Туннель OpenVPN

В ИКС можно создать систему туннелей OpenVPN. Она построена следующим образом: один компьютер выбирается сервером (в рамках ИКС настраивается OpenVPN-сеть), а все остальные — клиентами (в рамках ИКС настраиваются OpenVPN-туннели).

На сервере прописывается адресация пространства внутри OpenVPN-сети (рекомендуется оставить значение по умолчанию) и размещаются SSL-сертификаты, а на клиентах указывается внешний IP-адрес сервера. Также указывается порт обмена данными, что позволяет подключаться к серверу, который находится за межсетевым экраном или NAT, при помощи перенаправления портов.

Чтобы прописать необходимые сертификаты от сервера клиентам, выполните следующие действия:

1. На сервере в меню Сеть > Провайдеры и сети создайте OpenVPN-сеть.

   

2. Настройте подключение OpenVPN.
3. В меню Пользователи и статистика > Пользователи создайте пользователя для подключения к OpenVPN.
4. В меню Сеть > VPN > Пользователи откройте созданному пользователю доступ к OpenVPN.

   

5. В индивидуальном модуле пользователя выгрузите сертификат с расширением *.ovpn.
6. Информацию из скачанного файла (*.ovpn) разбейте на три файла:
   • ca.crt — в данный файл поместите информацию, которая содержится между тегами <ca></ca>;
   • client.crt — информация, которая содержится между тегами <cert></cert>;
   • client.key — информация, которая содержится между тегами <key></key>.
7. Импортируйте корневой сертификат, а затем — клиентский, с указанием ключа на клиентском сервере.

   

8. Добавьте OpenVPN-туннель. В меню Сеть > Провайдеры и сети нажмите кнопку «Добавить» и выберите «Туннели > Туннель OpenVPN».

   

9. На вкладке «Основные настройки» введите название туннеля.
10. Выберите адреса сервера.
11. Укажите значение таймаута опроса сервера.
12. При необходимости измените протокол. По умолчанию установлен протокол UDP.
13. Укажите порт сервера.
14. Установите переключатель:
    • link-MTU (в байтах). Это объем передаваемых данных, при превышении которого информация будет разбиваться на небольшие блоки перед отправкой по сети. По умолчанию установлено значение 1500 байт;
    • tun-MTU (в байтах). Это максимальный объем данных, который может быть передан протоколом за одну итерацию. По умолчанию установлено значение 1500 байт.
15. Если требуется, укажите значение mssfix. Данный параметр нужен для того, чтобы сеансы TCP, работающие через туннель, ограничили размеры отправляемых пакетов таким образом, чтобы после их инкапсуляции OpenVPN размер результирующего пакета UDP, который OpenVPN отправляет своему партнеру, не превышал максимальное количество байт. Имеет смысл использовать при работе OpenVPN по протоколу UDP.

    

16. На вкладке «Шифрование и сертификаты» можно изменить алгоритмы шифрования и хеширования, включить сжатие LZO.
17. Для того чтобы увеличить уровень безопасности, укажите CN сервера.
18. Выберите сертификаты, импортированные в Шаге 7.

    

19. Выберите:
    • Не использовать дополнительную защиту TLS;
    • Использовать TLS Auth — в поле «Ключ TLS Auth» вставьте содержимое файла *.ovpn, которое расположено между тегами <tls-auth></tls-auth>;
    • Использовать TLS Crypt v2 — в поле «Ключ TLS Crypt v2» вставьте содержимое файла*.ovpn, которое расположено между тегами <tls-crypt-v2></tls-crypt-v2>.
      
20. Нажмите «Добавить» — новый туннель появится в списке.