Mis on avatud vpn. OpenVPN: täisväärtusliku openVPN-lüüsi loomine. Serveri poole seadistamine

OpenVPN on teenitult populaarne süsteemiadministraatorid kui teil on vaja kiiresti ja tõhusalt ühendada kaugkontorid VPN-kanalitega. Täna pakume teile meie lugeja artiklit, milles ta räägib teile, kuidas luua turvaline kanal kontorite vahel täiendavate vahenditega paroolikaitse Windowsi platvormil.

Ja seega peame korraldama VPN-kanali kahe kontori vahel. Network Office 1 (nimetagem seda S_OF1) ja Network Office 2 (nimetagem seda S_OF2).

Ütlen kohe, et minu puhul on OpenVPN installitud Windows 7-sse mõlemas kontoris.

S_OF1 sisaldab:
Masinal, kuhu OpenVPN serveri installime, on 2 võrguliidest.
Sellesse on installitud ka puhverserver, mis levitab Internetti kohalikku piirkonda, toimides seega kõigi kohaliku piirkonna masinate peamise lüüsina (192.168.0.100)
192.168.0.100 vaatab võrku
192.168.1.2 vaatab ruuteri kaudu maailma. Ruuteril on staatiline IP, näiteks 111.222.333.444. Ruuter edastas pordi 1190 (minu puhul suunati port 1190 edasi aadressile 192.168.1.2)
Võrgukasutaja: 192.168.0.50

S_OF2 sisaldab:
Masinal, kuhu installime OpenVPN Clienti, on 2 võrguliidest.
Sellesse on installitud ka puhverserver, mis levitab Internetti kohalikku piirkonda, toimides seega kõigi kohaliku piirkonna masinate peamise lüüsina (172.17.10.10)
172.17.10.10 vaatab võrku
192.168.1.2 vaatab ruuteri kaudu maailma.
Internetis kasutaja: 172.17.10.50

Ülesanne: Kasutaja S_OF1 (192.168.0.50) peaks nägema jagatud ressursse kasutajal S_OF2 (172.17.10.50) ja vastupidi.

Alustame seadistamist

Laadige OpenVPN alla vastavalt süsteemi bitisügavusele.

Alustame installimist, 3. etapis aktiveerime mitteaktiivsed üksused.

Järgmine samm on installitee. Oma tulevase elu lihtsamaks muutmiseks installige see draivi C juuresse.

Installiprotsessi käigus installitakse süsteemi virtuaalne võrguadapter. TAP-Win32 adapter V9 ja vastavalt sellele ka juht. OpenVPN programm määrab sellele liidesele IP-aadressi ja virtuaalse maski. OpenVPN võrgud. Meie puhul on sellele S_OF1 serveris määratud aadress 10.10.10.1 maskiga 255.255.255.0 ja S_OF2 kliendis sarnase maskiga aadress 10.10.10.2.

Nimetame selle ümber "VPN"

Kataloogis "C:\OpenVPN" peaksite kohe looma lisakausta ssl(siia me salvestame autentimisvõtmed) kausta ccd(siin on kliendi serveriseadete konfiguratsioon).

Kaustas lihtne-rsa luua fail vars.bat, partiifail määrab sertifikaadi genereerimise seansi jaoks muutujad, mis puudutab organisatsiooni ja asukohta, täitke oma andmed.

Määra HOME=C:\OpenVPN\easy-rsa
määra KEY_CONFIG=openssl-1.0.0.cnf
määra KEY_DIR=C:\OpenVPN\ssl
määra KEY_SIZE=1024
määra KEY_COUNTRY=RU
set KEY_PROVINCE=Stavropol
set KEY_CITY= Stavropol
set KEY_ORG=ServerVPN
määra KEY_EMAIL=admin@localhost
määra KEY_CN=test
määra KEY_NAME=test
määra KEY_OU=test
määrake PKCS11_MODULE_PATH=test
määrake PKCS11_PIN=1234

Käivitame käsurida administraatori nimel.

Minge teele C:\OpenVPN\easy-rsa, tippides käimiseks käsureale käsk

Cd C:\OpenVPN\easy-rsa

Käivitame vars.bat:

Nüüd käivitame build-ca.bat. Kuna oleme kogu teabe serveri kohta juba täitnud, jätame kõik muutmata:

pärast seda on meil ssl-kaustas kaks faili ca.crt Ja ca.key.

Käivitame build-dh.bat:

selle tulemusena ilmub ssl-kausta fail dh1024.pem.

Loome serveri võtme, sisestades käsu:

Build-key-server.bat ServerVPN

kus" ServerVPN"See on meie VPN-serveri nimi, nagu minu puhul,

Tähtis! Määrame parameetri "commonname" - kirjutage meie VPN-serveri nimi. Kõik muud parameetrid jätame vaikimisi ja vastame kõikidele küsimustele jaatavalt.

selle tulemusel on meil failid ssl-kaustas ServerVPN.crt, ServerVPN.csr, ServerVPN.key.

Alustame kliendivõtmete genereerimist.

Täidame käsu:

Build-key.bat UserVPN_1

kus" UserVPN_1"Meie kliendi nimi.

Tähtis! Määrame parameetri "commonname" - kirjutage meie VPN-kliendi nimi (UserVPN_1). Kõik muud parameetrid jätame vaikimisi ja vastame kõikidele küsimustele jaatavalt.

Selle tulemusena on meil failid ssl-kaustas UserVPN_1.crt, UserVPN_1.csr, UserVPN_1.key.

Kui teil on mitu klienti, korrake võtmete genereerimist; unustamata igale kliendile nende nimesid määrata

Build-key.bat UserVPN_2
build-key.bat UserVPN_3

Tls-auth võtme (ta.key) genereerimine pakettide autentimiseks, selleks minge aadressile juurkaust OpenVPN:

ja käivitage käsk:

Openvpn --genkey --salajane ssl/ta.key

Selle tulemusena saame faili ssl-kausta ta.key.

Alustame serveri konfiguratsiooni loomist. Looge konfiguratsioonikaustas fail OpenVPN.ovpn:

#Port OpenVPN-i toimimiseks
port 1190

proto udp

#Liidese tüüp
arendaja tune

#Liidese nimi
arendaja sõlm "VPN"

# Ühenduse krüptimise sertifikaat
dh C:\\OpenVPN\\ssl\\dh1024.pem

ca C:\\OpenVPN\\ssl\\ca.crt

#Serveri sertifikaat
sertifikaat C:\\OpenVPN\\ssl\\ServerVPN.crt

#serveri võti
võti C:\\OpenVPN\\ssl\\ServerVPN.key

# Kaitse alates DOS-i rünnakud(serveri jaoks pange võtme tee järele 0 ja kliendi jaoks 1)
tls-server
tls-auth C:\\OpenVPN\\keys\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

#IP-aadresside vahemik VPN-võrgud
server 10.10.10.0 255.255.255.0

šifr AES-256-CBC

#logid

#Kaust, mis sisaldab faili meie kliendi nimega, minu puhul ilma laiendita UserVPN_1, ja kirjutage sinna käsud, mida kliendil täidetakse:
client-config-dir "C:\\OpenVPN\\ccd"

tegusõna 3

vaigista 20

# Maksimaalne samaaegselt ühendatud klientide arv, mida tahame lubada
max-kliendid 2

#Inaktiivse seansi eluiga
ellu jääma 10 120

#Me lubame klientidel üksteist näha
kliendilt kliendile

#Lülita tihendus sisse
komp-lzo
püsiklahv
püsima-tun

#Marsruudid lisatakse .exe kaudu, kui ilma selleta, siis kõigil pole marsruute registreeritud
route-method-exe

#Viitke enne marsruudi lisamist
marsruudi hilinemine 5

#Käsk, mis ütleb klientidele, mis on serveri taga kohalik võrk aadressidega 192.168.0.0 255.255.255.0
push "marsruut 192.168.0.0 255.255.255.0"

#Registreerib serveris marsruudi, et näha kliendi taga olevat võrku
marsruut 172.17.10.0 255.255.255.0 10.10.10.2

#Lüüs
marsruut-värav 10.10.10.1

# igale kliendile antakse 1 aadress, ilma virtuaalsete ruuteriportideta
topoloogia alamvõrk

Kaustas ccd looge fail ilma laiendita ja nimetage see täpselt nagu klient UserVPN_1, avage see märkmikuga ja kirjutage järgmine tekst:

#Määrake kliendile püsiv IP 10.10.10.2
ifconfig-push 10.10.10.2 255.255.255.0

#teavitage serverit, et kliendi võrk on 172.17.10.0
irout 172.17.10.0 255.255.255.0

#kui jätad kommentaari maha järgmine rida, siis klient keelatakse (juhul, kui peate selle kliendi serveriga lahti ühendama ja teised töötavad)
# keelake

Looge kliendi konfiguratsioon.

#Me käsime kliendil võtta serverist marsruutimisteave (tõukevalikud)
klient

#Port OpenVPN-i toimimiseks
port 1190

#Märkige, millist protokolli OpenVPN kasutab
proto udp

#Liidese tüüp
arendaja tune

#Liidese nimi
arendaja sõlm "VPN"

# Serveri aadress, millega me ühenduse loome
pult 444 333 222 111 1190

#kaitse
remote-cert-tls server

#Sertifitseerimisasutuse sertifikaat
ca C:\\OpenVPN\\ssl\\ca.crt

#Serveri sertifikaat
sertifikaat C:\\OpenVPN\\ssl\\UserVPN_1.crt

#võti
võti C:\\OpenVPN\\ssl\\UserVPN_1.võti

# Kaitse DOS-i rünnakute eest
tls-auth C:\\OpenVPN\\keys\\ta.key 1
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10

#Lülita tihendus sisse
komp-lzo
püsiklahv
püsima-tun

# Valige krüptograafiline šifr
šifr AES-256-CBC

#logid
olek C:\\OpenVPN\\log\\openvpn-status.log
logi C:\\OpenVPN\\log\\openvpn.log

#Tase silumisinfo
tegusõna 3

#Duplikaatsõnumite arv
vaigista 20

Installime OpenVPN-i kliendile ja edastame selle sellele ca.crt, UserVPN_1.crt, UserVPN_1.key, ta.key.

Seadistame kliendis ja serveris tulemüürid ja viirusetõrjed pakettide sujuvaks edastamiseks. Ma ei kirjelda seda, kõik sõltub installitud viirusetõrjed ja tulemüürid.

Pärast kõike seda käivitame oma serveri ja kliendi.

Kui kõik on õigesti tehtud, saab meie server IP 10.10.10.1 ja klient loob sellega ühenduse ning saab IP 10.10.10.2. Ja nii me ühendasimegi, nüüd pingivad server ja klient teineteisele meie VPN-võrgu IP, st 10.10.10.1 ja 10.10.10.2 kaudu.

Selleks, et ping läheks meie S_OF1 ja S_OF2 siseaadressidele, peate teenuse lubama Marsruutimine ja kaugjuurdepääs.

Peate minema teenuse atribuutide juurde ja konfigureerima selle nii automaatne sisselülitamine ja jookse.

Pärast seda saame pingida serveri ja kliendi sisemise IP-aadressi (172.17.10.10 klient ja 192.168.0.100 server).

Kuid sellel meetodil on väike puudus: pärast selle teenuse sisselülitamist ja meie VPN-kanaliga ühenduse loomist kuvatakse võrguühenduse ikoonile punane rist, kuni VPN on välja lülitatud.

Samal ajal töötavad kõik võrgud tavaline mood. Mind isiklikult see rist ärritab ja ajab vahel segadusse.

Meie serveri ja kliendi sisemiste IP-võrkude nähtavaks tegemiseks on veel üks võimalus.

Selleks minge registrisse ja avage registri haru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIP\Parameters

Leidke parameeter ja muutke väärtust: IPEnableRouter tüüp REG_DWORD tähenduses 1 .

Seadete jõustumiseks ärge unustage masinat taaskäivitada!

Seda tuleb teha nii serveris kui ka kliendis.

Seega pingime oma võrke sisemiste IP-de abil ja kuna nii server kui ka klient on nende võrkude lüüsid, näevad võrgu 1 masinad võrgu 2 masinaid ja vastupidi. see tähendab, et kasutaja S_OF1 (192.168.0.50) näeb kasutaja S_OF2 (172.17.10.50) jagatud kaustu ja vastupidi.

Kui server ja klient ei ole oma võrkude lüüsid, peate marsruudid käsitsi registreerima.

S_OF1 näide:

Marsruut -p 172.17.10.0 255.255.255.0 192.168.0.100 (masin, kuhu OpenVPN on installitud)

S_OF2 näide:

Marsruut -p 192.168.0.0 255.255.255.0 172.17.10.10 (masin, kuhu OpenVPN on installitud)

minu puhul polnud seda vaja.

Sest automaatne käivitamine server ja klient peame lubama OpenVPN-teenuse

Nüüd, kui masin käivitub, käivitub server automaatselt ja kui kliendi masin on sisse lülitatud, loob see automaatselt ühenduse ka serveriga.

Täiendav kaitse

Nagu teate, on OpenVPN-il võimalus autentida nii ülalkirjeldatud sertifikaatide abil kui ka sisselogimise ja parooli abil, kuid saate neid ka kombineerida. Minu teada on see võimalus ainult Linuxil tavalisi vahendeid konfigureerida autentimist sisselogimise ja parooli abil, kuid seda saab lahendada ka Windowsis. Selleks kaustas konfig luua fail auth.vbs ja kirjutage sinna järgmine

"VBscript auth.vbs autentimiseks OpenVPN-is - auth-user-pass-verify auth.vbs via-file "(c) 2007 vinni http://forum.ixbt.com/users.cgi?id=info:vinni "Tugi : http://forum.ixbt.com/topic.cgi?id=14:49976 "Skript võrdleb kasutajanime tõstutundlikul viisil. "Kui vajate seda muul viisil, eemaldage UCase(...) kahest või neljast kohast Sees Viga Jätka Järgmisena avage fail, mille nime OpenVPN skriptile parameetri abil Set fso = CreateObject("scripting.filesystemobject") Set CurrentUserPasswordFile = fso.OpenTextFile(WScript.Arguments(0),1) "1 = lugemiseks, kui Viga number<>0 Siis WScript.Quit(1) " loeb sellest failist 2 rida - kasutaja "teises otsas" sisestatud nimi ja parool, kui CurrentUserPasswordFile.AtEndOfStream siis WScript.Quit(1) UserName=CurrentUserPasswordFile.ReadLine, kui CurrentUserPasswordOfStram. siis WScript .Quit(1) Password=CurrentUserPasswordFile.ReadLine CurrentUserPasswordFile.Close "avage keskkonnamuutuja common_name (see on kliendi esitatud sertifikaadi CN) "ja võrrelge seda sisestatud kasutajanimega." kui see võrdlus pole nii vaja, seejärel kustutage järgmised 2 rida või kommenteerige CurrentCommonName = CreateObject("Wscript.Shell").ExpandEnvironmentStrings("%common_name%"), kui UCase(CurrentCommonName)<>UCase(UserName) siis WScript.Quit(1) " avage meie fail sisselogimiste ja paroolide andmebaasiga " vaikimisi on see Users.pw praeguses kataloogis Set UserPasswordFileBase = fso.OpenTextFile("Users.pw",1) " 1 = lugemiseks, kui Err.Number<>0 Seejärel WScript.Quit(1) " loeb tsüklis reapaare, jättes vahele tühjad BETVEEN THE PAIRES " ja võrrelge neid kasutaja sisestatuga. Ärge tehke seda (UserPasswordFileBase.AtEndOfStream) NextUserName=UserPasswordFileBase.ReadLine kui Err.Number<>0 Siis WScript.Quit(1), kui NextUserName<>"" siis " kui kasutajanime on vaja võrrelda tõstutundlikku, siis eemaldage UCase(...) siit, kui UCase(UserName)=UCase(NextUserName) siis kui Password=UserPasswordFileBase.ReadLine siis " kui nimi ja parool vastavad paarile andmebaasist , siis lõpetame skripti tulemusega 0 "see on OpenVPN jaoks vajalik"a, see on märk edukast autentimisest UserPasswordFileBase.Close WScript.Quit(0) end if else UserPasswordFileBase.ReadLine end if end if Loop " kui otsing ei õnnestunud, siis lõpetame skripti tulemusega 1 "see on OpenVPN-i jaoks vajalik"a, see on märk EBAÕNNUNUD autentimisest UserPasswordFileBase.Close WScript.Quit(1)

Samuti loome konfiguratsioonikaustas faili Users.pw, kuhu kirjutame oma kliendi sisselogimise ja parooli

UserVPN_1
123456

Kui kliente on mitu, siis:

UserVPN_1
123456

UserVPN_2
365214

KasutajaVPN_3
14578

Järgmisena peate kirjutama rea kliendi konfiguratsiooni auth-user-pass, kui klient loob ühenduse serveriga, avaneb autoriseerimisaken, kus peate sisestama sisselogimise ja parooli, mille talle määrasite Users.pw, tuleb need kliendile edastada.

Olen seadistanud nii, et kasutajanimi (sisselogimine) ühtiks sertifikaadis oleva kliendi nimega, st UserVPN_1. kuid saate määrata sertifikaadi nimest erineva nime; selleks peate vaatama seadeid auth.vbs.

" avage keskkonnamuutuja common_name (see on kliendi esitatud sertifikaadi CN)
" ja võrrelge seda sisestatud kasutajanimega.
"Kui seda võrdlust pole vaja, siis kustutage või kommenteerige järgmised 2 rida

CurrentCommonName = CreateObject("WscrIPt.Shell").ExpandEnvironmentStrings("%common_name%")
kui UCase (praegune ühinenimi)<>UCase(kasutajanimi), seejärel WScrIPt.Quit(1)
WScrIPt.Echo "Debug: CurrentCommonName= " & CurrentCommonName

Ja selleks, et autentimine töötaks nii sertifikaadi kui ka parooliga sisselogimise abil, kuid samal ajal ei ilmuks kasutaja autoriseerimise aken, kuna see lükkab kliendi ühenduse serveriga edasi, kui teil on näiteks lubatud automaatne allalaadimine OpenVPN-teenus (nagu minu jaoks konfigureeritud) või te lihtsalt ei soovi iga kord oma sisselogimist ja parooli sisestada, antud juhul kaustas olevas kliendis ssl luua fail pass.txt ja kirjutage sinna meie kasutajanimi ja parool järgmiselt:

UserVPN_1
123456

ja kliendi konfiguratsioonis muudame rida auth-user-pass peal auth-user-pass C:\\OpenVPN\\ssl\\pass.txt.

Nüüd lülitan sisse masina, kuhu on installitud OpenVPN -Server, teenus käivitub ja VPN-server läheb automaatselt üles. Klient käivitab masina ja see läheb ka mööda automaatne ühendus minu serverisse. Nüüd võite minna aadressile jagatud kaustad või töötada RDP kaudu, näiteks teise organisatsiooni installitud 1C-s.

kontaktid [e-postiga kaitstud]

Sildid:

Vaatamiseks lubage JavaScript

1) Avage veebisaidil openvpn.net jaotis kogukond. Vahekaardil Allalaadimised kliki Kogukonna allalaadimised.

2) Vali installifail vastavalt OS-i bitisügavusele ( 32-bitine/64-bitine) installitud ja alla laadida.

3) Käivitage installifail ja tehke installitoimingud.

5) Pooleli OpenVPN-i installid programm võib küsida installi kinnitust TAP- autojuhid. See taotlus tuleb kinnitada, vajutades nuppu Installige.

6) See lõpetab installiprotsessi.

Serveripoolne konfiguratsioon

Vaatame näidet OpenVPN-ühenduse seadistamisest iseallkirjastatud SSL-sertifikaadi abil.

1) Käivitage käsurida.

