Настройка openvpn клиента

Установка EasyRSA на сервер центра сертификации

Easy-rsa — это утилита CLI для создания и управления центром сертификации PKI. Easy-RSA будет использоваться сервером ЦС для генерации закрытого ключа и открытого корневого сертификата. Которые будут использоваться для подписи запросов от клиентов и серверов, а так же будет полагаться на наш сервер центра сертификации.

Чтобы установить easy-rsa, загрузите инструмент управления PKI с github. Это можно сделать с помощью wget команды:

Затем распакуйте файл tgz:

Чтобы ограничить доступ только для пользователя, используйте:

Теперь переместите EasyRSA в каталог

Для этой конфигурации мы будем использовать версию EasyRSA 3.0.8.

Как настроить OpenVPN на Windows 10

Как работает OpenVPN

Протокол OpenVPN отвечает за поддержание коммуникации между клиентом и сервером. Как правило, он используется для создания защищённого туннеля между VPN-клиентом и сервером.

Для шифрования и аутентификации OpenVPN использует библиотеку OpenSSL. Кроме того, для передачи данных OpenVPN могут использоваться протоколы UDP или TCP.

  • TCP требует отклика от клиента, которому доставлен пакет данных, подтверждения доставки, и для этого ему необходимо установленное заранее соединение. Протокол TCP исключает потери данных, дублирование и перемешивание пакетов, задержки.
  • UDP всё это допускает, и соединение для работы ему не требуется. Протокол UDP доставляет пакеты данных гораздо быстрее, потому лучше подходит для приложений, которые рассчитаны на широкую пропускную способность и быстрый обмен.

Как подключиться OpenVPN

Перед подключением нужно выбрать бесплатный VPN сервер, загрузив на компьютер файл конфигурации определённого сервера. Его стоит выбирать исходя из расположения, качества линии, пропускной способности и пинга. 

Теперь запустите программу OpenVPN GUI от имени администратора в Windows 10. В противоположном случае просто не удастся подключиться к выбранному серверу.

  1. На панели задач в контекстном меню OpenVPN выберите Импорт конфигурации… В открывшемся окне проводника укажите расположение ранее загруженной конфигурации.
  2. После импорта можно смело выбирать пункт Подключиться. При необходимости можно импортировать несколько конфигураций. В таком случае подключений будет два или три.

Рекомендуем импортировать несколько разных конфигураций, после чего перейти к их тестированию. Для тестирования можно воспользоваться сервисами проверки скорости Интернета на компьютере Windows 10.

Если же перейти в расположение: C:\ Пользователи\ Имя_пользователя\ OpenVPN\ config, то можно увидеть, и при необходимости удалить, папки с ранее добавленными конфигурациями.

После подключения к определённому серверу весь трафик пользователя будет проходить через VPN. Таким образом, можно будет играть в игры или посещать сайты, заблокированные в регионе. Скорость — далеко не его сильная сторона, но если у Вас скоростной Интернет, то скорость будет приемлемой. Как правило, скорость интернета падает из-за сильного уровня шифрования в OpenVPN.

Заключение

При необходимости для работы сами используем OpenVPN. На данный момент OpenVPN считается лучшим VPN-протоколом. На практике все наши высказывания подтверждаются. После первого использования, даже бесплатных серверов, сложно использовать другие VPN-клиенты. В принципе и без дополнительного программного обеспечения можно настроить VPN соединение на Windows 10.

Доступ к локальной сети

По инструкции выше мы сможем получить доступ только к серверу, на котором установлен OpenVPN. Для получения доступа ко всей внутренней сети, выполним следующие шаги.

1. Настройка реестра

Для включения IP маршрутизации в Windows необходимо в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters найти параметр IPEnableRouter и задать ему значение 1. Это можно сделать в утилите редактирования реестра (regedit) или командой:

reg add «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters» /v IPEnableRouter /t REG_DWORD /d 1 /f

* командную строку необходимо запускать от администратора.

2. Настройка OpenVPN Server

В конфигурационный файл OpenVPN добавим:

push «route 172.16.10.0 255.255.255.0»
push «route 192.168.2.0 255.255.255.0»

* где 172.16.10.0 — VPN сеть; 192.168.2.0 — локальная сеть, в которую необходимо «попасть» пользователям openvpn.

При необходимости использовать DNS внутренней сети также добавим:

push «dhcp-option DNS 192.168.0.15»
push «dhcp-option DNS 192.168.0.16»
push «dhcp-option DOMAIN dmosk.local»

* где 192.168.0.15 и 192.168.0.16 — внутренние DNS-серверы; dmosk.local — домен, который будет добавляться к узлам, обращение к которым идет по неполному имени.

Если нам нужно, чтобы все запросы клиента (в том числе, Интернет) ходили через сервер OpenVPN, добавляем:

push «redirect-gateway def1»

* в таком случае, нам не обязательно добавлять push route, который мы использовали выше.

Перезагружаем службу OpenVpnService.

3. Разрешаем доступ к локальной сети

Заходим в управление сетевыми подключениями (Панель управления\Сеть и Интернет\Сетевые подключения). Кликаем правой кнопкой мыши по адаптеру локальной сети — Свойства:

На вкладке Доступ ставим галочку Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера:

… и сохраняем настройки.

Настройки клиентской конфигурации

Виртуальная частная сеть имеет свое клиентское приложение, которое одинаково хорошо загружается для любой существующей операционной системы за исключением Mac – к нему разработан Tunnelblick. Версии приложений функционируют одинаково, затрагивают определенные конфигурационные файлы. В зависимости от версий, могут различаться отдельные опции. Более подробная информация расписана в документации OpenVPN.

Далее мы расскажем, как подключить клиентов на ОС Виндовс, применяя те же дистрибутивы, которые до этого инсталлировались на сервере. В случае с другими операционными системами методы и шаги будут примерно такими же.

1. Для начала на ПК клиента ставится актуальная версия (желательно последняя) OpenVPN.

2. Конфигурационные файлы клиента client.ovpn вместе с сертификатами *.crt и ключами *.key, которые перед этим мы сгеренировали, необходимо поместить в подпапку config, хранящуюся в разделе OpenVPN. При этом желательно файл клиента удалить с директории сервера, чтобы не запутаться при будущих настройках.

3. При открытии client.ovpn необходимо отыскать строчку remote my-server-1 1194. Задайте ей айпи и домен работающего сервера:

remote 1194

Например:

remote 111.222.88.99 1194

4. Ниже в файле обозначен путь к каждому сертификату, меняем их на путь к скопированным версиям:

# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca "C:Program FilesOpenVPNconfigca.crt"
cert "C:Program FilesOpenVPNconfigclient2.crt"
key "C:Program FilesOpenVPNconfigclient2.key"
# This file should be kept secret

5. После сохранения базовые настройки будут окончены.

Подготовительные операции

Независимо от того, какой из вариантов VPN сервера вы предпочтете, доступ клиентов в Интернет будет реализован штатными средствами операционной системы. Для того, чтобы из внутренней сети открыть доступ в Интернет через внешний интерфейс сервера необходимо разрешить пересылку пакетов между интерфейсами (форвардинг пакетов), и настроить трансляцию адресов.

Для включения форвардинга пакетов откроем файл “/etc/sysctl.conf” и изменим значение параметра “net.ipv4.ip_forward” на 1.

Чтобы изменения применились без перезагрузки сервера, выполним команду

Трансляция адресов настраивается средствами iptables. Предварительно уточним имя внешнего сетевого интерфейса, выполнив команду “ip link show”, оно понадобится на следующем шаге. В нашем случае имя интерфейса “ens3”.

Включаем трансляцию адресов на внешнем интерфейсе для всех узлов локальной сети.

Обратите внимание, что в команде необходимо указать реальное имя сетевого интерфейса. На вашем сервере оно может отличаться

По умолчанию все созданные правила iptables сбрасываются после перезагрузки сервера, для того, чтобы этого избежать, воспользуемся утилитой “iptables-persistent”
 Устанавливаем пакет.

