Serwer OpenVPN

Instrukcja konfiguracji OpenVPN serwer/klient na routerach MiDGE

Konfiguracja OpenVPN

Poniższy przykład przedstawia router MiDGE jako koncentrator VPN, który łączy zdalne lokalizacje (sieci LAN) przy użyciu infrastruktury publicznej z siecią lokalną oraz siecią radiową RipEX w spójną sieć IP, gdzie wszystkie urządzenia mogą się komunikować ze sobą wzajemnie.

Dodatkowe informacje na temat OpenVPN

http://pl.wikipedia.org/wiki/OpenVPN
https://openvpn.net/

MiDGE - Konfiguracja OpenVPN
Rys. Przykładowy schemat sieci IP

Konfiguracja Serwera OpenVPN

Przed rozpoczęciem pracy proponujemy skonfigurować urządzenia, które będą łączone do sieci. Konfigurację Firewall na tym etapie można pominąć. Urządzenia należy zabezpieczyć po zakończeniu pracy.

Widoczny status systemu po zalogowaniu się do panelu zarządzania WWW

Krok 1

Włączenie administracji usługą OpenVPN

Przechodzimy do zakładki VPN i włączamy zarządzanie usługą OpenVPN

Konfiguracja serwera OpenVPN

Następnie przechodzimy do opcji Tunel Configuration i zaznaczmy pole Server

Krok 2

Konfiguracja serwera OpenVPN

Po zmianie opcji otworzy się ekran konfiguracji serwera OpenVPN. Można teraz dowolnie dostosować usługę lub pozostawić konfigurację domyślną. Konfigurację zatwierdzamy przyciskiem Apply

Konfiguracja serwera OpenVPN

Jeżeli certyfikaty nie zostały wcześniej wygenerowane, system zażąda takiego działania. Można użyć własnych certyfikatów lub wygenerować lokalne. Na powyższym ekranie router żąda konfiguracji certyfikatów do zabezpieczenia połaczeń.

Należy kliknąć na aktywny link Manage keys and certificates

Generowanie certfikatów Serwer OpenVPN

Teraz możemy zainstalować własne lub wygenerować certyfikaty serwera. W tym celu naciskamy przycisk  Create

Potwierdzenie wykonywanych operacji.

Po zakończeniu pracy wracamy do konfiguracji OpenVPN, klikając na zaznaczony link

Krok 3

Konfiguracja klientów OpenVPN

Serwer jest już skonfigurowany i uruchomiony. Teraz czas na przygotowanie użytkowników, czyli Klientów OpenVPN. Przechodzimy więc dalej i klikamy na link Client Management.

Konfiguracja klientów OpenVPN

Klikając w pola po lewej stronie włączamy wymaganą liczbę klientów OpenVPN. Proponujemy każdemu użytkownikowi przypisać indywidualną nazwę, np. zgodną z fizyczną lokalizacją/obiektem, co dalej będzie pomocne w konfiguracji urządzeń końcowych.

Można oczywiście wytworzyć więcej klientów niż potrzeba w danej chwili. Jeżeli jest planowana rozbudowa o kolejne lokalizacje, już teraz można przygotować użytkowników. Poszczególne tunele można w tym miejscu wyłączyć lub włączyć w dowolnej chwili. Jednak na etapie tworzenia plików konfiguracyjnych, wszystkie tunele muszą być aktywne.

Standardowa licencja pozwala na obsługę 10 klientów VPN. Można ją rozszerzyć do 25 użytkowników zakupując dodatkowe rozszerzenie. Jeżeli potrzebna jest większa ilość tuneli niż 25, proponujemy użycie innego serwera o wymaganej funkcjonalności.

Konfiguracja klientów OpenVPN

System utworzył klientów OpenVPN, teraz należy skonfigurować ich podsieci. W tym celu przechodzimy do zakładki NETWORKING.

