Cum functioneaza?

Odată ce configurația OpenVPN este completă, serverul va putea accepta și redirecționa SSL extern securizat conexiuni de retea la adaptorul de rețea virtuală (tun/tap) creat la începutul serviciului VPN, fără a afecta regulile de procesare a traficului altor interfețe (adaptor de internet extern etc.) Datorită acestei tehnologii, vă puteți asigura accesul la server la distantași un grup de dispozitive situate în rețeaua sa locală, chiar dacă adaptorul principal de internet al acestui server nu acceptă conexiuni de intrare din rețelele publice și/sau nu le direcționează către mașinile necesare aflate în rețeaua sa LAN.

Dacă este necesar, puteți configura și rutarea traficului Internet al clienților OpenVPN prin serverul VPN (pașii necesari pentru aceasta sunt descriși în acest manual). Cu o astfel de redirecționare, conexiunile VPN de procesare a gazdei vor îndeplini, de asemenea, funcția de server proxy (Proxy) - unificați regulile activității de rețea a utilizatorilor și traficul de internet al clientului de tunel în nume propriu.

Cerințe de sistem

Înainte de a continua cu instalarea OpenVPN, asigurați-vă că setările necesare sunt configurate corect pe serverul dvs. parametrii de bază de mai jos. (dacă utilizați un server virtual, acești trei pași au fost deja finalizați și pot fi omisi):

1. Serverul are cel puțin o adresă IP externă statică (în mod alternativ, puteți utiliza serviciile DynamicDNS care actualizează automat informații despre adresa IP curentă a dispozitivului, de exemplu, DynDNS)
2. Descărcarea pachetelor software din depozitele oficiale este permisă. Pentru a verifica acest lucru, deschideți fișierul pe server /etc/apt/sources.listși asigurați-vă că adresele de rețea ale formularului "deb http://..." prezent și necomentat (lipsește # la începutul liniei cu adresa URL a depozitului). Deci, de exemplu, oglinda americană a depozitelor Ubuntu Precise adăugate la sources.list arată astfel: # Consultați http://help.ubuntu.com/community/UpgradeNotes pentru a afla cum să faceți upgrade la
   # versiuni mai noi ale distribuției.
   deb http://us.archive.ubuntu.com/ubuntu/ precise main restricted
   deb-src http://us.archive.ubuntu.com/ubuntu/ precise main restricted
3. Setări corecte de rețea: numele gazdă, adresa(ele) IP ale serverului dvs. și setările DNS ale acestuia(ultimul parametru va fi necesar pentru rutarea traficului Internet client). Puteți găsi setările de rețea listate în fișier /etc/hosts.

Pentru a asigura un nivel acceptabil de securitate a mașinii, vă recomandăm să citiți mai întâi conținutul articolului nostru introductiv despre configurarea instrumentelor de securitate Linux.

Instalarea OpenVPN pe un server

Pentru a instala un pachet openvpn la server, trebuie să executați secvențial următoarele comenzi:

1. Actualizați depozitele de pachete:
   apt-get update
2. Descarca actualizări disponibile pentru programe instalate:
   apt-get upgrade
3. Instalați pachetul openvpn:
   apt-get install openvpn
4. OpenVPN include o suită de instrumente de criptare uşor-rsa. Pentru operatie normala scripturile demonului easy-rsa ar trebui să fie plasate în director /etc/openvpn:
   cd /etc/openvpn/ && make-cadir easy-rsa

Pregătirea cheilor publice (PKI - Public Key Infrastructure)

Pe această etapă trebuie să generați și să semnați perechi de chei utilizator și server. Pentru a valida perechile create, vom folosi autoritate de certificare (CA - Autoritate de certificare) situat pe serverul VPN însuși. Deci, să creăm un CA:

1. Accesați folderul /etc/openvpn/easy-rsa: cd /etc/openvpn/easy-rsa
2. Creați o legătură simbolică openssl-1.0.0.cnf -> openssl.cnf: ln -s openssl-1.0.0.cnf openssl.cnf
3. Inițializați scriptul vars: sursa ./vars
4. Veți primi următoarea notificare ca răspuns: NOTĂ: Dacă rulați ./clean-all, voi face un rm -rf pe /etc/openvpn/easy-rsa/keys
5. Rulați scriptul curata tot: ./curata tot
6. Rulați scriptul construi-ca pentru a crea o autoritate de certificare. Ca răspuns la solicitări, introduceți informațiile necesare (în caractere latine). Dacă nu furnizați valori personalizate pentru niciunul dintre câmpurile obligatorii, se va folosi valoarea implicită [reprezentată între paranteze drepte]: ./build-ca
7. Acum putem trece la generarea perechii de certificat public/chei secrete a serverului VPN.

Generare cheie/certificat de server

1. Generați o cheie: ./build-key-server server Completați informațiile similare cu construi-ca. Câmpurile „Nume companie” și „Parola de provocare” pot fi lăsate necompletate.
2. După generarea cu succes a cheii, vi se va solicita să o semnați cu o autoritate de certificare. introduce da pentru confirmare.

Generarea cheilor clientului

1. Creați o pereche de chei pentru utilizator: ./build-key client1 Notă: fișierul cheie generat client1.cheie implicit este necriptat. Acest lucru permite oricărui utilizator cu acces la acest fișier să se conecteze la rețeaua privată virtuală. Pentru a remedia această caracteristică, puteți utiliza comanda ./build-key-pass client1în loc de ./build-key client1. În acest caz, cheia va fi criptată cu parola pe care o alegeți.
2. Repetați procedura de generare pentru fiecare dintre viitorii clienți VPN, înlocuind client1 la numele dorit. Atenţie: numele cheilor trebuie să fie unice.
   De asemenea, puteți genera chei client ulterior. Pentru a face acest lucru, va trebui să reinițializați scriptul vars(echipă sursa ./vars), apoi începeți procedura de generare a cheii necesare.

Setarea parametrilor Diffie-Hellman

Parametrii protocolului Diffie-Hellman definesc metoda de comunicare între server și clienții OpenVPN. Prin crearea unui fișier .pem, vom specifica parametrii în funcție de care serverul va iniția conexiuni securizate cu utilizatorii.

Fișierul .pem trebuie generat folosind comanda: ./build-dh Ca răspuns, va fi afișat un set de caractere aleatorii, indicând că procesul de generare este în desfășurare. După finalizarea procedurii din director etc/openvpn/easy-rsa/keys va apărea fișierul dh1024.pem.

Mutarea cheilor și certificatelor

După generarea cheilor, trebuie să le transferați în directoarele utilizate de aplicațiile server/client OpenVPN.

Pe server:

1. Schimbați în directorul în care sunt stocate cheile generate: cd /etc/openvpn/easy-rsa/keys
2. Copiați certificatul și cheia autorității de certificare (CA), fișierul cu parametrii DH, cheia serverului VPN și certificatul în director /etc/openvpn: cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn IMPORTANT: Fișierele enumerate mai sus sunt baza performanței și securității VPN. Compromisul lor poate avea consecințe negative. Păstrați-le în stocare sigurăși nu transferați aceste fișiere prin canale nesigure.

Pe dispozitivul client:

Copiați fișierele ca.crt, client1.crt, client1.keyîn folderul dispozitivului client utilizat de aplicația OpenVPN (de exemplu, /etc/openvpn pentru Linux)

Configurarea serverului și clientului OpenVPN

În această secțiune a tutorialului, vom crea două fișiere de configurare. Primul este fișierul de setări pentru serverul OpenVPN, al doilea este setările de conexiune vpn pentru dispozitivul client. Fiecare client OpenVPN trebuie să folosească propriul fișier de configurare (cu excepția conectării mai multor utilizatori folosind aceeași pereche de chei pentru toți).

Setări server:

1. La fel de punct de startîn configurare, puteți utiliza exemplul de fișier de configurare a serverului OpenVPN, care conține o listă de opțiuni disponibile pentru program și explicații detaliate ale acestor opțiuni. Copiați acest document în director /etc/openvpn/ pentru a-l edita și apoi porniți serverul VPN: gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz >/etc/openvpn/server.conf
2. Fișierul copiat în pasul anterior server.conf este o configurație complet funcțională. Este suficient pentru funcționarea normală a serverului, dacă nu trebuie să tunelizați tot traficul de internet client prin serverul VPN sau alte opțiuni specifice.
   Singurul lucru la care trebuie să acordați atenție este numele și căile certificatului de server (.crt) și fișierele sale cheie (.key), precum și fișierele certificatului CA (.crt).
   Numele cheilor din director /etc/openvpn trebuie să se potrivească complet cu numele cheilor din configurație server.conf. Puteți verifica acest lucru cu următoarele comenzi:
   • Aflați numele fișierelor cheie (două fișiere .crt și unul .key) din folder /etc/openvpn folosind comanda: ls /etc/openvpn
   • Verificați dacă numele fișierelor afișate mai sus se potrivesc cu numele cheilor din fișier /etc/openvpn/server.conf(după bloc # Certificat rădăcină SSL/TLS (ca), certificat (cert) și cheie privată (cheie)): nano /etc/server.conf Dacă numele sunt diferite, faceți ajustările corespunzătoare fișierului de configurare (nu numele fișierelor din folderul openvpn) și salvați-l (CTRL+X).
   • Reporniți OpenVPN pentru a aplica modificări: /etc/init.d/openvpn restart

Setări client:

1. Copiem fișierul de configurare client exemplu în orice director convenabil (în cazul nostru, directorul de acasă al utilizatorului (home), în numele căruia executăm comenzile: gunzip -c /usr/share/doc/openvpn/examples/sample- config-files/client.conf. gz >/home/1cloud
2. Accesați folderul cheiși copiați fisierele necesare chei (în cazul nostru: client1.key, client1.crt, ca.crt) în același director (/home/1cloud): cd /etc/openvpn/easy-rsa/keys > cp client1.key client1.crt ca.crt /home/1cloud
3. Deschideți configurația clientului: nano /home/1cloud/client.conf
4. Găsirea unui bloc # Numele de gazdă/IP-ul și portul serveruluiȘi în schimb exemplu.com specificați adresa IP a serverului OpenVPN: # Numele de gazdă/IP-ul și portul serverului.
   # Puteți avea mai multe intrări de la distanță
   # pentru a echilibra încărcarea între servere.
   exemplu la distanță.com 1194
5. În același fișier găsim blocul #SSL/TLS parms. și verificați numele fișierelor cheie utilizator (similar cu modul în care am făcut-o în configurația serverului): # SSL/TLS parms.
   # Consultați fișierul de configurare a serverului pentru mai multe
   # Descriere. Cel mai bine este de folosit
   # o pereche separată de fișiere .crt/.key
   # pentru fiecare client. Un singur ca
   # fișier poate fi folosit pentru toți clienții.
   ca ca.crt
   certclient1.crt
   cheie client1.cheie
6. Salvați fișierul de configurare a clientului ( CTRL+X).
7. Acum trebuie să transferați fișierele utilizator client.conf, client1.key, client1.crt, ca.crt la dispozitivul client de pe care vă veți conecta la serverul VPN. Acest lucru se poate face prin FTP, SCP sau pur și simplu prin crearea de fișiere cu nume identice pe dispozitivul utilizatorului (prin nano pe Linux, prin notepad pe Windows) și copiați complet conținutul documentelor sursă de pe serverul de la distanță în ele.
   Atenţie! Unele aplicații client OpenVPN (de exemplu, pe Andoid și IOS) funcționează cu extensia fișierului de configurare .ovpn, nu .conf. Dacă întâmpinați această problemă, trebuie doar să redenumiți fișierul cu setările clientului în consecință.
   Fișierele transferate le plasăm în folderul cu care funcționează aplicația OpenVPN pe care o utilizați (vezi documentația programului).
8. Ne conectăm la server. După o conexiune reușită, adaptorul de rețea virtuală este activat pe dispozitivul client. Puteți verifica acest lucru pe Linux cu comanda ifconfig(ar trebui să arate adaptorul TUN), pe un sistem de operare cu interfață grafică, puteți verifica corectitudinea conexiunii direct în programul de conectare VPN.

Atenţie! Deoarece nu am configurat încă tunelarea întregului trafic de Internet prin serverul VPN, accesul la Internet pe dispozitivul client nu va mai funcționa după conectarea acestuia la VPN. Mai jos sunt oferite instrucțiuni pentru rutarea traficului de internet al utilizatorilor printr-un server VPN.B.

Tunnelizarea întregului trafic de client VPN prin serverul VPN

În această configurație, vom direcționa tot traficul utilizatorilor VPN prin serverul OpenVPN, menținând în același timp criptarea SSL de la client la server.

1. Pe server, deschideți fișierul de configurare OpenVPN server.conf: nano /etc/openvpn/server.conf
2. Decomentați linia de configurare de mai jos (eliminați simbolul ; la începutul liniei): apăsați „redirect-gateway def1 bypass-dhcp”
3. Salvați și închideți fișierul (CTRL+X)
4. Deschide fișierul /etc/sysctl.conf:
   nano /etc/sysctl.conf
5. Anulați comentariile sau adăugați următoarea linie în fișierul deschis pentru a vă asigura că este permisă redirecționarea traficului IPv4: net.ipv4.ip_forward=1
6. Salvați și închideți fișierul (CTRL+X)
7. Introduceți comanda pentru a aplica modificările în sesiunea curentă: echo 1 > /proc/sys/net/ipv4/ip_forward
8. Introduceți următoarele comenzi în ordine (o linie = o comandă) pentru a configura firewall-ul iptables pentru redirecționarea traficului prin VPN:
   
   
   
   
   
   
   
   
9. Adăugați aceeași listă de reguli iptables la fișier /etc/rc.local astfel încât acestea să fie aplicate de fiecare dată când sistemul este pornit: nano /etc/rc.local
   Conținutul fișierului:
   #!/bin/sh -e
   #
   # [...]
   #
   iptables -A FORWARD -m stare --state RELATED,STABLISHED -j ACCEPT
   iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
   iptables -A FORWARD -j RESPING
   iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
   iptables -A INTRARE -i tun+ -j ACCEPT
   iptables -A FORWARD -i tun+ -j ACCEPT
   iptables -A INPUT -i tap+ -j ACCEPT
   iptables -A FORWARD -i tap+ -j ACCEPT
   iesirea 0
   Salvați și închideți documentul (CTRL+X)
10. Setările de mai sus vor permite redirecționarea întregului trafic client, cu excepția interogărilor DNS, prin serverul VPN. Pentru a redirecționa interogări DNS, trebuie să instalați pachetul dnsmasqși faceți modificări fișierului /etc/openvpn/server.conf
11. Instalați dnsmasq:
    Dacă utilizați Ubuntu 12.04: apt-get install dnsmasq && dpkg-reconfigure resolvconf Va apărea un expert de configurare. La primul paragraf (pregătiți /etc/resolv.conf pentru actualizări dinamice) noi raspundem da, apoi nu (Adăugați fișierul original la fișierul dinamic?)
    Dacă utilizați Debian 7: apt-get install dnsmasq resolvconf
12. Acum trebuie să editați dnsmasq: nano /etc/dnsmasq.conf Asigurați-vă că următoarele opțiuni nu sunt comentate sau adăugate la fișier: listen-address=10.8.0.1
    interfețe-bind
13. Apoi, trebuie să adăugați la fișier /etc/network/interfaces informații despre serverele dns utilizate. Poate că în cazul dvs. aceste informații sunt deja prezente (ca, de exemplu, în cazul serverelor închiriate pe site), dacă nu, adăugați-o după cum urmează:
    Deschideți fișierul de configurare a interfețelor: nano /etc/network/interfaces Adăugați linia dns-nameservers cu adresele serverelor DNS pe care le utilizați (de exemplu, un server de la dvs. server public google:8.8.8.8): # Interfața de rețea principală
    auto eth0
    iface eth0 inet dhcp
    dns-nameserver 77.88.8.8 8.8.8.8
14. Cu setările implicite, utilitarul dnsmasq rulează înainte de a începe configurarea virtuală a adaptorului OpenVPN. Acest lucru face ca dnsmasq să eșueze și să se încheie. Pentru a remedia această problemă, trebuie să adăugați la fișier /etc/rc.local linie cu o comandă care repornește dnsmasq după ce OpenVPN este inițializat. Plasați această linie în fișier după parametrii iptables pe care i-am specificat mai devreme: nano /etc/rc.local
    Conținutul fișierului:
    ...
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A INPUT -i tap+ -j ACCEPT
    iptables -A FORWARD -i tap+ -j ACCEPT
    /etc/init.d/dnsmasq reporniți
    iesirea 0
15. Ultimul lucru de făcut este să decomentați linia care permite clienților OpenVPN să utilizeze servere DNS în fișier /etc/openvpn/server.conf:
    nano /etc/openvpn/server.conf Conținutul fișierului: ....
    apăsați „dhcp-option DNS 10.8.0.1”
16. Reporniți serverul pentru a aplica toate setările și verificați corectitudinea acestora: reporniți

OpenVPN este un pachet software care vă permite să protejați traficul de internet al unui utilizator de interceptări prin furnizarea de transfer de date criptate de la un dispozitiv client la un server cu OpenVPN instalat. Excelent pentru utilizarea hotspot-urilor Wi-Fi publice unde informațiile pot fi interceptate de terți. Sau în cazul în care ip-ul tău este blocat pe un anumit site și trebuie să ocoliți în siguranță această restricție.

Pe lângă instalarea și configurarea OpenVPN pe server, trebuie să puteți configura clientul pentru acces de pe un computer, în cazul în care sistem de operare Windows va fi folosit.

Folosind managerul de pachete standard, instalați openvpn.

# aptitude instalează openvpn

OpenVPN necesită în mod necesar generarea de certificate pentru server și clienți. Acest lucru este logic, deoarece conexiunea de la client la server trebuie să fie criptată.

Accesați folderul openvpn:

# cd /etc/openvpn

Vom genera chei folosind easy-rsa.

Creați un folder cu fișiere de configurare și link-uri către scripturi de generare a certificatelor:

# make-cadir rsa # cd rsa

Deschideți fișierul de configurare varsși modificați opțiunile:

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL=" [email protected]"

KEY_COUNTRY— specificați codul țării (RU, UA etc.);
KEY_PROVINCE- acest articol nu este relevant dacă nu locuiți în Statele Unite. :) Poate fi înlocuit cu XX;
KEY_CITY- orașul tău în care locuiești;
KEY_EMAIL- adresa ta de email.

Și, de asemenea, decomentați linia de export KEY_CN, specificați numele serverului ca valoare:

Exportați KEY_CN="example.com"

Toate variabilele sunt completate în latină.

Salvați fișierul și rulați-l:

# . vars

Apoi începeți să ștergeți certificatele vechi:

# ./curata tot

Creați un certificat rădăcină:

# ./build-ca

Dacă primiți eroarea:0E065068:rutine fișierului de configurare:STR_COPY:variabila nu are valoare:conf_def.c:618:line 198 la generarea certificatului rădăcină, adăugați la fișier vars linia:

Exportați KEY_ALTNAMES="ceva"

Și apoi reexecută comenzile anterioare: . vars, ./clean-all, ./build-ca.

Următorul pas este să creați o cheie și un certificat de server.

# ./build-key-server

Apoi creați un certificat și cheie pentru client:

# ./build-key client

Vă rugăm să rețineți că fiecare client trebuie să își genereze propriul certificat și cheie. Trebuie doar să specificați nume diferite (în loc de client) și să modificați căile către acestea în fișierele de configurare. În același timp, puteți proteja cheile clientului cu o parolă, pentru aceasta folosiți comanda build-key-passîn loc de build-key.

# ./build-dh

Și cheia pentru autentificarea tls:

# openvpn --genkey --secret /etc/openvpn/ta.key

Acum trebuie să copiați certificatele și cheile serverului în folderul de setări OpenVPN:

# chei cp/chei ca.crt/chei server.crt/chei server.key/dh2048.pem /etc/openvpn/

Și, de asemenea, setați permisiuni pentru ele care permit citirea și modificarea numai pentru proprietarul lor.

# chmod 0600 /etc/openvpn/ca.crt /etc/openvpn/server.crt /etc/openvpn/server.key /etc/openvpn/dh2048.pem /etc/openvpn/ta.key

Asigurați-vă că copiați pe computer, de exemplu, pe desktop, din folder chei cheile necesare pentru conectarea clientului: client.crt, client.cheie, ca.crt, ta.cheie.

Acest lucru completează procesul de certificare.

Ajustarea serverului

Directorul /usr/share/doc/openvpn/ conține un exemplu de fișier pentru configurarea unui server Openvpn. Copiați-l în directorul /etc/openvpn/ și dezarhivați-l:

cd /etc/openvpn;cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/;gunzip server.conf.gz

Acum să ne uităm la parametrii necesari pentru ca openvpn să funcționeze.

Portul pe care Openvpn va accepta conexiuni. Valoarea implicită este 1194. Recomand să-l schimbați pentru a-l ascunde. Puteți chiar să deghizați openvpn ca server web specificând portul 80.

Port 20100

Noi prescriem căile către fișierele certificatelor și cheia serverului.

Ca ca.crt cert server.crt cheie server.key

Calea către cheia Diffie-Hellman.

Dhdh2048.pem

Căile pot fi specificate fie relativ la directorul /etc/openvpn (dacă fișierele se află acolo) fie absolute.

Găsiți și decomentați linia:

Apăsați „redirect-gateway def1 bypass-dhcp”

Este necesar pentru a putea accesa Internetul prin serverul OpenVPN. Dacă nu este necomentat, atunci numai computerele din rețea vor fi accesibile.

De asemenea, trebuie să specificați serverele dns pentru conectarea clienților.

Apăsați „dhcp-option DNS 213.183.57.55” apăsați „dhcp-option DNS 87.98.175.85”

În funcție de locația serverului, puteți prelua alte servere dns, de exemplu, în proiectul OpenNIC.

tls-auth ta.key 0

Atenţie!În setările clientului, ultima cifră a acestui parametru ar trebui înlocuită cu 1 - tls-auth ta.key 1.

Un pic mai jos în fișierul de configurare este o listă a cifrurilor disponibile. Decomentați cifrul AES-128-CBC.

Cifrare AES-128-CBC # AES

Dacă este necesar, poate fi înlocuit cu AES-256-CBC. În fișierul de configurare a clientului, cifrul trebuie să fie identic cu cifrul serverului.

Adăugați și parametrul auth. În mod implicit, cheile sha1 de 160 de biți sunt folosite pentru autentificare, dar algoritmul sha1 este considerat vulnerabil. Următorul parametru va folosi chei SHA512 pe 512 biți.

Autentificare SHA512

La fel și parametrul tls-version-min, care determină versiunea tls utilizată. LA acest caz, ultima versiune 1.2. Atenţie! Network Manager nu acceptă (la momentul scrierii) această setare. Prin urmare, dacă intenționați să vă conectați la serverul VPN prin Network Manager, atunci acest parametru NU este setat în setările serverului.

tls-version-min 1.2

OpenVPN nu ar trebui să fie rulat ca root. Deci, decomentați rândurile:

Utilizator nimeni grup nogroup

Nu va fi de prisos să activați jurnalele pentru OpenVPN. Mai ales, la începutul utilizării după configurare pentru a găsi erori etc.

Log /var/log/openvpn.log

Lăsați toți ceilalți parametri ai fișierului de configurare /etc/openvpn/server.conf cu valorile implicite. Aceasta completează configurarea serverului OpenVPN.

Activați openvpn cu comanda:

# systemctl activa openvpn

Și reporniți:

# service openvpn reporniți

De asemenea, este util să verificați jurnalul pentru erori.

Redirecționarea traficului prin OpenVPN

Pentru a putea accesa Internetul prin serverul openvpn, trebuie să faceți ceva pentru asta.

1. Configurați sysctl

În consolă, rulați comanda:

# sysctl net.ipv4.ip_forward

Dacă rezultatul comenzii este net.ipv4.ip_forward = 1, nu trebuie să schimbi nimic. Dacă valoarea variabilei este egală cu 0, atunci fișierul /etc/sysctl.conf trebuie să adăugați linia:

Net.ipv4.ip_forward = 1

Și reîncărcați regulile cu comanda:

# sysctl -p

2. Configurați iptables

Rulați următoarele comenzi una câte una în consolă:

# iptables -A FORWARD -i eth0 -o tun0 -m stare --state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT # iptables -t nat -A POSTRUTING - s 10.8.0.0/24 -o eth0 -j MASQUERADE

Astfel, vom permite traficului să treacă prin serverul OpenVPN pentru subrețeaua 10.8.0.0 în cadrul conexiunilor deja stabilite.

Dacă clientului openvpn trebuie să i se atribuie o anumită adresă IP externă a serverului, atunci în loc de ultima comandă din lista celor anterioare pentru iptables, trebuie să rulați aceasta:

A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 127.0.0.1

Unde după parametru --la sursa trebuie să specificați ip-ul extern al serverului.

Client OpenVPN pe Windows

Să începem configurarea clientului Openvpn pe Windows. Totul este simplu aici: de pe site-ul oficial, instalează, creează un fișier de configurare și rulează.

Este de remarcat faptul că ar trebui să rulați openvpn pe Windows cu drepturi de administrator dacă Controlul contului utilizatorului este activ.

Dacă nu ați schimbat calea de instalare, atunci exemple de fișiere de configurare de pe computerul dvs. se află în director C:\Program Files\OpenVPN\sample-config. Copiați fișierul de aici client.ovpnși puneți-l într-un director C:\Program Files\OpenVPN\config.

Vă amintiți certificatele pe care le-ați creat pentru client? De asemenea, ar trebui să fie descărcate de pe server și copiate în acest director.

Deschideți fișierul de configurare client.ovpn și găsiți setarea la distanță my-server-1 1194. Înlocuiți my-server cu ip-ul sau numele de domeniu al serverului dvs. Apoi portul pe care l-am schimbat mai devreme. Ca rezultat, linia ar putea arăta astfel:

Ca ca.crt cert client.crt cheie client.key

De asemenea, ar trebui să decomentați parametrul care specifică calea către cheia tls.

Tls-auth ta.key 1

Mai devreme se spunea că ultima cifră de pe server ar trebui să fie 0, pe client - 1.

Iar ultimii parametri sunt cifrurile pe care le-ați instalat pe server.

Cifrare AES-128-CBC auth SHA512 tls-version-min 1.2

Acesta este tot ceea ce este necesar pentru a configura clientul. Încercați să porniți clientul OpenVPN și să vă conectați la server. Informațiile necesare de conectare vor fi afișate în fereastra openvpn gui.

OpenVPN cu NetworkManager

Instalare GUI pentru managerul de rețea.

# aptitude install network-manager-openvpn-gnome

Și repornim.

# service network-manager repornire

Copiem certificatele generate pentru client într-un folder arbitrar de pe computer. De exemplu, în /home/user/.openvpn/.

clic tasta dreapta faceți clic pe pictograma managerului de rețea, selectați elementul „editați conexiunile”, adăugați o nouă conexiune de tip „OpenVPN”.

Specifica:

• Numele conexiunii
• Gateway (domeniu sau ip server)
• Tip: certificate

Certificatul de utilizator este certificatul pe care l-am generat la început pentru client (client.crt).
Certificat CA - fișier ca.crt.
Cheia privată este cheia clientului (client.key).

Faceți clic pe butonul „Avansat”. În fereastra care se deschide, în fila „General”, va trebui să modificați mai multe elemente.

• Utilizați un alt port gateway (dacă ați specificat unul non-standard la configurarea serverului)
• Utilizați compresia lzo

Comutați la fila „Securitate”. Selectăm cifrul, ca în parametrii serverului. Ca valoare a parametrului „Autentificare Hmac”, trebuie să specificați algoritmul, ca în valoarea de autentificare a serverului. În articol, am ales SHA512.

Deschideți fila „Autentificare TLS” și bifați casetele:

• Verificați peer...
• Utilizați autentificare TLS suplimentară

Pentru ultimul parametru, specificați calea către fișierul ta.key, selectați 1 ca direcție a cheii din lista derulantă. Similar cu fișierul de configurare pentru Windows.

Salvăm conexiunea și încercăm să ne conectăm. :)

Pentru orice eventualitate, să ne uităm la ce scrie NM atunci când se conectează la jurnalul de sistem:

# coada -f /var/log/syslog

In contact cu