Меню Рубрики

Установка openvpn клиента на opensuse

SDB:OpenVPN Installation and Setup

OpenVPN is a full-featured SSL VPN (Virtual Private Network) software which implements OSI layer 2 or 3 secure network extension using the industry standard SSL/TLS protocol, creating secure point-to-point or site-to-site connections in routed or bridged configurations and remote access facilities.

Contents

Purpose

This HowTo is a walk-through for installing and setting up OpenVPN server and client.

Requirements

TUN/TAP

TUN/TAP must be installed and enabled. To check if the requirement is met, run the following commmnd:

The output looks as follow:

Install OpenVPN

Use openSUSE package manager to install OpenVPN:

Install Easy-RSA

Easy-rsa is a key management package based on openssl.

Use openSUSE package manager to install OpenVPN:

Generate Certificates & Keys

The values for EASYRSA_REQ_COUNTRY, EASYRSA_REQ_PROVINCE, EASYRSA_REQ_CITY, EASYRSA_REQ_ORG, EASYRSA_REQ_EMAIL and EASYRSA_REQ_OU (organizational unit) in the file /etc/easy-rsa/vars may be edited if one so chooses.

The ‘EASYRSA_KEY_SIZE’ parameter in vars can be increased to 4096 for enhanced security. Increasing this value will also increase the key generating process time substantially, but will have no adverse effect on bandwidth speed. The default 2048 will be used in this document.

To edit any file or vars for example, use vi:

Press the letter i to enable edit mode, and when done, press Esc key, then :wq to save and exit vi editor.

Public Key Infrastructure (PKI) Initialization

(This is equivalent to ‘easyrsa init-pki’)

or use the ‘nopass’ option if not wanting to use CA passphrase protection

Press enter to accept the default values, or modify them.

Generate Certificate & Key for Server

Generate Certificates & Keys for 2 Clients

To generate the first client key, run:

To generate the second client key, run:

Generate Diffie Hellman Parameters

The output looks similar to:

Key Files

Each client needs 3 files; ca.crt, clientX.crt, and clientX.key. ca.crt are located in ‘/etc/easy-rsa/pki/’, clientX.crt in’/etc/easy-rsa/pki/issued/’ and clientX.key in ‘/etc/easy-rsa/pki/private/’. Copy these files to client’s computers. FileZilla with sftp is one way to transfer the files.

Alternative ways you could pull these files from the remote server:

Scp (Secure Copy); for example:

Rsync combined with ssh; for example:

Filename Needed By Purpose Secret
ca.crt server + all clients Root CA certificate NO
ca.key key signing machine only Root CA key YES
dh.pem server only Diffie Hellman parameters NO
server.crt server only Server Certificate NO
server.key server only Server Key YES
client1.crt client1 only Client1 Certificate NO
client1.key client1 only Client1 Key YES
client2.crt client2 only Client2 Certificate NO
client2.key client2 only Client2 Key YES

Client Configuration

Create a client.conf file for each client with the following content:

Note that ‘192.168.1.100’ should be the actual IP address of the server running OpenVPN. Also, substitute the appropriate client name for cert, key, and paths. See http://openvpn.net/index.php/open-source/documentation/howto.html#examples for more information on the configuration file.

Server Configuration

Edit the configuration of openvpn:

Save the file and exit vi editor.

Firewall Configuration

Open UDP port 1194 (YaST > Security and Users > Firewall > Allowed Services).

The change should reflect:

Save the file and exit vi editor.

for openSUSE Leap 15 and up
for openSUSE Leap 42.3

Start the openVPN service with tun0 device ifup:

Enable firewall rules to start at boot:

If using OpenVZ, add the following:

If using KVM or other, add the following :

Note that 192.168.1.100 is the IP address of the server and should be changed to reflect the actual value.

Start OpenVPN and Connect

Enable OpenVPN service to start on boot:

To test the connection without first rebooting, run the following:

You should also execute all the previous iptables rules made in previous chapter. You can execute one by one command, or executing ‘/etc/rc.d/boot.local’ (take care of this).

The configuration can also be imported from Network Manager applet.

Hardening OpenVPN Security

External links

This page was last modified on 23 June 2019, at 02:58. This page has been accessed 133,220 times.

© 2001–2020 SUSE LLC, © 2005–2020 openSUSE Contributors & others.

источник

Установка и настройка OpenVPN сервера в OpenSUSE

OpenVPN является полнофункциональным с открытым исходным кодом SSL VPN решением, которое вмещает широкий выбор настроек, включая обычный удаленный доступ, site-to-site VPN, безопасная работа в беспроводных сетях (Wi-Fi), в масштабах всего предприятия решение для удаленного доступа с балансировкой нагрузки, отказоустойчивости и мелко-зернистым контролем доступа. OpenVPN предлагает экономически эффективное решение, которое является легкой альтернативой другим технологиям VPN, доступных на рынке.

Структура OpenVPN легкая с учетом многих сложностей и модели безопасности на основе SSL- промышленный стандарт для безопасной связи через Интернет. OpenVPN реализовывает 2 и 3 уровни Модели OSI с использованием протокола SSL/TLS, поддерживает гибкие методы проверки подлинности клиента на основе сертификатов, смарт-карты и/или двойной аутентификации, позволяет пользователю или группе конкретных пользователей осуществлять политику контроля доступа с помощью правил брандмауэра, которые применяются к виртуальному интерфейсу VPN. OpenVPN — это не веб-прокси приложение и не работает через веб-браузер.

Теперь рассмотрим пример настройки OpenVPN в SUSE Linux и OpenSUSE 11.3

Установка OpenVPN
Перед началом установки необходимо составить соответствующий план установки сервера OpenVPN, который должен включать в себя выбор между режимами — маршрутизатор или мост (в режиме маршрутизатора производится работа с подсетями и следовательно не проходит широковещательный трафик, в то время как в режиме моста адрес клиента в одной подсети и проходит широковещательный трафик), диапазон приватных IP-адресов для частных VPN и т.д.

OpenVPN установлен теперь в директории

Теперь необходимо все скопировать в директорию

Создание мастера Certificate Authority (CA) сертификата и ключа

Необходимо перейти в каталог /etc/openvpn/easy-rsa/2.0/, отредактировать файл vars

и выполнить следующие команды для очистки инициализации, очистки любых существующих данных и создание центра сертификации.

После ответов на вопросы будут созданы сертификаты мастера CA и ключи.

Создание сертификата и ключа для сервера Тут также необходимо будет ответить на ряд вопросов:

Создание сертификата и ключа для клиента

В этом примере будет показана процедура для клиента с именем vpnhost1 также с требованием ответить на ряд вопросов:

Cоздание параметров Diffie Hellman (DH)

Создать Diffie Hellman параметры для сервера OpenVPN:

Теперь можно будет увидеть директорию /etc/openvpn/easy-rsa/2.0/keys/ с файлами ключей, где

ca.crt — корневой сертификат для сервера и всех клиентов
ca.key — Root CA key для ключей подписанных хостов
DH .PEM — DH Paramters для сервера (здесь dh1024.pem)
server.crt и server.key — Сертификат сервера и ключ (имя будет общим названием входа ААТ времени создания сертификатов)
client.crt и client.key — Клиентский сертификат и ключ (имя будет общим названием входа ААТ времени создания сертификатов

Создание конфигурационного файла сервера

Образцы конфигурационных файлов устанавливаются в директории /usr/share/docs/packages/openvpn/sample-config-files/. Необходимо скопировать файл server.conf в директорию /etc/openvpn/.

На данном этапе необходимо внести изменения в конфигурационном файле. Порт, на котором будет слушать запросы, по умолчанию 1194. Если необходимо поменять порт, тогда необходимо изменить параметр

Необходимо сделать выбор между протоколами TCP или UDP. По умолчанию используется протокол UDP. Если есть необходимость его изменить, тогда следует внести изменение в следующий параметр:

Нужно отредактировать строки

в соответствии с Вашими настройками. Согласно примеру в данной статье строки будут иметь вид:

Режим маршрутизатора(Routed) или моста(Bridged)

Если был выбран режим моста, тогда нужно заскомментировать строки выше и вместо них вписать следующие строки:

В обоих случаях, если нужно сменить пул IP-адресов, тогда необходимо выбрать свободный пул в соответствии с сетевой инфраструктурой сети.

Если необходимо добавить маршруты клиентам, тогда необходимо раскомменитировать следующие строки и при необходимости добавить еще маршруты:

Если необходимо сделать удаленное администрирование OpenVPN сервером при помощи telnet клиента или через GUI посредством Webmin, тогда можно добавить следующие строки:

Запуск сервера производится при помощи команды

Настройки клиента будут описываться в последующих статьях.

источник

open-suse.ru

Open-SUSE . RU — Русскоязычное сообщество пользователей дистрибутива openSUSE

Вы здесь

есть настройки в файле .ovpn :

client
proto udp
dev tap0
remote 193.108.120.3 1194
ca ixc.ca.crt
cipher AES-256-CBC
auth-user-pass
и файл сертификат .ca.crt.

Пробовал настроить через NetworkManager. Как положено создал vpn-подключение.
Но через пару секунд после того как ввожу логин и пароль, оно падает

Также пробовал через /usr/sbin/openvpn. тоесть набрал в терминале:

sudo /usr/sbin/openvpn ixc.ovpn
Файл .crt в той же папке.

Ввоже логин и пароль. соединение поднимается:

Sat Jul 14 19:25:12 2012 IMPORTANT: OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jul 14 19:25:12 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Jul 14 19:25:12 2012 NOTE: OpenVPN 2.1 requires ‘—script-security 2’ or higher to call user-defined scripts or executables
Sat Jul 14 19:25:12 2012 LZO compression initialized
Sat Jul 14 19:25:12 2012 UDPv4 link local (bound): [undef]:1194
Sat Jul 14 19:25:12 2012 UDPv4 link remote: 193.108.120.3:1194
Sat Jul 14 19:25:12 2012 WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
Sat Jul 14 19:25:12 2012 [vpn.interexc.com] Peer Connection Initiated with 193.108.120.3:1194
Sat Jul 14 19:25:15 2012 TUN/TAP device tap0 opened
Sat Jul 14 19:25:15 2012 /bin/ip link set dev tap0 up mtu 1500
Sat Jul 14 19:25:15 2012 /bin/ip addr add dev tap0 193.108.120.158/27 broadcast 193.108.120.159
Sat Jul 14 19:25:15 2012 Initialization Sequence Completed

tap0 Link encap:Ethernet HWaddr E2:DD:8A:97:CD:26
inet addr:193.108.120.158 Bcast:193.108.120.159 Mask:255.255.255.224
inet6 addr: fe80::e0dd:8aff:fe97:cd26/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:33 errors:0 dropped:0 overruns:0 frame:0
TX packets:25 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1386 (1.3 Kb) TX bytes:5859 (5.7 Kb)

wlan0 Link encap:Ethernet HWaddr 00:26:82:29:BC:09
inet addr:192.168.1.103 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::226:82ff:fe29:bc09/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:31739 errors:0 dropped:0 overruns:0 frame:0
TX packets:31975 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:26966344 (25.7 Mb) TX bytes:6852461 (6.5 Mb)

Сервер пингуется нормально. но на http://193.108.120.3 не пускает !

О великий разум опенсорса, подскажите кто чем может вота фак c моим openVPN клиентом.

источник

Ubuntu → Настраиваем OpenVPN клиент Linux на примере Ubuntu

Здравствуйте.
Как и обещал, в выкладываю статью по настройке OpenVPN клиента Linux, мы с вами уже настроили OpenVPN сервер, и нам осталось настроить подключение к нему, иначе для чего он нам нужен, если к нему никто не подключается… С данным мануалом настройка будет весьма проста, эта схема была успешно оттестирована в условиях IT компании и работает по сей день.

Теперь нам необходимо создать конфигурационный файл клиента.

Нам остаётся скачать c OpenVPN сервера, где живет наш удостоверяющий центр, 4 файла:

И положить их в директорию /etc/openvpn рядом с файлом client.conf

т.к. это у нас обычный пользователь, то он должен ходить в нашу локальную сеть, а в интрнет через свое подключение, выясним как ходят пакеты для этого выполним трассировку пакета в локальную сеть:

traceroute 172.16.1.20
traceroute to 172.16.1.20 (172.16.1.20), 30 hops max, 60 byte packets
1 172.16.10.1 (172.16.10.1) 4.066 ms 8.001 ms 7.974 ms
2 172.16.1.20 (172.16.1.20) 7.952 ms 7.931 ms 7.910 ms

Видно что пакет ушел на адрес 172.16.10.1 и с интерфеса eth1 в локальную сеть к целевому IP

Выполним трассировку к google.ru, получаем ответ вида:

traceroute google.ru
traceroute to google.ru (173.194.32.159), 30 hops max, 60 byte packets
1 111.111.111.111 (111.111.111.111) 1.360 ms 1.252 ms 1.177 ms
2 46.61.227.225 (46.61.227.225) 1.865 ms 1.271 ms 1.707 ms
3 95.167.90.39 (95.167.90.39) 18.209 ms 95.167.90.37 (95.167.90.37) 18.170 ms 95.167.90.39 (95.167.90.39) 18.496 ms
4 74.125.146.86 (74.125.146.86) 17.827 ms 17.984 ms 17.946 ms
5 216.239.42.97 (216.239.42.97) 17.771 ms 18.058 ms 18.319 ms
6 216.239.42.83 (216.239.42.83) 17.765 ms 216.239.42.49 (216.239.42.49) 19.130 ms 19.004 ms
7 72.14.236.242 (72.14.236.242) 19.287 ms 18.554 ms 18.802 ms
8 173.194.32.159 (173.194.32.159) 18.025 ms 18.269 ms 18.224 ms

Видно что ответ вылетел черз шлюз сети к которой подключен клиент, а не через наш VPN канал

Для обычного пользователя все работает как надо, чтобы проверить под пользователем supersuer нам необходимо положить ключи в директорию openvpn и поменять запись в client.conf указывающих на названия ключа и сертификата

перезапустить OpenVPN клиента и повторить трасисровку пакетов

traceroute 172.16.1.20
traceroute to 172.16.1.20 (172.16.1.20), 30 hops max, 60 byte packets
1 172.16.10.1 (172.16.10.1) 4.066 ms 8.001 ms 7.974 ms
2 172.16.1.20 (172.16.1.20) 7.952 ms 7.931 ms 7.910 ms

В локальную сеть пакеты ходят без изменений, тут ничего не поменялось

traceroute google.ru
traceroute to google.ru (173.194.122.248), 30 hops max, 60 byte packets
1 172.16.10.1 (172.16.10.1) 6.115 ms 11.448 ms 11.500 ms
2 222.222.222.222 (222.222.222.222) 11.614 ms 11.649 ms 11.676 ms
3 10.158.192.1 (10.158.192.1) 11.691 ms 11.705 ms 11.719 ms
4 v811.m9-3.caravan.ru (212.24.42.49) 11.729 ms 11.744 ms 11.751 ms
5 msk-ix-gw1.google.com (195.208.208.232) 11.736 ms 15.341 ms 15.350 ms
6 66.249.94.100 (66.249.94.100) 15.346 ms 5.884 ms 8.451 ms
7 72.14.252.22 (72.14.252.22) 49.777 ms 49.787 ms 49.796 ms
8 173.194.122.248 (173.194.122.248) 49.510 ms 49.620 ms 49.671 m

А тут видно что пакет попал на наш OpenVPN сервер и вылетел во внешний мир через интерфейс eth0
Значит и эта маршрутизация работает правильно

На этом я свой опус пожалуй и закончу, если нашли ошибку пишите в личку, возникли вопросы оставляйте их в комментариях.

источник

OpenSuse 13.2 +OpenVPN

Уважаемые знатоки подскажите пожалуйста: Имеется сервер win 2008, 2012 на котором поднят OpenVPN. Необходимо подключиться к нему с OpеnSuse по RDP через OpenVPN. Собственно вопросы: 1. Как правильно поднять клиент OpenVPN на OpenSuse(что установить и как проверить что всё заработало). На данный момент ситуация следующая — когда выбираю в настройках сети NetworkManager появляется новое подключение. Служба openvpn не стартует. До настоящего времени этим не занимался, поэтому буду благодарен если хотя бы ссылку дадите с подходящим материалом.

DE какая? Или из nmcli настраиваешь?

Мой вопрос будет ещё глупее. Это где проверить?

З.Ы Моё общение с линуксом пока на стадии — мониторинг работы серверов с asplinux, типа проверки места, редактирование конф squid и ipables, топы и т.п

Либо в YaST (Параметры администратора -> Управление программным обеспечением), либо в консоли от суперпользователя:

Спасибо. Вечером проверю, отпишусь.

Появится новы <й,е>маршрут(ы). Например из подсети 172.16.0.0/16. Кастуешь netstat -nr или ip ro до и после подключения и проверяешь.

linux-dh01:/home/user # zypper in openvpn openvpn-auth-pam-plugin NetworkManager-openvpn plasma-nm-openvpn Загрузка данных о репозиториях. Чтение установленных пакетов. ‘NetworkManager-openvpn’ уже установлен. Нет кандидатов на обновление ‘NetworkManager-openvpn-0.9.10.0-2.1.4.x86_64’. Новейшая версия уже установлена. ‘openvpn’ уже установлен. Нет кандидатов на обновление ‘openvpn-2.3.4-2.7.1.x86_64’. Новейшая версия уже установлена. ‘plasma-nm-openvpn’ уже установлен. Нет кандидатов на обновление ‘plasma-nm-openvpn-0.9.3.4-2.1.8.x86_64’. Новейшая версия уже установлена. Разрешение зависимостей пакетов.

Будет установлен следующий 1 НОВЫЙ пакет: openvpn-auth-pam-plugin

1 новый пакет для установки. Полный размер загрузки: 20,7 KiB. Уже кэшировано: 0 B После этой операции будет использовано дополнительно 14,2 KiB. Продолжить? [y/n/? выводит все параметры] (y): y Получение пакет openvpn-auth-pam-plugin-2.3.4-2.7.1.x86_64 (1/1), 20,7 KiB ( 14,2 KiB после распаковки) Получение: openvpn-auth-pam-plugin-2.3.4-2.7.1.x86_64.rpm . [готово] Проверка на конфликты файлов: . [готово] (1/1) Установка: openvpn-auth-pam-plugin-2.3.4-2.7.1 . [готово] linux-dh01:/home/user # mc

# ifconfig enp0s25 Link encap:Ethernet HWaddr 00:1C:C0:08:38:80 inet addr:192.168.1.4 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::21c:c0ff:fe08:3880/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:12199 errors:0 dropped:0 overruns:0 frame:0 TX packets:7959 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:12994748 (12.3 Mb) TX bytes:1088244 (1.0 Mb) Interrupt:20 Memory:70280000-702a0000

lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

При запуске службы writing the configuration failed: Could not disable openvpn@. Failed to get properties: Unit name openvpn@.service is not valid

На форумах вычитал, что служба должна стартовать из init.d но там нету.

источник

Читайте также:  Установка антенны для нескольких телевизоров

Добавить комментарий