Start -> Run -> cmd

2) Minge kataloogi C:\Program Files\OpenVPN\easy-rsa kasutades käsku:

Cd\Program Files\OpenVPN\easy-rsa

3) Käivitage fail init-config.bat käsureal:

Init-config.bat

Pärast faili käivitamist luuakse fail vars.bat.

4) Fail vars.bat tuleb sisse avada tekstiredaktor(märkmik või Wordpad) ja muutke võtme allkirjastamise andmed oma isiklikeks. Saate muuta teavet järgmistel ridadel:

Määra KEY_COUNTRY=US #Country set KEY_PROVINCE=CA #Region set KEY_CITY=SanFrancisco #City set KEY_ORG=OpenVPN #Company name set [e-postiga kaitstud]#Kontaktmeil

Samuti, kui vormi kirje puudub:

Määrake OPENSSL_CONF=C:\Program Files\OpenVPN\easy-rsa\openssl-1.0.0.cnf

peate selle lisama rea alla:

Määrake KEY_CONFIG=openssl-1.0.0.cnf

Märge: Konfiguratsioonifaili asukoha tee ja nimi võivad erineda näites näidatust. Seetõttu veenduge esmalt, et faili asukoht ja nimi on vastavalt määratud andmetele.

5) luua indeks Ja sari failid, käivitage käsureal ükshaaval järgmised käsud:

Vars puhas-kõik

6) Järgmine käsk loob CA võtme, mida kasutatakse tulevase SSL-sertifikaadi allkirjastamiseks. Pärast käsu käivitamist küsitakse teilt parameetrite väärtusi. Kui olete failis varem muudatusi teinud vars.bat, siis saab 4. sammus määratud parameetritele vastata vajutades Sisenema. Erandiks on parameeter - Üldnimetus. Sellesse peate sisestama serveri hostinime või domeeninime.

Ehitamine-ca

7) Looge Diffie-Hellmani võti.

Ehita-võtme-server<имя_сервера>

Meie puhul on järgmine käsk:

Build-key-server server

Täitmine toimub analoogselt 6. etapiga. Põllul Üldnimetus meie puhul näitame server. Mõlemale küsimusele " Kas allkirjastada sertifikaat?"Ja" 1 sertifikaaditaotlusest 1-st on kinnitatud, kas siduda?"Me nõustume sisestades" y"ja seejärel vajutage Sisenema.

9) Looge iga kliendi jaoks eraldi võti:

Ehitamise võtmeklient1

Sisesta nõutud kontaktandmed. IN Üldnimetus näidata klient1.

Failide teisaldamine kaustast /võtmed kausta /config.

10) Kaustast /sample-config kopeeri fail server.ovpn kausta /config

Tulemüüri seadistamine

Veenduge, et pordid 5194 Ja 1194 tulemüür ei blokeeri, vastasel juhul lisame sissetuleva ja väljamineva liikluse lubamise reeglid:

11) Mine aadressile Alusta -> Kõik programmid -> Haldustööriistad -> Windowsi tulemüür täiustatud turvalisusega.

12) Klõpsake akna vasakus servas Sissetulemise reeglid ja jaotises Tegevused kliki Uus reegel. Selle tulemusena peaks ilmuma reeglite loomise viisard.

13) Täidame pakutud 5 sammu järgmiselt:

1. samm – reegli tüüp: sadam;

2. samm – protokoll ja pordid: Vaikimisi seadetes OpenVPN-i serverid Kasutatakse UDP-protokolli. Kui see konfiguratsioon pole muutunud, seejärel valige sisse see samm UDP. Muidu - TCP. Põllul Konkreetsed kohalikud sadamad näidata 5194 .

3. samm – toiming: Luba ühendus;

4. samm – profiil: Jätke märkeruudud lubatuks.

5. samm – nimi: Määrake oma äranägemise järgi reegli nimi ja klõpsake Lõpetama.

14) Samamoodi lisa reegel pordi jaoks 1194 , mille järel läheme Väljamineku reeglid ja looge kaks reeglit, mis on identsed aastal loodud reeglitega Sissetulev.

Serveri käivitamine

15) Käivitage OpenVPN-server, klõpsates nuppu paremklõps hiir failile server.ovpn OpenVPN-i käivitamine selles konfiguratsioonifailis.

16) Selle tulemusena ilmub käsurida, mis kuvab VPN-serveri käivitamise protsessi. Kui lõpus on rida trükitud Initsialiseerimise jada on lõpetatud, see tähendab, et käivitamine oli edukas.

Kliendipoolne konfiguratsioon

Järgmised sammud eeldavad, et teil on juba installitud OpenVPN-i klient.

1) Kaustast /sample-config serveris laadime faili arvutisse klient.ovpn kausta OpenVPN/config/

2) Kaustast /config failid serverisse alla laadida ca.crt, klient1.crt, klient1.võti arvutisse kaustas OpenVPN/config/

3) Avage allalaaditud fail klient.ovpn tekstiredaktoris ja tehke järgmised kohandused:

Salvestuses kauge minu server-1 1194 asendada minu-server-1 serveri IP-aadressile. IN sert klient.crt muuta klient.crt peal klient1.crt IN võtmeklient.võti muuta klient.võti peal klient1.võti

Pärast seda salvestage muudatused.

4) Käivitage OPENVPN-GUI. Paremklõpsake süsteemisalves ikooni OpenVPN ja sisse kontekstimenüü valige üksus Muuda konfiguratsiooni.

Kui avanev konfiguratsioon ei vasta failile klient.ovpn, siis toome seaded sobivasse vormi. Kui see sobib, sulgege redaktor, paremklõpsake uuesti süsteemisalves ikoonil ja valige Ühendage. Kui ilmuvas ühendusprotsessi aknas kuvatakse järgmised read:

Initsialiseerimisjada lõpetatud HALDUS: >OLEK: ********,ÜHENDATUD,ÕNNEKUD

Võimalikud vead

andmebaasi TXT_DB tõrkenumbri 2 värskendamine ebaõnnestus

Põhjus: Kliendi sertifikaadi ja võtme loomisel määrati teave, mis on identne varem teise sertifikaadi genereerimiseks kasutatud teabega.

Lahendus: muu kontaktteabe märkimine.

HOIATUS: konfiguratsioonifaili ei saa avada: /etc/ssl/openssl.cnf

Põhjus: vale seatud tee V keskkonna muutuja OPENSSL_CONF.

Lahendus: peate selle muutuja failis deklareerima vars.bat, nagu mainitud serveripoolse konfiguratsiooni 4. sammus.

Internet on nagu meri. Edastatavate andmetega võib kõike juhtuda, nagu laevaga reisi ajal: need võivad saada kahjustada, vajuda infovoogu või sattuda "piraatide" saagiks. (VPN, VPN) süsteemid aitavad kaitsta eriti väärtuslikke andmeid varguse ja kaotsimineku eest suletud kanalid(tunnelid), mis on ehitatud teise, suurema võrgu sisse. Üks VPN-i tüüp on OpenVPN.

Kas soovite õppida, kuidas kiiresti ja lihtsalt luua virtuaalseid privaatvõrke? Räägime eelistest OpenVPN-i protokoll, samuti tema Windowsi ja Ubuntu tarkvara serveri- ja kliendiosade sätete kohta.

OpenVPN-i ulatus ja eelised

Kasutusala

Kaitstud loomine ettevõtete võrgud. Selliste võrkude sõlmede vaheline kaugus ei oma tähtsust.
Teabe kaitse avatud avalikes võrkudes.
Mitme hosti ühendamine Internetiga ühise lüüsi kaudu.
Juurdepääs keelatud veebiressurssidele.

Eelised

Kõik on tasuta. Enamik meist ei anna alla tasuta WiFi-ühendus kohvikus või pargis, kuid sellise ühenduse kaudu edastatav liiklus pole pealtkuulamise eest kuidagi kaitstud. Tasuta OpenVPN-tarkvara suunab selle privaatsesse tunnelisse, nii et teie sisselogimised, paroolid ja muu salajane teave Kindlasti ei satu see valedesse kätesse.
Võrgu turvaliseks muutmiseks ei pea te lisavarustust ostma.
Kogu edastatav liiklus on tihendatud, mis tagab suur kiirus side (kõrgem kui IPSec-i kasutamisel).
Paindlikud tarkvaraseaded võimaldavad teil konfigureerida mis tahes keerukusega VPN-i.
Mitme tugeva krüpteerimisalgoritmi kasutamine annab väga kõrge aste andmekaitse.
Pole vaja tulemüüre ümber seadistada ega keelata ( tulemüürid) ja NAT (IP-aadressi teisendamise tehnoloogiad TCP/IP-võrkudes).
Protokolli toetavad kõik suuremad operatsioonisüsteemid.
Paigaldamiseks ja seadistamiseks tarkvara pole vaja sügavaid teadmisi võrgutehnoloogiad, ja isegi mittespetsialistil kulub selleks vaid mõni minut.

OpenVPN-i seadistamine Windowsis

Serveriosa paigaldamine ja seadistamine

Kuna enamik meist kasutab Windows OS-i, siis alustame OpenVPN-tehnoloogiaga tutvumist seal. Seega valige sobiv distributsioon ja käivitage installimine.

nimekirjas" Valige installitavad komponendid» (valige installitavad komponendid) kontrollige kõiki.

Nõustuge virtuaalse draiveri installimisega Võrguadapter TAP Windowsi adapter V9.

Installitud? Nüüd loome VPN-võtmed ja sertifikaadid.

Minge kataloogi %ProgramFiles%/OpenVPN/easy-rsa ja käivitage partiifail init-config.bat– kopeerib faili samasse kausta vars.bat.sample nagu vars.bat. Tulevikus käskude pakett vars.bat määrab muutujad sertifikaatide genereerimiseks.

Pärast loomist vars.nahkhiir avage see märkmiku abil ja kirjutage esiletõstetud ridadele kõik andmed (pärast "="). Salvestame muudatused.

Järgmisena käivitage käsurida administraatorina ja täitke käsk, et avada /easy-rsa ( cd %Programmi failid%/OpenVPN/lihtne-rsa). Pärast seda jookseme järjest vars.nahkhiir Ja puhas-kõik.nahkhiir(laadige muutujad ja kustutage varem loodud võtmed).

Käivitage hulk käske ehitada-ca.nahkhiir– sellega loome kataloogis %ProgramFiles%/OpenVPN/easy-rsa/keys uue esmase sertifikaadi. Organisatsiooni nime vms kohta, mis on ekraanipildil ringiga ümbritsetud, pole vaja sisestada - vajutage lihtsalt sisestusklahvi.

Käivitame ehitada-dh.nahkhiir- sellega loome Diffie-Hellmani võtme. Fail kuvatakse kaustas /keys dh1024.pem.

Järgmine rida on serveri võti: täitke käsk ehitada-võti-servermyVPN("myVPN" on serveri nimi, saate määrata mis tahes muu). Jäta vahele küsimused, mis algavad sõnaga „Riigi nimi”, vajutades sisestusklahvi. Kahele viimasele küsimusele – "Kas allkirjastada sertifikaat?" ja järgmisele vastame "Y".

Järgmisena peame hankima kliendivõtme: execute ehitada-võtikasutaja1(kasutaja1 on kliendi nimi, saate selle asendada millegi muuga). Kui klientarvuteid on mitu, korrake toimingut igaühe jaoks, unustamata nime muuta. Jätame raamiga ümbritsetud ploki vahele, nagu varemgi.

Järgmisena kopeerige kaustast / lihtne-rsa/võtmed V / OpenVPN/konfig järgmised failid: dh1024.pem, ca.crt myvpn.crt, myvpn.key, kasutaja1.võtikasutaja1.crt. Viimaseid nelja võib teie riigis nimetada erinevalt. Miks, ma arvan, on selge.

Järgmisena looge samas kaustas serveri konfiguratsioonifail. Kopeerime allolevad juhised märkmikusse ja vajadusel muudame nende parameetrid enda omadeks. Salvestage dokument koos laiendiga. ovpn ja nimi" Server».

# Liides (L3 tunnel)
arendaja tune
# VPN-protokoll
proto udp
# Kasutatav port (saate määrata mis tahes tasuta)
port 1234
# Sertifikaatide ja võtmete loend (märkige nimed)
caca.crt
sert myvpn.crt
võti myvpn.key
dh dh1024.pem
# Andmete krüptimise tüüp
šifr AES-256-CBC
# Valige IP-aadresside vahemik
server 10.10.10.0 255.255.255.0
# Silumise teabe tase
tegusõna 3
# Kasutage tihendamist
komp-lzo
püsiklahv
püsima-tun
mssfix
# Määrake korduvate sündmuste maksimaalne arv
vaigista 25
# Samaaegselt ühendatud klientide arv (5)
max-kliendid 5
# Kliendiseansi eluiga
ellu jääma 10 120
# Klientide nähtavus üksteisele (lubatud)
kliendilt kliendile
# Määrake igale kasutajale 1 aadress
topoloogia alamvõrk
# Määrake enne marsruudi lisamist viivitus
marsruudi hilinemine
#Täpsustage, kas soovime Internetti levitada. DNS-aadressid Kirjutame need, mis on määratud Interneti-ühenduse seadetes.
vajuta "redirect-gateway def1"

vajuta "dhcp-option DNS x.x.x.x"

Lugege lisateavet serveri konfigureerimise direktiivide kohta.

Järgmisena minge Interneti levitamiseks võrguühenduste kataloogi, avage vaatava liidese atribuudid ülemaailmne võrk, minge vahekaardile " Juurdepääs", pane linnuke "" Luba teistel kasutajatel seda ühendust kasutada..." ja valige loendist virtuaalse adapteri TAP-Windows adapter V9 võrk - minu arvates on see Ethernet 3.

Looge kliendi konfiguratsioonifail. Kopeerige järgnev tekst märkmikusse ja salvestage dokument .ovpn laiendiga "Klient" nime all.

klient
arendaja tune
proto udp
# VPN-serveri ja ühenduspordi IP- või domeeninimi.
kaugjuhtimispult x.x.x.x 1234
caca.crt
sert kasutaja1.crt
võti kasutaja1.võti
šifr AES-256-CBC
komp-lzo
püsiklahv
püsima-tun
tegusõna 3

Vaadake teisi kliendi konfigureerimise juhiseid.

Kliendipoole seadistamine

Installige rakendus sisse kliendi arvuti. Järgmisena minge serverisse, avage kataloog %ProgramFiles%/OpenVPN/config ja kopeerige failid sealt ca.crt, Client.ovpn, user1.crt,kasutaja1.võti V võrgukaust või mälupulgale. Teisaldame need samasugusesse kausta kliendi masinas.

Ühendus

Serveri käivitamiseks klõpsake oma töölaual otseteel „OpenVPN GUI”. Salve ilmub hall ikoon. Paremklõpsake sellel ja valige " Server"Ja" Ühendage».

Kui ühendus õnnestub, muutub ikoon roheliseks. Kui see ei õnnestu, klõpsake menüül " Vaata ajakirja": see näitab viga.

Kliendiühendus toimub samamoodi, ainult selle asemel, et " Server"vali menüüst" Klient».

OpenVPN-i seadistamine Ubuntus

Alustame OpenVPN paketi installimisega serverisse ja kliendi masinatesse, nagu Windowsis. Tarkvara konsooliversiooni terminali kaudu installimise juhend on järgmine: sudo apt-get install openvpn. Soovi korral saate installida Ubuntu rakenduskeskusest pakettide graafilised versioonid.

Kuid kõige olulisem komponent, easy-rsa moodul, mis on loodud sertifikaatide ja võtmete genereerimiseks, ei sisaldu Linuxi distributsioonis. Peate selle eraldi installima, käivitades käsu: sudoasjakohane-saadainstallidalihtne-rsa.

Serveri poole seadistamine

Pärast programmi ja lisamooduli installimist looge kataloog " lihtne-rsa" kaustas /etc/openvpn: sudo mkdir /etc/openvpn/easy-rsa. Kopeerige selle sisu paigalduskohast: cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa.
Järgmisena läheme uus kataloog: cd /etc/openvpn/easy-rsa/ ning jätkake sertifikaatide ja võtmete loomisega.

Ava koos konsooli redaktor muutujate nanofaili vars (analoogselt vars.bat-ga Windowsis) ja importige sinna samad andmed, mis failis vars.bat, muudetud väärtustega:

KEY_COUNTRY=RU
KEY_PROVINCE=CA
KEY_CITY=SanFrancisco
KEY_ORG=OpenVPN
[e-postiga kaitstud]
KEY_CN=muuda
KEY_NAME=muuda
KEY_OU=muuda
PKCS11_MODULE_PATH=muuda
PKCS11_PIN=1234

Kopeerige openssl krüptopakett: cpopenssl-1.0.0.cnfopenssl.cnf.
Muutujate laadimine variidest: allikas./vars.
Kustutame varem loodud andmed: ./ puhas-kõik.
Looge uus esmane sertifikaat: ./ ehitada-ca. Jätame kaadris olevate küsimuste ploki vahele.

Järgmine on Diffie-Hellmani võti: ./ ehitada-dh.
Selle taga on serveri sertifikaat: . / ehitada-võti-servermyVPN(MinuVPN, nagu mäletate, on nimi; see võib teie jaoks olla erinev). Jätame esiletõstetud ploki vahele (ekraanipildil on see lühendatud), vastame kahele viimasele küsimusele “Y”.

Lõpuks loome kliendi sertifikaadi: ./ ehitada-võtikasutaja1("kasutaja1" asemel võite välja mõelda mõne muu nime). Samal ajal jätame ekraanil esiletõstetud ploki uuesti vahele ja vastame kahele viimasele küsimusele "Y".

Kõik loodud võtmed ja sertifikaadid salvestatakse alamkataloogi / jne/openvpn/lihtne-rsa/võtmed. Teisaldage need kausta /openvpn: cp -r /etc/openvpn/easy-rsa/keys /etc/openvpn.

Viimases etapis looge serveri konfiguratsioonifail kaustas /etc/openvpn: nano/jne/openvpn/server.konf ja täitke see samamoodi nagu täitsime Windowsis sarnase dokumendi. Ainus erinevus on erinevad teed:

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/myvpn.crt
võti /etc/openvpn/keys/myvpn.key

Lõpuks loome kliendi masinate konfigureerimiseks kataloogi: mkdir /etc/openvpn/ccd, ja käivitage server: teenuse openvpn käivitamine.

Kui server ei käivitu, on tõenäoliselt konfiguratsioonis viga. Teavet probleemi kohta saab vaadata dokumendist /var/log/openvpn.log käsu abil saba -f /var/log/openvpn.log.

Kliendipoole seadistamine

Pärast rakenduse installimist kliendi masin Teisaldame sellesse serveris genereeritud võtme ja sertifikaadid ning loome konfiguratsiooni.

Võti ja sertifikaadid – ca.crt, kasutaja1.crt Ja kasutaja1.võti, asuvad kaustas /etc/openvpn/keys. Kopeerime need mälupulgale ja kleepime need kliendi arvutis asuvasse samanimelisse kausta.

Konfiguratsioonifaili loome nano abil: nano /etc/openvpn/client.conf, ja täitke see vastavalt Windowsi mudelile. Ärge unustage lisada õigeid teid:

ca /etc/openvpn/keys/ca.crt
dh /etc/openvpn/keys/dh2048.pem
cert /etc/openvpn/keys/user1.crt
võti /etc/openvpn/keys/user1.key

Kõik on valmis. Serveriga ühenduse loomiseks kasutame sama käsku: teenuse openvpn käivitamine.

Juhised osutusid pikaks, kuid tegelikkuses kulub nende sammude sooritamiseks 5-10 minutit. Rohkem detailne info Teave OpenVPN-iga töötamise kohta asub rakenduse ametliku veebisaidi jaotises "". Proovige järele ja õnnestub!

Samuti saidil:

OpenVPN-i seadistamine Windowsis ja Ubuntus: mida, miks ja kuidas värskendas: 24. aprill 2016: Johnny Mnemoonik

Seega, kallis sõber, õpime täna, kuidas luua vahel krüpteeritud ühendusi erinevad võrgud põhineb OpenVPN-il. Alustamiseks puhuge edasi
http://openvpn.net/ ja hankige sealt värske allikas (nagu alati gurmaanidele) või binaarfail (Windowsi austajatele). Need, kellele ei meeldi käsitsi kompileerimisega vaeva näha, võivad minna aadressile /usr/ports/security/openvpn (FreeBSD pordid) ja installida portidest.
Kui sina, nagu mina, töötad kodus Windowsiga (see on ikka mugavam ja saad ringi mängida, kui töö igav hakkab 😉), siis soovitan ka kohtutega tutvuda:
http://openvpn.net/gui.html
- see on Windowsi versiooni graafiline kasutajaliides; MacOS-i jaoks oli seal ka minu arvates midagi. Niisiis, laadisime selle alla, installisime selle Win alla ja installisime FreeBSD alla. Neile, kes otsustasid esimest korda midagi oma kätega kokku panna, tuletan meelde traditsioonilisi käske.

#tar –zxvf openvpn-2.0_rc21.tar.gz
#cd openvpn-2.0_rc21
#./configure
#tegema
#pake install
#teha puhtaks

Kui mõned paketid on edukaks kokkupanemiseks puudu, või proovige need määrata ./configure suvandite kaudu. Sest mugav töö konfiguraatoriga kasutan tavaliselt kas kahte terminali või kahte Putty seanssi. Ühel jooksen:

#./configure –help | vähem

Ja teisele topin erinevaid lippe. Seega tundub, et oleme installeerimisega hakkama saanud... Liigume edasi palju huvitavama ja keerulisema osa juurde, nimelt konfiguratsioonifailide ja erinevate võtmete loomise juurde.

BSD modifikatsioon

Selleks, et kõik toimiks, peate kerneli järgmiste valikute abil uuesti üles ehitama:

valikud IPSEC
valikud IPSEC_ESP

Konfiguratsiooni redigeerimine

Meil pole serveriosa käitamiseks palju vaja. Kui soovite rohkem teavet lugeda:

Kui soovite kiiresti lahingusse tormata, siis korrake minu järel! Vau, ma hakkasin juba riimis kirjutama! Niisiis, redigeerime konfiguratsiooni:

#vi /usr/local/etc/openvpn/office.conf

Kirjutame sinna järgmist:

deemon openvpn # palume oma openvpn-serveril saada deemoniks, soovitan teil see rida sisestada alles siis, kui kõik töötab.

dev tun # kasutage seda liidest

server 10.1.0.0 255.255.255.0 #määrake VPN-võrgus serveri IP

vajuta "marsruut 10.1.0.0 255.255.255.0" # – see asi lisab VPN-võrgu marsruudi
vajuta "marsruut 194.1.1.0 255.255.255.0" # – see lisab VPN-serveri taha klientidele võrgumarsruudi
push "marsruut 192.168.0.0 255.255.255.0" # on marsruut teie koduvõrku

klient-kliendile #kommenteerige seda, kui te seda ei soovi vpn kliendid nägid üksteist

tls-server #näitavad, et see on serveri konfiguratsioon

dh /etc/ssl/dh2048.pem # see on ühenduse seadistuse krüptimise sertifikaat
ca /etc/ssl/CA_cert.pem # Need on serveri sertifikaadid
cert /etc/ssl/certs/Cserv.pem #
võti /etc/ssl/keys/Kserv.pem #

proto tcp-server #Öelge serverile, et ta töötaks TCP-protokolli kasutades
port 5000 # Portil 5000

kasutaja ei keegi #Kasutaja, kellelt vpn-server käivitub (ärge määrake seda juureks!)
grupp mitte keegi #Noh, see on grupp

comp-lzo #Luba tihendamine

persist-tun #Kasutage serveri taaskäivitamisel sama liidest ja võtit
püsiklahv

tls-auth /etc/ssl/ta.key 0 # Kaitse DOS-i rünnakute eest
Keepalive 10 120 # Mitteaktiivse seansi eluiga

tegusõna 4 # Silumisinfo arv (0 kuni 9)

Jah see on see. Oleme serveriga valmis. Liigume edasi kliendi juurde. Ärge muretsege võtmete ja sertifikaatide pärast, loome need hiljem.

Windows OpenVPN klient

Teate, seda asja saab kasutada isegi sissehelistamisühenduses, mis pole minu jaoks vähetähtis! Viska võtmed ja installer Flashi peale ja ära enam muretse, isegi kui lähed sõbrale külla, jood õlut ja sööd liha ning siis boss helistab ja hakkab kiruma, et neil miski ei tööta, sa oled kui võtate kliendi sõbralt üles, ärge lihtsalt mõelge võtmete kopeerimisele tema žestile. Kopeerige konfiguratsioon ja muutke välkmäluseadme kliendivõtmete teid siin. Oh jah... Liigume edasi.

Klõpsake nuppu START-Programs-OpenVPN... Sisestage konfiguratsioonifailidega kaust. Looge home.ovpn ja kirjutage või kopeerige see konfiguratsioon sinna:

klient #Öelge kliendile, et ta hankiks serverist marsruutimisteavet (pidage meeles # push-valikuid)

remote ip-a #IP-a asemel sisestage oma serveri tegelik IP-aadress, mis on Internetis nähtav

tls-client # See on kliendi konfiguratsioon

ns-cert-tüüpi server #See on järjekordne kaitse, seekord "mees sisse" vastu keskel» rünnakud.

ca "H:\\config openVPN\\CA_cert.pem" # Need on vaid peamised teed (need on minu mälupulgal)

sertifikaat "H:\\config openVPN\\home.pem"

klahv "H:\\config openVPN\\khome.pem"

tls-auth "H:\\config openVPN\\ta.key" 1 #DOS-kaitse. Erinevalt serverist maksab see siin #üks. Ärge olge segaduses, Kutuzov! 😉

proto tcp-client #Klient töötab TCP kaudu
port 5000 #Ühendab pordiga 5000

comp-lzo # Sa juba tead seda

tun-mtu 1500 #Lihtsalt kopeeri, kui sa võrke ei tea, siis ma ei saa sulle sellest #kahe reaga rääkida
tun-mtu-extra 32
mssfix 1450

Ok, konfiguratsioon on valmis. Liigume edasi huvitav tegevus, genereerides võtmeid ja sertifikaate.

OpenSSL-i reeglid

Avage /etc/ssl. Seal looge 2 faili: index.txt ja serial. Nüüd kirjutame midagi järjestikku:

#cd /etc/ssl
#puudutusindeks.txt
#touch seeria
#echo “01” > ./serial

Nüüd loome paar kausta:

#mkdirects
#mkdirkeys
#mkdir crl

Nüüd hoolitseme natuke turvalisuse eest ja muudame oma openssl.cnf-i. Ma saan aru, mis sul on hullud käed, seega ärge unustage sellest failist igaks juhuks koopiat teha. 😉

#cp ./openssl.cnf ./openssl.cnf.backup
#vi openssl.cnf

Otsige üles parameeter „default_days” ja määrake selle väärtuseks 9125 (see on päevade arv enne, kui meie sertifikaadid lakkavad töötamast). Ja konfiguratsiooni lõpus kirjutage see:
[server]
basicConstraints =CA:FALSE
nsCertType =server

Kui olete sertifikaadid loonud, takistab see seda ajakirja lugeval lapsel lihtsat "mees keskel" rünnakut sooritamast. Kui unustate selle, sisestage säte „ns-cert-type server”. konfiguratsioonifail ei tööta.

Veel veidi kannatust ja teete seda, mida olete nii kaua oodanud. SA TEED SEDA!

Lähme tagasi õigele teele:

#openssl req –uus –x509 –keyout private/CA_key.pem –out CA_cert.pem

Sisestage oma parool ja ärge unustage seda.

#openssl req –new –nodes –keyout võtmed/Kserv.pem –out req/Rserv.pem

Selle rea puhul on oluline, et parameeter Organisatsiooni nimi vastaks sellele, mida määrasite CA_cert.pem genereerimisel.

#openssl ca -extfile /etc/ssl/openssl.cnf –laienduste server –out certs/Cserv.pem –infiles req/Rserv.pem

Teile esitatakse paar küsimust, millele vastake pikalt mõtlemata "y".
See oli serveri jaoks. Nüüd kordame sama asja, kuid kliendi jaoks.

#openssl req –new –keyout keys/Khome.pem –out req/Rhome.pem
#openssl ca –out certs/Chome.pem –infiles req/Rhome.pem

Ärgem unustagem ka ta.keyt:

#openvpn —genkey —salajane ta.võti

Niisiis ja lõpuks looge Diffie-Hellmani (kes teab, kuidas seda vene keeles kirjutada) fail

#openssl dhparam –out dh2048.pem 2048

Saanud teate selle pikast loomisest, läheme õlut jooma (tegelikult kulus mul loomiseks peaaegu 20 minutit).

Võtame oma sertifikaadid

See on kõik, võtke vastu minu õnnitlused, tegite kõik! Nüüd jääb üle vaid kaasa võtta:
-CA_cert.pem
— Chome.pem
—Khome.pem
-ta.võti

Selleks kopeerige see disketile:

#mkdir /mnt/floppy
#mount -t msdos /dev/fd0a /mnt/floppy
# cp /etc/ssl/certs/Cnode.pem /mnt/floppy
#cp /etc/ssl/keys/Knode.pem /mnt/floppy
#cp /etc/ssl/CA_cert.pem /mnt/floppy
#cp etc/ssl/ta.key /mnt/floppy
#umount –f /dev/fd0a

Või kui oled julge kurat, mis tähendab, et teed serveris kõike rida-realt korraga, siis kasuta sftp klienti ja võta serverist kõik ise.

Rakett läks

Nüüd käivitage OpenVPN-server:

#openvpn –config /usr/local/etc/openvpn/office.conf

Taaskäivitamisel automaatseks käivitamiseks looge failis /usr/local/etc/rc.d väike fail openvpn.sh:

ümbris "$1" in
algus)
echo -n "OpenVPN2 käivitub..."
/usr/local/sbin/openvpn || väljapääs 1
;;
peatus)
echo -n "OpenVPN2 väljalülitamine..."
/usr/bin/killall openvpn &>/dev/null || väljapääs 1
;;
laadi uuesti | taaskäivitage)
$0 peatus && magama 1 && $ 0 algus || väljapääs 1
;;
*)
echo "Kasutus: $0 (start|stopp|reload|restart)"
väljapääs 1
esac

Tulemüür

Kirjutate ipfw jaoks reegli, mis lubab ühendused meie deemoniga:

#ipfw –q lisage pass tcp mis tahes minult 5000-le
#ipfw –q lisage läbipääsu tcp mis tahes suvalisest suvalisele läbi tun0

Saate selle lisada ka oma tulemüüri skripti.

Viimistlus

Windowsi kliendist ühenduse loomiseks kasutate GUI-d, kuidas see mugavuse huvides käivitusse lisada, arvan, et saate selle ise välja mõelda.

Võtame selle kokku

Niisiis, olete just loonud ühenduse teie võrku kaitsva ruuteri serveri ja teie serveri vahel koduvõrk. See on suurepärane samm. Olete tõstnud oma halduskunsti teisele tasemele. Veelkord ma ei ole kooner ja õnnitlen teid. Tead, seal on targad inimesed, kes ei soovita sel viisil võrkude vahel ühendusi luua. Lisasime reegli, mis lubab vaid oma serveriga ühenduse luua ja vabalt kahe võrgu vahel liikuda. Kui otsustate OpenVPN-i serveriklientide arvu suurendada, peate turvakaalutlustel täiendavalt konfigureerima tulemüüri. rohkem liideseid ruuteris, seda keerulisem on seda jälgida. Lisaks laiendasite just oma võrkude aadressiruumi. See on täpselt see, mis neile turvakirjaoskajatele ei meeldi. No okei, need on filosoofilised jutud, kui tahad, kasuta neid. Ja lõpuks saadan teid aadressile
http://openvpn.net/, seal on palju dokumentatsiooni, mida ma teie asemel loeksin. Olgu, ma pean minema. Kui midagi, siis aadress on ikka sama:
. Ootan teie tagasisidet ja ettepanekuid.

3. Logige sisse ja laadige alla konfiguratsioonifailide arhiiv.

4. Pakkige lahti arhiiv koos konfiguratsioonifailidega.

5. Käivitage oma töölaualt programmi OpenVPN GUI otsetee.

6. Leidke Windowsi salvest (töölaua alumises vasakpoolses nurgas) OpenVPN GUI programmi ikoon (lukuga monitor). Võimalik, et peate salves kogu rakenduste loendit laiendama.

7. Paremklõpsake OpenVPN GUI ikoonil ja valige "Impordi konfiguratsioon".

8. Importige lahtipakkitud konfiguratsioonifailid ükshaaval. Konfiguratsioonifailid, mis lõpevad numbriga _udp, on UDP protokoll, kiirus on suurem ja ping väiksem.

9. Paremklõpsake OpenVPN GUI salve ikoonil ja valige vajalik server ja klõpsake nuppu Ühenda.