Настройка OpenVPN на унифицированных маршрутизаторах серии DSR.

функционал OpenVPN отсутствует в прошивках _RU

1. Установка дистрибутива OpenVPN и создание сетевого моста
Загрузите OpenVPN модуль http://openvpn.net/index.php/open-source/downloads.html

Установите приложение. Все опции установки оставьте по умолчанию. На этапе установки появится запрос установки TAP адаптера. Соглашайтесь.

2. Создание SSL сертификатов CA, сервера и клиента
Поскольку OpenVPN использует SSL сертификаты для взаимной аутентификации узлов, следует создать ряд сертификатов

  • Сертификат Certificate Authority, т.е. корневой сертификат
  • Сертификат Server, т.е. сертификат сервера
  • Сертификат Client, т.е. сертификат клиента

Внимание! Сертификаты создаются из командной строки Windows.

Создадим корневой сертификат Certificate Authority (CA). Перейдите в папку C:\program files\OpenVPN\easy-rsa\ и в командной строке введите init-config.

Отредактируйте переменные в файле vars.bat, который тоже находится в папке C:\program files\OpenVPN\easy-rsa\. Например:

В командной строке последовательно запустите vars.bat и clean-all.bat (См. процедуру создания сертификатов в файле Readme.txt в папке C:\program files\OpenVPN\easy-rsa\.)

Запустите build-ca. Эта команда создаст корневой сертификат CA в папке c:\Program Files\OpenVPN\easy-rsa\keys\, используя значения из файла vars.bat. На все вопросы отвечайте нажатием клавиши Enter.

Создайте параметры Diffie-Hellman командой build-dh

Создав сертификат CA, можно создать сертификат сервера. Этот сертификат будет подписан корневым сертификатом CA. Введите build-key-server server. На вопросы о подписании сертификата и на загрузке его в базу сертификатов ответьте “Y”.

Теперь сгенерируйте сертификат клиента. Введите build-key client.Теперь сгенерируйте сертификат клиента. Введите build-key client.

Создайте TLS Authentication Key командой openvpn --genkey --secret ta.key

После этого в папке keys должны присутствовать все необходимые сертификаты.

3. Настройка маршрутизатора DSR
Запустите Internet Explorer, в строке адреса напишите https://192.168.10.1
Имя пользователя и пароль admin/admin

Перейдите в раздел Setup / VPN Settings / OpenVPN / OpenVPN Authentication

В каждом разделе выберите соответствующий сертификат и нажмите Upload

Trusted Certificate (CA Certificate)                    ca.crt
Server / Client Certificate                                     server.crt
Server / Client Key                                                 server.key
DH Key                                                                    dh1024.pem
Tls Authentication Key                                          ta.key
Примеры сертификатов можно взять на ftp://dp.dlink.ua/openvpn/

Перейдите в раздел Setup / VPN Settings / OpenVPN / OpenVPN Configuration

Поставьте галочку Enable Openvpn. Выбрите режим Server. Vpn Network / Vpn Netmask – сеть, используемая для VPN, рекомендуется оставить значения по умолчанию. Port так же рекомендуется изменять только при необходимости.

Encryption Algorithm, в данном примере, выбран AES-128, Hash Algorithm – SHA-1

Tunnel Type рекомендуется поставить Split Tunnel. В режиме Full Tunnel в VPN будет маршрутизироваться только сеть 0.0.0.0/1 и Vpn_Network/Vpn_Netmask

Enable Client to Client Communication включаете только в том случае, если предполагается обмен данными между «клиентами».

Отмечаете галочкой используемые сертификаты.

Enable TLS Authentication Key включаете, если предполагается шифрование сертификатов, в противном случае сертификаты будут передаваться в открытом виде.

Перейдите в раздел Setup / VPN Settings / OpenVPN / OpenVPN Local Networks (Split Tunneling) и нажмите кнопку Add

Добавьте сети, находящиеся на LAN. Эти сети будут автоматически добавляться клиенту в таблицу маршрутизации с направлением в туннель.

4. Настройка «клиента»

В каталоге C:\Program Files\OpenVPN\config создайте файл client.ovpn

Пример client.ovpn имеется в каталоге C:\Program Files\OpenVPN\sample-config

Скопируйте в каталог C:\Program Files\OpenVPN\config файлы ca.crt, client1.crt, client1.key, dh1024.pem, ta.key (если требуется TLS)

В данном примере используется следующая конфигурация

Укажите внешний IP-адрес или доменное имя маршрутизатора DSR, а так же порт, если используется не стандартный 1194

Настройка закончена, можно «поднимать» туннель

На значке OpenVPN нажимаете правой кнопкой мыши и выбираете Connect. Откроется отладочное окно поднятия туннеля

После установки связи окно автоматически закроется, значок OpenVPN «позеленеет»