В процессе установки откроется окно конфигурации, в котором система предложит сохранить текущие правила iptables. Так как правила уже настроены, соглашаемся и дважды нажимаем “Yes”. Теперь, после перезагрузки сервера правила будут восстанавливаться автоматически.

Корректировки скрипта OpenVPN

Теперь надо внести некоторые корректировки в этот скрипт. Нас интересуют следующие строчки:

set PATH="E:\OpenVPN"

Где мы указываем папку с программой (путь).

set KEY_DIR=C:\certs

Внимание! В этой строчке укажите папку, где будут храниться ваши сертификаты. При этом в пути до папки не должно быть пробелов

С ними наблюдаются проблемы.

Идем дальше.

set KEY_COUNTRY=RU
set KEY_PROVINCE=CA
set KEY_CITY=Moscow
set KEY_ORG=barnak-VPN
set KEY_EMAIL=mail
set KEY_CN=barnak-CA
set KEY_NAME=name
set KEY_OU=ou
set PKCS11_MODULE_PATH=path
set PKCS11_PIN=pin

Здесь (см.выше) мы указываем информацию для сертификатов (они у нас будут использоваться для аутентификации между сервером и клиентом). Можно использовать пробелы:

  • KEY_PROVINCE, — указываем что хотим или оставляем по умолчанию;
  • KEY_CITY,- ваш город (или любой город);
  • KEY_ORG, — название вашего ИП 🙂 (можно что угодно писать);
  • KEY_EMAIL, — указываем что хотим или оставляем по умолчанию;
  • KEY_CN, — название вашего сервера;
  • KEY_NAME,- указываем что хотим или оставляем по умолчанию;
  • KEY_OU,- указываем что хотим или оставляем по умолчанию;
  • PKCS11_MODULE_PATH, — указываем что хотим или оставляем по умолчанию;
  • PKCS11_PIN,- указываем что хотим или оставляем по умолчанию.

После этого сохраняем изменения и запускаем скрипт. При первом запуске вы увидите что было скопировано два файла. Так и должно быть. У вас создалась папка, в которой будут лежать сертификаты и ключи:

Вводим 1 и нажимаем Enter. Вас попросят ввести информацию о сертификате. Т.к. мы ее заполнили ранее, то просто нажимаете Enter, пока вам не напишет «CA certificate successfully created»:

Кому интересно что это за поля и где их увидеть:

Открываете папку keys (или как вы ее назвали), открываете ca.crt, переходите на вкладку «Состав» и щелкаете по опции «Издатель»:

Теперь нужно выпустить ключевую последовательность Диффи-Хеллмана. Вводим 2 и ждем, пока ключи сгенерируются:

После этого выпускаем сертификат для нашего сервера. Вводим 3, далее нас попросят ввести имя сервера:

Далее методично нажимаем Enter пока не появится фраза «Sign the certificate?», после чего нажимаем y и Enter. Появится вопрос: «1 out of 1 certificate requests certified, commit?» на который мы отвечаем утвердительно. Сертификат готов.

Для клиента проделываем всё аналогично.

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

Для завершения настройки OpenVPN сервера на Windows остается только правильно задать значения сервера и клиента.

Конфигурация сервера OpenVPN

Чтобы настроить OpenVPN сервер на Windows, заходят в папку config, которая находится в корневом каталоге утилиты, создают в ней файл server.ovpn и редактируют его, как указано на этом фото:

Содержимое созданного файла server.ovpn

В данном файле:

  • Port — назначенный сетевой порт. Лучше всего использовать номер 443 – он поможет без проблем подключаться к общественным сетям, но можно назначить любой из «лишних» портов Виндовс. Чтобы узнать, какие порты в операционной системе заняты, применяют команду netstat–a.
  • dev-node — наименование сетевого интерфейса;
  • server – полное имя подсети.

Поскольку некоторые пути содержат пробелы, они записываются в кавычках.

