Ние разширяваме мрежата или OpenVPN за смъртните

#tar -zxvf OpenVPN-2.0_rc21.tar.gz
#cd OpenVPN-2.0_rc21
#. / Configure
#make
#make инсталиране
#make чиста

Ако не е достатъчно това, което някои пакетчета чай, или се опитват да ги зададете чрез опция в ./configure за успешното изграждане. За удобство при работа на конфигуратора, аз обикновено използвам всеки две терминали или две Замазки сесия. От една писта:

# / Configure -help. | по-малко

И на другия пълнени различни флагове. По този начин, инсталацията изглежда да се сортира ... Обръщаме се към много по-интересен и предизвикателен част, а именно създаването на конфигурационни файлове и всички видове ключове.

За да я накара да работи, трябва да компилирате ядрото си със следните опции:

опции IPSEC
опции IPSEC_ESP

За да работи сървъра страна имаме нужда, не е много. Ако искате да прочетете по-нататък Стария:

Ако искате бързо да отидете на индиански поход, просто се повтаря след мен! Уау, вече започнах да пиша в рима! Така че, да редактирате конфигурационния файл:

За да се определи следното:

# OpenVPN демон OpenVPN попитам нашия сървър, за да се превърне в демон, аз ви съветваме да поставите този # линия само след цялата работа.

DEV Tun # използват този интерфейс

сървъра 10.1.0.0 255.255.255.0 # IP да посоча мрежа VPN сървър

тласък «маршрут 10.1.0.0 255.255.255.0» # - това парче ще добави маршрут мрежа VPN на
натиснете «маршрут 194.1.1.0 255.255.255.0» # - това ще добави клиенти marshut решетка за VPN сървър
натиснете «маршрут 192.168.0.0 255.255.255.0» # - това е пътят към домашната си мрежа

TLS-сървър # уточни, че на сървъра конфигурация

DH /etc/ssl/dh2048.pem # сертификат за криптиране на изграждането на връзката
ва /etc/ssl/CA_cert.pem # този сървър сертификати
серт /etc/ssl/certs/Cserv.pem #
ключ /etc/ssl/keys/Kserv.pem #

прото TCP-сървър # Кажете на сървъра, за да прегази TCP
# Порт 5000 TCP порт 5000

Потребител никой #, изпод която започва VPN сървър (не слагайте корен!)
група никой # Е, група

съединение-lzo # Активиране компресия

задържи-Тун # Използвайки същия интерфейс и ключа, когато сървърът се рестартира
задържи ключ

TLS удостоверяване е /etc/ssl/ta.key 0 # Защита от DOS атаки
KeepAlive 10 120 # Живот на неактивна сесия

глагол 4 # номер на информация за отстраняване на грешки (от 0 до 9)

Така че, всичко. На сървъра приключи. Издържа на клиента. За ключовете и сертификатите не се притеснявайте, ние ще ги създаде по-късно.

Windows OpenVPN клиент

Знаеш ли, това нещо може да се използва дори и на телефонна линия връзка-то, което не е маловажно за мен! Хвърлих ключовете така на инсталатора да Flash-ку и не се тревожи повече, дори и ако решите да посетите приятел напитка бира и ядат месо, а след това на шефа бих нарекъл и да започне да се закълна, че те имат нещо не работи, можете повиши клиент от приятел, но не го правят Предполагам, че копира ключовете си zhestak. Config копие и начините за промяна на ключ на клиента си на флаш-памет, тук. А, да ... Хайде.

Натискате Start-Programs-OpenVPN ... Ела до папката с конфигурационни файлове. Създаване home.ovpn и пишат или копиране на този конфигурационен:

Говорим клиент # клиент да вземете информация за маршрутите от сървъра (не забравяйте # опция тласък)

отдалечен IP-а # вместо IP-а се впише истинското си IP на сървъра се вижда в интернет

TLS-клиент # Това е конфигурацията на клиент

NS-серт тип сървър # Това е още една защита, този път от «човек в средата на» атаката.

ва «H: \\ конфигурационния OpenVPN \\ CA_cert.pem» # Това е просто начина, по клавишите (аз ги има върху флаш памет)

серт «H: \\ конфигурационния OpenVPN \\ chome.pem»

ключ «H: \\ конфигурационния OpenVPN \\ khome.pem»

TLS удостоверяване е «H: \\ конфигурационния OpenVPN \\ ta.key» # 1 Anti-DOS. Тук, за разлика от сървъра трябва # edinichka. Да не се смесва, Кутузов! 😉

прото TCP-клиент # клиент препълнена TCP
# 5000 порт Свързва до 5000 порт

комп-lzo # Това вече знаете

бъчва-MTU 1500 # Трябва само да копирате, ако не знаете мрежата, не мога да говоря за това в два реда #
бъчва-MTU-допълнително 32
mssfix 1450

Така, конфигурацията е готова. Ние сега се обръщат към по-интересни дейности, генериране на ключове и сертификати.