Krok 4

Konfiguracja podsieci klientów OpenVPN

Teraz wprowadzamy adresy zdalnych podsieci, czyli pozostałych routerów MiDGE lub innych urządzeń, które będą pracować w sieci prywatnej OpenVPN. Konfigurację każdego klienta należy zapisać oddzielnie klikając na przycisk Apply zanim przejdziemy do konfiguracji następnego klienta z listy.

Należy zwrócić uwagę, że podajemy adresy zdalnych sieci, a nie IP zdanych urządzeń. Jeżeli IP zdalnego routera to 192.168.20.1, to należy wprowadzić adres sieci zakończony zerem, czyli 192.168.20.0 i maską 255.255.255.0

Uwaga!
Router MiDGE ma dwa porty LAN i standardowo obsługuje dwie sieci LAN. Porty LAN mogą pracować jako SWITCH. Jeżeli jednak jest potrzeba użycia dwóch sieci LAN w zdalnej lokalizacji, to należy odpowiednio skonfigurować router (Interfaces -> IP Settings) oraz podsieć Klienta OpenVPN. Dla obsługi dwóch sieci wprowadzamy jako główny adres IP o niższym numerze i podajemy maskę 255.255.254.0. Dzięki temu zdalny klient będzie mógł routować w tunelu OpenVPN adresy z zakresu od 192.168.20.0-255 do 192.168.21.0-255.

Numery podsieci muszą być "obok siebie". Nie można łączyć klas 192.168.0.0 z 10.0.0.0.

Kalkulator podsieci

Administrator może dowolnie skonfigurować sieć transportową ale proponujemy zostawić ustawienia domyślne. Komputery łączone w sieciach VPN muszą mieć odmienną konfigurację sieci lokalnej. Nie połączymy ze sobą Klienta o adresie 192.168.1.1 z serwerem o adresie lokalnym 192.168.1.1 i to niezależnie czy będzie to PPTP, L2TP, IPsec czy OpenVPN.

Krok 5

Dodatkowe podsieci w tunelu OpenVPN

Po zakończeniu konfiguracji Klientów przechodzimy do zakładki Routes. W tym miejscu można opcjonalnie wpisać adresy podsieci, które będę routowane w tunelu OpenVPN. Dla przykładu włączyliśmy do sieci prywatnej OpenVPN sieć radiomodemów RipEX o adresach 192.168.1.100 do 103 (podsieć 192.168.1.0/24). 

Krok 6

Pliki konfiguracyjne klientów OpenVPN

Następnie przechodzimy do zakładki DOWNLOAD, gdzie klikamy na przycisk Download, co spowoduje wygenerowanie przez system plików konfiguracyjnych dla Klientów OpenVPN.

generowanie certyfikatów....

Pliki konfiguracyjne klientów OpenVPN

Plik zapisujemy na dysku. Nazwa archiwum to openvpn-clients.zip. Plik należy wypakować na dysk lokalny lub klucz USB. Wewnątrz jest katalog o nazwie zgodnej z nazwą identyfikacyjną serwera, a w nim kolejne archiwa .zip zgodne z nazwami klientów OpenVPN, w tym przykładzie STACJA_1.zip, STACJA_2.zip.

Te pliki mają pozostać w formie archiwum (skompresowane).

pliki konfiguracyjne klientów

Konfiguracja serwera OpenVPN

Serwer OpenVPN™ już jest skonfiguroawany i gotowy na podłączenie Klientów. W zakładce HOME widoczny jest status usługi. Natomiast w zakładce VPN -> Client Management możemy zarządzać aktywnymi połączeniami.

Konfiguracja Klientów OpenVPN

Konfiguracja Klientów OpenVPN sprowadza się do włączenia usługi oraz wgraniu pliku konfiguracyjnego, który został wygenerowany przez serwer. Klientem może być dowolne urządzenie, które wspiera OpenVPN. W tym przykładzie będą to routery MiDGE, które wymagają pliku konfiguracyjnego w formie archiwum .zip, czyli: STACJA_1.zip, STACJA_2.zip

Jeżeli będą Państwo podłączać inne urządzenia, proszę zapoznać się z dokumentacją producenta.

Krok 7

Konfiguracja klientów OpenVPN

Konfigurujemy urządzenia przeznaczone do pracy w lokalizacjach zdalnych, zgodnie ze schematem na początku artykułu. Po wprowadzaniu parametrów połaczenia WWAN1 (sieć GSM) przechodzimy do konfiguracji podsieci LAN. W tym przykładzie pierwszym klientem jest podsieć o adresie 192.168.20.0/24.

W menu INTERFACES / Ethernet -> IP Settings zmieniamy domyślną konfigurację sieci LAN na 192.168.20.1 / 255.255.255.0 następnie zapisujemy przyciskiem Apply  Router poinformuje o zmianie zakresu serwera DHCP, po czym zostaną wprowadzone nowe ustawienia.

Krok 8

Konfiguracja klientów OpenVPN

Przechodzimy do zakładki VPN, włączamy usługę OpenVPN zaznaczając enable, a następnie zatwierdzamy przyciskiem Apply. Kiedy usługa zostanie uruchomiona, co potwierdzi pojawienie się przycisku Restart obok Apply, przechodzimy do menu Tunel Configuration i zanzaczamy wszystko zgodnie z ilustracją.

Konfiguracja klientów OpenVPN

Po wczytaniu pliku konfiguracyjnego system potwierdzi operację komentarzem - installed.

Konfiguracja klientów OpenVPN

W zakładce HOME (ekran powitany) widoczny jest status pracy tunelu OpenVPN.

Kolejne urządzenia konfigurujemy w taki sam sposób, powtarzając Kroki 7 i 8. Należy pamiętać o konfiguracji podsieci LAN w każdym nowym kliencie OpenVPN.

Diagnostyka

Test tunelu

Microsoft Windows [Wersja 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\Serwis>ping 192.168.10.1

Badanie 192.168.10.1 z 32 bajtami danych:
Odpowiedź z 192.168.10.1: bajtów=32 czas=105ms TTL=63
Odpowiedź z 192.168.10.1: bajtów=32 czas=88ms TTL=63
Odpowiedź z 192.168.10.1: bajtów=32 czas=538ms TTL=63
Odpowiedź z 192.168.10.1: bajtów=32 czas=449ms TTL=63

Statystyka badania ping dla 192.168.10.1:
    Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
             (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
    Minimum = 88 ms, Maksimum = 538 ms, Czas średni = 295 ms

C:\Users\Serwis>ping 192.168.1.100

Badanie 192.168.1.100 z 32 bajtami danych:
Odpowiedź z 192.168.1.100: bajtów=32 czas=111ms TTL=62
Odpowiedź z 192.168.1.100: bajtów=32 czas=94ms TTL=62
Odpowiedź z 192.168.1.100: bajtów=32 czas=100ms TTL=62
Odpowiedź z 192.168.1.100: bajtów=32 czas=132ms TTL=62

Statystyka badania ping dla 192.168.1.100:
    Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
             (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
    Minimum = 94 ms, Maksimum = 132 ms, Czas średni = 109 ms

C:\Users\Serwis>ping 192.168.1.102

Badanie 192.168.1.102 z 32 bajtami danych:
Odpowiedź z 192.168.1.102: bajtów=32 czas=539ms TTL=61
Odpowiedź z 192.168.1.102: bajtów=32 czas=181ms TTL=61
Odpowiedź z 192.168.1.102: bajtów=32 czas=158ms TTL=61
Odpowiedź z 192.168.1.102: bajtów=32 czas=140ms TTL=61

Statystyka badania ping dla 192.168.1.102:
    Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
             (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
    Minimum = 140 ms, Maksimum = 539 ms, Czas średni = 254 ms

C:\Users\Serwis>

Routing

Routing OpenVPN

System operacyjny MiDGE uzupełnia tablicę routingu po stronie serwera jak i klientów. Do użytkownika należy jedynie poprawnie podłączyć router MiDGE do switcha. 

Instrukcje wideo

Zablokowany serwis YouTube? Nic straconego, kliknij tutaj

Zablokowany serwis YouTube? Nic straconego, kliknij tutaj