Подключаем Epel репозиторий:
И следом активируем перенаправление всего трафка в туннель:
Теперь нам нужно сгенерировать сертификаты для сервера;
Заменяем ключ на безпарольный:
Запускаем OpenVPN:
При настройке клиента стоит учесть, что ему нужно передать каким-либо безопасным способом следующие файлы:
yum install -y epel-releaseУстанавливаем OpenVPN пакет:
yum install -y openvpnКопируем пример конфига OpenVPN в боевой путь:
cp /usr/share/doc/openvpn-2.3.2/sample/sample-config-files/server.conf /etc/openvpn/server.confКорректируем конфиг:
vim /etc/openvpn/server.confДобавляем в самый низ (подключаем DNS серверы Google):
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
И следом активируем перенаправление всего трафка в туннель:
push "redirect-gateway def1 bypass-dhcp"Включаем форвардинг трафика в ядре:
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/forwarding.confАктивируем фаерволл:
sysctl --system
systemctl enable firewalldПрименяем изменения:
systemctl start firewalld
systemctl status firewalld
firewall-cmd --reloadИ разрешаем OpenVPN и ssh трафик:
firewall-cmd --add-service=ssh --permanent
firewall-cmd --add-service=openvpn --permanent
firewall-cmd --add-masquerade --permanent
Теперь нам нужно сгенерировать сертификаты для сервера;
mkdir /root/openvpn_keysСоздаем собственный PKI (не забудьте пароль от CA, иначе в будущем придется создавать его заново):
yum install -y unzip zip
mkdir /root/openvpn_keys
cd /root/openvpn_keys
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
unzip master.zip
cd easy-rsa-master/easyrsa3
mv vars.example varsСоздаем сертификаты для сервера:
./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-dh
./easyrsa gen-req myservernameСнимаем пароль с приватного ключа:
./easyrsa sign-req server myservername
openssl rsa -in /root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/myservername.key -out /root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/mmyservername.key.without_password
Заменяем ключ на безпарольный:
mv /root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/myservername.key.without_password /root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/myservername.keyПереносим сертификаты и ключи в папку OpenVPN:
cp pki/ca.crt /etc/openvpn/ca.crtСоздаем конфиг клиенту (уже с флажком nopass, так как нам тут пароль не нужен):
cp pki/dh.pem /etc/openvpn/dh1024.pem
cp pki/issued/myservername.crt /etc/openvpn/server.crt
cp pki/private/myservername.key /etc/openvpn/server.key
./easyrsa gen-req clientmac nopass
./easyrsa sign-req client clientmac
Запускаем OpenVPN:
systemctl enable openvpn@server
systemctl start openvpn@server
systemctl status -l openvpn@server
При настройке клиента стоит учесть, что ему нужно передать каким-либо безопасным способом следующие файлы:
/root/openvpn_keys/easy-rsa-master/easyrsa3/pki/issued/clientmac.crtПродолжаем настройку - настроим клиента OpenVPN на MacOS.
/root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/clientmac.key
/root/openvpn_keys/easy-rsa-master/easyrsa3/pki/private/ca.crt
https://github.com/viljoviitanen/setup-simple-openvpn
ReplyDeletehttps://github.com/viljoviitanen/setup-simple-pptp-vpn
PPTP встроен практически в любой системе, в отличии от глючного tunnelbrick, хотя и считается более слабым, зато меньше проблем с конфигурацией.
Если всё таки использовать OpenVPN, то уже лучше прописывать в LaunchAgent, в brew уже есть конфиг.