OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP.
Jdeme na to.
Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server (point to multipoint), ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů a lide budou moci využívat zdrojů ve firmě.
Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta.
Předpokládejme, že máme již nainstalovanou aplikaci openssl a openvpn. S OpenVPN (Gentoo distro) se nám objevi potřebné pomůcky v adresáři /usr/share/openvpn/easy-rsa/, u Debianu-Lenny v /usr/share/doc/openvpn/examples/easy-rsa/2.0/. Jejich pomoci využíjeme pro tvorbu zabezpečení.
cd <adresar_s_easy_rsa> . vars ./build-ca ./clean-all ./build-ca # vytvorime Diffie Hellman parametry ./build-dh # vytvorime certifikát pro server ./build-key-server server #2x se nás to zeptá [y/n] 2x (y)es # vytvorime certifikát pro klienta ./build-key klient1
a máme začátek za sebou.
################### # # ################### mode server tls-server dev tap_fam ifconfig 192.168.100.1 255.255.255.0 ifconfig-pool 192.168.100.100 192.168.100.200 255.255.255.0 duplicate-cn proto udp ca /etc/openvpn/family/keys/ca.crt cert /etc/openvpn/family/keys/server.crt key /etc/openvpn/family/keys/server.key dh /etc/openvpn/family/keys/dh2048.pem log-append /etc/openvpn/vpn.fam.log status /etc/openvpn/vpn.fam.stat 10 user root group root comp-lzo verb 3 keepalive 1 220
Pokud nastartujeme openvpn pomocí
/etc/init.d/openvpn restart ip ad
měli bychom již vidět v seznamu nový interface tap_fam. To je super.