sudo apt update
sudo apt install openvpn easy-rsa
OpenVPN это виртуальная частная сеть, использующая TLS/SSL. Это означает, что OpenVPN использует сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов (trusted certificates) нам потребуется создать наш собственный центр сертификации.
Создайте пользователя с именем, например, openvpn-ca
и перейдите в его домашний каталог:
sudo adduser openvpn-ca
sudo usermod -aG sudo openvpn-ca
sudo su - openvpn-ca
Для начала скопируем шаблонную директорию easy-rsa
в нашу домашнюю директорию с помощью команды make-cadir:
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
Для настройки переменных нашего центра сертификации нам необходимо отредактировать файл vars. Откройте этот файл в вашем текстовом редакторе:
vi vars
Внутри файла вы найдёте переменные, которые можно отредактировать, и которые задают параметры сертификатов при их создании. Нам нужно изменить всего несколько переменных.
~/openvpn-ca/vars
. . .
export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="CodeBy"
export KEY_EMAIL="admin@example.com"
export KEY_OU="Community"
. . .
Пока мы в этом файле, отредактируем значение KEY_NAME
чуть ниже, которое заполняет поле субъекта сертификатов. Для простоты зададим ему название vpnsrv2
:
~/openvpn-ca/vars
export KEY_NAME="vpnsrv2"
Сохраните и закройте файл.
Теперь мы можем использовать заданные нами переменные и утилиты easy-rsa для создания центра сертификации.
Убедитесь, что вы находитесь в директории центра сертификации и используйте команду source
к файлу vars
. В моем случае также потребовалось добавить симлинк к файлу openssl-1.0.0.cnf
:
cd ~/openvpn-ca
ln -s ~/openvpn-ca/openssl-1.0.0.cnf openssl.cnf
source vars
Вы должны увидеть следующий вывод:
Вывод
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/sammy/openvpn-ca/keys
Убедимся, что мы работаем в "чистой среде" выполнив следующую команду:
./clean-all
Теперь мы можем создать наш корневой центр сертификации командой:
./build-ca
Эта команда запустит процесс создания ключа и сертификата корневого центра сертификации. Поскольку мы задали все переменные в файле vars, все необходимые значения будут введены автоматически. Нажимайте ENTER для подтверждения выбора.
Теперь у нас есть центр сертификации, который мы сможем использовать для создания всех остальных необходимых нам файлов.
Далее создадим сертификат, пару ключей и некоторые дополнительные файлы, используемые для осуществления шифрования, для нашего сервера.
Начнём с создания сертификата OpenVPN и ключей для сервера. Это можно сделать следующей командой:
Внимание: Если ранее вы выбрали имя, отличное от server, вам придётся немного изменить некоторые инструкции. Например, при копировании созданных файлов в директорию /etc/openvpn вам придётся заменить имена на заданные вами. Вам также придётся изменить файл /etc/openvpn/server.conf для того, чтобы он указывал на корректные .crt и .key файлы.
./build-key-server vpnsrv2
Вывод опять будет содержать значения по умолчанию, переданные этой команде (server
), а также значения из файла vars
.
Согласитесь со всеми значениями по умолчанию, нажимая ENTER. Не задавайте challenge password. В конце процесса два раза введите y для подписи и подтверждения создания сертификата:
Вывод
. . .
Certificate is to be certified until May 1 17:51:16 2026 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Далее создадим оставшиеся файлы. Мы можем сгенерировать сильные ключи протокола Диффи-Хеллмана, используемые при обмене ключами, командой:
./build-dh
Для завершения этой команды может потребоваться несколько минут.
Далее мы можем сгенерировать подпись HMAC для усиления способности сервера проверять целостность TSL:
sudo openvpn --genkey --secret keys/ta.key
sudo chown openvpn-ca:openvpn-ca keys/ta.key
Далее мы можем сгенерировать сертификат и пару ключей для клиента. Вообще это можно сделать и на клиентской машине и затем подписать полученный ключ центром сертификации сервера, но в этой статье для простоты мы сгенерируем подписанный ключ на сервере.
В этой статье мы создадим ключ и сертификат только для одного клиента. Если у вас несколько клиентов, вы можете повторять этот процесс сколько угодно раз. Просто каждый раз передавайте уникальное значение скрипту.
Поскольку мы можем вернуться к этому шагу позже, мы повторим команду source
для файла vars
. Мы будем использовать параметр clientsrv2
для создания первого сертификата и ключа.
Для создания файлов без пароля для облегчения автоматических соединений используйте команду build-key
:
cd ~/openvpn-ca
source vars
./build-key clientsrv2
В ходе процесса создания файлов все значения по умолчанию будут введены, вы можете нажимать ENTER. Не задавайте challenge password и введите y на запросы о подписи и подтверждении создания сертификата.
Далее настроим сервис OpenVPN с использованием созданных ранее файлов.
Копирование файлов в директорию OpenVPN
Нам необходимо скопировать нужные нам файлы в директорию /etc/openvpn.
Сначала скопируем созданные нами файлы. Они находятся в директории ~/openvpn-ca/keys
, в которой они и были созданы. Нам необходимо скопировать сертификат и ключ центра сертификации, сертификат и ключ сервера, подпись HMAC и файл Diffie-Hellman:
cd ~/openvpn-ca/keys
sudo mkdir /etc/openvpn/keys
sudo cp ca.crt vpnsrv2.crt vpnsrv2.key dh2048.pem ta.key /etc/openvpn/keys/
Далее нам необходимо скопировать и распаковать файл-пример конфигурации OpenVPN в конфигурационную директорию, мы будем использовать этот файл в качестве базы для наших настроек:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Настройка конфигурации OpenVPN Теперь, когда наши файлы находятся на своём месте, займёмся настройкой конфигурационного файла сервера:
sudo vi /etc/openvpn/server.conf
Базовая настройка
Адрес сети VPN сервера
/etc/openvpn/server.conf
# ethernet bridging. See the man page for more info.
server 10.8.1.0 255.255.255.0
Найдём секцию HMAC поиском директивы tls-auth
. Удалите ";" для того, чтобы раскомментировать строку с tls-auth
. Далее добавьте параметр key-direction
и установите его значение в "0":
/etc/openvpn/server.conf
tls-auth keys/ta.key 0 # This file is secret
key-direction 0
Далее найдём секцию шифрования, нас интересуют закомментированные строки cipher
. Удалите ";" для раскомментирования строки AES-256-CBC
:
/etc/openvpn/server.conf
cipher AES-256-CBC
Под этой строкой добавьте строку auth
и выберите алгоритм HMAC. Хорошим выбором будет SHA512
:
/etc/openvpn/server.conf
auth SHA512
Наконец, найдите настройки user
и group
и удалите ";" для раскомментирования этих строк:
/etc/openvpn/server.conf
user nobody
group nogroup
Необходимо закомментировать следующие директивы. Найдите секцию redirect-gateway
и добавьте ";" в начало строки:
/etc/openvpn/server.conf
;push "redirect-gateway def1 bypass-dhcp"
Чуть ниже находится секция dhcp-option
.
/etc/openvpn/server.conf
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
(Опционально) Настройка порта и протокола
По умолчанию OpenVPN использует порт 1194 и протокол UDP для соединения с клиентами. Если вам необходимо изменить порт из-за каких-либо ограничений для ваших клиентов, вы можете сделать это изменив настройку port
.
/etc/openvpn/server.conf
port 1194
# TCP or UDP server?
proto tcp4
(Опционально) Использование кастомного имени сертификата и ключа
Если во время использования команды ./build-key-server
чуть выше вы указали параметр, отличный от vpnsrv2
, измените настройки cert
и key
, чтобы они указывали на правильные файлы .crt
и .key
. Если вы использовали vpnsrv2
, эти настройки должны выглядеть таким образом:
/etc/openvpn/server.conf
ca keys/ca.crt
cert keys/vpnsrv2.crt
key keys/vpnsrv2.key
dh keys/dh2048.pem
Сохраните и закройте файл.
Далее нам необходимо настроить сетевую конфигурацию сервера, чтобы OpenVPN мог корректно перенаправлять трафик.
Настройка перенаправления IP Сначала разрешим серверу перенаправлять трафик. Это ключевая функциональность нашего VPN сервера.
Настроим это в файле /etc/sysctl.conf
:
sudo vi /etc/sysctl.conf
Найдите строку настройки net.ipv4.ip_forward
. Удалите "#" из начала строки, чтобы раскомментировать её:
/etc/sysctl.conf
net.ipv4.ip_forward=1
Сохраните и закройте файл.
Для применения настроек к текущей сессии наберите команду:
sudo sysctl -p
Настройка правил UFW для сокрытия соединений клиентов Вам нужно установить файрвол UFW. Нам потребуется файрвол для манипулирования с входящим на сервер трафиком. Мы должны изменить файл настроек для сокрытия соединений (masquerading).
sudo apt update
sudo apt install ufw
Откроем файл /etc/ufw/before.rules
и добавим туда соответствующие настройки:
sudo vi /etc/ufw/before.rules
Это файл содержит настройки UFW, которое применяются перед применением правил UFW. Добавьте в начало файла выделенные красным строки. Это настроит правила, применяемые по умолчанию, к цепочке POSTROUTING
в таблице nat
и будет скрывать весь трафик от VPN:
/etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
. . .
Сохраните и закройте файл.
Теперь мы должны сообщить UFW, что ему по умолчанию необходимо разрешать перенаправленные пакеты. Для этого откройте файл /etc/default/ufw
:
sudo vi /etc/default/ufw
Найдите в файле директиву DEFAULT_FORWARD_POLICY
. Мы изменим значение с DROP
на ACCEPT
:
/etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"
Сохраните и закройте файл.
Открытие порта OpenVPN и применение изменений Далее настроим сам файрвол для разрешения трафика в OpenVPN.
Если вы не меняли порт и протокол в файле /etc/openvpn/server.conf
, вам необходимо разрешить трафик UDP для порта 1194. Если вы изменили эти настройки, введите указанные вами значения. В моем случае это TCP порт 1194
Также добавьте ваш SSH порт
sudo ufw allow 22
sudo ufw allow 1194/tcp
Теперь деактивируем и активируем UFW для применения внесённых изменений:
sudo ufw disable
sudo ufw enable
Теперь наш сервер сконфигурирован для обработки трафика OpenVPN.
Мы готовы включит сервис OpenVPN на нашем сервере. Мы можем сделать это с помощью systemd.
Нам необходимо запустить сервер OpenVPN указав имя нашего файла конфигурации в качестве переменной после имени файла systemd. Файл конфигурации для нашего сервера называется /etc/openvpn/server.conf
, поэтому мы добавим @server
в конец имени файла при его вызове:
sudo systemctl start openvpn@server
Убедимся, что сервис успешно запущен командой:
sudo systemctl status openvpn@server
Если всё в порядке, настроем сервис на автоматическое включение при загрузке сервера:
sudo systemctl enable openvpn@server
Далее настроим систему для простого создания файлов конфигурации для клиентов.
Создание структуры директорий конфигурации клиентов В домашней директории создайте структуру директорий для хранения файлов:
sudo su - openvpn-ca
mkdir -p ~/client-configs/files
Поскольку наши файлы конфигурации будут содержать клиентские ключи, мы должны настроить права доступа для созданных директорий:
chmod 700 ~/client-configs/files
Создание базовой конфигурации Далее скопируем конфигурацию-пример в нашу директорию для использования в качестве нашей базовой конфигурации:
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
Откройте этот файл в вашем текстовом редакторе:
vi ~/client-configs/base.conf
Сделаем несколько изменений в этом файле.
Сначала найдите директиву remote
. Эта директива сообщает клиенту адрес нашего сервера OpenVPN. Это должен быть публичный IP адрес вашего сервера OpenVPN. Если вы изменили порт, который слушает сервер OpenVPN, измените порт по умолчанию 1194
на ваше значение:
~/client-configs/base.conf
. . .
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote server_IP_address 1194
. . .
Убедитесь, что протокол совпадает с настройками сервера:
~/client-configs/base.conf
proto tcp
Далее раскомментируйте директивы user
и group
удаляя ";":
~/client-configs/base.conf
# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup
Найдите директивы ca
, cert
и key
. Закомментируйте эти директивы, так как мы будем добавлять сертификаты и ключи в самом файле:
~/client-configs/base.conf
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
#ca ca.crt
#cert client.crt
#key client.key
Добавьте настройки cipher
и auth
согласно заданным в файле /etc/openvpn/server.conf
:
~/client-configs/base.conf
cipher AES-256-CBC
auth SHA512
Далее добавьте директиву key-direction
в любое место в файле. Она должна иметь значение "1" для корректной работы сервера:
~/client-configs/base.conf
key-direction 1
Создание скрипта генерации файлов конфигурации
Теперь создадим простой скрипт для генерации файлов конфигурации с релевантными сертификатами, ключами и файлами шифрования. Он будет помещать сгенерированные файла конфигурации в директорию ~/client-configs/files
.
Создайте и откройте файл make_config.sh
внутри директории ~/client-configs
:
vi ~/client-configs/make_config.sh
Вставьте следующие текст в этот файл:
~/client-configs/make_config.sh
#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
cat ${BASE_CONFIG} \
<(echo -e '<ca>') \
${KEY_DIR}/ca.crt \
<(echo -e '</ca>\n<cert>') \
${KEY_DIR}/${1}.crt \
<(echo -e '</cert>\n<key>') \
${KEY_DIR}/${1}.key \
<(echo -e '</key>\n<tls-auth>') \
${KEY_DIR}/ta.key \
<(echo -e '</tls-auth>') \
> ${OUTPUT_DIR}/${1}.ovpn
Сохраните и закройте файл.
Сделайте его исполняемым файлом командой:
chmod 700 ~/client-configs/make_config.sh
Теперь мы можем легко сгенерировать файлы конфигурации клиентов.
Если вы следовали всем шагам этой статьи, вы создали сертификат clientsrv2.crt
и ключ клиента clientsrv2.key
командой ./build-key clientsrv2
на шаге 6. Вы можете сгенерировать конфигурацию для этих файлов перейдя в директорию ~/client-configs
и используя только что созданный нами скрипт:
cd ~/client-configs
./make_config.sh clientsrv2
Если всё прошло успешно, мы должны получить файл clientsrv2.ovpn
в директории ~/client-configs/files
:
ls ~/client-configs/files
Вывод
clientsrv2.ovpn
Доставка конфигураций на первый сервер Теперь мы должны переместить файл конфигурации первый сервер SRV1.
sudo vi /etc/ufw/before.rules
Интерфейс eth0
меняем на tun1
и адрес 10.8.1.0/24
на 10.8.0.0/24
/etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to tun1
-A POSTROUTING -s 10.8.0.0/24 -o tun1 -j MASQUERADE
COMMIT
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
. . .
Сохраните и закройте файл.
Перенаправление всего трафика через VPN сервер
Адрес сети VPN сервера
sudo vi /etc/openvpn/server.conf
/etc/openvpn/server.conf
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0
Протокол ставим udp4
/etc/openvpn/server.conf
# TCP or UDP server?
proto udp4
Далее раскомментируйте следующие строки. Секция redirect-gateway
:
/etc/openvpn/server.conf
push "redirect-gateway def1 bypass-dhcp"
и секция dhcp-option
/etc/openvpn/server.conf
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
также эту директиву
explicit-exit-notify 1
Прописываем правила маршрутизации на первом сервере:
Создадим скрипт /etc/openvpn/upstream-route.sh
содержащий следующие команды:
#!/bin/sh
ip rule add from 10.8.0.0/24 table 120
ip route add default dev tun1 table 120
exit 0
chmod +x /etc/openvpn/upstream-route.sh
Далее добавим их в файл конфигурации клиента который подключается ко второму серверу.
vi clientsrv2.ovpn
clientsrv2.ovpn
script-security 2
up upstream-route.sh
Также в этом файле необходимо указать чтобы OpenVPN клиент всегда занимал интерфейс tun1
:
clientsrv2.ovpn
dev tun1
Скопируем clientsrv2.ovpn в корневую папку OpenVPN и переиминуем его в client.conf
sudo cp clientsrv2.ovpn /etc/openvpn/client.conf
Настраиваем автозауск
# server
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server
# client to srv2
sudo systemctl start openvpn@client
sudo systemctl start openvpn@client
Точно так же создаем инфраструктуру настройки клиентов. Шаг 10 И сгенерированный файл переносим на клиентскую машину.
Подключение на Linux
sudo apt update
sudo apt install openvpn
sudo openvpn --config clientsrv1.ovpn
В результате вы подключитесь к серверу.
За основу была взата следующая статьа на Digital Ocean:
https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru
Not work 20.04. Old info.