OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP.

Jdeme na to.

Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server (point to multipoint), ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů a lide budou moci využívat zdrojů ve firmě.

Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta.

Předpokládejme, že máme již nainstalovanou aplikaci openssl a openvpn. S OpenVPN (Gentoo distro) se nám objevi potřebné pomůcky v adresáři /usr/share/openvpn/easy-rsa/, u Debianu-Lenny v /usr/share/doc/openvpn/examples/easy-rsa/2.0/. Jejich pomoci využíjeme pro tvorbu zabezpečení.

cd <adresar_s_easy_rsa>
. vars
./build-ca
./clean-all
./build-ca
# vytvorime Diffie Hellman parametry
./build-dh
# vytvorime certifikát pro server
./build-key-server server
#2x se nás to zeptá [y/n] 2x (y)es
# vytvorime certifikát pro klienta
./build-key klient1

a máme začátek za sebou.

###################
#                 #
###################
mode server
tls-server
dev tap_fam
ifconfig 192.168.100.1 255.255.255.0
ifconfig-pool 192.168.100.100 192.168.100.200 255.255.255.0
duplicate-cn
proto udp

ca /etc/openvpn/family/keys/ca.crt
cert /etc/openvpn/family/keys/server.crt
key /etc/openvpn/family/keys/server.key
dh /etc/openvpn/family/keys/dh2048.pem

log-append /etc/openvpn/vpn.fam.log
status /etc/openvpn/vpn.fam.stat 10

user root
group root
comp-lzo
verb 3

keepalive 1 220

Pokud nastartujeme openvpn pomocí

/etc/init.d/openvpn restart
ip ad

měli bychom již vidět v seznamu nový interface tap_fam. To je super.