Как добавить маршрут за OpenVPN сервером
Привет всем!
Привет всем. Хочу поделиться простой вещью, как для Windows клиентов в конфиге OpenVPN прописать сети, которые находятся за OpenVPN сервером. Если кратко, то вот она заветная строчка:
А теперь давайте по подробнее. Итак, давайте представим ситуацию, что у нас есть некий офис, внутри которого есть сеть, к примеру 192.168.170.0/24. В офисе OpenVPN сервер поднят на Mikrotik, который в свою очередь знает о нужной нам сети 192.168.170.0/24. И вот для этого нам поможет вышеуказанная строчка. Эту строчку можно прочитать так: о сети 192.168.170.0 с маской 255.255.255.0 знает роутер с ip адресом 10.0.0.1. И поэтому, если хочешь попасть в сеть 192.168.170.0, то иди через роутер 10.0.0.1. В свою очередь ip адрес 10.0.0.1 будет принадлежать серверу OpenVPN на Mikrotik. Кстати, очень важно, что бы параметр redirect-gateway def1 был закомментирован, иначе тогда весь трафик пойдёт через OpenVPN сервер.
Давайте я приведу конфиг, который 100% работает на Windows 10 с последним клиентом OpenVPN. Подключение производиться к OpenVPN серверу на Mikrotik.
Вот собственно и всё. После подключения можно проверить, добавился ли маршрут. Запускаем командную строку и в ней пишем команду
И смотрим таблицу маршрутизации. Если наш маршрут добавился, то всё работает правильно.
Как настроить сервер OpenVPN на Windows
OpenVPN позволяет настроить VPN-сервер как на платформе Windows Server, так и версии для рабочего компьютера (Windows 10, 8, 7).
Установка OpenVPN Server
Переходим на официальный сайт OpenVPN и скачиваем последнюю версию программы для соответствующей версии Windows:
Запускаем скачанный файл — нажимаем Next — I Agree — и выставляем галочку EasyRSA 2 Certificate Management Scripts (нужен для возможности сгенерировать сертификаты):
. снова Next и Install — начнется установка. В процессе мастер может выдать запрос на подтверждение установки виртуального сетевого адаптера — соглашаемся (Install/Установить).
После завершения нажимаем Next — снимаем галочку Show Readme — Finish.
Создание сертификатов
Переходим в папку установки OpenVPN (по умолчанию, C:\Program Files\OpenVPN) и создаем каталог ssl.
После переходим в папку C:\Program Files\OpenVPN\easy-rsa, создаем файл vars.bat, открываем его на редактирование и приводим к следующему виду:
set «PATH=%PATH%;%ProgramFiles%\OpenVPN\bin»
set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl-1.0.0.cnf
set KEY_DIR=keys
set KEY_SIZE=2048
set KEY_COUNTRY=RU
set KEY_PROVINCE=Sankt-Petersburg
set KEY_CITY=Sankt-Petersburg
set KEY_ORG=Organization
set KEY_EMAIL=master@dmosk.ru
set KEY_CN=DMOSK
set KEY_OU=DMOSK
set KEY_NAME=server.domain.ru
set PKCS11_MODULE_PATH=DMOSK
set PKCS11_PIN=12345678
* в каталоге easy-rsa уже есть файл vars.bat.sample — можно переименовать и использовать его.
** значение HOME не меняем, если оставили путь установки программы по умолчанию; KEY_DIR — каталог, куда будут генерироваться сертификаты; KEY_CONFIG может быть разным — его лучше посмотреть в файле vars.bat.sample или по названию соответствующего файла в папке easy-rsa; KEY_NAME желательно, чтобы соответствовал полному имени VPN-сервера; остальные опции можно заполнить произвольно.
Запускаем командную строку от имени администратора:
Переходим в каталог easy-rsa:
Чистим каталоги от устаревшей информации:
Снова запускаем vars.bat (после clean переопределяются некоторые переменные):
Теперь генерируем последовательность центра сертификации:
На все запросы нажимаем Enter.
Запускаем build-dh.bat (сертификат с использованием алгоритма Диффи-Хеллмана):
openssl dhparam -out keys\dh.pem 2048
* команда может выполняться долго — это нормально.
Генерируем сертификат для сервера:
* где cert — имя сертификата; на все запросы нажимаем Enter. В конце подтверждаем два раза корректность информации вводом y.
После переносим из папки C:\Program Files\OpenVPN\easy-rsa\keys в C:\Program Files\OpenVPN\ssl следующие файлы:
Настройка сервера
Переходим в папку C:\Program Files\OpenVPN\config и создаем файл server.ovpn. Открываем его на редактирование и приводим к следующему виду:
port 443
proto udp
dev tun
dev-node «VPN Server»
dh «C:\\Program Files\\OpenVPN\\ssl\\dh.pem»
ca «C:\\Program Files\\OpenVPN\\ssl\\ca.crt»
cert «C:\\Program Files\\OpenVPN\\ssl\\cert.crt»
key «C:\\Program Files\\OpenVPN\\ssl\\cert.key»
server 172.16.10.0 255.255.255.0
max-clients 32
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
cipher DES-CBC
status «C:\\Program Files\\OpenVPN\\log\\status.log»
log «C:\\Program Files\\OpenVPN\\log\\openvpn.log»
verb 4
mute 20
* где port — сетевой порт (443 позволит избежать проблем при использовании Интернета в общественных местах, но может быть любым из свободных, например 1194, занятые порты в Windows можно посмотреть командой netstat -a); dev-node — название сетевого интерфейса; server — подсеть, в которой будут работать как сам сервер, так и подключенные к нему клиенты.
** так как в некоторых путях есть пробелы, параметр заносится в кавычках.
*** при использовании другого порта необходимо проверить, что он открыт в брандмауэре или на время тестирования отключить его.
В сетевых подключениях Windows открываем управление адаптерами — TAP-адаптер переименовываем в «VPN Server» (как у нас указано в конфигурационном файле, разделе dev-node):
Теперь открываем службы Windows и находим «OpenVpnService». Открываем ее, настраиваем на автозапуск и включаем:
Ранее переименованный сетевой интерфейс должен включиться:
VPN-сервер работает. Проверьте, что сетевой адаптер VPN Server получил IP 172.16.10.1. Если он получает что-то, на подобие, 169.254. выключаем сетевой адаптер — перезапускаем службу OpenVpnService и снова включаем сетевой адаптер.
Настройка клиента
На сервере:
На сервере генерируем сертификат для клиента. Для этого сначала чистим файл index.txt в папке C:\Program Files\OpenVPN\easy-rsa\keys.
Затем запускаем командную строку от имени администратора:
Настройка маршрутизации openvpn сервер и клиент на Windows
  | Список форумов SYSAdmins.RU -> SOFTWARE | На страницу 1, 2, 3, 4, 5 След. |
| Автор | |||||
|---|---|---|---|---|---|
| Smnwm Участник форума Зарегистрирован: 21.11.2006 |
| ||||
| Вернуться к началу |
| ||||
 | |||||
| Зарегистрируйтесь и реклама исчезнет! | |||||
| |||||
| mallexx Участник форума Зарегистрирован: 22.07.2003 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| Smnwm Участник форума Зарегистрирован: 21.11.2006 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| vlaryk Networks guru  Networks guru » title=» Networks guru » border=»0″/>
Зарегистрирован: 28.01.2009 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| Smnwm Участник форума Зарегистрирован: 21.11.2006 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| vlaryk Networks guru Networks guru » title=» Networks guru » border=»0″/>
Зарегистрирован: 28.01.2009 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| mallexx Участник форума Зарегистрирован: 22.07.2003 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| Smnwm Участник форума Зарегистрирован: 21.11.2006 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| mallexx Участник форума Зарегистрирован: 22.07.2003 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| Smnwm Участник форума Зарегистрирован: 21.11.2006 | |||||
