Редактирование конфигурационных файлов.
Рекомендации по директивам server.ovpn:
Редактирование можно производить как в текстовом редакторе «Блокнот», так и в консольном редакторе EDIT (для любителей хардкора).
Local: укажите ваш IP-адрес. Можно узнать командой Ipconfig /all
Port, proto: оставляйте по умолчанию только в том случае, если вы не тру-хакер.
Dev: выбираем tun
Dev-node: Пожалуй, самый важный параметр. В нем надо указать НАЗВАНИЕ tun-адаптера. В начале занятия мы меняли имена TAP-девайсов. Здесь нужно ввести tap-server.
Ca, cert, key,dh: Здесь очень важно дописать полные пути к файлам сертификатов и ключей. Вы можете ознакомиться с примером рабочей конфигурации в файле server.ovpn.example в общей папке. К примеру запись для ca будет следующей: ca C:\\Program\ Files\\OpenVPN\\easy-rsa\\keys\\ca.crt
Log, verb: На этапе отладки очень важна информацию системного журнала. Для того, чтобы система стала наиболее информативна, рекомендуется выставить следующие параметры: log openvpn.log; verb 9.
На этом правку конфига сервера можно закончить.
Рекомендации по директивам client.ovpn:
Dev: выбираем tun
Dev-node: tap-client
Remote: IP адрес сервера (тот, что смотрели ipconfig-ом в предыдущем пункте).
Ca,cert,key: Аналогично. Смотрим пример client.ovpn.example
Запуск сервера, клиента и проверка работоспособности защищенного соединения.
Открываем в проводнике C:\Program Files\OpenVPN\sample-config, жмем правой кнопкой на иконку «server» и выбираем «Start OpenVPN on this config file».
Появится черное окно. Для того, чтобы убедиться, что всё «завелось» как надо, надо просмотреть системный журнал. Сделать это просто. Откройте блокнотом файл openvpn.log и «прокрутите» в самый низ. Если критических ошибок нет, то всё чики-поки и можно перейти к запуску клиента! Аналогичным образом поступаем с иконкой client. Если всё прошло удачно, файлы ipp и openvpn-status перестанут иметь нулевую длину и если открыть openvpn-status блокнтотом, можно посмотреть информацию о клиенте:
OpenVPN CLIENT LIST
Updated,Mon Apr 16 23:54:00 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
name,10.1.0.65:2678,5095,4303,Mon Apr 16 23:52:24 2007
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.10,name,10.1.0.65:2678,Mon Apr 16 23:52:25 2007
GLOBAL STATS
Max bcast/mcast queue length,0
END
Из этой записи видно, что клиент с реальным адресом 10.1.0.65 подключился к VPN-серверу, который в свою очередь выдал ему виртуальный адрес 10.8.0.10. В качестве окончательной проверки можно отправить несколько Icmp-пакетов в сторону сервера и получить ответ по защищенному каналу:
C:\Documents and Settings\Alexandr>ping 10.8.0.1
Обмен пакетами с 10.8.0.1 по 32 байт:
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=128
Ответ от 10.8.0.1: число байт=32 время<1мс TTL=128
Статистика Ping для 10.8.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек