Первая команда произведет полную очистку рабочей директории с ключами и служебными файлами и ее случайное выполнение на работающем CA приведет к его уничтожению. Вторая команда создаст комплект из открытого и закрытого ключей центра сертификации. где server имя ключа и сертификата сервера, мы рекомендуем давать осмысленные названия, например, по имени узла, чтобы потом не пришлось гадать, для какого именно сервера или клиента предназначен тот или иной сертификат или ключ. Данная опция устанавливает интервал проверки узла 10 сек и время после которого, при отсутствии ответа, клиент считается неактивным.

Openvpn Маршрутизация в Локальную Сеть

Виртуальная частная сеть (VPN) предоставляет возможность контакта для двух локальных сетей через интернет, используя туннель. Туннель обычно зашифрован для конфиденциальности. VPN сети часто используются для интеграции удалённой машины в локальную сеть компании.

Для использования SSL/TLS криптографии и смежных возможностей (конфиденциальность, аутентификация, целостность, неапеллируемость) OpenVPN полагается на OpenSSL. Конфигурация осуществляется с помощью общего секретного ключа или используя сертификаты X.509, основанные на инфраструктуре публичного ключа.

10.3.1.1. Настройка сервера OpenVPN

10.3.1.2. Настройка клиента OpenVPN

Подключение openvpn

OpenVPN 2.5.1 на Windows Server | Лаборатория сисадмина | Дзен
Данные опции задают режим — клиент, тип туннеля и протокол, последние должны совпадать с указанными на сервере.
Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета
Мнение эксперта
Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета
Все сложные вопросы мы с вами решим вместе.
Задать вопрос эксперту
Обратите внимание, что сервер, на котором будет запущен клиент VPN для пропуска во внутреннюю сеть, должен являться шлюзом сети. Если вам нужна бесплатная консультация, пишите мне!

Установка и настройка OpenVPN в client-server режиме

3.4. PPTP

10.3.4.1. Настройка Клиента

Пакет pptp-linux содержит быстронастраиваемого клиента PPTP для Linux. Описываемые далее шаги по настройке клиента были позаимствованы из официальной документации:

Администраторы Falcot создали несколько файлов: /etc/ppp/options.pptp , /etc/ppp/peers/falcot , /etc/ppp/ip-up.d/falcot , и /etc/ppp/ip-down.d/falcot .

10.3.4.2. Настройка сервера

Промежуточные звенья брандмауэра должны быть настроены так, чтобы пропускались IP пакеты, использующие протокол 47 (GRE). Кроме того, порт 1723 на сервере PPTP должен быть открытым, чтобы соединение в принципе стало возможным.

Сервером PPTP для Linux является программа pptpd . Её главный файл настройки /etc/pptpd.conf нуждается совсем в небольших изменениях: localip (локальный IP адрес) и remoteip (удалённый IP адрес). В нижеприведённом примере, сервер PPTP всегда использует адрес 192.168.0.199 , а клиент PPTP получает адрес динамически из диапазона адресов от 192.168.0.200 до 192.168.0.250 .

Используемое PPP соединение для работы с сервером PPTP также нуждается в небольших изменениях для настройки в файле /etc/ppp/pptpd-options . Важными параметрами являются: имя сервера ( pptp ), доменное имя ( falcot.com ), и IP адрес для DNS и WINS серверов.

Openvpn Маршрутизация в Локальную Сеть • 41 настройка клиента

Несмотря на его статус, как рекомендованный, сложность настройки при запуске IPsec ограничивает его использование на практике. В случае, если требуется не слишком много туннелей и они не будут слишком динамичными, то более предпочтительным является решение, базирующееся на OpenVPN. Однако, VPN поддерживает такие соединения не очень эффективно; в частности, не достигается высокий уровень скорости прохождения трафика, как бы хотелось. OpenVPN позволяет создавать безопасные соединения между компьютерами, которые находятся за пределами фаервола, при этом не требуется изменять настройки фаервола.

Установка необходимого ПО

Подключитесь к серверу по SSH и выполните установку OpenVPN и центра сертификации командами:

OpenVPN использует TLS/SSL, поэтому вам потребуются сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов необходимо создать свой собственный центр сертификации.

1. С помощью команд ниже скопируйте шаблонную директорию easy-rsa в домашний каталог и перейдите в созданную директорию:

Также нужно отредактировать значение переменной KEY_NAME, указав субъекта сертификатов. В примере мы зададим ему имя сервер Server (вы можете указать свое), это же значение будет использоваться далее в командах в инструкции.

Openvpn Маршрутизация в Локальную Сеть • 41 настройка клиента

3. Создайте центр сертификации при помощи утилиты easy-rsa и заданных переменных. Выполните команду:

Выполните предложенную команду, чтобы удостовериться, что вы работаете в «чистой» среде:

Запустится процесс создания ключа и сертификата корневого центра сертификации. Все необходимые значения будут введены автоматически, так как вы задали их в файле vars. Нажимайте ENTER для подтверждения выбора.

4. Создайте сертификат и пару ключей, а также дополнительные файлы, используемые для шифрования.

Обратите внимание: далее в командах и примерах мы будем использовать Server — значение, указанное выше для переменной KEY_NAME. Если вы указали другое имя, не забудьте заменить его в приводимых командах. Это будет касаться, в том числе, имени файла конфигурации: в нашем случае это будет /etc/openvpn/server.conf .

4.1. Создайте сертификат OpenVPN и ключи для сервера:

Подтвердите все значения по умолчанию, нажимая Enter. Не задавайте challenge password. При завершении процесса два раза введите y для подписи и подтверждения создания сертификата:

4.2. Создайте оставшиеся файлы. Сгенерируйте надежные ключи протокола Диффи-Хеллмана:

4.3. После завершения процесса сгенерируйте подпись HMAC:

10.3. Виртуальная частная сеть
Создайте ключ для аутентификации пакетов, для этого выполните команду openvpn —genkey —secret keys/ta.key. В результате в папке easy-rsa\keys появится файл ta.key
Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета
Мнение эксперта
Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета
Все сложные вопросы мы с вами решим вместе.
Задать вопрос эксперту
Так же не забываем поставить права на папку с ключами и сменить владельца, так как у нас сервер запускается от имени nobody nogroup. Если вам нужна бесплатная консультация, пишите мне!

Openvpn маршрутизация между сетями • Вэб-шпаргалка для интернет предпринимателей!

  1. Для MacOS можно использовать бесплатный клиент Tunnelblick.
  2. Загрузите клиент с сайта Tunnelblick: https://tunnelblick.net/downloads.html
  3. Дважды кликните на загруженном файле и пройдите процесс установки.
  4. При завершении установки выберите «Нет» в ответ на вопрос о наличии конфигурационных файлов.
  5. После завершения установке откройте Finder и кликните дважды на вашем конфигурационном файле. Tunnelblick автоматически установит профиль.

Настройка сервиса OpenVPN

1. Скопируйте созданные файлы (сертификат и ключ центра сертификации, сертификат и ключ сервера, подпись HMAC и файл Diffie-Hellman) в директорию /etc/openvpn :

2. Скопируйте и распакуйте файл c примером конфигурации OpenVPN в конфигурационную директорию. Этот файл послужит основой для последующих настроек.

3. Настройте конфигурационный файл сервера. Откройте файл /etc/openvpn/server.conf :

3.1. Найдите директиву tls-auth. Удалите «;», чтобы раскомментировать строку. Далее добавьте параметр key-direction и установите его значение в 0.

Openvpn Маршрутизация в Локальную Сеть • 41 настройка клиента

3.2. Найдите секцию шифрования с закомментированными строками cipher. Удалите «;» для раскомментирования строки со значением AES-128-CBC, под этой строкой добавьте строку auth и укажите алгоритм HMAC, например, SHA256:

3.3. Найдите настройки user и group и удалите «;» для раскомментирования этих строк:

3.4. Для реализации доступа к сети, которая находится за клиентом (внутренняя сеть) необходимо прописать следующие строки, где ip 192.168.33.0 следует заменить на ip необходимой внутренней сети:

3.5. Проверьте настройки cert и key, чтобы они указывали на правильные файлы .crt и .key, которые вы скопировали ранее в /etc/openvpn :

4. Для реализации доступа к внутренней сети, которая находится за клиентом, выполните следующее.

4.2. Создайте новый файл, название которого должно совпадать с названием конфига клиента, который будет запущен на соответствующем сервере:

4.3. Добавьте в него необходимые ip c масками для пропуска клиентов во внутренние сети:

Оцените, пожалуйста, публикацию:
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *