Alterator-net-openvpn

Материал из ALT Linux Wiki
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Название пакета

alterator-net-openvpn

Назначение

Модуль OpenVPN-соединения позволяет настроить OpenVPN-подключение.

Используя данный модуль можно:

  • создавать/удалять подключения к различным серверам;
  • настраивать параметры подключения.

Запуск

Модуль OpenVPN-соединения доступен как в GUI (раздел Сеть ▷ OpenVPN-соединения):

Интерфейс модуля OpenVPN-соединения

так и в веб-интерфейсе https://ip-address:8080 (раздел Сеть ▷ OpenVPN-соединения):

Веб-интерфейс модуля OpenVPN-соединения

Параметры модуля

Состояние
Позволяет остановить или запустить соединение.
Сервер, порт
Поля для указания ip-адреса сервера и порта для подключения.
Ключ
Выбор ключа, используемого при подключении.
Запускать при загрузке
Автоматическое соединение при загрузке системы.
Маршрут по умолчанию через VPN
Позволяет осуществлять маршрутизацию через VPN-соединение.
Сжатие LZO
Включение/отключение сжатия передаваемых данных. Эта настройка должна быть идентична на стороне сервера и клиента.
Алгоритм шифрования
Список для выбора алгоритма шифрования.
Алгоритм шифрования TLS
Список для выбора алгоритма шифрования для канала управления.
Алгоритм хэширования
Список для выбора алгоритма хэширования.
Сетевой туннель (TUN), Виртуальное Ethernet устройство (TAP)
Тип соединения. Должен быть выбран тот же тип, что и на стороне сервера.

Использование модуля

Создание соединения

Для создания нового соединения необходмо отметить пункт «Сетевой тунель (TUN)» и нажать кнопку «Создать соединение».

Новое соединение

В результате станут доступны настройки соединения:

Настройки соединения

Ключ и запрос на подпись

Далее необходимо создать ключ. Для этого нужно нажать на кнопку «Управление ключами». В открывшемся окне нажать на кнопку «Новый...»:

SSL ключи

В новом окне заполнить поля. Необходимо заполнить первое поле: «Общее имя (CN)», поставить отметку «Создать ключ и запрос на подпись» и нажать кнопку «Подтвердить»:

Для того чтобы забрать запрос на подпись, нужно нажать на кнопку «Забрать запрос на подпись» и сохранить запрос на жесткий диск.

Подписывание запроса на OpenVPN-server

На сервере, в «Центре управления системой» перейти в «Удостоверяющий центр», нажать кнопку «Обзор...» и указать путь до запроса на подпись, далее нажать кнопку «Загрузить запрос»:

Подписывание запроса на OpenVPN-server

Нажать кнопку «Подписать» и сохранить файл output.pem на сервере.

Импорт сертификата удостоверяющего центра

Сертификат удостоверяющего центра это файл, который находится на OpenVPN-server.

Чтобы его получить, на сервере, в «Центре управления системой» и перейти в «Удостоверяющий центр», дальше перейти по ссылке «Управление УЦ» (CA management). Загрузить сертификат УЦ, нажав на ссылку ca-root.pem:

Сертификат УЦ

Перенести файл output.pem и ca-root.pem на компьютер клиента.

Импорт сертификат пользователя

На клиенте в модуле «Центра управления системой» «Управление ключами» выделить ключ «myopenvpn (Нет сертификата)»:

SSL ключ myopenvpn

Нажать кнопку «Изменить», в открывшемся положить сертификат, подписанный УЦ, указав путь до файла output.pem, и нажав кнопку «Положить»:

Положить сертификат, подписанный УЦ

В «Управление ключами» изменится строка «myopenvpn (Нет сертификата)» на «myopenvpn (Истекает и дата когда)».

Все хорошо, ключ создан и активизирован.

Импорт сертификата УЦ

На клиенте в модуле OpenVPN-соединение импортировать сертификат УЦ, указав путь до ca-root.pem, и нажав кнопку «Положить»:

Импорт сертификата УЦ

Примечание: В GUI модуле OpenVPN-соединение не происходит импорт сертификата УЦ. Можно скопировать файл ca-root.pem в каталог /var/lib/ssl/certs/ в консоли


Установка OpenVPN-соединения с OpenVPN-server'ом

На клиенте в модуле OpenVPN-соединение необходимо указать:

  • «Состояние» - «запустить»
  • «Сервер» - IP адрес сервера или домен
  • «Порт» - 1194
  • «Ключ» - выбрать подписанный на сервере ключ

Для применения настроек, нажать кнопку «Применить». Состояние с «Выключено» должно поменяться на «Включено»:

Настройки соединения

Проверить, появилось ли соединение с сервером можно командой

[root@client ~]#ip a s

должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:

tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
   link/[none]
   inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0