Часть 1: Настройка OpenVPN-сервера на Windows
- Скачиваем с официального сайта OpenVPN крайнюю версию клиента.
- Во время установки убеждаемся, что выбрана опция установки EasyRSA 3 Certificate Management Scripts.
- После установки, переходим в папку установки OpenVPN:
C:\Program Files\OpenVPN. - Копируем папку easy-rsa в корень диска
C:\для упрощения доступа и избежания проблем с правами доступа.
По желанию и для красоты можно переименовать скопированную папку вC:\EasyRSA.
Часть 2: Генерация сертификатов и ключей
- Открываем командную строку от имени администратора и переходим в каталог EasyRSA:
cd \EasyRSA - Инициализируем PKI директорию, для запуска окружения EasyRSA:
EasyRSA-Start.bat - Вводим команду:
./easyrsa init-pki - Создаем корневой сертификат (CA):
./easyrsa build-ca nopass
будет предложено, ввести общее имя (Common Name), вводим например: MyVPN - Создаем сертификат и ключ сервера:
./easyrsa build-server-full server nopass
можно заменитьserverна желаемое имя сервера - Создаем клиентский сертификат и ключ:
./easyrsa build-client-full client1 nopass
можно заменитьclient1на желаемое имя клиента - Создаем параметр Diffie-Hellman:
./easyrsa gen-dh
Часть 3: Создание статического ключа tls-auth (если требуется):
В командной строке вводим
openvpn --genkey secret ta.keyЧасть 4: Настройка конфигурации сервера:
- Скопировать файлы ключей и сертификатов в папку
C:\Program Files\OpenVPN\config:ca.crt(из папки C:\EasyRSA\pki\)server.crt(сертификат сервера из папки C:\EasyRSA\pki\issued\)server.key(ключ сервера из папки C:\EasyRSA\pki\private\)dh.pem(параметры Diffie-Hellman, из C:\EasyRSA\pki\)ta.key(из папки C:\EasyRSA\pki\) - Так же в папке
C:\Program Files\OpenVPN\config, создаем конфигурационный файл server.ovpn, со следующим содержимым:- Code: Select all
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.9.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
topology subnet
cipher AES-128-CBC
auth SHA256
persist-key
persist-tun
status openvpn-status.log
verb 3
- Если создавали статический ключ tls-auth, то прописываем в конфиге сервера:
tls-auth ta.key 0
Часть 5: Запуск OpenVPN-сервера
- Запустить OpenVPN GUI от имени администратора.
- OpenVPN GUI автоматически загрузит все конфигурационные файлы из папки config.
- Кликаем правой кнопкой мыши на значке OpenVPN в трее и жмем Подключиться.
- В случае успешного запуска, значек OpenVPN загорится зеленым цветом.
- Проверяем журнал сервера, на наличие ошибок.
Часть 6: Настройка конфигурации клиента:
- Скопировать файлы ключей и сертификатов в папку на клиентском ПК
C:\Program Files\OpenVPN\config:ca.crt(из папки C:\EasyRSA\pki\)client1.crt(сертификат сервера из папки C:\EasyRSA\pki\issued\)client1.key(ключ сервера из папки C:\EasyRSA\pki\private\)ta.key(из папки C:\EasyRSA\pki\) - Так же в папке
C:\Program Files\OpenVPN\config, создаем конфигурационный файл server.ovpn, со следующим содержимым:- Code: Select all
client
dev tun
proto udp
remote IP СЕРВЕРА 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-128-CBC
auth SHA256
verb 3
log-append openvpn-client.log
remote IP СЕРВЕРА 1194, вместоIP СЕРВЕРАпрописываем IP адрес сервера. - Если создавали статический ключ tls-auth, то прописываем в конфиге клиента:
tls-auth ta.key 1
Часть 7: Запуск OpenVPN-клиента
- Запустить OpenVPN GUI от имени администратора.
- OpenVPN GUI автоматически загрузит все конфигурационные файлы из папки config.
- Кликаем правой кнопкой мыши на значке OpenVPN в трее и жмем Подключиться.
- В случае успешного запуска, значек OpenVPN загорится зеленым цветом.
- Проверяем журнал клиента, на наличие ошибок.
- Пробуем пинговать сервер, для проверки доступности:
ping 10.9.0.1