Установка и настройка OpenVPN в CentOS 5.6
Установка OpenVPN:
Скачиваем пакет с информацией о репозитории:
i386:
x86_64:
Проверяем пакет:
Если проверка прошла успешно, устанавливаем:
Обновляем локальный кеш:
Установим OpenVPN:
Добавим openvpn в автозагрузку
mkdir /etc/openvpn/ccd
mkdir /etc/openvpn/keys
cp -r /usr/share/doc/openvpn-*/easy-rsa /etc/openvpn/
cd /etc/openvpn/easy-rsa/2.0
chmod +x clean-all
chmod +x build*
chmod +x whichopensslcnf
chmod +x pkitool
Отредактируем /etc/openvpn/easy-rsa/2.0/vars
export KEY_PROVINCE=NSK
export KEY_CITY=NOVOSIBIRSK
export KEY_ORG=»OpenVPN-TEST-INSTALLATION»
export KEY_EMAIL=»admin@example.com»
Создадим ключи:
. ./vars
./clean-all
./build-ca
./build-key-server vpnserver
./build-dh
Сгенерируем клиентские ключи:
./build-key clientname
./build-key clientname (в секции Common Name указать clientname)Не забудьте принять сертификаты
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
cd /etc/openvon/easy-rsa/2.0/keys
openvpn —genkey —secret ta.key
Настройка сервера:
dev tap0
port 5002
proto udp
mode server
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/vpnius.crt
key /etc/openvpn/keys/vpnius.key
dh /etc/openvpn/keys/dh1024.pem
tls-auth /etc/openvpn/keys/ta.key 0 ; (На стороне клиента 1)
cipher AES-256-CBC
local 195.195.130.43
server-bridge 192.168.11.0 255.255.255.0 192.168.11.2 192.168.11.100
ifconfig 192.168.11.1 255.255.255.0
route 192.168.7.0 255.255.255.0 192.168.11.21
route 192.168.9.0 255.255.255.0 192.168.11.25
client-config-dir /etc/openvpn/ccd
client-to-client
keepalive 10 60
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
crl-verify /etc/openvpn/keys/crl.pem ; Проверка отозванных сертификатов
log /var/log/openvpn/openvpn-log.log
log-append /var/log/openvpn/openvpn-log-append.log
status /var/log/openvpn/openvpn-status.log 60
status-version 2
verb 3
client-config-dir /etc/openvpn/ccd — tсли Вы хотите, чтобы какой-то из клиентов получил индивидуальные настройки, то в этом каталоге создаем файлик с названием идентичным названию ключа для этого клиента. В нашем случае это pek_office. И вносим необходимые настройки. Для примера скину свои
#push «route 192.168.9.0 255.255.255.0 192.168.12.21»
Создадим конфигурационный файлик для настроек клиента. Файл может называться как угодно, главное расширение чтобы было .conf
client
dev tap0
proto udp
remote 195.195.130.43 5002
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/keys_hab/ca.crt
cert /etc/openvpn/keys_hab/pek_office.crt
key /etc/openvpn/keys_hab/pek_office.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
log /var/log/openvpn/hab-openvpn-log.log
log-append /var/log/openvpn/hab-openvpn-log-append.l
status /var/log/openvpn/hab-openvpn-status.log 60
status-version 2
verb 3
keepalive 10 60
user nobody
group nobody
Что бы отозвать какой то сертификат:
cd /etc/openvpn/easy-rsa/2.0/
source ./vars
revoke-full clientname