Важно! Используя иное значение порта, нужно обязательно убедиться, что он открыт в файрволе. Далее осталось включить созданный сервер

Для этого:

Далее осталось включить созданный сервер. Для этого:

  1. Открывают «Сетевые подключения Windows», раздел управления адаптерами.
  2. Изменяют название «TAP-адаптер» на «VPN Server» или присваивают ему иное имя, которое было вписано в строке dev-node bat-файла.
  3. При помощи горячих клавиш WIN+R активируют утилиту «Выполнить».
  4. В строке поиска появившегося окна пишут services.msc и нажимают «ОК».
  5. В открывшемся меню «Службы Windows» переходят в раздел OpenVpnService.
  6. Активируют автозапуск и нажимают «Старт». VPN-сервер начнет работу.

Включение VPN-сервера

Важно! Перед использованием службы необходимо убедиться, что новый сетевой адаптер VPN Server получил IP-адрес 172.16.10.1. Если же айпи выглядит примерно, как 169.254…, нужно отключить сервер, закрыть и заново открыть OpenVpnService, а затем снова включить адаптер

Создание клиентских сертификатов на сервере

Чтобы создать ключи для клиентов, открывают каталог easy-rsa\keys в папке, в которую была установлена утилита, находят в нем index.txt и очищают его. После этого открывают окно терминала и последовательно вводят команды:

  1. cd %ProgramFiles%\OpenVPN\easy-rsa – заходят в easy-rsa;
  2. vars.bat – запускают соответствующий файл;
  3. build-key.bat client1 – генерируют клиентский ключ.

Важно! Для каждой клиентской машины нужно генерировать собственный ключ, иначе система присвоит им одинаковые айпи-адреса, что вызовет конфликт. В итоге должен получиться файл, примерно похожий на то, что изображено на этом фото:

В итоге должен получиться файл, примерно похожий на то, что изображено на этом фото:

Создание клиентских ключей

Все команды подтверждают нажатием клавиши Enter. Исключение – Common Name, туда подставляется значение из файла vars.bat, но с ним невозможно создать сертификат, поэтому его меняют на название клиентской машины (в примере выше – client1).

Завершают процесс двойным нажатием кнопки Y.

В конце копируют client1.key, ca.crt, dh.pem и client1.crt из папки keys на компьютер или ноутбук.

Дополнительная информация. Протокол OpenVPN может использовать три разных способа аутентификации: при помощи сертификата, общего ключа (динамического или статического), или же используя пару логин/пароль.

Настройка машины клиента

Чтобы настроить VPN на клиенте:

  1. Устанавливают на компьютер программу OpenVPN, подходящую к текущей версии Виндовс, как было описано выше.
  2. Копируют в папку \OpenVPN\config сертификаты с сервера.
  3. Открывают «Блокнот», вписывают в него команды согласно рисунку ниже и сохраняют в папке OpenVPN под именем config.ovpn.

Создание config.ovpn

Обратите внимание!  Айпи-адрес в файле принадлежит серверу. Для клиентской машины он будет внешним

Далее запускают утилиту OpenVPN GUI. Когда на панели инструментов появится ее пиктограмма, кликают по ней правой клавишей мыши и в открывшемся меню нажимают на «Подключиться». Об успешном подключении будет говорить смена цвета пиктограммы на зеленый.

Дополнительная информация. Чтобы компьютер клиента не использовал сервер-VPN для выхода в Интернет по умолчанию, нужно активировать значение «Отключить добавление маршрута, основанное на классе» в свойствах данного подключения.

Настраиваем аутентификацию через LDAP

На сервере OpenVPN

Устанавливаем пакет openvpn-auth-ldap:

# apt-get install openvpn-auth-ldap -y

Редактируем конфигурационный файл openvpn (добавляем две строки):

# nano /etc/openvpn/server.conf

username-as-common-name

plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

В директории /etc/openvpn создаем каталог auth и в нем конфигурационный файл ldap.conf. В последний добавляем следующие строки:

# mkdir /etc/openvpn/auth && nano /etc/openvpn/auth/ldap.conf

     URL             ldap://dc1.dmosk.local

     BindDN          CN=openvpn,CN=Users,DC=dmosk,DC=local

     Password        openvpn

     Timeout         15

     TLSEnable       no

       BaseDN          «DC=dmosk,DC=local»

       SearchFilter    «(&(sAMAccountName=%u)(memberOf=CN=VPN users,CN=Users,DC=dmosk,DC=local))»

**** ldap://dc1.dmosk.local — контроллер домена. CN=openvpn,CN=Users,DC=dmosk,DC=local — учетная запись для связывания с контроллером домена. openvpn — пароль для учетной записи openvpn. DC=dmosk,DC=local — корень в домене, с которого начнется поиск учетной записи для аутентификации. CN=VPN users,CN=Users,DC=dmosk,DC=local — группа безопасности, в которую должна входить учетная запись для успешной аутентификации.

Перезагружаем демон openvpn:

# service openvpn restart

На сервере Active Directory

Запускаем оснастку для управления пользователями и компьютерами.

В контейнере «Users» создаем учетную запись openvpn с паролем openvpn. Никаких дополнительных прав ей не даем.

***** Данные контейнер, имя и пароль используются для примера. Само собой, вы можете использовать любые значения. Только не забывайте также редактировать конфигурационный файл ldap.conf на сервере.

В том же контейнере создаем группу безопасности «VPN users». В нее добавляем учетные записи всех пользователей, которым хотим предоставить возможность подключаться к VPN.

****** Если в компании сложная структура Active Directory с множеством сайтов, возможно, стоит сделать паузу на 15 минут и подождать окончания репликации.

На клиенте Windows

Запускаем блокнот от имени администратора и открываем конфигурационный файл клиента openvpn (C:\Program Files\OpenVPN\config\config.ovpn).

Добавляем в него одну строку:

auth-user-pass

Сохраняем файл и проверяем работоспособность. При включении клиента появится окно для ввода логина и пароля.

Вводим логин и пароль для учетной записи, которую мы добавили в группу «VPN users» — произойдет подключение и значок поменяет цвет с серого на зеленый.

Аутентификация пользователей

Позволяет требовать от пользователя ввод логина и пароля при каждом подключении. Также идентификация каждого пользователя необходима для уникальной идентификации каждого из них и выдачи разных IP-адресов.

Настройка на сервере

Открываем конфигурационный файл openvpn:

vi /etc/openvpn/server.conf

И добавляем следующие строчки:

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
tmp-dir /etc/openvpn/tmp

* где:

  • plugin — путь до библиотеки проверки введенных логина и пароля. Как путь, так и название файла openvpn-plugin-auth-pam.so могут отличаться. Это зависит от версии Linux и OpenVPN. Чтобы найти путь до нужного файла, можно воспользоваться командой find / -name «openvpn-*auth-pam*» -print.
  • tmp-dir — указание пути до директории хранения временных файлов. Если не указать, то будет использоваться /tmp, однако, на практике это может привести к ошибке Could not create temporary file ‘/tmp/openvpn_<набор символов>.tmp’: No such file or directory (errno=2).

Перезапускаем сервер:

systemctl restart openvpn@server

Создаем учетную запись для авторизации:

useradd vpn1 -s /sbin/nologin

passwd vpn1

В конфигурационный файл клиента добавляем:

auth-user-pass

Можно пробовать подключаться.

Вход без ввода пароля

Если необходимо настроить авторизацию, но автоматизировать вход клиента, открываем конфигурационный файл последнего и строку для авторизации меняем на:

auth-user-pass auth.txt

* где auth.txt — файл, в котором мы будем хранить логин и пароль.

Создаем текстовый файл auth.txt в той же папке, где находится файл конфигурации со следующим содержимым:

username
password

* где username — логин пользователя, а password — пароль.

Переподключаем клиента.

Описанный метод аутентификации является базовым и требует наличие обычной системной учетной записи. Если необходима более сложная авторизация на базе LDAP, можно воспользоваться инструкцией

настройка OpenVPN сервера с аутентификацией через LDAP (написана на базе Linux Ubuntu).

Постскриптум

Много вопросов поступает про «OpenVPN — фу, а как L2TP?» и на место L2TP можно подставить любой другой протокол, например, WireGuard. Вряд ли стоит ради этого писать отдельные статьи, зачем порождать информационный мусор. Но если коротко — для любого другого протокола нужно просто завести инстанс, например, ubuntu minimal, а потом использовать готовые автосетапы road warrior — например, L2TP, OpenVPN и WireGuard. Единственный неочевидный момент здесь — открыть на сервисе нужные протоколу входящие порты (в свойствах инстанса — subnet — security list и там добавить соответствующие ingress rules).

Делитесь с родными и друзьями

Чисто технически, вы можете создать множество профилей, как для разных устройств, так и для разных людей. Вдвоем цена для каждого уже будет $2.5, впятером — $1.

Важно, что по каждому профилю может быть только одно одновременное подключение. Так что, как минимум, нужно создавать отдельные профили для разных устройств

UPD

1 мая 2018 начали появляться комментарии, что некоторые российские провайдеры блокируют Digital Ocean. Есть отличная альтернатива — Linode (сравнение).

  1. Регистрируемся на главной странице.
  2. После ввода e-mail, логина и пароля (нужно придумать), придет письмо со ссылкой для подтверждения, переходим по ней
  3. Откроется расширенная форма регистрации, нужно ввести фамилию, имя, адрес, промо код и данные карты
    • промокод на $10 или $20 легко ищется в google, 01.05.2018 работал на $20
    • карта подойдет любая, нет особых требований как у DigitalOcean
    • в самом низу выбираем первоначальное пополнение, минимум $5
  4. После оправки формы, сразу попадаем на страницу создания сервера, в самом низу выбираем Linode 1024 (стоит те же $5 в месяц), ниже выбираем локацию, для Европейской части России ближе всего Frankfurt, DE
  5. После создания сервера, выбираем его из списка и нажимаем Deploy an Image
    • выбираем дистрибутив, например Fedora 27 или Debian 9
    • придумываем, запоминаем и вводим пароль сервера
    • жмем Deploy
  6. Нажимаем кнопку Boot чтобы запустить сервер
  7. Переключаемся на вкладку Remote Access копируем самый первый Public IP, например
  8. Запускаем SSHeller, нажимаем Add
    • придумываем и вводим Name
    • в Host вставляем скопированный IP
    • в User вводим
    • в Password вводим пароль, придуманный на шаге 5
  9. Сервер грузится не мгновенно, если быстро ввели параметры доступа к серверу, то придется подождать секунд 30

Дальше все по основной инструкции.

Функционал

Программа OpenVPN создает полноценную частную виртуальную сеть. Все операции будут совершаться через TCP- или UDP-транспорт, выбирать из двух вариантов может сам пользователь.
Возможности OpenVPN :

  • работа через HTTP и SOCKS;
  • соединение с компьютером, расположенным за NAT;
  • соединение с компьютером, минуя межсетевой экран;
  • создание туннеля сетевого уровня TUN;
  • создание туннеля канального уровня TAP;
  • возможность передачи трафика через Ethernet;
  • сжатие передаваемых данных с применением технологии LZO;
  • управление одновременно несколькими тоннелями;
  • двойная проверка передаваемых данных на целостность.

OpenVPN позволяет создавать каналы для передачи данных на высоких скоростях. Туннели имеют высокую защиту от утечек и несанкционированного доступа со стороны сторонних организаций. Используемые в программе технологии позволяют получать доступ к заблокированным сайтам и серверам, а также обеспечивать максимальную конфиденциальность пользователя во время пребывания в интернете, в том числе и при подключении через сети общего назначения. При необходимости, с помощью программы можно создать компьютерную защищенную сеть.

Для большинства пользователей достаточно скачать бесплатную версию OpenVPN. Продвинутые пользователи и крупные компании могут покупать премиум-подписку и пользоваться огромным набором различных функций.

Плюсы и минусы

Перед тем, как скачать OpenVPN для Windows и установить программу, нужно иметь представление о ее плюсах и минусах, без которых не обошлось.

Плюсами будут:

  • создание собственной сети для передачи внутри ее данных с высокой степенью защиты;
  • возможность выбора UDP или TCP способа транспортировки данных;
  • применение технологий TLS, OpenSSL PolarSSL для обеспечения высокого качества шифрования передаваемых и принимаемых по сети данных;
  • программная идентификация всех компьютеров и серверов, участвующих в создании виртуальной частной сети — это исключает возможность подключения стороннего пользователя;
  • применение технологии LZO для сжатия данных и обеспечения высокой скорости передачи данных;
  • доступ к сайтам, социальным сетям и серверам, заблокированным в регионе нахождения пользователя;
  • полная анонимность при серфинге в интернете;
  • сокрытие местоположения за счет подмены IP адреса.

Не лишена программа и недостатков. Самый главный — наличие множества тонких настроек, которые могут сбить с толку неопытного пользователя. Такая особенность характерна даже для бесплатной версии OpenVPN.

Второй недостаток — необходимость скачивания файла конфигурации, сложная первичная установка и настройка программы. Людям, неуверенно пользующимся ПК, этот недостаток покажется существенным.

Настройка и запуск сервера

Создаем конфигурационный файл для сервера openvpn:

vi /etc/openvpn/server/server.conf

И вставляем в него следующее:

local 192.168.0.15
port 443
proto udp
dev tun
ca keys/ca.crt
cert keys/vpn-server.crt
key keys/vpn-server.key
dh keys/dh.pem
tls-auth keys/ta.key 0
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
max-clients 32
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 0
mute 20
daemon
mode server
tls-server
comp-lzo no

* где из всех параметров, обязательно, внести изменения нужно в следующие — local: IP-адрес, на котором будет обрабатывать запросы OpenVPN; port: сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть уже занят в вашей системе — посмотреть список используемых портов можно командой ss -tunlp. Если порт занят, используйте любой из свободных, например 1194).

Создаем каталог для логов сервера:

mkdir /var/log/openvpn

Разрешаем автоматический старт сервиса vpn:

systemctl enable openvpn-server@server

И запускаем его:

systemctl start openvpn-server@server

Проверить работоспособность можно командой:

systemctl status openvpn-server@server

Заключение

Протокол OpenVPN остается отраслевым стандартом, ведь он объединяет в себе высокую скорость, надежное шифрование и безопасный код. Лучшие VPN-сервисы предлагают своим пользователям приложения, которые либо по умолчанию используют OpenVPN, либо предоставляют возможность перейти на этот протокол через настройки.

Разумеется, в определенных обстоятельствах вам потребуется вручную настраивать протокол — может, у вас старое устройство, или вы заинтересованы в самом процессе. В любом случае, теперь вы знаете, как избавиться от необходимости использовать собственные приложения сервисов и установить подключение по протоколу OpenVPN в несколько простых действий!

Если вы хотите побольше узнать о разнице между основными VPN-протоколами, почитайте наше подробное руководство по самым безопасным (и самым уязвимым) методам VPN-туннелирования.

1 ExpressVPN 9.8/10

Узнать больше

Начать »

Перейти на сайт

2 CyberGhost VPN 9.8/10

Узнать больше

Начать »

Перейти на сайт

3 IPVanish VPN 9.6/10

Узнать больше

Начать »

Перейти на сайт

Предупреждение о конфиденциальности!

При посещении сайтов вы передаете им свою конфиденциальную информацию!

Ваш IP-адрес:

Ваше местоположение:

Ваш интернет-провайдер:

Приведенная выше информация может быть использована для отслеживания вашего местоположения, ваших действий в сети и показа таргетированной рекламы.

VPN могут помочь вам скрыть эту информацию от сайтов и обеспечить постоянную защиту. Мы рекомендуем ExpressVPN —VPN №1 из более 350 протестированных нами провайдеров. Он предоставляет функции шифрования и конфиденциальности военного уровня, которые обеспечат вам цифровую безопасность. Кроме того, на данный момент он предлагает скидку 49%.