Установка и первичная настройка OpenVPN на Ubuntu 16.04

Комментарии

Комментариев: 11

  • Avatar
    Aralbek Kazykanov

    Отличный мануал.
    Все прям разжевал для самых неофитов.
    :)

  • Спасибо большое за Вашу оценку! 

  • Спасибо за статью.

    Осталось только непонятным, как заставить быть видимым локальные айпишники (10.0.0...) для всех клиентов сети?

    Чтобы можно было поднять внутри сети сервер, доступный внутри нее.

  • Avatar
    Чхаидзе Богдан (Изменен )

    подскажите как временно отключать сертификат клиента а потом включать ?

  • Сертификат имеет только два состояния - активный и отозванный.
    Поэтому отзывать сертификат ./easyrsa revoke username и потом его заново выпускать.

    Также у самого openvpn есть опция отключения конкретного клиента --disable (главное не пользоваться, если сертификат был скомпрометирован).

  • А как в настройках указать лимит адресов 1-3 адреса для клиентов?

    И как настроить статику для одного клиента?

  • Первый вопрос немного неясен - клиенту хотите выделить несколько адресов сразу?

    Статику можно прописать так:

    На сервере в конфигурационном файле сервера укажите маршрут

    route 10.100.1.0 255.255.255.0

    И пропишите параметр для вычитывания конфигурационных файлов для отдельных клиентов

    client-config-dir ccd

    Создаете на сервере поддиректорию ccd, откуда сервер будет читать настройки 

    mkdir /etc/openvpn/ccd

    На каждого клиента заводите отдельный файл с настройками:

    nano /etc/openvpn/ccd/client1

    Прописываем туда статику, учитывая табличку (для совместимости c Windows-клиентами, по факту это обычные подсети /30).

    ifconfig-push 10.100.1.5 10.100.1.6
    Таблица (используйте как последние октеты в IP-адресах)

    [ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
    [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
    [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
    [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
    [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
    [101,102] [105,106] [109,110] [113,114] [117,118]
    [121,122] [125,126] [129,130] [133,134] [137,138]
    [141,142] [145,146] [149,150] [153,154] [157,158]
    [161,162] [165,166] [169,170] [173,174] [177,178]
    [181,182] [185,186] [189,190] [193,194] [197,198]
    [201,202] [205,206] [209,210] [213,214] [217,218]
    [221,222] [225,226] [229,230] [233,234] [237,238]
    [241,242] [245,246] [249,250] [253,254]

    Потребуется также настроить iptables соответствующим образом, например:

    iptables -A FORWARD -i tun0 -s 10.100.1.0/24 -d 10.100.0.0/24 -j ACCEPT

    Все вышеперечисленное указывает как работает общий механизм выделения статических адресов для клиентов в OpenVPN. Соответственно его надо будет адаптировать уже непосредственно под Ваши задачи.

  • Вопрос статики оказался проще в данном случае.

    ifconfig-pool-persist ipp.txt
    # с помощью этого параметра можно раздавать статические IP


    Эти параметры уже запоминают статику для каждого клиента с сертификатом при первом подключении.

    Устраивал даже бойню, запускал сразу 2 подключения с разных компов и оба получали один и тот же IP и попеременно друг друга отключали.

     
  • Добавьте пометку, что в строчке 

    ens3 -j MASQUERADE

    ens3 - это сетевой интерфейс и он может различаться на разных хостингах. Его проверка по  ifconfig

  • А ens3 - это интерфейс внутренний или внешний?

  • Алексей, добрый день! Это внешний интерфейс. Мы поправили статью, чтобы однозначно прояснить этот вопрос.

Войдите в службу, чтобы оставить комментарий.