Инструменты пользователя
пакет_openvpn
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
пакет_openvpn [2017/01/12 08:07] val [Использование PAM аутентификации вместо клиентских сертификатов] |
пакет_openvpn [2020/07/23 15:16] (текущий) val [Мониторинг сервиса] |
||
|---|---|---|---|
| Строка 2: | Строка 2: | ||
| * [[http://openvpn.net/index.php/open-source/documentation/howto.html|OpenVPN HOWTO]] | * [[http://openvpn.net/index.php/open-source/documentation/howto.html|OpenVPN HOWTO]] | ||
| - | * [[http://itinrussian.ru/freeradius-openvpn-%D0%BD%D0%B0-debian-8/|Freeradius + openvpn]] | + | |
| ===== Установка сервиса ===== | ===== Установка сервиса ===== | ||
| - | ==== Ubuntu ==== | + | ==== Debian/Ubuntu ==== |
| <code> | <code> | ||
| # apt install openvpn | # apt install openvpn | ||
| - | |||
| - | # cd /etc/openvpn/ | ||
| </code> | </code> | ||
| - | ==== FreeBSD ==== | ||
| - | <code> | ||
| - | # pkg install openvpn | ||
| - | # cat /etc/rc.conf | ||
| - | </code><code> | ||
| - | ... | ||
| - | openvpn_enable=yes | ||
| - | </code><code> | ||
| - | # mkdir /usr/local/etc/openvpn/ | ||
| - | |||
| - | # cd /usr/local/etc/openvpn/ | ||
| - | </code> | ||
| ==== CentOS 7 ==== | ==== CentOS 7 ==== | ||
| Строка 39: | Строка 25: | ||
| === Настройка сервера === | === Настройка сервера === | ||
| <code> | <code> | ||
| - | gate# cat openvpn.conf | + | # cp ca.* /etc/ssl/certs/ |
| + | # cp gate.crt /etc/ssl/certs/ | ||
| + | # cp gate.key /etc/ssl/private/ | ||
| + | |||
| + | gate# cat /etc/openvpn/openvpn1.conf | ||
| </code><code> | </code><code> | ||
| dev tun | dev tun | ||
| Строка 47: | Строка 37: | ||
| server 192.168.200+X.0 255.255.255.0 | server 192.168.200+X.0 255.255.255.0 | ||
| push "route 192.168.100+X.0 255.255.255.0" | push "route 192.168.100+X.0 255.255.255.0" | ||
| - | dh /root/dh1024.pem | + | dh /etc/openvpn/dh2048.pem |
| - | ca /root/ca.crt | + | ca /etc/ssl/certs/ca.crt |
| - | crl-verify /root/ca.crl | + | crl-verify /etc/ssl/certs/ca.crl |
| - | cert /root/gate.crt | + | cert /etc/ssl/certs/gate.crt |
| - | key /root/gate.key | + | key /etc/ssl/private/gate.key |
| - | status /var/log/openvpn-status.log | + | status /var/log/openvpn1-status.log |
| + | </code> | ||
| + | |||
| + | Тестирование конфигурации | ||
| + | |||
| + | <code> | ||
| + | # openvpn --config /etc/openvpn/openvpn1.conf | ||
| + | </code> | ||
| + | |||
| + | Включение и запуск | ||
| + | |||
| + | <code> | ||
| + | # systemctl enable openvpn@openvpn1 | ||
| + | |||
| + | # systemctl start openvpn@openvpn1 | ||
| </code> | </code> | ||
| === Настройка клиента === | === Настройка клиента === | ||
| + | * [[https://mail.bmstu.ru/~postmaster/openvpn-install-2.4.0-I601.exe]] | ||
| * Начиная с Windows 7 необходимо запускать OpenVPN с правами администратора | * Начиная с Windows 7 необходимо запускать OpenVPN с правами администратора | ||
| * [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]] | * [[Пакет OpenSSL#Создание пользовательского сертификата, подписанного CA]] | ||
| <code> | <code> | ||
| - | C:\>notepad C:\Program Files\OpenVPN\config\user1.ovpn | + | C:\>notepad C:\Users\student\OpenVPN\config\user1.ovpn |
| </code><code> | </code><code> | ||
| dev tun | dev tun | ||
| Строка 78: | Строка 83: | ||
| <code> | <code> | ||
| - | gate# cat openvpn.conf | + | gate# cat /etc/openvpn/openvpn1.conf |
| </code><code> | </code><code> | ||
| ... | ... | ||
| Строка 84: | Строка 89: | ||
| ... | ... | ||
| </code><code> | </code><code> | ||
| - | gate# cat ccd/userN | + | gate# cat /etc/openvpn/ccd/userN |
| </code><code> | </code><code> | ||
| ifconfig-push 192.168.200+X.4*N+2 192.168.200+X.4*N+1 | ifconfig-push 192.168.200+X.4*N+2 192.168.200+X.4*N+1 | ||
| Строка 92: | Строка 97: | ||
| * [[https://www.linuxsysadmintutorials.com/setup-pam-authentication-with-openvpns-auth-pam-module|Setup PAM authentication with OpenVPN's auth-pam module]] | * [[https://www.linuxsysadmintutorials.com/setup-pam-authentication-with-openvpns-auth-pam-module|Setup PAM authentication with OpenVPN's auth-pam module]] | ||
| + | * [[https://github.com/OpenVPN/openvpn/tree/master/src/plugins/auth-pam|openvpn/src/plugins/auth-pam/]] | ||
| <code> | <code> | ||
| gate# cat /etc/pam.d/login | gate# cat /etc/pam.d/login | ||
| - | gate# cat openvpn.conf | + | gate# cat /etc/openvpn/openvpn1.conf |
| </code><code> | </code><code> | ||
| ... | ... | ||
| - | plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login | + | #### crl-verify ... |
| - | client-cert-not-required | + | |
| - | username-as-common-name | + | #ca /etc/ssl/certs/ca.crt |
| + | или | ||
| + | #ca /etc/ssl/certs/gate.crt #may be selfsigned | ||
| + | |||
| + | cert /etc/ssl/certs/gate.crt | ||
| ... | ... | ||
| + | plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so login | ||
| + | verify-client-cert none | ||
| + | username-as-common-name | ||
| </code><code> | </code><code> | ||
| C:\>notepad C:\Program Files\OpenVPN\config\client.ovpn | C:\>notepad C:\Program Files\OpenVPN\config\client.ovpn | ||
| </code><code> | </code><code> | ||
| - | dev tun | + | ... |
| - | client | + | |
| - | remote 172.16.1.X | + | |
| - | ca ca.crt | + | |
| auth-user-pass | auth-user-pass | ||
| + | <ca> | ||
| + | -----BEGIN CERTIFICATE----- | ||
| + | ... | ||
| + | -----END CERTIFICATE----- | ||
| + | </ca> | ||
| </code> | </code> | ||
| + | ==== Использование RADIUS аутентификации и учета ==== | ||
| + | |||
| + | * [[http://itinrussian.ru/freeradius-openvpn-%D0%BD%D0%B0-debian-8/|Freeradius + openvpn]] | ||
| ===== Настройка peer2peer конфигурации ===== | ===== Настройка peer2peer конфигурации ===== | ||
| - | ==== Ubuntu/FreeBSD ==== | + | ==== Debian/Ubuntu/FreeBSD ==== |
| <code> | <code> | ||
| gate.corpX.un# openvpn --genkey --secret static.key | gate.corpX.un# openvpn --genkey --secret static.key | ||
| Строка 145: | Строка 163: | ||
| ===== Запуск сервиса ===== | ===== Запуск сервиса ===== | ||
| - | ==== Ubuntu ==== | + | |
| + | ==== Debian/Ubuntu ==== | ||
| <code> | <code> | ||
| - | # service openvpn@openvpn start | + | # service openvpn@openvpn1 start |
| </code> | </code> | ||
| ===== Мониторинг сервиса ===== | ===== Мониторинг сервиса ===== | ||
| - | |||
| <code> | <code> | ||
| - | gate# cat /var/log/openvpn-status.log | + | gate# cat /var/log/openvpn1-status.log |
| + | |||
| + | gate# tail -f /var/log/syslog | ||
| - | gate# cat openvpn.conf | + | gate# cat /etc/openvpn/openvpn1.conf |
| </code><code> | </code><code> | ||
| ... | ... | ||
пакет_openvpn.1484197650.txt.gz · Последние изменения: 2017/01/12 08:07 — val
Инструменты страницы
За исключением случаев, когда указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: CC Attribution-Share Alike 4.0 International
