Настройка сервера OpenVPN на Windows

OpenVPN - адзін з варыянтаў VPN (virtual private network або прыватных віртуальных сетак), якія дазваляюць рэалізаваць перадачу даных па адмыслова створанаму зашыфраваным канале. Такім чынам можна злучыць два кампутара ці пабудаваць цэнтралізаваную сетку з серверам і некалькімі кліентамі. У гэтым артыкуле мы навучымся ствараць такі сервер і наладжваць яго.

Наладжвальны OpenVPN сервер

Як ужо было сказана вышэй, з дапамогай тэхналогіі, пра якую ідзе гаворка, мы можам перадаваць інфармацыю па бяспечным каналу сувязі. Гэта можа быць абмен файламі або абаронены доступ у інтэрнэт праз сервер, які з'яўляецца агульным шлюзам. Для яго стварэння нам не спатрэбіцца дадатковае абсталяванне і асаблівыя веды - усё робіцца на тым кампутары, які плануецца выкарыстоўваць у якасці сервера VPN.

Для далейшай працы неабходна будзе таксама наладзіць і кліенцкую частка на машынах карыстальнікаў сеткі. Уся праца зводзіцца да стварэння ключоў і сертыфікатаў, якія затым перадаюцца кліентам. Гэтыя файлы дазваляюць пры падключэнні да сервера атрымаць IP-адрас і стварыць згаданы вышэй зашыфраваны канал. Уся інфармацыя, перададзеная па ім, можа быць прачытана толькі пры наяўнасці ключа. Гэтая асаблівасць дазваляе значна павысіць бяспеку і забяспечыць захаванасць дадзеных.

Ўстаноўка OpenVPN на машыну-сервер

Інсталяцыя ўяўляе сабой стандартную працэдуру з некаторымі нюансамі, пра якія і пагаворым падрабязней.

1. Перш за ўсё неабходна спампаваць праграму па спасылцы ніжэй.

   Спампаваць OpenVPN

   

2. Далей запускаем ўсталёўшчык і даходзім да акна выбару кампанентаў. Тут нам спатрэбіцца паставіць каўку поруч пункта з назвай «EasyRSA», што дазволіць ствараць файлы сертыфікатаў і ключоў, а таксама кіраваць імі.

   

3. Наступны крок - выбар месца для інсталяцыі. Для зручнасці змесцім праграму ў корань сістэмнага дыска З :. Для гэтага проста выдалім лішняе. павінна атрымацца

   C: \ OpenVPN

   

   Робім мы гэта і для таго, каб пазбегнуць збояў пры выкананні скрыптоў, так як прабелы ў шляху недапушчальныя. Можна, вядома, браць іх у двукоссі, але ўважлівасць можа і падвесці, а шукаць памылкі ў кодзе - справа няпростая.

4. Пасля ўсіх налад усталёўваем праграму ў штатным рэжыме.

Настройка сервернай часткі

Пры выкананні наступных дзеянняў варта быць максімальна уважлівым. Любыя агрэхі прывядуць да непрацаздольнасці сервера. Яшчэ адна абавязковая ўмова - ваш уліковы запіс павінна мець правы адміністратара.

1. Ідзем у каталог «easy-rsa», які ў нашым выпадку знаходзіцца па адрасе

   C: \ OpenVPN \ easy-rsa

   Знаходзім файл vars.bat.sample.

   

   Пераназываем яго ў vars.bat (выдаляем слова «sample» разам з кропкай).

   

   Адкрываем гэты файл у рэдактары Notepad ++. Гэта важна, бо менавіта гэты нататнік дазваляе правільна рэдагаваць і захоўваць коды, што дапамагае пазбегнуць памылак пры іх выкананні.

   

2. У першую чаргу выдаляем ўсе каментары, вылучаныя зялёным колерам - яны нам будуць толькі перашкаджаць. Атрымаем наступнае:

   

3. Далей мяняем шлях да тэчцы «easy-rsa» на той, які мы паказвалі пры ўсталёўцы. У дадзеным выпадку проста выдаляем зменную% ProgramFiles% і мяняем яе на C :.

   

4. Наступныя чатыры параметру пакідаем без змен.

   

5. Астатнія радкі запаўняем адвольна. Прыклад на скрыншоце.

   

6. Захоўваем файл.

   

7. Патрабуецца таксама адрэдагаваць наступныя файлы:
   • build-ca.bat
   • build-dh.bat
   • build-key.bat
   • build-key-pass.bat
   • build-key-pkcs12.bat
   • build-key-server.bat

   

   У іх трэба памяняць каманду

   openssl

   на абсалютны шлях да адпаведнага ёй файлу openssl.exe. Не забываем захоўваць змены.

   

8. Цяпер адкрываем тэчку «easy-rsa», зацісканы SHIFT і клікаем ПКМ па вольным месцы (не па файлаў). У кантэкстным меню выбіраем пункт «Адкрыць акно каманд».

   

   Запусціцца «Камандны радок» з ужо ажыццёўленым пераходам у мэтавай каталог.

   

9. Ўводны каманду, пазначаную ніжэй, і націскаем ENTER.

   vars.bat

   

10. Далей запускаем яшчэ адзін «батник».

    clean-all.bat

    

11. Паўтараем першую каманду.

    

12. Наступны крок - стварэнне неабходных файлаў. Для гэтага выкарыстоўваем каманду

    build-ca.bat

    Пасля выканання сістэма прапануе пацвердзіць дадзеныя, якія мы ўносілі ў файл vars.bat. Проста некалькі разоў націскаем ENTER, пакуль не з'явіцца зыходная радок.

    

13. Ствараем DH-ключ з дапамогай запуску файла

    build-dh.bat

    

14. Рыхтуем сертыфікат для сервернай часткі. Тут ёсць адзін важны момант. Яму трэба прысвоіць тое імя, якое мы прапісалі ў vars.bat ў радку «KEY_NAME». У нашым прыкладзе гэта Lumpics. Каманда выглядае наступным чынам:

    build-key-server.bat Lumpics

    Тут таксама неабходна пацвердзіць дадзеныя з дапамогай клавішы ENTER, а таксама два разы ўвесці літару «y» (yes), дзе спатрэбіцца (гл. Скрыншот). Камандны радок можна зачыніць.

    

15. У нашым каталогу «easy-rsa» з'явілася новая тэчка з назвай «keys».

    

16. Яе змесціва патрабуецца скапіяваць і ўставіць у тэчку «ssl», якую неабходна стварыць у каранёвым каталогу праграмы.

    

    Выгляд папкі пасля ўстаўкі скапіяваных файлаў:

    

17. Цяпер ідзём у каталог

    C: \ OpenVPN \ config

    Ствараем тут тэкставы дакумент (ПКМ - Стварыць - Тэкставы дакумент), пераназываем яго ў server.ovpn і адкрываем ў Notepad ++. Ўносім наступны код:

    port 443

    proto udp

    dev tun

    dev-node "VPN Lumpics"

    dh C: \\ OpenVPN \\ ssl \\ dh2048.pem

    ca C: \\ OpenVPN \\ ssl \\ ca.crt

    cert C: \\ OpenVPN \\ ssl \\ Lumpics.crt

    key C: \\ OpenVPN \\ ssl \\ Lumpics.key

    server 172.16.10.0 255.255.255.0

    max-clients 32

    keepalive 10 120

    client-to-client

    comp-lzo

    persist-key

    persist-tun

    cipher DES-CBC

    status C: \\ OpenVPN \\ log \\ status.log

    log C: \\ OpenVPN \\ log \\ openvpn.log

    verb 4

    mute 20

    Звярніце ўвагу, што назвы сертыфікатаў і ключоў павінны супадаць з размешчанымі ў папцы "ssl».

    

18. Далей адкрываем «Панэль кіравання» і пераходзім у «Цэнтр кіравання сеткамі».

    

19. Націскаем на спасылку "Змена параметраў адаптара».

    

20. Тут нам трэба знайсці падлучэнне, якое ажыццяўляецца праз «TAP-Windows Adapter V9». Зрабіць гэта можна, націснуўшы па злучэнні ПКМ і перайшоўшы да яго уласцівасцях.

    

21. Пераназываем яго ў «VPN Lumpics» без двукоссяў. Гэта назва павінна супадаць з параметрам «dev-node» у файле server.ovpn.

    

22. Заключны этап - запуск службы. Націскаем спалучэнне клавіш Win + R, ўводзім радок, паказаную ніжэй, і ціснем ENTER.

    services.msc

    

23. Знаходзім сэрвіс з назвай «OpenVpnService», клікаем ПКМ і ідзем у яго ўласцівасці.

    

24. Тып запуску мяняем на «Аўтаматычна», запускаем службу і націскаем «Ужыць».

    

25. Калі мы ўсё зрабілі правільна, то каля адаптара павінен прорву чырвоны крыжык. Гэта значыць, што падключэнне гатова да працы.

    

Настройка кліенцкай часткі

Перад пачаткам налады кліента неабходна здзейсніць некалькі дзеянняў на сервернай машыне - згенераваць ключы і сертыфікат для налады падлучэння.

1. Ідзем у каталог «easy-rsa», затым у тэчку «keys» і адкрываем файл index.txt.

   

2. Адкрываем файл, выдаляем усё змесціва і захоўваем.

   

3. Пераходзім назад у «easy-rsa» і запускаем «каманднага радка» (SHIFT + ПКМ - Адкрыць акно каманд).
4. Далей запускаем vars.bat, а затым ствараем кліенцкі сертыфікат.

   build-key.bat vpn-client

   

   Гэта агульны сертыфікат для ўсіх машын у сеткі. Для падвышэння бяспекі можна згенераваць для кожнага кампутара свае файлы, але назваць іх па-іншаму (не «vpn-client», а «vpn-client1» і гэтак далей). У гэтым выпадку неабходна будзе паўтарыць ўсе дзеянні, пачынаючы з ачысткі index.txt.

5. Заключнае дзеянне - перанос файлаў vpn-client.crt, vpn-client.key, ca.crt і dh2048.pem кліенту. Зрабіць гэта можна любым зручным спосабам, напрыклад, запісаць на флешку або перадаць па сетцы.

   

Працы, якія неабходна выканаць на кліенцкай машыне:

1. Усталёўваем OpenVPN звычайным спосабам.
2. Адкрываем каталог з усталяванай праграмай і пераходзім у тэчку «config». Сюды неабходна ўставіць нашы файлы сертыфікатаў і ключоў.

   

3. У гэтай жа тэчцы ствараем тэкставы файл і пераназываем яго ў config.ovpn.

   

4. Адкрываем ў рэдактары і прапісваем наступны код:

   client

   resolv-retry infinite

   nobind

   remote 192.168.0.15 443

   proto udp

   dev tun

   comp-lzo

   ca ca.crt

   cert vpn-client.crt

   key vpn-client.key

   dh dh2048.pem

   float

   cipher DES-CBC

   keepalive 10 120

   persist-key

   persist-tun

   verb 0

   У радку «remote» можна прапісаць знешні IP-адрас сервернай машыны - так мы атрымаем доступ у інтэрнэт. Калі пакінуць усё як ёсць, то будзе магчыма толькі злучэнне з серверам па зашыфраваным каналу.

5. Запускаем OpenVPN GUI ад імя адміністратара з дапамогай цэтліка на працоўным стале, затым у трэі знаходзім адпаведную абразок, ціснем ПКМ і выбіраем першы пункт з назвай «Падключыцца».

   

На гэтым налада сервера і кліента OpenVPN завершана.

заключэнне

Арганізацыя ўласнай VPN-сеткі дазволіць вам максімальна абараніць інфармацыю, якую перадаеш, а таксама зрабіць інтэрнэт-сёрфінг больш бяспечным. Галоўнае - быць больш уважліва пры наладзе сервернай і кліенцкай часткі, пры правільных дзеяннях можна будзе карыстацца ўсімі перавагамі прыватнай віртуальнай сеткі.