Меню Рубрики

Установка openvpn access server debian

Installing OpenVPN Access Server on a Linux system

Request More Information

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement

Operating systems supported

The OpenVPN Access Server is distributed via our software repository on a number of popular Linux distributions such as Ubuntu, Debian, CentOS, and Red Hat, and Amazon Linux 2. You can easily deploy Access Server on any x86-64 system that can run those operating systems using our software repository. To install the repository and install Access Server check the software repository download page on our website for instructions.

There are also options for installing Access Server using a prepared image containing the Ubuntu operating system and the OpenVPN Access Server program in it. These are available for Microsoft Hyper-V, VMWare ESXi, Amazon AWS, Microsoft Azure, Google Cloud Platform, and other virtualization solutions. We have a preference to use the latest Ubuntu 64 bits Long Term Support version for our prepared images.

Installation requirements and preparation

You will need to have access to a working supported Linux operating system installation that you have root level access to. It doesn’t matter if this is through the console directly or through an SSH session using for example a tool like PuTTY, and it doesn’t matter if you must log on as an unprivileged user first, and then can ‘sudo up’ to gain root privileges. As long as at the end you have root privileges, then you will be able to proceed.

It is important that the time and date on your server are accurate. This is necessary for both certificate generation and verification as well Google Authenticator multi-factor authentication which is time-based. If you are using a modern operating system like Ubuntu 18 or higher, it will usually already have time synchronization software built in. Usually you only need to worry about setting the timezone. You can use the ‘date’ command to see what the current time and date and timezone are.

The OpenVPN Access Server can function entirely within an environment where no Internet access is possible, but this does make licensing the server much more complicated and will require that you contact our support department. And if the Access Server doesn’t have Internet access it obviously can’t accept connections from clients from the Internet either of course.

It’s best to have the Access Server connected to the Internet, and we recommend doing this behind a firewall system with only ports TCP 443, TCP 943, TCP 945, and UDP 1194 forwarded from the public Internet to the private address of the Access Server behind the firewall. It is also important to check that DNS resolution is working as expected, so that pinging for example www.google.com will result in the server being able to resolve this to an IP address. If DNS resolution doesn’t work right it can slow down the web interface, cause problems with VPN clients that want to redirect their Internet traffic through the VPN server, and prevents successful licensing of the Access Server.

Access Server since version 2.7.5 gets distributed via a software repository now. So if your system is isolated from the Internet, it will be more work to install it without Internet access. We do still offer the option to download software packages separately, but Access Server now comes in 2 packages. The OpenVPN Connect client software bundle, and the OpenVPN Access Server. Both must be installed for Access Server to successfully install. On top of that, various dependencies are required which must be installed separately as well. You can find these instructions also on our software repository page by selecting the manual installation option.

Install repository, then upgrade

The upgrade procedure via repository is fairly simple. You need to first know which operating system you have. If you don’t know what it is, you can use the information below to determine this. Then you install the software repository and install Access Server using the instructions from our software repository page. So in short these are the steps that you need to take:

  • Determine your operating system.
  • Run the instructions for your OS from our website to install the repository.
  • Those instructions will also install the latest version of OpenVPN Access Server.

To determine your operating system:

This should output some useful information. If you encounter some failure with some of these commands, that is not a problem. We provide these 3 commands and at least one of them should succeed and provide the necessary information. Below is an example of output from an older Access Server on Amazon AWS:

Now we know that we’re running Ubuntu 16.04.2 LTS on an x86_64 platform. With the information that we have now, we can determine the operating system name, version number, and whether it’s x86 (32 bits) or x86_64 (64 bits).

Based on those three things, look up the repository installation instructions on our software repository page on our website. Select the operating system that you use, which version of operating system from the choices, and a list of instructions will then be visible.

The instructions give you commands to run on your server’s command line. It will set up the software repository for you, download and install the latest Access Server version, and if there is an existing Access Server installation, it will upgrade it for you automatically while retaining your licensing information and your users and settings.

Читайте также:  Установка проставок для увеличения клиренса авео

After adding the repository, when you run apt update and apt upgrade in the future to update packages on your operating system, it will also update Access Server at the same time.

For the final step, we recommend rebooting your server:

This completes the installation and upgrade process.

NOTE: If your operating system is so old that it isn’t even listed anymore, do not proceed. You may need to consider updating your whole system. For example, we no longer offer downloads for CentOS 5 as it could not handle functions we support today for IPv6. Trying to install the CentOS 7 version on it would not work. Installing OpenVPN Access Server on an older platform than it was designed for will result in failure.

Finishing configuration and using the product

Once the program is installed it will automatically configure itself with default settings unless it detected a previous installation – then it just keeps those settings from the existing installation. If you install fresh, the installation process will tell you where to find the client web service, which is the web based GUI that you can use to log on and connect to the Access Server, and where to find the admin web service, which is where you can log on as an administrative user and manage the configuration, certificate, users, etcetera, in the web based GUI.

Usually the client UI is at the address of your server, for example

The admin UI is usually at the /admin/ address, for example

Please note that the web services by default actually run on port TCP 943, so you can visit them at and as well. The OpenVPN TCP daemon that runs on TCP port 443 redirects incoming browser requests so that it is easier for users to open the web interface – they won’t have to specify that port number.

Initially a single administrative user is added to the system. But it has no password set and therefore cannot be used yet. To use it a password must be set first:

You can now point your web browser at the admin UI web interface. Because the Access Server comes with a self-signed SSL certificate to begin with, you will receive a warning in the browser like “Invalid certificate» or “Cannot verify identity of the server». You will have to confirm that you wish to continue to the web interface (these warnings may be a little scary but can be resolved later by installing a properly signed web SSL certificate in the Access Server). You will then see the login screen and you can then enter the username openvpn and the password you have just set with the “passwd openvpn» command.

Once you are logged in to the Admin UI you can select which authentication system to use. The available choices are LOCAL, PAM, RADIUS, and LDAP. The default is LOCAL which lets you manage the users directly from the web interface.

You can also use another external system like RADIUS or LDAP server, for example to connect to a Windows Server Active Directory using an LDAP or RADIUS connector. If you do connect to Windows AD, we recommend that you use LDAP for best results.

If you are managing only a limited amount of users and don’t want things to be too complicated you can just stay with LOCAL authentication mode. Almost everything can then be configured purely from the Admin UI, although some advanced options are only available in the command line tools. We recommend that if you choose to use PAM that you look at the command line authentication options documentation specifically to learn how to add/remove users and manage passwords.

Further documentation is available to configure specific functions and configuration options for the OpenVPN Access Server.

Limitations of an unlicensed OpenVPN Access Server

When the OpenVPN Access Server is installed without a license key it goes into a sort of demonstration mode. There is no time limit or functionality limit on this mode. The only difference between a licensed Access Server and an unlicensed one is the amount of simultaneous OpenVPN tunnel connections the Access Server allows. An unlicensed server will only ever allow 2 simultaneous connections and that’s it. To unlock more connections you can purchase a license key to unlock more connections. We suggest you read the licensing frequently asked questions page and the pricing overview page to learn more.


Установка OpenVPN-Access Server на Linux

Пакет OpenVPN — Access Server, в отличие от базовой сборки, предоставляет возможность администрирования VPN-сервера через удобный веб-интерфейс. Поддерживается установка как на RPM-based (RedHat, CentOS, Fedora) и DEB-based (Debian, Ubuntu) дистрибутивы, так и OpenSuse, работающие на VPS с ОС Linux.

Важно! Данное руководство подойдет для виртуализации KVM и услуги Cloud VPS. На VPS, работающем на базе программной виртуализации (OpenVZ), к сожалению, OpenVPN настроить не удастся. Это связано с тем, что для организации VPN требуется специальный модуль ядра tun/tap, который вы сможете самостоятельно подгрузить только на KVM либо Cloud VPS. Стоит заметить, если клиент и сервер сконфигурированы, то нет никакой необходимости конфигурировать роутер, так как пакеты будут проходить мимо него транзитом.


Видео-инструкция по установке и настройке

Установка сервера

Установка происходит следующим образом:

1) Подключаемся к серверу по SSH с правами root;

2) В своём браузере переходим на официальный сайт OpenVPN, затем в Community. Во вкладке Downloads выбираем пункт Access Server Downloads;

3) В появившейся странице выбираем раздел Access Server Software Packages;

Читайте также:  Установка кран вышка бур

4) Выбираем операционную систему, которая соответствует установленной на VPS;

5) Из появившегося списка возможных версий и разрядностей выбираем соответствующую установленной на сервере (для 32-разрядных ОС – 32bit, для 64-разрядных – 64bit) и копируем в буфер обмена ссылку на скачивание файла.

Примечание: на изображении представлено контекстное меню браузера Mozilla Firefox.

6) Возвращаемся в SSH консоль и скачиваем по скопированной ссылке необходимый пакет при помощи команды wget. Пример:

7) Устанавливаем скачанный пакет:

где параметр «-i» инициализирует установку пакета, параметры «-v» и «–h» выводят детализированный процесс установки.

8) Изменяем пароль для пользователя openvpn, который является администратором по умолчанию в данном сервисе:

Вводим новый пароль и подтверждаем изменение.

9) После успешного изменения пароля можно подключаться к веб-интерфейсу OpenVPN для изменения настроек согласно своим требованиям. По умолчанию, адрес подключения имеет следующий вид:

10) Автоматические настройки и конфигурационные файлы для клиентского подключения возможно скачать подключившись по клиентской ссылке к OpenVPN, которая имеет следующий вид:

В качестве логин-деталей используйте либо данные администратора openvpn, либо же другого пользователя, который присутствует в системе.

Примечание: Если вы хотите, чтобы администратором по умолчанию был не пользователь с именем “openvpn”, то вы можете воспользоваться утилитой по изменению настроек ovpn-init, которая располагается на сервере в директории /usr/local/openvpn_as/bin/

Для запуска данной утилиты необходимо перейти в данную директорию:

Далее следовать указаниям программы и заполнять поля необходимыми вам данными.

Настройка подключения на Linux

Для подключения к OpenVPN-AS из-под Linux необходимо выполнить следующие шаги:

1. Установить OpenVPN-клиент. Наиболее лёгкий способ установки – из стандартных репозиториев операционной системы. Примеры команд:

Примечание: рекомендуем обратить внимание на версии устанавливаемого клиента, т.к. его версия должна быть не ниже 2.1, иначе подключение к AS будет невозможным. Проверить версию установленного OpenVPN-клиента можно командой:

2. В браузере подключаемся к клиентской веб-форме OpenVPN с данными какого-либо существующего пользователя на сервере. В появившейся форме выбираем возможный файл для скачивания и сохраняем его.

3. Теперь делаем запуск OpenVPN командой:

Настройка подключения на Linux

Описанные в данном разделе шаги нужно выполнять на стороннем устройстве с операционной системой Linux, так как здесь уже идет клиентская часть.

1. Копируем ссылку на клиент OpenVPN из “Yourself (user-locked profile)” и скачиваем файл при помощи команды wget. Примечание: при копировании ссылки на файл client.ovpn обязательно в конце команды wget вставьте —no-check-certificate.

2. После сохранения запускаем OpenVPN-client командой:

Настройка подключения на Windows

1. В браузере подключаемся к клиентской веб-форме OpenVPN, вводим данные какого-либо существующего пользователя на VPS, из выпадающего списка выбираем режим Login и нажимаем GO.

2. В появившейся форме нажимаем либо на кнопку Connect, либо на ссылку OpenVPN Connect for Windows. После нажатия будет предоставлен для скачивания установочный файл с расширением .msi, который включает в себя как клиентскую программу, так и корректный конфигурационный файл.

3. После загрузки .msi файла на компьютер и запускаем его.

4. Установка клиента OpenVPN происходит в автоматическом режиме. После завершения установки на рабочем столе появится ярлык OpenVPN connect, который необходимо запустить.

5. В появившемся окне вводим имя пользователя, существующего на сервере и его пароль, после чего нажимаем на кнопку Connect.

6. Статус соединения можно отслеживать через иконку OpenVPN-клиента в панели задач.


Установка openvpn access server debian

OpenVPN Access Server. Установка и настройка

OpenVPN Access Server – полнофункциональное SSL VPN программное решение, включающее в себя непосредственно OpenVPN сервер, административный веб интерфейс и клиентские программы под различные платформы (Windows, Mac, Linux) для соединения с сервером. Базовая (бесплатная) лицензия рассчитана на двух клиентов, и этого вполне достаточно, если использовать OpenVPN AS в личных целях.

Установка и настройка OpenVPN AS гораздо проще стандартной установки OpenVPN, без каких-либо пользовательских интерфейсов (UI). Ещё одно преимущество OpenVPN AS в том, что пакет содержит в себе клиентские программы под Android и IOS. Таким образом вы без проблем сможете подключаться к серверу с планшетов и смартфонов.

И так, установка и базовая настройка.

Имеется VPS с 64-х битной Debian 7 и двумя сетевыми интерфейсами (локальный и смотрящий в Интернет). На стороне сервера должны быть включены NAT и TUN/TAP. О выборе хостинга для этих целей я уже писала в статье о настройках VPN на базе PPTP. Предлагаемый в ней провайдер предоставляет услуги по аренде VPS, где всё это включается в один клик самим клиентом, без необходимости ведения нудной переписки со службой поддержки.

Начнём. Предполагается, что всё необходимое у нас имеется и функционирует. Переходим на сайт OpenVPN и выбираем свою ОС. Как я уже сказала, у меня Debian 7, поэтому скачиваем на сервер пакет под эту ОС.

Всё. OpenVPN AS теперь установлен и работает. Все сопутствующие настройки и правила iptables пропишутся автоматически. Изменения в iptables так же будут вноситься по мере настройки сервера через UI. Соответственно, если вы используете какую-то программу для управления фаерволом, то убедитесь в том, что она видит эти изменения и не перезапишет их при последующем обращении к ней.

Задаём пароль пользователя openvpn для доступа к нему.

Для доступа к панели управления используем следующую ссылку: https://YourIpAddress:943/admin
Где «YourIpAddress» — внешний IP сервера. Используем в качестве логина openvpn и в качестве пароля то, что задали выше.

По умолчанию тут в общем всё уже работает. Можно внести некоторые изменения. Пример:

Вкладка Server Network Settings.

Тут можно указать тип соединения (TCP/UDP), если есть необходимость. По умолчанию включены оба. Можно выбрать какие интерфейсы будут слушаться. Для соединения, конечно же, необходим внешней. Но если вы подключены к сети, то доступа к консоли сервера, или другим ресурсам VPS у вас не будет. Дело в правилах iptables и при том, что внешне вроде как бы всё разрешено, фаервол не пропускает соединения с внешнего IP адреса сервера. Другими словами, если на этом сервере у вас что-то ещё, кроме OpenVPN, то пока вы подключены к OpenVPN, доступа к этим ресурсам у вас не будет. Если VPN сервер будет слушать все сетевые интерфейсы (включая eth1 – интерфейс локальной сети), то через консоль по ssh, или через файловый менеджер по sftp вы сможете соединиться с сервером через локальный адрес. То есть не ssh root@внешний_ip, а ssh root@локальный_ip. Если Admin UI так же будет доступен через локальный интерфейс, то доступ к нему так же будет возможен по локальному адресу, если у вас поднято VPN соединение. В общем, мне было лень искать причину, и я просто использую локальный IP для доступа к Admin UI, когда мне это нужно.

Читайте также:  Установка датчиков на производство

Сетевой адрес – маска виртуальной подсети. Адреса из этого диапазона будут раздаваться клиентам. Можно указать статичный адрес. Это по умолчанию отключит возможность множественных подключений. Так же в этой вкладке настраивается NAT и условия соединения: Должен ли клиент выходить в Интернет через шлюз VPN? Должен ли весь трафик клиента идти через VPN? В самом низу можно указать DNS серверы: Будут ли использоваться DNS клиента? Будут ли использоваться DNS основного сервера клиентом? Так же можно назначить свои DNS.

Вкладка Advanced VPN Settings.

Могут ли клиенты VPN иметь доступ друг к другу? Если «да», то клиенты сети будут видеть друг друга. Например, в Windows во вкладке «Сеть» будут отображаться компьютеры других пользователей.

Множественные сессии. Если стоит галка, то под одним и тем же аккаунтом к сети могут присоединиться несколько устройств. Не будет работать, если клиенту назначен статичный IP. Ниже можно указать локальные подсети, доступные из VPN. Если не указывать ничего, то клиенты VPN не будут видеть друг друга не смотря на настройки выше.

VPN Mode Settings – настройки виртуальных сетевых интересов или моста для использования физического интерфейса. В моём случае NAT. По умолчанию оно же.

Во вкладке User Permission можно назначать права администратора и закрывать доступ к сети для определённых клиентов. А так же разрешить доступ без пароля. Имеется ввиду, что при соединении с VPN пароль не запрашивается. Это удобно для использования в роутерах и для настроек автоматического соединения, так как без сертификата сервер всё равно никого не пустит.

Не забываем нажимать кнопку «применить изменения» каждый раз после сохранения изменений в админ-панели.

Собственно, базовые настройки закончены.

Далее в браузере открываем https://YourIpAddress:943, вводим свои данные и ниже выбираем «Login». Тут мы видим ссылки на различные клиенты. В случае с Windows, скачиваем соответствующий клиент и устанавливаем его. Для других платформ предоставлены ссылки, либо инструкции. Клиент для Windows загружается непосредственно из этого окна. Далее запускам клиент и выбираем адрес нашего сервера в его вкладке. Он там один. Соглашаемся, что доверяем самоподписанному сертификату и вводим пароль, если не включили ранее для себя доступ без пароля.

На этом всё. Все сертификаты на стороне сервера были созданы автоматически при установке OpenVPN AS, все клиентские сертификаты подгрузятся при соединении через клиент для Windows. Возможно потребуется перезагрузка Windows для принятия новых правил маршрутизации, по которым весь трафик должен идти через VPN.

Для Linux скачиваем файл по ссылке «Yourself (autologin profile)» (если пароль не требуется) и помещаем его в любую удобную директорию. Предположим, что файл скачался в /home/user/Downloads. Устанавливаем на ПК OpenVPN.

Для .rpm дистрибутивов (RedHat/Fedora/CentOS/OpenSUSE и т.д.)

Сервер не работает с OpenVPN ниже версии 2.1. Проверяем версию.

Если всё хорошо, то настраиваем соединение.

Где «client.ovpn» — скаченный файл настроек.

По тому же принципу настраивается соединение на роутере. Но только на альтернативных прошивках. Показываю на примере прошивки Gargoyle.

К сожалению, на моём допотопном роутере не всё так гладко. С настойками по умолчанию Gargoyle не работает с tun серверами. Для этого скаченный файл помещаем в любую удобную директорию. Имеется ввиду, что раз вы используете альтернативную прошивку, то знаете, как попасть в сам роутер и уж тем более знаете, что там кастрированный Linux. Из-под Windows можно использовать программу WinSCP для того, чтоб положить файл в файловою систему роутера.

Предположим файл у нас в директории /etc/openvpn. Тогда:

Дожидаемся окончания. В моём случае (видимо из-за древнего роутера) окончания можно ждать до морковкиной загниви. Главное, что все основные процессы прошли без ошибок. Такие как настройка маршрутизации и непосредственно работа с tun. Далее переходим в настройки самого роутера и во вкладке OpenVPN выбираем ручную настройку. Если настройки и сертификаты не прописались сами при выполнении предыдущих команд. Все эти настройки и сами сертификаты есть в скаченном файле. Открываем его в текстовом редакторе и последовательно копируем информацию в соответствующие разделы.

В первом окне у нас настройки соединения. Они вписываются автоматически, исходя из настроек перед ним. Такие как IP, тип соединения и прочее. Для верности можно привести их к такому виду:

Где SERVER_IP – IP нашего сервера. То есть к тому, что там уже есть, я скопировала все не закомментированные настройки из скаченного файла.

Далее по порядку копируем данные сертификатов из файла в последующие окна. Названия секций на скриншоте.

Сохраняем, применяем, перезагружаем. Всё работает.

Теоретически, все эти пляски с бубном вокруг роутера не обязательны. Всё это должно было подгрузиться при выполнении команды openvpn —config client.ovpn на стороне роутера. Но не у всех оно срабатывает как надо.

На этом всё. Наш VPN сервер работает, а «чёрные списки» «неправильных» сайтов стран, загнанных их правительствами в «третий мир», хороши для украшения кабинетов чиновников этих самых стран. Пока в этих странах доступен Интернет как таковой. Северной Корее не повезло. Ну и вообще, в целом, хорошо иметь под рукой шифрованный канал, полностью тебе подконтрольный.


Добавить комментарий