Browse Month

Июль 2012

Centos 6 Openvpn server технология net-to-net

Centos 6 Openvpn server технология net-to-net.

Решил добавить статейку, пришлось недавно повозиться на эту тему, зато теперь есть сеть центральный офис и два филиала.

И так ставим пакет из репозитария Epel. Установка как обычно yum -y install openvpn. Конфигурация:

1. Центральный офис:

cat /etc/openvpn/server.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/main.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push «route 192.168.1.0 255.255.255.0»
push «route 192.168.3.0 255.255.255.0»
push «route 192.168.2.0 255.255.255.0»
client-config-dir /etc/openvpn/ccd
keepalive 10 60
max-clients 10
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3
tcp-nodelay
tun-mtu 1500
mssfix
client-to-client
route 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0

В каталоге /etc/openvpn/ccd создаются одноименные файлы как и сертификаты клиентов, с тем же именем. К примеру для одного из филиалов:

cat firma

iroute 192.168.2.0 255.255.255.0

2. Конфигурация на стороне клиента:

cat /etc/openvpn/client.conf

client
dev tun
proto udp
remote MyRealServer.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /home/keys/ca.crt
cert /home/keys/firma.crt
key /home/keys/firma.key
ns-cert-type server
verb 3
pull
route 192.168.1.0 255.255.255.0
push «route 192.168.2.0 255.255.255.0»

И все генерируем сертификаты, кладем по путям указанным в конфигурации.

3. Генерация сертификатов на сервере:

Отредактируем /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY=RU
export KEY_PROVINCE=MSK
export KEY_CITY=MOSCOW
export KEY_ORG=»OpenVPN-TEST-INSTALLATION»
export KEY_EMAIL=»admin@example.com»

4. Создаем ключи:

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all
./build-ca
./build-key-server vpnserver
./build-dh

Ну, а дальше осталось только запустить службы service openvpn start на обоих концах.

P.S>: Использую протокол UDP, т.к скорость стабильно 40 Мбит больше никак не получиться выжать единственный минус. А также отключено сжатие и компрессия. Все эти параметры отключены на всех концах туннеля. И не забываем про iptables.