Alterator-net-openvpn

Материал из ALT Linux Wiki

Название пакета

alterator-net-openvpn

Назначение

Модуль OpenVPN-соединения позволяет настроить OpenVPN-подключение.

Используя данный модуль можно:

  • создавать/удалять подключения к различным серверам;
  • настраивать параметры подключения.

Запуск

Модуль OpenVPN-соединения доступен как в GUI (раздел Сеть ▷ OpenVPN-соединения):

Интерфейс модуля OpenVPN-соединения

так и в веб-интерфейсе https://ip-address:8080 (раздел Сеть ▷ OpenVPN-соединения):

Веб-интерфейс модуля OpenVPN-соединения

Параметры модуля

Состояние
Позволяет остановить или запустить соединение.
Сервер, порт
Поля для указания ip-адреса сервера и порта для подключения.
Ключ
Выбор ключа, используемого при подключении.
Запускать при загрузке
Автоматическое соединение при загрузке системы.
Маршрут по умолчанию через VPN
Позволяет осуществлять маршрутизацию через VPN-соединение.
Сжатие LZO
Включение/отключение сжатия передаваемых данных. Эта настройка должна быть идентична на стороне сервера и клиента.
Алгоритм шифрования
Список для выбора алгоритма шифрования.
Алгоритм шифрования TLS
Список для выбора алгоритма шифрования для канала управления.
Алгоритм хэширования
Список для выбора алгоритма хэширования.
Отключить согласование алгоритмов шифрования (NCP)
Отключение механизма согласования алгоритмов шифрования. По умолчанию OpenVPN автоматически подбирает алгоритм шифрования, не учитывая алгоритм, заданный в поле «Алгоритм шифрования». Данная опция отключает это поведение и позволяет напрямую использовать алгоритм из поля «Алгоритм шифрования».
Сетевой туннель (TUN), Виртуальное Ethernet устройство (TAP)
Тип соединения. Должен быть выбран тот же тип, что и на стороне сервера.

Использование модуля

Создание соединения

Для создания нового соединения необходимо отметить пункт «Сетевой туннель (TUN)» или «Виртуальное Ethernet устройство (TAP)» (должен быть выбран тот же тип, что и на стороне сервера) и нажать кнопку «Создать соединение»:

Новое соединение

В результате станут доступны настройки соединения:

Настройки соединения

Ключ и запрос на подпись

Далее необходимо создать SSL ключ. Для этого нужно нажать на кнопку «Управление ключами». В открывшемся окне нажать кнопку «Новый…»:

SSL ключи

Заполнить поля «Общее имя (CN)» и «Страна (C)», поставить отметку «(Пере)создать ключ и запрос на подпись» и нажать кнопку «Подтвердить»:

Создать ключ и запрос на подпись

Нажать на кнопку «Забрать запрос на подпись» и сохранить запрос на жесткий диск.

Подписывание запроса на OpenVPN-server

На сервере, в «Центре управления системой» перейти в «Удостоверяющий центр», нажать кнопку «Обзор...», указать путь до запроса на подпись и нажать кнопку «Загрузить запрос»:

Подписывание запроса на OpenVPN-server

Нажать кнопку «Подписать» и сохранить файл output.pem на сервере.

Импорт сертификата удостоверяющего центра

Чтобы получить сертификат удостоверяющего центра следует, на сервере, в «Центре управления системой» перейти в «Удостоверяющий центр», перейти по ссылке «Управление УЦ» (CA management). Загрузить сертификат УЦ, нажав на ссылку ca-root.pem:

Сертификат УЦ

Перенести файлы output.pem и ca-root.pem на компьютер клиента.

Импорт сертификат пользователя

На клиенте в модуле «Центра управления системой» «Управление ключами» выделить ключ и нажать кнопку «Изменить»:

SSL ключ myopenvpn

В открывшемся окне положить сертификат, подписанный УЦ, указав путь до файла output.pem, и нажав кнопку «Положить»:

Положить сертификат, подписанный УЦ

В «Управление ключами» изменится строка «ключ (Нет сертификата)» на «ключ (Истекает и дата когда)».

Импорт сертификата УЦ

На клиенте в модуле OpenVPN-соединение импортировать сертификат УЦ, указав путь до ca-root.pem, и нажав кнопку «Положить»:

Импорт сертификата УЦ

Установка OpenVPN-соединения с OpenVPN-server'ом

На клиенте в модуле OpenVPN-соединение необходимо указать:

  • «Состояние» — «запустить»;
  • «Сервер» — IP адрес сервера или домен;
  • «Порт» — 1194 (должен быть указан тот же порт, что и на стороне сервера);
  • «Ключ» — выбрать подписанный на сервере ключ.

Для применения настроек, нажать кнопку «Применить». Состояние с «Выключено» должно поменяться на «Включено»:

Настройки соединения

Проверить, появилось ли соединение с сервером можно командой:

$ ip addr

Должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:

tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
   link/[none]
   inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0