Майк Ламберт (mike_lambert) wrote,
Майк Ламберт
mike_lambert

Наш ответ РосКомЗапрету

Конфиги для поднятия OpenVPN. Актуально для связки CentOS 5 i686 и OpenVPN 2.1


# -------- OpenVPN server config begin ---------
# binding
# порт - произвольный. стандартные - 1194 и 443
# в режиме TCP не пробрасывается IPv6
port 5443
proto tcp-server
dev tap

# crypto
# сертификат УЦ
ca keys/ca.crt

# сертификат ключа сервера. пути указываются относительно конфига
# CN сертификата может никак не коррелировать с NS-именем
cert keys/server.crt

# закрытый ключ сервера
key keys/server.key

# Diffie-Hellman параметры
dh keys/dh1024.pem

#network
# VPN IP-адрес сервера и маска. OpenVPN не умеет больше 65535 хостов на подсеть, максимум маска 255.255.0.0
ifconfig 10.8.0.1 255.255.255.0

# server IP, netmask, client pool start/end
server-bridge 10.8.0.1 255.255.255.0 10.8.0.2 10.8.0.253

# для туннелирования трафика надо отправить клиенту DHCP-опции
push "redirect-gateway def1" # Перенаправлять default gateway
push "route-gateway 10.8.0.1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

# если хотим, чтобы клиенты видели друг друга, как в локалке - раскомментировать
#client-to-client

# пинговать канал каждые 5 секунд, реконнект после 20
keepalive 5 20

# заморозка артефактов
persist-key
persist-tun

# обновлять статус каждые 10 секунд
status gateway.log 10

# использовать TLS
tls-server

# понижать права демона
user nobody
group nobody
verb 3
# --------- OpenVPN Server config end ---------







# --------- OpenVPN client config begin -------------
#general
# это магия. она просто работает.
pull
dev tap
nobind

# адрес сервера VPN
remote {server ip} {service port}

#channel
#TLS over TCPv4
tls-client
proto tcp-client

#PKI
# тот же сертификат УЦ, что на сервере
ca ca.crt

# сертификат ключа клиента. пути относительно конфига
cert {certificate}.crt

# ключ клиента
key {key}.key

# опять магия заморозки
persist-tun
persist-key

# актуально для Windows, под *nix - раскомментировать
#user root
#group root

# согласованные с keepalive сервера параметры реконнекта
ping 5
ping-restart 20
ping-timer-rem

# уровень логгирования
verb 3

# уровень безопасности относительно внешних команд
script-security 2



# --------- OpenVPN client config end -------------





Установка OpenVPN Server на Ubuntu 13.10
Sysctl должен иметь вот такие строчки:
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

И, собственно - скрипт.

sudo su
apt-get -y install openvpn openssl easy-rsa miredo
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables-save > /etc/iptables.up.rules
touch /etc/network/if-up.d/iptables 
chmod u+x /etc/network/if-up.d/iptables
echo "#!/bin/sh" >> /etc/network/if-up.d/iptables
echo "iptables-restore < /etc/iptables.up.rules"  >> /etc/network/if-up.d/iptables
service openvpn restart



При установке на Amazon EC2 подсеть заменить на 172.16.0.0 - 172.31.0.0

Спешл фо damncynic telegamochka eval_apply
Tags: openvpn, vpn
Subscribe

  • Слойки по-геншински

    Преамбула. Как сказал Хеджер: "Майк, у тебя просто встроенный перк сюжетного исследователя", и, видимо, он прав. Этот постик относится к…

  • Немножко новояза

    Селфетка - девушка, которая спамит себяшками в личку

  • Покорми Молоха, жрец

    Первые дни на проекте с нейроночкой. Ощущения странные. Вот есть некий черный ящик, ты его кормишь картинощками с подписями, условно - "смотри,…

promo mike_lambert june 26, 2017 10:09 9
Buy for 50 tokens
Берем Raspberry Pi. У меня была Model B, вы можете взять Model 2 или Model 3. Берем вайфаер TP-LINK WN-725. Берем sd-карточку минимум на 4 гб, прошиваем туда образ. Подключаем кабель к интернету, подаем питание. Всё. Никаких блокировок, и немножко анонимности - у вас теперь есть точка…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments