OpenVPN: Настройка на собственном сервере. Часть 2 — конфигурация сервера.

Ключи сгенерировали. Теперь можно запускать сервер.

Обращаю внимание, что дальше речь пойдет о дефолтной настройке openvpn в режиме роутера. Это тот режим, когда вам нет необходимости интегрировать подключенных клиентов в локальную сеть.

В случае необхоидмости пустить клиентов в локальную сеть вам потребуется режим моста.

Поддробнее про разные режимы работы можно почитать в официальной документации: https://community.openvpn.net/openvpn/wiki/BridgingAndRouting.

Копируем конфиг сервера

$ sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn

Теперь нужно отредактировать этот конфиг поправив следующие параметры

# пути к сертификатам ставим свои  
ca /etc/openvpn/keys/ca.crt  
cert /etc/openvpn/keys/vpn-server.crt  
key /etc/openvpn/keys/vpn-server.key # This file should be kept secret  
dh /etc/openvpn/keys/dh.pem

# заставляем клиент направлять весь трафик через сервер (чтобы избежать всяких утечек днс-запросов)  
push "redirect-gateway def1 bypass-dhcp"

# пропишем собственные dns  
push "dhcp-option DNS 8.8.8.8"  
push "dhcp-option DNS 8.8.4.4"

# защита от флуда  
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

# сразу после запуска у сервера будут отобраны рутовые права (безопасности больше)  
user nobody  
group nobody

Если есть желание - можно поправить порт.

Теперь сервер можно активировать и запустить. Толку от этого пока будет мало. поскольку настройкой брандмауэра мы займемся в следующей части.

$ sudo systemctl -f enable openvpn@server.service  
$ sudo systemctl start openvpn@server.service

Категории: HowTo