Hout cinci mii de OpenVPN, este un blog

Acesta este un extras hautushka multe articole cu o descriere minimă a etapelor și fără apă. Se înțelege că CA și serverul OpenVPN se află în același gazdă. În plus, obosit de fiecare dată când Google pe această temă, deoarece marea majoritate a manualelor sunt depășite, este nevoie de o lungă perioadă de timp pentru a ridica serviciul.

server de configurare

Pune OpenVPN și de a crea un utilizator cu același nume, sub care va opera daemon:

OpenVPN cu următorul conținut pentru a crea o configurație de server:

Du-te la directorul acasă, descărcați și dezarhivați easyrsa 3 versiuni:

Du-te la easyrsa3 director și declara variabile să-l:

Inițializa PKI (Public Key Infrastructure - PKI):

Creați un certificat rădăcină. Asigurați-vă că pentru a introduce o parolă complexă, și server de nume comune, cum ar fi serverul meu VPN:

Creați chei Diffie-Hellman:

Creați o cerere de certificat pentru serverul OVPN. Vă atrag atenția că certificatul va nezaparolen (parametrul NoPass), în caz contrar, la fiecare pornire a OpenVPN va cere parola:

Creați-vă certificat de server OVPN:

Copiați primit cheile de la un OpenVPN director de lucru:

Crearea «HMAC firewall» pentru a proteja împotriva inundațiilor DoS ATTAC și portul UDP:

Creați cerere-cheie protejată prin parolă pentru un client (trebuie să introduceți de fiecare dată când conectați) cu numele de utilizator:

Crearea unei chei de utilizator (implicit din VAR pentru o perioadă de 10 ani):

Sau limitarea certificatului la 90 de zile (după data expirării, puteți doar re-release):

Client pentru a transfera aceste fișiere:

certificat de revizuire

Generarea de fișiere chei revocate:

Creați un link simbolic la directorul cu tastele (desigur, și fișierul poate fi copiat, dar va trebui să facă de fiecare dată când revocarea certificatului):

În /etc/openvpn/server.conf adăugați o linie

Examinat de către un certificat de utilizator:

De fiecare dată când un certificat este revocat, trebuie să actualizați crl.pem. pentru a face modificări la ea:

Notă: Fișierul cheie același nume nu poate fi creat până la revocarea vechi. Când încercați să creați un certificat cu un nume existent va genera o eroare:

Setarea minim de acces Iptables OpenVPN clienților la rețeaua locală

Am dat peste un fir. nechezatul și a decis să adauge o notă. Dacă OpenVPN trebuie să se conecteze la Internet - este necesar să se facă pentru a OpenVPN a fost gateway-ul implicit (default gateway) și regulile iptables corecte.
De fapt, configurația pentru server:

Configurarea pentru client nu va fi diferit de cele de mai sus.

Setarea minimă iptables pentru a ieși din clienții OpenVPN on-line

Pentru a exclude posibilitatea de atac bug-ul MITM care arata ca acest lucru în jurnalele de client:

Utilizați parametrul de la distanță-CERT-server de tls. care este deja prezentă în configurarea de client.

Lista de certificate valabile și revocate

Lista de certificate valabile și revocate pot fi găsite în fișierul

/easy-rsa-master/easyrsa3/pki/index.txt. Începutul liniei oisaniya fiecare certificat începe cu literele V sau R. și ce înseamnă valid Revocat, de exemplu:

După cum se poate observa, primul și al cincilea sunt certificate valabile revocate 2-4.

În cazul în care clientul este pe Windows

Pune OpenVPN GUI, descarcati-l aici. Copiați cheile client în C: \ Program Files \ OpenVPN \ config \. Copiați configurația client și introdus în dosarul client.ovpn. a pus acolo. În total, acest director ar trebui să aibă cinci fișiere - User.crt, User.key, ca.crt, ta.key, client.ovpn.
Asigurați-vă că pentru a rula GUI OpenVPN ca administrator. în caz contrar nu prodnimutsya rute divers, și să facă o conexiune prin dublu-clic pe pictograma din tava de sistem (lângă ceasul este o zonă, de obicei, în colțul din dreapta jos).

Mesaj de navigare

și dacă

server de /easyrsa.real sign-req vpn.1-ok.com
Notă: folosind configurația Easy-RSA de la. / vars
Easy-RSA eroare:
Necunoscut tip CertificatAcreditat „server“

structura de directoare rupt este probabil. Codul sursă este scris,

și anume $ EASYRSA_EXT_DIR = ușor-rsa-master / easyrsa3 / X509 tipuri. Presupun că nu are acest director sau conținutul său.
Descărcați ușor rsa3 de zbor noi și toate.

În cazul în care Linux este nici o interfață grafică, ea /etc/init.d/openvpn reporni
Dacă un GUI, apoi configurați o conexiune prin intermediul administratorului de rețea
Dacă Windows, apoi descărcați fișierele client și-l împinge.

Vă mulțumim! Client pe zmeura (raspbian wheezing)
la comanda: /etc/openvpn/client.conf OpenVPN scrie:

fă-o din nou? ce sa întâmplat?

Este clar, de asemenea, spune - nici User.crt fișier nu poate încărca fișierul certificat User.crt. Nu există un astfel de fișier sau director. Presupun că
1. Este necesar să se pornească de la rădăcină, adică în cazul utilizării zmeură sudo
2. Înainte de a începe să facă un CD / calea / spre / chei sau de a folosi căi absolute în configurarea