Блог им. Lehik → OpenVPN Linux vs. Windows
Вот встала задача соединить два компа в разных сетях, оба за NAT'ом, через VPN. Один NAT под Windows server 2003, другой под Debian Lenny 5.0.4. Естественно выбор пал на OpenVPN. На мой взгляд это 2 простых способа реализации данной задачи: соединить именно эти компы между собой(технология p2p), и соединить сети(подскажите). Здесь я хочу собрать что-то наподобие мануала по этой задаче, заодно и оттестировать его. Как всегда приветствуются поправки, корректировки, советы, подсказки и т.д. Буду вносить поправки в текст.
Вот что я сделал основываясь на .
Эта часть, как мне кажется для соединения сетей. Для p2p напишем в конце, там как я понял можно в 2 строчки уложиться.
Итак приступим.
Вариант 1. для соединения сетей
Сервер Debian Lenny 5.0.4
1. Устанавливаем пакет Openvpn
2. Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:
3. Добавляем в систему группу _openvpn и аналогичного пользователя
4. Проверяем:
Ключи и сертификаты
1. Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:
2. Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов и переходим в нее.
3. В файл vars прописываем свои данные(будут предлагаться в качестве значений по умолчанию) для подписи ключей под себя
4. Инициализируем переменные и очищаем от старых сертификатов и ключей папку keys и создаем серийный и индексные файлы для новых ключей:
5. Создаем корневой и серверный сертификаты:
создадим файл параметров Диффи-Хелмана, который обеспечивает более надежную защиту данных при установке соединения клиента с сервером
6. Снизим вероятность успешного проведения DoS-атаки на сервер OpenVPN за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):
7. Меняем права доступа на файлы
8. Создаем клиентские сертификаты. Если мы не в папке со скриптами, то переходим в нее
9. Создадим в любом удобном месте папку client1. Эту папку с ключами мы отдадим клиенту.
10. Создадим конфиг сервера, основу можно взять из примера
11. Подгоняем конфиг под себя
P.S. Пока писал и искал решения проблем, нашел еще одно хорошее из которого много чего взял, надеюсь автор будет не против, т.к. я сделал на него ссылку :)
Вот что я сделал основываясь на .
Эта часть, как мне кажется для соединения сетей. Для p2p напишем в конце, там как я понял можно в 2 строчки уложиться.
Итак приступим.
Вариант 1. для соединения сетей
Сервер Debian Lenny 5.0.4
1. Устанавливаем пакет Openvpn
sudo aptitude install openvpn2. Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:
sudo /usr/local/sbin/openvpn --show-digests
sudo /usr/local/sbin/openvpn --show-ciphers3. Добавляем в систему группу _openvpn и аналогичного пользователя
sudo groupadd -g 500 _openvpn
sudo useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin -d /var/openvpn -m _openvpn4. Проверяем:
sudo grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologinКлючи и сертификаты
1. Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:
sudo mkdir -p /etc/openvpn/keys2. Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов и переходим в нее.
sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn
sudo cd /etc/openvpn/easy-rsa/2.03. В файл vars прописываем свои данные(будут предлагаться в качестве значений по умолчанию) для подписи ключей под себя
export KEY_COUNTRY=«RU»
export KEY_PROVINCE=«RU»
export KEY_CITY=«Город»
export KEY_ORG=«Название организации»
export KEY_EMAIL="<почтовый ящик>"
4. Инициализируем переменные и очищаем от старых сертификатов и ключей папку keys и создаем серийный и индексные файлы для новых ключей:
sudo source ./vars
sudo ./vars
sudo ./clean-all5. Создаем корневой и серверный сертификаты:
sudo ./build-ca
sudo ./build-key-server serverсоздадим файл параметров Диффи-Хелмана, который обеспечивает более надежную защиту данных при установке соединения клиента с сервером
sudo ./build-dh6. Снизим вероятность успешного проведения DoS-атаки на сервер OpenVPN за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):
cd /etc/openvpn/keys
sudo /usr/local/sbin/openvpn --genkey --secret ta.key7. Меняем права доступа на файлы
sudo chmod 700 /etc/openvpn/keys
sudo chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
sudo chmod 600 /etc/openvpn/keys/{server.key,ta.key}8. Создаем клиентские сертификаты. Если мы не в папке со скриптами, то переходим в нее
sudo cd /etc/openvpn/easy-rsa/2.0
sudo ./build-key client19. Создадим в любом удобном месте папку client1. Эту папку с ключами мы отдадим клиенту.
sudo cd /etc/openvpn/keys
sudo mkdir client1
sudo mv client1.crt client1.key /etc/openvpn/keys/client1
sudo cp {ca.crt,ta.key} /etc/openvpn/keys/client110. Создадим конфиг сервера, основу можно взять из примера
sudo zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf11. Подгоняем конфиг под себя
...скоро будет...P.S. Пока писал и искал решения проблем, нашел еще одно хорошее из которого много чего взял, надеюсь автор будет не против, т.к. я сделал на него ссылку :)
- +7
- Lehik
- 10 июня 2010, 07:52
Как именно «ругается»? :)
У меня следующая структура папок:
— здесь различные скрипты
— здесь наверно должны хранится ключи