OpenVPN Access Server - повнофункціональний SSL VPN програмне рішення, яке включає в себе безпосередньо OpenVPN сервер, адміністративний веб інтерфейс і клієнтські програми під різні платформи (Windows, Mac, Linux) для з'єднання з сервером. Базова (безкоштовна) ліцензія розрахована на двох клієнтів, і цього цілком достатньо, якщо використовувати OpenVPN AS в особистих цілях.
І так, установка та базове налаштування.
Є VPS з 64-х бітної Debian 7 і двома мережевими інтерфейсами (локальний і дивиться в Інтернет). На стороні сервера повинні бути включені NAT і TUN / TAP. Про вибір хостингу для цих цілей я вже писала в статті про налаштування VPN на базі PPTP. Пропонований в ній провайдер надає послуги з оренди VPS, де все це включається в один клік самим клієнтом, без необхідності ведення нудною листування зі службою підтримки.
Почнемо. Передбачається, що все необхідне у нас є і функціонує. Переходимо на сайт OpenVPN і вибираємо свою ОС. Як я вже сказала, у мене Debian 7, тому завантажуємо на сервер пакет під цю ОС.
Усе. OpenVPN AS тепер встановлено і працює. Всі супутні налаштування і правила iptables пропишуться автоматично. Зміни в iptables так само будуть вноситися в міру настройки сервера через UI. Відповідно, якщо ви використовуєте якусь програму для управління фаєрволом, то переконаєтеся в тому, що вона бачить ці зміни і не перезапише їх при наступному зверненні до неї.
Задаємо пароль користувача openvpn для доступу до нього.
За замовчуванням тут в загальному все вже працює. Можна внести деякі зміни. приклад:
Вкладка Server Network Settings.
Чи можуть клієнти VPN мати доступ один до одного? Якщо «так», то клієнти мережі будуть бачити один одного. Наприклад, в Windows у вкладці «Сеть» будуть відображатися комп'ютери інших користувачів.
VPN Mode Settings - налаштування віртуальних мережевих інтересів або моста для використання фізичного інтерфейсу. У моєму випадку NAT. За замовчуванням воно ж.
Не забуваємо натискати кнопку «застосувати зміни» кожен раз після збереження змін в адмін-панелі.
Власне, базові настройки закінчені.
На цьому все. Всі сертифікати на стороні сервера були створені автоматично при установці OpenVPN AS, всі клієнтські сертифікати довантажити при з'єднанні через клієнт для Windows. Можливо буде потрібно перезавантаження Windows для прийняття нових правил маршрутизації, за якими весь трафік повинен йти через VPN.
Для Linux викачуємо файл за посиланням «Yourself (autologin profile)» (якщо пароль не потрібно) і поміщаємо його в будь-яку зручну директорію. Припустимо, що файл Завантажити в / home / user / Downloads. Встановлюємо на ПК OpenVPN.
Для .rpm дистрибутивів (RedHat / Fedora / CentOS / OpenSUSE і т.д.)
Сервер не працює з OpenVPN нижче версії 2.1. Перевіряємо версію.
Якщо все добре, то налаштовуємо з'єднання.
Де «client.ovpn» - скачав файл настройок.
За тим же принципом налаштовується з'єднання на роутері. Але тільки на альтернативних прошивках. Показую на прикладі прошивки Gargoyle.
На жаль, на моєму допотопному роутере не все так гладко. З настоянками за замовчуванням Gargoyle не працює з tun серверами. Для цього скачав файл поміщаємо в будь-яку зручну директорію. Мається на увазі, що раз ви використовуєте альтернативну прошивку, то знаєте, як потрапити в сам роутер і вже тим більше знаєте, що там кастрований Linux. З-під Windows можна використовувати програму WinSCP для того, щоб покласти файл в файлову систему роутера.
Припустимо файл у нас в директорії / etc / openvpn. тоді:
У першому вікні у нас настройки з'єднання. Вони вписуються автоматично, виходячи з налаштувань перед ним. Такі як IP, тип з'єднання та інше. Для вірності можна привести їх до такого виду:
Далі по порядку копіюємо дані сертифікатів з файлу в наступні вікна. Назви секцій на скріншоті.
Зберігаємо, застосовуємо, перезавантажуємо. Все працює.
Теоретично, всі ці танці з бубном навколо роутера не обов'язкові. Все це повинно було довантажити при виконанні команди openvpn --config client.ovpn на стороні роутера. Але не у всіх воно спрацьовує як треба.
На цьому все. Наш VPN сервер працює, а «чорні списки» «неправильних» сайтів країн, загнаних їх урядами в «третій світ», хороші для прикраси кабінетів чиновників цих самих країн. Поки в цих країнах доступний Інтернет як такої. Північній Кореї не пощастило. Ну і взагалі, в цілому, добре мати під рукою шифрований канал, повністю тобі підконтрольний.