Установка openvpn-client-export
Первым делом установим openvpn-client-export, для экспорта файлов конфигурации пользователя vpn и самого OpenVPN client.
- Переходим в
System -> Package Manager -> Available Packages
- В поле поиска вбиваем openvpn-client-export
- Ну и жмём
install
Создание OpenVPN server
Далее настраиваем OpenVPN сервер
- Переходим в
System -> Certificate Manager -> СAs
- Создаём сертификат CA
- Переходим в
VPN -> OpenVPN -> Wizard
- В графе Select an Authentication Backend Type выбираем Local User Access
- Далее в Choose a Certificate Authority (CA) выбираем наш сертификат, созданный во 2 пункте
- В следующем окне выбираем Add new certificte и создаем сертификат для сервера, или выбираем в списке уже существующий
- Собственно главный шаг при создании сервера OpenVPN со множеством настроек. Ниже список с применяемыми настройками:
- Interface - WAN
- Protocol - UDP
- Local Port - 1194 ( Лучше указать не стандартный )
- TLS Authentication - true
- Generate TLS Key - true
- DH Parameters Length - 4096 bit ( Тут на свое усмотрение )
- Encryption Algorithm - Тут на свое усмотрение
- Auth Digest Algorithm - Тут на свое усмотрение
- Tunnel Network - 10.10.1.0/24 ( Это будет сеть которая будет выдаваться клиентам OpenVPN )
- Redirect Gateway - false ( Но возможно для кого-то будет лучше true. Если включить, то после подключения весь трафик на клиенте будет уходить в vpn. Т.е если открыть youtube, то смотреть его вы будете через OpenVPN server )
- DNS Server 1 - можно указать конкретный DNS для клиентов
- Жмём
next
и выставляем галочки напротив Firewall Rule, OpenVPN rule - Жмём
Finish
После всего проделанного вVPN -> OpenVPN -> Servers
появится VPN сервер.
Добавление routes
Тот кто хоть немного разбирается в сети сразу заметит что я остался без роутов, потому что выставил Redirect Gateway - false. Для того чтобы прописать роуты:
- Жмём
edit
на vpn сервере и в поле Custom options вбиваем наш route push “route 10.0.0.0 255.255.255.0”. Собственно в описании к полю всё понятно - Есть второй способ, о нём напишу ниже
Создание клиента OpenVPN
Следующий этап это создание клиента OpenVPN
- Переходим в
System -> User Manager -> Users
и жмёмadd
- Username - test
- Password - password
- Full name - test
- Certificate - true
- Descriptive name - test
- Жмём
save
и пользователь создан
Экспорт файлов конфигурации для клиента через openvpn-client-export
Теперь всё готово для подключения ( !!! если у вас всё нормально на сетевом уровне ). Используем openvpn-client-export, который ставили в самом начале:
- Переходим в
OpenVPN -> Client Export Utility
- Remote Access Server - настроенный OpenVPN servrer
- Host Name - Если вы используете nat для wan интерфейса PfSense пишем тут внешний IP. Если нет, то пусто
- Use Random Local Port - true
- Жмём
Save as default
- Во вкладке
OpenVPN Clients
видим созданного нашего пользователя test. Жмём на интересующую нас кнопку в полеExport
и сохраняем файл установки с конфигурацией именно для этого пользователя.
Client Specific Overrides
Суть этой вкладки в том, что вы можете в зависимости от пользователя OpenVPN прописывать разные routes или выдавать им определенные ip. Проще говоря своя конфигурация для каждого пользователя. Причем после изменения или создания не надо переустанавливать ничего у клиента, все применяется автоматически после соединения пользователя / клиента с OpenVPN сервером
Настройки
- Server List - сервер OpenVPN
- Common Name - имя пользователя ( test )
- IPv4 Tunnel Network - ip адрес клиента ( но с маской подсети чтобы был доступен шлюз 1.1.1.1/24 )
- Advanced - можно прописать route для конкретного пользователя
Подключение к серверу OpenVPN
После того как скачали файл установки с конфигурацией пользователя ( описано выше ) запускаем установку, где просто жмём далее.
После установки запускаем OpenVPN client, жмём правой кнопкой на значке в трее, выбираем наш конфиг и жмём connect. Приложение запросит логин и пароль ( создавали выше ). После удачного подключения значок в трее станет зелёным.
Вот и ВСЁ. Работает
Также настоятельно рекомендую добавить правила в Firewall и удалить стандартные для соблюдения правил ИБ. Но статья не об этом.
Комментарии