Содержание
OpenVPN
Если вы хотите больше, чем просто предварительно распространенные ключи, OpenVPN упрощает установку и использование инфраструктуры открытых ключей (PKI), предназначенной для аутентификации с использованием SSL/TLS сертификатов и обмена ключами между VPN сервером и клиентами. OpenVPN может использоваться режимах VPN с роутингом и сетевым мостом и настраиваться на использование как UDP так и TCP. Номер порта также может настраиваться, но официально используется 1194. И он один используется для всех коммуникаций. Реализации VPN клиента доступны почти для всего, включая все дистрибутивы Linux, OS X, Windows и OpenWRT, являющийся основой для WLAN роутеров.
Установка сервера
Для установки openvpn наберите в терминале:
sudo apt-get install openssl openvpn
Установка структуры открытых ключей (PKI)
Первым шагом при построении конфигурации OpenVPN является установка PKI. PKI состоит из:
отдельные сертификаты (также известные как открытые ключи) и секретные ключи для сервера и каждого клиента
главный сертификат центра сертификатов (CA) и секретный ключ, которые используются для цифровой подписи сертификатов сервера и клиентов.
OpenVPN поддерживает двустороннюю аутентификацию на основе сертификатов, означающую что клиент должен аутентифицировать серверный сертификат, а сервер должен аутентифицировать клиентский прежде чем будет установлено взаимное доверие.
И сервер и клиент аутентифицируют друг друга сначала проверяя, что представленный сертификат подписан главным сертификатом центра сертификатов, а затем проверяя информацию в заголовке свеже-аутентифицированного сертификата, такую как общее имя или тип сертификата (клиент или сервер).
Установка центра сертификатов
Для установки вашего собственного центра сертификатов (CA) и генерации сертификатов с секретными ключами для OpenVPN сервера и множества клиентов, сперва скопируйте easy-rsa каталог в /etc/openvpn. Это гарантирует, что любые изменения в сценариях не будут потеряны при обновлении пакета. Из терминала переключитесь на суперпользователя (sudo -s - прим. пер.) и выполните:
mkdir /etc/openvpn/easy-rsa/ cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
Далее отредактируйте /etc/openvpn/easy-rsa/vars, исправив следующее в соответствии с вашей действительностью:
export KEY_COUNTRY="US" export KEY_PROVINCE="NC" export KEY_CITY="Winston-Salem" export KEY_ORG="Example Company" export KEY_EMAIL="steve@example.com"
Введите следующее для создания главного сертификата центра сертификатов и его секретного ключа:
cd /etc/openvpn/easy-rsa/ source vars ./clean-all ./build-ca
Серверные сертификаты
Далее мы создадим сертификат и секретный ключ для сервера:
./build-key-server myservername
Как и на предыдущем шаге большинство параметров можно выбирать по умолчанию. Два других запроса требуют положительного ответа: "Sign the certificate? [y/n]" и "1 out of 1 certificate requests certified, commit? [y/n]".
Должны быть созданы параметры Деффи-Хеллмана (Diffie-Hellman) для OpenVPN сервера:
./build-dh
Все сертификаты и ключи будут создаваться в подкаталоге keys/. Общая практика копировать их в /etc/openvpn/:
cd keys/ cp myservername.crt myservername.key ca.crt dh1024.pem /etc/openvpn/
Клиентские сертификаты
VPN клиент тоже требует наличие сертификата для аутентификации на сервере. Обычно вы создаете отдельные сертификаты для каждого клиента. Для создания сертификата, введите следующее в терминале под суперпользователем:
cd /etc/openvpn/easy-rsa/ source vars ./build-key client1
Скопируйте следующие файлы на сторону клиента, используя защищенный метод:
/etc/openvpn/ca.crt
/etc/openvpn/easy-rsa/keys/client1.crt
/etc/openvpn/easy-rsa/keys/client1.key
Поскольку сертификаты и секретные ключи требуются только на стороне клиента, вам нужно удалить их с сервера.
Настройка простого сервера
Вместе с вашей установкой OpenVPN вы получаете эти примеры конфигурационных файлов (и много чего еще, если проверите):
root@server:/# ls -l /usr/share/doc/openvpn/examples/sample-config-files/ total 68 -rw-r--r-- 1 root root 3427 2011-07-04 15:09 client.conf -rw-r--r-- 1 root root 4141 2011-07-04 15:09 server.conf.gz
Начните с копирования и распаковки server.conf.gz в /etc/openvpn/server.conf:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz
Отредактируйте /etc/openvpn/server.conf и убедитесь что следующие строки указывают на сертификаты и ключи, которые мы создали в предыдущем разделе.
ca ca.crt cert myservername.crt key myservername.key dh dh1024.pem
Это тот минимум, который вы должны настроить, чтобы получить работающий OpenVPN сервер. Вы можете использовать все значения по умолчанию из файла примера server.conf. Теперь запустите сервер. Вы найдете журнал событий и ошибок в вашем syslog.
root@server:/etc/openvpn# /etc/init.d/openvpn start * Starting virtual private network daemon(s)... * Autostarting VPN 'server' [ OK ]
Теперь проверьте, что OpenVPN создал интерфейс tun0:
root@server:/etc/openvpn# ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 [...]
Настройка простого клиента
Существует несколько реализаций клиента OpenVPN как с графическим интерфейсом так и без него. Вы можете сможете прочитать больше о клиентах в следующем разделе. На данный момент мы используем OpenVPN клиент для Ubuntu который использует ту же программу, что и сервер. Поэтому вам снова придется поставить пакет openvpn но уже на клиентской машине:
sudo apt-get install openvpn
Тем временем скопируем файл примера client.conf в каталог /etc/openvpn/:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
Скопируйте ключи клиента и сертификат центра сертификатов, созданные в предыдущем разделе, например, в /etc/openvpn/ и отредактируйте /etc/openvpn/client.conf, чтобы убедиться, что следующие строки указывают на эти файлы. Если вы положили файлы в /etc/openvpn/, то путь к ним можете опустить.
ca ca.crt cert client1.crt key client1.key
И вам осталось указать адрес или имя OpenVPN сервера. Убедитесь в наличии ключевого слова client в файле настроек. Оно включает режим клиента:
client remote vpnserver.example.com 1194
Далее запустим OpenVPN клиента:
root@client:/etc/openvpn# /etc/init.d/openvpn start * Starting virtual private network daemon(s)... * Autostarting VPN 'client' [ OK ]
Убедитесь, что интерфейс tun0 создан:
root@client:/etc/openvpn# ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
Проверьте, что вам доступен OpenVPN сервер:
root@client:/etc/openvpn# ping 10.8.0.1 PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data. 64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=0.920 ms
Проверьте вашу маршрутизацию:
root@client:/etc/openvpn# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0 192.168.42.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.42.1 0.0.0.0 UG 0 0 0 eth0
Первичное решение проблем
Если что-то из того, что рассмотрено выше, у вас не работает, проверьте следующее:
Проверьте ваш syslog, например, так:
grep -i vpn /var/log/syslog
Может ли клиент соединиться с сервером? Возможно доступ блокирует firewall? Проверьте syslog на сервере.
Клиент и сервер должны использовать одни и те же протокол и порт, например, UDP порт 1194. Смотрите опции настройки port и proto.
Клиент и сервер должны использовать одно и то же сжатие. Смотрите опцию настройки comp-lzo.
Клиент и сервер должны использовать один и тот же режим: маршрутизации (routed) или моста (bridged). Смотрите опцию настройки server или server-bridge.
Расширенные настройки
Расширенная настройка VPN на сервере в режиме маршрутизации
Выше рассмотрена очень простая работающая VPN. Клиент имеет доступ к сервисам на машине VPN сервера через зашифрованный канал. Если вы хотите получить доступ к большему количеству серверов или к чему-то в других сетях, добавьте несколько маршрутов на клиенте. Например, если сеть вашей компании в целом может быть описана как 192.168.0.0/16, вы можете добавить этот маршрут на клиенте. Но вам придется также изменить маршрут для обратного направления - ваши сервера должны знать как проложить маршрут до сети VPN клиента.
Или вы можете указать шлюз по умолчанию для всех клиентов чтобы посылать весь их трафик сначала на VPN сервер, а от него через защитный сервер (firewall) компании в интернет. В этом разделе вы увидите некоторые возможные варианты настроек.
