Настройка сервера Windows OpenVPN

Обновлено: 21.11.2024

В этом примере у нас есть следующая среда:

< tr>

Название компании	Contoso Ltd.
Страна и город	США (США), Вашингтон, округ Колумбия
Общедоступное имя хоста/IP	vpn.example.com
Сеть компании	192.168.20.0/ 24
IP-адрес сервера	192.168.20.10
IP-адрес маршрутизатора	192.168.20.1
DNS-сервер	192.168.20.10
Домен Windows	CONTOSO.local
Сеть для VPN-клиентов	192.168.30.0/24
Серверный каталог VPN-материалов	C:\Data\VPN
OpenVPN-Port	1194
Протокол OpenVPN	UDP
Расположение OpenSSL	C:\OpenSSL-Win32\
Расположение OpenVPN	C:\Program Files\OpenVPN\

Пожалуйста, убедитесь, что вы настроили все ссылки на эти значения (отмечены желтым цветом), когда будете следовать этому руководству.

Это руководство было протестировано на Windows Server 2012 с клиентами Windows 7 и macOS и Telekom Digitalisierungsbox в качестве маршрутизатора.

Безопасность

Поскольку во многих руководствах в Интернете показаны устаревшие и устаревшие параметры конфигурации, мне было важно использовать только новые и безопасные параметры. Например, tls-auth использовался до OpenVPN 2.4, но tls-crypt более безопасен и имеет больше преимуществ. Кроме того, я не использую сжатие, так как сегодня оно также считается небезопасным.

Если вам нужна еще более высокая безопасность, вы также можете попробовать плагины многофакторной аутентификации, которые можно добавить после того, как все настроено и работает правильно.

Важно! Это руководство было написано на основе моих лучших знаний и убеждений, но я не могу быть уверенным в том, что следуя этому руководству, я могу нанести какой-либо ущерб!

Настройка шаг за шагом

Обзор

Вот диаграмма желаемой настройки нашего примера:

1. Открытие порта

(1.2) Откройте UDP-порт 1194 в брандмауэре Windows

(1.3) если ваш сервер находится за маршрутизатором, то также перенаправьте этот порт в вашем маршрутизаторе на ваш сервер.

2. Установить программное обеспечение

(2.1) Создайте каталог C:\Data\VPN на своем сервере.

(2.2) На своем сервере загрузите и установите OpenSSL в каталог C:\OpenSSL-Win32\

(2.3) Кроме того, загрузите и установите OpenVPN Community на свой сервер в C:\Program Files\OpenVPN\ и убедитесь, что вы выбрали вариант установки «Служба OpenVPN».

3. Создайте скрипты для управления всем

C:\Data\VPN\openssl.cnf

C:\Data\VPN\build-ca.bat

C:\Data\VPN\add_user.bat

C:\Data\VPN\revoke_user.bat

C:\Data\VPN\config.bat

C:\Data\VPN\renew_crl.bat

С помощью планировщика заданий Windows запускайте файл renew_ctl.bat каждый месяц (поскольку срок действия CRL истекает через 1 год).

4. Настройте Центр сертификации (ЦС) и сертификаты

(4.1) Запустите build_ca.bat.

Будет создан каталог с именем "CA" с сертификатами и ключами. Обратите внимание, что файлы .key являются совершенно секретными. Каждый клиент может получить только свой собственный ключ и общий секретный ключ (они включены в файл .ovpn). Никто не может получить файл CA.key, так как это «главный ключ» для создания любого клиентского сертификата!

(4.2) Для каждого пользователя, которого вы хотите добавить, запустите add_user.bat.

5. Настройте и запустите OpenVPN на сервере

(5.1) Создайте файл C:\Program Data\OpenVPN\config\server.ovpn со следующим содержимым:

(5.2) Создайте C:\Data\VPN \enable_ip_forwarding.reg со следующим содержимым:

Затем запустите/импортируйте этот файл REG, чтобы включить переадресацию IP.

(5.3) Перезагрузите сервер, чтобы активировалась переадресация IP.

(5.4) Включить общий доступ к подключению к Интернету (ICS): на локальном сетевом адаптере (который также может быть сетевым адаптером или мостом) щелкните правой кнопкой мыши и выберите «Свойства», затем перейдите на вкладку «Общий доступ» и включите « Разрешить другим пользователям сети подключаться через интернет-соединение этого компьютера». Ниже выберите имя виртуального сетевого адаптера OpenVPN, например OpenVPN TAP-Windows6

(5.5) Запустите графический интерфейс OpenVPN и установите соединение.

6. Настройте и запустите OpenVPN на клиенте

(6.1) Дайте пользователю его файл .ovpn.

Клиенты для Windows

(6.3) Сохраните полученный файл в C:\Program Data\OpenVPN \config\

(6.4) Запустите графический интерфейс OpenVPN и установите соединение.

клиенты macOS

(6.2) Загрузите и установите Tunnelblick.

(6.3) Сохраните где-нибудь полученный файл, а затем перетащите файл .ovpn в левый список Tunnelblick, чтобы он был импортирован.

(6.4) На значках в правом верхнем углу (кроме часов) щелкните значок Tunnelblick, затем нажмите «подключиться»

Что нужно сделать после запуска системы

Что делать, если центр сертификации скомпрометирован?

Если скомпрометирован весь ЦС, например. если сервер был взломан, если кто-то случайно получил доступ к файлу CA.key, или если из компании ушел ненадежный администратор, то нужно сделать "жесткий сброс" CA. Поэтому запустите:

После этого необходимо заново создать всех пользователей, вызвав add_user.bat для каждого пользователя.

Затем вам нужно передать обновленные файлы .ovpn всем другим сотрудникам.

Отозвать один сертификат/закрыть доступ для сотрудника

Если нужно отозвать только сертификат клиента сотрудника, запустите:

Добавить нового сотрудника

Создайте временный пакетный файл, например create_employee.bat со следующим содержимым, а затем запустите его.

Открытые вопросы и проблемы

1. Похоже, что на сервере OpenVPN не запускается автоматически. Он запускается только после того, как вы откроете графический интерфейс OpenVPN.

Если у вас есть какие-либо вопросы или предложения по улучшению, отправьте мне электронное письмо по адресу info at daniel-marschall dot de

OpenVPN — это программное приложение с открытым исходным кодом, в котором реализованы методы виртуальной частной сети (VPN) для создания безопасных соединений "точка-точка" или "сеть-сеть" в конфигурациях с маршрутизацией или мостом и средствами удаленного доступа.

Эта статья содержит пошаговые инструкции по созданию и запуску сервера OpenVPN на ПК с ОС Windows. Представленная здесь информация ориентирована на пользователей практически любого уровня знаний. Инструкции относятся к Windows 7 и более новым системам.

Обзор конфигурации и необходимые условия

Прежде чем мы начнем, давайте рассмотрим конфигурацию, которую мы пытаемся реализовать, и предварительные условия, которые делают ее возможной.

Предпосылки:

• ПК или ноутбук под управлением Windows 7 или более поздней версии.
• У рассматриваемого компьютера должен быть общедоступный IP-адрес.
• И активное подключение к Интернету.

Цель этой статьи — предоставить ноу-хау, необходимые для настройки работающего сервера OpenVPN на ПК с Windows.

Шаг 1: установка программного обеспечения OpenVPN

Шаг 2: подготовка EasyRSA

• Теперь мы можем начать подготовку к созданию сертификатов и ключей. Для этого мы будем использовать приложение EasyRSA 3, которое было установлено вместе с OpenVPN.
  Команды EasyRSA должны выполняться через командную строку Windows. Его можно открыть, введя cmd в строке поиска Windows (кнопка Windows + S). При запуске убедитесь, что вы запускаете его от имени администратора:
  
• Измените текущий каталог на папку EasyRSA. Для этого выполните следующую команду:
• Запустите EasyRSA:
• Прежде чем создавать файлы с помощью EasyRSA, необходимо сначала инициализировать каталог для инфраструктуры открытых ключей (PKI). Это можно сделать с помощью следующей команды:
• Откройте файл vars.bat в текстовом редакторе Блокнота:
• Это файл шаблона для создания сертификатов, т. е. сохраненная здесь информация будет предлагаться в качестве значений по умолчанию во время создания сертификата. Найдите и измените следующие строки в соответствии с вашими потребностями:
• Вы также можете установить размер ключа для параметров Диффи Хеллмана:
• После завершения сохраните файл и закройте редактор; затем выполните следующие команды:

Шаг 3: создание сертификатов и ключей

• Теперь мы можем приступить к созданию сертификатов и ключей. Начните с центра сертификации (ЦС) — файла корневого сертификата, который будет использоваться для подписи других сертификатов и ключей:
• Затем создайте сертификат сервера и ключ:
• Затем создайте сертификаты и ключи для клиентов: Примечание: замените Client1 общим именем (CN) этого клиента. Опустите "nopass", и вам будет предложено выбрать пароль клиента.

Сгенерированные и подписанные файлы должны появиться в следующих каталогах (по умолчанию):

< tr> < /tbody>

Шаг 4. Настройка сервера OpenVPN

В этом разделе мы обсудим, как настроить сервер OpenVPN Tunnel (TUN), который использует:

• Протокол UDP
• Аутентификация TLS

В качестве шаблона мы будем использовать пример файла конфигурации, который поставляется вместе с установкой OpenVPN, но мы добавим в него некоторые незначительные изменения. Вы можете найти его в каталоге установки OpenVPN, в папке sample-config (по умолчанию: C:\Program Files\OpenVPN\sample-config) под именем server.ovpn.

ПРИМЕЧАНИЕ. Имя файла параметров Диффи Хеллмана будет зависеть от размера ключа, который вы указали в файле vars.bat. Не забудьте изменить его соответствующим образом.

В образец файла были внесены следующие изменения:

Шаг 5. Настройка клиентов

Установите OpenVPN на всех клиентских компьютерах, но пропустите шаги 2, 3 и 4 выше. Просто скопируйте файлы ca.crt , client.crt и client.key, уже созданные на сервере на шаге 4 выше, в папку конфигурации соответствующего клиентского компьютера.

Следующим шагом является создание файла конфигурации для клиентов. Отредактируйте файл client.ovpn, который находится в папке sample-config, и сохраните его. Теперь откройте отдельную статью: Клиент OpenVPN для Windows, но обратите внимание, что только последняя часть имеет отношение к этой странице. Начните со строки «• Сохраните файл с расширением .ovpn».

Примечание. Отредактированный файл client.ovpn можно скопировать на все клиентские компьютеры, если не требуется внесения особых изменений.

Шаг 6: запуск сервера

Если вы выполнили все шаги до сих пор, настройка вашего сервера OpenVPN завершена! Следующее, что нужно сделать, это просто запустить сервер.

Здесь мы увидим, как настроить сервер OpenVPN под Microsoft Windows Server.

OpenVPN — это очень мощная VPN, которая имеет ряд преимуществ: она бесплатна, совместима с большинством операционных систем, проста в реализации и легко настраивается.

Диаграмма сети

Конфигурация сервера

Предпосылки

Загрузить OpenSSL

Загрузите последнюю версию OpenSSL Light.

Установите OpenSSL

Добавить OpenSSL в переменные среды

Мы добавим OpenSSL в переменные среды.

Установка OpenVPN

Перейдите на официальный сайт OpenVPN, чтобы загрузить последний установщик.

Настройка центра сертификации (ЦС) и создание сертификатов и ключей для сервера и клиентов

Здесь мы настроим pki, чтобы иметь возможность создавать сертификаты нашего сервера и клиентов.

Сертификаты

• Поместите эти файлы (из C:\Program Files\OpenVPN\easy-rsa\pki, C:\Program Files\OpenVPN\easy-rsa\pki\issued и C:\Program Files\OpenVPN\easy-rsa\ pki\частный):
  • ca.crt
  • dh.pem
  • server.crt
  • сервер.ключ

  Добавить правило брандмауэра Windows

  Нам нужно открыть порт 1194 udp, чтобы разрешить подключение клиентов OpenVPN. Для этого используйте консоль управления брандмауэром Windows или эту команду в консоли командной строки администратора.

  C:\Program Files\OpenVPN\config-auto\server.ovpn

  От имени администратора отредактируйте файл C:\Program Files\OpenVPN\config-auto\server.ovpn:

  Затем перезапустите службу OpenVPN:

  Конфигурация клиента

  • Клиент OpenVPN:
    • ОС : Windows 10
    • Роль: клиент OpenVPN

    Установка OpenVPN

    Мы скачаем тот же пакет, а здесь установим с параметрами по умолчанию.

    Копировать сертификаты с сервера

    • С сервера получите следующие файлы (из C:\Program Files\OpenVPN\easy-rsa\pki, C:\Program Files\OpenVPN\easy-rsa\pki\issued и C:\Program Files\OpenVPN\ easy-rsa\pki\private):
      • ca.crt
      • client01.crt
      • client01.key
      • C:\Program Files\OpenVPN\config\client.ovpn

      Редактируйте файл client.ovpn с правами администратора:

      Установка соединения

      Доступ к серверу

      Для подключения к серверу мы будем использовать IP-адрес 10.50.8.1

      ⚠️ Устранение неполадок: после обновления Windows у меня больше не было доступа к общему ресурсу сервера (хотя OpenVPN смог подключиться). Чтобы снова заработало, мне пришлось починить (доступно при перезапуске программы установки) программу OpenVPN на стороне сервера.

      
      Эта работа находится под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

      
      Эта работа находится под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

      Как настроить OpenVPN в Windows Server 2019. Openvpn в настоящее время является наиболее популярным и широко используемым протоколом в качестве VPN. В отличие от других протоколов туннелирования на основе IPSec (таких как L2tp), Openvpn полагается на SSL/TLS для аутентификации и шифрования данных. В этой статье мы научим вас, как установить OpenVpn на Windows Server 2019.

      Эта стандартная технология безопасности предназначена для безопасного удаленного подключения из одного места в другое или из одной точки в другую. Использование SSL для защиты финансовых транзакций, передачи данных, электронной почты и прочего очень популярно.

      OpenVPN совместим со всеми основными операционными системами, такими как Windows, Android, iOS, Mac и Linux. Openvpn имеет открытый исходный код и поддерживает шифрование до 256 бит.

      Оглавление

      OpenVPN состоит из трех частей:

      1. Сервер OpenVPN-AS
      2. Веб-интерфейс администратора/графический интерфейс администратора
      3. Клиенты соединения

      Установите OpenVPN

      На сервере Windows мы начинаем с загрузки установщика Windows, а затем запускаем его на нашем сервере Windows.

      Сертификаты и ключи

      Предпосылки

      Перейдите по следующему пути:

      Предпосылки

      Папка с помощью административной командной строки:

      <р>1. Откройте меню «Пуск» и введите cmd. Затем щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора».

      2. Щелкните правой кнопкой мыши командную строку. Нажмите Да в окне контроля учетных записей.

      3. Перейдите к папке ниже:

      4. Теперь вы можете приступить к настройке OpenVPN:

      5. На этом шаге вам нужно открыть файл vars.bat в текстовом редакторе:

      <р>6. Отредактируйте последующие строки, заменив «US», «CA» и т. д. данными своей компании.

      7. Сохраните файл текстового редактора и закройте его.

      Примечание 1. Поля KEY_CN и KEY_NAME будут уникальными для каждого запроса на сборку.

      Примечание 2. Параметры KEY_CN и KEY_NAME относятся к общему полю имени и имени сертификата.

      Примечание 3. Параметр KEY_OU относится к «Организационному подразделению» и может быть установлен любым, если это не требуется.

      Примечание 4. Значения PKCS11_ относятся к параметрам, используемым для аппаратных модулей безопасности и смарт-карт, если вы их используете.

      На следующем шаге выполните следующие команды:

      Создание сертификатов и ключей

      1. Чтобы создать сертификат и ключ Центра сертификации (ЦС), нам нужно выполнить следующую команду:

      2. Вам будет предложено ввести страну, штат и город. Эти параметры также будут иметь значения по умолчанию, указанные в квадратных скобках.

      3. С помощью следующей команды мы инициируем сертификат и ключ сервера:

      • При появлении запроса введите «Общее имя» как «сервер»
      • Когда будет предложено подписать сертификат, введите «y»
      • При появлении запроса на фиксацию введите «y»

      Сертификаты и ключи сервера

      Клиентские сертификаты и ключи

      Для каждого клиента, который будет подключаться к серверу, мы должны выбрать уникальное имя для идентификации компьютера этого пользователя, например «Michael-PC» в приведенном ниже примере:

      При появлении запроса мы вводим общее имя в качестве имени, которое вы выбрали для сертификата/ключа клиента. Мы повторим этот шаг для каждого клиентского компьютера, который будет подключаться к VPN.

      В этой части нам нужно сгенерировать параметры «Диффи Хеллмана» с помощью команды build-dh. Этот шаг необходим для настройки модели шифрования.

      Создайте общий секретный ключ (требуется при использовании tls-auth):

      Файлы конфигурации

      OpenVPN предоставляет образцы данных конфигурации, которые можно легко найти с помощью меню «Пуск»:

      Откройте меню "Пуск", нажмите "Все программы" . Затем выберите Образцы файлов конфигурации OpenVPN в параметрах OpenVPN.

      Файл конфигурации сервера

      1. Скопируйте образец файла конфигурации сервера в папку easy-rsa. Эта команда и ее вывод следующие:

      2. Теперь вам нужно отредактировать файл server.ovpn.

      3. Найдите в файле следующие строки:

      4. Затем отредактируйте их следующим образом:

      5. Наконец, сохраните и закройте файл.

      Настройте OpenVPN на сервере Windows.

      Файлы конфигурации клиента

      Изменение файла клиента очень похоже на изменение конфигурации сервера.

      Скопируйте пример файла конфигурации сервера в папку easy-rsa, используя общее имя клиента в качестве имени файла.

      Помните: у каждого клиента должно быть уникальное имя файла.

      Отредактируйте файл конфигурации клиента.

      1. Найдите в файле следующие настройки и измените их следующим образом:

      2. Затем мы отредактируем строку «my-server-1», заменив ее общедоступным IP-адресом или доменным именем сервера.

      3. Сохраните и закройте файл.

      Копирование файлов клиента и сервера в соответствующие каталоги

      Теперь вы можете скопировать эти файлы из C:\Program Files\OpenVPN\easy-rsa\keys\ в C:\Program Files\OpenVPN\config\ на сервере с помощью команды robocopy:

      • ca.crt
      • ta.key
      • dh2048.pem
      • server.crt
      • сервер.ключ
      • сервер.ovpn

      Вы можете скопировать следующие файлы из C:\Program Files\OpenVPN\easy-rsa\keys\ на сервере в C:\Program Files\OpenVPN\config\ для каждого клиента, который будет использовать VPN (например, Майкл-ПК, в этом примере)

      • ca.crt
      • ta.key
      • Майкл-PC.crt
      • Майкл-PC.key
      • Майкл-PC.ovpn

      Настройки брандмауэра

      Если у вас возникли проблемы с подключением, убедитесь, что вы настроили правило брандмауэра сервера, разрешающее входящий трафик UDP через порт 1194 . (Win+R «wf.msc»)

      Уважаемый пользователь, мы надеемся, что вам понравится это руководство, вы можете задавать вопросы об этом обучении в разделе комментариев, или для решения других проблем в области обучения Eldernode, обратитесь к разделу страницы Ask и поднимите в нем свою проблему. как можно скорее. Найдите время, чтобы другие пользователи и эксперты ответили на ваши вопросы.

      Читайте также:

        
      • Критический сбой службы Windows 10, как исправить
        
      • Необходимо решить проблему с учетной записью Microsoft Windows 10
        
      • Как сделать красивую панель задач в Windows 10
        
      • Нужен ли антивирус в Windows 7
        
      • Как показать скрытые папки в Windows 10

Файл(ы)	Расположение
Сертификат CA	→	C:\Program Files\OpenVPN\easy-rsa\pki
Параметры Диффи-Хеллмана	→	C:\Program Files\OpenVPN\easy-rsa\pki
Клиентский и серверный ключи	→	C:\ Program Files\OpenVPN\easy-rsa\pki\private
Сертификаты клиента и сервера	→	C:\Program Files\OpenVPN\easy-rsa\pki\issued