Установка openvpn-client-export

Первым делом установим openvpn-client-export, для экспорта файлов конфигурации пользователя vpn и самого OpenVPN client.

  1. Переходим в System -> Package Manager -> Available Packages
  2. В поле поиска вбиваем openvpn-client-export
  3. Ну и жмём install

Создание OpenVPN server

Далее настраиваем OpenVPN сервер

  1. Переходим в System -> Certificate Manager -> СAs
  2. Создаём сертификат CA
  3. Переходим в VPN -> OpenVPN -> Wizard
  4. В графе Select an Authentication Backend Type выбираем Local User Access
  5. Далее в Choose a Certificate Authority (CA) выбираем наш сертификат, созданный во 2 пункте
  6. В следующем окне выбираем Add new certificte и создаем сертификат для сервера, или выбираем в списке уже существующий
  7. Собственно главный шаг при создании сервера OpenVPN со множеством настроек. Ниже список с применяемыми настройками:
    • Interface - WAN
    • Protocol - UDP
    • Local Port - 1194 ( Лучше указать не стандартный )
    • TLS Authentication - true
    • Generate TLS Key - true
    • DH Parameters Length - 4096 bit ( Тут на свое усмотрение )
    • Encryption Algorithm - Тут на свое усмотрение
    • Auth Digest Algorithm - Тут на свое усмотрение
    • Tunnel Network - 10.10.1.0/24 ( Это будет сеть которая будет выдаваться клиентам OpenVPN )
    • Redirect Gateway - false ( Но возможно для кого-то будет лучше true. Если включить, то после подключения весь трафик на клиенте будет уходить в vpn. Т.е если открыть youtube, то смотреть его вы будете через OpenVPN server )
    • DNS Server 1 - можно указать конкретный DNS для клиентов
  8. Жмём next и выставляем галочки напротив Firewall Rule, OpenVPN rule
  9. Жмём Finish После всего проделанного в VPN -> OpenVPN -> Servers появится VPN сервер.

Добавление routes

Тот кто хоть немного разбирается в сети сразу заметит что я остался без роутов, потому что выставил Redirect Gateway - false. Для того чтобы прописать роуты:

  1. Жмём edit на vpn сервере и в поле Custom options вбиваем наш route push “route 10.0.0.0 255.255.255.0”. Собственно в описании к полю всё понятно
  2. Есть второй способ, о нём напишу ниже

Создание клиента OpenVPN

Следующий этап это создание клиента OpenVPN

  1. Переходим в System -> User Manager -> Users и жмём add
    • Username - test
    • Password - password
    • Full name - test
    • Certificate - true
    • Descriptive name - test
  2. Жмём save и пользователь создан

Экспорт файлов конфигурации для клиента через openvpn-client-export

Теперь всё готово для подключения ( !!! если у вас всё нормально на сетевом уровне ). Используем openvpn-client-export, который ставили в самом начале:

  1. Переходим в OpenVPN -> Client Export Utility
    • Remote Access Server - настроенный OpenVPN servrer
    • Host Name - Если вы используете nat для wan интерфейса PfSense пишем тут внешний IP. Если нет, то пусто
    • Use Random Local Port - true
  2. Жмём Save as default
  3. Во вкладке OpenVPN Clients видим созданного нашего пользователя test. Жмём на интересующую нас кнопку в поле Export и сохраняем файл установки с конфигурацией именно для этого пользователя.

Client Specific Overrides

Суть этой вкладки в том, что вы можете в зависимости от пользователя OpenVPN прописывать разные routes или выдавать им определенные ip. Проще говоря своя конфигурация для каждого пользователя. Причем после изменения или создания не надо переустанавливать ничего у клиента, все применяется автоматически после соединения пользователя / клиента с OpenVPN сервером

Настройки

  • Server List - сервер OpenVPN
  • Common Name - имя пользователя ( test )
  • IPv4 Tunnel Network - ip адрес клиента ( но с маской подсети чтобы был доступен шлюз 1.1.1.1/24 )
  • Advanced - можно прописать route для конкретного пользователя

Подключение к серверу OpenVPN

После того как скачали файл установки с конфигурацией пользователя ( описано выше ) запускаем установку, где просто жмём далее.

После установки запускаем OpenVPN client, жмём правой кнопкой на значке в трее, выбираем наш конфиг и жмём connect. Приложение запросит логин и пароль ( создавали выше ). После удачного подключения значок в трее станет зелёным.

Вот и ВСЁ. Работает

Также настоятельно рекомендую добавить правила в Firewall и удалить стандартные для соблюдения правил ИБ. Но статья не об этом.