OpenVPN: Настройка на собственном сервере. Часть 2 — конфигурация сервера.
- OpenVPN: Настройка на собственном сервере. Часть 0 — подготовка системы.
- OpenVPN: Настройка на собственном сервере. Часть 1 — сертификаты.
- OpenVPN: Настройка на собственном сервере. Часть 2 — конфигурация сервера.
- OpenVPN: Настройка на собственном сервере. Часть 3 — iptables
- OpenVPN: Настройка на собственном сервере. Часть 4 — конфигурация клиента.
Ключи сгенерировали. Теперь можно запускать сервер.
Обращаю внимание, что дальше речь пойдет о дефолтной настройке openvpn в режиме роутера. Это тот режим, когда вам нет необходимости интегрировать подключенных клиентов в локальную сеть.
В случае необхоидмости пустить клиентов в локальную сеть вам потребуется режим моста.
Поддробнее про разные режимы работы можно почитать в официальной документации: https://community.openvpn.net/openvpn/wiki/BridgingAndRouting.
Копируем конфиг сервера
$ sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn
Теперь нужно отредактировать этот конфиг поправив следующие параметры
# пути к сертификатам ставим свои
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/vpn-server.crt
key /etc/openvpn/keys/vpn-server.key # This file should be kept secret
dh /etc/openvpn/keys/dh.pem
# заставляем клиент направлять весь трафик через сервер (чтобы избежать всяких утечек днс-запросов)
push "redirect-gateway def1 bypass-dhcp"
# пропишем собственные dns
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# защита от флуда
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret
# сразу после запуска у сервера будут отобраны рутовые права (безопасности больше)
user nobody
group nobody
Если есть желание - можно поправить порт.
Теперь сервер можно активировать и запустить. Толку от этого пока будет мало. поскольку настройкой брандмауэра мы займемся в следующей части.
$ sudo systemctl -f enable openvpn@server.service
$ sudo systemctl start openvpn@server.service
Категории: HowTo