OpenVPN настройка Windows — пошаговая инструкция по конфигурации

Интернет уже давно не является полностью свободной и безопасной средой. Обойти блокировки, защитить личные данные пользователя, а также соединить два или более компьютеров в защищенную сеть поможет приложение OpenVPN для Windows.

Подготовка

Для выполнения этого урока вам понадобятся:

  • Sudo доступ к серверу Ubuntu для размещения вашего экземпляра OpenVPN.
  • На сервере должен быть настроен базовый брандмауэр UFW .
  • Отдельный выделенный компьютер, который будет служить вашим ЦС (центром сертификации). Если вы не хотите использовать выделенный компьютер для своего ЦС, вы можете создать ЦС на своем сервере OpenVPN или локальном компьютере. После того, как вы закончите создание CA, рекомендуется переместить каталог CA в безопасное место или автономно.

В этом руководстве предполагается, что центр сертификации находится на отдельном компьютере с Ubuntu Те же шаги (с небольшими изменениями) будут применяться, если вы используете свой сервер в качестве центра сертификации.

Причина, по которой мы используем отдельную машину CA, заключается в том, чтобы предотвратить проникновение злоумышленников на сервер. Если злоумышленнику удастся получить доступ к закрытому ключу ЦС, он сможет использовать его для подписания новых сертификатов, что даст им доступ к серверу VPN.

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

Специальное предложение! Получите CactusVPN за 2.7$ в месяц!

Ищете надёжный VPN-Сервис?

И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.

Сэкономьте 72% сейчас

Установка OpenVPN-клиента в Windows

Переходим на сайт OpenVPN, скачиваем exe-файл для Windows и устанавливаем.

Установка OpenVPN-клиента в Windows

Обязательно установите пакет драйверов для TAP-устройств.

Читайте также:  Linux и Windows: помощь админам и пользователям

После завершения переходим в C:\Program Files\OpenVPN\config где создаем конфигурационный файл со следующим содержимым, заменить на адрес своего сервера.

Установка OpenVPN-клиента в Windows

client remote 443 proto udp dev tun remote-cert-tls server ca cert key tls-auth 1 auth-nocache comp-lzo mssfix 0 persist-key persist-tun verb 3

Как можно увидеть, настройки клиента не слишком отличаются от настроек сервера, просто тут кое-что добавлено:

Установка OpenVPN-клиента в Windows
  • client — указываем что нужно работать в режиме клиента
  • remote — указываем на какой адрес и порт нужно подключаться.
  • remote-cert-tls server — исключение возможности mitm-атак, путем проверки серверных сертификатов.
  • auth-nocache — не кэшировать пароли в памяти.

Также в этот каталог копируем файлы: , , ,

Установка OpenVPN-клиента в Windows

Запускаем OpenVPN, после запуска в трее появится иконка мониторчика с замочком. Кликаем по ней правой клавишей мыши и выбираем «Подключиться».

При активном подключении к VPN серверу иконка станет зеленого цвета, а пользователю будет показано сообщение с назначенным ему локальным ip-адресом.

Установка OpenVPN-клиента в Windows

Назначенный локальный ip-адрес также можно узнать выполнив команду ipconfig в командной строке Windows.

Можно выполнить трассировку маршрута до какого либо узла или домена, чтобы просмотреть откуда выходят пакеты во внешнюю сеть. Для этого выполняют команду tracert после которой указывают либо ip-адрес, либо домен, например

Установка OpenVPN-клиента в Windows

Смотрим на первую строчку и видим что пакет попал во внешнюю сеть с OpenVPN шлюза , после чего пошел дальше до конечного узла. В случае когда VPN отключен, то в первой строке будет либо ваш ip-адрес, либо локальный адрес вашего роутера, из которого пакет попадает в сеть вашего интернет-провайдера, а уже из нее отправляется дальше по назначению.

Фиксированные адреса для клиентов

Если вы проводили настройку по предыдущей статье, то у вас почти все готово. Если нет, то проверьте в файле C:\Program Files\OpenVPN\config\ наличие следующих записей: ifconfig-pool-persist «C:\\Program Files\\OpenVPN\\ccd\\» //Указываем файл с описанием сетей между клиентом и сервером. client-config-dir «C:\\Program Files\\OpenVPN\\ccd» //Указываем каталог с описаниями конфигураций каждого из клиентов. Теперь открываем файл и вносим в него записи вида: Имя сертификата,адрес, например: client_1,10.0.0.4 client_2,10.0.0.8 В openvpn нельзя просто так назначать какие захочешь адреса. В openvpn адреса разбиты на подсети из 4-ох адресов. Поэтому в файл добавляем адреса с номерами кратными 4. Реальный адрес компьютера для доступа при этом будет +2 от внесенного в список. Теперь при подключении клиента с сертификатом client_1 ‘этот компьютер всегда будет получать адрес 10.0.0.6, а компьютер с сертификатом client_2 — адрес Для начала немного сложно, но к этому быстро привыкаешь.

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

Как на Windows 10 включить SMB1 — пошаговая инструкция

Для завершения настройки OpenVPN сервера на Windows остается только правильно задать значения сервера и клиента.

Конфигурация сервера OpenVPN

Содержимое созданного файла

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

В данном файле:

  • Port — назначенный сетевой порт. Лучше всего использовать номер 443 – он поможет без проблем подключаться к общественным сетям, но можно назначить любой из «лишних» портов Виндовс. Чтобы узнать, какие порты в операционной системе заняты, применяют команду netstat–a.
  • dev-node — наименование сетевого интерфейса;
  • server – полное имя подсети.

Поскольку некоторые пути содержат пробелы, они записываются в кавычках.

Важно! Используя иное значение порта, нужно обязательно убедиться, что он открыт в файрволе.

Далее осталось включить созданный сервер. Для этого:

  1. Открывают «Сетевые подключения Windows», раздел управления адаптерами.
  2. Изменяют название «TAP-адаптер» на «VPN Server» или присваивают ему иное имя, которое было вписано в строке dev-node bat-файла.
  3. При помощи горячих клавиш WIN+R активируют утилиту «Выполнить».
  4. В строке поиска появившегося окна пишут и нажимают «ОК».
  5. В открывшемся меню «Службы Windows» переходят в раздел OpenVpnService.
  6. Активируют автозапуск и нажимают «Старт». VPN-сервер начнет работу.

Включение VPN-сервера

Важно! Перед использованием службы необходимо убедиться, что новый сетевой адаптер VPN Server получил IP-адрес Если же айпи выглядит примерно, как …, нужно отключить сервер, закрыть и заново открыть OpenVpnService, а затем снова включить адаптер.

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

Конфигурация клиента OpenVPN

OpenVPN клиент Windows необходимо настроить как на сервере, так и на клиентской машине.

Создание клиентских сертификатов на сервере

Чтобы создать ключи для клиентов, открывают каталог easy-rsa\keys в папке, в которую была установлена утилита, находят в нем и очищают его. После этого открывают окно терминала и последовательно вводят команды:

  1. cd %ProgramFiles%\OpenVPN\easy-rsa – заходят в easy-rsa;
  2. – запускают соответствующий файл;
  3. client1 – генерируют клиентский ключ.

Важно! Для каждой клиентской машины нужно генерировать собственный ключ, иначе система присвоит им одинаковые айпи-адреса, что вызовет конфликт.

Создание клиентских ключей

Все команды подтверждают нажатием клавиши Enter. Исключение – Common Name, туда подставляется значение из файла , но с ним невозможно создать сертификат, поэтому его меняют на название клиентской машины (в примере выше – client1).

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

Завершают процесс двойным нажатием кнопки Y.

Читайте также:  Ввод значений пользователем в Bash с помощью команды read

В конце копируют , , и из папки keys на компьютер или ноутбук.

Дополнительная информация. Протокол OpenVPN может использовать три разных способа аутентификации: при помощи сертификата, общего ключа (динамического или статического), или же используя пару логин/пароль.

Настройка машины клиента

Чтобы настроить VPN на клиенте:

  1. Устанавливают на компьютер программу OpenVPN, подходящую к текущей версии Виндовс, как было описано выше.
  2. Копируют в папку \OpenVPN\config сертификаты с сервера.
  3. Открывают «Блокнот», вписывают в него команды согласно рисунку ниже и сохраняют в папке OpenVPN под именем

Создание

Обратите внимание!  Айпи-адрес в файле принадлежит серверу. Для клиентской машины он будет внешним.

Настройка сервера OpenVPN на компьютерах под управлением Виндовс

Далее запускают утилиту OpenVPN GUI. Когда на панели инструментов появится ее пиктограмма, кликают по ней правой клавишей мыши и в открывшемся меню нажимают на «Подключиться». Об успешном подключении будет говорить смена цвета пиктограммы на зеленый.

Дополнительная информация. Чтобы компьютер клиента не использовал сервер-VPN для выхода в Интернет по умолчанию, нужно активировать значение «Отключить добавление маршрута, основанное на классе» в свойствах данного подключения.

Возможные проблемы

Большая часть проблем решается при помощи логов, которые находятся в папке C:Program FilesOpenVPNlog. Уровень детализации лога контролируется параметром verb в конфигурационном файле сервера или клиента.

Также возможны следующие часто возникающие проблемы:

  1. Проблема: клиент постоянно пытается подключиться к серверу, но соединения не происходит или подключение зависает. Причина: сервер блокирует подключения по настроенному порту VPN (в нашем примере, 443). Решение: на сервере необходимо добавить 443 порт в исключения брандмауэра или отключить последний.
  2. Проблема: при попытке подключиться к серверу выскакивает ошибка «Не удалось подключиться к config». Причина: ошибка в настройках. Решение: перепроверьте каждую строчку файла конфигурации. Проверьте наличие всех файлов, на которые ссылаетесь в настройках.
  3. Проблема: клиенты получают одинаковые IP-адреса. Причина: подключение выполняется под одним и тем же пользователем. Решение: сервер выдает одинаковые адреса одинаковым клиентам. Необходимо настроить авторизацию на сервере и выдать каждому клиенту индивидуальные настройки.
  4. Проблема: соединение происходит, но через несколько минут связь прерывается. Причина: дублирование IP-адресов. Решение: данная проблема описана выше (пункт 3).