Установка и настройка OpenVPN на Linux CentOS 7

Тематические термины: VPN, CentOS

Для удобства настройки заходим под суперпользователем:

Подготовка системы

Обновляем установленные пакеты:

Установим правильную временную зону:

* в данном примере московское время.

Устанавливаем сервис для синхронизации времени:

Разрешаем автозапуск службы chrony и запускаем ее:

Отключаем Selinux:

Чтобы Selinux не включился после перезагрузки, откроем данный файл:

И отредактируем строчку SELINUX=enforcing на:

Создаем правило для firewalld:

* в данной инструкции мы настроим работу OpenVPN на порту 443 по UDP. Если в вашем случае необходим другие порт и протокол, меняем значения на соответствующие.

... и применяем его:

* если используется iptables, правило создаем командой iptables -I 1 INPUT -p udp --dport 443 -j ACCEPT, где 443 — порт, который мы будем использовать для openvpn.

Установка, настройка и запуск VPN-сервера

Установка OpenVPN

Устанавливаем репозиторий epel:

Устанавливаем необходимые пакеты следующей командой:

Создание сертификатов

В основе идеи VPN лежит шифрование трафика, а значит для его работы необходимы сертификаты.

Переходим в каталог easy-rsa:

* в зависимости от версии easy-rsa, последний каталог может быть другим. Увидеть точное название каталога можно командой ls  /usr/share/easy-rsa/.

Чтобы упростить и ускорить процесс создания ключей, создаем следующий файл:

* где KEY_CN и KEY_OU: рабочие подразделения (например, можно указать название отдела); KEY_NAME: адрес, по которому будет выполняться подключение (можно указать полное наименование сервера); KEY_ALTNAMES — альтернативный адрес.
* так как мы генерируем самоподписный сертификат, значения данных полей никак не повлияют на работу OpenVPN, однако, для удобства, лучше подставить реальные данные.

Запускаем созданный файл на исполнение:

Инициализируем PKI:

Мы должны увидеть:

... а в текущем каталоге появится папка pki.

Генерируем корневой сертификат:

... после ввода Enter обязательно задаем пароль дважды. На запрос ввести Common Name можно просто нажать ввод или написать свое имя:

Создаем ключ Диффи-Хеллмана:

Для создания сертификата сервера необходимо сначала создать файл запроса:

* на запрос ввода Common Name просто вводим Enter, чтобы использовать настройку из файла vars; nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат.

... и на его основе — сам сертификат:

После ввода команды подтверждаем правильность данных, введя yes:

... и вводим пароль, который указывали при создании корневого сертификата.

Для создания ta ключа используем команду:

Сертификаты сервера готовы и находятся в каталоге pki. 

Создаем каталог в /etc/openvpn, в котором будем хранить сертификаты:

Копируем в него содержимое каталога pki:

Настройка OpenVPN-сервера

Создаем конфигурационный файл:

И вставляем в него следующее:

* где из всех параметров, обязательно, внести изменения нужно в следующие — local: IP-адрес, на котором будет обрабатывать запросы OpenVPN; port: сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть уже занят в вашей системе — посмотреть список используемых портов можно командой ss -tunlp. Если порт занят, используйте любой из свободных, например 1194).

Создаем каталог для логов сервера:

Разрешаем автоматический старт сервиса vpn:

И запускаем его:

Настройка OpenVPN-клиента

Для настройки клиента необходимо на сервере сгенерировать сертификаты, а на клиентском компьютере установить программу openvpn и настроить ее.

На сервере

Генерируем сертификаты для клиента. Для этого переходим в каталог easy-rsa (если мы из него выходили):

Запускаем еще раз vars:

Создаем запрос и сам сертификат:

* как и при генерировании сертификата сервера, подтверждаем правильность данных и вводим пароль корневого сертификата. В данном примере мы создадим сертификат для client1.

На сервере скопируем ключи во временную директорию, выполнив последовательно 3 команды:

* сертификаты скопированы в каталог /tmp для удобства переноса их на клиентский компьютер.

На клиенте

Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

Переходим в папку C:\Program Files\OpenVPN\config. И копируем в нее файлы ca.crt, client.crt, client.key, dh2048.pem, ta.key из каталога /tmp/keys на сервере, например, при помощи программы WinSCP.

После переноса файлов, не забываем удалить ключи из временного каталога на сервере:

Теперь возвращаемся к компьютеру с Windows, открываем блокнот от имени администратора и вставляем следующие строки:

* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы.

Сохраняем файл с именем config.ovpn в папке C:\Program Files\OpenVPN\config.

Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора (это важно).

Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:

Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.

Доступ к локальной сети

Для настройки доступа к локальной сети, воспользуйтесь инструкцией Настройка доступа к локальной сети клиентам OpenVPN в CentOS 7.

Аутентификация пользователей

Позволяет требовать от пользователя ввод логина и пароля при каждом подключении. Также идентификация каждого пользователя необходима для уникальной идентификации каждого из них и выдачи разных IP-адресов.

Настройка на сервере

Открываем конфигурационный файл openvpn:

И добавляем следующую строчку:

* как путь, так и название файла openvpn-plugin-auth-pam.so могут отличаться. Это зависит от версии Linux и OpenVPN. Чтобы найти путь до нужного файла, можно воспользоваться командой find / -name "openvpn-*auth-pam*" -print.

Перезапускаем сервер:

Создаем учетную запись для авторизации:

Настройка на клиенте

В конфигурационный файл клиента добавляем:

Можно пробовать подключаться.

Вход без ввода пароля

Если необходимо настроить авторизацию, но автоматизировать вход клиента, открываем конфигурационный файл последнего и строку для авторизации меняем на:

* где auth.txt — файл, в котором мы будем хранить логин и пароль.

Создаем текстовый файл auth.txt в той же папке, где находится файл конфигурации со следующим содержимым:

* где username — логин пользователя, а password — пароль.

Переподключаем клиента.

Описанный метод аутентификации является базовым и требует наличие обычной системной учетной записи. Если необходима более сложная авторизация на базе LDAP, можно воспользоваться инструкцией

настройка OpenVPN сервера с аутентификацией через LDAP (написана на базе Linux Ubuntu).

Автоматический запуск клиента

Если необходимо, чтобы клиент OpenVPN запускался при старте операционной системы Windows и подключался к серверу, просто открываем службы и находим OpenVPNService. Переводим его в режим автозапуска:

Статические IP для клиентов

На сервере для каждого клиента генерируем свой сертификат. Например, для client2 вводим следующие команды:

После чего переходим к каталог pki, где находятся новые сертификаты и копируем их на клиентский компьютер. Полный список файлов, которые необходимо копировать:

• ca.crt
• issued/client2.crt
• private/client2.key
• dh.pem
• ta.key

Также на сервере открываем следующий файл и заносим статический адрес для клиента:

* в данном примере клиент client будет получать IP 172.16.10.4, а client2 — 172.16.10.24.

В конфигурационном файле server.conf должна быть строчка:

Перезапускаем сервер:

Теперь на клиенте не забываем указать правильные названия файлов в конфигурационном файле клиента:

Пробуем подключиться.

Доступ в Интернет через VPN-сервер

Настройка делает так, что клиенты VPN-сервера начинают использовать последний как шлюз по умолчанию. Таким образом, весь трафик идет через наш сервер.

Открываем на сервере конфигурационный файл:

и добавляем:

Перезапускаем сервер:

* сервер должен быть настроен в качестве шлюза. Подробнее в инструкции Настройка Интернет шлюза на CentOS 7.

Возможные проблемы при работе с OpenVPN

Диагностировать большинство возникающих ошибок можно с помощью опции verb в конфигах клиента и сервера. В примерах выше значение данного параметра выставлялась в 0 — могут быть такие варианты:

• 0 — покажет только фатальные ошибки.
• 4 — вывод предупреждений, ошибок и важных сообщений.
• 5, 6 — подробный вывод ошибок. Удобно для решения проблем.
• 9 — подробный вывод всех сообщений.

Ниже приведены наиболее часто возникающие проблемы и способы их решения.

1. no package openvpn available

Описание: при попытке установить сервер, получаем ошибку.

Причина: не настроен репозиторий для данного пакета.

Решение: устанавливаем EPEL репозиторий:

2. failed to start openvpn robust and highly flexible tunneling application on server

Описание: при запуске сервера получаем данную ошибку.

Причина: как правило, связано с отсутствием сертификата.

Решение: открываем лог /var/log/openvpn/openvpn.log и смотрим, с каким сертификатом проблема. Проверяем, что все файлы скопированы и что мы не забыли сгенерировать все сертификаты.

3. Постоянно разрывается соединение

Описание: с периодичностью от 1 до 5 минут постоянно рвется соединение с сервером. После нескольких минут переподключается.

Причина: как правило, конфликт IP-адресов. Такая ситуация возникает при случаях, когда подключение выполняется с нескольких компьютеров одновременно с одинаковыми сертификатами.

Решение:

Способ 1. Настройте клиента для подключения к серверу с уникальными сертификатами. Для каждого подключения генерируем свои ключи. Рекомендуется использовать именно этот способ.

Способ 2. Можно настроить сервер openVPN для выдачи различных IP-адресов, независимо от сертификата. Для этого открываем конфигурационный файл:

... и добавляем:

Перезапускаем сервис: