Для:
SOFTOBZOR.ru
Доброго времни суток всем.
1 Скачиваем openVPN с сервера
Ссылка скрыта от гостей
2. Устанавливаем
3. Создаем сертификаты для сервера и для клиента
Из папки easy-rsa первым запускаем init-config.bat, затем редактируем vars.bat
Затем создаем сертификаты :
Create new empty index and serial files (once only)
1. vars
2. clean-all
Build a CA key (once only)
1. vars
2. build-ca
Build a DH file (for server side, once only)
1. vars
2. build-dh
Build a private key/certficate for the openvpn server
1. vars
2. build-key-server <machine-name>
Build key files in PEM format (for each client machine)
1. vars
2. build-key <machine-name>
(use <machine name> for specific name within script)
После этого редактируем конфиги и закидываем их клиентам
Вот мои измените их для своих настроек (client):
#begin#
client
dev tap
#dev tun
;dev-node MyTap
proto tcp-client
#proto udp
#сдесь можно указать и удаленный ip например 82.211.136.8 и порт
remote 192.168.14.1 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
#Это IP для виртуального адаптера для каждого клиента я делаю отдельно мне так удобно
ifconfig 10.0.0.4 255.255.255.0
route 10.0.0.0 255.255.255.0 10.0.0.1
;user nobody
;group nobody
;persist-key
;persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
;ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
#это уровень логирования
verb 2
;mute 20
#end#
А это конфиг сервера (server )
#begin#
local 192.168.14.1
port 1194
proto tcp-server
#proto udp
mode server
tls-server
dev tap
#dev tun
;dev-node MyTap
#сдесь путь к тем сертификатом которые мы создали
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\serverVPN.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\serverVPN.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
.
ifconfig 10.0.0.1 255.255.255.0
route 10.0.0.0 255.255.255.0 10.0.0.1
route 192.168.14.0 255.255.255
#если надо чтоб роуты для клиента брались с сервера то нужно сделать так
Push 192.168.14.0 255.255.255.0 10.0.0.1
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
#это если хотите чтоб весь трафик шел через OpenVPN
;push "redirect-gateway"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
;duplicate-cn
#проверка соединения с клиентом
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
.
;user nobody
;group nobody
;persist-key
;persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
#end#
Все эти конфиги лежат в папке config
Затем на сервере где стоит openVPN необходимо включить опцию роутинга (regedit)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter в значение =1 этим мы разрешим пересылку пакетов в нашу сеть
Если у нас lotus сервер в другом месте то на нем нужно тоже добавить роуты на нем
Route add 10.0.0.0 mask 255.0.0.0 <сдесь шлюз OpenVPN у меня 192.168.14.1>
Следовательно на модеме если он отдельный нужно в нате SUA сделать порт форвардин на порт сервера OpenVPN тоесть port 1194 на 1194 сервера.
Ну вот наверно и все. У меня так 16 филиалов по всей стране работает. Если что пишите .
