Openvpn windows client

Настройка OpenVPN-сервера на Windows 2008/2012

OpenVPN — открытая реализация технологии VPN (Virtual Private Network), которая предназначена для создания виртуальных частных сетей между группой территориально удаленных узлов поверх открытого канала передачи данных (интернет). OpenVPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия интернет-доступа к нему, как будто вы подключаетесь к хосту в своей локальной сети. Безопасность соединения достигается шифрованием OpenSSL.

В статье мы расскажем:

По окончанию настройки OpenVPN сервер сможет принимать внешние защищенные SSL сетевые подключения к созданному при запуске VPN-сервиса виртуальному сетевому адаптеру (tun/tap), не затрагивая правила обработки трафика других интерфейсов (внешний интернет-адаптер и др.) Имеется возможность настроить общий доступ клиентов OpenVPN к конкретному сетевому адаптеру из присутствующих на сервере. Во второй части инструкции рассмотрено такое туннелирование интернет-трафика пользователей. При этом способе переадресации обрабатывающий VPN-подключения хост будет выполнять и функцию прокси-сервера (Proxy) - унифицировать правила сетевой активности пользователей и осуществлять маршрутизацию клиентского интернет-трафика от своего имени.

Скачайте и установите актуальную версию OpenVPN, соответствующую вашей операционной системе. Запустите установщик, убедитесь что на третьем шаге мастера установки выбраны все компоненты для установки.

Обратите внимание, что в этой инструкции дальнейшие команды приведены из расчета, что OpenVPN установлен в директорию по-умолчанию "C:\Program Files\OpenVPN".

Разрешаем добавление виртуального сетевого адаптера TAP в ответ на соответствующий запрос и дожидаемся завершения установки (может занять несколько минут).

Для управления парами "ключ/сертификат" всех узлов создаваемой частной сети используется утилита easy-rsa, работающая через командную строку по аналогии с консолью Linux. Для работы с ней откройте запустите командую строку (Сочетание клавиш Win+R, затем наберите cmd и нажмите Enter)

Файлы конфигурации

Скачайте наши файлы конфигурации и скрипты и замените их в каталоге C:\Program Files\OpenVPN\easy-rsa.

Если пути по умолчанию не совпадают, откорректируйте их во всех файлах.

В файле конфигурации openssl-1.0.0.conf обязательно задайте значения переменным, соответствующие вашим данным: countryName_default
stateOrProvinceName_default
localityName_default
0.organizationName_default
emailAddress_default

Примечание: если значение переменной содержит пробел, то заключите ее в кавычки.

Генерация ключей Центра Сертификации и Сервера

1. Переименуйте файл index.txt.start в index.txt, serial.start в serial с помощью следующих команд: cd \
cd "C:\Program Files\OpenVPN\easy-rsa"
ren index.txt.start index.txt
ren serial.start serial

   Перейдем к созданию ключа/сертификата центра сертификации. Запустите скрипт: .\build-ca.bat

   В ответ на появляющиеся запросы вы можете просто нажимать Enter. Единственное исключение - поле KEY_CN (Common Name) - обязательно укажите уникальное имя и такое же имя вставьте в поле name.

2. Аналогичным образом генерируем сертификат сервера. Здесь значение полей Common Name и Name - SERVER: .\build-key-server.bat server

    

   Примечание: аргумент server - имя будущего файла.

   Для всех генерируемых ключей теперь будет задаваться вопрос о том, подписать ли создаваемый сертификат (Sign the certificate) от имени центра сертификации. Отвечаем y (yes).

   

Генерация клиентских ключей и сертификатов

Для каждого клиента VPN необходимо сгенерировать отдельный SSL-сертификат.

В конфигурации OpenVPN присутствует опция, включив которую вы можете использовать один сертификат для нескольких клиентов (см. файл server.ovpn -> опция "dublicate-cn"), но это не рекомендуется с точки зрения безопасности. Сертификаты можно генерировать и в дальнейшем, по мере подключения новых клиентов. Поэтому сейчас создадим только один для клиента client1:

Выполните следующие команды для генерации клиентских ключей: cd \
cd "C:\Program Files\OpenVPN\easy-rsa"
.\build-key.bat client1

Примечание: аргумент client1 - имя будущего файла.

В поле Common Name указываем имя клиента (в нашем случае client1).

Параметры Diffie Hellman

Для завершения настройки шифрования, необходимо запустить скрипт генерации параметров Диффи-Хеллмана: .\build-dh.bat

Отображение информации о создании параметров выглядит так:

Перенос созданных ключей/сертификатов

Сгенерированные сертификаты находятся в директории C:\Program Files\OpenVPN\easy-rsa\keys. Скопируйте перечисленные ниже файлы в каталог C:\Program Files\OpenVPN\config:

• ca.crt
• dh3048.pem/dh2048.pem
• server.crt
• server.key

В дереве найдите каталог HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. В правой части окна найдите переменную IPEnableRouter, двойным щелчком мыши перейдите в окно редактирования значения и измените его на 1, тем самым разрешив адресацию на VPS.

1. Перейдем к настройке непосредственно VPN-сервера, используйте наш файл конфигурации с именем server.ovpn и поместите его в директорию C:\Program Files\OpenVPN\config.

   Откройте файл, находим пути до ключей (см. ниже). Проверяем в нем пути до скопированных ранее сертификатов ca.crt, dh2024.pem/dh3048.pem, server.key, server.crt и при необходимости меняем: port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh3048.pem"
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

   Сохраняем файл.

2. Теперь необходимо разрешить пересылку трафика между адаптерами. Выполните следующие шаги: Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера. Выберете адаптер который смотрит во внешнюю сеть Интернет (TAP-адаптер отвечает за VPN соединение). В нашем примере это Ethernet 2.

   С помощью двойного щелчка мыши откройте Свойства адаптера и перейдите во вкладку Доступ, отметьте галочкой все пункты. Сохраните изменения.

   

3. Далее нужно включить IP-адресацию.

   С помощью поиска Windows найдите приложение REGEDIT.exe.

   

Автозапуск OpenVPN

Сразу настроим службу OpenVPN на автозапуск при старте системы. Открываем "Службы"(Services) Windows. Находим в списке OpenVPN -> ПКМ -> Свойства (Properties) -> Запуск: Автоматически

На этом базовая настройка сервера виртуальной частной сети завершена. Найдите файл C:\Program Files\OpenVPN\config\server.ovpn -> кликните правой кнопкой мыши -> "Start OpenVPN on this config" для запуска сервера виртуальной частной сети и подготовленного нами файла настроек.

Клиентские приложения OpenVPN доступны для всех популярных ОС: Windows / Linux / iOS / Android. Для MacOS используется клиент Tunnelblick. Все эти приложения работают с одними и теми же файлами конфигурации. Возможны лишь некоторые различия нескольких опций. Узнать о них вы можете, изучив документацию к своему клиенту OpenVPN. В этом руководстве мы рассмотрим подключение Windows-клиента с использованием того же дистрибутива программы, который мы устанавливали на сервер. При использовании приложений для других операционных систем логика настройки аналогична.

1. Устанавливаем актуальную версию OpenVPN на клиентский компьютер.
2. Копируем в директорию C:\Program Files\OpenVPN\config созданные ранее на сервере файлы клиентских сертификатов (2 сертификата с расширением .crt и ключ с расширением .key) и используем наш файл конфигурации клиента client.ovpn. Последний файл после копирования на устройство пользователя удаляем с сервера или переносим из папки config во избежание путаницы в будущем.
3. Откройте файл client.ovpn. Найдите строку remote my-server-1 1194 и укажите в ней ip-адрес или доменное имя vpn-сервера:
   remote <ip-address> 1194</ip-address>

   Например: remote 111.222.88.99 1194

4. Находим пути до сертификатов. Указываем в нем пути до скопированных ранее сертификатов ca.crt, client1.key, client1.crt как в примере ниже:
   # See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client1.key"
# This file should be kept secret
5. Сохраните файл. Настройка клиентской части завершена.

Внимание! Для корректной работы сервиса OpenVPN требуется, чтобы на севере были открыты соответствующие порты (по-умолчанию UDP 1194). Проверьте соответствующее правило в вашем Firewall'е: Брандмауэре Windows или стороннем антивирусном ПО.

Запустите OpenVPN сервер, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации сервера (у нас server.ovpn -> ПКМ -> "Start OpenVPN on this config file").

Запустите клиент, для этого перейдите в директорию C:\Program Files\OpenVPN\config и выберите файл конфигурации клиента (у нас client.ovpn -> ПКМ -> "Start OpenVPN on this config file").

На экране отобразится окно статуса подключения. Через несколько секунд оно будет свернуто в трей. Зеленый индикатор ярлыка OpenVPN в области уведомлений говорит об успешном подключении.

Проверим доступность с клиентского устройства сервера OpenVPN по его внутреннему адресу частной сети:

1. Нажимаем клавиши Win+R и появившемся окне вводим cmd для открытия командной строки.
2. Выполняем команду ping до адреса нашего сервера в виртуальной частной сети (10.8.0.1): ping 10.8.0.1
3. В случае корректной настройки VPN начнется обмен пакетами с сервером

    

4. С помощью утилиты tracert проверим по какому маршруту идут пакеты от клиента. В консоли введите следующую команду: tracert ya.ru
   Из результата работы утилиты мы видим, что сначала пакеты отправляются на сервер VPN, а уже потом во внешнюю сеть.

   

Теперь вы имеете готовую к работе виртуальную частную сеть, позволяющую осуществлять безопасные сетевые подключения между ее клиентами и сервером, используя открытые и территориально удаленные точки подключения к сети интернет.

P. S. Другие инструкции:

Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Client OpenVPN работает в Multi-клиенте в Windows

Тот же система Windows 10 должна подключаться к серверу OpenVPN, вы можете выполнить следующие методы:
# Открыть CMD с привилегиями администратора
cd "C:\Program Files\TAP-Windows\bin"
#
addtap.bat
# Неподвижный следующий запрос доказать, что ваша другая установка водителя успешно
"devcon.exe" install "C:\Program Files\TAP-Windows\driver\OemWin2k.inf" tap0901
Device node created. Install is complete when drivers are installed...
Updating drivers for tap0901 from C:\Program Files\TAP-Windows\driver\OemWin2k.inf.
Drivers installed successfully.

# Убедитесь, что установка успешна: если есть две адаптеры, операция OK является доказательством.
C:\Program Files\OpenVPN\bin> openvpn.exe --show-adapters
Available TAP-WIN32 adapters [name, GUID]:
'Local Area Connection 2' {DD2A53C5-63BD-492A-A7F4-94E724007B2A}
'Local Area Connection 3' {EF7623C03-542A-34E8-B633-E3B742983E3}

Во-первых, вам необходимо разделить два набора файлов сертификатов и конфигурации, изменить файл конфигурации, как показано, чтобы написать относительный путь, переместить сертификат серии вещей в соответствующую папку, создать новую соответствующую папку,

Как только конфигурация завершена, вы можете открыть OpenVPN, эффект выглядит следующим образом, поэтому вы можете наслаждаться VPN как компьютера!

Если вы думаете, что это слишком много проблем, с помощью сценария летучей мыши, вы будете следующим образом и вставляем в TXT, измените суффикс к BAT, почта выполнена как администратор, распаковка, очень удобно.
@echo off
# Перейти к каталогу установки привода
cd "C:\Program Files\TAP-Windows\bin"
#установить драйвер
addtap.bat
# Перейти к каталогу Execute OpenVPN
cd "C:\Program Files\OpenVPN\bin>"
# Посмотрите, есть ли подключенный адаптер, если это нормально.
openvpn --show-adapters

pause

How do I troubleshoot if the OpenVPN is not connecting

Эта статья подходит для: 

Archer C1200 , Archer AX55 , Archer AX4200 , Archer C3200 , Archer AX75 , Archer AX4400 , Archer AX10 , Archer AX73 , Archer AX51 , Archer AX96 , Archer AX4800 , Archer A2300 , Archer C3150 , Archer A7 , Archer AX50 , Archer AX72 , Archer GX90 , Archer AX90 , Archer AX6000 , Archer A9 , Archer AX68 , Archer C2300 , Archer AX5300 , Archer AX23 , Archer AX20 , Archer C4000 , Archer AX21 , Archer A20 , Archer AX60 , Archer AX11000 , Archer AX3200 , Archer AX3000 , Archer AX206

This article gives some solutions to these problems, fail to connect to OpenVPN, connected to the OpenVPN but suddenly unable to connect.

Fail to connect to OpenVPN

1. Please try to download the Open VPN Client.
For Windows: https://openvpn.net/community-downloads/
The new version of OpenVPN seems to have some problems with Windows compatibility. The new version of VPN may fail to create a virtual network card in Windows, causing the Open VPN to fail to connect correctly. the Open VPN Client may help solve your problem.
Reminder:
1). Please install and run the OpenVPN Software under the ADMINISTRATOR Account.
2). Ensure the same time settings on your computer and TP-LINK router.

2. Ensure the WAN IP address is a public IP address or the computer's IP address that needs to connect should be in the same network.
After you export the configure file, you can open it as the txt, then double-check the IP and port correct or not.

3. Ensure you have done port forwarding if there is a NAT router in front of the VPN server.
For example VPN client----Internet------RouterA-----TP-Link router(the VPN server)
Please make sure that the port for the VPN server is open on RouterA

4. Enable the TAP adapter. When you are using the OpenVPN in the Network connections, it may create the virtual TAP adapter that is classified as TAP-Windows Adapter V9.

5. Try to close the firewall and security software.

Successfully connected to Open VPN before, but suddenly unable to connect.

Please check whether your WAN IP has been changed. Some ISP will provide different WAN IPs address when the IP is renewed, you may try to use the DDNS function on your router. In this way, even if the IP has been changed in the future, you can also access the device through the domain name.
Please follow configure the DDNS on your device following this FAQ:
How to set up TP-LINK DDNS on TP-Link Wireless Router? (New Logo)

Note:
For the CG-NAT ISP: Comporium and Direct link - radio service, provide the customer a private IP, that will cause you can’t use the OpenVPN or port forwarding and affect the NAT Type. You can contact the ISP and ask them to offer a Statis IP address.

You may also refer to the article:Fail to use OpenVPN on TP-LINK router? Read this!

Был ли этот FAQ полезен?

Ваш отзыв поможет нам улучшить работу сайта.

Да Нет

Что вам не понравилось в этой статье?

• Недоволен продуктом
• Слишком сложно
• Неверный заголовок
• Не относится к моей проблеме
• Слишком туманное объяснение
• Другое

Как мы можем это улучшить?

Отправить

Спасибо

Спасибо за обращение
Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.

OpenVPN - Windows OpenVPN клиент

В операционной системе "MS Windows" встроенная поддержка протокола OpenVPN отсутствует, очевидно потому следуем на сайт разработчиков и загружаем необходимое клиентское программное обеспечение:

Запускаем установку, везде соглашаясь с замыслом разработчиков, одобряя все опции, кроме двух необязательных: "OpenSSL Utilites" и "OpenVPN RSA Certificate Management":

OpenVPN-client for MS Windows: выбираем компоненты для установки.

OpenVPN-client for MS Windows: соглашаемся с установкой драйверов виртуальных сетевых устройств TUN/TAP.

OpenVPN-client for MS Windows: переходим к редактированию свойств ярлыка запуска клиента OpenVPN.

OpenVPN-client for MS Windows: предписываем запускать клиента OpenVPN с привилегиями суперпользователя операционной системы.

Снимаем "галочку" с пункта "скрывать расширения для зарегистрированных типов файлов" в наборе опций "Параметры папок" "Панели управления" системы:

OpenVPN-client for MS Windows: Снимаем "галочку" с пункта "скрывать расширения для зарегистрированных типов файлов" в наборе опций "Параметры папок".

OpenVPN-client for MS Windows: переходим в предопределённую разработчиками директорию конфигураций VPN-туннелей.

# включаем режим работы в качестве клиента VPN
client

# ничего не прослушиваем, работаем только в качестве клиента
nobind

# включаем Layer 3 based IP туннель
dev          tun

# используемый транспортный протокол
proto        tcp

# Режим работы соединения: end

# IP или доменное имя сервера VPN и прослушиваемый сервером порт
remote       vpn.example.net 443

# Сертификаты, шифрование и сжатие: begin
ca           ca.crt
cert         сlient.name.crt
key          сlient.name.key
; tls-auth     ta.key 1

# включаем сжатие трафика между сервером и клиентом
comp-lzo

# включаем шифрование повышенного уровня относительно стандартного
cipher       AES-256-CBC

# Сертификаты, шифрование и сжатие: end

# Журналирование событий
verb         3

# Запрос дополнительной проверки подлинности по логину
; auth-user-pass

Конфигурационные файлы OpenVPN имеют единый формат для всех поддерживаемых версий операционных систем (Linux, Mac, Windows). Применительно к MS Windows отличие лишь в указании двойных "бэкслешей" в пути к файлам ключей и сертификатов и заключение полных путей к файлам в двойные кавычки.

Подключатся к удалённой сетевой инфраструктуре можно двумя способами: запуская клиента OpenVPN в качестве фоновой задачи при старте операционной системы в автоматическом режиме или вручную, через контекстное меню индикатора графического интерфейса "OpenVPN GUI for Windows", размещающегося в "трее":

OpenVPN-client for MS Windows: пример содержимого директории VPN-конфигураций и контекстного меню интерфейса клиента OpenVPN.

OpenVPN-client for MS Windows: перечень активных сетевых соединений, включающий VPN-туннель.

OpenVPN-client for MS Windows: таблица маршрутизации, включающая ссылки за шлюзы VPN-туннеля.

OpenVPN-client for MS Windows: инициирование автоматического запуска фонового сервиса OpenVPN.

OpenVPN-client for MS Windows: внесение в список автозапуска утилиты графического интерфейса клиента OpenVPN.

Настройка OpenVPN (Windows) - Делай добро и бросай его в воду — LiveJournal

1. Установка OpenVPN.

1.2. При установке ставим галочку EasyRSA

Путь установки - по умолчанию (C:\Program Files\OpenVPN).

2. Настройка конфигов OpenVPN.

Будет удобней и наглядней, если проводить работы в Командной строке (cmd) от администратора.

2.2. Во-первых, запускаем init-config.bat

2.3. Затем, отредактируем vars.bat, чтобы адаптировать его к своей среде. Конкретно, нас интересует последний блок:

 set KEY_COUNTRY=RU set KEY_PROVINCE=MSK set KEY_CITY=Moscow set KEY_ORG=OpenVPN set KEY_EMAIL=[email protected] set KEY_CN=GLX-SERVER set KEY_NAME=GALAXY set KEY_OU=GALAXY set PKCS11_MODULE_PATH=GALAXY set PKCS11_PIN=1234 

2.4. Для удобства рекомендуется переименовать название сетевого TAP-адаптера (Панель управления\Сеть и Интернет\Сетевые подключения) во что-то более понятное. Например, VPN-Server.

3. Генерация TLS ключей.

3.2. Генерируем корневой сертификат CA (только один раз):
vars
build-ca

3.3. Генерируем ключ Диффи-Хэлмана (для сервера, только один раз):
vars
build-dh

3.4. Генерируем приватный серверный сертификат:
vars
build-key-server имя_сервера

3.5. Генерируем клиентский сертификат в PEM формате (для каждого клиента):
vars
build-key имя_клиента

ИЛИ

Генерируем клиентский сертификат в PKCS#12 формате (для каждого клиента):
vars
build-key-pkcs12 имя_клиента

3.6. Для отзыва TLS сертификата и генерации файла CRL:
1. vars
2. revoke-full имя_клиента
3. проверяем последнюю строку вывода, подтверждающую отзыв
4. копируем файл отзыва сертификата (crl.pem) в директорию сервера и убеждаемся, что конфиг использует "crl-verify crl filename"

3.7. Генерируем ключ для аутентификации:
openvpn --genkey --secret keys/имя_сервера-ta.key

4. Подготовка серверного и клиентского конфигов.

# Какой порт TCP/UDP должен прослушиваться OpenVPN?
# Если вы хотите запустить несколько экземпляров OpenVPN
# на той же машине используйте другой номер
# порта для каждого из них. Вам нужно будет
# открыть этот порт в брандмауэре.
port 1194

# TCP или UDP сервер?
;proto tcp
proto udp

# "dev tun" создаст маршрутизируемый IP-туннель,
# "dev tap" создаст туннель ethernet.
# Используйте "dev tap0", если вы соединяете ethernet
# и предварительно создали виртуальный интерфейс tap0
# и соединили его с вашим интерфейсом ethernet.
# Если вы хотите контролировать политику доступа
# через VPN необходимо создать правила
# брандмауэра для интерфейса TUN/TAP.
# В системах, отличных от Windows, вы можете дать
# явный номер единицы измерения, например tun0.
# В Windows для этого используйте "dev-node".
# В большинстве систем VPN не будет работать
# если вы не отключите брандмауэр полностью или частично
;dev tap
;dev tun

# Windows требуется имя адаптера TAP-Win32
# из панели Сетевые подключения если у вас
# есть больше, чем один. На XP SP2 или выше,
# возможно, вам придётся выборочно отключить
# брандмауэр для адаптера TAP.
# Системы, отличные от Windows, обычно не нуждаются в этом.
dev-node MyTap

# Корневой сертификат SSL/TLS (ca), сертификат
# (cert) и закрытый ключ (key). Каждый клиент
# и сервер должен иметь свой собственный сертификат и
# ключ. Сервер и все клиенты будут
# используйте один и тот же файл ca.
#
# Можно использовать любую систему управления ключами X509.
# OpenVPN также может использовать ключевой файл формата PKCS #12
ca ca.crt
cert server.crt
key server.key

# Параметры ключа Диффи-Хэлмана.
# Сгенерируйте свой ключ:
#   openssl dhparam -out dh3048.pem 2048
dh dh3048.pem

# Топология сети
# Должна быть подсеть (адресация через IP)
# если клиенты Windows v2.0.9 и ниже должны
# поддерживаться (тогда net30, т.е. a /30 на клиента)
# По умолчанию net30 (не рекомендуется)
;topology subnet

# Настройка режима сервера и предоставление подсети VPN
# для OpenVPN, чтобы предоставить адреса клиентам.
# Сервер возьмёт 10.8.0.1 для себя,
# остальное будет предоставлено клиентам.
# Каждый клиент сможет связаться с сервером
# на 10.8.0.1. Закомментируйте эту строку, если у вас
# мост Ethernet.
server 10.8.0.0 255.255.255.0

# Ведение записи назначения виртуального IP-адреса клиента
# в этом файле. Если OpenVPN выходит из строя или
# перезапускается, можно назначить повторное подключение клиентов
# на тот же виртуальный IP-адрес из пула, который был
# ранее назначен.
ifconfig-pool-persist ipp.txt

# Настройка режима сервера для моста ethernet.
# Вы должны сначала использовать возможности моста вашей ОС
# для соединения интерфейса TAP с ethernet
# Интерфейс NIC. Затем вы должны вручную установить
# IP/netmask на интерфейсе моста, здесь мы
# предположим, что 10.8.0.4/255.255.255.0. Наконец, нам
# необходимо выделить диапазон IP-адресов в этой подсети
# (начало=10.8.0.50 конец=10.8.0.100)
# для подключения клиентов. Оставьте эту строку закомментированной,
# если вы не соединяете ethernet.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Настройка режима сервера для моста ethernet
# через DHCP-прокси, где клиенты обращаются
# к серверу DHCP на стороне OpenVPN-сервера,
# чтобы получить распределение их IP-адресов
# и адресов DNS-серверов. Вы должны сначала использовать
# способность моста вашей ОС для моста TAP
# интерфейса с интерфейсом сетевого адаптера ethernet.
# Примечание: этот режим работает только на клиентах (таких как
# Windows), где на стороне клиента находится адаптер TAP,
# привязанный к DHCP-клиенту.
;server-bridge

# Push-маршруты к клиенту, чтобы разрешить
# добраться до других частных подсетей позади
# сервера. Помните, что эти
# частные подсети также потребуется
# знать для маршрута возвращения пула адресов OpenVPN-клиентов
# (10.8.0.0/255.255.255.0) обратно на OpenVPN-сервер.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# Чтобы назначить определенные IP-адреса определенным
# клиентам или если подключающийся клиент имеет свою
# подсеть, которая также должна иметь доступ к VPN,
# используйте подкаталог "ccd" с файлами конфигурации
# для конкретного клиента.
#
# НАПРИМЕР: Предположим, что клиент
# имеющий название сертификата "Телониус"
# также имеет небольшую подсеть за его подключенной
# машиной, например 192.168.40.128/255.255.255.248.
# Во-первых, раскомментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious с этой строкой:
#    iroute 192.168.40.128 255.255.255.248
# Это разрешит частной подсети Телониуса
# доступ к VPN. Этот пример будет работать только
# если вы маршрутизируете, а не наводите мост, т. е. вы
# используете директивы "dev tun" и "server".
#
# НАПРИМЕР: Предположим, вы хотите выдать
# Телониусу фиксированный IP-адрес VPN 10.9.0.1.
# Сначала раскомментируйте эти строки:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Затем добавьте эту строку в ccd/Thelonious:
#    ifconfig-push 10.9.0.1 10.9.0.2

# Предположим, что вы хотите включить разные
# политики доступа брандмауэра для различных групп
# клиентов. Существует два метода:
# (1) запуск нескольких демонов OpenVPN, по одному для каждой
#     группы, и брандмауэр интерфейсов TUN/TAP
#     для каждой группы/демона соответственно.
# (2) (продвинутый) создание скрипта для динамического
#     изменения брандмауэра в ответ на доступ
#     от разных клиентов.
;learn-address ./script

# Если включено, эта директива настроит
# всем клиентах перенаправление их сетевых шлюзов
# по умолчанию через VPN, повлёкший
# весь IP-трафик, такой как просмотр веб-страниц и
# и DNS-запросы, чтобы пройти через VPN
# (серверу OpenVPN может потребоваться NAT
# или мост интерфейса TUN/TAP с интернетом
# для того, чтобы это работало правильно).
;push "redirect-gateway def1 bypass-dhcp"

# Определенные параметры сети для Windows
# могут быть переданы клиентам, такие как DNS
# или адреса WINS-серверов. ПРЕДОСТЕРЕЖЕНИЕ:
# http://openvpn.net/faq.html#dhcpcaveats
# Адреса, приведенные ниже, относятся к публичным
# DNS-серверам, предоставляемые opendns.com.
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

# Раскомментируйте эту директиву, чтобы разрешить разным
# клиентам иметь возможность "видеть" друг друга.
# По умолчанию клиенты будут видеть только сервер.
# Чтобы заставить клиентов видеть только сервер, вам
# также необходимо будет соответствующим образом настроить брандмауэр
# интерфейса TUN/TAP сервера.
;client-to-client

# Раскомментируйте эту директиву, если несколько клиентов
# могут подключаться с одним и тем же сертификатом/ключом
# или общим именем. Это рекомендуется
# только в целях тестирования. Для использования в производстве,
# каждый клиент должен иметь свою собственную пару сертификата/ключа.
#
# ЕСЛИ ВЫ НЕ СОЗДАЛИ ИНДИВИДУАЛЬНОЙ
# ПАРЫ СЕРТИФИКАТ/КЛЮЧ ДЛЯ КАЖДОГО КЛИЕНТА,
# КАЖДЫЙ ИЗ НИХ ИМЕЕТ СВОЕ УНИКАЛЬНОЕ "ОБЩЕЕ ИМЯ",
# РАСКОММЕНТИРУЙТЕ ЭТУ СТРОКУ.
;duplicate-cn

# Директива keepalive вызывает ping-like
# сообщения, которые будут отправляться туда и обратно,
# чтобы каждая сторона знала, когда
# другая сторона перестала работать.
# Пингуем каждые 10 секунд; предполагается, что удалённый
# узел не работает, если нет пинга в течение
# 120 секунд.
keepalive 10 120

# Для дополнительной безопасности помимо этого предусмотрено
# с помощью SSL/TLS, создайте "брандмауэр HMAC"
# чтобы помочь блокировать DoS-атаки и флудинг UDP-портов.
#
# Сгенерировать с помощью:
#    openvpn --genkey --secret ta.key
#
# Сервер и каждый клиент должны иметь
# копию этого ключа.
# Второй параметр должен быть "0"
# на сервере и '1' на клиентах.
tls-auth ta.key 0

# Выберите криптографический шифр.
# Этот пункт конфига должен также копироваться
# в файл конфигурации клиента.
# Обратите внимание, что клиент/сервер версии 2.4 будет автоматически
# согласовывать AES-256-GCM в режиме TLS.
cipher AES-256-CBC

# Включите сжатие на VPN-канале и передайте
# опцию клиенту (только v2. 4+, для более ранних
# версий см. ниже)
;compress lz4-v2
;push "compress lz4-v2"

# Для сжатия, совместимого со старыми клиентами, используйте comp-lzo
# Если вы включите его здесь, вы также должны
# включить его в файле конфигурации клиента.
;comp-lzo

# Максимальное количество одновременно подключенных
# клиентов, которое мы хотим разрешить.
;max-clients 100

# Параметры сохранения будут пытаться избежать
# доступа к определенным ресурсам при перезапуске,
# которые не могут быть больше доступны
# из-за понижения привилегий.
persist-key
persist-tun

# Выводит короткий файл состояния, показывающий
# текущие соединения, усеченные
# и перезаписанные каждую минуту.
status openvpn-status.log

# По умолчанию сообщения журнала будут отправляться в системный журнал (или
# в Windows, если они запущены как Служба, они будут отправлены в
# каталог "\Program Files\OpenVPN\log").
# Используйте log или log-append, чтобы переопределить это значение по умолчанию.
# "log" будет усекать файл журнала при запуске OpenVPN,
# а "log-append" будет добавляться к нему. Используйте один
# или другой (но не оба).
;log openvpn.log
;log-append openvpn.log

# Установите соответствующий уровень детализации файла журнала.
#
# 0 молчит, за исключением фатальных ошибок
# 4 является разумным для общего использования
# 5 и 6 могут помочь отладить проблемы с подключением
# 9 очень подробно
verb 3

# Заглушить повторные сообщения. В журнал будет
# выведено не более 20 последовательных сообщений
# одной и той же категории.
;mute 20

# Уведомить клиента при перезапуске сервера,
# чтобы он мог автоматически повторно подключиться.
explicit-exit-notify 1

Итоговый пример серверного конфига может быть такой:

 port 1194 proto udp dev tun dev-node MyTap ca ca.crt cert server.crt key server.key dh dh3048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 tls-auth ta.key 0 cipher AES-256-CBC compress lz4-v2 push "compress lz4-v2" max-clients 10 persist-key persist-tun status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log" log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" verb 3 mute 20 explicit-exit-notify 1 

4.2. Клиентский конфиг нужно разместить в C:\Program Files\OpenVPN\config\client.ovpn на машине клиента:

 client dev tun dev-node MyTap proto udp remote openvpn-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun mute-replay-warnings ca ca.crt cert client.crt key client.key remote-cert-tls server tls-auth ta.key 1 cipher AES-256-CBC verb 3 mute 20 

Для сервера:
сертификаты (ca.crt, server.crt, server.key, dh3048.pem, ta.key) положить в папку ssl например, конфиг (server.ovpn) положить в config.
Для клиента:
сертификаты (ca.crt, client.crt, client.key, ta.key) положить в папку ssl например, конфиг (client.ovpn) положить в config.

Настройка OpenVPN соединения в Windows 7

Настройка OpenVPN соединения в Windows 7

Настройка OpenVPN под Windows 7 абсолютно идентична процессу настройки в Windows 8:

1. Скачиваем клиент OpenVPN с официального сайта или нашего зеркала, запускаем

2. После окончания загрузки запускаем установщик

3. Подтверждаем лицензионное соглашение

4. Оставляем набор выбранных компонентов для установки без изменений

5. Указываем путь для установки OpenVPN клиента

6. Подтверждаем необходимость установки драйвера

7. Наблюдаем за логом, который должен появиться в случае правильной установки

8. Переходим в «Личный кабинет» и добавляем подписку, если ее еще нет

9. Скачиваем файл с конфигом

10. Выделяем и копируем все файлы в скачанном архиве

11. Переходим в папку с установленным OpenVPN и вставляем в OpenVPN/config скопированные файлы

12. Подтверждаем доступ «С правами администратора» при копировании

13. Включаем запуск с «Правами администратора» через меню «Пуск» — «Правый щелчок» на ярлыке OpenVPN GUI и пункт «Свойства»

14. Переходим во вкладку «Совместимость» и ставим галочку на «Выполнять эту программу от имени администратора»

15. Запускаем OpenVPN GUI

16. Нажимаем правой кнопкой мыши на появившийся в трее значок и выбираем «Connect»

17. Видим лог запуска OpenVPN

На этом настройка OpenVPN под Windows 7 успешно завершена.

Как настроить OpenVPN-клиент на Windows

Шаг 1

Скачиваем приложение OpenVPN для Windows с его официального сайта. Как видим, тут есть и Windows XP, и Vista, и более поздние редакции. Для установки у вас должны быть права администратора на компьютере.

Шаг 2

После загрузки файла запустите его и пройдите стандартную процедуру установки. Если у вас Windows XP, при установке нужно согласиться с установкой драйвера :

Шаг 3

После установки программы разархивируйте файлы сертификатов Whoer VPN, полученные на вашу электронную почту, и скопируйте их по следующему пути: C:\Program Files\OpenVPN\config. Это делается с помощью стандартной вставки и копирования файла:

Шаг 4

OpenVPN всегда должен запускаться с правами администратора. Для этого перед запуском программы необходимо прописать в свойствах, что она требует прав администратора при каждом запуске. Для этого щелкните правой кнопкой мыши по значку программы (на рабочем столе или в меню «Пуск», как вам удобнее) и выберите в самом низу «Свойства»:

Шаг 5

Откроется диалоговое окно. Откройте вкладку «Совместимость» и поставьте в самом низу галочку на пункте «Выполнять эту программу от имени администратора», а затем нажмите «ОК»:

Шаг 6

Чтобы подключиться к Whoer VPN, запустите программу – она создаст значок в системной панели в нижнем правом углу экрана. Откройте этот значок и выберите страну, к серверу которой вы хотите подключиться. Дальше нажмите «Connect» или «Подключиться». Значок должен стать зеленым, обозначая успешное создание подключения:

Чтобы проверить свой IP-адрес и убедиться, что вы работаете через Whoer VPN, зайдите по адресу whoer.net.

Посмотрите также наше видео, где мы подробно рассказываем как установить OpenVPN на Windows: https://www.youtube.com/watch?v=t8E9QJ3HqgQ

Конфигурация клиента OpenVPN — Windows 10

Скачать приложение Клиент OpenVPN

Приложение распространяется как GNU с открытым исходным кодом, поэтому мы можем установить и использовать его без каких-либо ограничений.

1. УСТАНОВКА ПРИЛОЖЕНИЯ OpenVPN

После загрузки приложения щелкните его правой кнопкой мыши и выберите "Запуск от имени администратора" в раскрывающемся меню (1)

    true    

   <учетные данные единого входа />   

    false   True   False    

 1) Ищите последние источники стабильной версии. Примечание - программа он запакован каким-то космическим gzip. мне стыдно признаться но я распаковал его под Windows Commander, то Запаковал в "обычный" tgz и отправил на сервер :) 2) ./configre && make && make install В Linux вы также можете добавить опцию --enable-pthread, потому что, как вы говорите: --enable-pthread Компилировать поддержку pthread для уменьшения задержки SSL/TLS если у вас нет библиотеки VOC, вам нужно отключить поддержку --disable-lzo сжатие, но лучше установить его: http://www.oberhumer.com/opensource/lzo/ Я предполагаю, что вы используете Linux с ядром 2.4, иначе если вы это сделаете, вам нужно внимательно прочитать процесс установки ядра 2.2. (на главной странице проекта). Конечно, OpenSSL тоже должен быть установлен, но, наверное, у всех так. 

 Первое, что мы должны решить, это как авторизоваться. Здесь есть два решения: 1 - проще - Pre-Shared Key 2 - посложнее - решение на основе SSL/TLS - сертификаты и ключи RSA  Решение с общим ключом 
 Вам нужно сгенерировать ключ и разместить его по обеим сторонам туннеля (у ворот и у клиники).Несложно догадаться, что будет, когда у кого-то из сотрудников потеряется ноутбук... мы генерируем: openvpn --genkey --secret static.key Тогда вам придется потерять (благополучно :) этот ключ от ноутбука удаленного сотрудника. 

 [CA_default] dir=/keys # Где все хранится certs = $ dir / certs # Где хранятся выданные сертификаты crl_dir = $ dir / crl # Где хранятся выданные crl база данных = $каталог/индекс.txt # индексный файл базы данных. new_certs_dir=$dir/newcerts # место по умолчанию для новых сертификатов. certificate = $ dir / cacert.pem # Сертификат ЦС serial = $dir/serial # Текущий серийный номер crl = $dir/crl.pem # Текущий CRL private_key = $dir/private/cakey.pem # Закрытый ключ RANDFILE = $ dir / private / .rand # частный файл случайных чисел 

 сенсорный/клавиши/указатель.текст эхо 00> / ключи / серийный номер 

 [req_distinguished_name] countryName = название страны (двухбуквенный код) countryName_default = PL stateOrProvinceName = название штата или провинции (полное название) stateOrProvinceName_default = Польша localityName = Название местности (например, город) localityName_default = Гливице 

 openssl genrsa -des3 -out частный /cakey.pem 1024 

 openssl req -new -x509 -days 1825 -key private /cakey.pem -out cacert.pem 

 openssl genrsa -des3 -out private/gwkey.pem 1024 

 openssl req -new -key private / gwkey.pem -out gwreq.pem 

 openssl ca -notext -in gwreq.pem -out gwcert.pem {здесь мы даем пароль закрытого ключа Root CA - первый пароль вообще) 

 мы генерируем закрытый ключ пользователя: openssl genrsa -des3 -out private/userkey.pem 1024 затем выдаем заявку на сертификат: openssl req -new -key private / userkey.pem -out userreq.pem (теперь введите пароль закрытого ключа пользователя - те, что указаны выше) затем имея подготовленное приложение (userreq.pem) подписываем как CA: openssl ca -notext -in userreq.pem -out usercert.pem (теперь, конечно, введите пароль ключа эмитента УЦ - это вообще первый пароль) Можно рассмотреть вариант сокращения срока действия сервисных ключей, например, до нескольких месяцев. (это устанавливается переключателем конечной даты при подписании CA - формат YYMMDDHHMMSSZ) 

 Действительность сертификата всегда можно проверить командой: openssl x509 -noout -text -in user.crt 

 пирожное.pem, cacert.pem, gwkey.pem, gwcert.pem, userkey.pem, usercert.pem 

 openssl rsa -in private/gwkey.pem -out private/gwkey.pem_bezhasla конечно, операция будет успешной только в том случае, если будет введен правильный пароль для gwkey.pem 

 маршрут добавить siec_firmowa MASKA gw ip_virtualne_bramy_vpn 

 эхо 1> /proc/sys/net/ipv4/ip_forward 

 modprobe тун 

 # пример конфигурации с использованием общего ключа # конфигурационный файл на стороне VPN-шлюза # Отсутствие удаленного значения означает, что мы разрешаем любой IP-адрес на другом конце разработчик тун тун-мту 1500 # ifconfig local_ip remote_ip ифконфиг 10.3.0.1 10.3.0.2 ; порт 5000 пользователь никто группа никто комп-льзо ; пинг 15 ; пинг-перезагрузка 45 ; ping-таймер-rem ; упорный тун ; постоянный ключ глагол 3 секрет/и т.д./опенвпн/секрет.ключ ; конец 

 разработчик тун тун-мту 1500 удаленный 157.158.1.3 // фактический IP-адрес VPN-шлюза! # ifconfig local_ip remote_ip ifconfig 10.3.0.2 10.3.0.1 // примечание - напротив стороны Врат! ; порт 5000 пользователь никто группа никто комп-льзо ; пинг 15 ; пинг-перезагрузка 45 ; ping-таймер-rem ; упорный тун ; постоянный ключ глагол 3 секрет c:\progra~1\openvpn\config\secret.ключ ; конец 

 openssl dhparam -out dh2024.пэм 1024 

 # пример конфигурации с использованием сертификатов. Обращать внимание # различие между клиентом и сервером. # файл конфигурации сервера (VPN шлюзы) разработчик тун тун-мту 1500 ифконфиг 10.3.0.1 10.3.0.2 ; порт 5000 пользователь никто группа никто комп-льзо ; пинг 15 ; пинг 15 ; пинг-перезагрузка 45 ; ping-таймер-rem ; упорный тун ; постоянный ключ глагол 4 tls-сервер dh/etc/openvpn/certs/dh2024.пем # сертификат эмитента (CA) ca /etc/openvpn/certs/cacert.pem # сертификат шлюза сертификат /etc/openvpn/certs/gwcert.pem # приватный ключ шлюза ключ /etc/openvpn/certs/gwkey.pem # или /etc/openvpn/certs/gwkey.pem_bezhasla ; 

 удаленный IP_SERVER_VPN # фактический "внешний" IP Интернет-шлюз VPN порт 5000 разработчик тун тун-мту 1500 ифконфиг 10.3.0.2 10.3.0.1 tls-клиент Файл центра сертификации ca c:\progra~1\openvpn\config\cacert.пем # Наш сертификат/публичный ключ сертификат c:\progra~1\openvpn\config\usercert.pem # Наш приватный ключ ключ c:\progra~1\openvpn\config\userkey.pem ; пинг-перезагрузка 60 ; ping-таймер-rem ; упорный тун ; постоянный ключ ; разрешение-повторная попытка 86400 # # проверка активности пинг 10 # # включить сжатие LZO комп-льзо глагол 4 ; конец 

 openvpn --config /etc/openvpn/config... 

 ; Юникс синтаксис маршрут добавить -net 10.0.0.0 сетевая маска 255.255.255.0 gw 10.3.0.1 ; синтаксис окна маршрут добавить 10.0.0.0 маска 255.255.255.0 10.3.0.1 

 `который brctl` addbr br0 `который brctl` addif br0 eth2 `what brctl` addif br0 tap0 `который ifconfig` tap0 0.0.0.0 неразборчиво вверх `what ifconfig` eth2 0.0.0.0 неразборчиво вверх 

 ; пример конфигурации моста на VPN-шлюзе разработчик tap0 ; вместо local_ip remote_ip есть только встроенный класс.сети ифконфиг 10.0.0.0 255.255.255.0 ifconfig-nowarn ; порт 5000 пользователь никто группа никто комп-льзо пинг 15 пинг-перезагрузка 45 ping-таймер-rem упорный тун постоянный ключ глагол 3 ; здесь я использовал более простой метод с общим ключом, но вы можете ; использовать сертификаты, конечно. секрет /etc/openvpn/secret.key