Содержание

netshe_openvpn_client

Original file

Универсальное программное обеспечение для сетевых устройств NETSHe.

Руководство пользователя

Настройка OpenVPN-клиента

Станислав Корсаков, ООО «Нетше лаб»

(с) 2009-2020, Ярославль

Настройка OpenVPN-клиента

Общие сведения

NETSHe поддерживает использование OpenVPN как для L3-подключения (туннельный режим), так и для L2-подключения (проброс или объединение Ethernet-сетей).

В обоих случаях авторизация возможна как на основе сертификатов (требуются два сертификата: корневой и клиента и файл один ключа сертификата клиента), так и на основе логина и пароля (требуется один корневой сертификат).

Поддерживаются как TCP-, так и UDP-режимы работы, произвольный порт сервера, доменное имя или адрес сервера.

Для туннельного режима поддерживается двойной стэк (IPv4 + IPv6), назначение сервером маршрутов и серверов имен.

Для L2-режима поддерживается IPv4 режим с назначение адреса интерфейса из пула адресов серверного моста.

Поддерживается как одновременная работа нескольких серверов (на разных портах и (или) разных протоколах), нескольких клиентов, так и сочетаний сервера и клиентов.

Соглашение о названии интерфейсов

Мы настоятельно рекомендуем использовать слова «ovpn» или «openvpn», а также «tun» или «tap» в названии интерфейсов, которые будут использоваться для установления OpenVPN-соединений.

Используйте «tun» для L3- и «tap» для L2-соединений.

Примером правильных названий будет: «ovpn.tun», «ovpn.tap», «openvpn.tun», «openvpn2.tap» и т. д.

Выбор и настройка базового интерфейса

Любой вид OpenVPN-клиента требует для работы правильно сконфигурированного базового интерфейса с назначенным ему IPv4 адресом и доступным через этот интерфейс адресом OpenVPN-сервера.

В качестве базового может быть выбран любой отвечающим этим условиям интерфейс или псевдоинтерфейс «Wan».

В случае выбора псевдоинтерфейса «Wan» базовым интерфейсом будет избираться интерфейс через который в настоящий момент будет проходить маршрут по-умолчанию.

Для корректной работы псевдоинтерфейса «Wan» необходимо минимум один правильно настроенный интерфейс в зоне Wan.

Настройка L2 OpenVPN-клиента

Для настройки подключения войдите в полную версию веб-интерфейса и выполните несколько шагов…

Первым шагом, Вам необходимо выбрать или создать базовый интерфейс.

Это может быть как существующий, так и вновь создаваемый интерфейс, в том числе WiFi и (или) VLAN, сотовый.

Пожалуйста, обратитесь к базовой документации NETSHe, по вопросам создания и настройки сотовых, WiFi и VLAN интерфейсов.

Общие требования к такому интерфейсу:

  1. Необходимо «разрешить» интерфейс;
  2. Базовый интерфейс должен быть настроен таким образом (статические адреса, DHCP, маршрутизация, разрешение имен и т. п.), чтобы OpenVPN-сервер был доступен через него;
  3. Необходимо сохранить сделанные изменения.

Затем перейдите ко второму шагу.

Создание и настройка L2 OpenVPN-интерфейса

На основной станице полного веб-интерфейса введите имя нового интерфейса (Например, ovpn.tap) и нажмите кнопку «Добавить», как показано на рисунке ниже.

Рисунок 1. Добавление интерфейса ovpn.tap

В открывшемся окне настройки интерфейса:

  1. Разрешите интерфейс;
  2. Укажите имя интерфейса, выбранного/созданного на первом шаге;
  3. Выберите сетевой мост, который через новый интерфейс будет подключаться к удаленному (обычно, br0. Может потребоваться создание нового моста и изменение настроек существующих интерфейсов);
  4. Укажите адрес или имя OpenVPN-сервера;
  5. Укажите протокол, используемый сервером;
  6. Укажите порт, используемый сервером;
  7. Загрузите корневой сертификат;
  8. Загрузите сертификат и ключ клиента или укажите имя пользователя и пароль. При наличии сертификатов и ключа в виде файла формата pfx | p12, можете загрузить его, использую поле для корневого сертификата;
  9. Введите иные необходимые данные;
  10. Сохраните изменения.

Рисунок 2. Настройка параметров соединения

Перезагрузите устройство.

Проверка работы L2 соединения

В случае правильной настройки соединения, Вы получите работающее соединение. Оно будет иметь адрес из пространства удаленного сетевого моста. Адрес удаленного сетевого моста будет отвечать на пинги. Ethernet-кадры будет перемещаться по соединению.

Создание и настройка L3 OpenVPN-интерфейса

На основной станице полного веб-интерфейса введите имя нового интерфейса (Например, ovpn.tun) и нажмите кнопку «Добавить», как показано на рисунке ниже.

Рисунок 3. Добавление интерфейса ovpn.tun

В открывшемся окне настройки интерфейса:

  1. Разрешите интерфейс;
  2. Укажите имя интерфейса, выбранного/созданного на первом шаге;
  3. Укажите зону для созданного интерфейса;
  4. Укажите адрес или имя OpenVPN-сервера;
  5. Укажите протокол, используемый сервером;
  6. Укажите порт, используемый сервером;
  7. Загрузите корневой сертификат;
  8. Загрузите сертификат и ключ клиента или укажите имя пользователя и пароль. При наличии сертификатов и ключа в виде файла формата pfx | p12, можете загрузить его, использую поле для корневого сертификата;
  9. Введите иные необходимые данные;
  10. Сохраните изменения.

Рисунок 4. Настройка параметров соединения

Перезагрузите устройство.

Проверка работы L3 соединения

В случае правильной настройки соединения, Вы получите работающее соединение. Оно будет иметь адрес из пространства удаленного сервера. Адрес удаленного сервера будет отвечать на пинги.