Настройка OpenVPN

Исходная система:

1. Установить пакеты
————————————————-

Дополнительно рекомендую установить

2. Настроить Easy-RSA
————————————————-

2.1 Указать требуемые параметры
————————————————-
root# nano vars

export KEY_COUNTRY=»RU»
export KEY_PROVINCE=»SMR»
export KEY_CITY=»Samara»
export KEY_ORG=»SPECNIX»
export KEY_EMAIL=»admin@specnix.ru»
export KEY_OU=»OIT»

2.2 Загрузить vars в переменную среду
————————————————-

Посмотреть что получилось можно командой: printenv
Вроде как надо все почистить, хотя ничего и так нет:
root# ./clean-al

3. Создать CA с паролём.
————————————————-

Дальше будет запрос пароля для нашего CA, придумать, запомнить, указать

3.1 Создать запрос сертификата для сервера
————————————————-
(cd /usr/share/easy-rsa)

3.2 Подписать, надо будет указать пароль, которые задавали при формировании CA в п.3.1
————————————————-
(cd /usr/share/easy-rsa)

3.3 Сформировать ключ Deffie-Hellman
————————————————-

4. Сертификаты для клиентов
Можно сделать один сертификат на всех, а можно сделать для каждого индивидуальный, что позволит, например, в случае утери мобильного устройства (ноутбук, планшет, телефон) отозвать сертификат и прекратить доступ к нашему VPN.

(cd /usr/share/easy-rsa)

4.2 Подписать сертификат клиента
————————————————-
(cd /usr/share/easy-rsa)

5. Выгрузить с сервера из каталога:
————————————————-
/usr/share/easy-rsa/keys
следующие файлы
ca.crt
client.crt
client.key

5.1 Создать каталог для копирования файлов
————————————————-

5.2 Подключиться к серверу через WinSCP и загрузить файлы из каталога keys-share на свой ПК
————————————————-

6. Настроить сервер OpenVPN
6.1 Сгенерировать ta.key и переместить в каталог keys-share для загрузки на ПК
————————————————-

6.2 Скопировать дефолтный конфиг
————————————————-

6.3 Привести конфигурацию к виду
————————————————-

7. Настроить авторизацию в домене, если указан плагин в п. 6.3
————————————————-

где:
BindDN — учётная запись которой OpenVPN авторизуется в домене, в моем случае это учётная запись opvpn-dd-srv;
Password — для BindDN
BaseDN — домен
SearchFilter — группа в AD куда добавляются пользователи для которым разрешён доступ к OpenVPN

8. Разрешаем серверу работать как роутер, что бы сеть за пределами VPN была доступна
————————————————-

Что бы после перезагрузки сервер продолжил работать как роутер отредактировать файл /etc/sysctl.config, расcкоментировать параметр:
net.ipv4.ip_forward = 1

9. Настроить клиент
————————————————-
Установить клиент
openvpn-install-2.4.8-I602-Win10.exe
Подложить файлы
ca.crt
client.crt
client.key
ta.key
client.ovpn — предварительно настроить
в каталог c:\Program Files\OpenVPN\config\
подложить преднастроенный файл конфигурации
client.ovpn

75 views


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *