У цьому описі буде розглянута настройка OpenVPN, як серверної частини так і клієнтської. Для OpenVPN роль клієнта або сервера задається тільки конфігураційним файлом. Виконуваний модуль для обох ролей один і той же.
Завантаження і установка OpenVPN
Сертифікати та ключі
Комп'ютер на якому генеруються ключі повинен мати максимальний захист. Він потрібен виключно тільки для генерації сертифікатів і підписи ключів. В інший час каталоги містять ключі можуть бути заархівовані з паролем і заховані в надійне місце.
підготовка
Зайдіть в каталог C: \ Program Files \ OpenVPN \ easy-rsa з командного рядка. Для цього:
Натисніть Windows Key + R
Наберіть "cmd.exe" і натисніть Enter.
З'явиться чорне віконце
Перейдіть в потрібний каталог набравши команду:
Ініціалізуйте конфігурацію OpenVPN набравши
Тепер все готово до створення сертифікатів і підписи ключів.
Створення сертифікатів і підпис ключів
Створюємо верхівку піраміди довіри: ключ і сертифікат центру сертифікації
Коли буде запитано введення країни і т д, все що ви вже вводили раніше при редагуванні файлу vars.bat, залиште все без змін просто натискаючи Enter. Але коли буде запитано "Common Name" вам потрібно ввести ім'я яке ідентифікує сертифікат, наприклад, "OpenVPN-CA":
Тепер сертифікат і ключ для сервера
Знову все залишайте за замовчуванням а на "Common Name" введіть, наприклад, "server"
І коли з'явиться запит підписати сертифікат натисніть, введіть "y"
Також коли буде запитано commit, натисніть "y".
Ну і нарешті цикл для сертифікатів і ключів кожного клієнта
Для кожного клієнта, виберіть якесь унікальне ім'я для ідентифікації, типу "boss-notebook" і запускайте скрипт як показано далі
Коли дійде черга до "Common Name" введіть як ви вибрали boss-notebook
Повторюйте це для кожного VPN клієнта який буде з'єднуватися з VPN сервером.
Генерація файлу Diffie Hellman необхідного для установки шифрування. При розмірі ключа 2048 біт він генерується досить довго.
Назва файлу повинна вийти з суфіксом розміру ключа тоесть dh2048.pem
Ну і ключ для TLS
Як описано нижче в конфіги ключ цей на Windows системах може призводити до незрозумілих гальмах, тому зробіть перевірте але при найменшій підозрі закоментіруйте рядки у всіх конфігах.
файли
Конфігураційний файл для сервера ім'я може билю будь-яким, а розширення .ovpn:
server.ovpn
Зберегти файл як C: \ Program Files \ OpenVPN \ easy-rsa \ server.ovpn
Конфігураційний файл для клієнтів схожий на серверний і трохи простіше.
Зберегти файл як C: \ Program Files \ OpenVPN \ easy-rsa \ boss-notebook.ovpn
Ім'я файлу не принципово для функціонування VPN але імена файлів клієнтів варто зробити різними, так як у них трохи різний вміст і поки що ми зберігаємо їх в один каталог.
Розберемо тепер куди які файли зберегти.
З каталогу C: \ Program Files \ OpenVPN \ easy-rsa \ с машини де генерували сертифікати на сервер в каталог C: \ Program Files \ OpenVPN \ config \ скопіюйте файли:
ca.crt
dh2048.pem
server.crt
server.key
server.ovpn
З каталогу C: \ Program Files \ OpenVPN \ easy-rsa \ с машини де генерували сертифікати на клієнт в каталог C: \ Program Files \ OpenVPN \ config \ скопіюйте файли:
ca.crt
boss-notebook.crt
boss-notebook.key
boss-notebook.ovpn
запуск OpenVPN
Запуск OpenVPN тунелю вимагає привілеїв адміністратора системи тому мені простіше запускати через cmd.exe. На сервері і на клієнті в командному рядку запустіть:
Можна запустити також і за допомогою OpenVPN графічного інтерфейсу.
Start Menu -> All Programs -> OpenVPN -> OpenVPN GUI
Потім двічі клікнути на іконку яка з'явиться в області іконок системного трея. В результаті має з'явитися вікно в якому буде відображатися процес з'єднання і коли все пройшло успішно вікно згорнеться. Але він на жаль не завжди здатний запуститися в нових системах наприклад Windows 7. Тому мені кращий перший спосіб.