Как сделать конфиг для openvpn единым файлом
howto → Настройка одной из возможных конфигураций Openvpn
Пример настройки рассмотрим на упрошенной схеме на рисунке
Приступим к настройке
Для начала нужно сгенерировать клиентские сертификаты — не буду повторяться как это делается — это уже проскакивало на openlife , от себя могу лишь добавить, что рекомендуется генерировать клиентский и серверный сертификаты с разными корневыми сертификатами(при этом на сервере остается корневой сертификат клиента, а на клиенте корневой сертификат сервера), также имхо удобнее использовать единый файл формата pkcs12 для хранения клиентского сертификата, приватного ключа и корневого сертификата вместе, также дать права на чтение ключей и сертификатов только для рута, а openvpn стартовать с ограниченными правами.
Теперь более подробно рассмотрим конфигурационный файл сервера:
В папке которую мы указали как client-config-dir создаем файлы с именами, соответствующими названиям клиентских сертификатов, примерно следующего содержания
Эти параметры будут передаваться клиенту
Теперь рассмотрим базовый конфигурационный файл клиента:
В принципе, на этом все- мы связали наши филиалы с центральным офисом(при должной настройке и между собой) и получили довольно автономную систему, которая сама восстановится при падении интернета(тут есть маленький нюанс- при довольно долгом отсутствии интернета — порядка нескольких часов — попытки достучаться до удаленного хоста прекращаются, такое поведение я наблюдал на версии 2.0.9 — тогда интернет отвалился на всю ночь)
PS Конструктивная критика и возможные дополнения(исправление ошибок — если таковые были допущены) приветствуються.
Ps2 Спасибо Boleg2 за литературную доработку статьи.
Комментарии ( 9 )
Спасибо! Хорошая статья! А не могли бы написать аналогичный конфиг для клиентов под windows? Или этот полностью подходит?
Пожалуйста, подходит- только пути с пробелами нужно заключать в кавычки и использовтаь 2 слеша вместо одного.
Вы не сталкивались с настройкой openvpn+ldap?
Тоесть нужен vpn сервер, при подключении к которому, клиенту требуется указать логин-пароль. Клиенты как Win так Linux.
размещено: 2007-11-20,
последнее обновление: 2007-11-20,
автор: serge
Kolesya, 2007-11-21 в 11:22:57
ca ca.crt
cert server.crt
key server.key
tls-auth ta.key
рекомендую заменить на полный путь к ключам
например так
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key
jekader, 2012-06-28 в 15:54:18
перевод опций log и log-append неверный. В первом случае, при запуске openvpn, старый лог стирается. Во втором - продолжается запись в него.
Одновременную выдачу в syslog и файл, похоже, openvpn не поддерживает
александр, 2019-01-01 в 15:53:16
приз киньте рабочий
работает только тогда, когда
ip клиента = 1 - 5 - 10 - 14
ip шлюза = 2 - 6 - 11 -15
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]
Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
Прежде чем приступать к настройке VPN вручную, рекомендуем попробовать более простой способ настройки: через интерфейс Webmin. Инструкция.
Если вам необходимо настроить удаленное подключение к рабочим серверам (например, при организации удаленной работы для сотрудников, чтобы обеспечить им доступ к корпоративной сети и внутренним ресурсам из сторонних сетей), вы можете воспользоваться этой инструкцией для настройки VPN-подключения и удаленного доступа.
Существует множество вариантов реализации VPN. Ниже мы рассмотрим настройку на основе OpenVPN.
Для настройки нам понадобится VDS с установленной Ubuntu 16.04.
Обратите внимание, что сервер, на котором будет запущен клиент VPN для пропуска во внутреннюю сеть, должен являться шлюзом сети. Также, файрвол должен быть настроен на пропуск пакетов через VPN.
Установка необходимого ПО
Подключитесь к серверу по SSH и выполните установку OpenVPN и центра сертификации командами:
Настройка центра сертификации
OpenVPN использует TLS/SSL, поэтому вам потребуются сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов необходимо создать свой собственный центр сертификации.
1. С помощью команд ниже скопируйте шаблонную директорию easy-rsa в домашний каталог и перейдите в созданную директорию:
2. Отредактируйте файл vars :
Необходимо отредактировать несколько переменных, которые задают параметры сертификатов. Эти переменные: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL, KEY_OU. Укажите значения для каждой из них, не оставляйте их незаполненными.
Также нужно отредактировать значение переменной KEY_NAME, указав субъекта сертификатов. В примере мы зададим ему имя сервер Server (вы можете указать свое), это же значение будет использоваться далее в командах в инструкции.
Сохраните и закройте файл.
3. Создайте центр сертификации при помощи утилиты easy-rsa и заданных переменных. Выполните команду:
Вывод должен быть следующим:
Выполните предложенную команду, чтобы удостовериться, что вы работаете в "чистой среде":
Создайте корневой центр сертификации:
Запустится процесс создания ключа и сертификата корневого центра сертификации. Все необходимые значения будут введены автоматически, так как вы задали их в файле vars. Нажимайте ENTER для подтверждения выбора.
Настройка центра сертификации закончена.
4. Создайте сертификат и пару ключей, а также дополнительные файлы, используемые для шифрования.
Обратите внимание: далее в командах и примерах мы будем использовать Server - значение, указанное выше для переменной KEY_NAME. Если вы указали другое имя, не забудьте заменить его в приводимых командах. Это будет касаться, в том числе, имени файла конфигурации: в нашем случае это будет /etc/openvpn/server.conf .
4.1. Создайте сертификат OpenVPN и ключи для сервера:
Подтвердите все значения по умолчанию, нажимая Enter. Не задавайте challenge password. При завершении процесса два раза введите y для подписи и подтверждения создания сертификата:
4.2. Создайте оставшиеся файлы. Сгенерируйте надежные ключи протокола Диффи-Хеллмана:
4.3. После завершения процесса сгенерируйте подпись HMAC:
Настройка сервиса OpenVPN
1. Скопируйте созданные файлы (сертификат и ключ центра сертификации, сертификат и ключ сервера, подпись HMAC и файл Diffie-Hellman) в директорию /etc/openvpn :
2. Скопируйте и распакуйте файл c примером конфигурации OpenVPN в конфигурационную директорию. Этот файл послужит основой для последующих настроек.
3. Настройте конфигурационный файл сервера. Откройте файл /etc/openvpn/server.conf :
3.1. Найдите директиву tls-auth. Удалите ";", чтобы раскомментировать строку. Далее добавьте параметр key-direction и установите его значение в 0.
Должно получиться следующее:
3.3. Найдите настройки user и group и удалите ";" для раскомментирования этих строк:
3.4. Для реализации доступа к сети, которая находится за клиентом (внутренняя сеть) необходимо прописать следующие строки, где ip 192.168.33.0 следует заменить на ip необходимой внутренней сети:
3.5. Проверьте настройки cert и key, чтобы они указывали на правильные файлы .crt и .key, которые вы скопировали ранее в /etc/openvpn :
Сохраните и закройте файл.
4. Для реализации доступа к внутренней сети, которая находится за клиентом, выполните следующее.
4.1. Создайте директорию /etc/openvpn/ccd :
4.2. Создайте новый файл, название которого должно совпадать с названием конфига клиента, который будет запущен на соответствующем сервере:
4.3. Добавьте в него необходимые ip c масками для пропуска клиентов во внутренние сети:
4.4. Сохраните и закройте файл.
4.5. Задайте необходимые права для файла:
Настройка сетевой конфигурации сервера
1. Разрешите серверу перенаправлять трафик:
2. Примените настройки к текущей сессии:
3. Отключите правила файрвола. При необходимости вы сможете настроить правила самостоятельно, используя материал в Сети.
Включение сервиса OpenVPN
Запустите сервер OpenVPN, указав имя файла конфигурации в качестве переменной. В нашем случае файл конфигурации называется /etc/openvpn/server.conf , поэтому мы используем @server . Укажите здесь корректное для вас значение.
Проверить статус можно командой:
Вы также можете проверить доступность интерфейса OpenVPN tun0 командой:
Если всё в порядке, добавьте сервис в автозагрузку:
Создание конфигураций клиентов
Создание базовой конфигурации
1. В домашней директории создайте каталог для хранения файлов:
2. Скопируйте файл с примером конфигурации в этот каталог:
3. Откройте этот файл в текстовом редакторе и внесите изменения:
3.1. Найдите директиву remote , которая сообщает клиенту адрес сервера OpenVPN. Укажите здесь IP-адрес вашего VDS-сервера:
3.2. Раскомментируйте директивы user и group, удаляя “;”:
3.4. Добавьте настройки cipher и auth с такими же значениями, как в файле /etc/openvpn/server.conf , а также директиву key-direction со значением 1.
3.5. Добавьте следующие закомментированные строки, которые будут необходимы для клиентов на Linux, использующих файл /etc/openvpn/update-resolv-conf. Для таких клиентов потребуется раскомментировать эти строки в сгенерированном клиентском файле конфигурации OpenVPN.
Сохраните и закройте файл.
Скрипт для генерации конфигов
Далее необходимо создать скрипт, который будет генерировать файлы конфигурации с сертификатами, ключами и файлами шифрования и размещать их в директории ~/client-configs/files .
1. Создайте и откройте файл make_config.sh внутри директории ~/client-configs :
2. Вставьте в него следующий блок директив:
3. Сохраните и закройте файл.
4. Сделайте его исполняемым:
Создание конфигураций
Ниже мы рассмотрим создание сертификата для сервера, имеющего доступ во внутреннюю сеть. Аналогичным образом вы сможете создать сертификаты для любого количества клиентов, каждый раз передавая скрипту уникальное значение.
Для создания первого сертификата и ключа мы будем использовать параметр cserver1.
Для создания файлов без пароля (это облегчит автоматические соединения), используйте команду build-key:
В процессе создания файлов нажимайте Enter для подтверждения (все необходимые значения уже введены). Не задавайте challenge password. При завершении процесса дважды укажите y в ответ на запросы о подписи и подтверждении создания сертификата.
Сгенерируйте конфигурацию для этих файлов. Для этого перейдите в директорию ~/client-configs и воспользуйтесь созданным скриптом:
Если всё прошло успешно, в директории ~/client-configs/files будет создан файл cserver1.ovpn :
Настройка клиентов
Инструкции по настройке клиентов для OpenVPN для разных устройств и систем вы можете найти в сети. В большинстве случаев достаточно установить клиент и импортировать файл конфигурации.
Для примера, ниже рассмотрим настройку клиентов на компьютере с системами Windows и MacOS.
Windows
- Загрузите клиент с сайта OpenVPN: https://openvpn.net/community-downloads/ и установите его на компьютер.
- После установки скопируйте полученный файл конфигурации в папку C:\Program Files\OpenVPN\config .
- Запустите OpenVPN. Это необходимо сделать от имени администратора: кликните на значке правой кнопкой и выберите "Запуск от имени администратора". Чтобы OpenVPN всегда по умолчанию запускался от имени администратора, кликните на его значке правой кнопкой и выберите Свойства. На вкладке "Совместимость" отметьте пункт "Выполнять эту программу от имени администратора" и сохраните.
- В появившемся при запуске окне с предупреждением (разрешить программе внести изменения) нажмите "Да."
- Кликните правой кнопкой мыши на значке OpenVPN в трее, выберите загруженный профиль и нажмите Connect / Подключиться.
Откроется окно с логом соединения, и, как только соединение будет установлено, появится соответствующее уведомление.
Для отключения снова кликните на значок OpenVPN в трее, выберите нужный профиль и нажмите Disconnect / Отключиться.
MacOS
- Для MacOS можно использовать бесплатный клиент Tunnelblick.
- Загрузите клиент с сайта Tunnelblick: https://tunnelblick.net/downloads.html
- Дважды кликните на загруженном файле и пройдите процесс установки.
- При завершении установки выберите "Нет" в ответ на вопрос о наличии конфигурационных файлов.
- После завершения установке откройте Finder и кликните дважды на вашем конфигурационном файле. Tunnelblick автоматически установит профиль.
Для установки соединения запустите Tunnelblick, после чего кликните на его иконку в верхней части экрана и нажмите Connect. Далее выберите установленный профиль.
Настройка OpenVPN. Подключение к бесплатным серверам VPN Gate
- Настройка OpenVPN для Windows
- Настройка OpenVPN для MacOS
- Дополнительно: Настройка OpenVPN для Andro >
Настройка OpenVPN для Windows
Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate, используя клиент OpenVPN в системах Windows XP, 7, 8, 10, Server 2003, 2008, 2012.
1. Установите клиентское приложение OpenVPN для вашей операционной системы. Запустите установочный файл. Откроется мастер установки. Следуйте подсказкам на экране, чтобы выполнить установку приложения.
2. Скачайте и загрузите файл конфигурации подключения OpenVPN (файл. ovpn). Данная процедура требуется только при первичной настройке подключения.
Файл конфигурации формата *.ovpn понадобиться для подключения к серверу ретрансляции VPN Gate через протокол OpenVPN.
После сохранения файла на компьютере, он будет отображаться как иконка OpenVPN. Тем не менее, вы не сможете установить подключение, просто дважды кликнув по файлу.
Нужно переместить файл *.ovpn в папку “config” основной директории установки OpenVPN.
Откройте папку C:Program FilesOpenVPNconfig и скопируйте файл *.ovpn в нее.
3. Подключение к VPN
Кликните правой кнопкой мыши по иконке “OpenVPN GUI” на рабочем столе и выберите опция “Запустить от имени администратора”. В противном случае, установить VPN подключение не удастся.
Иконка OpenVPN GUI появится в области уведомления панели задач (системном трее). В некоторых случаях иконка может быть скрытой, нажмите по значку стрелки, чтобы показать все скрытые иконки.
Щелкните правой кнопкой мыши по иконке OpenVPN GUI и нажмите “Подключить”.
Запуститься VPN подключение. Статус подключения будет отображаться на экране. Если вы увидите диалоговое окно запроса имени пользователя и пароля. Введите “vpn” в оба поля. Данное окно появляется очень редко.
4. Интернет без ограничений
Когда подключение VPN установлено, в системе Windows создается виртуальный сетевой адаптер TAP-Windows Adapter V9. Этот адаптер получит IP-адрес, который начинается с “10.211”. Виртуальный адаптер получит адрес шлюза по умолчанию.
Вы сможете проверить конфигурацию сети, запустив команду ipconfig /all в командной строке Windows.
Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Убедиться в этом вы сможете с помощью команды tracert 8.8.8.8 в командной строке Windows.
Как показано на скриншоте выше, если пакеты проходят через “10.211.254.254”, значит ваше подключение ретранслируется через один из серверов VPN Gate. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес.
Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.
Настройка OpenVPN для MacOS
Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate, используя приложение Tunnelblick. Tunnelblick является версий клиента OpenVPN с графической оболочкой. для систем MacOS.
1. Установите приложение Tunnelblick
Скачайте и установите последнюю версию приложения Tunnelblick. Во время установки на экране будут показываться инструкции.
После завершения установки появится следующий экран. Выберите опцию “У меня есть файлы конфигурации”.
На экране будет показана инструкция по добавлению конфигурации в Tunnelblick.
Нажмите ОК, чтобы закрыть окно.
2. Скачайте и загрузите файл конфигурации подключения OpenVPN (файл .ovpn). Данная процедура требуется только при первичной настройке подключения.
Файл конфигурации формата *.ovpn понадобиться для подключения к серверу ретрансляции VPN Gate через протокол OpenVPN.
Во время добавления нужно будет ввести имя пользователя и пароль от учетной записи MacOS.
3. Подключение к VPN
Нажмите по иконке Tunnelblick на верхней панели инструментов MacOS и выберите опцию “Соединить [название конфигурации]”. Будет запущено подключение к VPN.
Появится статус подключения к VPN, как показано на скриншоте. После успешной установки подключения, в основном окне Tunnelblick будет показываться состояние “Соединен”.
4. Интернет без ограничений
Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.
При подключении к VPN вы сможете посещать заблокированные веб-сайты и играть в заблокированные игры.
OpenVPN: создание сервера на Windows
Openvpn — виртуальная частная сеть. С ее помощью мы можем:
- Создать защищенный канал свзяи, в то время, когда мы сидим с бесплатного Wi-Fi в кафе.
- Обмениваться файлами между участниками сети.
- Раздавать интернет испульзуя общий шлюз.
- Простота настройки.
- Безопасность.
- Не требует дополнительного оборудования.
- Высокая скорость и стабильность.
Как и автор статьи об установке OpenVPN на Linux, я не нашел нормальной статьи, да еще и такой, чтоб описывалось все до мелочей. В этой статье на Хабрахабре я постараюсь максимально доступно все объяснить. Итак, поехали!
Скачиваем дистрибутив.
На момент написания статьи доступная версия 2.3.2. Качаем отсюда Windows installer 32-х или 64-х битную версию под разрядность вашей операционной системы.
Установка.
При установке обязательно отметьте все пункты птичками, на предложение установить драйвер отвечаем утвердительно. В системе появится новый виртуальный сетевой адаптер.
Создание сертификатов и ключей.
Там где написано server не трогаем. Сохранили.
Теперь открываем openssl-1.0.0.cnf и ищем строчку default_days 365, ставим 3650. Это продлит жизнь наших сертификатов на 10 лет. Сохраняем. Далее открываем командную строку в пуск-стандартные-командная строка (на Windows Vista/7/8 от имени администратора), пишем последовательно:
cd C:OpenVPNeasy-rsa
vars
clean-all
Создаем конфиги.
Дорабатываем конфиг или каждому свое.
—–BEGIN CERTIFICATE—–
сертификат
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
сертификат
—–END CERTIFICATE—–
—–BEGIN PRIVATE KEY—–
ключ
—–END PRIVATE KEY—–
Настройка OpenVPN сервера на Windows
Вам нужно объединить 2 и более сети разных подразделений (офисов) компании? Или есть необходимость обеспечения возможности подключения сотрудников к локальной офисной сети через интернет, находясь дома или в командировке? В этом поможет технология OpenVPN.
Шаг первый: скачивание и установка специальной программы
Для начала выясните разрядность операционной системы Виндоус, установленной на ПЭВМ, который будет использоваться в качестве сервера. Затем скачайте соответствующий дистрибутив с официального сайта разработчика. Также скачайте и установите на компьютер программу Notepad ++. Она понадобится в процессе настройки сервера.
Запустите процесс установки.
В появившемся окне нажмите Next. В следующем окне нужно проставить галочки напротив всех пунктов и нажать Next
Программа перенаправит вас в окно выбора места установки. По умолчанию OpenVPN ставится в папку C:Program FilesOpenVPN. Мы рекомендуем сократить его до C:OpenVPN, что позволит в дальнейшем несколько упростить процесс настройки (попросту меньше печатать в командной строке).
Нажимаем Install и ждем завершения инсталляции. Если в процессе появится предложение об установке нового сетевого адаптера, нужно согласиться на него. Это — сетевой адаптер NAT, через который будет вестись работа с OpenVPN сервером.
Завершаем процесс установки и переходим к настройке сервера.
Шаг второй: настройка OpenVPN сервера на Windows
Перейдите в директорию, которую мы указали в качестве места для установки программы (в нашем случае C:OpenVPN) и создайте в ней папку с названием SSL, которая необходима для хранения ключей и сертификатов, выдаваемых сервером.
После этого перейдите в папку C:OpenVPNeasy-rsa. Здесь есть файл vars.bat с расширением sample, который нужно переименовать в vars.bat (т.е. без расширения sample).
Откройте vars.bat через Notepad ++. В него нужно скопировать текст следующего содержания (комментарии, выделенные красным, не копируйте):
Шаг третий: работа с командной строкой
Запустите командную строку и в появившемся окне введите следующую последовательно следующие команды (после каждой нажимаем Ввод):
Это говорит о том, что все делается правильно.
Далее выполняем последовательно следующие команды:
- build-dh (по ней происходит создание ключа Диффи-Хельмана).
- build-ca (команда используется для создания основного сертификата).
Далее система будет задавать вопросы (страна, провинция, город и пр.). Ничего не вводите, просто жмите Enter ДО МОМЕНТА, пока появится строка с указанием пути в созданную нами ранее папку установки программы.
В ней наберите build-key-server server и нажиме Enter. Опять система начнет задавать вопросы. Также ВНИМАТЕЛЬНО ЖМЕМ Ввод до момента появления вопроса.
На него отвечаем Y. Далее появится вопрос.
На него также нужно ответить Y.
После этого необходимо создать клиентский сертификат. Делается это тут же, в командной строке. Введите следующую команду:
И далее – опять при повелении вопросов жмем Enter ДО МОМЕНТА ПОЯВЛЕНИЯ
Здесь напишите client и нажимайте Ввод до появления вопросов
На него отвечаем Y.
На него — тоже Y.
Таким же образом (при помощи команды build-key client) создайте сертификат для каждого из клиентов сети. При этом в поле
вводите разные имена (например, client 1, 2 и так далее).
Заем перейдите в папку C:OpenVPNeasy-rsakeys и скопируйте 4 файла отмеченных на рисунке красным. Их нужно разместить в директорию с именем config в папке, куда остановлена программа.
Шаг четвертый: создание файлов конфигурации
Для этого в папке Config создайте с помощью Notepad++ текстовый файл, который нужно будет сохранить как server.ovpn (это – конфиг нашего сервера). В него добавьте текст:
Все готово. Теперь можно пользоваться сервером. Для его запуска используйте соответствующий ярлык на рабочем столе. Для обеспечения доступа к серверу нужно создать клиентские файлы конфигурации, скопировать его вместе с ca.crt, client.crt и client.key, которые мы ранее скопировали в папки, на компьютерах, которые будут подключаться к серверу, и установить для них клиент.
CadSupport
Все о BIM, CAD, ERP
OpenVPN настройка
Столкнулся с необходимостью поднять OpenVPN. Случай мой оказался не стандартным. Cервер должен быть на Windows, клиентами же выступают пром. gsm-модемы. с линуксом на борту. Задача не простая, тут собран мой опыт по настройке OpenVPN, и варианты граблей с которыми мне пришлось в этом процессе столкнуться. Начну пожалуй с ресурсов которые мне в этом помогли:
Примеры настройки OpenVPN
Основные ресурсы с примерами настройки openVPN сервера и клиентов:
теперь ряд русскоязычных ресурсов:
— Далее во избежание проблем с созданием сертификата клиента очищаем index.txt папке ssl
Для себя, опытным путем, я выбрал роутер Asus RT-N10U, и настроил его под свой конфиг. Главное преимущество — возможность перепрошить его прямо в окне браузера. А дальше читайте в статье.
Конфиг OpenVPN Сервера, на Windows 7:
Ну и собственно мой конфиг. Он прямо скажем не идеален, но вполне годен.
Настройка Клиента IRZ RUH2:
В нашем случае это GSM router IRZ RUH2, здесь я не даю подробной инструкции, просто конфиг, который у меня отлично работает. Ключи на модем я добавлял через upload в администрировании.
Некоторые ошибки при настройке OpenVPN
Authenticate/Decrypt packet error: packet HMAC authentication failed
В моем случае эта ошибка разрешилась с помощью изменения Hash Algorithm на SHA1 у клиента, т.е. приведение к тому же значению что и на сервере.
Authenticate/Decrypt packet error: cipher final failed
— ошибка алгоритма шифрования. вероятно в настройках клиента и сервера указаны разные варианты cipher. Как вариант можно не указывать его вообще, тогда будет взят вариант по умолчанию (bf-cbc)
Не возможно подключиться к интерфейсу, если служба уже запущена
Идем в службы и выключаем её
При запуске сервера OpenVPN ошибкa: не возможно добавить маршрут в таблицу маршрутизации
Решение: Не хватает прав доступа, необходимо запустить сервер от имени администратора.
Клиент находит сервер, подключается, но не пингуется, или не может подключиться.
— Необходимо на сервере внести в правила фаервола исключение для нашего сервиса.
Клиент находит сервер, но не пингуется.
— Необходимо настроить маршрутизацию т.е. запустить запросы в нашу vpn сеть через наш tap интерфейс. В нашем случае мы можем запустить консоль Windows от имени админиcтратора и там вручную добавить маршрут к примеру:
route -p add 10.8.0.0 mask 255.255.255.0 10.8.0.1
-p — добавляем маршрут на постоянной основе, без этого аргумента при перезагрузки маршрут исчезнет.
10.8.0.0 mask 255.255.255.0 — задаем диапазон адресов для которых будет действовать маршрут, все пакеты идущие на адреса с 10.8.0.1 до 10.8.0.255.
10.8.0.1 — шлюз, gateway, на который будем слать пакеты. В нашем случае это сервер VPN соединения.
вылечилось добавлением openVPN в исключения фаервола.
Соответственно, для Windows систем, от XP до 7ки это можно сделать, выполнив в консоли следующую команду от имени администратора:
Читайте также: