OpenVPN с сертификатами X.509

shad — Tue, 28 Jul 2009 08:12:21 +0000

В догонку к предыдущей статье , в этой будем настраивать OpenVPN на работу с сертификатами.

Для создания сертификатов для OpenVPN, разработчики уже позаботились, все команды есть в /usr/share/doc/openvpn-2.0.9/easy-rsa/2.0
создадим папку
# mkdir /etc/openvpn/keys
для начала правим файл vars
export KEY_DIR=”/etc/openvpn/keys”
export KEY_COUNTRY=”двухбуквенный код страны”
export KEY_PROVINCE=”провинция”
export KEY_CITY=”город”
export KEY_ORG=”организация” # вот это самая важная строка
export KEY_EMAIL=”почта”

далее:
# source ./vars
# ./clean-all
# ./build-dh # может занять приличное время
# ./pkitool –initca
# ./pkitool –server myserver
далее создаем сертификат для клиента
# ./pkitool client1
далее копируем файлы client1.crt client1.key ca.crt на клиентскую машину в /etc/openvpn/keys

сертификаты созданы, переходим к настройке OpenVPN

создадим файл /etc/openvpn/server.conf такого содержания:

mode server
dev tun
tls-server
proto udp
port 3335
comp-lzo
persist-tun
persist-key
client-to-client # разрешаем клиентам видеть друг друга
# указываем узловые точки виртуальной сети
ifconfig 10.1.0.1 10.1.0.2
ifconfig-pool 10.1.0.4 10.1.0.251
route 10.1.0.0 255.255.255.0
#
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/myserver.crt
key /etc/openvpn/keys/myserver.key
log-append /var/log/openvpn.log
verb 3
# отправляем клиентам необходимые маршруты
push “route 192.168.0.0 255.255.255.0″
push “route 10.1.0.0 255.255.255.0″
#
keepalive 10 60
ping-timer-rem
user nobody
daemon

перезапускаем сервис /etc/init.d/openvpn restart

переходим к настройке клиента
создадим файл /etc/openvpn/to_server.conf сделующего содержания:

client
dev tun
tls-client
remote адрес_или_имя_сервера
proto udp
port 3335
comp-lzo
persist-tun
persist-key
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client1.crt
key /etc/openvpn/keys/client1.key
log-append /var/log/openvpn.log
verb 3
user nobody
daemon

перезапускаем сервис на клиенте /etc/init.d/openvpn restart

смотрим ifconfig и видем:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

          inet addr:10.1.0.6  P-t-P:10.1.0.5  Mask:255.255.255.255

          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:9 errors:0 dropped:0 overruns:0 frame:0

          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

          коллизии:0 txqueuelen:100

          RX bytes:756 (756.0 B)  TX bytes:756 (756.0 B)

смотрим ip ro и видем новые маршруты:

10.1.0.5 dev tun0  proto kernel  scope link  src 10.1.0.6

192.168.0.0/24 via 10.1.0.5 dev tun0 #маршрут на сеть за сервером

10.1.0.0/24 via 10.1.0.5 dev tun0 #маршрут на сеть клиентов

вот и всё, подключенные клиенты могут видеть друг друга, а также могут видеть сеть за сервером.
Удачной работы!
© shadow_alone

OpenVPN-объединяем сети

shad — Sun, 26 Jul 2009 16:48:37 +0000

Имееться 2-е сети в двух офисах 192.168.1.0/24 и 192.168.2.0/24
В качестве маршрутизатора, в одной сети стоит машина с CеntOS, в другой с Debian
Задача: создать туннель между маршрутизаторами посредством OpenVPN и настроить маршруты таким образом, чтобы сети за маршрутизаторами видели друг друга.

Для примера будем считать что IP на CentOS – 10.10.11.1, а на Debian – 10.10.12.2

И так,
CentOS:
# yum install openvpn
Debian:
# apt-get install openvpn

Далее
CentOS:

сгенерируем KEY
# cd /etc/openvpn
# openvpn –genkey –secret office1.key

создадим файл конфигурации office2.conf такого содержания

dev tun
ifconfig 192.168.68.1 192.168.68.2
secret /etc/openvpn/office1.key
port 1194
proto udp
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user nobody
daemon
log-append /var/log/openvpn.log
up ./office2_route.up

далее создадим там же файл office2_route.up и пропишем в него следующее:

#!/bin/sh
route add -net 192.168.2.0 netmask 255.255.255.0 gw $5

даём права на выполнение:
# chmod a+x office2_route.up

запускаем /etc/init.d/openvpn start

с настройкой на стороне CentOS мы закончили, петерь переходим к настройкам Debian, предварительно скопировав созданный нами ранее ключь office1.key на машину с Debian.

# cp office1.key /etc/openvpn/
# chmod 600 /etc/openvpn/office1.key
# cd /etc/openvpn/
создадим файл конфигурации office1.conf такого содержания

remote 10.10.11.1
dev tun
ifconfig 192.168.68.2 192.168.68.1
secret /etc/openvpn/office1.key
port 1194
proto udp
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user nobody
daemon
log-append /var/log/openvpn.log
up ./office1_route.up

далее создадим там же файл office1_route.up и пропишем в него следующее:

#!/bin/sh
route add -net 192.168.1.0 netmask 255.255.255.0 gw $5

даём права на выполнение:
# chmod a+x office1_route.up

запускаем /etc/init.d/openvpn start

теперь можем посмотреть вывод ifconfig на обоих маршрутизаторах:

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.68.2 P-t-P:192.168.68.1 Mask:255.255.255.255
ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
коллизии:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

дальше попробуйте пропиговать из одной сети, машину в другой сети, результат должен быть положительный. Если вдруг что-то пошло ни так, смотреть /var/log/openvpn.log с обоих сторон.

Ну вот и всё, задача решена, буквально за 5-10 минут.

Удачи в настройках!

З.П.И. » openvpn

OpenVPN с сертификатами X.509

OpenVPN-объединяем сети