Openvpn Инструкция На Русском
May 26, 2014 - почему эти вопросы незадать тому, кто выдал ключи. Конечно каждый комп (и Win8, и Ubuntu 12.04) - клиент. Тут вы наверное совместили выданные ключи и инструкцию с хабра. Запросите инструкцию от того источника, что выдал ключи. Используйте нативный клиент. Руководство по Mikrotik на русском. Скачать микротик русский мануал, делали заявление синоним. Скачать бесплатно openvpn client windows 7 x64 на русском. OpenVPN – инструмент. Переведенный на русский. OpenVPN настройка видео инструкция.
Примечания: добавьте хотя бы информацию о поддержке IPv6 и L2 Ethernet bridging. Страница практически полностью без перевода (обсуждение: ) Эта статья описывает базовую установку и настройку, чего достаточно для частного использования или малой офисной сети. Больше информации можно найти на странице и на странице. OpenVPN - мощный и гибкий кроссплатформенный демон, поддерживающий безопасность, или через или, поддерживает, масштабируется на сотни и тысячи пользователей. OpenVPN тесно связан с библиотеками и механизмы шифрования основаны в основном на нем.
OpenVPN поддерживает простое шифрование с (режим статического ключа) или (режим с использованием клиентских и серверных сертификатов. OpenVPN так же поддерживает незашифрованные TCP/UDP туннели.
OpenVPN использует виртуальные сетевые интерфейсы, поддерживаемые на множестве платформ. В целом, OpenVPN предлагает многие из основных особенностей OpenVPN была написана James Yonan и распространяется под лицензией. Примечание: Пакет OpenVPN поддерживает режим как сервера, так и клиента, поэтому установите его на всех машинах, которые должны создать VPN-соединение. Настройка поддержки TUN/TAP OpenVPN требует поддержки TUN/TAP. Удостоверьтесь в загрузке tun модуля.
По умолчанию ядро уже настроено, но если Вы используете другое ядро, тогда проверьте что модуль TUN/TAP загружен. Если $ zgrep CONFIGTUN /proc/config.gz возвратит CONFIGTUN=n, тогда перенастройте конфигурационный файл ядра и пересоберите ядро.
Ютьюб На Русском
Kernel config file Device Drivers - Network device support M Universal TUN/TAP device driver support Подключение к VPN, предоставляемой третьей стороной Для подключения к VPN, предоставленной третьей стороной, большинство текста ниже скорее всего может не пригодиться. Используйте сертификаты и инструкции, предоставленные поставщиком, например см.:. Примечание: Если иное не оговорено, остальная часть этой статьи предполагает эту базовую конфигурацию. OpenVPN является чрезвычайно универсальным программным обеспечением, позволяющим настроить конфигурацию на любой вкус, где одна машина может одновременно являться сервером и клиентом, делая их между собой неразличимыми. То, что действительно отличает сервер от клиента (помимо используемого типа сертификата) является сам конфигурационный файл.OpenVPN демон при запуске считывает все файлы конфигурации.conf в /etc/openvpn и запускается в соответсвии с ними. Если он находит более одного файла конфигурации, он запустит один процесс OpenVPN на каждый файл конфигурации. Эта статья объясняет, как настроить сервер с именем elmer и клиент, который подключается к ней по имени bugs.
Инотв На Русском
Серверы и клиенты могут быть легко добавлены путем создания новых пар ключ/сертификат и файлов конфигурации сервера и клиента. Пакет OpenVPN поставляется с набором файлов-примеров конфигураций для различных целей. Эти файлы будут идеальной отправной точкой для базовой настройки OpenVPN со следующими характеристиками:. Использует для аутентификации. Создает VPN, используя виртуальный TUN сетевой интерфейс (OSI L3 IP маршрутизации). Слушает 1194 UDP порт для клиентских подключений (OpenVPN ). Раздает виртуальные адреса подключенным клиентам из 10.8.0.0/24 подсети Для более продвинутых конфигураций смотрите официальную.
Конфигурация сервера Скопируйте пример конфигурационного файла сервера в /etc/openvpn/server/server.conf: # cp /usr/share/openvpn/examples/server.conf /etc/openvpn/server/server.conf Отредактируйте следующее:. Параметры ca, cert, key, и dh, указав путь, имена ключей и сертификатов. Указанные абсолютные пути позволят вам запустить OpenVPN из любого каталога для проверки.
Включите HMAC защиту SSL/TLS. Обратите внимание на использование параметра 0 для сервера. В целях безопасности рекомендуется запускать OpenVPN с пониженными правами. Раскомментируйте строки user и group. /etc/openvpn/server/server.conf ca ca.crt cert elmer.crt key elmer.key dh dh2048.pem tls-auth ta.key 0 user nobody group nobody. Примечание: Обратите внимание, что если сервер находится за брандмауэром или за NAT маршрутизатора, вам придется пробросить порт OpenVPN UDP (1194) на сервер Конфигурация клиента Скопируйте пример конфигурационного файла клиента в /etc/openvpn/client/client.conf: # cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/client.conf Отредактируйте следующее:.
В remote строке укажите подключаемый сервер, hostname (as known to the client), либо IP адрес. Раскомментируйте user и group строки для понижения привилегий. Параметры ca, cert, and key указав путь, имена ключей и сертификатов. Включите HMAC защиту SSL/TLS. Обратите внимание на использование параметра 1 для клиента. /etc/openvpn/client/client.conf remote elmer.acmecorp.org 1194.
Fdating На Русском Языке
User nobody group nobody. User nobody group nobody ca ca.crt cert client.crt key client.key. Tls-auth ta.key 1 Проверка настроек OpenVPN Запустите # openvpn /etc/openvpn/server/server.conf на сервере, и # openvpn /etc/openvpn/client/client.conf на клиенте. Вы должны увидеть следующее: # openvpn /etc/openvpn/server/server.conf Wed Dec 28 14: OpenVPN 2.2.1 x8664-unknown-linux-gnu SSL LZO2 EPOLL eurephia built on Aug 13 2011 Wed Dec 28 14: NOTE: OpenVPN 2.1 requires '-script-security 2' or higher to call user-defined scripts or executables Wed Dec 28 14: Diffie-Hellman initialized with 2048 bit key. Примечание: Если Вы не настроите MTU, тогда будут передаваться маленькие пакеты, такие как пинг и DNS будут работать, но просмотр веб страниц работать не будет. Теперь необходимо настроить максимальный размер сегмента (MSS).
Для того чтобы сделать это, мы должны выяснить, какой MTU является наименьшим между клиентом и сервером. Для этого проверьте связь с сервером и отключите фрагментацию. Укажите максимальный размер пакета. # ping -c5 -M do -s 1500 elmer.acmecorp.org PING elmer.acmecorp.org (99.88.77.66) 1500(1528) bytes of data. From 1.2.3.4 (99.88.77.66) icmpseq=1 Frag needed and DF set (mtu = 576) From 1.2.3.4 (99.88.77.66) icmpseq=1 Frag needed and DF set (mtu = 576) From 1.2.3.4 (99.88.77.66) icmpseq=1 Frag needed and DF set (mtu = 576) From 1.2.3.4 (99.88.77.66) icmpseq=1 Frag needed and DF set (mtu = 576) From 1.2.3.4 (99.88.77.66) icmpseq=1 Frag needed and DF set (mtu = 576) - core.myrelay.net ping statistics - 0 packets transmitted, 0 received, +5 errors We received an ICMP message telling us the MTU is 576 bytes. The means we need to fragment the UDP packets smaller then 576 bytes to allow for some UDP overhead. # ping -c5 -M do -s 548 elmer.acmecorp.org PING elmer.acmecorp.org (99.88.77.66) 548(576) bytes of data.
556 bytes from 99.88.77.66: icmpseq=1 ttl=48 time=206 ms 556 bytes from 99.88.77.66: icmpseq=2 ttl=48 time=224 ms 556 bytes from 99.88.77.66: icmpseq=3 ttl=48 time=206 ms 556 bytes from 99.88.77.66: icmpseq=4 ttl=48 time=207 ms 556 bytes from 99.88.77.66: icmpseq=5 ttl=48 time=208 ms - myrelay.net ping statistics - 5 packets transmitted, 5 received, 0% packet loss, time 4001ms rtt min/avg/max/mdev = 206.027/210.603/224.158/6.832 ms After some trial and error., we discover that we need to fragment packets on 548 bytes. In order to do this we specify this fragment size in the configuration and instruct OpenVPN to fix the Maximum Segment Size (MSS). /etc/openvpn/client/client.conf remote elmer.acmecorp.org 1194. Fragment 548 mssfix. User nobody group nobody. Ca ca.crt cert bugs.crt key bugs.key. Tls-auth ta.key 1.
Примечание: Это добавит около 3 минут к запуску OpenVPN. Желательно настроить размер фрагмента, если только ваш клиент не является ноутбуком, который будет подключен через множество различных сетей и будет горлышком бутылки на стороне клиента.
Вы также можете позволить OpenVPN делать проверку пинга каждый раз, когда клиент подключается к VPN. /etc/openvpn/client/client.conf remote elmer.acmecorp.org 1194. User nobody group nobody. Ca ca.crt cert bugs.crt key bugs.key. Tls-auth ta.key 1 Запуск OpenVPN Ручной старт Для отладки VPN подключений, запускайте демон вручную: # openvpn /etc/openvpn/client/client.conf. Настройка запуска через systemd Синтаксис автозапуска OpenVPN: systemctl openvpn-client@.
Например, если файл конфигурации /etc/openvpn/client/client.conf, то название сервиса будет openvpn-client@client.service. OpenVPN не поднимается после выхода из сна. Примечания: Выясните, какие из протоколов маршрутизации могут быть использованы (RIP, QUAGGA, BIRD,и т.д.) (обсуждение: ) По умолчанию все IP пакеты из LAN направляются на шлюз по умолчанию. Если LAN/VPN шлюз является шлюзом по умолчанию, то проблем нет. Однако в противном случае шлюз не будет знать куда направлять пакеты. Решается это следующим образом. Добавлением статических маршрутов через VPN шлюз на подсеть LAN/VPN.
Добавлением статических маршрутов на каждый хост в сети для отправки IP пакетов обратно на VPN. Использование ' NAT на LAN/VPN шлюзе для маскарадинга входящих с VPN IP пакетов. Связь локальной сети сервера с клиентом Пусть на стороне сервера используется подсеть 10.66.0.0/24.
Чтобы эта подсеть была доступна клиенту, добавьте параметр push в файл конфигурации сервера: /etc/openvpn/server/server.conf push 'route 10.66.0.0 255.255.255.0'. Примечание:. Не забудьте включить IPv4 переадресацию и перевести LAN интерфейс сервера в неразборчивый режим. Убедитесь, что локальная сеть на стороне сервера знает, как связаться с клиентом VPN.
Для маршрутизации других локальных сетей со стороны сервера к клиенту, укажите их в параметре push файла конфигурации сервера. Однако имейте в виду, что эти сети также должны знать, как установить связь с клиентом VPN. Связь локальной сети клиента с сервером Необходимые условия:. Любая подсеть, используемая на стороне клиента, должна быть уникальной и не используемой на сервере или любом другом клиенте.
Например пусть локальная подсеть клиента будет 192.168.4.0/24. Сертификат каждого клиента должен иметь уникальное имя, в данном примере bugs.
The server may not use the duplicate-cn directive in its config file. Создайте каталог настройки клиентов на сервере (например ccd - client config dir). Сервер в нем будет искать файлы с именем, идентичным названию клиента, и указанные в нем параметры будут применяться к клиенту при подключении.
# mkdir -p /etc/openvpn/ccd Создайте в этом каталоге файл, назвав его bugs, содержащий iroute 192.168.4.0 255.255.255.0 параметр. Это укажет серверу направлять пакеты с подсети к клиенту /etc/openvpn/ccd/bugs iroute 192.168.4.0 255.255.255.0 Добавьте в конфиг. Сервера строку с параметром каталога настройки клиентов. Укажите серверу направлять пакеты подсети туннеля на сервер локальной сети route 192.168.4.0 255.255.255.0 /etc/openvpn/server/server.conf client-config-dir ccd route 192.168.4.0 255.255.255.0. Примечание:. Не забудьте включить IPv4 переадресацию и перевести LAN интерфейс клиента в неразборчивый режим.
Рт На Русском
Убедитесь, что локальная сеть на стороне клиента знает, как связаться с сервером VPN. Для маршрутизации других LAN от клиента к серверу,укажите их в параметрах iroute и route в соответствующих файлах конфигурации.
Однако имейте в виду, что эти подсети также должны знать, как установить связь с сервером VPN Связь клиента и сервера с их локальными сетями Совмещает два предыдущих раздела: /etc/openvpn/server/server.conf push 'route 10.66.0.0 255.255.255.0' client-config-dir ccd route 192.168.4.0 255.255.255.0 /etc/openvpn/ccd/bugs iroute 192.168.4.0 255.255.255.0. Примечание: Не забудьте включить IPv4 переадресацию и перевести в неразборчивый режим интерфейсы LAN как на клиенте и на сервере. Убедитесь в том, что все хосты локальной сети могут установить маршрут ко всем адресатам. Связь клиентов с другими локальными сетями По умолчанию клиенты не видят друг друга.
Чтобы разрешить обмениваться пакетами между клиентами и клиентскими сетями, добавьте client-to-client в файл конфигурации сервера: /etc/openvpn/server/server.conf client-to-client Чтобы клиенты сервера и другие сети были доступны друг для друга, пропишите маршруты для каждой подсети в файл конфигурации сервера /etc/openvpn/server/server.conf client-to-client push 'route 192.168.4.0 255.255.255.0' push 'route 192.168.5.0 255.255.255.0'. Примечания: Нет уверенности, что данная информация подходит для этой статьи (обсуждение: ) Routing client traffic through the server Append the following to your server's openvpn.conf configuration file: push 'redirect-gateway def1' push 'dhcp-option DNS 192.168.1.1' Change '192.168.1.1' to your preferred DNS IP address.
If you have problems with non responsive DNS after connecting to server, install as simple DNS forwarder and push the IP address of the OpenVPN server as DNS to clients. Configure ufw for routing Configure your ufw settings to enable routing traffic from clients through server. You must change default forward policy as in : invalid section. And then configure ufw in /etc/default/ufw: /etc/default/ufw DEFAULTFORWARDPOLICY='ACCEPT' Now change /etc/ufw/before.rules, and add the following code after the header and before the '.filter' line. Don't forget to change the IP/subnet mask to match the one in /etc/openvpn/server/server.conf. Примечание: You must add 'openvpn' to the end of /etc/webmin/webmin.acl Connecting to the server You need to start the service on the server systemctl start openvpn@server To make it permanent: systemctl enable openvpn@server On the client, in the home directory create a folder that will hold your OpenVPN client config files along with the.crt/.key files.
Assuming your OpenVPN config folder is called.openvpn and your client config file is vpn1.conf, to connect to the server issue the following command: # cd /.openvpn && openvpn vpn1.conf Troubleshooting Resolve issues If you are having resolve issues when starting your profile: # journalctl SYSTEMDUNIT=openvpn@ profile.service RESOLVE: Cannot resolve host address: example.com: Name or service not known. Примечания: Выставление порядка для After=network.target работает не универсально. Смотрите страницу (обсуждение: ) Then, only if your network setup can be started before OpenVPN, you should force OpenVPN to wait for the network by adding Requires=network.target and After=network.target to the OpenVPN systemd service file: /usr/lib/systemd/system/openvpn@.service Unit Description=OpenVPN connection to%i Requires=network.target After=network.target. Don't forget to restart OpenVPN: # systemctl daemon-reload # systemctl restart openvpn@ profile Ссылки.