Настройка OpenVPN

Мы приводим пошаговое руководство по настройке программы OpenVPN для трех типовых случаев. В первом случае компьютер Альфа с базой данных программы Тирика-магазин подключен к Интернету напрямую, во втором случае офис, в котором находится компьютер Альфа, подключен к Интернету через маршрутизатор, и, наконец, в третьем случае роль маршрутизатора играет отдельный компьютер

База данных программы Тирика-Магазин установлена на компьютере, напрямую подключенном к Интернет и обладающем статическим маршрутизируемым IP-адресом

В центральном офисе имеется компьютер, напрямую подключенный к Интернет и у него есть статический маршрутизируемый IP-адрес. Двум магазинам из филиалов (или из дома) необходимо подключаться к базе данных, работающей в центральном офисе через Интернет. В этом случае, конфигурация будет как на рисунке ниже:

1. Сначала необходимо установить серверную часть OpenVPN. Скачайте полный пакет OpenVPN отсюда:www.tirika.ru/articles/nastrojka-programmy-dlja-raboty-cherez-internet/openvpn-2.2.1-install.exe

2. Запустите файл openvpn-2.2.1-install.exe на компьютере, имеющим выход в Интернет со статическим немаршрутизируемым IP-адресом и пройдите процедуру инсталляции, следуя инструкциям программы-установщика и оставляя все опции по умолчанию. Внимание! Нужно подтверждить установку драйвера сетевого адаптера TAP-Win32 Adapter V9, когда Windows это попросит

3. Скачайте архив с типовыми конфигурационными файлами отсюда: www.tirika.ru/articles/nastrojka-programmy-dlja-raboty-cherez-internet/ openvpn-config-files.zip

4. Скопируйте файлы server.ovpn и ipp.txt из скачанного архива в папку C:\Program Files\OpenVPN\config

5. Файл серверной конфигурации практически готов к применению, только замените в строчке push "route 192.168.78.0 255.255.255.0" адрес сети на тот, который настроен в вашей локальной сети. Например, на рисунке выше это 192.168.5.0 255.255.255.0.

6. Теперь самая сложная часть настройки – генерация сертификатов и ключей. Здесь нужно быть предельно внимательным и точно следовать инструкциям.

6.1 Запустите окно командной строки Пуск – Выполнить – cmd.exe

6.2 Перейдите в папку C:\Program Files\OpenVPN\easy-rsa и выполните команды:


cd C:\Program Files\OpenVPN\easy-rsa
init-config

6.3 Отредактируйте файл vars.bat и установите следующие параметры: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL. Эти параметры нельзя оставлять пустыми, остальные можно оставить по умолчанию, например:

set KEY_COUNTRY=RU
set KEY_PROVINCE=MO
set KEY_CITY=Moskow
set KEY_ORG=GazProm
set KEY_EMAIL=root@gazprom.ru
set KEY_CN=changeme
set KEY_NAME=changeme
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234

6.4 Далее выполните следующие команды из того же окна командной строки:

vars
clean-all
build-ca 


Последняя команда build-ca запросит значения параметров. Все параметры можно не менять, нажав Enter, кроме одного – Common Name. Здесь нужно ввести какое-нибудь имя, например, OpenVPN-CA

6.5 Теперь сгенерируем сертификат и ключ для сервера, выполнив команду:

build-key-server server 

Также, как и в предыдущей команде, все параметры можно принять по умолчанию, но для Common Nameвведите слово server.

На последние два вопроса "Sign the certificate? [y/n]" and "1 out of 1 certificate requests certified, commit? [y/n]"ответьте утвердительно, нажав "y"

6.6 Теперь сгенерируем ключи для клиентов, выполнив команды:

build-key client1
build-key client2 

(это команды для двух филиалов, по аналогии можно сделать ключи для большего количества)

Как и в прошлый раз, принимаем все параметры, кроме Common Name, для которого указываем client1 иclient2 соответственно. На последние вопросы опять ответьте утвердительно.

6.7 Осталось выполнить еще одну команду:

build-dh

6.8 Итак, в результате выполнения всех команд, мы получим в папке C:\Program Files\OpenVPN\easy-rs\keysряд файлов ключей и сертификатов. Создайте на сервере папку C:\vpn_keys и скопируйте туда содержимое папки .\easy-rs\keys. Скопируйте отдельно следующие файлы для клиентских машин: ca.crt, client1.crt, client1.key, client2.crt, client2.key в безопасное место, затем их нужно будет перенести на компьютеры филиалов

7. Вот и все с сервером, можно запускать службу OpenVPN Service, можно сделать автоматический запуск службы при необходимости (через Пуск- Панель управления - Службы)

8. Приступим к настройке клиента из филиала №1 . Клиент OpenVPN устанавливается на компьютере, расположенном в филиале и имеющим выход в Интернет. Необходимо запустить тот же файл openvpn-2.2.1-install.exe и пройти процедуру инсталляции точно так же, как и для сервера.

9. Скопируйте файл client.ovpn из ранее скачанного архива в папку C:\Program Files\OpenVPN\config

10. Создайте папку C:\vpn_keys и скопируйте туда три ранее сохраненных файла ключей: ca.crt, client1.crt, client1.key

11. Отредактируйте файл client.ovp. В строке remote my-server 5194 нужно заменить my-server на IP адрес сервера. Не забывайте, что это должен быть реальный Интернет адрес, иначе соединение не получится.

12. Проверьте связь с VPN-сервером командой ping

ping 10.218.77.1 

где 10.218.77.1 – адрес сервера OpenVPN (замените этот адрес на тот статически маршрутизируемый IP-адрес, кот. вы получили от вашего интернет-провайдера в главе «Этап 3» - см. выше). Если приходят ответы – отлично. Если получен ответ от сервера, запустите графический интерфейс клиента Пуск – Программы – OpenVPN – OpenVPN GUI. В системном трее появится иконка клиента в виде двух красных компьютеров – щелкните на ней правой клавишей и выберите Connect. Если все настроено успешно, то установится соединение с сервером и иконка позеленеет и можно приступить к настройке программы Тирика-Магазин, как это описано в следующей главе «Этап 5».

Если проверка не прошла, то нужно внимательно проверить всю настройку по шагам, возможно, вы все-таки сделали ошибку и нужно все повторить еще раз. Однако большая часть проблем при настройке VPN связана с сетевыми экранами (firewall). В Windows встроенный сетевой экран называется брандмауэром Windows. Настоятельно рекомендуем включить брандмауэр в случае, если компьютер напрямую подключен к Интернет! И в этом случае необходимо разрешить доступ к порту, на котором работает сервер OpenVPN для входящих подключений. Для этого убедитесь сперва, что брандмауэр вообще включен, вызвав окно с сетевыми подключениями, щелкните правой кнопкой на то подключение, которое соединено с Интернетом и нажмите Свойства. В Свойствах выберите вкладку Дополнительно, а затем кнопку Параметры. Там должно быть так, как на рисунке ниже:

Далее в этом же окне перейдите на вкладку Исключения и нажмите кнопку Добавить порт. Введите имя OpenVPN, номер 5194 и порт UPD, как на следующем рисунке:

 
Теперь брандмауэр не будет блокировать входящие подключения из Интернет на порт сервера OpenVPN.
 
 

Центральный офис подключен напрямую в Интернет через компьютер с реальным статическим IP-адресом, который является маршрутизатором в локальной сети офиса, а база данных Тирика-Магазин находится на другом компьютере в этой же локальной сети.

В центральном офисе имеется компьютер, напрямую подключенный к Интернет и у него есть статический маршрутизируемый IP-адрес. Этот компьютер (в дальнейшем сервер) может работать на операционных системах Windows XP, Windows 7, Vista или любой серверной версии и имеет два сетевых интерфейса. Один из интерфейсов подключен в локальную сеть офиса, а другой смотрит в Интернет. Двум магазинам из филиалов (или из дома) необходимо подключаться к базе данных, работающей в центральном офисе через Интернет, а сама база установлена на один из других компьютеров в сети офиса. В этом случае, конфигурация будет как на рисунке ниже:

Собственно, в этом случае настройка VPN-сервера и клиентов никак не отличается от предыдущего варианта, поэтому выполните пункты 1-11 без изменений. В этом варианте подключения база данных Тирика-Магазин находится на другом компьютере в сети, следовательно, нужно обеспечить маршрутизацию пакетов на компьютере, подключенном к Интернету. Запустите через Пуск – Выполнить команду regedit.exe и перейдите в следующий каталог реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

Там нужно задать параметру IPEnableRouter значение единицы и перегрузить компьютер. Теперь он стал маршрутизатором из виртуальной сети в локальную сеть офиса. Снова вернемся на компьютер клиента и проверим связь с сетевым интерфейсом VPN сервера:

ping 10.218.77.1 

Получен ответ? Отлично, теперь проверим связь с интерфейсом офисной сети на сервере. Для нашего примера это будет так:

ping 192.168.5.1 

Снова отвечает? Тогда последняя проверка связи с компьютером, на котором работает база данных Тирика-Магазин, для нашего примера это:

ping 192.168.5.2 

В случае удачного результата, можем подключаться к базе данных, предварительно указав адрес 192.168.5.2 для программы Тирика-Магазин (см. главу Этап 5).

Не забудьте сделать исключение в брандмауэре для порта UDP 5194, как описано для предыдущего варианта конфигурации сети.

Центральный офис подключен напрямую в Интернет через аппаратный маршрутизатор с реальным статическим IP-адресом, база данных Тирика-магазин находится на одном из компьютеров в сети офиса.

Рассмотрим еще один популярный способ подключения к Интернет – с помощью аппаратного маршрутизатора. В этом случае Интернет-кабель подключается к WAN-порту маршрутизатора, а все компьютеры офиса подключены к внутренним LAN-портам маршрутизатора; база данных Тирика-Магазин и сервер OpenVPN установлены на одном и том же компьютере локальной сети офиса. Как же подключиться к серверу OpenVPN в этом случае? Для этого можно использовать функцию перенаправления портов в маршрутизаторе. При обращении клиента к определенному TCP или UDP порту маршрутизатора, последний перенаправит запрос на компьютер в локальной сети согласно правилу, указанному в настройках. Схема доступа в этой конфигурация будет как на рисунке ниже.

Настроить перенаправление портов на маршрутизаторе достаточно просто, хотя настройки, конечно, отличаются на устройствах разных производителей. Для примера, рассмотрим перенаправление порта на маршрутизаторе D-Link DIR-655.

Запустите web-консоль управления DIR-655, затем перейдите на вкладку Advanced и выберите пункт VIRTUAL SERVER из меню слева. Далее нужно настроить правило для перенаправления порта UDP 5194, используемого OpenVPN согласно нашим настройкам. Введите имя приложения "openvpn", в поле IP адрес укажите адрес из внутренней сети сервера OpenVPN, в примере это 192.168.5.2. Порт нужно указать 5194 в полях Public и Private, протокол выбрать UDP. Теперь необходимо сохранить настройки и рестартовать маршрутизатор.

 
Остальная настройка не изменится для клиента и сервера.
 
 
 
 
 

В итоге имеем:
ключи *.key # секретная информация, должны распространяться ТОЛЬКО ПО СЕКРЕТНЫМ КАНАЛАМ. Нужны только на соотв. хостах.
сертификаты *.crt # несекретная информация.
запросы серт. *.csr # Certificate Signing Request, нужны для распределённой генерации и сертификации ключей.
 
осле всех этих манипуляций в папке keys/server получается много файлов:
 
ca.crt - Главный CA сертификат, этот файл нужен и клиенту и серверу
dh1024.pem - ключ Диффи Хельман, этот файл нужен только серверу
server.crt - Сертификат сервера, нужен только серверу
server.key - Ключ сервера, нужен только серверу (СЕКРЕТНЫЙ файл)
client.crt - Сертификат клиента, нужен только клиенту
client.key - Ключ клиента, нужен только клиенту (СЕКРЕТНЫЙ файл)
ta.key - TLS-ключ, нужен и клиенту и серверу
 
 
 
 
 

To redirect all traffic from VPN clients through the VPN server, you have to configure NAT.

At this step I assume that you have OpenVPN configured properly, if not please refer to the manual ​http://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide.

1. Enabling IP forwarding Press Windows+R and type:

regedit.exe

Now navigate to the:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

and set

IpEnableRouter

to 1

2. Installing role Open ServerManager? and click on Install role

 


Click Next

Wait till Windows complete instaling new role.

3. Configuring NAT Open Routing and Remote access console from Administrative Tools, right click on your server local name and select

Configure and Enable Routing and remote Access

In a wizard click on Network address translation(NAT)

In next step select your network card that have access to internet and click Next.

Last thing to do it to select VPN Tap-win32 network card and finish wizard.

NAT should be working from now.

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Если статья оказалась вам полезна, пожалуйста, отблагодарите посильной суммой :)

Еще есть вопросы? Отправить запрос

0 Комментарии

Войдите в службу, чтобы оставить комментарий.
На базе технологии Zendesk