networking:openvpn_howto
This is an old revision of the document!
Table of Contents
OpenVPN - tahák
1. Generování klíčů (Linux)
1.1. Příprava
- Zkopírovat nástroje z adresáře
/usr/share/doc/openvpn/examples/easy-rsa/2.0. - Upravit soubor
vars, nastavitKEY_COUNTRY,KEY_PROVINCE,KEY_CITY,KEY_ORGaKEY_EMAIL.
# . ./vars # ./clean-all # ./build-ca
1.2. Klíč serveru
# ./build-key-server server
1.3. Klíče klientů
# ./build-key client1 # ./build-key client2 # ...
Přidání dalších klientů
# cd easy-rsa # . ./vars # ./build-key newclient
1.4. Diffie-Hellman
# ./build-dh
1.5. Umístění souborů
- ca.crt → všem (CA - certifikát)
- ca.key → server (CA - privátní klíč)
- dh{n}.pem → server
- server.crt, server.key → server (certifikát, privátní klíč)
- clientX.crt, clientX.key → klient X (certifikát, privátní klíč)
2. Nastavení serveru (Linux)
port 1194
proto udp
dev tun
ca [inline]
cert [inline]
key [inline]
dh /etc/openvpn/keys/{název-vpn}/dh2048.pem
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
server 10.0.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
3. Nastavení klientů (Windows)
client
dev tun
dev-node tap0 <-- název síťového připojení musí být "tap0"
proto udp
remote {server-hostname} 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca [inline]
cert [inline]
key [inline]
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>"
ns-cert-type server
comp-lzo
verb 3
log "C:\\Program Files\\OpenVPN\\log\\{název-vpn}.log"
networking/openvpn_howto.1425329914.txt.gz · Last modified: (external edit)