Como para configurar OpenVPN com FreeBSD + PF e Windows?

Eu preciso configurar um servidor OpenVPN para fornecer acesso ao meu cluster de Hospedagem de vps linux, dando o acesso de clientes do windows para a rede interna. Alguém sabe como fazer isso?

Resposta

OpenVPN com FreeBSD, Windows e PF

Este howto é um rápido guia sujo edifício OpenVPN em uma caixa de FreeBSD (execução pf como o firewall) e então conectar um cliente do Windows XP para ele. Instalação de um servidor

[editar] Instalar o port

CD /usr/ports/security/openvpn

make install

[editar] Iniciar a criação de coisas

Primeiro edite seu /etc/rc.conf e adicione a seguinte linha:-

openvpn_enable = "Sim"

Agora crie os arquivos de configuração, que colocaremos em /usr/local/etc/openvpn:-

CD/usr/local/etc /

mkdir openvpn

CD openvpn

vim OpenVPN. conf

Coloque isso no seu config file:-

# Especifique o dispositivo

dev tun

# Servidor e IP do cliente e piscina

Server 10.8.0.0 255.255.255.0

ifconfig-piscina-persistir ipp.txt

# Certificados para autenticação de VPN

CA /usr/local/etc/openvpn/keys/ca.crt

CERT /usr/local/etc/openvpn/keys/server.crt

/usr/local/etc/openvpn/keys/server.key chave

DH /usr/local/etc/openvpn/keys/dh1024.pem

# Rotas para empurrar para o cliente

Push "route 192.168.0.0 255.255.255.0"

# Usar compressão no link VPN

comp-lzo

# Fazer a ligação mais resistente a falhas de conexão

KeepAlive 10 60

ping-temporizador-rem

persistir-tun

persistir-chave

# Executar OpenVPN como um daemon e soltar os privilégios de usuário/grupo ninguém usuário ninguém

ninguém do grupo

daemon

[editar] Criação de certificados

cp - r /usr/local/share/doc/openvpn/easy-rsa/home/myuser/cd /home/myuser/easy-rsa

Agora edite o arquivo de "vars" para definir seus detalhes específicos e definir as variáveis de ambiente, você acabou de criar e construir os certificados de autoridade de certificação:-

Nota: Muito importante passo para usuários de FreeBSD/TCSH

FreeBSD acompanha o tcsh como shell nativo, no momento de escrever os scripts a seguir não funcionam. Para contornar isso você deve cair para um shell bourne. Para fazer isso basta digitar o seguinte em um prompt:-

Soares

Agora você pode continuar com construção dos certificados, uma vez que você construiu-los que você pode sair volta para tcsh.

. VARs

. / limpa-tudo

. / construção-ca

Você terá que responder a algumas perguntas sobre a última etapa, uma vez que isto foi feito seu CERT CA serão criadas no subdiretório de chaves.

Gerar certificado & chave para servidor:-

. / construção-chave-servidor servidor

Novamente, responda as perguntas e os certificados serão colocados no subdiretório de chaves.

Gerar certificados & chaves para 3 clientes (cada cliente exigirá seus próprios certificados, se vários clientes fazer login com as CERT mesmas, então eles serão atribuídos os mesmos ips e vão chutar os outros fora da rede):-

A geração de certificados de cliente é muito semelhante à etapa anterior. Você precisará garantir que todos os seus detalhes são as mesmas para o CA, além do nome comum, que deve ser diferente para cada cliente. Por razões de clareza isto deve aplicar-se a pessoa que recebe este certificado de vpn. Todos estes detalhes podem ser encontrados em keys/server.crt para o servidor e chaves/client.crt para os detalhes do cliente.

. / construção-chave client1

. / construção-chave Cliente_2

. / construção-chave client3

Gerar parâmetros Diffie Hellman

Parâmetros Diffie Hellman devem ser gerados para o servidor OpenVPN:-

. / construção-dh

Agora copiar todo o diretório de chaves para /usr/local/etc/openvpn:-

cp - r chaves/usr/local/etc/openvpn /

[editar] Log

Antes de iniciar o OpenVPN, mudei também o log (cujo padrão é /var/log/messages). Editar syslog. conf:-

Vim /etc/syslog.conf.

Adicione a seguinte entrada:-

! openvpn

. /var/log/openvpn.log

Criar log file:-

toque /var/log/openvpn.log

Reinicie o syslogd:-

killall - HUP syslogd

Agora inicie o OpenVPN:-

/usr/local/etc/rc.d/OpenVPN.sh-início

Verifique /var/log/openvpn.log para erros e, em seguida, verifique se o dispositivo foi criado. Meu se parece com isso:-

[Aquiles] # ifconfig tun0

tun0: sinalizadores = 8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500

inet6 fe80::2d0:b7ff:fe49:b2bb % tun0 prefixlen 64 scopeid 0x5

inet 10.8.0.1> 10.8.0.2 netmask 0xffffffff

Aberta pelo PID 43878

[editar] Configuração do firewall

Agora precisamos alterar PF para lidar com a VPN, abaixo estão as seções relevantes do meu file:-/etc/pf.conf

# VPN Interface

vpn_if = "tun0"

# Rede VPN

vpn_network="10.8.0.0/24"

# NAT as conexões de VPN (para acesso às redes remotos seguros)

NAT em $ext_if de $vpn_network para qualquer-> ($ext_if)

# Conexões VPN de entrada

passe em $ext_if proto udp de qualquer estado de manter de porta 1194

passar rapidamente em $vpn_if

Agora reinicie o PF e seu servidor estará pronto para conexões

[editar] Configuração do cliente

Primeiro baixe e instale a versão GUI do cliente, que pode ser encontrado aqui:-

Uma vez que este é instalado você precisará copiar os seguintes arquivos do diretório /usr/local/etc/openvpn/keys do servidor para o diretório Windows PC C:\Program Files\Openvpn\config (isso deve ser feito em como garantir uma maneira possível, ou seja, pendrive ou disquete em vez de e-mail!!!):-

CRT

CLIENT1.CRT

CLIENT1.Key

Nota: Para o próximo cliente você precisará copiar os arquivos client2.crt e client2.key para evitar problemas mais tarde.</UP,POINTOPOINT,RUNNING,MULTICAST>