Установка и настройка OpenVPN на Linux CentOS 7
Тематические термины: VPN, CentOS
Подготовка системы
Установка OpenVPN
Создание сертификатов
Настройка сервера
Настройка клиента
Доступ к локальной сети
Аутентификация
Автозапуск клиента
Статические IP
Доступ в Интернет через VPN-сервер
Возможные проблемы
Для удобства настройки заходим под суперпользователем:
$ sudo su
Подготовка системы
Обновляем установленные пакеты:
# yum update
Устанавливаем утилиту для синхронизации времени:
# yum install ntpdate
Установим правильную временную зону:
# \cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime
* в данном примере московское время.
Синхронизируем время с публичным сервером времени:
# ntpdate ru.pool.ntp.org
Установка, настройка и запуск VPN-сервера
Установка OpenVPN
Устанавливаем репозиторий epel:
# yum install epel-release
Устанавливаем необходимые пакеты следующей командой:
# yum install openvpn easy-rsa
Создание сертификатов
Создаем каталог, в котором будем хранить сертификаты:
# mkdir /etc/openvpn/easy-rsa
Переходим в созданный нами каталог:
# cd /etc/openvpn/easy-rsa
Скопируем в текущий каталог шаблоны скриптов для формирования сертификатов:
# cp -r /usr/share/easy-rsa/2.0/* .
* в некоторых случаях, последний каталог (2.0) может быть другим или отсутствовать, например, если установлена другая версия ПО.
Чтобы ускорить процесс создания ключей, откроем на редактирование следующий файл:
# vi vars
и приведем его к следующему виду:
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Sankt-Petersburg"
export KEY_CITY="Sankt-Petersburg"
export KEY_ORG="DMOSK COMPANY"
export KEY_EMAIL="master@dmosk.ru"
export KEY_CN="DMOSK"
export KEY_OU="DMOSK"
export KEY_NAME="name-openvpn-server.dmosk.ru"
export KEY_ALTNAMES="name-openvpn-server"
* где KEY_CN и KEY_OU: рабочие подразделения (например, можно указать название отдела); KEY_NAME: адрес, по которому будет выполняться подключение (можно указать полное наименование сервера); KEY_ALTNAMES — альтернативный адрес.
Запускаем отредактированный файл на исполнение:
# . ./vars
Если скрипт выполнится без ошибок, мы увидим следующее:
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
На всякий случай, почистим каталог от старых сертификатов:
# ./clean-all
Генерируем первый сертификат:
# ./build-ca
на все запросы нажимаем Enter, так как всю верную информацию мы ввели в файле vars.
Теперь последовательно вводим следующие команды для формирования остальных сертификатов:
# ./build-key-server server
# ./build-dh
# openvpn --genkey --secret keys/ta.key
Копируем каталог с созданными сертификатами и ключами в /etc/openvpn:
# cp -r keys /etc/openvpn/
Настройка OpenVPN-сервера
Создаем конфигурационный файл:
# vi /etc/openvpn/server.conf
И вставляем в него следующее:
local 192.168.0.15
port 443
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
tls-auth keys/ta.key 0
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
max-clients 32
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 4
mute 20
daemon
mode server
tls-server
comp-lzo
* где из всех параметров внести изменения нужно в следующие — local: IP-адрес, на котором будет обрабатывать запросы OpenVPN; port: сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть любым из свободных, например 1723).
Создаем каталог для логов сервера:
# mkdir /var/log/openvpn
Отключаем Selinux:
# setenforce 0
Чтобы Selinux не включился после перезагрузки, откроем данный файл:
# vi /etc/selinux/config
И отредактируем строчку SELINUX=enforcing на:
SELINUX=disabled
Создаем правило для firewalld:
# firewall-cmd --permanent --add-port=443/udp
и применяем его:
# firewall-cmd --reload
* если используется iptables, правило создаем командой iptables -I 1 INPUT -p udp --dport 443 -j ACCEPT
Разрешаем автоматический старт сервиса vpn:
# systemctl enable openvpn@server
И запускаем его:
# systemctl start openvpn@server
Настройка OpenVPN-клиента
На сервере:
Генерируем сертификаты для клиента:
# cd /etc/openvpn/easy-rsa
# . ./vars
# ./build-key client
На сервере скопируем ключи во временную директорию, выполнив последовательно 4 команды:
# mkdir /tmp/keys
# cd keys
# cp ca.crt client.crt client.key dh2048.pem ta.key /tmp/keys
# chmod -R a+r /tmp/keys
* сертификаты скопированы в каталог /tmp для удобства переноса их на клиентский компьютер.
На клиенте:
Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:
Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».
Переходим в папку C:\Program Files\OpenVPN\config. И копируем в нее файлы ca.crt, client.crt, client.key, dh2048.pem, ta.key из каталога /tmp/keys на сервере, например, при помощи программы WinSCP.
После переноса файлов, не забываем удалить ключи из временного каталога на сервере:
# rm -R /tmp/keys
Теперь возвращаемся к компьютеру с Windows, открываем блокнот от имени администратора и вставляем следующие строки:
client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert client.crt
key client.key
dh dh2048.pem
tls-client
tls-auth ta.key 1
float
keepalive 10 120
persist-key
persist-tun
verb 0
* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы.
Сохраняем файл с именем config.ovpn в папке C:\Program Files\OpenVPN\config.
Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора (это важно).
Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:
Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.
Доступ к локальной сети
Для настройки доступа к локальной сети, воспользуйтесь инструкцией Настройка доступа к локальной сети клиентам OpenVPN в CentOS 7.
Аутентификация пользователей
Позволяет требовать от пользователя ввод логина и пароля при каждом подключении. Также идентификация каждого пользователя необходима для уникальной идентификации каждого из них и выдачи разных IP-адресов.
Настройка на сервере
Открываем конфигурационный файл openvpn:
vi /etc/openvpn/server.conf
И добавляем следующую строчку:
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
* как путь, так и название файла openvpn-plugin-auth-pam.so могут отличаться. Это зависит от версии Linux и OpenVPN. Чтобы найти путь до нужного файла, можно воспользоваться командой find / -name "openvpn-*auth-pam*" -print.
Перезапускаем сервер:
systemctl restart openvpn@server
Создаем учетную запись для авторизации:
useradd vpn1 -s /sbin/nologin
passwd vpn1
Настройка на клиенте
В конфигурационный файл клиента добавляем:
auth-user-pass
Можно пробовать подключаться.
Вход без ввода пароля
Если необходимо настроить авторизацию, но автоматизировать вход клиента, открываем конфигурационный файл последнего и строку для авторизации меняем на:
auth-user-pass auth.txt
* где auth.txt — файл, в котором мы будем хранить логин и пароль.
Создаем текстовый файл auth.txt в той же папке, где находится файл конфигурации со следующим содержимым:
username
password
* где username — логин пользователя, а password — пароль.
Переподключаем клиента.
Описанный метод аутентификации является базовым и требует наличие обычной системной учетной записи. Если необходима более сложная авторизация на базе LDAP, можно воспользоваться инструкцией
настройка OpenVPN сервера с аутентификацией через LDAP (написана на базе Linux Ubuntu).
Автоматический запуск клиента
Если необходимо, чтобы клиент OpenVPN запускался при старте операционной системы Windows и подключался к серверу, просто открываем службы и находим OpenVPNService. Переводим его в режим автозапуска:
Статические IP для клиентов
На сервере для каждого клиента генерируем свой сертификат. Например, для client2 вводим следующие команды:
cd /etc/openvpn/easy-rsa
. ./vars
./build-key client2
После чего переходим к каталог keys, где находятся новые сертификаты и копируем их на клиентский компьютер. Полный список файлов, которые необходимо копировать:
- ca.crt
- client2.crt
- client2.key
- dh2048.pem
- ta.key
Также на сервере открываем следующий файл и заносим статический адрес для клиента:
vi /etc/openvpn/ipp.txt
client,172.16.10.4
client2,172.16.10.24
* в данном примере клиент client будет получать IP 172.16.10.4, а client2 — 172.16.10.24.
В конфигурационном файле server.conf должна быть строчка:
ifconfig-pool-persist ipp.txt
Перезапускаем сервер:
systemctl restart openvpn@server
Теперь на клиенте не забываем указать правильные названия файлов в конфигурационном файле клиента:
cert client2.crt
key client2.key
Пробуем подключиться.
Доступ в Интернет через VPN-сервер
Настройка делает так, что клиенты VPN-сервера начинают использовать последний как шлюз по умолчанию. Таким образом, весь трафик идет через наш сервер.
Открываем на сервере конфигурационный файл:
vi /etc/openvpn/server.conf
и добавляем:
push "redirect-gateway def1"
push "dhcp-option DNS 77.88.8.8"
Перезапускаем сервер:
systemctl restart openvpn@server
Возможные проблемы при работе с OpenVPN
1. no package openvpn available
Описание: при попытке установить сервер, получаем ошибку.
Причина: не настроен репозиторий для данного пакета.
Решение: устанавливаем EPEL репозиторий:
yum install epel-release
2. failed to start openvpn robust and highly flexible tunneling application on server
Описание: при запуске сервера получаем данную ошибку.
Причина: как правило, связано с отсутствием сертификата.
Решение: открываем лог /var/log/openvpn/openvpn.log и смотрим, с каким сертификатом проблема. Проверяем, что все файлы скопированы и что мы не забыли сгенерировать все сертификаты.
3. Постоянно разрывается соединение
Описание: с периодичностью от 1 до 5 минут постоянно рвется соединение с сервером. После нескольких минут переподключается.
Причина: как правило, конфликт IP-адресов. Такая ситуация возникает при случаях, когда подключение выполняется с нескольких компьютеров одновременно с одинаковыми данными авторизации (логином и паролем).
Решение: настройте клиента для подключения к серверу с уникальными логином и паролем.
