  - Additional Dependencies > choose arrow > <Edit...> > enter
    ws2_32.lib
    libcrypto.lib
    libssl.lib
    secur32.lib
    netapi32.lib
    comctl32.lib
    wininet.lib
    wtsapi32.lib
    crypt32.lib
    shlwapi.lib
    winhttp.lib
    > OK
  Configuration Properties > Linker > Manifest File
  - Generate Manifest: No (/MANIFEST:NO)
  Configuration Properties > Linker > System
  - SubSystem: Windows (/SUBSYSTEM:WINDOWS)
  Configuration Properties > Resources > Command Line
  - Additional Options > enter
    /D "HAVE_CONFIG_H"
  > OK
- Menu > Build > Rebuild Solution > Menu > View > Error List
- click on all errors "Cannot open include file: 'config.h': No such file or directory" and change
  the line from
  #include <config.h>
  to
  #include "config.h"
- click on all errors "'wcstok': too few arguments for call" and change the first code location from
  pch = wcstok(buf, L"rn");
  to
  wchar_t *state;
  pch = wcstok(buf, L"rn", &state);
  change the second code location from
  pch = wcstok(NULL, L"rn");
  to
  pch = wcstok(NULL, L"rn", &state);
- Menu > Build > Rebuild Solution > Menu > View > Error List
- click on all errors "'wcstok': too few arguments for call" and change the first code location from
  LPWSTR token = wcstok(proxy_str, delim);
  to
  wchar_t *state;
  LPWSTR token = wcstok(proxy_str, delim, &state);
  change the second code location from
  token = wcstok(NULL, delim);
  to
  token = wcstok(NULL, delim, &state);
- click on error "'AURL_ENABLEURL': undeclared identifier" and change the code from
  SendMessage(hmsg, EM_AUTOURLDETECT, AURL_ENABLEURL, 0);
  to
  #define AURL_ENABLEURL 1
  SendMessage(hmsg, EM_AUTOURLDETECT, AURL_ENABLEURL, 0);
- click on both errors "Cannot open include file 'versionhelpers.h': No such file or directory" and
  change the code location from
  #include <versionhelpers.h>
  to
  #include "versionhelpers.h"
- click on error "Cannot open include file 'combaseapi.h': No such file or directory" and change the
  code location from
  #include <combaseapi.h>
  to
  //#include <combaseapi.h>
- Menu > Build > Rebuild Solution > Menu > View > Error List
- click on warning "formal parameter 2 different from declaration" right click on the function
  IsUserInGroup > Go To Declaration > change code location from
  static BOOL IsUserInGroup(PSID sid, PTOKEN_GROUPS token_groups, const WCHAR *group_name);
  to
  static BOOL IsUserInGroup(PSID sid, const PTOKEN_GROUPS token_groups, const WCHAR *group_name);
- click on warning "'CompareStringOrdinal' undefined; assuming extern returning int" and change the
  code location from
  int cmp = CompareStringOrdinal(nameval1, (int)len1, nameval2, (int)len2, ignore_case);
  to
  //int cmp = CompareStringOrdinal(nameval1, (int)len1, nameval2, (int)len2, ignore_case);
  int cmp = wcsncmp(nameval1, nameval2, (len1 > len2 ? len2 : len1));
- click on warning "'=': conversion from 'DWORD' to 'LANGID', possible loss of data" and change code
  location from
  gui_language = ( value != 0 ? value : GetUserDefaultUILanguage() );
  to
  gui_language = (LANGID)( value != 0 ? value : GetUserDefaultUILanguage() );
- click on warning "formal parameter 2 different from declaration" and change code location from
  LoadLocalizedStringBuf(PTSTR buffer, int bufferSize, const UINT stringId, ...)
  to
  LoadLocalizedStringBuf(PTSTR buffer, const int bufferSize, const UINT stringId, ...)
- click on warning "'function': conversion from 'DWORD' to 'u_short', possible loss of data and
  change code location from
  c->manage.skaddr.sin_port = htons(o.mgmt_port_offset + config);
  to
  c->manage.skaddr.sin_port = htons((u_short)o.mgmt_port_offset + config);
- click on warning "'RegGetValueW' undefined; assuming extern returning int" and change code location
  from
  if (RegGetValueW (regkey, NULL, L"version", RRF_RT_REG_BINARY, NULL, v, &len)
  to
  //if (RegGetValueW (regkey, NULL, L"version", RRF_RT_REG_BINARY, NULL, v, &len)
  if (RegQueryValueEx(regkey, L"version", NULL, NULL, (LPBYTE)v, &len)
- click on warning "'RegCopyTree' undefined; assuming extern returning int" and change code location
  from
  status = RegCopyTree (regkey_nilings, NULL, regkey_proxy);
  to
  //status = RegCopyTree (regkey_nilings, NULL, regkey_proxy);
  status = SHCopyKey(regkey_nilings, NULL, regkey_proxy, 0);
- click on warning "'RegDeleteTree' undefined; assuming extern returning int" and change code
  location from
  RegDeleteTree (HKEY_CURRENT_USER, GUI_REGKEY_HKCU); /* delete all values and subkeys */
  to
  //RegDeleteTree (HKEY_CURRENT_USER, GUI_REGKEY_HKCU); /* delete all values and subkeys */
  SHDeleteKey(HKEY_CURRENT_USER, GUI_REGKEY_HKCU); /* delete all values and subkeys */
- go to the start of the C source file registry.c and place the following include after <shlobj.h>
  #include <shlwapi.h>
- Menu > Build > Rebuild Solution > Menu > View > Error List
- click on error "'TTI_ERROR_LARGE': undeclared identifier" and change the code location from
  bt.ttiIcon = TTI_ERROR_LARGE;
  to
  #define TTI_ERROR_LARGE 6
  bt.ttiIcon = TTI_ERROR_LARGE;
- click on error "'IID_IFileOpenDialog': undeclared identifier", comment out the complete
  function "BrowseFolder" and add the following replacement functions
  INT CALLBACK BrowseCallbackProc(HWND hwnd, UINT uMsg, LPARAM lp, LPARAM pData)
  {
      if (uMsg == BFFM_INITIALIZED) SendMessage(hwnd, BFFM_SETSELECTION, TRUE, pData);
      return 0;
  }
  
  static BOOL BrowseFolder(const WCHAR * initial_path, WCHAR * selected_path, size_t selected_path_size)
  {
      HRESULT initResult = CoInitializeEx(NULL, COINIT_APARTMENTTHREADED);
      if (FAILED(initResult))
      {
          return false;
      }

      BROWSEINFO br;
      ZeroMemory(&br, sizeof(BROWSEINFO));
      br.lpfn = BrowseCallbackProc;
      br.ulFlags = BIF_RETURNONLYFSDIRS | BIF_NEWDIALOGSTYLE;
      br.hwndOwner = NULL;
      br.lParam = (LPARAM)initial_path;

      LPITEMIDLIST pidl = NULL;
      if ((pidl = SHBrowseForFolder(&br)) != NULL)
      {
          wchar_t path[MAX_PATH];
          if (SHGetPathFromIDList(pidl, path))
          {
              wcsncpy(selected_path, path, wcslen(path));
          }
      }

      CoUninitialize();

      return true;
  }
- Menu > Build > Rebuild Solution > Menu > View > Error List
- click on error "cannot open include file '../openvpn-gui-res.h'." and change the code location
  from
  #include "../openvpn-gui-res.h"
  to
  #include "openvpn-gui-res.h"
- click on warning "'function': conversion from 'time_t' to 'unsigned int', possible loss of data"
  and change the code location from
  srand(time(NULL));
  to
  srand((unsigned int)time(NULL));
- click on warning "'initializing': conversion from 'unsigned __int64' to 'double', possible loss of
  data" and change the code location from
  double x = c;
  to
  double x = (double)c;
- click on warning "'function': conversion from 'time_t' to 'unsigned int', possible loss of data"
  and change the code location from
  srand(time(NULL));
  to
  srand((unsigned int)time(NULL));
- click on warning "'function': different 'const' qualifiers" and change the code location from
  void *tmp = realloc(options->auto_connect, sizeof(wchar_t *)*options->max_auto_connect);
  to
  void *tmp = realloc((void*)options->auto_connect, sizeof(wchar_t *)*options->max_auto_connect);
- to solve the warning "Support for targeting Windows XP is deprecated and will not be present in
  future releases of Visual Studio." do the following steps:
  Menu > View > Property Manager > right click "openvpn-gui" > Add New Project Property Sheet... >
  Add > expand "openvpn-gui" > expand "Debug | Win32" > right click on PropertySheet > Properties >
  Common Properties > User Macros > button "Add Macro":
  Name: XPDeprecationWarning
  Value: false
  > 2 x OK
  This property sheets gets added to every build configuration automatically.
- choose Menu > Build > Configuration Manager... > Active solution configuration: Release >
  Active solution platform: x86 > Close
- in Solution Explorer select openvpn-gui > Menu > Project > Properties > choose Configuration:
  Active(Release) > Platform: Active(Win32) and change the following values:
  Configuration Properties > C/C++ > Optimization
  - Optimization: Maximum Optimization (Favor Size) (/O1)
  - Enable Intrinsic Functions: No
  - Favor Size Or Speed: Favor small code (/Os)
  Linker > Debugging
  - Generate Debug Info: No
  > OK
- choose Menu > Build > Rebuild Solution

We can now compile the debug and release configuration for Windows XP without any errors or warnings.
The final source code package is located at "OpenVPN-GUI_v11.26openvpn-gui_v11.26_20220123_for_XP.7z".


11.) Build TAP-Driver v9.9.2
------------------------------

We have to rebuild the TAP-Driver for Windows XP, because the original driver of OpenVPN v2.3.18
does only support a speed of 10 MBit/s. This limits our connection dramatically. Therefore we
implemented a patch to support 1 GBit/s, although the theoretical VPN limit would be around 250 to
300 MBit/s.

- Operating System: Windows XP SP3 or Windows Server 2003 R2 SP2
- Compiler Suite: Windows Driver Development Kit v7.1.0 (7600.16385.1)
- install "NSIS-Installernsis-2.50-setup.exe"
- unpack "TAP-Driver_v9.9.2tap-windows-master_for_XP.7z" to "C:tap"
- open file "C:tapsrctapdrvr.c" and change code line 1142 from
  l_Query.m_Long = 100000; // rate / 100 bps
  to
  l_Query.m_Long = 10000000; // rate / 100 bps
- to build the release driver open an administrative command prompt and type the following commands:

  REM change current directory to TAP-Driver source code directory
  cd C:tap
  
  REM configure TAP-Driver
  configure.bat
  
  REM build TAP-Driver
  build.bat

- the resulting NSIS-Installer package is located at "C:taptap-windows-9.9.2.exe"

The final source code package is located at "TAP-Driver_v9.9.2tap_v9.9.2_20220123_for_XP.7z".


12.) Build NSIS-Installer
---------------------------

- Operating System: Windows XP SP3 or Windows Server 2003 R2 SP2
- install "NSIS-Installernsis-2.50-setup.exe"
- create the directory "C:nsis"
- unpack "NSIS-InstallerOpenVPN-v2.3.18_last_version_for_XP.exe" to "C:nsisOpenVPN-v2.3.18"
- unpack "NSIS-Installeropenvpn-build-release-2.3.7z" to "C:nsisopenvpn-build-release-2.3"
- copy "C:nsisopenvpn-build-release-2.3windows-nsisinstall-whirl.bmp" to "C:nsis"
- copy "C:nsisopenvpn-build-release-2.3windows-nsisnsProcess.dll" to "C:nsis"
- copy "C:nsisopenvpn-build-release-2.3windows-nsisnsProcess.nsh" to "C:nsis"
- copy "NSIS-InstallerVC-Redistributable_v14.27.29114.0_x86.exe" to "C:nsis"
- delete the directory "C:nsisOpenVPN-v2.3.18$PLUGINSDIR"
- delete the file "C:nsisOpenVPN-v2.3.18$TEMPtap-windows.exe"
- delete all files and directories in the folder "C:nsisOpenVPN-v2.3.18bin" except "openvpnserv.exe"
- unpack "OpenSSL_v1.1.1mopenssl-v1.1.1m-shared.7z" to "C:OpenSSL_v1.1.1m"
- copy "C:OpenSSL_v1.1.1mbinlibcrypto-1_1.dll" to "C:nsisOpenVPN-v2.3.18bin"
- copy "C:OpenSSL_v1.1.1mbinlibssl-1_1.dll" to "C:nsisOpenVPN-v2.3.18bin"
- copy "C:OpenSSL_v1.1.1mbinopenssl.exe" to "C:nsisOpenVPN-v2.3.18bin"
- unpack "PKCS11-Helper_v1.28.0pkcs11-helper-1.28.0-shared-DLL.7z" to "C:pkcs11-helper-1.28.0"
- copy "C:pkcs11-helper-1.28.0liblibpkcs11-helper-1.dll" to "C:nsisOpenVPN-v2.3.18bin"
- unpack "LZO_v2.10lzo-2.10-shared-DLL.7z" to "C:lzo-2.10"
- copy "C:lzo-2.10lzo2.dll" to "C:nsisOpenVPN-v2.3.18bin"
- unpack "OpenVPN_v2.5.4openvpn_v2.5.4_20220123_for_XP.7z" to "C:openvpn_v2.5.4_20220123_for_XP"
- copy "C:openvpn_v2.5.4_20220123_for_XPbinopenvpn.exe" to "C:nsisOpenVPN-v2.3.18bin"
- unpack "OpenVPN-GUI_v11.26openvpn-gui_v11.26_20220123_for_XP.7z" to "C:openvpn-gui_v11.26_20220123_for_XP"
- copy "C:openvpn-gui_v11.26_20220123_for_XPbinopenvpn-gui.exe" to "C:nsisOpenVPN-v2.3.18bin"
- copy "C:taptap-windows-9.9.2.exe" to "C:nsisOpenVPN-v2.3.18$TEMPtap-windows.exe"
- delete the directory "C:nsisopenvpn-build-release-2.3"
- copy "NSIS-Installeropenvpn.nsi" to "C:nsisopenvpn.nsi"
- Start > Programs > NSIS > Compile NSI scripts
- Menu > File > Load Script... > choose file "C:nsisopenvpn.nsi" > Open > the NSI script is
  compiled automatically we should not see any errors at the end of compilation > Close > close NSIS
  compiler window

The newly created OpenVPN installer is located at "C:nsisOpenVPN-v2.5.4.exe". The final source
code package is located at "NSIS-InstallerNSIS_Installer_Package_20220123_for_XP.7z".


13.) OpenVPN configuration file changes for Windows XP
--------------------------------------------------------

We should change the following 3 parameters in the OpenVPN configuration file for Windows XP:

- block-outside-dns
- route-ipv6 ::/0
- auth-nocache

The parameter "block-outside-dns" is used to block DNS traffic and remove a potential DNS leak. If
this parameter is commented out in your VPN configuration file you should enable it.

To completely disable IPv6 routing we should comment out the parameter "route-ipv6 ::/0". Otherwise
we see the following error message:

ERROR: Windows route add ipv6 command failed: returned error code 1

We also should enable the additional parameter "auth-nocache". This disables password caching in
memory. Without this parameter we see the following error message in the log:

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

A correct example configuration file section will look like follows:

block-outside-dns
#route-ipv6 ::/0
auth-nocache


14.) Test if OpenVPN is working correctly
-------------------------------------------

To test the correct working of OpenVPN we can use the following 3 internet sites:

- https://hide.me/en/check
  Checks the IP address and the provider that uses this address. This should display only servers
  of your VPN network.
- https://www.dnsleaktest.com
  Checks for DNS leaks. DNS leaks can show the internet browsing history if the traffic is not
  routed correctly.
- https://ipleak.net
  Checks for DNS leaks and WebRTC leaks.

To disable a potential WebRTC leak in your browser do the following steps based on your browser:

- Mozilla Firefox: Type "about:config" in the address bar, scroll down to "media.peerconnection.enabled",
  double click to set it to false
- Google Chrome: Install Google official extension WebRTC Network Limiter
- Opera: Type "about:config" in the address bar or go to "Settings", select "Show advanced settings"
  and click on "Privacy & security". At "WebRTC" mark select "Disable non-proxied UDP".


15.) OpenVPN v2.5.4 Windows XP SP3 bug
----------------------------------------

OpenVPN v2.5.4 contains a severe bug on Windows XP SP3. If we try to connect to the VPN server, we
see the following buffer size error in the log file:

2022-01-09 14:24:02 open_tun
2022-01-09 14:24:02 MANAGEMENT: Client disconnected
2022-01-09 14:24:02 fatal buffer size error, size=2089877947
2022-01-09 14:24:02 Exiting due to fatal error

The buffer size of 2089877947 can change randomly. This error is caused by the source code file
"tun.c" and the function "get_device_instance_id_interface". The call to CM_Get_Device_Interface_List_Size
returns CR_SUCCESS and a random interface list size, which is invalid and based on the value of the
variable dev_interface_list_size on function entry. That is the reason why the following call to 
alloc_buf_gc fails, because the specified buffer size is too big. To solve this problem we have to
simply change code line 3672 from

ULONG dev_interface_list_size;

to

ULONG dev_interface_list_size = 0;

This initializes the device interface list size with zero and the returned list size is 1 on Windows
XP SP3 for an empty list. The error does not occur on Windows Server 2003 R2 SP2, where a valid list
size is returned without any problems.


16.) Version and download link
--------------------------------

The complete OpenVPN package with all necessary files can be downloaded from Sourceforge
(https://sourceforge.net/projects/OpenVPN-for-Windows-XP).

Thanks for your attention and interest in this topic.
Greets Kai Schtrom

Version 1.0 January 23, 2022

Openvpn — виртуальная частная сеть. С ее помощью мы можем:

• Создать защищенный канал свзязи, в то время, когда мы сидим с бесплатного Wi-Fi в кафе.
• Обмениваться файлами между участниками сети.
• Раздавать интернет используя общий шлюз.

Основные преимущества:

• Простота настройки.
• Безопасность.
• Не требует дополнительного оборудования.
• Высокая скорость и стабильность.

Для чего это использую я ? Есть у меня офис с белым IP адресом, где стоит сервер, и базы данных 1С и много чего. И есть удаленный офис, где с этими базами данных нужно работать. На сервер я поставил OpenVPN и на филиале — клиент. И виртуально соединил офис и филиал в одну локальную сеть.
Теперь подробно:

Скачиваем дистрибутив.

На момент написания статьи доступная версия 2.3.2. Качаем отсюда Windows installer 32-х или 64-х битную версию под разрядность вашей операционной системы.

Установка.

При установке обязательно отметьте все пункты птичками, на предложение установить драйвер отвечаем утвердительно. В системе появится новый виртуальный сетевой адаптер.

Создание сертификатов и ключей.

Когда-то этот пункт меня останавливал, мол ну их эти ключи, пойду поищу что попроще. Но, увы, ничего лучшего не нашел. Итак, переходим в C:Program filesOpenVPNeasy-rsa, запускаем init-config.bat, появится vars.bat, открываем его в блокноте. Нас интересуют строчки в самом низу, их нужно заполнить как угодно. Например:
set KEY_COUNTRY=RU
set KEY_PROVINCE=Baldur
set KEY_CITY=Piter
set KEY_ORG=OpenVPN
set KEY_EMAIL=my@sobaka.ru
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=ouou

Там где написано server не трогаем. Сохранили.
Теперь открываем openssl-1.0.0.cnf и ищем строчку default_days 365, ставим 3650. Это продлит жизнь наших сертификатов на 10 лет. Сохраняем. Далее открываем командную строку в пуск-стандартные-командная строка (на Windows Vista/7/8 от имени администратора), пишем последовательно:

cd C:OpenVPNeasy-rsa
vars
clean-all

В ответ должно написать два раза «Скопировано файлов: 1». Значит, все окей. В этом же окне набираем:
build-dh
Создаст ключ Диффи-Хельмана.
build-ca
Создаст основной сертификат.
Будут заданы вопросы, просто нажимаем Enter пока не увидите путь C:Program filesOpenVPNeasy-rsa. Далее набираем:
build-key-server server
На вопросы также жмем Enter, только не торопитесь! В конце будут два вопроса: «Sign the certificate?» и «1 out of 1 certificate requests certified, commit?», на оба вопроса отвечаем Y. Теперь создадим сертификат клиента:
build-key client
Тут нужно быть внимательней, при вопросе Common Name (eg, your name or your server’s hostname) нужно ввести client. В конце также два раза Y. Для каждого клиента нужно создавать новый сертификат, только с другим именем, например, build-key client1 и также указывать его в common name. Если все сделали правильно, можете выдохнуть! Самое сложное позади. В папке C:Program FilesOpenVPNeasy-rsakeys забираем: ca.crt, dh1024.pem, server.crt, server.key и кладем их в C:Program FilesOpenVPNconfig.

Создаем конфиги.

Переходим в C:Program FilesOpenVPNconfig, создаем текстовой документ, вставляем:
# Поднимаем L3-туннель
dev tun
# Протокол
proto udp
# Порт который слушает впн
port 12345
# Ключи и сертификаты
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
# Грубо говоря экономим адреса
topology subnet
# Пул адресов
server 10.8.0.0 255.255.255.0
# Метод шифрования
cipher AES-128-CBC
# Сжатие
comp-lzo
# Немного улучшит пинг
mssfix
# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120
# Уровень отладки
verb 3
Сохраняем файл как server.ovpn. Это наш конфиг сервера. Теперь пробуем запустить сервер. На рабочем столе будет ярлык OpenVPN Gui. После запуска в трее появится красный значок. Кликаем по нему дважды, если загорелся зеленым, значит, все хорошо, если нет, тогда смотрим лог в папке log.

Теперь конфиг клиента:
client
dev tun
proto udp
# Адрес и порт сервера
remote адрес 12345
# Ключи должны лежать в папке с конфигом
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3
Сохраняем как client.ovpn. Создаем любую папку и кладем туда конфиг client.ovpn и сертификаты ca.crt, client.crt, client.key которые лежат в C:Program filesOpenVPNeasy-rsa. Сам клиент для Windows качаем здесь. На клиентской машине устанавливаем, переносим папку с конфигом и сертификатом и запускаем client.ovpn. Если подключились, пробуем в командной строке набрать ping 10.8.0.1. Пакеты пошли? Поздравляю! Сервер готов! Теперь идем в панель управления-администрирование-службы, ищем там OpenVPN, дважды щелкаем и выставляем автоматически. Теперь сервер будет сам стартовать после перезагрузки.

Дорабатываем конфиг или каждому свое.

Теперь я расскажу как раздавать интернет и другие мелочи связанные с настройкой. Начнем с мелочей. Все манипуляции будем проводить с конфигом сервера.
Если хотите, чтобы клиенты «видели» друг друга т.е. могли обмениваться информацией, тогда в конфиг впишите
client-to-client.
Если нужно, чтобы клиентам выдавались статические адреса, тогда в папке config создайте файл ip.txt и впишите в конфиг 
ifconfig-pool-persist ip.txt
Неохота создавать каждому сертификаты? Тогда пишем duplicate-cn, но учтите, с этой опцией не работает ifconfig-pool-persist.
Теперь о конфиге клиента. Можно не передавать файлы сертификатов, а вписать сразу в конфиг, только делать это лучше не с блокнота, а с AkelPad’а или Notepad++ например. Открываем ca.crt и выделяем от ——BEGIN CERTIFICATE—— до ——END CERTIFICATE——. В конфиге будет выглядеть так:

<ca>
——BEGIN CERTIFICATE——
сертификат
——END CERTIFICATE——
</ca>
<cert>
——BEGIN CERTIFICATE——
сертификат
——END CERTIFICATE——
</cert>
<key>
——BEGIN PRIVATE KEY——
ключ
——END PRIVATE KEY——
</key>

Раздаем интернет

Для этого в конфиг сервера вписываем:
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
DNS-адреса подставляем те, что даны в настройках. Посмотреть можно зайдя в панель управления-сетевые подключения, дважды кликнув на адаптере который смотрит в интернет. Для Win7 Панель управления-Сеть и Интернет-Центр управления сетями и общим доступом-изменение параметров адаптера. Далее, заходим в свойства этого же адаптера, вкладка доступ, ставим птичку напротив «Разрешить другим пользователям сети…» и в выпадающем списке, если есть, выбираем виртуальный адаптер vpn. Затем заходим в свойства адаптера vpn, свойства ipv4 и выставляем получение ip и dns автоматически.


Источник: http://habrahabr.ru/post/197744/
Проверено, все работает.

Openvpn настроен и подключение клиент — сервер поднялось, но, возникла след проблема: Когда подключается второй клиент он получает тот же ip адрес что и первый, как настроить что бы они получали разные адреса?

Конфиг сервера:

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh1024.pem

tls-server

tls-auth «C:\Program Files\Openvpn\config\ta.key» 0

auth MD5

server 10.8.0.0 255.255.255.0

ifconfig 10.8.0.1 10.8.0.2

ifconfig-pool 10.8.0.4 10.8.0.251

route 10.8.0.0 255.255.255.0

push «route 10.8.0.0 255.255.255.0»

;ifconfig-pool-persist ipp.txt

push «route gateway 10.8.0.1»

push «route 192.168.158.0 255.255.255.0»

push «dhcp-option DNS 10.8.0.1»

push «dhcp-option WINS 10.8.0.1»

keepalive 10 120

comp-lzo

persist-key

persist-tun

verb 3

route-method exe

route-delay

В логе клиента пишет след:

PUSH: Received control message: ‘PUSH_REPLY,route 10.8.0.0 255.255.255.0,route gateway 10.8.0.1,route 192.168.158.0 255.255.255.0,dhcp-option DNS 10.8.0.1,dhcp-option WINS 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5’

И все клиенты получают адрес 10.8.0.6, не понимаю почему этот адрес а не 10.8.0.4 как сказано на сервере?

Заранее спасибо за помощь.

OpenVPN – это набор open source программ, который заслуженно является одним из самых популярных и легких решений для реализации защищенной VPN сети. OpenVPN позволяет объединить в единую сеть сервер и клиентов (даже находящиеся за NAT или файерволами), или объединить сети удаленных офисов. Серверную часть OpenVPN можно развернуть практически на всех доступных операционных системах (пример настройки OpenVPN на Linux). Вы можете установить OpenVPN сервер даже на обычный компьютер с десктопной редакцией Windows 10.

В этой статье, мы покажем, как установить OpenVPN сервер на компьютер с Windows 10, настроить OpenVPN клиент на другом Windows хосте и установить защищенное VPN подключение.

Установка службы OpenVPN сервера в Windows

Скачайте MSI установщик OpenVPN для вашей версии Windows с официального сайта (https://openvpn.net/community-downloads/). В нашем случае это OpenVPN-2.5.5-I602-amd64.msi (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.5-I602-amd64.msi).

Запустите установку.

Если вы планируете, OpenVPN сервер работал в автоматическом режиме, можно не устанавливать OpenVPN GUI. Обязательно установите OpenVPN Services.

Начиная с версии OpenVPN 2.5, поддерживается драйвер WinTun от разработчиков WireGuard. Считается, что этот драйвер работает быстрее чем классический OpenVPN драйвер TAP. Установите драйвер Wintun, откажитесь от установки TAP-Windows6.

Установите OpenSSL утилиту EasyRSA Certificate Management Scripts.

Запустите установку.

По умолчанию OpenVPN устаналивается в каталог C:Program FilesOpenVPN.

После окончания установки появится новый сетевой адаптер типа Wintun Userspace Tunnel. Этот адаптер отключен, если служба OpenVPN не запущена.

Создаем ключи шифрования и сертификаты для OpenVPN

OpenVPN основан на шифровании OpenSSL. Это означает, что для обмена трафиком между клиентом и серверов VPN нужно сгенерировать ключи и сертификаты с использованием RSA3.

Откройте командную строку и перейдите в каталог easy-rsa:

cd C:Program FilesOpenVPNeasy-rsa

Создайте копию файла:

copy vars.example vars

Откройте файл vars с помощью любого текстового редактора. Проверьте пути к рабочим директориям.

Обязательно поправьте переменную EASYRSA_TEMP_DIR следующим образом:

set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI/temp"

Можете заполнить поля для сертификатов (опционально)

set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "MSK"
set_var EASYRSA_REQ_CITY "MSK"
set_var EASYRSA_REQ_ORG "IT-Company"
set_var EASYRSA_REQ_EMAIL " [email protected] "
set_var EASYRSA_REQ_OU " IT department "

Срок действия сертификатов задается с помощью:

#set_var EASYRSA_CA_EXPIRE 3650
#set_var EASYRSA_CERT_EXPIRE 825

Сохраните файл и выполните команду:

EasyRSA-Start.bat

Следующие команды выполняются в среде EasyRSA Shell:

Инициализация PKI:

./easyrsa init-pki

Должна появится надпись:

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: C:/Program Files/OpenVPN/easy-rsa/pki

Теперь нужно сгенерировать корневой CA:

./easyrsa build-ca

Задайте дважды пароль для CA:

CA creation complete and you may now import and sign cert requests.

Данная команда сформировала:

• Корневой сертификат центра сертификации: «C:Program FilesOpenVPNeasy-rsapkica.crt»
• Ключ центра сертификации «C:Program FilesOpenVPNeasy-rsapkiprivateca.key»

Теперь нужно сгенерировать запрос сертификата и ключ для вашего сервера OpenVPN:

./easyrsa gen-req server nopass

Утилита сгенерирует два файла:

req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/server.req
key: C:/Program Files/OpenVPN/easy-rsa/pki/private/server.key

Подпишем запрос на выпуск сертификата сервера с помощью нашего CA:

./easyrsa sign-req server server

Подтвердите правильность данных, набрав yes.

Затем введите пароль CA от корневого CA.

В каталоге issued появится сертификат сервера («C:Program FilesOpenVPNeasy-rsapkiissuedserver.crt»)

Теперь можно создать ключи Диффи-Хеллмана (займет длительное время):
./easyrsa gen-dh

Для дополнительной защиты VPN сервера желательно включить tls-auth. Данная технология позволяет использовать подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Пакеты без такой подписи будут отбрасываться VPN сервером. Это защитит вас от сканирования порта VPN сервера, DoS атак, переполнения буфера SSL/TLS.

Сгенерируйте ключ tls-auth:

cd C:Program FilesOpenVPNbin
openvpn --genkey secret ta.key

Должен появиться файл «C:Program FilesOpenVPNbinta.key». Переместите его в каталог C:Program FilesOpenVPNeasy-rsapki

Теперь можно сформировать ключи для клиентов OpenVPN. Для каждого клиента, который будет подключаться к вашему серверу нужно создать собственные ключи.

Есть несколько способов генерации ключей и передачи их клиентам. В следующем примере, мы создадим на сервере ключ клиента и защитим его паролем:

./easyrsa gen-req kbuldogov
./easyrsa sign-req client kbuldogov

Данный ключ («C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key») нужно передать клиенту и сообщить пароль. Клиент может снять защиту паролем для ключа:

openssl rsa -in "C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov.key"-out "C:Program FilesOpenVPNeasy-rsapkiprivatekbuldogov_use.key"

Если вы хотите сгенерировать ключ, не защищенный паролем, нужно выполнить команду:

./easyrsa gen-req имяклиента nopass

На сервере с OpenVPN вы можете создать неограниченное количество ключей и сертификатов для пользователей. Аналогичным образом сформируйте ключи и сертфикаты для других клиентов.

Вы можете отохвать скомпрометированные сертификаты клиентов:
cd C:Program FilesOpenVPNeasy-rsa
EasyRSA-Start.bat
./easyrsa revoke kbuldogov

Итак, мы сгенерировали набор ключей и сертификатов для OpenVPN сервера. Теперь можно настроить и запустить службу OpenVPN.

Конфигурационный файл OpenVPN сервера в Windows

Скопируйте типовой конфигурационный файл OpenVPN сервера:

copy "C:Program FilesOpenVPNsample-configserver.ovpn" "C:Program FilesOpenVPNconfig-autoserver.ovpn"

Откройте файл server.ovpn в любом текстовом редакторе и внесите свои настройки. Я использую следующий конфиг для OpenVPN:

# Указываем порт, протокол и устройство
port 1194
proto udp
dev tun
# Указываем пути к сертификатам сервера
ca "C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt"
cert "C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.crt"
key "C:\Program Files\OpenVPN\easy-rsa\pki\private\server.key"
dh "C:\Program Files\OpenVPN\easy-rsa\pki\dh.pem"
# Указываем настройки IP сети, адреса из которой будет будут получать VPN клиенты
server 10.24.1.0 255.255.255.0
#если нужно разрешить клиентам подключаться под одним ключом, нужвно включить опцию duplicate-cn (не рекомендуется)
#duplicate-cn
# TLS защита
tls-auth "C:\Program Files\OpenVPN\easy-rsa\pki\ta.key" 0
cipher AES-256-GCM
# Другая параметры
keepalive 20 60
persist-key
persist-tun
status "C:\Program Files\OpenVPN\log\status.log"
log "C:\Program Files\OpenVPN\log\openvpn.log"
verb 3
mute 20
windows-driver wintun

Сохраните файл.

OpenVPN позволяет использовать как TCP, так и UDP для подключения. В этом примере я запустил OpenVPN на 1194 UDP. Рекомендуется использовать протокол UDP, это оптимально как с точки зрения производительности, так и безопасности.

Не забудьте открыть на файерволе порты для указанного вами порта OpenVPN на клиенте и на сервере. Можно открыть порты в Windows Defender с помощью PowerShell.
Правило для сервера:

New-NetFirewallRule -DisplayName "AllowOpenVPN-In" -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow

Правило для клиента:

New-NetFirewallRule -DisplayName "AllowOpenVPN-Out" -Direction Outbound -Protocol UDP –LocalPort 1194 -Action Allow

Теперь нужно запустить службу OpenVPN и изменить тип ее запуска на автоматический. Воспользуйтесь таким командами PowerShell, чтобы включить службу:

Set-Service OpenVPNService –startuptype automatic –passthru
Get-Service OpenVPNService| Start-Service

Откройте панель управления, и убедитесь, что виртуальный сетевой адаптер OpenVPN Wintun теперь активен. Если нет, смотрите лог «C:Program FilesOpenVPNlogserver.log»

Options error: In C:Program FilesOpenVPNconfig-autoserver.ovpn:1: Maximum option line length (256) exceeded, line starts with..

Данный конфиг позволит удаленным клиентам получить доступ только к серверу, но другие компьютеры и сервисы в локальной сети сервера для них недоступны. Чтобы разрешить клиентам OpenVPN получить доступ к внутренней сети нужно:

Включить опцию IPEnableRouter в реестре (включает IP маршрутизацию в Windows, в том числе включает маршрутизацию меду сетями Hyper-V): reg add «HKLMSYSTEMCurrentControlSetServicesTcpipParameters» /v IPEnableRouter /t REG_DWORD /d 1 /f

Добавьте в конфгурационный файл сервера OpenVPN маршруты до внутренней IP сети:

push "route 10.24.1.0 255.255.255.0"
push "route 192.168.100.0 255.255.255.0"

Если нужно, назначьте клиенту адреса DNS серверов:

push "dhcp-option DNS 192.168.100.11"
push "dhcp-option DNS 192.168.100.12"

Если нужно завернуть все запросы клиента (в том числе Интернет трафик) на ваш OpenVPN сервер, добавьте опцию:

push "redirect-gateway def1"

Настройка OpenVPN клиента в Windows

Создайте на сервере шаблонный конфигурационный файла для клиента VPN (на базе iшаблона client.ovpn) со следующими параметрами (имя файла kbuldovov.ovpn)

client
dev tun
proto udp
remote your_vpn_server_address 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert kbuldogov.crt
key kbuldogov.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-GCM
connect-retry-max 25
verb 3

В директиве remote указывается публичный IP адрес или DNS имя вашего сервера OpenVPN.

Скачайте и установите клиент OpenVPN Connect для Windows (https://openvpn.net/downloads/openvpn-connect-v3-windows.msi).

Теперь на компьютер с клиентом OpenVPN нужно с сервера скопировать файлы:

• ca.crt
• kbuldogov.crt
• kbuldogov.key
• dh.pem
• ta.key
• kbuldogov.ovpn

Теперь импортируйте файл с профилем *.ovpn и попробуйте подключиться к вашему VPN серверу.

Если все настроено правильно, появится такая картинка.

Проверьте теперь лог OpenVPN на клиенте «C:Program FilesOpenVPN Connectagent.log»

Mon Dec 27 08:09:30 2021 proxy_auto_config_url
Mon Dec 27 08:09:31 2021 TUN SETUP
TAP ADAPTERS:
guid='{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}' index=22 name='Local Area Connection'
Open TAP device "Local Area Connection" PATH="\.Global{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}.tap" SUCCEEDED
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=22
netsh interface ip set interface 22 metric=1
Ok.
netsh interface ip set address 22 static 10.24.1.6 255.255.255.252 gateway=10.24.1.5 store=active
IPHelper: add route 10.24.1.1/32 22 10.24.1.5 metric=-1

Клиент успешно подключится к OpenVPN серверу и получил IP адрес 10.24.1.6.

Проверьте теперь лог на сервере («C:Program FilesOpenVPNlogopenvpn.log»). Здесь также видно, что клиент с сертификатом kbuldogov успешно подключится к вашему серверу.

2021-12-27 08:09:35 192.168.13.202:55648 [kbuldogov] Peer Connection Initiated with [AF_INET6]::ffff:192.168.13.202:55648
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI_sva: pool returned IPv4=10.24.1.6, IPv6=(Not enabled)
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: Learn: 10.24.1.6 -> kbuldogov/192.168.13.202:55648
2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: primary virtual IP for kbuldogov/192.168.13.202:55648: 10.24.1.6