Pull to refresh

Настройка OpenVPN шлюза в интернет на Debian, который на OpenVZ

Information Security
Tutorial
Итак господа, приближается первое августа, поэтому задумался я над тем чтобы заиметь себе ip страны, в которой попроще с законодательством в сфере p2p, а именно Нидерландов. После достаточно долгих поисков нашел провайдера, который обещал два ядра от E3-1230, пару гигов памяти, 460 гигов винта и прекрасный нелимитированный(специально связывался с саппортом по этому вопросу — уверяют что канал не режут и после сотни терабайт) гигабитный канал за какихто 40 с копейками баксов. Единственное но — виртуализация OpenVZ — обычно я настраивал OpenVPN на XEN или KVM, поэтому все прошло не так гладко как обычно и поэтому я решил поделиться полученными знаниями.

Дистрибутив ОС — Debian 6
Итак начнем:

Устанавливаем OpenVPN и dnsmasq

aptitude install openvpn udev dnsmasq


Далее копируем скрипты генерации ключей
cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

Потом нам обычно предлагают поправить файл /etc/openvpn/easy-rsa/2.0/vars, но если шлюз делается «для себя», то этот пункт совершенно необязателен. Если же хочется красоты то в конце вышеуказанного файла правим следующее:
export KEY_COUNTRY="XX"
export KEY_PROVINCE="XX"
export KEY_CITY="City"
export KEY_ORG="MyCompany"
export KEY_EMAIL="habr@habr.ru"


После правки vars генерируем корневой сертификат

cd /etc/openvpn/easy-rsa/2.0/
. /etc/openvpn/easy-rsa/2.0/vars
. /etc/openvpn/easy-rsa/2.0/clean-all
. /etc/openvpn/easy-rsa/2.0/build-ca


Далее генерируем сертификаты сервера и клиента\клиентов(вместо cli1,cli2 можно придумывать удобные для себя названия)

. /etc/openvpn/easy-rsa/2.0/build-key-server server
. /etc/openvpn/easy-rsa/2.0/build-key cli1
. /etc/openvpn/easy-rsa/2.0/build-key cli2


Потом генерируем параметры Диффи-Хеллмана
. /etc/openvpn/easy-rsa/2.0/build-dh


Раскладываем ключи, на клиентскую сторону нужно отдать файлы ca.crt cli1.crt cli1.key, а в директорию /etc/openvpn положить файлы ca.crt ca.key dh1024.pem server.crt server.key

cd /etc/openvpn/easy-rsa/2.0/keys
cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn


Теперь скопируем в директорию /etc/openvpn пример конфига, который поставляется вместе с ПО.
cd /usr/share/doc/openvpn/examples/sample-config-files
gunzip -d server.conf.gz
cp server.conf /etc/openvpn/


Чтобы наш впн сервер раздавал интернет своим клиентам в /etc/openvpn/server.conf допишем
push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"


Далее включаем ip-forwarding

в файле /etc/sysctl.conf раскомментируем строку
net.ipv4.ip_forward=1

а в консоли выполним
echo 1 > /proc/sys/net/ipv4/ip_forward

чтобы изменения применились без перезагрузки.

Далее настраиваем iptables.
Если у Вас выделенный сервер, или виртуальный на Xen или KVM, то в консоли пишем
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Если виртуализация OpenVZ, то обычный NAT работать не будет, и надо использовать SNAT, для этого в консоли пишем
iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to <b>a.b.c.d</b>
iptables -A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT

Вместо a.b.c.d соответственно внешний ip вашего сервера

Чтобы правила iptables применялись при загрузке ОС, пропишем их в /etc/rc.local, туда же, после применения правил iptables добавим перезагрузку dnsmasq. Пример файла /etc/rc.local после внесения изменений —
для dedicated\Xen\KVM:

#!/bin/sh -e
#
# [...]
#

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

/etc/init.d/dnsmasq restart

exit 0


для OpenVZ:

#!/bin/sh -e
#
# [...]
#

iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to <b>a.b.c.d</b>
iptables -A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT

/etc/init.d/dnsmasq restart

exit 0


Далее настроим dnsmasq, для этого откроем файл /etc/dnsmasq.conf и раскомментируем\поправим две строки
listen-address=127.0.0.1,10.8.0.1
bind-interfaces


На этом настройка сервера закончена, можно перезапускать сервисы и начинать настраивать клиентов.
service openvpn restart
service dnsmasq restart


В моем случае все клиенты были на Windows 7, поэтому расскажу только про настройки клиентов на винде.

Скачиваем софт — OpenVPN, устанавливаем, в случае с Windows 7 запускаем от имени администратора «Пуск\OpenVPN\OpenVPN Gui»
Далее создаем файл %имя%.ovpn со следующим содержимым

push "redirect-gateway def1"
client 
dev tun 
proto udp 
remote <b>a.b.c.d</b> 1194 
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
ca ca.crt 
cert <b>cli1.crt </b>
key <b>cli1.key</b> 
comp-lzo 
verb 3 

Вместо a.b.c.d — адрес сервера.

Складываем файл %имя%.ovpn и ранее полученные ca.crt cli1.crt cli1.key в C:/Programm files(x86)/OpenVPN/config
Вот и все, в трее правой мышью по значку OpenVPN -> Connect и нас переносит в другую страну.
Tags:vpn-сервисopenvpndebianopenvz
Hubs: Information Security
Total votes 18: ↑13 and ↓5+8
Views95K
Comments Comments 15

Popular right now

Top of the last 24 hours