faq:windows:vpn:openvpn
Содержание
OpenVPN
Установка
Установка и настройка сервера и клиентов OpenVPN под Windows.
- Устанавливаем на сервер
- Запускаем командную строку «от имени администратора»
- Переходим в каталог OpenVPN:
cd /d "C:\Program Files\OpenVPN\easy-rsa"
- Удаляем старые настройки (внимание, сертификаты также будут удалены!):
clean-all
- Инициализируем настройки:
init-config
- Выполняем инициализацию переменных (командную строку не закрываем):
vars
Ключи шифрования для сервера
- Генерируем сертификат центра сертификации (указываем
Common name
):build-ca Country Name (2 letter code) [RU]: State or Province Name (full name) [Leningradskaya]: Locality Name (eg, city) [Saint-Petersburg]: Organization Name (eg, company) [IPKASATKIN]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [email@kasatkin.org]:
- Генерируем сертификат и ключ шифрования для сервера. Указываем
server
вCommon name
, на запросыSign
иCommit
отвечаемy
:build-key-server server
Конфигурационные файлы сервера
- Копируем файл с примером конфигурации сервера:
copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\"
- Правим серверный конфигурационный файл:
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\server.crt" key "C:\\Program Files\\OpenVPN\\config\\server.key" dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem" crl-verify "C:\\Program Files\\OpenVPN\\config\\crl.pem"
- Копируем следующие файлы из каталога
C:\Program Files\OpenVPN\easy-rsa\
на сервере в каталогC:\Program Files\OpenVPN\config\
:keys\ca.crt keys\dh1024.pem keys\server.crt keys\server.key server.ovpn
Запуск сервера
- На сервере открываем оснастку управления сервисами, меняем тип запуска на
Auto
у сервиса OpenVPN и запускаем его - Открываем UDP порт 1194 в брандмауэре сервера
Ключи шифрования для клиента
- На сервере запускаем командную строку «от имени администратора»
- Переходим в каталог OpenVPN:
cd /d "C:\Program Files\OpenVPN\easy-rsa"
- Инициализируем переменные:
vars
- Создаём сертификаты и ключи шифрования для нового клиента:
build-key nikbook
- Указываем
nikbook
вCommon name
, на запросыSign
иCommit
отвечаемy
Конфигурационные файлы клиента
- Сначала подготовительные шаги на сервере:
- На сервере запускаем Wordpad «от имени администратора»
- Открываем файл с примером конфигурации клиента «C:\Program Files\OpenVPN\sample-config\client.ovpn»
- Правим конфигурационный файл (
vpn.kasatkin.org
меняем на адрес сервера):- nikbook.ovpn
remote vpn.kasatkin.org 1194 ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\nikbook.crt" key "C:\\Program Files\\OpenVPN\\config\\nikbook.key"
- Сохраняем как новый файл по адресу
C:\Program Files\OpenVPN\easy-rsa
. В качестве имени файла используем имя клиента и расширение ovpn, название файла с расширением вводим в кавычках«nikbook.ovpn»
- Копируем на флешку следующие файлы:
C:\Program Files\OpenVPN\easy-rsa\keys\ca.crt C:\Program Files\OpenVPN\easy-rsa\keys\nikbook.crt C:\Program Files\OpenVPN\easy-rsa\keys\nikbook.key C:\Program Files\OpenVPN\easy-rsa\nikbook.ovpn
- Далее действия на клиенте:
- Скачиваем на компьютер клиента инсталлятор OpenVPN («Windows installer») http://openvpn.net/index.php/open-source/downloads.html
- Устанавливаем на клиенте OpenVPN (все пункты инсталлятора по умолчанию)
- Копируем файлы с флешки в каталог
«C:\Program Files\OpenVPN\config\»
на компьютере клиента
Запуск
- На клиенте запускаем ярлык OpenVPN «от имени администратора»
- Правый клик на появившемся в трее значке, пункт «Connect»
Блокировка клиента
Для блокировки клиента (человек уволился, своровали ноутбук и т.д.) необходимо провести процедуру отзыва сертификата клиента. Для этого:
- Запускаем командную строку «от имени администратора»
- Переходим в каталог OpenVPN:
cd /d "C:\Program Files\OpenVPN\easy-rsa"
- Инициализируем переменные:
vars
- Отзываем сертификат:
revoke-full nikbook
- Копируем список отозванных сертификатов в папку
keys
:copy /y "C:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" "C:\Program Files\OpenVPN\config\"
Запуск 1С через VPN
Перед запуском 1С:
- В конфигурационный файл NetHASP (для 1С обычно находится по адресу «C:\Program Files\1cv82\conf\nethasp.ini») в разделе [NH_TCPIP] добавляем адрес VPN-сервера:
- nethasp.ini
[NH_COMMON] [NH_IPX] [NH_NETBIOS] [NH_TCPIP] NH_SERVER_ADDR = 10.8.0.1
- Подключаем VPN-клиента
- Подключаем сетевой диск (вводим имя и пароль) Y: - адрес \\10.8.0.1\1c
- Диск можно подключить из командной строки (от имени администратора):
net use y: \\10.8.0.1\1c /user:vpn password
- Открываем сетевой диск (должны увидеть базы)
- Запускаем 1С, добавляем базу (она будет лежать на диске Y:\)
На сервере должен стоять HASP License Manager (http://users.v8.1c.ru/getfile.jsp?path=Comm/Platform/Demo_8_1_5/Drivers.rar)
Источники
faq/windows/vpn/openvpn.txt · Последнее изменение: 2022-02-19 18:16 — 127.0.0.1