Установка и настройка OpenVPN

В начало
Назад
1
Вперёд
В конец

PNV
Автор темы
Не в сети
Moderator

Больше

7 года 7 мес. назад - 7 года 7 мес. назад #11 от PNV

COM_KUNENA_MESSAGE_CREATED_NEW

Недавно мне понадобилось предоставить доступ интернет-клиенту в корпоративную внутреннюю сеть (интранет). Т.к. граничный маршрутизатор/firewall в конторе обычный D-Link DIR-300, то и речи быть не могло об организации на нём VPN-сервера

. Поэтому решено было организовать VPN-сервер под Linux (ОС CentOS), который находится в корпоративной сети конторы. На сервере поднимаем сервис OpenVPN.

Подключение построено по следующей схеме:

Задача: организовать VPN-туннель через интернет между сервером находящимся за NAT и клиентом, который тоже находится где-то в интернет за NAT.

(Все действия выполняются под пользователем root)

Для решения задачи необходимо настроить серверную (на сервере) и клиентские части (в данном случае на компьютерах пользователей) сервиса OpenVPN.

Серверная часть

1. Скачиваем дистрибутив OpenVPN по ссылке swupdate.openvpn.net/community/releases/openvpn-2.1.4.tar.gz :

wget swupdate.openvpn.net/community/releases/openvpn-2.1.4.tar.gz

и распаковываем архив:

tar -xf openvpn-2.1.4.tar.gz

2. Скачиваем обязательную библиотеку компрессии LZO, необходимую для сжатия потока данных по ссылке www.oberhumer.com/opensource/lzo/download/lzo-2.04.tar.gz :

wget www.oberhumer.com/opensource/lzo/download/lzo-2.04.tar.gz

и распаковываем архив:

tar -xf openvpn-2.1.4.tar.gz

3. Также необходимо установить библиотеку gcc.i386
Устанавливаем её из репозитория:

yum install gcc.i386

Возможно данная библиотека уже может быть установлена, что можно проверить командой yum list |grep gcc.i386. Должно быть что-то вроде:

gcc.i386 4.1.2-48.el5 installed
libgcc.i386 4.1.2-48.el5 installed

Если же данная библиотека не установлена и вы попытаетесь установить непосредственно OpenVPN, то при компиляции выйдет ошибка:

configure: error: no acceptable C compiler found in $PATH

4. Устанавливаем LZO из распакованного архива (см. п.2):

cd .../lzo-2.04
./configure
make
make install

5. Устанавливаем непосредственно сам OpenVPN из распакованной папки (см. п.1):

cd .../openvpn-2.1.4
./configure
make
make install

6. Создаём для удобства все необходимые папки для OpenVPN (при установке данные папки автоматически не создаются) и копируем туда необходимые файлы из распакованного архива (см. п.1):

mkdir /etc/openvpn
cp .../openvpn-2.1.4/easy-rsa/2.0/* /etc/openvpn
mkdir /etc/openvpn/keys - создаём папку для сертификатов и ключей

7. По желанию редактируем файл /etc/openvpn/vars в соответствии с необходимыми параметрами, чтобы каждый раз при генерации ключей не вводить снова одни и те же параметры:

пример файла vars:

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

8. Экпортируем переменные из файла vars и выполняем удаление всех возможно уже существующих ключей:

cd /etc/openvpn
source ./vars
./clean-all

9. Генерируем закрытый ключ и сертификат сервера сертификации (СA) или назовём по-другому - Удостоверяющего центра, на основе которого будут созданы все остальные ключи (ключ и сертификат для VPN-сервера и ключи и сертификаты для VPN-клиентов)(т.е. используется обычный механизм PKI - public key infrastructure).

./build-ca

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

10. Генерируем закрытый ключ и сертификат для сервера:

./build-key-server name

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

11. Генерируем закрытый ключ и сертификат для клиента:

./build-key client1

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

12. Генерируем 1024-битный ключ по алгоритму Диффи-Хэллмана, который используется в механизме аутентификации ключей при установлении VPN-туннеля. Данный ключ остаётся на сервере.
Алгори́тм Ди́ффи — Хе́ллмана (англ. Diffie-Hellman, DH) — алгоритм, позволяющий двум сторонам получить общий секретный ключ, используя незащищенный от прослушивания, но защищённый от подмены, канал связи.

./build-dh

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

13. (Не обязательно) Генерируем симметричный TLS-ключ для предварительной защиты канала, еще до установленимя VPN-туннеля. Данный ключ является симметричным и должен находится как на сервере, так и на клиенте. Генерируем в папке /etc/openvpn/keys/

openvpn --genkey --secret ./ta.key

Все созданные ключи, сертификаты и запросы серверной части помещаем в папку /etc/openvpn/keys для удобства (в случае если они были сгенерированы в другом месте). Клиентские ключи и сертификаты передаются соответственно защищенным способом на клиентские машины. При этом для каждого сертификата существует свой закрытый ключ и файл запроса на сертификат:

*.key - закрытый ключ;
*.csr - запрос на сертификат;
*.crt - сертификат;

В идеале клиентские закрытые ключи не должны генерироваться на сервере и затем передаваться клиенту, а должны генерироваться на самом клиенте при помощи какого-либо установленного криптопровайдера (в качестве хранилища закрытого ключа используется например реестр, smart-карта или flash-накопитель). Затем создаётся файл запроса сертификата созданный на основе сгенерированного закрытого ключа, который уже отправляется по сети на сервер сертификации (Удостоверяющий центр), где в ответ по сети передаётся сгенерированный сертификат. (т.к. файл запроса сертификата и сам сертификат шифрования сами по себе не составляют ценности без закрытого ключа, то их можно передавать по незащищённым каналам связи).

14. Копируем пример файла конфигурации VPN-сервера server.conf из разархивированной папки (см п.1) в боевую папку /etc/openvpn

cp ...../openvpn-2.1.4/sample-config-files/server.conf /etc/openvpn/server.conf

и редактируем необходимые параметры:

vi /etc/openvpn/server.conf

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

15. Копируем примеры скриптов для запуска и остановки OpenVPN из разархивированной папки (см п.1) в боевую папку /etc/openvpn и правим их в соответствии со своими предпочтениями:

cp ...../openvpn-2.1.4/sample-config-files/openvpn-startup.sh /etc/openvpn

Пример скрипта openvpn-startup.sh:

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

cp ...../openvpn-2.1.4/sample-config-files/openvpn-stutdown.sh /etc/openvpn

Пример скрипта openvpn-shutdown.sh:

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

16. Запускаем OpenVPN-сервер:

/etc/openvpn/openvpn-startup.sh

и проверяем запустился ли сервис:

netstat -luntp |grep openvp

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

На этом этапе серверная часть закончена и готова к установлению туннеля.

Клиентская часть

Т.к. в моём случае на клиенте (компьютере пользователя) стоит ОС Windows, то рассмотрим пример настройки OpenVPN-клиента именно для Windows.

1. Скачиваем дистрибутив OpenVPN для Windows по ссылке swupdate.openvpn.net/community/releases/...pn-2.1.4-install.exe и устанавливаем с опциями "по умолчанию".
При установке дистрибутива система установит также драйвер виртуального VPN-интерфейса:

2. Копируем пример файла конфигурации клиента client.ovpn из папки c:\Program Files\OpenVPN\sample-config в c:\Program Files\OpenVPN\config и редактируем его:

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

3. Копируем в папку c:\Program Files\OpenVPN\config\ клиентский ключ client1.key и сертификат client1.crt, сертификат СA.crt (сертификат сервера сертификации), и симметричный ключ ta.key.

4. Запускаем GUI интерфейс из меню "Пуск", либо из c:\Program Files\OpenVPN\bin\openvpn-gui-1.0.3.exe и нажимаем Connect из-под иконки OpenVPN в трее.

Для установления туннеля из командной строки запускаем:

c:\Program Files\OpenVPN\bin\openvpnserv.exe /start

Для автоматического установления VPN-туннеля при загрузке ОС включаем OpenVPN Service в режим автоматического запуска:

Проверяем работоспособность туннеля, маршрутизацию и т.д.

Наслаждаемся результатом!!!

Дополнения.

Для просмотра VPN-соединений на сервере в реальном времени можно зайти по telnet на сервер по порту tcp 8329, если соответствующая строка была прописана в файле server.conf

management 0.0.0.0 8329

и в режиме командной строки смотреть сессии клиентов и если нужно, удалять сессии:

telnet X.X.X.X 8329

Кроме этого можно скачать графическую оболочку для мониторинга VPN-соединений под названием OpenVPN Control по ссылке sourceforge.net/projects/openvpn-control...staller.exe/download

Скриншоты программы OpenVPN Control:

Last edit: 7 года 7 мес. назад by PNV.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

PNV
Автор темы
Не в сети
Moderator

Больше

7 года 7 мес. назад #12 от PNV

COM_KUNENA_MESSAGE_REPLIED_NEW

Если при установлении VPN-туннеля в логах клиента появляется следующая ошибка:

Fri Mar 11 16:23:10 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=RU/ST=SPB/L=SPB/O=Organization/OU=IT/CN=Asterisk/name=Asterisk/emailAddress=myemail@domain.com
Fri Mar 11 16:23:10 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Mar 11 16:23:10 2011 TLS Error: TLS object -> incoming plaintext read error
Fri Mar 11 16:23:10 2011 TLS Error: TLS handshake failed
Fri Mar 11 16:23:10 2011 TCP/UDP: Closing socket

то проблема с некорректно созданными сертификатами клиента/сервера.
Необходимо снова пересоздать сертификаты.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

TOLLIFi
Не в сети
Moderator
TOLLIFi Inc.

Больше

7 года 7 мес. назад - 7 года 7 мес. назад #13 от TOLLIFi

COM_KUNENA_MESSAGE_REPLIED_NEW

Вот перевод на русский язык параметров файла конфигурации OpenVPN (server.conf / client.conf). За точность перевода тех или иных параметров не отвечаю - перевел, как смог

--- TUNNEL OPTIONS >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

;mode p2p	;openvpn-режим ('p2p' - 1сервер:1клиент, 'server' - 1сервер:Nклиентов)
;auto-proxy	;использовать прокси-сервер (в начале HTTP-Proxy, иначе SOCKS-Proxy, через API вводится пароль, если включен
resolv-retry infinite	;'infinite' - постоянно/периодически опрашивать доменное имя сервера; '[сек.]' - через фикс. время (0 - отключить DNS-запросы)
proto udp	;протокол по умолчанию ('udp' - на обоих хостах одинаковый д.б.; 'tcp-client' - tcp для клиента; tcp-server - tcp для сервера)
port 1195	;локальный и удаленный TCP/UDP-порт (1194 по умолчанию)
;lport port	;локальный TCP/UDP-порт
;rport port	;удаленный TCP/UDP-порт
;local <IP/hostname>	;слушать VPN-соединения только на указанном IP
;bind	;принимать соединения только на заданные локальные порт и IP-адрес
;nobind	;принимать соединения не только на заданные локальные порт и IP-адрес
;remote IP/hostname <port> <proto>	;удаленный VPN-сервер(клиент)/порт/протокол с которым соединяемся(ждем соединения). Подобие IP-фильтра
float	;разрешить хосту 'remote' авторизацию на локальном VPN с другого IP, в случае, если у него динамический IP
;connect-retry 5	;время [сек.] между повторными попытками соединения (только для 'proto tcp-client')
;connect-retry-max 5	;количество попыток повторных соединений (только для 'proto tcp-client')
;http-proxy <server> <port> <authfile \| 'auto'> <auth-method>	;адрес HTTP-Proxy. ('authfile' - файл с логином и паролем)
;http-proxy-retry	;генерировать событие SIGUSR1 (сброс) в случае ошибки при авторизации на HTTP-Proxy.
;http-proxy-timeout 5	;тайм-аут авторизации [сек.] на HTTP-Proxy
;http-proxy-option type <parm>	;дополнительные опции HTTP-Proxy ('type': VERSION, AGENT; 'param': 1.0, "User-Agent")
;socks-proxy server <port>	;адрес SOCKS5-Proxy/порт
;socks-proxy-retry	;генерировать событие SIGUSR1 (сброс) в случае ошибки при авторизации на SOCKS5-Proxy
	;можно указать несколко VPN-серверов для коннекта (только для режима 'client'). В блоке <connection> можно указать след. параметры (они же являются глобальными, если указаны за пределами блоков):
	;bind, connect-retry, connect-retry-max, connect-timeout, float, http-proxy, http-proxy-option, http-proxy-retry, http-proxy-timeout, local, lport, nobind, port, proto, remote, rport, socks-proxy, socks-proxy-retry
<connection>
remote www.myserver.com 1195 udp
</connection>

;<connection>
;remote 198.19.36.99 443 tcp
;http-proxy 192.168.0.8 8080
;http-proxy-retry
;</connection>
;remote-random	;случайным образом выбирать VPN-сервер для коннекта (из списка доступных <connection>)
;ipchange cmd	;выполнить команду 'cmd', когда IP <remote>-хоста аутентифицируется или изменяется
dev tun	;TUN/TAP-виртуальный интерфейс (д.б. одинаковым на обоих хостах ('tun', 'tap', 'X'), 'X' - указывается, при динамическом назначении интерфейса)
;dev-type <device-type>	;тип виртуального интерфейса ('tun' или 'tap')
;topology net30	;режим сетевой топологии, исп. только для 'dev tun' (при 'dev tap' - 'topology subnet' всегда):
	;'net30' - на клиента выделяется подсеть с маской /30 (исп. обычно для Win);
	;'p2p' - соединение точка-точка (не исп. для Win);
	;'subnet' - на клиента выделяется подсеть с ззаданной маской.
;tun-ipv6	;включить совместимость с IPv6 (только для 'dev tun')
;dev-node <node>	;задать тип интерфейса отличный от /dev/net/tun, /dev/tun, /dev/tap, и др.
;lladdr address	;MAC-адрес интерфейса (только для 'dev tap')
;iproute <cmd>	;использовать отличную от 'iproute2' команду для изменения табл.маршрутизации (исп. в особых случаях запуска openvpn...)
;ifconfig l rn	;сетевые параетры ('l' - локальный IP-адрес VPN-интерфейса. 'rn' - для TUN - IP-адрес удаленной точки VPN, для TAP...
;ifconfig-noexec	;don't actually execute ifconfig/netsh commands, instead pass --ifconfig parameters to scripts using environmental...
;ifconfig-nowarn	;не выдавать предупреждения при возможных проблемах с сетевыми настройками
;route network/IP <netmask> <gateway> <metric>	;добавление маршрута в табл.маршрутизации при запуске openvpn
;max-routes <n>	;максимальное количество 'route', к-ое м.б. добавлено в лок. табл.маршр.
;route-gateway <gw \| 'dhcp'>	;маршрут по умолчанию ('dhcp' - gw, полученный от DHCP-сервера)
;route-metric <m>	;метрика маршрута
;route-delay 0 <w>	; Задержка добавления маршрута в ТМ на 'n' сек. (w - доп. параметр ожидания для Win): 1) пустое значение - доб. сразу, но перед тем, как загрузится --user или --group (или выполнится --chroot); 2) 0 - немедленное добавление; 3) n - по истечении n сек.
;route-up <cmd>	;выполнить команду cmd, после добавления маршрутов
;route-noexec	;не добавлять в авторежиме маршруты. Вместо это направить данные маршруты в скрипт --route-up script
;route-nopull	;когда исп. --client или --pull не принимать маршруты от сервера, но все остальные опции будут приняты
;allow-pull-fqdn	;позволить принимать доменные имена от сервера
;redirect-gateway <flag1 flag2 ...>	;'local', 'def1', 'bypass-dhcp', 'bypass-dns'.
link-mtu 1500	;размер MTU
;tun-mtu 1463	;размер MTU для TUN-интерфейса
tun-mtu-extra 0	;burst MTU. Для TUN по умолчанию - 0, для TAP - 32.
;mtu-disc type	;MTU discovery on TCP/UDP (only supported on OSes such as Linux):
	;'no' - Never send DF (Don't Fragment) frames
	;'maybe' - Use per-route hints
	;'yes' - Always DF (Don't Fragment)
;mtu-test	;распознать MTU при установке соединения путем посылки ping разных размеров (занимает около 3 мин.).
;fragment <max>	;фрагментация UDP пакетов на размеры не более 'max' (включая, 4 доп.байта)
;mssfix <max>	;х/з че за хреновина
sndbuf 65536	;TCP/UDP socket send buffer size
rcvbuf 65536	;TCP/UDP socket receive buffer size
;socket-flags <flag1 flag2 ...>	;'TCP_NODELAY' (для уменьшения задержек) useful in TCP mode, and causes the kernel to send...
txqueuelen 100	;(Linux only) Set the TX queue length on the TUN/TAP interface. Currently defaults to 100
;shaper <n>	;ограничение исходящего трафика по туннелю до 'n' Байт/сек. 100 bytes/sec <= 'n' <= 100 Mbytes/sec
inactive 1800	;отключить VPN-соединение, если в течении 30 мин. не было передано данных (суммарным размером 'bytes')
ping 240	;пинговать удаленный хост каждые 4 мин. (шифруется, если исп. TLS)
ping-exit 3600	;если по истечении 1 часа не было получено ответов на 'ping' - отключить VPN-соединение
;ping-restart 7260	;если по истечении 2 часов не было получено ответов на 'ping' - переподключить VPN-соединение
;keepalive 60 300	;пинговать каждые 60 сек, если нет ответа после 300 сек. - переподключить VPN-соединение
;ping-timer-rem	;run the --ping-exit / --ping-restart timer only if we have a remote address
persist-tun	не закрывать и переоткрывать TUN/TAP, если поступил сигнал 'SIGUSR1' или 'ping-restart'
persist-key	;не считывать заново '*.key' файлы, если поступил сигнал 'SIGUSR1' или 'ping-restart'
;persist-local-ip	;сохранить изначальный локальный IP-адрес и порт для соединения, если поступил сигнал 'SIGUSR1' или 'ping-restart'
;persist-remote-ip	;сохранить изначальный удаленный IP-адрес и порт для соединения, если поступил сигнал 'SIGUSR1' или 'ping-restart'
;mlock	;хранить все секретные данные VPN-соединения в памяти, а не в файле подкачки на HDD
;up <cmd>	;выполнить команды 'cmd', после того как TUN/TAP device будет открыт
;down <cmd>	;выполнить команды 'cmd', после того как TUN/TAP device будет закрыт
;down-pre	;вызвать 'down cmd' перед тем, как TUN/TAP device будет закрыт
;up-delay	;задержка передачи данных, пока не закончится аутентификация
;up-restart	;выполнять команды 'up cmd' и 'down cmd' также при перезапуске VPN-соединения
;setenv <name> <value>	;присвоить переменной 'name' значение 'value'
;setenv FORWARD_COMPATIBLE 1	;игнорировать команды не поддерживаемые данной версией OpenVPN
;setenv-safe <name> <value>	;присвоить переменной 'OPENVPN_name' значение 'value'
script-security 1 execve	;policy-level control over OpenVPN's usage of external programs and scripts:
	;0 - Strictly no calling of external programs
	;1 - (Default) Only call built-in executables such as ifconfig, ip, route, or netsh
	;2 - Allow calling of built-in executables and user-defined scripts
	;3 - Allow passwords to be passed to scripts via environmental variables (potentially unsafe)
;disable-occ	;игнорировать несоответствия параметров между сервером и клиентом
user nobody	;сменить UID демона на 'nobody', после инициализации VPN-соединения
group nogroup	;сменить GID демона на 'nogroup', после инициализации VPN-соединения
cd /etc/openvpn/	;сменить директорию на 'dir', перед считыванием файлов секретных ключей и т.п.
;chroot <dir>	;сменить корневую директорию на 'dir', выше которой OpenVPN не получит доступа
;setcon <context>	;х/з че означает
