Home > linux > Установка OpenVPN на Linux (в OpenVZ контейнер)

Установка OpenVPN на Linux (в OpenVZ контейнер)

March 2nd, 2009

Ставим openvpn из yum-а или из RPM http://dag.wieers.com/rpm/packages/openvpn/

yum install openvpn lzo-devel
chkconfig openvpn on

Если ставится версия 2.0 то лучше поставить поверх из исходников последнюю версию (2.1 или старше) и переписать бинарник /usr/local/sbin/openvpn -> /usr/sbin/openvpn

На хост машине для контейнера надо разрешить tun-устройства и модули ната для iptables:

vzctl set 900 --save --devnodes net/tun:rw
vzctl stop 900
vzctl set 900 --save --iptables "ip_conntrack iptable_filter iptable_mangle ipt_state iptable_nat ip_nat_ftp ip_conntrack_ftp"
vzctl start 900

Затем подготавливаем папки конфигов:

cp -R /usr/share/openvpn/easy-rsa/2.0 /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
chmod 777 *
mkdir /etc/openvpn/keys

Для версии 2.2 и старше будет чуть по другому:

cp -R /usr/share/doc/openvpn-2.2.0/easy-rsa /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa/2.0
chmod 777 *
mkdir /etc/openvpn/keys
touch /etc/openvpn/keys/index.txt
echo "01" > /etc/openvpn/keys/serial

в vars-файле в /etc/openvpn/easy-rsa/2.0 заменяем строку:

export KEY_DIR=...

на

export KEY_DIR=/etc/openvpn/keys

Генерируем все сертификаты:

cd /etc/openvpn/easy-rsa
. ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret /etc/openvpn/keys/ta.key
./build-key client1
./build-key client2

В процессе генерации сертификатов можно ничего не вводить. Все оставить по дефолту.
Последняя строчка делается столько раз, сколько надо ключей для клиентов.
Не забыть, что если дата на клиенте меньше чем дата на сервере в момент генерации сертификата – подключение не пройдет.

Включаем роутинг:

echo 1 > /proc/sys/net/ipv4/ip_forward

и правим соотвествующую строчку в sysctl.conf

Конфиг для сервера /etc/openvpn/server.conf:

proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
tls-server
tls-auth /etc/openvpn/keys/ta.key 0
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-to-client
duplicate-cn
keepalive 10 60
ping-timer-rem
comp-lzo
user nobody
group nobody
persist-key
persist-tun
verb 4
mute 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
push "dhcp-option DNS 208.67.222.222"

Ставим, включаем и делаем роутинг в iptables:

yum install iptables
# делаем автостарт файрволу
chkconfig iptables on
# правило для нат-а, VE_IP_ADDRESS заменить на IP, который будет у вас "исходящим" для впн-трафика
iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -o venet0 -j SNAT --to-source VE_IP_ADDRESS
# сохраняем правила
/etc/init.d/iptables save
# еще раз смотрим на сохраненные правила и проверяем
iptables -t nat -L
mkdir /var/log/openvpn
chmod 777 /var/log/openvpn
service openvpn start

Конфиг одного клиента (будет работать для Windows XP, Windows Vista и Windows 7):

dev tun
proto tcp
remote vpn.domain.com
client
resolv-retry infinite
redirect-gateway def1
ca ca.crt
cert client1.crt
key client1.key
tls-client
tls-auth ta.key 1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 4
route-metric 1
route-method exe
route-delay 2

Для Windows Vista, Windows 7 запускать клиента надо с админскими правами через батник:

cd c:\vpn\
"c:\program files\openvpn\bin\openvpn.exe" c:\vpn\client1.ovpn
pause

ЗЫ. На хостовой ноде может быть не загружен модуль ядра tun. Тогда:

modprobe tun
modprobe -l |grep tun

linux , ,

  1. lsd
    November 28th, 2009 at 22:04 | #1

    A za4em vezde delat’ chmod 777 * ?
    dostato4no chmod 750

  2. admin
    November 28th, 2009 at 23:15 | #2

    Да, возможно и 750 хватит. Но в данном случае это без разницы.

  3. December 18th, 2009 at 06:39 | #3

    Da inogda nado podgrzit tun ustroistvo
    echo ‘modprobe tun’ >> /etc/sysconfig/vz-scripts/CTID.mount

  4. гость
    April 4th, 2011 at 15:33 | #4

    автор,спасибо вам за сатью,но извините меня за грубость,без коментриев к командам,ценность ее ровна нулю
    я в линуксе уверенный пользователь,понимаю чтобы что то сделать надо прорыть пол инета,но зачем вы такую дребидень постите?
    iptables -t nat -L — где написано что это проверка правил фаервола,где пример вывода из консоли,чтобы человек который делает все по шагам,сделал все верно,а ваша статья написана в этом духе?

    где написано что за место VE_IP_ADDRESS нудно писать айпи сервера?

  5. admin
    April 4th, 2011 at 20:20 | #5

    @гость
    Спасибо за комментарий. Добавил несколько поясняющих комментариев.

  1. No trackbacks yet.
Доставка из китая .