Налаштування OpenVPN на уніфікованих маршрутизаторах серії DSR

функціонал OpenVPN відсутній у прошивках _RU

1. Встановлення дистрибутиву OpenVPN і створення мережевого моста
Завантажте OpenVPN модуль  http://openvpn.net/index.php/open-source/downloads.html

Встановіть додаток. Усі опції встановлення залиште за умовчанням. На етапі встановлення з’явиться запит встановлення TAP адаптера. Погоджуйтесь.

2. Створення SSL сертифікатів CA, сервера і клієнта
Оскільки OpenVPN використовує SSL сертифікати для взаємної аутентифікації вузлів, слід створити певні сертифікати

  • Сертифікат Certificate Authority, тобто, кореневий сертифікат
  • Сертифікат Server, тобто, сертифікат сервера
  • Сертифікат Client, тобто, сертифікат клієнта

Увага! Сертифікати створюються з командної стрічки Windows.

Створимо кореневий сертифікат Certificate Authority (CA). Перейдіть до папки C:\program files\OpenVPN\easy-rsa\ і в командній стрічці введіть init-config.

Відредагуйте змінні у файлі vars.bat, який теж знаходиться в папці C:\program files\OpenVPN\easy-rsa\. Наприклад:

У командній стрічці послідовно запустіть vars.bat і clean-all.bat (Див. процедуру створення сертифікатів у файлі Readme.txt у папці C:\program files\OpenVPN\easy-rsa\).

Запустіть build-ca. Ця команда створить кореневий сертифікат CA в папці c:\Program Files\OpenVPN\easy-rsa\keys\, використовуючи значення з файлу vars.bat. На всі питання відповідайте натискання клавіші Enter.

Створіть параметри Diffie-Hellman командою build-dh.

Створивши сертифікат CA, можна створити сертифікат сервера. Цей сертифікат буде підписано кореневим сертифікатом CA. Уведіть build-key-server server. На питання про підписання сертифіката і на завантаження його до бази сертифікатів відповідайте “Y”.

Тепер згенеруйте сертифікат клієнта. Уведіть build-key client. Тепер згенеруйте сертифікат клієнта. Уведіть build-key client.

Створіть TLS Authentication Key командою openvpn --genkey --secret ta.key

Після цього в папці keys повинні бути присутні всі необхідні сертифікати.

3. Налаштування маршрутизатора DSR
Запустіть Internet Explorer, у стрічці адреси напишіть https://192.168.10.1
Ім’я користувача і пароль admin/admin

Перейдіть до розділу Setup / VPN Settings / OpenVPN / OpenVPN Authentication

У кожному розділі виберіть відповідний сертифікат і натисніть Upload

Trusted Certificate (CA Certificate)                    ca.crt
Server / Client Certificate                                     server.crt
Server / Client Key                                                 server.key
DH Key                                                                    dh1024.pem
Tls Authentication Key                                          ta.key
Приклади сертифікатів можна взяти на ftp://dp.dlink.ua/openvpn/

Перейдіть до розділу Setup / VPN Settings / OpenVPN / OpenVPN Configuration

Поставте «пташку» Enable Openvpn. Виберіть режим Server. Vpn Network / Vpn Netmask – мережа, що використовується для VPN, рекомендуємо залишити значення за умовчанням. Port також рекомендуємо змінювати тільки за необхідності.

Encryption Algorithm, , у цьому прикладі, вибраний AES-128, Hash Algorithm – SHA-1

Tunnel Type рекомендуємо поставити Split Tunnel. У режимі Full Tunnel у VPN буде маршрутизуватися тільки мережа 0.0.0.0/1 і Vpn_Network/Vpn_Netmask

Enable Client to Client Communication вмикайте тільки у випадку, якщо передбачається обмін даними між «клієнтами».

Відмітьте «пташкою» використовувані сертифікати.

Enable TLS Authentication Key вмикайте, якщо передбачається шифрування сертифікатів, в іншому випадку сертифікати будуть передаватись у відкритому вигляді.

Перейдіть до розділу Setup / VPN Settings / OpenVPN / OpenVPN Local Networks (Split Tunneling) і натисніть кнопку Add

Додайте мережі, що знаходяться на LAN. Ці мережі будуть автоматично додаватись клієнту до таблиці маршрутизації зі скеруванням в тунель.

4. Налаштування «клієнта»

У папці C:\Program Files\OpenVPN\config створіть файл client.ovpn

Приклад client.ovpn є у папці C:\Program Files\OpenVPN\sample-config

Скопіюйте до папки C:\Program Files\OpenVPN\config файли ca.crt, client1.crt, client1.key, dh1024.pem, ta.key (якщо потрібен TLS)

У цьому прикладі використовується така конфігурація:

Вкажіть зовнішню IP-адресу чи доменне ім’я маршрутизатора DSR, а також порт, якщо використовується не стандартний 1194

Налаштування завершено, можна «піднімати» тунель.

На значку OpenVPN натисніть правою кнопкою миші і виберіть Connect. Відкриється відлагоджувальне вікно підняття тунелю

Після встановлення зв’язку вікно автоматично закриється, значок OpenVPN «позеленіє».