Перед більшістю системних адміністраторів встають такі завдання як об'єднання віддалених офісів в єдину мережу, а також забезпечення віддаленого доступу співробітників до різних ресурсів мережі. Основними вимогами є простота і швидкість настройки, а також безпеку і безперебійність роботи. Важливим фактором також є кроссплатформенность - можливість підключатися з різних пристроїв і різних операційних систем. Все це можна легко реалізувати за допомогою OpenVPN. Одного разу налаштований сервер OpenVPN буде працювати роками і повністю задовольняти вимогам безпеки.
Як встановити OpenVPN на сервер
Спочатку створюємо сервер VScale з будь-якою конфігурацією і операційною системою Ubuntu 16.04 Через кілька секунд можна підключитися до нього будь-яким SSH-клієнтом.
Змінимо пароль суперкористувача root
Оновимо джерела додатків і операційну систему до актуального стану
Встановимо консольную утиліту Easy-RSA для генерації сертифіката сервера і сертифікатів для кожного з клієнтів, які будуть використовуватися для підключення:
Переходимо в каталог з утилітою і готуємо змінні для генерації сертифікатів
Задаємо змінну довжини ключа:
Це стандартне значення. Якщо потрібна підвищена безпека, то можна встановити значення 2048. Однак слід пам'ятати, що навантаження на сервер буде змінюватися пропорційно цьому значенню.
Інші параметри заповнюються у відповідність з вашими побажаннями, наприклад
Включаємо використання наших змінних
Очищаємо папку з ключами
Генеруємо кореневий сертифікат. В процесі генерації утиліта буде використовувати вже зазначені нами дані в змінних, тому натискаємо Enter на всі питання.
Генеруємо таким же чином сертифікат сервера. Відповідаємо Y на запит про підписуванні сертифіката.
Тепер генеруємо сертифікати для кожного пристрою, який планується підключати до сервера. Повторюємо команду потрібну кількість разів, змінюючи ім'я сертифіката (в прикладі сертифікат називається macbook)
Генеруємо ключ Діффі-Хеллмана:
В результаті в папці / usr / share / easy-rsa / keys у нас тепер лежать наші сертифікати та ключі.
Копіюємо всі наші згенеровані сертифікати і ключі:
Вносимо в нього наступні рядки:
Зберігаємо конфігураційний файл і виконаємо ще кілька простих дій. Спочатку слід дозволити форвардного пакетів, для цього відредагуємо /etc/sysctl.conf
Щоб створене нами правило пропуску трафіку не віддалилося після перезавантаження сервера встановимо пакет iptables-persistent:
При установці на питання про збереження поточних правил IPv4 відповідаємо ствердно. Тепер перезавантажуємо сервер і перевіряємо, що OpenVPN успішно запущений:
Приступаємо до налаштування з боку клієнта. Незалежно від операційної системи нам всього лише потрібно чотири файли: кореневий сертифікат сервера (ca.crt), персональний сертифікат клієнта і відповідний йому ключ (macbook.crt і macbook.key), а також конфігураційний файл для клієнта. Перші три файли у нас вже є на сервері в папці / etc / openvpn / keys - їх можна легко завантажити з сервера за допомогою SFTP. А ось конфігураційний файл нам потрібно створити вручну. Створюємо на комп'ютері-клієнті окрему папку і поміщаємо туди сертифікати. Потім створюємо конфиг для клієнта з будь-яким ім'ям і розширенням ovpn:
Після установки клієнта для Windows достатньо лише скопіювати конфігураційний файл і сертифікати в папку C: \ Program Files \ OpenVPN \ config і запустити підключення. Користувачі Linux можуть використовувати Network Manager для створення нового VPN-з'єднання і вказівки шляху до конфігураційного файлу. У разі MacOS з встановленим TunnelBlick - досить подвійного кліка по ovpn-файлу і система сама імпортує новий профіль з'єднання.