OpenVPN установка и настройка в режиме маршрутизации

OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.
http://ru.wikipedia.org/wiki/OpenVPN

Задача: Организовать между сервером и клиентом защищенный туннель для возможности безопасного выхода в интернет клиента с любых открытых и потенциально не безопасных точек доступа в интернет. На пример из различных кафе с открытым wifi.

Настраиваем сервер

Для установки и настройки сервера достаточно скопировать в консоль строчку:

sudo wget -P/tmp http://kubuntu.ru/files/ovpn_install.sh; sudo chmod +x /tmp/ovpn_install.sh; sudo /tmp/ovpn_install.sh

команда скачает скрипт установки ovpn_install.sh, даст ему права на запуск и запустит на выполнение.

В завершении установки потребуется ответить на несколько простых вопросов для генерации сертификата и ключа для клиента, либо можно просто нажать несколько раз enter и дважды утвердительно ответить, нажав y в ответ на вопросы в конце генерации ключей.

После установки вы получите настроенный сервер OpenVPN работающий в режиме маршрутизации и принимающей соединения на 777 порту.

ovpn_install.sh

#!/bin/bash
# Срипт нужно запускать из под root!

# Устанавливаем OpenVPN и IPtables
apt-get update && apt-get -y install openvpn iptables;

# Копируем папку easy-rsa в более удобное место /etc/openvpn
mkdir /etc/openvpn/easy-rsa;
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/;
cd /etc/openvpn/easy-rsa;

# Даем файлу настроек openssl правильное имя
cp openssl-1.0.0.cnf openssl.cnf

# Инициализируем переменные
. ./vars

# Очищаем от старых сертификатов и ключей папку keys
./clean-all

# Создаем ключи и сертификаты для сервера. При желании можно изменить параметры
# генерации сертификатов и ключей отредактировав файл vars
./pkitool --initca # Создаем Certificate Authority для сервера
./pkitool --server server # Создаем сертификат X.509 для сервера
./build-dh # Создаем ключ Диффи Хельман

# Копируем ключи и сертификаты сервера в /etc/openvpn
cp ./keys/ca.crt /etc/openvpn
cp ./keys/server.crt /etc/openvpn 
cp ./keys/server.key /etc/openvpn
cp ./keys/dh1024.pem /etc/openvpn 
 
# Скачиваем конфигурационный файл сервера ovpn_server.conf
wget -P/etc/openvpn/ http://kubuntu.ru/files/ovpn_server.conf;

# Запускаем OpenVPN
service openvpn start

# Генерируем ключи для клиента
source ./vars;
./build-key client1

exit;

ovpn_server.conf

# Работа OpenVPN в режиме демона
daemon

# Определяет локальный ip или имя хоста, на котором будет работать OpenVPN.
# Актуально, если на локальной машине несколько адресов.
; local 111.111.111.111

# Указываем, на каком порту принимать соединения. По умолчанию это 1194
# Лучше использовать нестандартный порт. 
port 777

# Указываем протокол (tcp или udp) tcp надёжней по стабильности соединения, а udp быстрей
proto tcp

# Указываем, что именно будем инкапсулировать в туннеле 
# (ethernet фреймы - tap или ip пакеты - tun)
dev tun

# Автоматически присваивает адреса всем клиентам (DHCP) в указанном диапазоне с маской сети. 
# Подключившиеся клиенты получат адреса в диапазоне между 10.8.0.1 и 10.8.0.254.
server 10.8.0.0 255.255.255.0

# В какой файл будем записывать выданные для VPN адреса
ifconfig-pool-persist ipp.txt

# Пинговать противоположную сторону туннеля каждые 10 сек, 
# если не отвечает в течении 120 сек считать туннель упавшим и запускать пересоединение.
keepalive 10 120

# Разрешает обмен трафиком между клиентами
client-to-client

# Оставляет без изменения устройства tun/tap при перезапуске OpenVPN
persist-tun

# Указывает не перечитавать файлы ключей при перезапуске туннеля
persist-key

# Влючаем сжатие трафика
comp-lzo

#Устанавливает максимальный размер MTU. По умолчанию tun-mtu равен 1500.
;tun-mtu 1460

# Дописывать сообщения в лог-файл, а не перезаписывать лог файл
log-append /var/log/openvpn.log

# Уровень подробности логов (от 0 до 11). По умолчанию 1
;verb 3

# Включаем маршрутизацию

# Разрешаем запуск внешних скриптов. Необходимо для установки правил iptables
script-security 2 system

# Будет выполняться при запуске.
# Включаем форвардинг и маскарадинг для возможности выхода в интернет клиентов
up "echo 1 > /proc/sys/net/ipv4/conf/all/forwarding && iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE #"

# При наличии постоянного внешнего IP адреса лучше использовать следующее правило заменив 111.111.111.111 на ваш внешний IP
;up "echo 1 > /proc/sys/net/ipv4/conf/all/forwarding && iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 111.111.111.111  #"

# Будет выполняться при остановке.
# Удаляем правило маскарадинг
down "iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -j MASQUERADE #"
;down "iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 111.111.111.111 #"

# Пути к файлам и сертификатам
ca ca.crt  # Cертификат СА (центра сертификации)
cert server.crt # Cертификат сервера, подписанный СА
key server.key # Ключ шифрования сервера
dh dh1024.pem # Файл с Diffie-Hellman-параметрами

# Передаем клиенту конфигурационные параметры

# Указываем клиенту DNS сервера
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

# Влючаем сжатие трафика у клиентов
push "comp-lzo"

# Делаем у клиентов VPN тунель шлюзом по умолчанию
push "redirect-gateway"

Проверить правильность установки можно посмотрев активные сетевые устройства командой ifconfig
В случае успешной установки в списке сетевых карточек должно появиться новое устройство tun0 с ip 10.8.0.1

Расположение конфигурационных файлов и сертификатов сервера

/etc/openvpn/ovpn_server.conf   # Файл конфигурации сервера
/etc/openvpn/ca.crt  # Cертификат СА (центра сертификации)
/etc/openvpn/server.crt # Cертификат сервера, подписанный СА
/etc/openvpn/server.key # Ключ шифрования сервера
/etc/openvpn/dh1024.pem # Файл с Diffie-Hellman-параметрами

Примечание: при загрузке системы автоматически поднимаются все VPN соединения, для которых в папке /etc/openvpn есть соответствующие файлы с расширением .conf.

Настраиваем клиента

Устанавливаем OpenVPN

sudo apt-get install -y openvpn

Переносим с сервера любыми доступными средствами ключ и сертификат клиента который мы сгенерировали при установке сервера.

Нам нужны следующие файлы:
/etc/openvpn/ca.crt # Cертификат СА (центра сертификации) /etc/openvpn/easy-rsa/keys/client1.crt # Сертификат клиента, подписанный CA /etc/openvpn/easy-rsa/keys/client1.key # Ключ шифрования клиента

Копируем их в папку /etc/openvpn на компьютере-клиенте

Скачиваем и редактируем файл конфигурации клиента ovpn_client.conf

sudo wget -P/etc/openvpn http://kubuntu.ru/files/ovpn_client.conf; sudo nano /etc/openvpn/ovpn_client.conf

ovpn_client.conf

client

# Указываем IP адес нашего сервера и порт к которому будем подключаться
remote 111.111.111.111 777

dev tun
proto tcp

persist-key
persist-tun

# Включаем сжатие траффика
comp-lzo

# Сертификаты и ключи клиента
ca ca.crt
cert client1.crt
key client1.key

# Изменяем DNS записи на указанные сервером
script-security 2 system
up /etc/openvpn/update-resolv-conf 
down /etc/openvpn/update-resolv-conf 

# Лог файл
;log /var/log/openvpn.log

# Подробность лог файла (0-11) по умолчанию 1
;verb 4

Запуск openvpn:
sudo service openvpn start

Остановка openvpn:
sudo service openvpn stop

Настраиваем подключение к серверу через Network-Manager

Для этого устанавливаем пакет network-manager-openvpn
sudo apt-get install network-manager-openvpn
и добавляем новое соединение OpenVPN указав адрес нашего сервера и расположение ключей и сертификатов

Для генерации дополнительных ключей и сертификатов для других клиентов, на сервере выполняем:

cd /etc/openvpn/easy-rsa/ sudo source ./vars sudo ./build-key client2

Примечание: для каждого клиента должно быть указано своё уникальное имя (в данном случае client2).

Ресурсы по теме:

Вложение	Размер
ovpn_install.sh	1.66 кб
ovpn_server.conf	4.22 кб
ovpn_client.conf	672 байта