OpenVPN Access Server. Установка і настройка »Crossroads

- повнофункціональне SSL VPN програмне рішення, яке включає в себе безпосередньо сервер, адміністративний веб інтерфейс і клієнтські програми під різні платформи (Windows, Mac, Linux) для з'єднання з сервером. Базова (безкоштовна) ліцензія розрахована на двох клієнтів, і цього цілком достатньо, якщо використовувати OpenVPN AS в особистих цілях.
Установка і настройка OpenVPN AS набагато простіше стандартної установки OpenVPN, без будь-яких призначених для користувача інтерфейсів (UI). Ще одна перевага OpenVPN AS в тому, що пакет містить в собі клієнтські програми під Android і IOS. Таким чином ви без проблем зможете підключатися до сервера з планшетів і смартфонів.
І так, установка та базове налаштування.
Є VPS з 64-х бітної Debian 7 і двома мережевими інтерфейсами (локальний і дивиться в Інтернет). На стороні сервера повинні бути включені NAT і TUN / TAP. Про вибір хостингу для цих цілей я вже писала в статті про налаштування VPN на базі PPTP . Пропонований в ній провайдер надає послуги з оренди VPS, де все це включається в один клік самим клієнтом, без необхідності ведення нудною листування зі службою підтримки.
Почнемо. Передбачається, що все необхідне у нас є і функціонує. Переходимо на сайт OpenVPN і вибираємо свою ОС. Як я вже сказала, у мене Debian 7, тому завантажуємо на сервер пакет під цю ОС.
wget http://swupdate.openvpn.org/as/openvpn-as-2.0.7-Debian7.amd64.deb
Встановлюємо.
dpkg -i openvpn-as-2.0.7-Debian7.amd64.deb
Усе. OpenVPN AS тепер встановлено і працює. Всі супутні налаштування і правила iptables пропишуться автоматично. Зміни в iptables так само будуть вноситися в міру настройки сервера через UI. Відповідно, якщо ви використовуєте якусь програму для управління фаєрволом, то переконаєтеся в тому, що вона бачить ці зміни і не перезапише їх при наступному зверненні до неї.
Задаємо пароль користувача openvpn для доступу до нього.
passwd openvpn
Для доступу до панелі управління використовуємо наступне посилання: https: // YourIpAddress: 943 / admin
Де «YourIpAddress» - зовнішній IP сервера. Використовуємо в якості логіна openvpn і в якості пароля те, що задали вище.

За замовчуванням тут в загальному все вже працює. Можна внести деякі зміни. приклад:
Вкладка Server Network Settings.
Тут можна вказати тип з'єднання (TCP / UDP), якщо є необхідність. За замовчуванням включені обидва. Можна вибрати будь інтерфейси будуть слухатися. Для з'єднання, звичайно ж, необхідний зовнішній. Але якщо ви підключені до мережі, то доступу до консолі сервера, або інших ресурсів VPS у вас не буде. Справа в правилах iptables і при тому, що зовні ніби як би все дозволено, фаєрвол не пропускає з'єднання з зовнішнього IP адреси сервера. Іншими словами, якщо на цьому сервері у вас щось ще, крім OpenVPN, то поки ви підключені до OpenVPN, доступу до цих ресурсів у вас не буде. Якщо VPN сервер буде слухати всі мережеві інтерфейси (включаючи eth1 - інтерфейс локальної мережі), то через консоль по ssh, або через файловий менеджер по sftp ви зможете з'єднатися з сервером через локальну адресу. Тобто не ssh root @ внешній_ip, а ssh root @ локальний_ip. Якщо Admin UI так само буде доступний через локальний інтерфейс, то доступ до нього так само буде можливий по локальній адресі, якщо у вас піднято VPN з'єднання. Загалом, мені було лінь шукати причину, і я просто використовую локальний IP для доступу до Admin UI, коли мені це потрібно.
Вкладка VPN Settings.
Мережевий адреса - маска віртуальної підмережі. Адреси з цього діапазону будуть лунати клієнтам. Можна вказати статичний адресу. Це за замовчуванням відключить можливість множинних підключень. Так само в цій вкладці налаштовується NAT і умови з'єднання: Чи повинен клієнт виходити в Інтернет через шлюз VPN? Чи повинен весь трафік клієнта йти через VPN? У самому низу можна вказати DNS сервери: Чи будуть використовуватися DNS клієнта? Чи будуть використовуватися DNS основного сервера клієнтом? Так само можна призначити свої DNS.
Вкладка Advanced VPN Settings.
Чи можуть клієнти VPN мати доступ один до одного? Якщо «так», то клієнти мережі будуть бачити один одного. Наприклад, в Windows у вкладці «Сеть» будуть відображатися комп'ютери інших користувачів.
Множинні сесії. Якщо стоїть галка, то під одним і тим же обліковим записом до мережі можуть приєднатися декілька пристроїв. Чи не буде працювати, якщо клієнту призначений статичний IP. Нижче ви можете вказати локальні підмережі, доступні з VPN. Якщо не вказувати нічого, то клієнти VPN не бачитимуть одне одного не дивлячись на настройки вище.
VPN Mode Settings - налаштування віртуальних мережевих інтересів або моста для використання фізичного інтерфейсу. У моєму випадку NAT. За замовчуванням воно ж.
У вкладці User Permission можна призначати права адміністратора і закривати доступ до мережі для певних клієнтів. А так же дозволити доступ без пароля. Мається на увазі, що при з'єднанні з VPN пароль не вимагається. Це зручно для використання в роутерах і для налаштувань автоматичного з'єднання, так як без сертифікату сервер все одно нікого не пустить.
Не забуваємо натискати кнопку «застосувати зміни» кожен раз після збереження змін в адмін-панелі.
Власне, базові настройки закінчені.
Далі в браузері відкриваємо https: // YourIpAddress: 943, вводимо свої дані і нижче вибираємо «Login». Тут ми бачимо посилання на різні клієнти. У випадку з Windows, викачуємо відповідний клієнт і встановлюємо його. Для інших платформ надані посилання, або інструкції. Клієнт для Windows завантажується безпосередньо з цього вікна. Далі запусків клієнт і вибираємо адресу нашого сервера в його вкладці. Він там один. Погоджуємося, що довіряємо самоподпісанного сертифікату і вводимо пароль, якщо не включили раніше для себе доступ без пароля.
На цьому все. Всі сертифікати на стороні сервера були створені автоматично при установці OpenVPN AS, всі клієнтські сертифікати довантажити при з'єднанні через клієнт для Windows. Можливо буде потрібно перезавантаження Windows для прийняття нових правил маршрутизації, за якими весь трафік повинен йти через VPN.
Для Linux викачуємо файл за посиланням «Yourself (autologin profile)» (якщо пароль не потрібно) і поміщаємо його в будь-яку зручну директорію. Припустимо, що файл Завантажити в / home / user / Downloads. Встановлюємо на ПК OpenVPN.
sudo apt-get install openvpn
Для Debian / Ubuntu
yum install openvpn
Для .rpm дистрибутивів (RedHat / Fedora / CentOS / OpenSUSE і т.д.)
Сервер не працює з OpenVPN нижче версії 2.1. Перевіряємо версію.
openvpn -version
Якщо все добре, то налаштовуємо з'єднання.
cd ~ / Downloads sudo openvpn --config client.ovpn
Де «client.ovpn» - скачав файл настройок.
За тим же принципом налаштовується з'єднання на роутері. Але тільки на альтернативних прошивках. Показую на прикладі прошивки Gargoyle.
На жаль, на моєму допотопному роутере не все так гладко. З настоянками за замовчуванням Gargoyle не працює з tun серверами. Для цього скачав файл поміщаємо в будь-яку зручну директорію. Мається на увазі, що раз ви використовуєте альтернативну прошивку, то знаєте, як потрапити в сам роутер і вже тим більше знаєте, що там кастрований Linux. З-під Windows можна використовувати програму для того, щоб покласти файл в файлову систему роутера.

Припустимо файл у нас в директорії / etc / openvpn. тоді:
cd / etc / openvpn openvpn --config client.ovpn
Чекаємо закінчення. У моєму випадку (мабуть через стародавній роутера) закінчення можна чекати до морковкина загнівая. Головне, що всі основні процеси пройшли без помилок. Такі як настройка маршрутизації і безпосередньо робота з tun. Далі переходимо в настройки самого роутера і у вкладці OpenVPN вибираємо ручну настройку. Якщо настройки і сертифікати не прописалися самі при виконанні попередніх команд. Всі ці настройки і самі сертифікати є в скачав файлу. Відкриваємо його в текстовому редакторі і послідовно копіюємо інформацію до відповідних розділів.
У першому вікні у нас настройки з'єднання. Вони вписуються автоматично, виходячи з налаштувань перед ним. Такі як IP, тип з'єднання та інше. Для вірності можна привести їх до такого виду:
setenv FORWARD_COMPATIBLE 1 client server-poll-timeout 4 nobind remote SERVER_IP 8090 udp dev tun dev-type tun ns-cert-type server reneg-sec 604800 sndbuf 100000 rcvbuf 100000 comp-lzo no verb 3 setenv PUSH_PEER_INFO
Де SERVER_IP - IP нашого сервера. Тобто до того, що там вже є, я скопіювала все не закоментовані настройки з скачав файлу.
Далі по порядку копіюємо дані сертифікатів з файлу в наступні вікна. Назви секцій на скріншоті.
Зберігаємо, застосовуємо, перезавантажуємо. Все працює.
Теоретично, всі ці танці з бубном навколо роутера не обов'язкові. Все це повинно було довантажити при виконанні команди openvpn --config client.ovpn на стороні роутера. Але не у всіх воно спрацьовує як треба.
На цьому все. Наш VPN сервер працює, а «чорні списки» «неправильних» сайтів країн, загнаних їх урядами в «третій світ», хороші для прикраси кабінетів чиновників цих самих країн. Поки в цих країнах доступний Інтернет як такої. Північній Кореї не пощастило ... Ну і взагалі, в цілому, добре мати під рукою шифрований канал, повністю тобі підконтрольний.

___
Tatyana K.