Настройка OpenVPN часть 2

Так получилось, что появилась задача организовать подключение сотрудников предприятия к локальной сети извне, то есть через интернет. Как пробросить просто VPN канал между двумя Windows XP мы рассмотрели в первой части статьи Настройка OpenVPN. Теперь несколько усложним. Во многих организациях в качестве прокси-серверов используется Linux, ибо он надежнее и безопаснее, так и у нас, в интернет выставлен линукс, а точнее CentOS 5.4. Собственно серверную часть будем ставить именно на нем. Пока я разбирался в вопросе OpenVPN на CentOS нашел очень познавательную статью, которая мне и помогла решить свою задачу : Настройка OpenVPN на CentOS. Это что касается серверной части. На выходе мы имеем несколько файлов, а именно ca.crt, client01.crt, client01.key, который и надо вкрутить в клиентскую часть.

Мой конфиг серверной части :

port 1194
proto tcp
dev tun
tls-server
local xxx.xxx.xxx.xxx - ip адрес сервера в интернет.
server 10.10.0.0 255.255.0.0
keepalive 10 120
persist-key
persist-tun
status openvpn-status.log
client-config-dir /etc/openvpn/ccd
push "route 10.10.0.0 255.255.0.0"
duplicate-cn
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/vpnserver.crt
key /etc/openvpn/keys/vpnserver.key
dh /etc/openvpn/keys/dh1024.pem
...

То есть в моем случае я разрешаю удаленным пользователям ходить в подсеть 10.10.*.*

...

в /etc/openvpn/ccd/ у меня лежит один файлик (пока что) client01 с содержимым :

ifconfig-push 10.10.3.1 10.10.3.2

...

То есть в моем случае я выдаю пользователю IP адрес 10.10.3.2 (я точно уверен, что внутри организации этот адрес никому случайно не достанется)

...

Теперь клиентская часть.

Здесь установка клиентской части аналогична установке клиентской части первой статьи. Только в отличие от соединения, рассмотренного в первой части статьи здесь используются файлы сертификатов ca.crt, client01.crt, client01.key., которые мы располагаем в c:\program files\openvpn\config\ , здесь же располагается файл конфигурации :

client.ovpn такого содержания :

client
tls-client
verb 3
dev tun
proto tcp
remote xxx.xxx.xxx.xxx - ip адрес нашего сервера
nobind
persist-key
persist-tun
ca ca.crt
cert client01.crt
key client01.key
...

Собственно все ... запускаем сервер, запускаем клиента, правая кнопка мыши, коннект и теоретически все должно заработать. Практически остаются вопросы маршрутизации.

Если ваш шлюз по умолчанию в организации отличается от адреса вашего прокси-сервера, но на каждом клиенте придется настраивать принудительную маршрутизацию в виртуальную частную сеть

например route add 10.10.3.1 mask 255.255.255.255 10.10.x.x (внутренний адрес вашего OpenVPN сервера) -p - что бы машина, на которую приходит запрос из вируальной частной сети в нее же и отвечала, а не шлюзу по умолчанию.

Вот вроде бы и все ...

Итак еще раз по порядку :

1. Настраиваем серверную часть : Статья OpenVPN на CentOS

2. Устанавливаем клиентскую часть : Статья OpenVPN на WinXP

3. Настраиваем (изменяем) client.ovpn, копируем ключи сертификатов ca.crt, client01.crt, client01.key. (см выше)

4. Настраиваем маршрутизацию (в зависимости от вашей сети, и вообще вопрос отдельный, который постараюсь осветить в последующих статьях)

5. Пробуем, должно все работать.

Удачи вам в этом благом начинании.

Обновлено 06.12.2009 18:09

Matrix Co.,Ltd. Established in 2002 Our Management teams are specialize in Point-Of-Sale which they have an experience more than 10 years. We arrange full range of Point-Of-Sale with Total Solution especially in Restaurant System, Fast Food, Retail together with H/W, S/W and after sale service include. We are a good business partner for all customers which you can trust. We arrange well training for all staff. Our staff can suggest the best solution and suitable for you. We ready for serve you everyday for whole year include on site service for every customers in Thailand.

Цитировать