Настройка сервера OpenVPN на Rocky Linux или CentOS 8

Используемые термины: VPN, OpenVPN, CentOS, Rocky Linux.

Подготовка операционной системы

Мы внесем небольшие правки в настройки. Настроим время для правильного формирования клиентских сертификатов, отключим систему безопасности SELinux, откроем нужные порты брандмауэра.

1. Настройка времени

Установим правильную временную зону:

* в данном примере мы укажем московское время.

Устанавливаем утилиту для синхронизации времени:

Разрешаем автозапуск службы chronyd и запускаем ее:

Проверить корректность времени можно командой:

2. Настройка SELinux

В нашей инструкции мы просто отключим SELinux. Если необходимо его настроить и оставить включенным, используем инструкцию Настройка SELinux в CentOS 7 (для CentOS 8 она также подходит).

И так, отключаем Selinux командой:

Чтобы Selinux не включился после перезагрузки, открываем на редактирование файл:

... и редактируем опцию SELINUX:

3. Настройка брандмауэра

Создаем правило для firewalld:

* в данной инструкции мы настроим работу OpenVPN на порту 443 по UDP. Если в вашем случае необходим другие порт и протокол, меняем значения на соответствующие. По умолчанию, OpenVPN использует порт 1194.

Применяем настройку:

Установка и создание сертификатов

Использование сертификатов является обязательным условием при использовании VPN. Поэтому сразу после установки мы создадим все необходимые ключи.

Установка OpenVPN

Устанавливаем репозиторий epel:

Устанавливаем необходимые пакеты следующей командой:

Создание сертификатов

Подготовительный этап

Переходим в каталог easy-rsa:

* в зависимости от версии easy-rsa, последний каталог может быть другим. Увидеть точное название каталога можно командой ls -l /usr/share/easy-rsa/.

Чтобы упростить и ускорить процесс создания ключей, создаем следующий файл:

* где KEY_CN и KEY_OU: рабочие подразделения (например, можно указать название отдела); KEY_NAME: адрес, по которому будет выполняться подключение (можно указать полное наименование сервера); KEY_ALTNAMES — альтернативный адрес.
* так как мы генерируем самоподписный сертификат, значения данных полей никак не повлияют на работу OpenVPN, однако, для удобства, лучше подставить реальные данные.

Запускаем созданный файл на исполнение:

Генерация ключей

1. Инициализируем PKI:

Мы должны увидеть:

... а в текущем каталоге появится папка pki.

2. Генерируем корневой сертификат (CA):

... после ввода Enter обязательно задаем пароль дважды. На запрос ввести Common Name можно просто нажать ввод или написать свое имя:

3. Создаем ключ Диффи-Хеллмана:

4. Для создания сертификата сервера необходимо сначала создать файл запроса:

* на запрос ввода Common Name просто вводим Enter, чтобы использовать настройку из файла vars; nopass можно упустить, если хотим повысить безопасность с помощью пароля на сертификат.

... и на его основе — сам сертификат:

После ввода команды подтверждаем правильность данных, введя yes:

... и вводим пароль, который указывали при создании корневого сертификата.

5. Для создания ta ключа используем команду:

6. Сертификаты сервера готовы и находятся в каталоге pki. 

Создаем каталог в /etc/openvpn, в котором будем хранить сертификаты:

Переходим в каталог pki:

Копируем в него необходимые сертификаты:

Настройка и запуск сервера

Создаем конфигурационный файл для сервера openvpn:

И вставляем в него следующее:

* где из всех параметров, обязательно, внести изменения нужно в следующие — local: IP-адрес, на котором будет обрабатывать запросы OpenVPN; port: сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть уже занят в вашей системе — посмотреть список используемых портов можно командой ss -tunlp. Если порт занят, используйте любой из свободных, например 1194).

Создаем каталог для логов сервера:

Разрешаем автоматический старт сервиса vpn:

И запускаем его:

Проверить работоспособность можно командой:

Настройка OpenVPN-клиента

Для настройки клиента необходимо на сервере сгенерировать сертификаты, а на клиентском компьютере установить программу openvpn и настроить ее.

Создание сертификатов

На сервере генерируем сертификаты для клиента. Для этого снова переходим в каталог easy-rsa:

Запускаем еще раз vars:

Создаем клиентский сертификат:

* в данном примере будет создан сертификат для client1.

Мы должны увидеть запрос на подтверждение намерения выпустить сертификат — вводим yes:

После появится запрос на ввод пароля для ключа ca:

Вводим его.

На сервере скопируем ключи во временную директорию, выполнив последовательно 3 команды:

* сертификаты скопированы в каталог /tmp для удобства переноса их на клиентский компьютер.

Сертификаты готовы для скачивания.

На клиенте

В качестве примера, выполним подключение к нашему серверу с компьютеров Windows и Linux. Более подробно процесс настройки клиента описан в инструкции Настройка OpenVPN клиента.

Windows

1. Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

2. Переходим в папку C:\Program Files\OpenVPN\config.

Копируем в нее файлы ca.crt, client1.crt, client1.key, dh.pem, ta.key из каталога /tmp/keys на сервере, например, при помощи программы WinSCP.

После переноса файлов, не забываем удалить ключи из временного каталога на сервере:

3. Возвращаемся к компьютеру с Windows, открываем блокнот от имени администратора и вставляем следующие строки:

* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы.

Сохраняем файл с именем config.ovpn в папке C:\Program Files\OpenVPN\config.

4. Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора.

Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:

Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.

5. Для автозапуска клиента, открываем службы Windows, находим и настраиваем службу OpenVPNService для автозапуска:

Linux

1. Устанавливаем клиента одной из команд.

а) для Rocky Linux / CentOS:

б) для Ubuntu / Debian:

2. Создаем каталог:

И переходим в него:

Копируем в каталог файлы ca.crt, client1.crt, client1.key, dh.pem, ta.key из каталога /tmp/keys на сервере, например, при помощи утилиты scp:

* где admin — имя пользователя, под которым можно подключиться к серверу по SSH; 192.168.0.15 — IP-адрес сервера.

Для закрытых ключей разрешаем доступ только для владельца:

После переноса файлов, не забываем удалить ключи из временного каталога на сервере:

3. Создаем конфигурационный файл:

* где 192.168.0.15 443 — IP-адрес OpenVPN-сервера и порт, на котором он принимает запросы.

4. Разово запустим клиента:

Соединение должно выполниться. Мы можем увидеть предупреждения — по желанию, межете их исправить самостоятельно.

5. Прерываем выполнение подключения комбинацией Ctrl + C и запустим клиента в качестве службы:

Проверить, что соединение состоялось можно пинганув сервер по VPN-адресу:

Аутентификация пользователей

Мы можем настроить проверку пользователя по логину и паролю. Это даст дополнительный уровень защиты, а также позволит использовать один и тот же сертификат для всех подключений.

Настройка сервера

Открываем конфигурационный файл openvpn:

И добавляем следующие строчки:

* где username-as-common-name указывает на то, что openvpn должен использовать логины, как основные идентификаторы клиента; plugin указывает на путь к самому плагину и для чего он используется.
* как путь, так и название файла openvpn-plugin-auth-pam.so могут отличаться. Это зависит от версии Linux и OpenVPN. Чтобы найти путь до нужного файла, можно воспользоваться командой find / -name "openvpn-*auth-pam*" -print.

Перезапускаем сервер:

При необходимости, создаем учетную запись для авторизации:

И задаем ей пароль:

Настройка на клиенте

В конфигурационный файл клиента добавляем:

Теперь при подключении программа будет запрашивать логин и пароль.

Вход без ввода пароля (сохранение пароля)

Если необходимо настроить авторизацию, но автоматизировать вход клиента, открываем конфигурационный файл последнего и строку для авторизации меняем на:

* где auth.txt — файл, в котором мы будем хранить логин и пароль.

Создаем текстовый файл auth.txt в той же папке, где находится файл конфигурации со следующим содержимым:

* где username — логин пользователя, а password — пароль.

Переподключаем клиента.

Описанный метод аутентификации является базовым и требует наличие обычной системной учетной записи. Если необходима более сложная авторизация на базе LDAP, можно воспользоваться инструкцией настройка OpenVPN сервера с аутентификацией через LDAP (написана на базе Linux Ubuntu).

Маршрутизация и доступ в Интернет

Для настройки маршрутизации или доступа к локальной сети, воспользуйтесь инструкцией Настройка доступа к локальной сети клиентам OpenVPN в Linux.

Если мы хотим, чтобы при подключении к серверу VPN, клиентское устройство по умолчанию использовало VPN-сеть для доступа в Интернет, открываем на сервере конфигурационный файл:

и добавляем:

* redirect-gateway говорит клиенту использовать в качестве приоритетного шлюза, сервер VPN. Директива dhcp-option задаст настройку для сервера DNS, который будет использоваться для разрешения Интернет-имен.

Перезапускаем сервер:

Наш сервер должен быть настроен в качестве шлюза. Подробнее в инструкции Настройка Интернет шлюза на CentOS.

Отзыв сертификата

В случае, когда необходимо прекратить действие определенного сертификата, можно его отозвать (revoke). Чтобы настроить отзыв сертификата в OpenVPN, нужно указать файл для проверки отозванных сертификатов, затем отозвать сам сертификат.

Настройка OpenVPN

Открываем конфигурационный файл:

Добавляем строку:

* в данном примере, сервер будет проверять список отозванных сертификатов в файле keys/crl.pem.

Отзыв сертификата

В нашем примере мы создали сертификат client1 — сделаем его отзыв. Переходим в каталог:

Отзываем сертификат командой:

* здесь мы отзываем сертификат для клиента client1.

Подтверждаем наши намерения:

... и вводим пароль для центра сертификации.

После этого создаем/обновляем файл crl.pem:

* необходимо будет ввести пароль центра сертификации.

Копируем файл crl.pem в каталог openvpn:

После перезагружаем сервис openvpn:

Доступ клиентам друг к другу

Ранее мы настроили более безопасный сценарий подключения — туннели, которые не позволяют подключенным клиентам видеть друг друга. Но если мы хотим сделать так, чтобы все подключенные к VPN устройства видели друг друга по сети, нам нужно изменить некоторые настройки на сервере и клиенте.

Настройка сервера

Открываем файл настроек:

Добавляем строку:

* данная настройка как раз и говорит, что клиенты могут видеть друг друга через нашу сеть VPN.

Теперь находим настройку:

... и меняем ее на:

* туннели создают небольшие подсети на 4 адреса для каждого подключения, таким образом, изолируя клиентов друг от друга. Нам же нужно сделать так, чтобы клиенты были в одной сети VPN. Поэтому мы меняем тип интерфейса на tap.

Перезапускаем нашу службу сервиса:

Настройка клиента

На клиенте нам нужно изменить только тип сетевого интерфейса на tap:

После можно подключаться к серверу.

Индивидуальные настройки для клиента

OpenVPN позволяет на стороне сервера определить некоторые настройки, которые получит наш клиент. Для этого открываем конфигурационный файл сервера:

Добавляем строку:

* данная настройка задает каталог (cdd), в котором будут находиться файлы с настройками пользователей.

Создаем каталог:

Создаем файл с настройкой. Название файла должно соответствовать либо имени сертификата, либо имени пользователя (если в конфигурации есть опция username-as-common-name).

а) например, имя сертификата:

б) например, имя пользователя:

Добавляем следующее содержимое:

* в данном примере мы предоставим пользователю доступ только к узлу 192.168.0.10, зададим доменный суфикс и укажим серверы DNS.

Для применения настроек перезапускаем сервис:

Другие статьи про OpenVPN

Также Вам может быть интересным:

1. Настройка доступа к локальной сети клиентам OpenVPN в CentOS

2. Настройка OpenVPN клиента

3. Как настроить сервер OpenVPN сервер на Windows

4. Настройка и использование OpenVPN на Ubuntu