Хаут пет хиляди на OpenVPN, това е блог

Това е откъс hautushka много статии с минимален описание на стъпките, и без вода. Разбираемо е, че ТЗ и OpenVPN сървър пребиваване на същия хост. Освен това, уморени от всеки път, когато Google по този въпрос, тъй като по-голямата част от ръководствата са остарели, това отнема много време, за да се повиши на услугата.

конфигурационния сървър

Сложете OpenVPN и създадете потребител със същото име, при които ще работи демона:

OpenVPN със следното съдържание за създаване на конфигурацията на сървъра:

Отиди на началната директория, изтеглете и разархивирайте easyrsa 3 варианта:

Отиди на easyrsa3 директория и декларират променливи, които да го:

Инициализиране на PKI (Public Key Infrastructure - PKI):

Създаване на сертификат за корен. Не забравяйте да въведете сложна парола, както и общото име на сървъра, като ми VPN сървър:

Създаване на ключове Diffie-Hellman:

Създаване на изискване за сертификат за OVPN сървър. Аз привлека вниманието ви, че сертификатът ще nezaparolen (параметър nopass), в противен случай при всяко стартиране OpenVPN ще поиска паролата:

Създаване на себе си сертификат OVPN сървър:

Copy получи ключовете за работна директория OpenVPN:

Създаване на «HMAC защитна стена» за защита срещу DoS наводнение ATTAC и UDP порт:

Създаване на ключ искане защитен с парола за клиент (трябва да въвеждате всеки път, когато се свържете) с потребителското име на:

Създаване на потребителски ключ (по подразбиране от риселъри с добавена стойност за период от 10 години):

Или ограничаването на удостоверението за 90 дни (след изтичане срока на годност, можете да преиздадат):

Клиент за прехвърляне на тези файлове:

преглед сертификат

Генериране на файла отменено ключове:

Направи символична връзка към директорията с ключовете (разбира се, и файлът може да се копира, но ще трябва да направи всеки път, отнемане на сертификата):

В /etc/openvpn/server.conf добавете ред

Прегледани от сертификат за потребителя:

Всеки път, когато изтегляне на сертификат, трябва да актуализирате crl.pem. да извършва промени в него:

Забележка: Ключовият файл със същото име не може да бъде създаден до отмяната им възраст. Когато се опитате да създаде сертификат с името на вече съществуващ да генерира грешка:

Минимална настройка Iptables достъп OpenVPN клиенти в локалната мрежа

I попаднали на резба. цвилят и реши да добавите бележка. Ако OpenVPN е необходимо да се свържете с интернет - това е необходимо да се направи, за да OpenVPN е шлюз по подразбиране (шлюз по подразбиране) и правилата на правилните IPTABLES.
Всъщност, конфигурацията на сървъра:

Конфигурация за клиента няма да се различава от по-горе.

Минимална настройка Iptables да излезете клиенти OpenVPN онлайн

За да се изключи атака бъг възможност MITM който изглежда по този начин в клиентските трупи:

Използване параметър дистанционно CERT-TLS сървър. което вече присъства в клиент довереник.

Списъкът на валидните и прекратени удостоверения

Списъкът на валидните и прекратени удостоверения може да се намери във файла

/easy-rsa-master/easyrsa3/pki/index.txt. Започнете линия oisaniya всеки сертификат започва с буквите V или R. и какво означава тя Важи отм, например:

Както може да се види, първа и пета са валидни сертификати отменени 2-4.

Ако клиентът е на Windows

Поставете OpenVPN GUI, го изтеглите от тук. Копирайте ключовете на клиента в C: \ Program Files \ OpenVPN \ конфигурационния \. Копирайте конфигурацията на клиента и се вмъква в файла client.ovpn. слагам там. Като цяло, тази директория трябва да има пет файлове - User.crt, User.key, ca.crt, ta.key, client.ovpn.
Бъдете сигурни, за да стартирате GUI OpenVPN като администратор. в противен случай diffe не prodnimutsya маршрути, както и да направят връзка с двойно кликване върху иконата в системния трей (до часовника е област, обикновено в долния десен ъгъл).

навигация в публикациите

Какво става, ако

/easyrsa.real регистрация REQ сървъра vpn.1-ok.com
Забележка: Използването на Easy-RSA конфигурация от. / Варс
Easy-RSA за грешка:
Неизвестен тип серт "сървър"

счупен структура директория е вероятно. Изходният код е написан,

т.е. $ EASYRSA_EXT_DIR = лесен RSA-майстор / easyrsa3 / x509 типове. Предполагам, че не разполага с тази директория и нейното съдържание.
Изтеглете лесен rsa3 на ново и всичко муха.

Ако Linux не е GUI, то /etc/init.d/openvpn рестартирате
Ако GUI, а след това се създаде връзка чрез управителния орган на мрежата
Ако Windows, а след това да изтеглите файловете на клиента и да го бутам.

Благодарим Ви! Клиент на малина (raspbian хриптящ)
на командата: OpenVPN /etc/openvpn/client.conf пише:

го направя всичко отначало? Какво не е наред?

Ясно е също така казва - няма файл User.crt не може да се зареди файл със сертификат User.crt. Няма такъв файл или директория. Предполагам, че
1. Необходимо е да се започне от основата, т.е. в случай на Малина употреба Sudo
2. Преди да започнете да се направи CD / път / до / клавиши или да използвате абсолютни пътеки в довереник