;daemon <progname>	;использовать для логирования демон 'daemon', в кач-ве имени программы в логах исп. 'progname'
;syslog <progname>	;логировать все в syslog, в кач-ве имени программы в логах исп. 'progname'
passtos	;назначить TOS пакетам VPN-соединения из содержимого TOS шифрованного пакета
;inetd <wait \| nowait> <progname>	;use this option when OpenVPN is being run from the inetd or xinetd( server
;log <file>	;логировать все сообщения в файл 'file', при перезагрузке файл очищается
log-append /var/log/openvpn_tun.log	;логировать все сообщения в файл '/var/log/openvpn_tun.log', при перезагрузке в файл добавляются очередные логи
;suppress-timestamps	;не указывать время в лог-сообщениях
;writepid /var/run/openpvn.pid	;записывать OpenVPN's PID в '/var/run/openpvn.pid'
;nice <n>	;изменить приоритет процесса OpenVPN после инициализации на 'n'.
;fast-io	;активировать быстрые операции I/O (исп. в non-Windows системах, где 'proto udp' и 'shaper' не задействован)
;multihome	;для сервера OS Linux only - отсылать пакеты обратно в тот интерфейс, в который пакет пришел
;echo <parms...>	;послать сообщение 'params' в лог-файл.
;remap-usr1 <signal>	;преобразовавать внутренние или внешние сгенерированные сигналы SIGUSR1 в сигнал 'signal':
	;SIGHUP - перезапуск без учета параметров 'persist..';
	;SIGTERM - завершение VPN-соединения и выход
verb 3	;уровень важности сообщений в логах:
	;0 - No output except fatal errors;
	;1-4 - Normal usage range
	;5 - Output R and W characters to the console for each packet read and write
	;6-11 - Debug info range (see errlevel.h for additional information on debug levels)
status openvpn-status_tun.log 120	;записывать статус состояния OpenVPN в файл 'openvpn-status_tun.log' каждые 120 сек.
status-version 1	;версия формата файла статуса: 1, 2 или 3 (по умолчанию 1)
;mute <n>	;ограничить логирование последовательных сообщений одно типа до 'n'.
;comp-lzo yes	;использовать LZO-сжатие пакетов (no, yes, adaptive - по умолчнию)
;push "comp-lzo yes"
;comp-noadapt	;не использовать адаптивный режим сжатия (исп. при указании режима LZO от сервера)
management localhost 8888	;активировать интерфейс для управления (в качестве IP м.б. указан "tunnel", 'pw-file' - файл с паролем) на порт 8888
;management-query-passwords	;запрашивать пароль при входе интерфейс управления
;management-forget-disconnect	;не кэшировать пароли после завершения сеанса управления (выхода из интерфейса управления)
;management-hold	;запуск интерфейса управления в режиме ожидания
;management-signal	;послать 'SIGUSR1' в OpenVPN при выходе из интерфейса управления
;management-log-cache <n>	;кэшировать 'n' последовательных лог-сообщений интерфейса управления
;management-client-auth	;дает клиенту интерфейса управления ответственность подтвердить подлинность
;management-client-pf	;задействовать фильтр пакетов для клиентов интерфейса управления
;management-client-user <u>	;фильтровать доступ к интерфейсу управления (доступ только пользователям 'u')
;management-client-group <g>	;фильтровать доступ к интерфейсу управления (доступ только группе пользователей 'g')
;plugin module-pathname <init-string>	...
;plugin /usr/lib/openvpn/openvpn-auth-pam.so login	...

[/size]

--- CLIENT-MODE OPTIONS >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

--- DATA CHANNEL ENCRYPTION OPTIONS >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

;secret <file> <direction>	;Шифрование со статическим ключом (non-TLS). Исп. ключ (2048 bit) в секретном файле, генерируемом командой 'genkey'
	;'direction' - дополнительное штфрование отдельных направлений. '1' - у одного участника соединения, '2' - у обоих
auth MD5	;authenticate packets with HMAC using message digest algorithm alg. (The default is SHA1) ('none' без аутентификции)
cipher BF-CBC	;encrypt packets with cipher algorithm alg. The default is BF-CB (BF-CBC, AES-128-CBC, DES-EDE3-CBC)
;keysize <n>	;size of cipher key in bits (optional)
;prng <alg> <nsl>	;(advanced) использовать псевдо-случайный генератор чисел, для алгоритма (default=sha1), и (опционально) nsl (default=16) от 16 до...
	;alg=none - отключить встроенный ПСГЧ и исп. ПСГЧ OpenSSL RAND_bytes
;engine <engine-name>	;активировать крипто-движок OpenSSL ('engine-name' - опционально указывается конкретное название)
;no-replay	;replay protection is accomplished by tagging each outgoing datagram with an identifier that is guaranteed to be ...
replay-window 128 <t>	;use a replay protection sliding-window of size 'n' and a time window of 't' seconds. By default 'n' is 64 (the IPSec default)
mute-replay-warnings	;(для Wi-Fi) silence the output of replay warnings, which are a common false alarm on WiFi networks
;replay-persist <file>	;persist replay-protection state across sessions using file to save and reload the state
;no-iv	;не использовать ПСГЧ (когда все сообщения шифруются одним и тем же секретным ключом) - повышает производительность
;test-crypto	;протестировать параметры шифрования, указанные выше:
	;openvpn --test-crypto --secret key
	;openvpn --test-crypto --secret key --verb 9

[/size]

--- TLS MODE OPTIONS >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Last edit: 7 года 7 мес. назад by TOLLIFi.

Спасибо сказали: PNV

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

В начало
Назад
1
Вперёд
В конец

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

client	;режим клиента ('client' эквивалентно 'pull' + 'tls-client')
pull	;разрешать серверу вносить изменения в локальную таблицу маршрутизации.
auth-user-pass /etc/openvpn/keys/auth-user-pass	;авторизация на сервере с использование логина и пароля пользователя в системе сервера
auth-retry nointeract	Режимы повторной авторизации:
	;'none' - Client will exit with a fatal error (this is the default)
	;'nointeract' - Client will retry the connection without requerying for an --auth-user-pass username/password
	;'interact' - Client will requery for an --auth-user-pass username/password and/or private key password before attempting a reconnection
;server-poll-timeout 15	;по истечении ожидания коннекта с первым, ч/з 15 сек посылать запрос на открытие VPN-соединения с другим VPN-сервером
explicit-exit-notify 3	;послать серверу(клиенту) сигнал о закрытии VPN-соединения

ca keys/ca.crt	;путь к сертификату сервера сертификации
cert keys/metro.crt	;путь к собственному сертификату
key keys/metro.key	;путь к собственному секретному ключу
tls-remote MyServer	;устанавливать TLS-сессии только с сервером MyServer
ns-cert-type server	;проверять, что сертификат подписан самим сервером
;auth-nocache	;не кэшировать пароль в файле подкачки (т.е. постоянно "ручками" придется вбивать логин и пароль)
askpass /etc/openvpn/keys/askpass	;запрашивать пароль на запуск демона OpenVPN (либо вводить с консоли, либо брать из файла '/etc/openvpn/keys/askpass')
tls-client	;режим TLS-клиента
tls-auth keys/ta.key 1	;защита от DDoS-атак
reneg-sec 14400	;перепроверять TLS-соединение каждые 4 часа (TLS-handshake - повторный обмен данными аутентификации)
tls-timeout 240	;тайм-аут обмена пакетами TLS-данных 4 мин. (если нет 'ack' от удаленного хоста, то следует повторная передача пакета)
hand-window 1200	;каждые 20 мин. попробовать установить TLS-соединение (если еще не установлено)
tran-window 3600	;через 1 час. больше не использовать старые аутентификационные данные TLS-соединения для передачи данных
;tls-exit	;закрыть TLS-соединение и не пытаться его повторно устанавливать по истечении 'tran-window'

Установка и настройка OpenVPN

Вложения: