Рассмотрим процесс установки OpenVPN на примере дистрибутива Debian 8.2. Задача состоит том, чтобы использовать сервер на базе OpenVPN в качестве шлюза для выхода в интернет. В результате мы получаем белый ip, можем обойти ограничения провайдера и дополнительно сжать и зашифровать весть трафик, который идет через сервер.
Я выбрал OpenVPN благодаря его надёжности и безопасности. По сравнению с аналогичными туннельными протоколами, OpenVPN абсолютно не прихотлив к способу доступа к сети интернет. При необходимости, клиент OpenVPN можно настроить даже через HTTP прокси-сервер.
Установка сервера OpenVPN
Для работы OpenVPN необходима поддержка TUN/TAP интерфейса на сервере. Как правило, с этим не должно возникнуть проблем при использовании физической машины или виртуализации KVM.
А вот в случае использования OpenVZ, необходимо активировать поддержку TUN/TAP в настройках контейнера. Чтобы проверить, что система поддерживает TUN-интерфейс, необходимо выполнить команду:
# ls -l /dev/net/tun crw-rw-rw- 1 root root 10, 200 Nov 19 23:02 /dev/net/tun
Установим OpenVPN на сервере:
# apt-get install openvpn
В качестве способа авторизации клиента на сервере мы будем использовать аутентификацию по ключу. Для этого создаём директорию в которую будут скопированы сгенерированные ключи:
# mkdir /etc/openvpn/easy-rsa/
Копируем в нее утилиты и конфиги для работы с ключами:
# cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
Переходим в директорию:
# cd /etc/openvpn/easy-rsa/
При необходимости, в файле vars
можно настроить параметры ключей и сертификатов. Данный пункт не обязательный и при желании его можно смело пропустить.
# nano vars
Меняем следующие строки на свои значения:
export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="me@myhost.mydomain"
После правки vars
необходимо инициировать переменные:
# source ./vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
Очищаем каталог keys/server
от старых сертификатов и ключей:
# ./clean-all
Создаем корневой сертификат:
# ./build-ca
В квадратных скобках указаны значения по умолчанию, которые были заданы в файле vars
. Если вы хотите оставить значения без изменений, нужно просто нажимать клавишу «Ввод».
Далее генерируем сертификаты сервера и клиента:
# ./build-key-server server # ./build-key client1 # ./build-key client2
Для каждого клиента нужно сгенерировать отдельные ключи.
Генерируем ключ Диффи — Хеллмана:
# ./build-dh
Cоздаем ключ для tls-аутификации:
# openvpn --genkey --secret keys/ta.key
Все сгенерированные сертификаты и ключи находятся в директории:
/etc/openvpn/easy-rsa/keys/
Копируем сертификаты и ключи сервера в директорию OpenVPN:
# cd keys # cp server.crt server.key ca.crt dh2048.pem ta.key /etc/openvpn/
Для настройки клиента OpenVPN, необходимо скопировать ключи и сертификаты из списка ниже:
client1.crt client1.key ca.crt ta.key
На этом этапе установка OpenVPN закончена. Теперь выполним настройку сервера OpenVPN.
Настройка сервера OpenVPN
Копируем и распаковываем пример конфигурационного файла в содержимое директории OpenVPN:
# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ # gzip -d /etc/openvpn/server.conf.gz
В зависимости от наших потребностей, изменяем настройки сервера OpenVPN:
nano /etc/openvpn/server.conf
Пример настройки OpenVPN:
local 90.90.90.90 # Внешний ip сервера, указываем если на машине несколько адресов. port 1194 # Порт на котором будет принимать соединения сервер OpenVPN. proto tcp # Для лучшего быстродействия рекомендуется указать udp. # Если вы используете прокси, необходимо указать tcp. dev tun # Интерфейс туннеля ca ca.crt # Путь к корневому сертификату cert server.crt # Путь к сертификату сервера key server.key # Путь к ключу сервера dh dh1024.pem # Путь к ключу Диффи - Хеллмана server 10.8.0.0 255.255.255.0 # Пул DHCP виртуальной сети OpenVPN. Работает только с TLS-клиентами в режиме tun. ifconfig-pool-persist ipp.txt # Запоминать динамически выданные адреса. ;client-config-dir ccd # Директория для клиентских конфигов ;push "route 10.0.1.1 255.255.255.0" # Передаем маршрут клиенту (сеть-клиента). push "redirect-gateway def1" # Установить шлюзом по умолчанию удаленный сервер. ;push "dhcp-option DNS 8.8.8.8" # Передаем DNS клиенту. ;client-to-client # Если нужно, чтобы клиенты видели друг друга. keepalive 10 120 # Каждые 10 секунд посылать ping, перезапустить туннель если сервер не отвечает в течении 120 секунд. tls-server # Включаем TLS auth SHA512 # Для аутентификации используются ключи SHA512 tls-auth ta.key 0 # Путь к ключу TLS cipher BF-CBC # Метод шифрования comp-lzo adaptive # Включить сжатие user nobody # Права, с которыми будет работать OpenVPN. group nogroup persist-key # Не перечитывать файлы ключей при перезапуске туннеля. persist-tun # Оставить без изменения устройства tun/tap при перезапуске OpenVPN. status openvpn-status.log # Лог с информацией о текущих соединениях. log /var/log/openvpn.log # Путь к лог-файлу. verb 3 # Уровень детализации лога. mute # В лог будет записываться до 10 сообщений из одной категории.
Создадим директорию для клиентских настроек:
mkdir /etc/openvpn/ccd
После завершения настройки OpenVPN, перезагружаем сервер:
reboot
В случае успешного запуска OpenVPN в системе должен появится новый tun0
интерфейс:
# ifconfig tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Это означает, что OpenVPN сервер запущен. В случае проблем с запуском OpenVPN, используем лог-файл:
# nano /var/log/openvpn.log
Настройки маршрутизации для клиентов OpenVPN
После подключения клиента к серверу OpenVPN, шлюз будет изменен на IP виртуальной сети сервера. Если клиент OpenVPN находится в локальной сети, вам необходимо дополнительно настроить маршрутизацию для доступа к ресурсам внутри сети. Для этого создаем файл в каталоге ccd
с тем же именем ключа клиента:
# nano /etc/openvpn/ccd/client1
Добавим в файл следующие параметры:
push "route 192.168.1.0 255.255.255.0" push "dhcp-option DNS 192.168.1.1"
Первая строка добавляет маршрут в локальную сеть клиента. Вторая строка задает DNS-сервер, который будет использоваться после подключения.
Включаем NAT на OpenVPN сервере
Чтобы использовать OpenVPN для выхода в интернет, на сервере необходимо задать правило для маршрутизации трафика из сети OpenVPN в локальную сеть или сеть интернет-провайдера.
Включаем поддержку IP forwarding, открываем в файл:
# nano /etc/sysctl.conf
В котором необходимо раскомментировать строку:
#net.ipv4.ip_forward=1
Загрузим переменные ядра:
# sysctl -p
Прописываем правила iptables. Нужно разрешить клиентам из подсети 10.8.0.0/24 доступ в интернет, разрешить принимать пакеты из интернета и пропустить трафик клиентов через NAT.
# iptables -A FORWARD -i tun0 -j ACCEPT # iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Замените eth0
на имя своего внешнего интерфейса. Следует отметить, правило MASQUERADE
создает нагрузку на процессор. Поэтому, предпочтительнее использовать SNAT
:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source ВНЕШНИЙ_IP
Сохраним и добавим правила в автозагрузку:
# iptables-save > /etc/iptables.conf # echo "iptables-restore < /etc/iptables.conf" >> /etc/rc.local
Настройка клиента OpenVPN
Если OpenVPN не установлен, для установки клиента в Debian или Ubuntu необходимо выполнить команду:
# apt-get install openvpn
Копируем на компьютер клиента ключи и сертификаты из списка ниже:
client1.crt client1.key ca.crt ta.key
Переносим ключи и сертификаты в директорию OpenVPN:
/etc/openvpn/
Копируем и распаковываем пример конфигурационного файла в содержимое директории OpenVPN:
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
Открываем файл в текстовом редакторе:
nano /etc/openvpn/client.conf
Добавим в содержимое файла следующие параметры:
client dev tun proto tcp remote 90.90.90.90 1194 # Адрес и порт сервера OpenVPN resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key tls-auth ta.key 1 auth SHA512 cipher BF-CBC comp-lzo adaptive ;log /var/log/openvpn.log ;status /var/log/openvpn-status.log verb 3 mute 20 ;route 192.168.1.0 255.255.0.0 # Можно прописать маршрут в локальную сеть, если это не сделано на сервере.
Для Windows необходимо положить файл client.ovpn
в папку:
C:\Program Files\OpenVPN\config\
Опции протокола, шифрования и сжатия у клиента и сервера должны быть одинаковые. При необходимости вы можете настроить OpenVPN через прокси. На этом настройка OpenVPN в Debian закончена, теперь пора проверить его работоспособность. Перезапустим OpenVPN:
service openvpn restart
Пингуем 10.8.0.1
, если пинг проходит, значит все хорошо.
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data. 64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=30 ms