Передать маршрут клиенту чтобы разрешить ему доступ к другим частным подсетям за сервером. Помните, что эти частные сети также должны знать как построить маршрут до диапазона адресов клиента OpenVPN, находящегося за OpenVPN сервером:
push "route 10.0.0.0 255.0.0.0"
Если указана, то такая директива настроит всех клиентов на перенаправление их сетевых шлюзов по умолчанию через VPN, что заставит весь трафик, такой как просмотр страниц интернет-сайтов или DNS запросы, проходить через VPN (машине OpenVPN сервера или вашему центральному firewall может потребоваться маскировать с помощью NAT интерфейсы TUN/TAP в сторону интернета, чтобы они работали правильно):
push "redirect-gateway def1 bypass-dhcp"
Настройка режима сервера и предоставление VPN подсети для OpenVPN откуда брать клиентские адреса. Сервер заберет себе адрес 10.8.0.1, а остальные могут использоваться для предоставления клиентам. Каждый клиент будет иметь возможность подключиться к серверу по адресу 10.8.0.1. Поставьте комментарий на этой строке, если используете режим сетевого моста:
server 10.8.0.0 255.255.255.0
Сохранять записи соответствий клиента с их виртуальными IP адресами в указанном файле. Если OpenVPN выключается или перегружается, повторно подключившиеся клиенты получат те же виртуальные IP адреса, что и в прошлый раз:
ifconfig-pool-persist ipp.txt
Передать настройки на DNS сервера клиенту:
push "dhcp-option DNS 10.0.0.2" push "dhcp-option DNS 10.1.0.2"
Разрешить соединения между клиентами:
client-to-client
Разрешить сжатие на VPN соединении:
comp-lzo
Директива keepalive обеспечивает отправку сообщений типа ping вперед и назад через соединение для того, чтобы каждая сторона знала, когда другая сторона становится недоступна. Проверка раз в секунду и решение, что удаленная точка не отвечает, если ответ не принят в течение 3 секунд:
keepalive 1 3
Хорошей идеей является снижение привилегий для сервиса OpenVPN после установки:
user nobody group nogroup
OpenVPN 2.0 включает возможность для сервера OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию как основу аутентификации клиента. Для использования этого метода аутентификации сперва добавьте директиву auth-user-pass в настройку клиента. Это укажет клиенту OpenVPN запрашивать у пользователя имя и пароль и передавать их на сервер через безопасный канал TLS.
# client config! auth-user-pass
Это скажет серверу OpenVPN проверять имя и пароль, введенные клиентом, с помощью модуля PAM. Это применимо если у вас централизованная аутентификация, например, с помощью Kerberos.
plugin /usr/lib/openvpn/openvpn-auth-pam.so login
Расширенная настройка VPN на сервере в режиме сетевого моста
OpenVPN может быть настроен в двух режимах VPN: маршрутизации (routed) и сетевого моста (bridged). Иногда их относят к VPN уровню-2 (канальный) и уровню-3 (пакетный) сетевой модели OSI. В режиме сетевого моста все VPN кадры (frames) 2-го уровня, такие как кадры ethernet, посылаются VPN партнеру, в то время как в режиме маршрутизации посылаются только пакеты уровня-3. В режиме моста весь трафик, включая традиционно локальный трафик, такой как сетевые широковещательные пакеты, DHCP запросы, ARP запросы и т.д., посылается VPN партнеру, в то время как в режиме маршрутизации он будет отфильтрован.
Подготовка настроек интерфейса для сетевого моста на сервере
Убедитесь, что у вас установлен пакет bridge-utils:
sudo apt-get install bridge-utils
Перед настройкой OpenVPN в режиме сетевого моста вам потребуется изменить настройки вашего интерфейса. Давайте предположим, что ваш сервер подключен через eth0 к интернету, а интерфейс eth1 соединен с вашей локальной сетью для которой вы хотите установить сетевой мост. Ваш файл /etc/network/interfaces должен выглядеть как-то так:
auto eth0 iface eth0 inet static address 1.2.3.4 netmask 255.255.255.248 default 1.2.3.1 auto eth1 iface eth1 inet static address 10.0.0.4 netmask 255.255.255.0
Такая настройка прямого перенаправления интерфейсов должна быть исправлена для режима моста, где настройка интерфейса eth1 перемещается на новый интерфейс br0. Плюс мы укажем, что br0 будет интерфейсом моста для eth1. Нам также стоит убедиться, что интерфейс eth1 всегда находится в смешанном (promiscuous) режиме - это скажет интерфейсу пересылать все ethernet пакеты в стек IP.
auto eth0 iface eth0 inet static address 1.2.3.4 netmask 255.255.255.248 default 1.2.3.1 auto eth1 iface eth1 inet manual up ip link set $IFACE up promisc on auto br0 iface br0 inet static address 10.0.0.4 netmask 255.255.255.0 bridge_ports eth1
На этом этапе вам потребуется перезагрузка сети. Будьте готовы, что это не сработает так, как задумывалось, и вы потеряете удаленный доступ. Убедитесь, что сможете решить проблемы, используя локальный доступ.
sudo /etc/init.d/network restart
Подготовка настроек сервера для сетевого моста
Отредактируйте /etc/openvpn/server.conf, изменив следующие настройки:
;dev tun dev tap up "/etc/openvpn/up.sh br0 eth1" ;server 10.8.0.0 255.255.255.0 server-bridge 10.0.0.4 255.255.255.0 10.0.0.128 10.0.0.254
Далее создайте вспомогательный сценарий для добавления tap интерфейса для моста и для проверки, что eth1 находится в смешанном режиме. Создайте /etc/openvpn/up.sh:
#!/bin/sh BR=$1 ETHDEV=$2 TAPDEV=$3 /sbin/ip link set "$TAPDEV" up /sbin/ip link set "$ETHDEV" promisc on /sbin/brctl addif $BR $TAPDEV
Сделайте файл исполняемым:
sudo chmod 755 /etc/openvpn/up.sh
После настройки сервера перезапустите openvpn, введя:
sudo /etc/init.d/openvpn restart
Настройка клиента
Сначала установите openvpn на клиенте:
sudo apt-get install openvpn
Затем с настроенным сервером и скопированными сертификатами клиентов в каталог /etc/openvpn/, создайте файл конфигурации клиента, скопировав пример. В терминале на клиентской машине введите:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn
Теперь отредактируйте /etc/openvpn/client.conf, изменив следующие опции:
dev tap ;dev tun
Наконец перезапустите openvpn:
sudo /etc/init.d/openvpn restart
Теперь у вас есть возможность соединиться с удаленной сетью через VPN.
Реализации клиентского программного обеспечения
Графический интерфейс сетевого менеджера Linux для OpenVPN
Множество дистрибутивов Linux, включая варианты Ubuntu desktop, поставляются с программой Network Manager, прекрасным графическим интерфейсом для настройки вашей сети. Он также позволяет управлять вашими VPN соединениями. Убедитесь, что пакет network-manager-openvpn установлен. Здесь вы можете также увидеть установку всех остальных необходимых пакетов:
root@client:~# apt-get install network-manager-openvpn Reading package lists... Done Building dependency tree Reading state information... Done The following extra packages will be installed: liblzo2-2 libpkcs11-helper1 network-manager-openvpn-gnome openvpn Suggested packages: resolvconf The following NEW packages will be installed: liblzo2-2 libpkcs11-helper1 network-manager-openvpn network-manager-openvpn-gnome openvpn 0 upgraded, 5 newly installed, 0 to remove and 631 not upgraded. Need to get 700 kB of archives. After this operation, 3,031 kB of additional disk space will be used. Do you want to continue [Y/n]?
Для информирования network-manager о новых установленных пакетах вам придется его перезагрузить:
root@client:~# restart network-manager network-manager start/running, process 3078
Откройте интерфейс Network Manager, выберите закладку VPN и затем нажмите кнопку 'Add' (Добавить). Выберите OpenVPN в качестве типа VPN в открывшемся запросе и нажмите 'Create' (Создать). В следующем окне добавьте имя сервера OpenVPN в качестве шлюза, установите тип в 'Certificates (TLS)', укажите в 'User Certificate' ваш пользовательский сертификат, в 'CA Certificate' сертификат вашего Центра Сертификатов и в 'Private Key' файл вашего секретного ключа. Используйте кнопку 'Дополнительно' для разрешения сжатия и других специальных настроек, которые вы устанавливали на сервере. Теперь попробуйте установить ваш VPN.
OpenVPN с графическим интерфейсом под Mac OS X: Tunnelblick
Tunnelblick является великолепной свободной реализацией графического интерфейса для OpenVPN с открытым кодом под OS X. Домашняя страница проекта находится по адресу http://code.google.com/p/tunnelblick/. Загрузите оттуда последний OS X установщик и запустите его. Далее положите ваш файл настроек client.ovpn вместе с сертификатами и секретным ключом в /Users/username/Library/Application Support/Tunnelblick/Configurations/ и загрузите Tunnelblick из каталога приложений.
# sample client.ovpn for Tunnelblick client remote blue.example.com port 1194 proto udp dev tun dev-type tun ns-cert-type server reneg-sec 86400 auth-user-pass auth-nocache auth-retry interact comp-lzo yes verb 3 ca ca.crt cert client.crt key client.key
OpenVPN с графическим интерфейсом под Windows 7
Для начала загрузите и установите последний OpenVPN Windows Installer. На момент написания последней версией был OpenVPN 2.2.2. Дополнительно загрузите альтернативный графический интерфейс Open VPN Windows GUI. OpenVPN MI GUI представляется более удачным интерфейсом для Windows 7. Загружайте последнюю версию. На момент написания это 20120316.
Вам потребуется запустить сервис OpenVPN. Выберите в стартовом меню Start > Computer > Manage > Services and Applications > Services. Найдите сервис OpenVPN и запустите его. Установите тип загрузки в автоматический. Когда вы загружаете OpenVPN MI GUI в первый раз, вам надо сделать это в режиме администратора. Для этого надо нажать правую кнопку мыши на значке программы и вы увидите такую настройку.
Вам потребуется записать вашу конфигурацию OpenVPN в текстовый файл и поместить его в каталог C:\Program Files\OpenVPN\config\client.ovpn вместе с сертификатом центра сертификатов. Вы можете положить сертификат пользователя в домашний каталог, как указано в данном примере:
# C:\Program Files\OpenVPN\config\client.ovpn client remote server.example.com port 1194 proto udp dev tun dev-type tun ns-cert-type server reneg-sec 86400 auth-user-pass auth-retry interact comp-lzo yes verb 3 ca ca.crt cert "C:\\Users\\username\\My Documents\\openvpn\\client.crt" key "C:\\Users\\username\\My Documents\\openvpn\\client.key" management 127.0.0.1 1194 management-hold management-query-passwords auth-retry interact
OpenVPN для OpenWRT
OpenWRT описывается как Linux дистрибутив для встраивания в устройства типа WLAN маршрутизаторов. Существует определенный набор маршрутизаторов, в которые может быть прописан OpenWRT. В зависимости от доступной памяти ваш OpenWRT маршрутизатор может запускать программы, такие как OpenVPN и вы можете, например, построить небольшой недорогой внешний офис с маршрутизатором, соединенным через VPN с центральным офисом. Здесь можно найти больше информации по OpenVPN под OpenWRT. А здесь находится домашняя страница проекта OpenWRT.
Подключитесь к вашему OpenWRT маршрутизатору и установите OpenVPN:
opkg update opkg install openvpn
Найдите /etc/config/openvpn и поместите в него ваши настройки клиента. Скопируйте сертификаты и ключи в /etc/openvpn/.
config openvpn client1 option enable 1 option client 1 # option dev tap option dev tun option proto udp option ca /etc/openvpn/ca.crt option cert /etc/openvpn/client.crt option key /etc/openvpn/client.key option comp_lzo 1
Перезапустите OpenVPN:
/etc/init.d/openvpn restart
Вам нужно будет посмотреть не требуется ли изменить в маршрутизаторе маршрутизацию и правила firewall.
Ссылки
Посетите сайт OpenVPN для дополнительной информации.
Также хороший источник информации: книга Building and Integrating Virtual Private Networks от Pakt.