Установка, настройка и запуск VPN-сервера
Устанавливает OpenVPN 2.4 и Easy-RSA 3
yum install openvpn easy-rsa -yНастройка Easy-RSA 3
Скопируем скрипты easy-rsa в каталог /etc/openvpn/cp -r /usr/share/easy-rsa /etc/openvpn/cd /etc/openvpn/easy-rsa/3/
nano varsset_var EASYRSA "$PWD"
set_var EASYRSA_PKI "$EASYRSA/pki"
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "RU"
set_var EASYRSA_REQ_PROVINCE "Sankt-Petersburg"
set_var EASYRSA_REQ_CITY "Sankt-Petersburg"
set_var EASYRSA_REQ_ORG "SNAK Company"
set_var EASYRSA_REQ_EMAIL "snak@snak84.ru"
set_var EASYRSA_REQ_OU "Director"
set_var EASYRSA_KEY_SIZE 2048
set_var EASYRSA_ALGO rsa
set_var EASYRSA_CA_EXPIRE 7500
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_NS_SUPPORT "no"
set_var EASYRSA_NS_COMMENT "CERTIFICATE AUTHORITY"
set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"
set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-1.0.cnf"
set_var EASYRSA_DIGEST "sha512"chmod +x varsСоздание ключа и сертификата для OpenVPN Сервера
Прежде чем создавать ключ, нам нужно инициализировать каталог PKI и создать ключ CA.cd /etc/openvpn/easy-rsa/3/
./easyrsa init-pki
./easyrsa build-caЭтот пароль нам потребуется дальше
Создадим ключ сервера (название сервера srv-openvpn)
./easyrsa gen-req srv-openvpn nopassПодпишем ключ srv-openvpn используя наш CA-сертификат
./easyrsa sign-req server srv-openvpnСоздание ключа клиента
Сгенерируем ключ клиента client-01./easyrsa gen-req client-01 nopass./easyrsa sign-req client client-01Дополнительная настройка OpenVPN сервера
Сгенерируем ключ Диффи-Хеллмана./easyrsa gen-dh./easyrsa gen-crlДля того, что бы отозвать сертификат надо выполнить команду:
./easyrsa revoke client-02Все необходимые сертификаты созданы, теперь их надо скопировать в директории
Для создания ta ключа используем команду:
openvpn --genkey --secret pki/ta.keymkdir /etc/openvpn/keyscp pki/ca.crt /etc/openvpn/keys/
cp pki/issued/srv-openvpn.crt /etc/openvpn/keys/
cp pki/private/srv-openvpn.key /etc/openvpn/keys/cp pki/dh.pem /etc/openvpn/keys/
cp pki/crl.pem /etc/openvpn/keys/
cp pki/ta.key /etc/openvpn/keys/Настройка OpenVPN сервера
Создадим файл конфигурации server.confcd /etc/openvpn/
nano server.conf# OpenVPN Port, Protocol and the Tun
port 1194
proto udp
dev tun
# OpenVPN Server Certificate - CA, server key and certificate
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/srv-openvpn.crt
key /etc/openvpn/keys/srv-openvpn.key
# DH and CRL key
dh /etc/openvpn/keys/dh.pem
crl-verify /etc/openvpn/keys/crl.pem
# Network Configuration - Internal network
# Redirect all Connection through OpenVPN Server
server 10.10.1.0 255.255.255.0
push "redirect-gateway def1"
# Using the DNS from https://dns.watch
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Enable multiple client to connect with same Certificate key
duplicate-cn
# TLS Security
cipher AES-256-CBC
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
auth SHA512
auth-nocache
# Other Configuration
keepalive 20 60
persist-key
persist-tun
comp-lzo yes
daemon
user nobody
group nobody
# OpenVPN Log
log-append /var/log/openvpn.log
verb 3Активируем модуль ядра port-forwarding
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.confЗапустим OpenVPN и добавим его в автозагрузку
systemctl start openvpn@server
systemctl enable openvpn@servernetstat -plntu
systemctl status openvpn@serverНастройка OpenVPN клиента
Содержимое файла:client
dev tun
proto udp
remote xx.xx.xx.xx 1194
ca ca.crt
cert client-01.crt
key client-01.key
cipher AES-256-CBC
auth SHA512
auth-nocache
tls-client
tls-auth ta.key 1
resolv-retry infinite
compress lzo
nobind
persist-key
persist-tun
mute-replay-warnings
verb 3
