Важно! Указываем параметр «commonname» — пишем имя нашего VPN клиента(UserVPN_1). Все остальные параметры оставляем по умолчанию, на все вопросы отвечаем yes В процессе установки в систему инсталлируется виртуальный сетевой адаптер TAP-Win32 Adapter V9 и, соответственно, драйвер к нему. На этом настройка сервера закончена, сохраняем файл конфигурации и создаем директорию для конфигураций клиентов, иначе получите ошибку при запуске службы.
Настройка OpenVPN
Если вам необходимо настроить удаленное подключение к рабочим серверам (например, при организации удаленной работы для сотрудников, чтобы обеспечить им доступ к корпоративной сети и внутренним ресурсам из сторонних сетей), вы можете воспользоваться этой инструкцией для настройки VPN-подключения и удаленного доступа.
Существует множество вариантов реализации VPN. Ниже мы рассмотрим настройку на основе OpenVPN.
В статье описана настройка для VDS с установленной Ubuntu 16.04, инструкция подойдет и для более поздних версий ОС.
Обратите внимание, что сервер, на котором будет запущен клиент VPN для пропуска во внутреннюю сеть, должен являться шлюзом сети. Также, файрвол должен быть настроен на пропуск пакетов через VPN.
Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой — Записки IT специалиста
- Для MacOS можно использовать бесплатный клиент Tunnelblick.
- Загрузите клиент с сайта Tunnelblick: https://tunnelblick.net/downloads.html
- Дважды кликните на загруженном файле и пройдите процесс установки.
- При завершении установки выберите «Нет» в ответ на вопрос о наличии конфигурационных файлов.
- После завершения установке откройте Finder и кликните дважды на вашем конфигурационном файле. Tunnelblick автоматически установит профиль.
Установка необходимого ПО
Подключитесь к серверу по SSH и выполните установку OpenVPN и центра сертификации командами:
OpenVPN использует TLS/SSL, поэтому вам потребуются сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов необходимо создать свой собственный центр сертификации.
1. С помощью команд ниже скопируйте шаблонную директорию easy-rsa в домашний каталог и перейдите в созданную директорию:
Также нужно отредактировать значение переменной KEY_NAME, указав субъекта сертификатов. В примере мы зададим ему имя сервер Server (вы можете указать свое), это же значение будет использоваться далее в командах в инструкции.
3. Создайте центр сертификации при помощи утилиты easy-rsa и заданных переменных. Выполните команду:
Выполните предложенную команду, чтобы удостовериться, что вы работаете в «чистой» среде:
Запустится процесс создания ключа и сертификата корневого центра сертификации. Все необходимые значения будут введены автоматически, так как вы задали их в файле vars. Нажимайте ENTER для подтверждения выбора.
4. Создайте сертификат и пару ключей, а также дополнительные файлы, используемые для шифрования.
Обратите внимание: далее в командах и примерах мы будем использовать Server — значение, указанное выше для переменной KEY_NAME. Если вы указали другое имя, не забудьте заменить его в приводимых командах. Это будет касаться, в том числе, имени файла конфигурации: в нашем случае это будет /etc/openvpn/server.conf .
4.1. Создайте сертификат OpenVPN и ключи для сервера:
Подтвердите все значения по умолчанию, нажимая Enter. Не задавайте challenge password. При завершении процесса два раза введите y для подписи и подтверждения создания сертификата:
4.2. Создайте оставшиеся файлы. Сгенерируйте надежные ключи протокола Диффи-Хеллмана:
4.3. После завершения процесса сгенерируйте подпись HMAC:
С учетом того что OpenVPN использует шифрование для своего канала данных, у нас есть два варианта настройки: Нужно это в том числе для защиты от брутфорса пользователь root общеизвестный, и при попытках брута, вероятней всего, будет использоваться именно он. OpenVPN пользуется заслуженной популярностью у системных администраторов, когда нужно быстро и эффективно соединить VPN-каналами удаленные офисы.
OpenWRT(с OpenVPN) на TL-WR740N. Как добавить vlan.
Появилась задача организовать псевдолокальную сеть между офисами предприятия.
Заказывать каналы у оператора слишком накладно. Поэтому выбираем туннелирование через Интернет.
Примерная схема сети:
Если рассмотреть вопрос об оборудовании, то в качестве клиентских роутеров (GW) дешевле всего использовать те, которые можно прошить OpenWRT, например TP-Link’и.
Туннели и gre и openvpn работать будут, уже испытано (через openvpn на TL-WR1043ND организован удаленный доступ на работу уже не первый год). Причем на домашнем TL-WR1043ND и vlan дополнительные создаются просто и «очевидно». А вот с TL-WR740N пришлось повозиться…
Но начнём с прошивки. Памяти не много на TL-WR740N (4MB), поэтому в готовую openWRT, которую можно скачать, доставить openvpn-openssl не удастся — не хватает памяти. Поэтому прошивку нужно пересобрать. Делается это на компе под Linux.
# Скачиваем OpenWRT-ImageBuilder последнего релиза, распаковываем, переходим в полученную директорию OpenWrt-ImageBuilder-15.05-ar71xx-generic.Linux-x86_64.
# Для перепрошивки с заводской на openWRT.
# openwrt-15.05-ar71xx-generic-tl-wr740n-v4-squashfs-factory.bin
# Обновление через стандартный web-interface.
# При первом входе через web 192.168.1.1 нужно задать пароль root. После этого можно подключаться по ssh.
# Для обновления из openwrt
# openwrt-15.05-ar71xx-generic-tl-wr740n-v4-squashfs-sysupgrade.bin
BusyBox v1.23.2 (2015-07-25 15:09:46 CEST) built-in shell (ash)
1. Добавляем новые vlans, например 20 (LAN) и 30 (VoIP).
Network -> Switch -> Add
Порты пока не добавляем.
Нажимаем Save & Apply
3. Возвращаемся в конфигурацию свича
Network -> Switch
vlan 1: DELETE
vlan 20: CPU tagged, 2-4 untagged
vlan 30: CPU tagged, 1 untagged
Нажимаем Save & Apply
Если всё выполнили точно в такой последовательности, то управление не пропадёт=))
Теперь LAN у нас работает в vlan 20. Добавлять другие vlan теперь так же легко как в TL-WR1043ND.
5.1. Добавим Интерфейс VoIP.
Interfaces -> Add new
Name: VoIP
Выбираем VLAN Interface: «eth0.30»
Нажимаем Submit
З.Ы. Аппаратно есть ограничение, на устройство можно добавить не более 16 vlanid.
MikroTik: Часть 4 — Создание OpenVPN туннеля | GREGORY GOST
После этого мы сможем пинговать внутренние IP сервера и клиента (172.17.10.10 клиент и 192.168.0.100 сервер). Итак мы пингуем наши сети по внутренним IP, а так как у нас и сервер и клиент для своих сетей являются шлюзами, то и машины из сети 1 могут видеть машины из сети 2 и наоборот. 04, но данная инструкция подойдет для любых deb-based систем и с некоторыми поправками для любого другого Linux-дистрибутива.
Дополнительная защита
Так же в папке config содаем файл Users.pw туда пише логин и пароль нашего клиента
Дальше нужно в конфиге клиента прописать строку auth-user-pass, теперь когда клиент будет подключаться к серверу у него будет выплывать окно авторизации где нужно ввести логин и пароль, который вы назначили ему в Users.pw,их нужно будет сообщить клиенту.
У меня настроено что имя пользователь(логин) соответствует имени клиента в сертификате, то есть UserVPN_1. но можно задать и другое имя отличное от имени в сертификате, для этого нужно смотреть настройки в auth.vbs.
‘ открываем переменную окружения common_name (это CN предъявленного клиентом сертификата)
‘ и сравниваем её с введенным именем пользователя.
‘ если это сравнение не нужно, то следующие 2 строки удалить или закомменировать