Instalarea și crearea cheilor și certificatelor pentru serverul OpenVPN și clientul este descrisă în articolul precedent Instalarea serverului OpenVPN. Acum serverul și clientul sunt gata de configurare.
Configurarea serverului OpenVPN
Crearea de chei și certificate pentru serverul OpenVPN a fost descrisă în articolul precedent despre instalarea serverului OpenVPN. Cheile și certificatele pregătite au fost mutate în directorul / etc / openvpn.
Pachetul openvpn include un exemplu de fișier de configurare pentru serverul OpenVPN. Acesta este în arhiva server.conf.gz din directorul / usr / share / doc / openvpn / examples / sample-config-files. Dezarhivați-l și mutați-l în directorul / etc / openvpn:
Modificările acestui fișier de configurare vor fi puține. Trebuie să specificați fișierul cheie privat și certificatul OpenVPN pentru serverul creat de instrucțiunile de instalare a serverului OpenVPN:
Specificați o subrețea virtuală (descrierea structurii de rețea pentru acest exemplu este în articolul de titlu):
Pentru a notifica clientul conectarea la modificarea tabelului de rutare:
Această linie va determina clientul OpenVPN să își modifice tabela de rutare la conectarea la server. În jurnalul de client OpenVPN, la conectare, va apărea următoarea linie:
Deoarece toate computerele din ambele rețele trebuie să se vadă reciproc, este necesară modificarea tabelului de rutare al serverului OpenVPN:
De asemenea, trebuie să creați directorul / etc / openvpn / ccd. în care să creați un fișier cu numele clientului conectat. În exemplul nostru, acesta este user_office2. Acest fișier va consta într-o singură linie:
Fără aceste trei linii, clientul conectat va vedea toate computerele din rețeaua de servere OpenVPN, dar restul computerelor din rețeaua de conectare și din rețeaua conectată nu vor vedea, deoarece rețeaua conectată rămâne indisponibilă din rețeaua de servere OpenVPN.
Mecanismul de criptare ales va trebui să fie atribuit tuturor clienților conectați la acest server OpenVPN.
Pentru a reduce privilegiile serverului OpenVPN după inițializare. Cu toate acestea, se vor adăuga mesaje de eroare în jurnalul serverului OpenVPN. De exemplu, dacă opriți serverul OpenVPN în jurnal, veți primi mesaje de eroare în spirit:
ceea ce este logic, pentru că nimeni nu are drepturi: nogrup este imposibil să se facă modificări în tabela de rutare. Cu toate acestea, tabelul de rutare va fi în continuare șters, deoarece interfața tun va fi ștearsă.
În mod implicit, starea curentă este stocată în fișierul /etc/openvpn/openvpn-status.log. Merită schimbarea, de exemplu:
Rezultatul este un fișier de configurare pentru serverul OpenVPN:
După configurarea serverului OpenVPN, acesta poate fi pornit. În Debian, aceasta se face astfel:
Deoarece calea și numele fișierului jurnal nu sunt specificate, OpenVPN va trimite jurnalul său la syslog.
Configurarea clientului OpenVPN
Crearea de chei și certificate pentru clientul OpenVPN a fost descrisă în articolul precedent despre instalarea clientului OpenVPN. Cheile și certificatele pregătite au fost mutate în directorul / etc / openvpn.
Pachetul openvpn include un exemplu de fișier de configurare pentru clientul OpenVPN. Acesta este localizat în fișierul client.conf din directorul / usr / share / doc / openvpn / examples / sample-config-files. Mutați-o în directorul / etc / openvpn:
Fișierul cheii private și certificatul OpenVPN al clientului create conform instrucțiunilor de instalare ale clientului OpenVPN:
Trebuie să selectați același mecanism de criptare ca și pe server:
Nu există directive în acest fișier de configurare client OpenVPN care să indice locația fișierului jurnal și a fișierului de stare. Puteți să le adăugați:
Rezultatul este un fișier de configurare pentru clientul OpenVPN:
Clientul este gata să se conecteze, puteți verifica imediat:
Dacă nu a fost specificată directiva log-append, atunci ieșirea din jurnal va fi făcută la stdout.
Testarea conexiunii
Este necesar să verificați conexiunea a două rețele, nu de la routere, ci de la alte mașini din rețelele locale. Acest lucru se datorează faptului că, dacă comenzile de modificare a rutei au fost setate incorect sau nu au fost specificate deloc, atunci clientul și serverul OpenVPN se vor vedea unul pe celălalt, iar restul computerelor din rețelele locale nu.
Ambele computere trebuie să fie accesibile reciproc.
NAT nu este necesar pentru aceste rețele. aceasta este o entitate suplimentară și o povară suplimentară. Nu este necesară configurarea suplimentară a tabelului de rutare. OpenVPN va face totul în sine, pe baza fișierelor sale de configurare.
Calea dintre rețele va arăta cam așa: