Настройка OpenVpn server для Debian

28 сентября 2012 г. pashich Просмотров: 5854 RSS Обсудить
Server

Я не буду изобретать велосипед, настройка сервера Open Vpn дело для многих известное. Я лишь приведу пример как сделано у меня и предложу свой вариант конфига

1. Устанавливаем OpenVPN

sudo apt-get install openvpn

2. Генерим сертификаты

серверные

sudo mkdir /etc/openvpn/easy-rsa/

sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

sudo chown -R $USER /etc/openvpn/easy-rsa/

Редактируем /etc/openvpn/easy-rsa/vars, указывая свои данные: используем, например, редактор nano

export KEY_COUNTRY="RU"

export KEY_PROVINCE="MO"

export KEY_CITY="Gadiukino"

export KEY_ORG="Roga & kopyta"

export KEY_EMAIL="rabota@jizni.net"

Непосредственно запускаем генерацию сертов

cd /etc/openvpn/easy-rsa/

source vars

./clean-all

./build-dh

./pkitool --initca

./pkitool --server server

cd keys

openvpn --genkey --secret ta.key

sudo cp server.crt server.key ca.crt dh1024.pem ta.key /etc/openvpn/

Теперь клиентские

cd /etc/openvpn/easy-rsa/

source vars

./pkitool hostname

Вместо hostname указываем идентификатор клиента, например user1, затем аналогично user2 и так далее по необходимости

В папку OpenVPN/config/ на клиенте копируем следующие файлы:

/etc/openvpn/ca.crt

/etc/openvpn/easy-rsa/keys/hostname.crt

/etc/openvpn/easy-rsa/keys/hostname.key

/etc/openvpn/ta.key

Мы помним что вместо hostname указывали свои идентификаторы клиентов

Как скачать файлы с сервера по ssh

Редактируем конфигурацию сервера:

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/

sudo gzip -d /etc/openvpn/server.conf.gz

Редактируем /etc/openvpn/server.conf, используем редактор, например, nano

Вот мой пример рабочего серверного конфига

#server config

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh1024.pem

server 10.8.0.0 255.255.255.0 #ip адрес сервера и маска подсети

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

persist-key

persist-tun

push "redirect-gateway"

cipher AES-128-CBC

user nobody

group nogroup

status /var/log/openvpn/status_server.log

verb 3

Рестартуем сервер для применения изменений в конфигурационном файле:

sudo /etc/init.d/openvpn restart

Редактируем конфигурационный файл клиента, мой пример рабочего клиентского конфига

#client config

client

dev tun

proto udp

remote 192.168.0.1 1194 #ip адрес сервера и порт

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

ca ca.crt

cert hostname.crt #имя файла .crt -- наш идентификатор клиента

key hostname.key #имя файла .key -- наш идентификатор клиента

ns-cert-type server

cipher AES-128-CBC

comp-lzo

verb 3

Для того чтобы сервер использовался в качестве шлюза и все пакеты шли через него, делаем так:

1. Правим файл

nano /etc/sysctl.conf

Раскомментируем в нем строку

net.ipv4.ip_forward = 1

А так же выполняем следующие команды

iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Обращайте внимание на ip адрес и маску подсети, которые вы указывали в конфиге сервера, у меня это 10.8.0.0 255.255.255.0

Рестартуем сервер для применения изменений в конфигурационном файле:

sudo /etc/init.d/openvpn restart

Собственно, всё grin Теперь, прочитав статью где дешево арендовать качественный виртуальный выделенный сервер, можно арендовать выделенный сервер, например, в Германии. Настроить на нем openvpn сервер и положить за угрозы провайдеров о закрытии ютуба grin пусть закрывают, флаг им в руки grin


А если вам нужны недорогие междугородние и международные звонки -- связь через интернет, или вас интересуют облачные технологии, рекомендую посмотреть в сторону компании Манго Телеком. Самому доводилось несколько раз пользоваться услугой sip телефония от Манго Телекома, и от качества связи остались только положительные впечатления!

Поделиться с друзьями   facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru livejournal.ru