OpenSSL таксита

Stomp в / и т.н. / SSL. Има създаде 2 файла: index.txt и сериен. Сега можем да напиша нещо в сериала:

#cd / и т.н. / SSL
#touch index.txt
#touch сериен
#echo "01"> ./serial

Сега, нека създадем няколко папки:

#mkdir от сертифициращ
ключове #mkdir
#mkdir CRL

И сега, малко ние се грижим за сигурност и промените openssl.cnf. Разбирам, че имате луди ръце, така че не забравяйте да направите копие на този файл, така че просто огън. 😉

#cp ./openssl.cnf ./ openssl.cnf.backup
#vi openssl.cnf

Параметрите «default_days» и задайте го равна на 9125 (този брой на дните, преди да ни сертификати ще спре да работи). И това го подпише до края на довереник:
[Сървър]
basicConstraints = CA: FALSE
nsCertType = сървър

След като ще създаде сертификати, това нещо няма да даде всяко дете четете това списание за провеждане на обикновен «човек по средата» атаката. Ако сте пропуснали да се регистрират тази настройка «НЧ-серт тип сървър» в конфигурационния файл няма да работи.

Малко повече търпение и да правите това, което чакахме толкова дълго време. Вие го направихте!

Нека да се върне на пътя на истината:

#openssl REQ -Нови -x509 -keyout частен / CA_key.pem напускане CA_cert.pem

Въведете паролата си и не го забравя.

#openssl REQ -Нови -nodes -keyout ключове / Kserv.pem напускане REQ / Rserv.pem

По тази линия е важно, че параметър Наименование на организацията съвпадна с факта, че имате при генериране CA_cert.pem.

#openssl ва -extfile /etc/ssl/openssl.cnf -extensions сървъра напускане от сертифициращ / Cserv.pem -infiles REQ / Rserv.pem

Вие ще бъдете помолени няколко въпроса, които не мислят дълъг отговор «у».
Това беше за сървъра. Сега повторете всички едно и също нещо, но за клиента.

#openssl Req прохождащи ключове -keyout / Khome.pem напускане REQ / Rhome.pem
#openssl ва напускане от сертифициращ / Chome.pem -infiles REQ / Rhome.pem

Не забравяйте за ta.key:

#openvpn -genkey -secret ta.key

Така че, и на последно място създаване на Diffie-Hellman (ФИГ знаят как да пишат на руски) файл

#openssl dhparam напускане dh2048.pem 2048

След получаване на съобщението от дълга си към създаването, отидете да се пие една бира (аз наистина е създаден почти 20 минути).

Ние сме като нашите сертификати

Можете да копирате на дискета:

#mkdir / MNT / дискета
#mount -t MSDOS / сътрудничество / fd0a / MNT / дискета
# Cp /etc/ssl/certs/Cnode.pem / MNT / дискета
#cp /etc/ssl/keys/Knode.pem / MNT / дискета
#cp /etc/ssl/CA_cert.pem / MNT / дискета
#cp т.н. / SSL / ta.key / MNT / дискета
#umount -f / сътрудничество / fd0a

Или, ако сте смел ада, и за да направи всичко по редове, след като на сървъра, който използвате, SFTP клиент и отнемат всичко от servaka собствени.

Сега тече сървъра OpenVPN:

#openvpn -config /usr/local/etc/openvpn/office.conf

Създаване на малък openvpn.sh в /usr/local/etc/rc.d да се стартира автоматично при стартиране:

При «$ 1» в
започнете)
ехо -н «OpenVPN2 започне ...«
/ ЮЕсАр / местни / sbin / OpenVPN || изход 1
;;
стоп)
ехо -н «Изключване OpenVPN2 ...«
/ ЮЕсАр / хамбар / killall OpenVPN # 038;> / сътрудничество / нула || изход 1
;;
презареди | рестартиране)
$ 0 спирка # 038; # 038; сън 1 # 038; # 038; $ 0 начало || изход 1
;;
*)
ехо «Употреба: $ 0"
изход 1
ESAC

Обикновено се предписва на ipfw, да се даде възможност да се свържете с нас с вас демон:

#ipfw -q добавите пас TCP от всеки за мен 5000
#ipfw -q добавите пас TCP от всеки и да е чрез tun0

Само тогава можете да го добавите към вашия скрипт защитна стена.

За връзка с Windows-базирани клиенти използват графичния потребителски интерфейс, как да се регистрирате, за да го стартира автоматично за удобство, мисля, че и той ще разбере.

Покажете тази статия на приятел: