Настройка openvpn в Debian Squeeze

Конфигурация сервера

    1. Устанавливаем пакет openvpn
      aptitude install openvpn

      openvpn debian howto

    2. cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn/
    3. cd /etc/openvpn/easy-rsa/2.0/
      source vars
      ./clean-all
    4. Генерируем мастер-сертификат, ключ Диффи-Хеллмана, сертификат и ключ сервера
      ./build-ca
      ./build-dh
      ./build-key-server server

  1. Конфигурация сервера server.conf
    gw:~# cat /etc/openvpn/server.conf
    port 1194
    proto udp
    dev tun0
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/server.crt
    key /etc/openvpn/keys/server.key #This file should be kept secret
    dh /etc/openvpn/dh1024.pem
    server 10.10.10.0 255.255.255.0 #vpn subnet
    ifconfig-pool-persist ipp.txt
    push "route 192.168.3.0 255.255.255.0" #home subnet
    client-config-dir ccd
    route 10.10.10.0 255.255.255.0
    route 192.168.0.0 255.255.255.0 #client1 subnet
    route 192.168.2.0 255.255.255.0 #client2 subnet
    route 192.168.4.0 255.255.255.0 #client3 subnet
    route 192.168.5.0 255.255.255.0 #client4 subnet
    keepalive 10 120
    cipher BF-CBC        # Blowfish (default)
    comp-lzo
    user nobody
    group nogroup
    persist-key
    persist-tun
    status /var/log/openvpn-status.log
    log-append  /var/log/openvpn.log
    verb 4
    mute 20
    client-to-client
    tun-mtu 1300
    daemon
    max-clients 100
  2. создаем каталог /etc/openvpn/ccd. В нем файла client1, он необходим для маршрутизации между клиентами (имя файла должно совпадать с ключом и сертификатом, выданным клиенту)
    gw:~# cat /etc/openvpn/ccd/client1
    ifconfig-push 10.10.10.3 10.10.10.1"
    iroute 192.168.0.0 255.255.255.0
    push "route 192.168.2.0 255.255.255.0"
    push "route 192.168.4.0 255.255.255.0"
    push "route 192.168.5.0 255.255.255.0"
  3. Генерируем ключ и сертификат клиента
    source ./vars
    ./build-key client1

Конфигурация клиента

  1. Устанавливаем openvpn
    aptitude install openvpn
  2. Копируем с сервера client1.key, client1.crt, ca.crt
  3. #cat /etc/openvpn/client.conf
    cat /etc/openvpn/client.conf
    remote  1194
    client
    dev tun
    proto udp
    resolv-retry infinite # this is necessary for DynDNS
    nobind
    user nobody
    group nogroup
    persist-key
    persist-tun
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/client1.crt
    key /etc/openvpn/client1.key
    comp-lzo
    verb 4
    mute 20
    tun-mtu 1300
    tun-mtu-extra 32

Добавить комментарий

Ваш адрес email не будет опубликован.