Настройка OpenVPN

Информация о материале: Категория: Servers (ru); Опубликовано: 05.08.2014, 15:55; Автор: Super User; Просмотров: 4546

OpenVPN

OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Для обеспечения безопасности управляющего канала и потока данных, OpenVPN использует библиотеку OpenSSL. Благодаря этому задействуется весь набор шифров, доступных в данной библиотеке. OpenVPN используется на операционных системах Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX и Microsoft Windows. OpenVPN проводит все сетевые операции через TCP, либо UDP порт. Также возможна работа через большую часть прокси серверов, через NAT и сетевые фильтры. Сервер может быть настроен на назначение сетевых настроек клиенту. Например: IP адрес, настройки маршрутизации и параметры соединения. Также возможно использование библиотеки компрессии LZO, для сжатия потока данных.

Использование в OpenVPN стандартных протоколов TCP и UDP позволяет ему стать альтернативой IPsec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы.

Настройка OpenVPN

Создаём конфигурационный файл для сервера /etc/openvpn/server.conf:

port 443

proto tcp

dev tun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/server.crt

key /etc/openvpn/server.key

dh /etc/openvpn/dh1024.pem

server 10.10.10.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 10.0.0.0 255.255.255.0"

;duplicate-cn

keepalive 10 120

;cipher BF-CBC # Blowfish (default)

;cipher AES-128-CBC # AES

;cipher DES-EDE3-CBC # Triple-DES

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

log-append openvpn.log

verb 4

mute 20

client-to-client

Комментируем файл конфигурации:

Указываем, на каком порту принимать соединения:

port 443

Указываем протокол (tcp или udp):

proto tcp

Указываем, что именно будем инкапсулировать в туннеле (ethernet фреймы — tap или ip пакеты — tun)

dev tun

Прописываем пути к ключам и сертификатам:

ca /etc/openvpn/ca.crt

cert /etc/openvpn/test.crt

key /etc/openvpn/test.key

dh /etc/openvpn/dh1024.pem

Выделяем внутренний диапазон адресов для VPN:

server 10.10.10.0 255.255.255.0

В какой файл будем записывать выданные для VPN адреса?:

ifconfig-pool-persist ipp.txt

Прописываем на клиенте маршрут до домашней сети (той которая за сервером):

push "route 192.168.7.0 255.255.255.0"

Пинговать каждые 10 секунд, если хост не отвечает в течении 120 секунд, считать его недоступным:

keepalive 10 120

Разрешить сжатие пакетов:

comp-lzo

Прописываем пользователя и группу, от имени которых будет запускаться демон:

user nobody

group nogroup

указывает не перечитывать файлы ключей при перезапуске туннеля.

persist-key

данная опция оставляет без изменения устройства tun/tap при перезапуске OpenVPN.

persist-tun

Уровень подробности логов (от 0 до 9):

verb 4

Не писать в логи повторяющиеся сообщения:

mute 20

Разрешить пересылку пакетов между клиентами:

client-to-client

Создание ключей и сертификатов

Теперь необходимо создать ключи и сертификаты для шифрования и авторизации. Соответствующие скрипты для этого находятся в папке /usr/share/doc/openvpn/examples/easyrsa/2.0 для Ubuntu server 12.04 или /usr/share/easy-rsa для Ubuntu server 14.04

Переходим в каталог со скриптами и создаём CA (авторитетный сертификат):

#. ./vars

#./clean-all

#./build-ca

Теперь создадим сертификат и приватный ключ для сервера:

#./build-key-server server

Создаём ключ для клиента (если клиентов несколько, процедуру придётся повторить):

#./build-key client1

Примечание: для каждого клиента должно быть указано своё уникальное имя (в

данном случае client1).

Генерируем параметры Диффи-Хеллмана:

#./build-dh

Помещаем следующие файлы в директорию /etc/openvpn/

ca.crt
server.crt
dh1024.pem
server.key

Настройка клиента OpenVPN

Конфигурационный файл клиентской машины /etc/openvpn/client.conf будет выглядеть следующим образом:

remote XX.XX.XX.XX 443

client

dev tun

proto tcp

resolv-retry infinite # this is necessary for DynDNS

nobind

user nobody

group nogroup

persist-key

persist-tun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/client1.crt

key /etc/openvpn/client1.key

comp-lzo

verb 4

mute 20

Теперь необходимо скопировать с сервера в папку /etc/openvpn/ сгенерированные

клиентские ключи и авторитетный сертификат сервера:

ca.crt

client1.crt

client1.key

После этого можно запускать клиент OpenVPN и проверять связь с сервером.

Настройка OpenVPN в режиме моста

Иногда приведенной ранее конфигурации не достаточно. Самый простой пример — клиенты должны получать адреса из внутренней сети за OpenVPN.

В таком случае настройка сервера OpenVPN незначительно меняется.

Для начала необходимо установить bridge-utils

# apt-get install bridge-utils

Далее, в каталоге /etc/openvpn создаем скрипты со следующим содержимым:

bridge-start.sh

#!/bin/bash

br="br0"

tap="tap0"

eth="eth0"

eth_ip=`ifconfig $eth| grep Mask| awk '{print $2}'| awk -F : '{print $2}'`

eth_netmask=`ifconfig $eth| grep Mask| awk '{print $4}'| awk -F : '{print $2}'`

eth_broadcast=`ifconfig $eth| grep Mask| awk '{print $3}'| awk -F : '{print $2}'`

gw=`route |grep ^default|awk '{print $2}'`

openvpn --mktun --dev $tap

brctl addbr $br

brctl addif $br $eth

brctl addif $br $tap

ifconfig $tap 0.0.0.0 promisc up

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

route add default gw $gw

bridge-stop.sh

#!/bin/sh

br="br0"

tap="tap0"

eth="eth0"

gw=`route |grep ^default|awk '{print $2}'`

eth_ip=`ifconfig $br| grep Mask| awk '{print $2}'| awk -F : '{print $2}'`

eth_netmask=`ifconfig $br| grep Mask| awk '{print $4}'| awk -F : '{print $2}'`

eth_broadcast=`ifconfig $br| grep Mask| awk '{print $3}'| awk -F : '{print $2}'`

ifconfig $br down

brctl delbr $br

openvpn --rmtun --dev $tap

ifconfig $eth $eth_ip netmask $eth_netmask broadcast $eth_broadcast

route add default gw $gw

Далее создаем файл конфигурации для сервера /etc/openvpn/server.conf

port 443

proto tcp

dev tun0

ca ca.crt

cert server.crt

key server.key

dh dh2048.pem

server-bridge 192.168.20.177 255.255.255.0 192.168.20.10 192.168.20.20

keepalive 10 120

cipher BF-CBC

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

verb 4

mute 20

client-to-client

up /etc/openvpn/bridge-start.sh

down /etc/openvpn/bridge-stop.sh

По сравнению с прошлым файлом конфигурации изменения были минимальны:

dev tun0 – используем сетевой интерфейс типа tun

server-bridge 192.168.20.177 255.255.255.0 192.168.20.10 192.168.20.20 – где

192.168.20.177 – IP-адрес сервера OpenVPN

255.255.255.0 – маска сети

192.168.20.10 начальный адрес диапазона для клиентов OpenVPN

192.168.20.20 – конечный адрес диапазона для клиентов OpenVPN

up /etc/openvpn/bridge-start.sh – скрипт создания бриджа при старте сервиса OpenVPN

down /etc/openvpn/bridge-stop.sh – скрипт отключения бриджа при остановке сервиса OpenVPN

Файл конфигурации клиента меняется только в описании используемого интерфейса.

Вместо dev tap нужно прописать dev tun0

OpenVPN в режиме bridge и VMWare ESXi

Если сервер OpenVPN развернут на ESXi и там настроен бридж, то, скорее всего, по умолчанию ничего не заработает. Необходимо на виртуальном свиче, к которому подключен интерфейс br0 включить promiscuous mode

alt