Openvpn мост в локальную сеть windows

Обновлено: 04.01.2023
Опубликовано: 25.01.2017

OpenVPN позволяет настроить VPN-сервер как на платформе Windows Server, так и версии для рабочего компьютера (Windows 10, 8, 7).

Установка OpenVPN Server

Переходим на официальный сайт OpenVPN и скачиваем последнюю версию программы для соответствующей версии Windows:

Запускаем скачанный файл — нажимаем Next — I Agree — и выставляем галочку EasyRSA 2/3 Certificate Management Scripts (нужен для возможности сгенерировать сертификаты):

* интерфейсы для старой версии OpenVPN и новой немного различаются. Нам нужно выбрать для установки все пункты.

… снова Next и Install — начнется установка. В процессе мастер может выдать запрос на подтверждение установки виртуального сетевого адаптера — соглашаемся (Install/Установить).

После завершения нажимаем Next — снимаем галочку Show Readme — Finish.

Создание сертификатов

Новая версия OpenVPN позволяет создавать сертификаты на основе Easy RSA 3, старая работает на базе 2-й версии. Наши действия будут различаться в зависимости от данной версии. Рассмотрим процесс формирования сертификата с использованием как RSA3, так и RSA2.

а) Создание сертификатов с RSA 3

1. Переходим в папку установки OpenVPN (по умолчанию, C:Program FilesOpenVPN) и создаем каталог ssl.

2. После переходим в папку C:Program FilesOpenVPNeasy-rsa, переименовываем файл vars.example в vars, открываем его на редактирование и правим одну строку:

set_var EASYRSA_TEMP_DIR «$EASYRSA_PKI/temp»

* мы снимаем комментарий и добавляем temp в конце $EASYRSA_PKI. Если это не сделать, то при попытке сформировать корневого сертификата мы получим ошибку Failed create CA private key.

3. Запускаем командную строку от имени администратора:

4. Переходим в каталог easy-rsa:

cd %ProgramFiles%OpenVPNeasy-rsa

5. Запускаем команду:

EasyRSA-Start.bat

Мы окажемся в среде EasyRSA Shell.

6. Инициализируем PKI:

./easyrsa init-pki

Если система вернет ошибку, выходим из оболочки EasyRSA Shell:

exit

И заходим снова:

EasyRSA-Start.bat

Мы должны увидеть:

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: C:/Program Files/OpenVPN/easy-rsa/pki

7. Генерируем корневой сертификат (CA):

./easyrsa build-ca

… после ввода Enter обязательно задаем пароль дважды. На запрос ввести Common Name можно просто нажать ввод или написать свое имя:

Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

8. Создаем ключ Диффи-Хеллмана:

./easyrsa gen-dh

9. Для создания сертификата сервера необходимо сначала создать файл запроса:

./easyrsa gen-req cert nopass

* на запрос ввода Common Name просто вводим Enter.

… и на его основе — сам сертификат:

./easyrsa sign-req server cert

После ввода команды подтверждаем правильность данных, введя yes:

  Confirm request details: yes

… и вводим пароль, который указывали при создании корневого сертификата.

10. Сертификаты сервера готовы и находятся в каталоге pki. Переносим в C:Program FilesOpenVPNssl следующие файлы:

• ca.crt
• issued/cert.crt
• private/cert.key
• dh.pem

б) Создание сертификатов с RSA 2 (для старых версий OpenVPN)

1. Переходим в папку установки OpenVPN (по умолчанию, C:Program FilesOpenVPN) и создаем каталог ssl.

2. После переходим в папку C:Program FilesOpenVPNeasy-rsa, создаем файл vars.bat, открываем его на редактирование и приводим к следующему виду:

set «PATH=%PATH%;%ProgramFiles%OpenVPNbin»
set HOME=%ProgramFiles%OpenVPNeasy-rsa
set KEY_CONFIG=openssl-1.0.0.cnf
set KEY_DIR=keys
set KEY_SIZE=2048
set KEY_COUNTRY=RU
set KEY_PROVINCE=Sankt-Petersburg
set KEY_CITY=Sankt-Petersburg
set KEY_ORG=Organization
set KEY_EMAIL=master@dmosk.ru
set KEY_CN=DMOSK
set KEY_OU=DMOSK
set KEY_NAME=server.domain.ru
set PKCS11_MODULE_PATH=DMOSK
set PKCS11_PIN=12345678

* в каталоге easy-rsa уже есть файл vars.bat.sample — можно переименовать и использовать его.
** значение HOME не меняем, если оставили путь установки программы по умолчанию; KEY_DIR — каталог, куда будут генерироваться сертификаты; KEY_CONFIG может быть разным — его лучше посмотреть в файле vars.bat.sample или по названию соответствующего файла в папке easy-rsa; KEY_NAME желательно, чтобы соответствовал полному имени VPN-сервера; остальные опции можно заполнить произвольно.

3. Запускаем командную строку от имени администратора:

4. Переходим в каталог easy-rsa:

cd %ProgramFiles%OpenVPNeasy-rsa

4. Запускаем vars.bat:

vars.bat

5. Чистим каталоги от устаревшей информации:

clean-all.bat

* данная команда выполняется один раз, когда на сервере нет информации по ранее созданным сертификатам.

6. Снова запускаем vars.bat (после clean переопределяются некоторые переменные):

vars.bat

Переходим к созданию ключей.

7. Генерируем последовательность центра сертификации:

build-ca.bat

На все запросы нажимаем Enter.

8. Запускаем build-dh.bat (сертификат с использованием алгоритма Диффи-Хеллмана):

openssl dhparam -out keysdh.pem 2048

* команда может выполняться долго — это нормально.

9. Генерируем сертификат для сервера:

build-key-server.bat cert

* где cert — имя сертификата; на все запросы нажимаем Enter. В конце подтверждаем два раза корректность информации вводом y.

10. После переносим из папки C:Program FilesOpenVPNeasy-rsakeys в C:Program FilesOpenVPNssl следующие файлы:

• ca.crt
• cert.crt
• cert.key
• dh.pem

Настройка сервера

Переходим в папку C:Program FilesOpenVPNconfig-auto (или для старой версии C:Program FilesOpenVPNconfig) и создаем файл server.ovpn. Открываем его на редактирование и приводим к следующему виду:

port 443
proto udp
dev tun
dev-node «VPN Server»
dh «C:\Program Files\OpenVPN\ssl\dh.pem»
ca «C:\Program Files\OpenVPN\ssl\ca.crt»
cert «C:\Program Files\OpenVPN\ssl\cert.crt»
key «C:\Program Files\OpenVPN\ssl\cert.key»
server 172.16.10.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
compress
fast-io
cipher AES-256-GCM
persist-key
persist-tun
status «C:\Program Files\OpenVPN\log\status.log»
log «C:\Program Files\OpenVPN\log\openvpn.log»
verb 4
mute 20

* где port — сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть любым из свободных, например 1194, занятые порты в Windows можно посмотреть командой netstat -a); dev-node — название сетевого интерфейса; server — подсеть, в которой будут работать как сам сервер, так и подключенные к нему клиенты.
** так как в некоторых путях есть пробелы, параметр заносится в кавычках.
*** при использовании другого порта необходимо проверить, что он открыт в брандмауэре или на время тестирования отключить его.

В сетевых подключениях Windows открываем управление адаптерами — TAP-адаптер переименовываем в «VPN Server» (как у нас указано в конфигурационном файле, разделе dev-node):

Теперь открываем службы Windows и находим «OpenVpnService». Открываем ее, настраиваем на автозапуск и включаем:

Если служба в запущенном состоянии, то перезапускаем ее.

Ранее переименованный сетевой интерфейс должен включиться:

VPN-сервер работает. Проверьте, что сетевой адаптер VPN Server получил IP 172.16.10.1. Если он получает что-то, на подобие, 169.254…, выключаем сетевой адаптер — перезапускаем службу OpenVpnService и снова включаем сетевой адаптер.

Если в нашей системе включен брандмауэр, необходимо открыть порт для OpenVPN. Это быстрее всего сделать из командной строки — открываем ее от администратора и вводим:

netsh advfirewall firewall add rule name=»ALLOW OpenVPN» dir=in action=allow protocol=UDP localport=443

* где 443 — наш порт, который мы решили задействовать под OpenVPN; UDP — протокол, который мы настроили в конфигурационном файле сервера.

Настройка клиента

На сервере

На сервере генерируем сертификат для клиента. Для этого сначала чистим файл index.txt в папке C:Program FilesOpenVPNeasy-rsakeys.

Затем запускаем командную строку от имени администратора:

Переходим в каталог easy-rsa:

cd %ProgramFiles%OpenVPNeasy-rsa

Далее наши действия зависят от версии RSA.

а) Создание сертификатов с RSA 3

Запускаем команду:

EasyRSA-Start.bat

Мы окажемся в среде EasyRSA Shell.

Создаем клиентский сертификат:

./easyrsa gen-req client1 nopass

./easyrsa sign-req client client1

Мы должны увидеть запрос на подтверждение намерения выпустить сертификат — вводим yes:

  Confirm request details: yes

* в данном примере будет создан сертификат для client1.

После вводим пароль, который указывали при создании корневого сертификата.

Теперь из папки pki копируем файлы:

• issued/client1.crt
• private/client1.key
• ca.crt
• dh.pem

… и переносим их на клиентский компьютер.

б) Создание сертификатов с RSA 2 (для очень старых версий OpenVPN)

Запускаем vars.bat:

vars.bat

И генерируем сертификат первого пользователя:

build-key.bat client1

* на все запросы наживаем Enter, кроме Common Name — в данном поле вводим имя клиента (в нашем случае, просто client1). В конце подтверждаем введенную информацию — y.
** На каждого клиента нужно сгенерировать свой сертификат, в противном случае, им будет присваиваться один и тот же IP-адрес, что будет приводить к конфликту.

Получиться, что-то на подобие:

Country Name (2 letter code) [RU]:
State or Province Name (full name) [Sankt-Petersburg]:
Locality Name (eg, city) [Sankt-Petersburg]:
Organization Name (eg, company) [Organization]:
Organizational Unit Name (eg, section) [DMOSK]:
Common Name (eg, your name or your server’s hostname) [DMOSK]:client1
Name [server.domain.ru]:
Email Address [master@dmosk.ru]:

По умолчанию, для Common Name будет подставляться значение из vars.bat — но с ним сертификат не будет создаваться. Необходимо при создании каждого ключа подставлять значение, равное имени сертификата. Например, как выше — подставлено client1.

Теперь из папки keys копируем файлы:

• client1.crt
• client1.key
• ca.crt
• dh.pem

… и переносим их на клиентский компьютер.

На клиенте

Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:

* по сути, это тот же файл, который скачивался для сервера.

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

Переходим в папку C:Program FilesOpenVPNconfig. И копируем в нее сертификаты, которые перенесли с сервера.

Теперь открываем блокнот от имени администратора и вставляем следующие строки:

client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
compress
fast-io
cipher AES-256-GCM
ca ca.crt
cert client1.crt
key client1.key
dh dh.pem
float
keepalive 10 120
persist-key
persist-tun
verb 0

* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы. Для боевой среды это будет внешний адрес.

Сохраняем файл с именем config.ovpn в папке C:Program FilesOpenVPNconfig.

Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора (это важно).

Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:

Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.

Доступ к локальной сети

По инструкции выше мы сможем получить доступ только к серверу, на котором установлен OpenVPN. Для получения доступа ко всей внутренней сети, выполним следующие шаги.

1. Настройка реестра

Для включения IP маршрутизации в Windows необходимо в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters найти параметр IPEnableRouter и задать ему значение 1. Это можно сделать в утилите редактирования реестра (regedit) или командой:

reg add «HKLMSYSTEMCurrentControlSetServicesTcpipParameters» /v IPEnableRouter /t REG_DWORD /d 1 /f

* командную строку необходимо запускать от администратора.

2. Настройка OpenVPN Server

В конфигурационный файл OpenVPN добавим:

push «route 172.16.10.0 255.255.255.0»
push «route 192.168.2.0 255.255.255.0»

* где 172.16.10.0 — VPN сеть; 192.168.2.0 — локальная сеть, в которую необходимо «попасть» пользователям openvpn.

При необходимости использовать DNS внутренней сети также добавим:

push «dhcp-option DNS 192.168.0.15»
push «dhcp-option DNS 192.168.0.16»
push «dhcp-option DOMAIN dmosk.local»

* где 192.168.0.15 и 192.168.0.16 — внутренние DNS-серверы; dmosk.local — домен, который будет добавляться к узлам, обращение к которым идет по неполному имени.

Если нам нужно, чтобы все запросы клиента (в том числе, Интернет) ходили через сервер OpenVPN, добавляем:

push «redirect-gateway def1»

* в таком случае, нам не обязательно добавлять push route, который мы использовали выше.

Перезагружаем службу OpenVpnService.

3. Разрешаем доступ к локальной сети

Заходим в управление сетевыми подключениями (Панель управленияСеть и ИнтернетСетевые подключения). Кликаем правой кнопкой мыши по адаптеру локальной сети — Свойства:

На вкладке Доступ ставим галочку Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера:

… и сохраняем настройки.

Возможные проблемы

Большая часть проблем решается при помощи логов, которые находятся в папке C:Program FilesOpenVPNlog. Уровень детализации лога контролируется параметром verb в конфигурационном файле сервера или клиента.

Также возможны следующие часто возникающие проблемы:

1. Проблема: клиент постоянно пытается подключиться к серверу, но соединения не происходит или подключение зависает.
   Причина: сервер блокирует подключения по настроенному порту VPN (в нашем примере, 443).
   Решение: на сервере необходимо добавить 443 порт в исключения брандмауэра или отключить последний.
    
2. Проблема: при попытке подключиться к серверу выскакивает ошибка «Не удалось подключиться к config».
   Причина: ошибка в настройках.
   Решение: перепроверьте каждую строчку файла конфигурации. Проверьте наличие всех файлов, на которые ссылаетесь в настройках.
    
3. Проблема: клиенты получают одинаковые IP-адреса.
   Причина: подключение выполняется под одним и тем же пользователем.
   Решение: сервер выдает одинаковые адреса одинаковым клиентам. Необходимо настроить авторизацию на сервере и выдать каждому клиенту индивидуальные настройки.
    
4. Проблема: соединение происходит, но через несколько минут связь прерывается.
   Причина: дублирование IP-адресов.
   Решение: данная проблема описана выше (пункт 3).

Возможно, Вы это тоже захотите попробовать

1. Настройка OpenVPN-сервера с аутентификацией через LDAP (Active Directory) на Ubuntu Server
2. Установка и настройка OpenVPN на Linux CentOS 7

Друзья, приветствую на fast-wolker.ru! Сегодняшний материал  жизненно необходим тем, кто задумывает организовать бесплатный и безопасный доступ к своей локальной сети из интернета для  удаленной работы из любого места. Существует  достаточно  решений — одни  сложные, требующие денежных вложений.

Другие бесплатны и вполне по силам для самостоятельного и бесплатного внедрения в любой организации. Сегодня мы и решим такую практическую задачу — организуем доступ сотрудников  к  обычной сети для удаленной работы с помощью программы Open VPN.

Имеется сеть с выделенным IP адресом от провайдера (это обязательное условие для решения нашей задачи!) и нам  нужно:

• организовать безопасный  и регулярный  доступ к сети из другого филиала (со своей сетью)  для удаленной работы сотрудников с общей базой данных;
• соединить между собой две разных локальные компьютерные сети;
• компьютеры  обоих сетей (клиенты)  должны «видеть» друг друга;
• обеспечить удаленным сотрудникам возможность печати документов из  общей базы данных на принтеры своего удаленного офиса;
• Доступ к базе данных будет организован через удаленный рабочий стол (терминальный доступ).

Обе наших компьютерных сети не  используют домены,  Open VPN поэтому  — одно из подходящих решений. Мы самостоятельно «поднимем» сначала в нашей сети Openvpn сервер, затем сгенерируем сертификаты пользователей, которые будут подключаться к нему. Настроим наш сервер в соответствии с задачей.

Затем настроим компьютеры со стороны  клиентов — установим openvpn и дадим настройки. Материал данной статьи — проверенное и работоспособное решение,  оттестированное в течение нескольких лет на различных версиях. Читаем — берем на вооружение!

Как настроить сервер openvpn на windows 10?

Что за программа — Open VPN и зачем она нужна? Данный продукт — бесплатное программное решение в течение многих лет предлагаемое разработчиками для организации бесплатных виртуальных частных сетей. Внутри вашего канала Интернет создается безопасный туннель  (в том числе и для решения нашей задачи).

Данные шифруются  современными методами шифрования, поэтому расшифровка их без ключа невозможна. Ключи создаются при генерировании сертификата, который выдается пользователю.

Замечательной особенностью open vpn является то что генерация сертификатов производится через собственный  «авторизованный центр», и платить за выдачу и продление не нужно. Срок действия сертификата определяется самостоятельно. Изначально программа была разработана для Linux. Но для пользователей Windows так же есть решения на сайте разработчика.

Нужно выбирать версию подходящую для вашей операционной системы. В настоящее время актуальна версия для Windows 10. Ее мы и будем сегодня использовать.

Программа OPEN VPN не имеет обычного  механизма  автоматического обновления. Новые версии нужно  сначала скачивать с сайта разработчика, тестировать.  При установке новой версии «поверх» существующей сервер сломается и перестанет работать.

Но пусть вас это не смущает. На одной версии спокойно можно работать года три-четыре. Новые появляются при выходе очередных редакций операционных систем и отличаются размерами ключей, методами шифрования и адаптацией. Как правило, приходится генерить под них новые сертификаты пользователей — ставить всё заново.

Забегая вперед скажу — лучше иметь в сети два таких  open vpn сервера — основной и резервный. И издеваться над резервным, а придет время- по образу и подобию обновить основной. Итак, для решения нашей задачи следует  сначала подготовить наш будущий сервер к работе. Скачиваем программу с сайта разработчика и устанавливаем на нужный компьютер.

Так как у нас это будет СЕРВЕР, не забываем установить галочку, как на картинке. Данный механизм будет нужен нам чуть позже для изготовления сертификатов и прочего.

После окончания установки идем в «Центр управления сетями и общим доступом» — «изменение параметров адаптера». Обнаруживаем, что установился виртуальный сетевой адаптер (через него будет идти соединение) под именем «Ethernet«.

Если название получилось на русском языке (зависит от версии) — переименовываем на английском . Это важно!  Имя адаптера придумываем любое — покороче.

В моем случае необходимо, чтобы клиенты подключаясь  к нашей сети видели наши  доступные компьютеры,  а наши сервера «видели» бы нужные   сетевые принтеры в соседней сети. Для этого нам нужно  создать сетевой мост — объединить два сетевых устройство между собой.

В нашем случае  это наш сетевой адаптер, который «смотрит» в интернет и только что созданный адаптер TAP. Настройки IP обнуляем. Выделяем оба адаптера мышкой и объединяем в «мост»:

После установки устройства «Сетевой мост» нужно сделать ему настройки через «свойства» IP адреса, шлюза, маски а так же адреса DNS -серверов (выданные провайдером) . Если IP не было — назначить постоянный, внутренний. Это важно, без этого наш сервер не заработает!

Настройки IP адаптеров включенных в мост не изменяем и ничего не трогаем!

Отключаем брандмауэр windows.  Дополнительно, там же идем в «Разрешение обмена данными с приложениями в брандмауэре  Windows,  добавляем наш установленный open vpn в список (C:Program FilesOpenVPVBinOpenVPNgui,exe).

Сняли возможную блокировку соединения. Идем далее! Предварительная подготовка почти закончена. Теперь займемся непосредственно сервером. Идем в папку C:Program FilesOpenVPVeasy-rsa

В ней находятся программы  с которыми мы сейчас будем взаимодействовать. Открываем командную строку от имени Администратора. Переходим в папку easy-rsa, для чего в командную строку скопируем команду  cd C:Program FilesOpenVPNeasy-rsa

Все операции далее совершаем через командную строку. Для создания конфигурации сервера запустим файл init-config.bat

Создастся файл vars.bat, в нем мы заполним информацию, которую будут содержать сертификаты безопасности и с их помощью будут шифроваться данные. Для этого в блокноте открываем файл vars.bat и произвольно заполняем значения (командную строку не закрываем!):

Значения «server»  не изменяем. Все значения (страна, регион, город, организация, почтовый адрес) проставляем произвольно английским шрифтом. Сохраняем файл. Переходим в командную строку снова. Набираем  первой команду Vars.bat  

Если OpenVPN устанавливался ранее -набираем команду clean-all.bat  Она удалит созданную до этого  папку с ключами (keys) со всем содержимым . При установе сервера  OpenVPN с нуля  делать эту команду необязательно.

Если у вас так как на фото, нормально. Идем далее

Теперь с помощью проводника перейдем в каталог C:Program FilesOpenVPNbin и скопируем файлы библиотек (*.dll) , файл openssl.exe в каталог, где лежат наши исполняемы файлы и который открыт сейчас   в командной строке (C:Program FilesOpenVPNeasy-rsa):

Библиотеки нужны в этом каталоге, чтобы не возникало ошибок при создании сертификатов центра авторизации и файла  Диффи-Хеллмана. Начнем с последнего. Файл Диффи-Хеллмана  препятствует расшифровке информации (если файлы ключей были похищены), а так же отвечает за шифрование. Создадим его для нашего сервера в командной строке набрав команду build-dh.bat

Ждем, пока файл генерируется на основании информации указанной в vars.bat Далее, сгенерируем сертификат нашего удостоверяющего центра. Он будет необходим для  дальнейшей выдачи серверного и клиентских сертификатов. Наберем в командной строке команду build-ca.bat Последовательно и не спеша нажимаем клавишу Enter…

…после появления очередной строчки; данные в сертификате будут скопированы по значениям указанным в файле vars.bat Следующий этап —  создадим сертификат нашего сервера. В командной строке набираем команду build-key-server.bat server (server -имя серверного сертификата):

Так же последовательно и не спеша нажимаем Enter пока не дойдем до строчки Common Name(eg, your name or your servers hostname Здесь нужно обязательно указать имя сервера ( можно имя компьютера) и нажать Enter.

Далее будут оставшиеся поля и запрос на создание пароля от сертификата. Просто нажимаем Enter. На вопросы записи сертификата и добавления его в базу данных  нажимаем Y и Enter

Срок действия сертификата — 10 лет.

Если нужно поменять сроки действия открываем файл openssl 1.00.cnf и в строке default_days редактируем сроки действия серверного и клиентских сертификатов.

Теперь нам необходимо создать файл конфигурации сервера,  выбрать протокол соединения, имя сетевого виртуального адаптера, порт соединения и еще много чего.

В папке sample-config лежит пример файла server.ovpn, находим его, открываем блокнотом( от имени администратора!):

Openvpn клиенты не видят друг друга, как настроить файл конфигурации сервера?

Очищаем  содержимое server.ovpn и вставляем текст:

Жирным выделил то, что можно менять. Ненужные строки можно закомментировать знаком #. Сохраняем файл под именем server.ovpn в  папке C:Program  FilesOpenVPNconfig  Если не получается сохранить —  запускаем блокнот (или программу NotePad++) от имени администратора, редактируем и сохраняем файл куда нужно.

Из папки Key скопируем сгенерированные нами файлы ключей и  сертификатов,  файл dh2048.pem в папку Config  — там же уже должен лежать наш файл server.ovpn

Операции с сервером можно считать почти законченными. Давайте стартуем и проверим наш сервер. На рабочем столе запустим ярлык OpenVPNgui в виде оранжевой замочной скважины (от имени Администратора!) На панели задач рядом с основным значком появиться еще один значок подключения. Кликнув по нему мышкой  обнаруживаем, что устанавливается соединение. Если сервер стартовал успешно —  значок подключения станет зеленым

Как сделать автоматический старт OpenVPN соединения при запуске Windows? 

Каждый раз запускать вручную соединение  неудобно. В ярлыке OpenVPNgui  (свойствах объекта) дописываем аргумент —connect server.ovpn, Ярлык помещаем в «автозагрузку». Я настраивал автозапуск быстро с помощью glary utilites

Вот так это выглядит Команда —connect дает соединение, а настройки его берутся из файла  нашего server.ovpn

Если планируется круглосуточная работа  сервера — советую настроить операционную систему на автоматический вход без пароля. Это гарантирует самозапуск соединения после  перезагрузок, которые бывают при отключении света, установки обновлений.

С сервером закончили. Не забываем открыть порт (указанный в конфиге сервера) на роутере, чтобы предоставить доступ к  нашему серверу извне.

Как настроить openvpn клиент на Windows10

Теперь нужно закончить с клиентскими машинами. Для начала сгенерируем клиентские сертификаты. Командная строка еще не закрыта? Набираем команду build-key client (сlient — имя сертификата клиента, можно использовать фамилию, инициалы)

Генерация сертификата происходит как обычно. Доходим до строки Common Name(eg, your name or your servers hostname) и вводим имя сертификата клиента. Оно должно совпадать с введеным ранее! После заполняем строки по умолчанию даем согласие на запись сертификата и добавление его в базу данных.

База данных на сервере обновлена . Таким же образом изготавливаем необходимое количество сертификатов.

Устанавливаем программу Open VPN на компьютере клиента.

Так же появится виртуальный сетевой адаптер, переименовываем его на любое короткое имя по английски.Подготовим конфигурационный файл клиента. Тут все проще.

Можно редактировать конфигурацию нажав на значок подключения через меню «Редактировать конфигурацию»

Скопируем туда следующий текст:

client

#имя сетевого адаптера ovpn

Сохраняем файл в папку с программой по пути C:Program FilesOpenVPNconfig  cертификат центра авторизации (ca.crt), сертификат и закрытый ключ (client.key,client.crt) мы копируем с сервера и помещаем в папку с файлом client.ovpn.

Нельзя выдавать один и тот же сертификат разным пользователям. Не получиться одновременной работы —  кого то будет выбрасывать из сети при попытке соединения.

Если сотрудник уволился — удаляем файлы  его сертификата и ключа с сервера. Программа позволяет генерить список отзыва недействительных сертификатов —  простая но полноценная программа. Запускаем соединение на клиенте аналогично — через замочную скважину.

Если все сделано правильно — в панели клиента тоже будет зеленый значок. Соединение установлено, можно работать, устанавливать сетевые принтеры. Знатоков прошу в комментариях выкладывать свои версии конфигов сервера — чтобы не читать документацию на английском. Удачи!

Виртуальные частные сети (VPN) расширяют
сеть предприятия, размыкая пределы
локальных сетей. С помощью VPN сотрудники,
находящиеся вне предприятия, могут
безопасно подключиться к корпоративной
локальной сети из любой точки Internet.
Аутентифицированный и зашифрованный
туннель VPN прокладывается через Internet,
поэтому затраты на его организацию гораздо
ниже, чем на дорогостоящие двухточечные
специальные сетевые каналы. Многие
администраторы знакомы с решениями RRAS VPN
компании Microsoft и с коммерческими VPN таких
поставщиков, как Cisco Systems и Nortel Networks, но не
всем известно об открытой программе OpenVPN,
которая отличается высокой гибкостью и
располагает функциями VPN. При значительно
меньших затратах, основные функции OpenVPN
такие же, как у коммерческих конкурентов.
OpenVPN распространяется бесплатно, и
администратору приходится тратить время
лишь на настройку конфигурации.

Предприятиям, которые уже располагают
коммерческой VPN, нет смысла менять ее на
OpenVPN. Но если нужно организовать новую VPN для
офиса филиала или лаборатории, либо
требуется недорогое, безопасное решение
для связи с удаленными сетями, то OpenVPN
заслуживает внимания. Программа совместима
со многими операционными системами,
поэтому может стать альтернативой VPN-функциональности
RRAS или Microsoft Internet Security and Acceleration (ISA) Server для
предприятий, использующих платформу Windows. В
данной статье рассматриваются основные
этапы развертывания клиентского решения
OpenVPN и важнейшие характеристики продукта.

Основы OpenVPN

В OpenVPN ряд основных функций защиты VPN
реализован на базе протокола Secure Sockets Layer
(SSL)/Transport Layer Security (TLS), а в других сетевых VPN
для этого используются протоколы IP Security
(IPsec) или PPTP. В отличие от других SSL VPN,
достоинством которых считается
безклиентская установка (соединение SSL VPN
устанавливается через браузер), для OpenVPN
необходим специальный клиент. Кроме того,
OpenVPN представляет собой одноранговое (P2P)
приложение, поэтому одну программу можно
выполнять по обеим сторонам туннеля VPN.

В OpenVPN предусмотрены режимы моста (bridged) и
маршрутизации (routing), в которых сетевой
трафик можно направлять через единственный
порт UDP или TCP по выбору администратора. По
умолчанию OpenVPN использует протокол UDP и порт
1194. Любой сетевой трафик, посылаемый или
принимаемый для сетевого адаптера,
инкапсулируется в зашифрованный пакет и
доставляется в другой конечный пункт
туннеля OpenVPN, где данные расшифровываются и
попадают в удаленную сеть.

Базовая процедура конфигурирования очень
проста. Однако развернуть продукт в более
сложных условиях труднее. От
администратора требуется больше знаний и,
потенциально, усилий для настройки
существующей сетевой топологии, чем в
коммерческих продуктах VPN. Продукт
необходимо сначала протестировать и
освоить в лаборатории, а затем принять
решение о его пригодности для конкретного
предприятия.

Продукт предоставляется в соответствии с
условиями лицензии Open Source GNU General Public License (GPL)
и работает с Windows 2000 и более новыми версиями,
Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X и Solaris. Выбрав
платформу, можно загрузить новейшую версию
OpenVPN с Web-узла http://openvpn.net. Во время подготовки
данного обзора самой новой версией была
OpenVPN 2.0-rc20. Сторонники графического
интерфейса могут загрузить необязательный
графический интерфейс с Web-узла OpenVPN
(http://www.nilings.se/openvpn) и установить его, следуя
простым инструкциям.

По сути OpenVPN представляет собой
приложение командной строки, которое можно
настроить на работу в качестве службы.
Приложение можно запускать с огромным
числом параметров настройки, сочетая ключи
командной строки и элементы файла
конфигурации. Полный список всех
параметров опубликован на странице OpenVPN Man
Page по адресу http://openvpn.net/man.html. Кроме того, для
управления несколькими конечными точками
туннелей на одном сервере можно
использовать несколько файлов
конфигурации.

Определение сетевой топологии

С помощью OpenVPN можно организовать VPN между
сайтами или клиентские туннели. Пакет OpenVPN
отличается гибкостью, и этапы настройки VPN
между сайтами и типа клиент-сервер похожи. В
действительности, одно приложение OpenVPN
устанавливается в обоих конечных пунктах
VPN. Как уже отмечалось, установить VPN в
базовой конфигурации просто, но программа
усложняется при активизации
дополнительных функций. Например, чтобы
запустить и настроить некоторые функции
безопасности, необходимы познания в
шифровании и управлении ключами. OpenVPN
поддерживает несколько механизмов
аутентификации, в том числе сертификаты,
смарт-карты и учетные данные пользователя,
имя пользователя/пароль. Однако чтобы
применить такие меры безопасности, нужно
задействовать сложные компоненты
программы, и для их реализации
администратор должен хорошо знать основы
PKI. На Web-узле OpenVPN опубликованы полезные
документы и примеры, которые могут
пригодиться при настройке этих параметров.

Настройка сервера

Загрузив версию для Windows, следует
скопировать ее на сервер, который будет
применяться в качестве сервера VPN, и
запустить программу установки. Мастер
проводит пользователя по этапам этой
процедуры, которая состоит в развертывании
OpenVPN, программы настройки графического
интерфейса OpenVPN и инструмента генерации
запроса сертификата. Мастер запрашивает
различные параметры, но для базовой
установки достаточно значений, выбираемых
по умолчанию. Программы и исходные файлы
можно найти в папке C:Program FilesOpenVPN.

После завершения установки появляется
дополнительный сетевой адаптер —
устройство с именем TAP-Win32 Adapter V8. Если
планируется настроить OpenVPN в режиме моста,
то необходимо вручную организовать
мостовое соединение нового адаптера с
другим сетевым адаптером, уже имеющимся в
системе. Если предстоит работать в режиме
маршрутизации, то Windows распознает
устройство как сетевой адаптер с IP-адресом.
Обе конфигурации — мостовая и маршрутизации
— будут рассмотрены ниже.

Но сначала следует познакомиться с
основным инструментарием настройки OpenVPN. На
сервере требуется перейти в каталог OpenVPN (по
умолчанию C:Program FilesOpenVPNconfig), скопировать
файл sample.ovpn.txt и дать ему любое другое имя с
расширением .ovpn (например, myOpenVpnConfig.ovpn). В
этом файле содержится подробно
аннотированный пример настройки OpenVPN. После
более близкого знакомства с работой OpenVPN
администратор сможет создать собственный
файл конфигурации OpenVPN длиной всего
несколько строк.

OpenVPN работает подобно P2P VPN, поэтому каждый
активный экземпляр файла в компьютере в
действительности представляет собой еще
одну конечную точку. В данном примере будет
показано, как настроить одну систему в
качестве сервера VPN, который сможет
принимать соединения из любого IP-адреса.
Необходимо открыть новый файл конфигурации
и отыскать текст

remote myremote

Поскольку данный компьютер настраивается
для выполнения функций сервера, он не будет
устанавливать исходящих соединений с
удаленным компьютером. Поэтому указанную
строку следует превратить в комментарий с
помощью точки с запятой (;):

; remote myremote

Если указан адрес удаленного компьютера (например,
remote 10.0.0.10), то будут разрешены соединения
только с этим адресом. Это одна из мер
защиты двухточечного соединения VPN между
двумя удаленными сетями. Однако данная
конечная точка настраивается в качестве VPN-сервера
OpenVPN, так что придется разрешить соединения
от любых удаленных клиентов. По этой
причине мы просто превратили строку в
комментарий. Позднее данный VPN-сервер будет
настроен как удаленный компьютер.

По умолчанию OpenVPN использует UDP-порт с
номером 1194. Если порт нужно изменить —
например, чтобы использовать протокол,
который открывают большинство
администраторов брандмауэров, такой как TCP
443 — следует отыскать строку

; port 1194

и снять комментарий, убрав точку с запятой.
Затем можно изменить номер порта, указав
свой. По умолчанию применяется протокол UDP,
но можно использовать и TCP. UDP более
эффективен, и TCP рекомендуется применять
только в случаях, когда UDP не работает,
например, если брандмауэр блокирует весь
трафик UDP. UDP не требует дополнительных
затрат ресурсов, свойственных TCP, поэтому
его производительность несколько выше,
благодаря меньшему размеру заголовков и
отсутствию встроенной функции
подтверждения доставки пакетов, как в TCP.
Однако OpenVPN шифрует исходные пакеты,
обеспечивая проверку ошибок и повторную
передачу, поэтому общая надежность не
снижается.

Затем следует выбрать сетевой протокол dev
tap или dev tun. Если планируется использовать
OpenVPN в режиме моста, необходимо выбрать dev tap.
В данном примере выполняется настройка
соединения Windows-Windows в мостовой
конфигурации, поэтому выбран протокол dev tap.
В файле конфигурации должен быть элемент

dev tap

Затем настраивается метод аутентификации
соединения. Для соединений, требующих
повышенной безопасности, следует настроить
TLS с собственной парой сертификат/ключ на
обоих концах соединения. В данном примере
для настройки VPN-соединения используется
статический ключ (другие функции
шифрования OpenVPN описаны во врезке «Режимы шифрования»).
Сервер будет принимать только соединения
OpenVPN с таким же статическим ключом.

В меню Start, All Programs, OpenVPN следует щелкнуть на
пункте Generate a static OpenVPN key. В результате
запускается простая консольная программа,
которая генерирует ключ и копирует его в
файл C:Program FilesOpenVPNconfigkey.txt. Любой
обладатель статического ключа сможет
установить соединение с конечной точкой
OpenVPN, поэтому его следует хранить в секрете.
Данный метод похож на процедуру настройки
беспроводного узла доступа Access Point (AP) со
статическим ключом. Статического ключа
достаточно, чтобы связать две удаленные
сети через OpenVPN, но если организован
конечный сервер OpenVPN со многими клиентами,
то лучше применять более надежный метод
аутентификации пользователей, такой как
сертификаты.

Файл конфигурации OpenVPN должен содержать
команду Secret, за которой следует имя файла
ключа:

secret key.txt

Если пример файла конфигурации .ovpn был
предварительно скопирован, то изменять
команду secret не нужно, так как она включена
по умолчанию. Наконец,
полезно добавить в файл конфигурации
следующие две команды:

verb 4

mute 10

Команда
verb задает уровень детализации журнала OpenVPN,
и администратор может задать значение от 0
до 11. Параметр 0 означает, что не
отображается никаких выходных данных,
кроме неисправимых ошибок, а параметр 11
отображает множество данных, полезных при
отладке. Как правило, для большинства
пользователей достаточно значения 4.
Команда mute выдает множество сообщений об
ошибках и статусе. Эта команда полезна, если
повторные попытки клиента установить
соединение заканчиваются неудачей, и нужно,
чтобы журнал не засоряли экземпляры одного
и того же сообщения. Параметр 10 команды mute
означает, что OpenVPN будет отображать не более
10 экземпляров одного сообщения, и отбросит
остальные.

Настройка
конфигурации клиента

Процесс
установки клиента OpenVPN похож на процедуру
для сервера. Нужно развернуть ту же
программу OpenVPN и создать файл конфигурации
.ovpn. Параметры должны соответствовать
параметрам, заданным на сервере, с
немногими исключениями. С помощью
надежного носителя, такого как гибкий диск,
нужно скопировать статический ключ,
подготовленный для сервера (key.txt), на
клиентский компьютер (например, в каталог
C:Program FilesOpenVPNconfig).

Конфигурация
клиента OpenVPN, использующего выбираемый по
умолчанию протокол UDP и порт с номером 1194,
может выглядеть следующим образом:

remote 10.0.0.2

dev tap

ifconfig 192.168.0.100

255.255.255.0

secret key.txt

verb 4

mute 10

Данная конфигурация идентифицирует
удаленный VPN-сервер, с которым установит
соединение клиент, определяет сетевой
протокол как dev tap и назначает клиентский IP-адрес
для OpenVPN. Также назначаются параметры для
Secret, Verb и Mute. Клиентский IP-адрес зависит от
режима OpenVPN — моста или маршрутизации. В
режиме моста этот адрес должен совпадать с
IP-адресом локальной сети.

Мост или маршрутизация?

Итак, конфигурация сервера и клиента OpenVPN
настроена. Но это еще не все. Необходимо
внести в конфигурацию дополнительные
изменения, в зависимости от режима OpenVPN —
мост или маршрутизация. У каждого варианта
есть свои преимущества в зависимости от
нужд предприятия. При организации моста
между двумя сетями все объекты обоих сетей
выглядят как часть единой подсети. Поэтому
приложения, которые ведут
широковещательную передачу данных, смогут
работать через туннель VPN. Однако
увеличивается интенсивность трафика через
VPN, что замедляет связь. Организовать мост
проще, так как не нужно заботиться о
настройке новых сетевых маршрутов,
добиваясь, чтобы все компьютеры на обеих
сторонах VPN могли устанавливать соединения
друг с другом. Однако в режиме моста
локальная сеть предприятия слабее защищена
от входящих клиентов VPN (или сетей), чем в
режиме маршрутизации.

В конечном итоге выбор может зависеть от
необходимого уровня управляемости.
Простота настройки моста — существенное
преимущество, если нужен быстрый, простой
доступ к домашней или малой сети, либо если
пользоваться VPN будет одно лицо. Но если
необходимо развернуть OpenVPN как VPN-концентратор
для большого числа пользователей, то
маршрутизация обеспечивает более высокую
гибкость.

Рассмотрим пример с мостом. В режиме моста
строится мост между OpenVPN TAP-Win32 Adapter V8 и
сетевым адаптером VPN-сервера. В этом режиме
любой сетевой трафик любого адаптера
выглядит так, как будто оба сетевых
адаптера подключены к одной подсети.
Образующий мост адаптер имеет один IP-адрес.
Мост между адаптерами строится в Windows, а не в
файле конфигурации OpenVPN.

После установки программы OpenVPN следует
открыть утилиту Network Connections в панели
управления. Нажав клавишу Ctrl, следует
выделить как сетевой адаптер локальной
сети, так и адаптер OpenVPN TAP-Win32. Когда оба
адаптера будут выделены, нужно щелкнуть
правой кнопкой мыши на одном из адаптеров и
выбрать пункт Bridge Connections из контекстного
меню. Спустя мгновение на экране появится
новый объект мостового сетевого адаптера.
Этот объект функционирует как сетевой
адаптер и, по умолчанию, система назначит
ему IP-адрес DHCP. На одном компьютере можно
создать несколько конечных точек VPN с
помощью нескольких адаптеров OpenVPN TAP-Win32.
Если нужно соединить их в мостовой
конфигурации, то следует присоединить их к
мосту, обратившись к Properties раздела Network Bridge
и выбрав дополнительные адаптеры.

Если OpenVPN работает на многоузловом (multihomed)
компьютере — например, компьютере с
внутренним (корпоративная сеть) и внешним (общедоступный
канал в Internet) интерфейсами — то подключать к
мосту внешний сетевой адаптер нельзя. Мост
должен соединять только внутренний (корпоративная
сеть) сетевой адаптер с адаптером OpenVPN TAP-Win32,
а внешний интерфейс необходимо обязательно
защитить брандмауэром или другим
устройством. Это все, что нужно сделать,
чтобы настроить сервер для работы OpenVPN в
режиме моста. Никаких изменений в серверы
вносить не требуется.

После настройки файлов конфигурации как
на сервере, так и на клиенте, следует
сохранить их и запустить программу OpenVPN,
сначала на сервере. OpenVPN нужно запустить из
системной панели, щелкнув правой кнопкой
мыши на пиктограмме OpenVPN, а затем на кнопке
Connect. На экране появится диалоговое окно
OpenVPN с несколькими сообщениями о состоянии.
Если соединение выполнено успешно, то
пиктограмма становится желтой и программа
ожидает новых соединений. Для запуска
соединения OpenVPN из командной строки нужно
ввести команду

openvpn config

Затем следует подключить клиента,
повторив описанные выше шаги (Экран 1). Если соединение успешно
установлено, то цвет пиктограммы станет
зеленым, и появится сообщение, показанное
на Экране 2. После того, как соединение
установлено, можно обратиться к сетевому
приложению в удаленной сети — например,
протестировать соединение, направив ping-сигнал
на сервер удаленной сети с клиента.
Настройка бесплатной VPN с открытым исходным
текстом завершена.

Какая VPN нужна предприятию?

OpenVPN надежна и устойчива к отказам сети.
Если сетевое соединение прервано при
активной сети VPN, то OpenVPN автоматически
восстанавливает соединение после
восстановления сетевого канала связи. Для
простых случаев, таких как описано в данной
статье, OpenVPN позволяет быстро организовать
туннель OpenVPN, без серьезных дополнительных
затрат. Труднее освоить продукт при
использовании более сложных конфигураций —
например, если требуется пользовательская
аутентификация, выделение пула адресов VPN,
либо прокладка нескольких туннелей за
брандмауэром с помощью NAT (Network Address Translation).
OpenVPN поддерживает эти режимы, но требует
знания технических тонкостей. В таких
случаях проще развернуть коммерческие VPN,
так как у них, как правило, есть графический
интерфейс и предоставляются технические
консультации.

Цена коммерческих VPN также снизилась:
всего за несколько тысяч долларов можно
приобрести коммерческий концентратор VPN
для обслуживания сотен пользователей.
Кроме того, в VPN на базе UDP или TCP устранены
многие несогласованности брандмауэра VPN,
которые мешали работе туннелей IPsec. OpenVPN — не
для всех; средним и крупным компаниям лучше
по-прежнему работать с коммерческими
продуктами VPN. Но в лабораториях и малых
офисах, для которых имеет большое значение
стоимость решения и не требуется сложной
конфигурации, OpenVPN будет незаменим.

Режимы шифрования

OpenVPN поддерживает два типа шифрования:
статический ключ и Transport Layer Security (TLS). В Windows
статический ключ настроить легко. После
установки OpenVPN на одной из сторон VPN следует
запустить генератор ключей OpenVPN и
скопировать новый ключ (на защищенном
носителе) в папку OpenVPN всех других
компьютеров с OpenVPN, которым необходимо
подсоединение к этой конечной точке OpenVPN. В
файле настройки для всех конечных точек
просто укажите имя файла ключа. По
умолчанию OpenVPN использует для шифрования
режим Blowfish Cipher Block chaining (BF-CBC), но можно
выбрать и Advanced Encryption Standard (AES), Data Encryption Standard
(DES), International Data Encryption Algorithm (IDEA), или какой-то
иной, указав параметр шифрования в файле
настройки. Приложение использует функции
шифрования, аутентификации и проверки
сертификатов из библиотеки OpenSSL, поэтому
необходимо отслеживать обновления для OpenSSL.

OpenVPN также поддерживает TLS с
использованием обмена ключами алгоритма
Diffie-Hellman и ключи и сертификаты RSA. Установка
сертификатов и ключей в этом случае подобна
настройке других инфраструктур PKI,
поддерживающих X.509 PKI для аутентификации
сессии. При отсутствии опыта такой
настройки следует просмотреть материалы по
ссылкам на Web-сайте OpenVPN. Версии OpenVPN для Linux и
UNIX имеют большее количество справочных
материалов и программ для настройки TLS, чем
версия для Windows. В примерах этой статьи я
использовал статический ключ, чтобы
сделать акцент на самом процессе настройки
туннеля OpenVPN.

Джеф Фелинг (jeff@blackstatic.com) — Директор по
информационной безопасности компании
aQuantive. Автор книги IT Administrator’s Top 10 Introductory Scripts
for Windows (издательство Charles River Media).

OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

• создание и подключение к виртуальным сетям;
• создание шифрованных подключений (тоннелей) точка-точка;
• возможность подключения через HTTP и SOCKS-поркси, NAT и различные сетевые фильтры;
• надёжная защита передаваемых данных с помощью OpenSSL  и различных типов шифрования;
• уменьшение нагрузки на канал за счёт сжатия трафика;
• различные виды аутентификации с возможностью использования сторонних модулей и скриптов.

Протокол OpenVPN отвечает за поддержание коммуникации между клиентом и сервером. Как правило, он используется для создания защищённого туннеля между VPN-клиентом и сервером. Читайте так же: “Как обойти блокировку”

Для шифрования и аутентификации OpenVPN использует библиотеку OpenSSL. Кроме того, для передачи данных OpenVPN могут использоваться протоколы UDP или TCP.

• TCP требует отклика от клиента, которому доставлен пакет данных, подтверждения доставки, и для этого ему необходимо установленное заранее соединение. Протокол TCP исключает потери данных, дублирование и перемешивание пакетов, задержки.
• UDP всё это допускает, и соединение для работы ему не требуется. Протокол UDP доставляет пакеты данных гораздо быстрее, потому лучше подходит для приложений, которые рассчитаны на широкую пропускную способность и быстрый обмен.

Установка OpenVPN на машину-сервер

Инсталляция представляет собой стандартную процедуру с некоторыми нюансами, о которых и поговорим подробнее.

1. Первым делом необходимо скачать программу по ссылке ниже.Скачать OpenVPN

   

2. Далее запускаем установщик и доходим до окна выбора компонентов. Здесь нам потребуется поставить галку возле пункта с названием «EasyRSA», что позволит создавать файлы сертификатов и ключей, а также управлять ими.
3. Следующий шаг – выбор места для инсталляции. Для удобства поместим программу в корень системного диска С:. Для этого просто удалим лишнее. Должно получитьсяC:OpenVPN

   

   Делаем мы это и для того, чтобы избежать сбоев при выполнении скриптов, так как пробелы в пути недопустимы. Можно, конечно, брать их в кавычки, но внимательность может и подвести, а искать ошибки в коде – дело непростое.

4. После всех настроек устанавливаем программу в штатном режиме.

Настраиваем сервер.

Создаем:
с:openvpneasy-rsavars.bat
echo off
set path=%path%;c:OpenVPNbin
set HOME=c:OpenVPNeasy-rsa
set KEY_CONFIG=openssl.cnf
set KEY_DIR=c:OpenVPNssl
set KEY_SIZE=1024
set KEY_COUNTRY=RU
set KEY_PROVINCE=mycity
set KEY_CITY= mycity
set KEY_ORG=Comp
set KEY_EMAIL=admin@local
«с:openvpneasy-rsaopenssl.cnf»#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# This definition stops the following lines choking if HOME isn’t
# defined.
HOME =.
RANDFILE = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
# To use this configuration file with the “-extfile” option of the
# «openssl x509» utility, name here the section containing the
# X.509v3 extensions to use:
# extensions =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)
[ new_oids ]
# We can add new OIDs in here for use by ‘ca’ and ‘req’.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6
####################################################################
[ ca ]
default_ca = CA_default # The default ca section
####################################################################
[ CA_default ]
dir = $ENV::KEY_DIR # Where everything is kept
certs = $dir # Where the issued certs are kept
crl_dir = $dir # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir # default place for new certs.
certificate = $dir/ca.crt # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/ca.key # The private key
RANDFILE = $dir/.rand # private random number file
x509_extensions = usr_cert # The extentions to add to the cert
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext
default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # which md to use.
preserve = no # keep passed DN ordering
# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that 🙂
policy = policy_match
# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# For the ‘anything’ policy
# At this point in time, you must list all acceptable ‘object’
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ req ]
default_bits = $ENV::KEY_SIZE
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret
# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix: PrintableString, BMPString.
# utf8only: only UTF8Strings.
# nombstr: PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
# so use this option with caution!
string_mask = nombstr
# req_extensions = v3_req # The extensions to add to a certificate request
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = $ENV::KEY_COUNTRY
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = $ENV::KEY_PROVINCE
localityName = Locality Name (eg, city)
localityName_default = $ENV::KEY_CITY
0.organizationName = Organization Name (eg, company)
0.organizationName_default = $ENV::KEY_ORG
# we can do this but it is not needed normally 🙂
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =
commonName = Common Name (eg, your name or your server’s hostname)
commonName_max = 64
emailAddress = Email Address
emailAddress_default = $ENV::KEY_EMAIL
emailAddress_max = 40
# SET-ex3 = SET extension number 3
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
# These extensions are added when ‘ca’ signs a request.
# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.
basicConstraints=CA:FALSE
# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.
# This is OK for an SSL server.
# nsCertType = server
# For an object signing certificate this would be used.
# nsCertType = objsign
# For normal client use this is typical
# nsCertType = client, email
# and for everything including object signing:
# nsCertType = client, email, objsign
# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# This will be displayed in Netscape’s comment listbox.
nsComment = «OpenSSL Generated Certificate»
# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl = www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
[ server ]
# JY ADDED — Make a cert with nsCertType set to «server»
basicConstraints=CA:FALSE
nsCertType = server
nsComment = «OpenSSL Generated Server Certificate»
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]

# Extensions for a typical CA

# PKIX recommendation.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true
# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign
# Some might want this also
# nsCertType = sslCA, emailCA
# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy
# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where ‘obj’ is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF
[ crl_ext ]
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always
Копируем index.txt.start в index.txt, а serial.start в serial в папку ssl

Как настроить сетевой мост между двумя сетями для Open VPN сервера?

В моем случае необходимо, чтобы клиенты подключаясь  к нашей сети видели наши  доступные компьютеры,  а наши сервера «видели» бы нужные   сетевые принтеры в соседней сети. Для этого нам нужно  создать сетевой мост — объединить два сетевых устройство между собой.

В нашем случае  это наш сетевой адаптер, который «смотрит» в интернет и только что созданный адаптер TAP. Настройки IP обнуляем. Выделяем оба адаптера мышкой и объединяем в «мост»:

После установки устройства «Сетевой мост» нужно сделать ему настройки через «свойства» IP адреса, шлюза, маски а так же адреса DNS -серверов (выданные провайдером) . Если IP не было — назначить постоянный, внутренний. Это важно, без этого наш сервер не заработает!

Настройки IP адаптеров включенных в мост не изменяем и ничего не трогаем!

Отключаем брандмауэр windows.  Дополнительно, там же идем в «Разрешение обмена данными с приложениями в брандмауэре  Windows,  добавляем наш установленный open vpn в список (C:Program FilesOpenVPVBinOpenVPNgui,exe).

Сняли возможную блокировку соединения. Идем далее! Предварительная подготовка почти закончена. Теперь займемся непосредственно сервером. Идем в папку C:Program FilesOpenVPVeasy-rsa

В ней находятся программы  с которыми мы сейчас будем взаимодействовать. Открываем командную строку от имени Администратора. Переходим в папку easy-rsa, для чего в командную строку скопируем команду  cd C:Program FilesOpenVPNeasy-rsa

Все операции далее совершаем через командную строку. Для создания конфигурации сервера запустим файл init-config.bat

Создастся файл vars.bat, в нем мы заполним информацию, которую будут содержать сертификаты безопасности и с их помощью будут шифроваться данные. Для этого в блокноте открываем файл vars.bat и произвольно заполняем значения (командную строку не закрываем!):

rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set DH_KEY_SIZE=2048

rem Private key size
set KEY_SIZE=4096

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don’t leave any of these parms blank.

set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=OU
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234

Значения «server»  не изменяем. Все значения (страна, регион, город, организация, почтовый адрес) проставляем произвольно английским шрифтом. Сохраняем файл. Переходим в командную строку снова. Набираем  первой команду Vars.bat  

Если OpenVPN устанавливался ранее -набираем команду clean-all.bat  Она удалит созданную до этого  папку с ключами (keys) со всем содержимым . При установе сервера  OpenVPN с нуля  делать эту команду необязательно.

Если у вас так как на фото, нормально. Идем далее

Теперь с помощью проводника перейдем в каталог C:Program FilesOpenVPNbin и скопируем файлы библиотек (*.dll) , файл openssl.exe в каталог, где лежат наши исполняемы файлы и который открыт сейчас   в командной строке (C:Program FilesOpenVPNeasy-rsa):

Библиотеки нужны в этом каталоге, чтобы не возникало ошибок при создании сертификатов центра авторизации и файла  Диффи-Хеллмана. Начнем с последнего. Файл Диффи-Хеллмана  препятствует расшифровке информации (если файлы ключей были похищены), а так же отвечает за шифрование. Создадим его для нашего сервера в командной строке набрав команду build-dh.bat

Ждем, пока файл генерируется на основании информации указанной в vars.bat Далее, сгенерируем сертификат нашего удостоверяющего центра. Он будет необходим для  дальнейшей выдачи серверного и клиентских сертификатов. Наберем в командной строке команду build-ca.bat Последовательно и не спеша нажимаем клавишу Enter…

…после появления очередной строчки; данные в сертификате будут скопированы по значениям указанным в файле vars.bat Следующий этап —  создадим сертификат нашего сервера. В командной строке набираем команду build-key-server.batserver (server -имя серверного сертификата):

Так же последовательно и не спеша нажимаем Enter пока не дойдем до строчки Common Name(eg, your name or your servers hostname Здесь нужно обязательно указать имя сервера ( можно имя компьютера) и нажать Enter. Далее будут оставшиеся поля и запрос на создание пароля от сертификата. Просто нажимаем Enter. На вопросы записи сертификата и добавления его в базу данных  нажимаем Y и Enter

Срок действия сертификата — 10 лет.

Если нужно поменять сроки действия открываем файл openssl 1.00.cnf и в строке default_days редактируем сроки действия серверного и клиентских сертификатов.

Теперь нам необходимо создать файл конфигурации сервера,  выбрать протокол соединения, имя сетевого виртуального адаптера, порт соединения и еще много чего.

В папке sample-config лежит пример файла server.ovpn, находим его, открываем блокнотом( от имени администратора!):

Openvpn клиенты не видят друг друга, как настроить файл конфигурации сервера?

Очищаем  содержимое server.ovpn и вставляем текст:

# Поднимаем L4-туннель
dev tap
#dev tune
# Имя устройства (указывается имя адаптера openvpn):
dev-node Ethernet

# Протокол, который использую:tcp
#proto udp
proto tcp

# Порт который «слушает» впн (должен быть открыт, не из списка «известных»)
port 13359

#server 10.8.0.0 255.255.255.0

# Данная машина является
#tls-server

#Укажем пулл незанятых  разрешенных адресов из нашей локальной сети; укажем IP «моста», его маску а так же диапазон адресов

# Пул разрешенных адресов
server-bridge 192.168.0.1 255.255.255.0 192.168.0.111 192.168.0.121

# Включаю сжатие
comp-lzo

# Разрешаю клиентам видеть друг друга
client-to-client

#назначаю каждому клиенту свой постоянный IP

ifconfig-pool-persist ipp.txt

# Немного улучшит пинг
mssfix

# # Грубо говоря экономим адреса
topology subnet

# Метод шифрования
cipher AES-256-CBC

#при перезагрузке сервера:
persist-key
persist-tun

#Максимальный размер блока данных:
tun-mtu 1500
tun-mtu-extra 32

# Немного улучшит пинг
mssfix 1450

# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120

# Уровень отладки

verb 3

# максимальное количество клиентов

max-clients 10

status openvpn-status.log

Жирным выделил то, что можно менять. Ненужные строки можно закомментировать. Сохраняем файл под именем server.ovpn в  папке C:Program  FilesOpenVPNconfig  Если не получается сохранить —  запускаем блокнот (или программу NotePad++) от имени администратора, редактируем и сохраняем файл куда нужно.

Из папки Key скопируем сгенерированные нами файлы ключей и  сертификатов,  файл dh2048.pem в папку Config  — там же уже должен лежать наш файл server.ovpn

Операции с сервером можно считать почти законченными. Давайте стартуем и проверим наш сервер. На рабочем столе запустим ярлык OpenVPNgui в виде оранжевой замочной скважины (от имени Администратора!) На панели задач рядом с основным значком появиться еще один значок подключения. Кликнув по нему мышкой  обнаруживаем, что устанавливается соединение. Если сервер стартовал успешно —  значок подключения станет зеленым

Как сделать автоматический старт OpenVPN соединения при запуске Windows?

Каждый раз запускать вручную соединение  неудобно. В ярлыке OpenVPNgui  (свойствах объекта) дописываем аргумент —connect server.ovpn, Ярлык помещаем в «автозагрузку». Я настраивал автозапуск быстро с помощью glary utilites

Вот так это выглядит Команда —connect дает соединение, а настройки его берутся из файла  нашего server.ovpn

Если планируется круглосуточная работа  сервера — советую настроить операционную систему на автоматический вход без пароля. Это гарантирует самозапуск соединения после  перезагрузок, которые бывают при отключении света, установки обновлений.

С сервером закончили. Не забываем открыть порт (указанный в конфиге сервера) на роутере, чтобы предоставить доступ к  нашему серверу извне.

Пора создавать сертификаты

Открываем командную строку от имени администратора и выполняем последовательно:

• vars
• clean-all
• build-ca
  #(принимаем все значения по умолчанию нажатием клавиши Enter)
• build-dh
• build-key-server SERVER_NAME(на ваш выбор)
  #При запросе на ввод Common name необходимо снова ввести наше SERVER_NAME
  Далее во избежание проблем с созданием сертификата клиента очищаем index.txt папке ssl
• buid-key KLIENT(на ваш выбор)
• openvpn –genkey –secret %KEY_DIR%ta.key

Создаем server.ovpn в папке config и редактируем его.
Создаем server.ovpn в папке config и редактируем его.
server.ovpn dev tun
proto tcp-server
port 5190
tls-server
server 192.168.0.0 255.255.255.0
comp-lzo
dh C:OpenVPNssldh1024.pem
ca C:OpenVPNsslca.crt
cert C:OpenVPNsslServer.crt
key C:OpenVPNsslServer.key
tls-auth C:OpenVPNsslta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:OpenVPNlogopenvupn-status.log
log C:OpenVPNlogopenvpn.log
verb 3
Отправляем CA.crt, klient.crt, klient.key, ta.key из «c:openvpnssl» нашим клиентам (помещаем их в такую же директорию « c:openvpnssl»).

Настройка клиента

На сервере:

На сервере генерируем сертификат для клиента. Для этого сначала чистим файл index.txt в папке C:Program FilesOpenVPNeasy-rsakeys.

Затем запускаем командную строку от имени администратора:

Переходим в каталог easy-rsa:

cd %ProgramFiles%OpenVPNeasy-rsa

Запускаем vars.bat:

vars.bat

И генерируем сертификат первого пользователя:

build-key.bat client1

* на все запросы наживаем Enter, кроме Common Name — в данном поле вводим имя клиента (в нашем случае, просто client1). В конце подтверждаем введенную информацию — y.
** На каждого клиента нужно сгенерировать свой сертификат, в противном случае, им будет присваиваться один и тот же IP-адрес, что будет приводить к конфликту.

Получиться, что-то на подобие:

Country Name (2 letter code) [RU]:
State or Province Name (full name) [Sankt-Petersburg]:
Locality Name (eg, city) [Sankt-Petersburg]:
Organization Name (eg, company) [Organization]:
Organizational Unit Name (eg, section) [DMOSK]:
Common Name (eg, your name or your server’s hostname) [DMOSK]:client1
Name [server.domain.ru]:
Email Address [master@dmosk.ru]:

По умолчанию, для Common Name будет подставляться значение из vars.bat — но с ним сертификат не будет создаваться. Необходимо при создании каждого ключа подставлять значение, равное имени сертификата. Например, как выше — подставлено client1.

Теперь из папки keys копируем файлы:

• client1.crt
• client1.key
• ca.crt
• dh.pem

… и переносим их на клиентский компьютер.

На клиенте:

Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:

* по сути, это тот же файл, который скачивался для сервера.

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

Переходим в папку C:Program FilesOpenVPNconfig. И копируем в нее сертификаты, которые перенесли с сервера.

Теперь открываем блокнот от имени администратора и вставляем следующие строки:

client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
dh dh.pem
float
cipher DES-CBC
keepalive 10 120
persist-key
persist-tun
verb 0

* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы. Для боевой среды это будет внешний адрес.

Сохраняем файл с именем config.ovpn в папке C:Program FilesOpenVPNconfig.

Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора (это важно).

Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:

Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.

Доступ к локальной сети

По инструкции выше мы сможем получить доступ только к серверу, на котором установлен OpenVPN. Для получения доступа ко всей внутренней сети, выполним следующие шаги.

1. Настройка реестра

Для включения IP маршрутизации в Windows необходимо в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters найти параметр IPEnableRouter и задать ему значение 1. Это можно сделать в утилите редактирования реестра (regedit) или командой:

reg add “HKLMSYSTEMCurrentControlSetServicesTcpipParameters” /v IPEnableRouter /t REG_DWORD /d 1 /f

* командную строку необходимо запускать от администратора.

2. Настройка OpenVPN Server

В конфигурационный файл OpenVPN добавим:

push “route 172.16.10.0 255.255.255.0”
push “route 192.168.2.0 255.255.255.0”

* где 172.16.10.0 — VPN сеть; 192.168.2.0 — локальная сеть, в которую необходимо «попасть» пользователям openvpn.

При необходимости использовать DNS внутренней сети также добавим:

push “dhcp-option DNS 192.168.0.15”
push “dhcp-option DNS 192.168.0.16”
push “dhcp-option DOMAIN dmosk.local”

* где 192.168.0.15 и 192.168.0.16 — внутренние DNS-серверы; dmosk.local — домен, который будет добавляться к узлам, обращение к которым идет по неполному имени.

Если нам нужно, чтобы все запросы клиента (в том числе, Интернет) ходили через сервер OpenVPN, добавляем:

push “redirect-gateway def1”

* в таком случае, нам не обязательно добавлять push route, который мы использовали выше.

Перезагружаем службу OpenVpnService.

3. Разрешаем доступ к локальной сети

Заходим в управление сетевыми подключениями (Панель управленияСеть и ИнтернетСетевые подключения). Кликаем правой кнопкой мыши по адаптеру локальной сети – Свойства:

На вкладке Доступ ставим галочку Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера:

… и сохраняем настройки.

Ваш аккаунт

Возможные проблемы

Большая часть проблем решается при помощи логов, которые находятся в папке C:Program FilesOpenVPNlog. Уровень детализации лога контролируется параметром verb в конфигурационном файле сервера или клиента.

Также возможны следующие часто возникающие проблемы:

1. Проблема: клиент постоянно пытается подключиться к серверу, но соединения не происходит или подключение зависает.
   Причина: сервер блокирует подключения по настроенному порту VPN (в нашем примере, 443).
   Решение: на сервере необходимо добавить 443 порт в исключения брандмауэра или отключить последний.
2. Проблема: при попытке подключиться к серверу выскакивает ошибка «Не удалось подключиться к config».
   Причина: ошибка в настройках.
   Решение: перепроверьте каждую строчку файла конфигурации. Проверьте наличие всех файлов, на которые ссылаетесь в настройках.
3. Проблема: клиенты получают одинаковые IP-адреса.
   Причина: подключение выполняется под одним и тем же пользователем.
   Решение: сервер выдает одинаковые адреса одинаковым клиентам. Необходимо настроить авторизацию на сервере и выдать каждому клиенту индивидуальные настройки.
4. Проблема: соединение происходит, но через несколько минут связь прерывается.
   Причина: дублирование IP-адресов.
   Решение: данная проблема описана выше (пункт 3).

Заключение

Организация собственной VPN-сети позволит вам максимально защитить передаваемую информацию, а также сделать интернет-серфинг более безопасным. Главное – быть внимательнее при настройке серверной и клиентской части, при правильных действиях можно будет пользоваться всеми преимуществами частной виртуальной сети.

Есть: несколько филиалов компании все компьютеры которых в сети 192.168.13.0/24 работают под WindowsXP SP3
Задача: организовать связь между филиалами
Замечание: При использовании OpenVPN есть два варианта реализации: с использованием tun или tap интерфейсов (tun = L3-туннель, tap = L2-туннель).
Мы выбрали tun по двум причинам:
1. Тестирование показало нестабильную работу моста из tap интерфейса (TAP Win32 Adapter v9) и интерфейса смотрящего в локальную сеть (проверялось с сетевыми картами RTL8139 и Realtek PCIe GBE Family Controller) в WindowsXP sp3: через различные промежутки времени «отваливался» внутренний интерфейс шлюза.
2. При использовании tap сегменты соединяются как будто они соединены обычным кабелем через свитчи (во всех сегментах одинаковые маски подсети). В нашем случае во время внедрения такая конфигурация была возможна, но при увеличении числа активных сетевых устройств пришлось бы переводить все сетевые устройства на маску 255.255.0.0.

По этим причинам и был выбран вариант с использованием tun, но предварительно в сегментах сети провели подготовительные работы по изменению номера подсети (192.168.14.0/24).

Первоначальная установка состоит из трех основных этапов:

Установка OpenVPN

invoke-rc.d rsyslog reload > /dev/null

Генерация ключей

aptitude install openvpn openssl

cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn/

vi /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY=RU
export KEY_PROVINCE=RU
export KEY_CITY=Omsk
export KEY_ORG=ru55
export KEY_EMAIL= adm@ru55.ru

cd /etc/openvpn/easy-rsa/
./vars 
./clean-all 

./build-key-server server

Создание файлов конфигурации (tun)

dev tun
tls-server
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 255.255.255.0
tun-mtu 1480

client-config-dir ccd

#routes
route 10.8.0.0 255.255.255.0 #IP Range of VPN
route 192.168.14.0 255.255.255.0 #10.8.0.2 #IP Range of Debian
route 192.168.15.0 255.255.255.0 #10.8.0.5 #IP Range of Router

push "route 192.168.13.0 255.255.255.0" #Say to clients that RI160 has 192.168.13.0/24 LAN

#keys

ca "C:\Program Files\OpenVPN\config\keys\ca.crt"
cert "C:\Program Files\OpenVPN\config\keys\ri160.crt"
key "C:\Program Files\OpenVPN\config\keys\ri160.key"
dh "C:\Program Files\OpenVPN\config\keys\dh1024.pem"

client-to-client

ifconfig-pool-persist ipp.txt #в этот файл пишутся IP адреса клиентов

port 1194
proto udp

#user nobody #указание пользователя от имени которого будет работать сервис, только для Linux
#group nobody #указание группы от имени которой будет работать сервис, только для Linux

comp-lzo
persist-tun
persist-key
verb 3

#log-append /opt/var/log/openvpn/openvpn.log #только для Linux
#status /opt/var/log/openvpn/status.log  #только для Linux

keepalive 10 60 #период рестарта неактивной сессии

client
dev tun
proto udp
remote 92.126.212.219
tun-mtu 1480
persist-key
persist-tun
ca "/opt/etc/openvpn/keys/ca.crt"
cert "/opt/etc/openvpn/keys/router.crt"
key "/opt/etc/openvpn/keys/router.key"
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log
keepalive 10 60

Создание файлов конфигурации (tap)

ca "C:\Program Files\OpenVPN\config\keys\ca.crt"
cert "C:\Program Files\OpenVPN\config\keys\server.crt"
key "C:\Program Files\OpenVPN\config\keys\server.key"
dh "C:\Program Files\OpenVPN\config\keys\dh1024.pem"
dev tap
server-bridge 192.168.1.254 255.255.255.0 192.168.1.190 192.168.1.199
comp-lzo

ca "C:\Program Files\OpenVPN\config\keys\ca.crt"
cert "C:\Program Files\OpenVPN\config\keys\client.crt"
key "C:\Program Files\OpenVPN\config\keys\client.key"
dev tap
client
remote 92.126.212.219 1194
ifconfig 192.168.1.190 255.255.255.0 # явное указание IP-адреса, назначаемого интерфейсу
comp-lzo

Копируем ключи и сертификаты
Файлы ca.crt, dh1024.pem, server.crt, server.key кладем на сервере в папку C:Program FilesOpenVPNconfigkeys
Файлы ca.crt, client.crt, client.key кладем на клиенте в папку C:Program FilesOpenVPNconfigkeys

Настраиваем запуск в качестве службы (для windows, в linux за это отвечает параметр в скрипте запуска, по умолчанию всегда запускается как служба)
Настройка на клиенте и на сервере будет почти одинакова.
В списке служб находим OpenVPN Service открываем свойства и в строке Параметры запуска прописываем:
—config server.ovpn для сервера
—config client.ovpn для клиента

Меняем тип запуска службы на Автоматически. Применяем сделанные изменения и запускаем службу.

Редактировался Evgen (27.03.2012, 12:45:21)

1. Установка OpenVPN.

1.1. Скачиваем программу с оф. сайта для своей версии windows.

1.2. При установке ставим галочку EasyRSA

Путь установки — по умолчанию (C:Program FilesOpenVPN).

2. Настройка конфигов OpenVPN.

2.1. Заходим в директорию, куда установили программу (по умолчанию C:Program FilesOpenVPN) и переходим в easy-rsa.

Будет удобней и наглядней, если проводить работы в Командной строке (cmd) от администратора.

2.2. Во-первых, запускаем init-config.bat

2.3. Затем, отредактируем vars.bat, чтобы адаптировать его к своей среде. Конкретно, нас интересует последний блок:

set KEY_COUNTRY=RU
set KEY_PROVINCE=MSK
set KEY_CITY=Moscow
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain
set KEY_CN=GLX-SERVER
set KEY_NAME=GALAXY
set KEY_OU=GALAXY
set PKCS11_MODULE_PATH=GALAXY
set PKCS11_PIN=1234

2.4. Для удобства рекомендуется переименовать название сетевого TAP-адаптера (Панель управленияСеть и ИнтернетСетевые подключения) во что-то более понятное. Например, VPN-Server.

3. Генерация TLS ключей.

3.1. Создаём новые пустые файлы index и serial:
vars
clean-all

3.2. Генерируем корневой сертификат CA (только один раз):
vars
build-ca

3.3. Генерируем ключ Диффи-Хэлмана (для сервера, только один раз):
vars
build-dh

3.4. Генерируем приватный серверный сертификат:
vars
build-key-server имя_сервера

3.5. Генерируем клиентский сертификат в PEM формате (для каждого клиента):
vars
build-key имя_клиента

ИЛИ

Генерируем клиентский сертификат в PKCS#12 формате (для каждого клиента):
vars
build-key-pkcs12 имя_клиента

3.6. Для отзыва TLS сертификата и генерации файла CRL:
1. vars
2. revoke-full имя_клиента
3. проверяем последнюю строку вывода, подтверждающую отзыв
4. копируем файл отзыва сертификата (crl.pem) в директорию сервера и убеждаемся, что конфиг использует "crl-verify crl filename"

3.7. Генерируем ключ для аутентификации:
openvpn --genkey --secret keys/имя_сервера-ta.key

4. Подготовка серверного и клиентского конфигов.

4.1. Серверный конфиг нужно разместить в C:Program FilesOpenVPNconfigserver.ovpn на сервере:

# Какой порт TCP/UDP должен прослушиваться OpenVPN?
# Если вы хотите запустить несколько экземпляров OpenVPN
# на той же машине используйте другой номер
# порта для каждого из них. Вам нужно будет
# открыть этот порт в брандмауэре.
port 1194

Итоговый пример серверного конфига может быть такой:

port 1194
proto udp
dev tun
dev-node MyTap
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
max-clients 10
persist-key
persist-tun
status "C:\Program Files\OpenVPN\log\openvpn-status.log"
log "C:\Program Files\OpenVPN\log\openvpn.log"
verb 3
mute 20
explicit-exit-notify 1

4.2. Клиентский конфиг нужно разместить в C:Program FilesOpenVPNconfigclient.ovpn на машине клиента:

client
dev tun
dev-node MyTap
proto udp
remote openvpn-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
mute 20

Для сервера:
сертификаты (ca.crt, server.crt, server.key, dh2048.pem, ta.key) положить в папку ssl например, конфиг (server.ovpn) положить в config.
Для клиента:
сертификаты (ca.crt, client.crt, client.key, ta.key) положить в папку ssl например, конфиг (client.ovpn) положить в config.