Установка OpenVPN на CentOS 6.4

# easy-rsa parameter settings   # NOTE: If you installed from an RPM,  # don't edit this file in place in  # /usr/share/openvpn/easy-rsa --  # instead, you should copy the whole  # easy-rsa directory to another location  # (such as /etc/openvpn) so that your  # edits will not be wiped out by a future  # OpenVPN package upgrade.   # This variable should point to  # the top level of the easy-rsa  # tree.  export EASY_RSA="`pwd`"   #  # This variable should point to  # the requested executables  #  export OPENSSL="openssl"  export PKCS11TOOL="pkcs11-tool"  export GREP="grep"     # This variable should point to  # the openssl.cnf file included  # with easy-rsa.  export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`   # Edit this variable to point to  # your soon-to-be-created key  # directory.  #  # WARNING: clean-all will do  # a rm -rf on this directory  # so make sure you define  # it correctly!  export KEY_DIR="$EASY_RSA/keys"   # Issue rm -rf warning  echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR   # PKCS11 fixes  export PKCS11_MODULE_PATH="dummy"  export PKCS11_PIN="dummy"   # Increase this to 2048 if you  # are paranoid.  This will slow  # down TLS negotiation performance  # as well as the one-time DH parms  # generation process.  export KEY_SIZE=2048   # In how many days should the root CA key expire?  export CA_EXPIRE=730   # In how many days should certificates expire?  export KEY_EXPIRE=730   # These are the default values for fields  # which will be placed in the certificate.  # Don't leave any of these fields blank.  export KEY_COUNTRY="RU"  export KEY_PROVINCE="OUTSIDEMKAD"  export KEY_CITY="Babaysk"  export KEY_ORG="Faton"  export KEY_EMAIL="support@wostok.su"  export KEY_EMAIL=support@wostok.su  export KEY_CN=qwert0  export KEY_NAME=server  export KEY_OU=DD  #export PKCS11_MODULE_PATH=changeme  #export PKCS11_PIN=1234 

./build-ca  Generating a 2048 bit RSA private key  .....+++  ................................+++  writing new private key to 'ca.key'  -----  You are about to be asked to enter information that will be incorporated  into your certificate request.  What you are about to enter is what is called a Distinguished Name or a DN.  There are quite a few fields but you can leave some blank  For some fields there will be a default value,  If you enter '.', the field will be left blank.  -----  Country Name (2 letter code) [RU]:  State or Province Name (full name) [OUTSIDEMKAD]:  Locality Name (eg, city) [Babaysk]:  Organization Name (eg, company) [Faton]:  Organizational Unit Name (eg, section) [ChaosDepartament]:  Common Name (eg, your name or your server's hostname) [qwert0.wostok.su]:  Name [server]:  Email Address [support@wostok.su]: 

./build-key-server server  Generating a 2048 bit RSA private key  .......................+++  .........................................................+++  writing new private key to 'server.key'  -----  You are about to be asked to enter information that will be incorporated  into your certificate request.  What you are about to enter is what is called a Distinguished Name or a DN.  There are quite a few fields but you can leave some blank  For some fields there will be a default value,  If you enter '.', the field will be left blank.  -----  Country Name (2 letter code) [RU]:  State or Province Name (full name) [OUTSIDEMKAD]:  Locality Name (eg, city) [Babaysk]:  Organization Name (eg, company) [Faton]:  Organizational Unit Name (eg, section) [ChaosDepartament]:  Common Name (eg, your name or your server's hostname) [server]:  Name [server]:  Email Address [support@wostok.su]:  Please enter the following 'extra' attributes  to be sent with your certificate request  A challenge password []:  An optional company name []:  Using configuration from /usr/share/openvpn/easy-rsa/2.0/openssl.cnf  Check that the request matches the signature  Signature ok  The Subject's Distinguished Name is as follows  countryName           :PRINTABLE:'RU'  stateOrProvinceName   :PRINTABLE:'OUTSIDEMKAD'  localityName          :PRINTABLE:'Babaysk'  organizationName      :PRINTABLE:'Faton'  organizationalUnitName:PRINTABLE:'ChaosDepartament'  commonName            :PRINTABLE:'server'  name                  :PRINTABLE:'server'  emailAddress          :IA5STRING:'support@wostok.su'  Certificate is to be certified until Apr 17 07:51:46 2015 GMT (730 days)  Sign the certificate? [y/n]:y     1 out of 1 certificate requests certified, commit? [y/n]y  Write out database with 1 new entries  Data Base Updated 

./build-dh  Generating DH parameters, 2048 bit long safe prime, generator 2  This is going to take a long time  ..................................+..............................................+...+...................................................+...........................+.....................................+.................................................................................................................................................+.......................................................................................................................................................+........................................................................................................................................................................+............................................................................................................................................................................................................................................................+.................................................................................................................................................+.................................+................................................................................................................................+.......................................................................................................................+..+............................+..............................+...........................................+.................................+.......+.........................................+......+......................+....................................+.......+.............................................................+......................................................+...........................................................................................................................................................................................................++*++* 

./build-key velowup  Generating a 2048 bit RSA private key  .................+++  ........................+++  writing new private key to 'velowup.key'  -----  You are about to be asked to enter information that will be incorporated  into your certificate request.  What you are about to enter is what is called a Distinguished Name or a DN.  There are quite a few fields but you can leave some blank  For some fields there will be a default value,  If you enter '.', the field will be left blank.  -----  Country Name (2 letter code) [RU]:  State or Province Name (full name) [OUTSIDEMKAD]:  Locality Name (eg, city) [Babayks]:  Organization Name (eg, company) [Faton]:  Organizational Unit Name (eg, section) [ChaosDepartament]:  Common Name (eg, your name or your server's hostname) [velowup]:  Name [server]:  Email Address [support@wostok.su]:   Please enter the following 'extra' attributes  to be sent with your certificate request  A challenge password []:  An optional company name []:  Using configuration from /usr/share/openvpn/easy-rsa/2.0/openssl.cnf  Check that the request matches the signature  Signature ok  The Subject's Distinguished Name is as follows  countryName           :PRINTABLE:'RU'  stateOrProvinceName   :PRINTABLE:'OUTSIDEMKAD'  localityName          :PRINTABLE:'Babayks'  organizationName      :PRINTABLE:'Faton'  organizationalUnitName:PRINTABLE:'ChaosDepartament'  commonName            :PRINTABLE:'velowup'  name                  :PRINTABLE:'server'  emailAddress          :IA5STRING:'support@wostok.su'  Certificate is to be certified until Apr 17 08:51:17 2015 GMT (730 days)  Sign the certificate? [y/n]:y   1 out of 1 certificate requests certified, commit? [y/n]y  Write out database with 1 new entries  Data Base Updated 

# Какой порт слушать?
port 1723

# На каком протоколе будем работать?
proto tcp-server

# В каком режиме работать? Мостом (tap) или маршрутизация (tun)
dev tun0
;dev tap0

# MTU
tun-mtu 1392

# Разрешить аутентификацию по паролю
#auth-user-pass
# Пути к корневому сертефикату, сертификату и закрытому ключу.
ca /etc/openvpn/.key/ca.crt
cert /etc/openvpn/.key/server.crt
key /etc/openvpn/.key/server.key

# Параметры Диффи-Хелмана
dh /etc/openvpn/.key/dh2048.pem

# Отключить проверку пользовательских сертификатов
# client-cert-not-required
# username-as-common-name

# Настройка режима сервера и ИП адресов для выдачи клиентам. Сервер возьмет
# себе 10.10.20.1
# На каждом клиенте указывается адрес сервера 10.10.20.1. Закомментируйте эту
# строку, если вы используете ethernet мост.
server 10.10.20.0 255.255.255.0
;ifconfig 172.16.1.1 255.255.255.0
;ifconfig-pool 172.16.1.2 172.16.1.96

# Установите серверный режим для ethernet моста.
# Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом.
# Затем вы должны вручную установить
# IP/маску на мост, к примеру 10.8.0.4/255.255.255.0.
# В заключении мы должны установить диапазон IP
# адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100).
# Оставьте эту строку закоментированной, если вы
# не используете ethernet мост.
;server-bridge

# Режим сервера
daemon
mode server

# Разрешаем использовать TLS
tls-server

# Разрешить клиентам доступ VPN клиентам между друг другом?
#client-to-client

# Сопоставления клиент <-> виртуальный IP-адрес
# хранятся в этом файле. Если OpenVPN упадет или
# будет перезапущен, повторно подключающимся клиентам могут быть назначены
# из пула такие же виртуальные IP-адреса, которые были назначены им в прошлый
# раз.
ifconfig-pool-persist /etc/openvpn/ip.sv

;client-config-dir /etc/openvpn/.clt

# Передача клиенту параметров маршрутизации, где X.X.X.X — IP адрес вашего eth0, что смотрит в интернет
push «route 192.168.0.0 255.255.255.0»

# Передаем клиенту настройку шлюза
;push «route-gateway 192.168.0.2»

# Некоторые Windows-специфичные сетевые настройки
# могут быть переданы клиентам, такие как адреса DNS-
# или WINS-серверов. ПРЕДОСТЕРЕЖЕНИЕ:
# openvpn.net/faq.html#dhcpcaveats
push «dhcp-option DNS 192.168.0.2»
;push «dhcp-option DNS 192.168.0.1»

# Чтобы весь трафик при подключении к VPN шел через VPN-сервер (это заставляет
# клиента изменить шлюз по умолчанию на vpn-сервер),
# нужно добавить следующую строчку в основной конфиг openvpn.conf.
;push «redirect-gateway»

# Проверка соединения
keepalive 10 120

# Для большей безопасности и защиты от ДОС и флуда выдаём клиентам ta.key. На сервере 0, на клиентах 1.
tls-auth /etc/openvpn/.tls/ta.key 0

# Допустимые алгоритмы шифра. Надо прописывать так же и на клиенте.
cipher AES-256-CBC
#cipher AES256-SHA

# размер ключа в битах
#keysize 2048

# алгоритм хэширования
auth SHA512

# Включить сжатие. Если да, то надо прописывать и на клиенте.
comp-lzo

# Максимальное количество одновременно подключенных клиентов
max-clients 20

# От какого пользователя и группы работать серверу?
user openvpn
group openvpn

# persist-опции скажут OpenVPN при перезагрузке воздержаться от доступа
# к определенным ресурсам,
# т.к. они могут быть недоступны из-за понижения привелегий.
persist-key
persist-tun

# Файл состояния текущих соединений. Перезаписывается раз в минуту.
status /var/log/openvpn/openvpn-status.log

# Куда писать логи?
log-append /var/log/openvpn/openvpn.log

# Уровень детализации лога
verb 5

# Не записывать больше повторяющихся сообщений сразу
mute 20

# На каком протоколе работать
proto tcp-client

# Адрес и порт сервера (Хоть IP хоть доменное имя)
remote wostok.su 1723

# Бесконечно пробовать разрешить имя хоста OpenVPN-сервера.
resolv-retry infinite

# Не «биндиться» к интерфейсу
nobind

# Стараться сохранять некоторое объекты между перезапусками
persist-key
persist-tun

# Параметры SSL/TLS.
# Смотрите файл конфигурации сервера для более
# подробного описания. Лучше всего использовать
# отдельные пары .crt/.key-файлов
# для каждого клиента. Один ca-файл
# может быть использован для всех клиентов.
ca /etc/openvpn/.key/ca.crt
dh /etc/openvpn/.key/dh2048.pem
cert /etc/openvpn/.key/velowup.crt
key /etc/openvpn/.key/velowup.key

# Если на сервере используется ключ tls-auth,
# то каждый клиент также должен иметь этот ключ.
tls-auth /etc/openvpn/.tls/ta.key 1

# Выбор криптографического шифра (cipher).
# Если опция cipher используется на сервере,
# то вы также должны указать её здесь.
cipher AES-256-CBC
auth SHA512

# Включить сжатие
comp-lzo

# Уровень журналирования
verb 4

# Не записывать повторяющиеся сообщения более чем
mute 20

# От какого пользователя и группы работать клиенту?
user openvpn
group openvpn

# Куда писать журнальные данные о работе клиента?
log-append /var/log/openvpn/openvpn_client.log
status /var/log/openvpn/status_client.log

;route 172.16.1.0 255.255.255.0