Содержание
netshe_openvpn_client
Универсальное программное обеспечение для сетевых устройств NETSHe.
Руководство пользователя
Настройка OpenVPN-клиента
Станислав Корсаков, ООО «Нетше лаб»
(с) 2009-2020, Ярославль
Настройка OpenVPN-клиента
Общие сведения
NETSHe поддерживает использование OpenVPN как для L3-подключения (туннельный режим), так и для L2-подключения (проброс или объединение Ethernet-сетей).
В обоих случаях авторизация возможна как на основе сертификатов (требуются два сертификата: корневой и клиента и файл один ключа сертификата клиента), так и на основе логина и пароля (требуется один корневой сертификат).
Поддерживаются как TCP-, так и UDP-режимы работы, произвольный порт сервера, доменное имя или адрес сервера.
Для туннельного режима поддерживается двойной стэк (IPv4 + IPv6), назначение сервером маршрутов и серверов имен.
Для L2-режима поддерживается IPv4 режим с назначение адреса интерфейса из пула адресов серверного моста.
Поддерживается как одновременная работа нескольких серверов (на разных портах и (или) разных протоколах), нескольких клиентов, так и сочетаний сервера и клиентов.
Соглашение о названии интерфейсов
Мы настоятельно рекомендуем использовать слова «ovpn» или «openvpn», а также «tun» или «tap» в названии интерфейсов, которые будут использоваться для установления OpenVPN-соединений.
Используйте «tun» для L3- и «tap» для L2-соединений.
Примером правильных названий будет: «ovpn.tun», «ovpn.tap», «openvpn.tun», «openvpn2.tap» и т. д.
Выбор и настройка базового интерфейса
Любой вид OpenVPN-клиента требует для работы правильно сконфигурированного базового интерфейса с назначенным ему IPv4 адресом и доступным через этот интерфейс адресом OpenVPN-сервера.
В качестве базового может быть выбран любой отвечающим этим условиям интерфейс или псевдоинтерфейс «Wan».
В случае выбора псевдоинтерфейса «Wan» базовым интерфейсом будет избираться интерфейс через который в настоящий момент будет проходить маршрут по-умолчанию.
Для корректной работы псевдоинтерфейса «Wan» необходимо минимум один правильно настроенный интерфейс в зоне Wan.
Настройка L2 OpenVPN-клиента
Для настройки подключения войдите в полную версию веб-интерфейса и выполните несколько шагов…
Первым шагом, Вам необходимо выбрать или создать базовый интерфейс.
Это может быть как существующий, так и вновь создаваемый интерфейс, в том числе WiFi и (или) VLAN, сотовый.
Пожалуйста, обратитесь к базовой документации NETSHe, по вопросам создания и настройки сотовых, WiFi и VLAN интерфейсов.
Общие требования к такому интерфейсу:
- Необходимо «разрешить» интерфейс;
- Базовый интерфейс должен быть настроен таким образом (статические адреса, DHCP, маршрутизация, разрешение имен и т. п.), чтобы OpenVPN-сервер был доступен через него;
- Необходимо сохранить сделанные изменения.
Затем перейдите ко второму шагу.
Создание и настройка L2 OpenVPN-интерфейса
На основной станице полного веб-интерфейса введите имя нового интерфейса (Например, ovpn.tap) и нажмите кнопку «Добавить», как показано на рисунке ниже.
Рисунок 1. Добавление интерфейса ovpn.tap
В открывшемся окне настройки интерфейса:
- Разрешите интерфейс;
- Укажите имя интерфейса, выбранного/созданного на первом шаге;
- Выберите сетевой мост, который через новый интерфейс будет подключаться к удаленному (обычно, br0. Может потребоваться создание нового моста и изменение настроек существующих интерфейсов);
- Укажите адрес или имя OpenVPN-сервера;
- Укажите протокол, используемый сервером;
- Укажите порт, используемый сервером;
- Загрузите корневой сертификат;
- Загрузите сертификат и ключ клиента или укажите имя пользователя и пароль. При наличии сертификатов и ключа в виде файла формата pfx | p12, можете загрузить его, использую поле для корневого сертификата;
- Введите иные необходимые данные;
- Сохраните изменения.
Рисунок 2. Настройка параметров соединения
Перезагрузите устройство.
Проверка работы L2 соединения
В случае правильной настройки соединения, Вы получите работающее соединение. Оно будет иметь адрес из пространства удаленного сетевого моста. Адрес удаленного сетевого моста будет отвечать на пинги. Ethernet-кадры будет перемещаться по соединению.
Создание и настройка L3 OpenVPN-интерфейса
На основной станице полного веб-интерфейса введите имя нового интерфейса (Например, ovpn.tun) и нажмите кнопку «Добавить», как показано на рисунке ниже.
Рисунок 3. Добавление интерфейса ovpn.tun
В открывшемся окне настройки интерфейса:
- Разрешите интерфейс;
- Укажите имя интерфейса, выбранного/созданного на первом шаге;
- Укажите зону для созданного интерфейса;
- Укажите адрес или имя OpenVPN-сервера;
- Укажите протокол, используемый сервером;
- Укажите порт, используемый сервером;
- Загрузите корневой сертификат;
- Загрузите сертификат и ключ клиента или укажите имя пользователя и пароль. При наличии сертификатов и ключа в виде файла формата pfx | p12, можете загрузить его, использую поле для корневого сертификата;
- Введите иные необходимые данные;
- Сохраните изменения.
Рисунок 4. Настройка параметров соединения
Перезагрузите устройство.
Проверка работы L3 соединения
В случае правильной настройки соединения, Вы получите работающее соединение. Оно будет иметь адрес из пространства удаленного сервера. Адрес удаленного сервера будет отвечать на пинги.