howto → Налаштування однією з можливих конфігурацій Openvpn
Ті, хто в перші чують це словосполучення, можуть звернутися до сторінок wiki openvpn (але, думаю, такі тут врятли є), від себе можу лише додати, що налаштувати його набагато простіше, ніж той же ipsec, і його «прохідність» через nat (proxy) набагато вище (без зайвих проблем) і просто дозволяє створити досить гнучкі конфігурації.
В даному випадку буде описано як налаштувати openvpn в режимі сервера для з'єднання віддалених офісів з центральним (ну і при бажанні їх також можна об'єднати в даній конфігурації через центральний офіс). Зазвичай в таких випадках використовують ipsec, але чому я використовую openvpn - написано вище)
Приклад настройки розглянемо на упрошенной схемою на малюнку
Приступимо до налаштування
Для початку потрібно згенерувати клієнтські сертифіката - Не буду повторюватися як це робиться - це вже проскакувало на openlife. від себе можу лише додати, що рекомендується генерувати клієнтський і серверний сертифікати з різними кореневими сертифікатами (при цьому на сервері залишається кореневий сертифікат клієнта, а на клієнті кореневий сертифікат сервера), також имхо зручніше використовувати єдиний файл формату pkcs12 для зберігання клієнтського сертифіката, приватного ключа і кореневого сертифіката разом, також дати права на читання ключів і сертифікатів тільки для рута, а openvpn стартувати з обмеженими правами.
Тепер більш детально розглянемо конфігураційний файл сервера:
В папці яку ми вказали як client-config-dir створюємо файли з іменами, відповідними назвами клієнтських сертифікатів, приблизно такого змісту
Ці параметри будуть передаватися клієнту
Тепер розглянемо базовий конфігураційний файл клієнта:
В принципі, на цьому все ми зв'язали наші філії з центральним офісом (при належній налаштування і між собою) і отримали досить автономну систему, яка сама відновиться при падінні інтернету (тут є маленький нюанс при досить довгій відсутності інтернету - порядку декількох годин - спроби достукатися до віддаленого хоста припиняються, така поведінка я спостерігав на версії 2.0.9 - тоді інтернет відвалився на всю ніч)
PS Конструктивна критика і можливі доповнення (виправлення помилок - якщо такі були допущені) пріветствуються.
Ps2 Спасибі Boleg2 за літературну доопрацювання статті.
Будь ласка, подходіт- тільки шляху з пробілами потрібно брати в лапки і іспользовтаь 2 слеша замість одного.
Дякую за матеріал, як раз дали «завдання» вивчити vpn :)
спроби достукатися до віддаленого хоста припиняються, така поведінка я спостерігав на версії 2.0.9
В 2.1 цей баг виправлений?
до речі - вивчати «vpn» - краще як мінімум-за вікіпедіі- а не по цій статті! Пісалось- чисто для себе-з розрахунку, що лініух хороший тим - що налаштував і забув, щоб можна було - «подивитися і згадати»
Ви не стикалися з налаштуванням openvpn + ldap?
Тобто потрібен vpn сервер, при підключенні до якого, клієнтові потрібно вказати логін-пароль. Клієнти як Win так Linux.
ні, не доводилося