Налаштування Point-to-Site VPN на OpenVPN Access Server, pfSense 2

Ввідна інформація

Point-to-Site VPN (Virtual Private Network) - технологія, що дозволяє організувати власну віртуальну приватну мережу та підключати до неї територіально віддалених користувачів. VPN є безпечним SSL/TLS-тунелем між сервером і клієнтами, надає загальний доступ до мережевих ресурсів, знижує витрати інтернет-трафіку користувачів за рахунок використання стиснення, а також дає можливість маршрутизації всього клієнтського трафіку через VPN-сервер (аналогічно проксі-серверу). .

У цьому посібнику ми розглянемо процес створення віртуальної приватної мережі за допомогою вільної реалізації технології VPN -OpenVPN, що підтримується чи не всіма сучасними операційними системами (Windows, Mac OS, Linux, Android, iOS, ChromeOS). Налаштування буде здійснюватися на сервері, який працює під керуваннямpfSense 2.3.

Приватна хмара від 1cloud.ru

  • Будь-які конфігурації віртуальних серверів
  • Безкоштовні приватні мережі
  • Повна автоматизація управління

Для спрощення процесу налаштування і подальшого адміністрування сервера ми будемо використовуватиOpenVPN Remote Access Server - програмне рішення, що включає безпосередньо OpenVPN-сервер, власний веб-інтерфейс управління, а також набір клієнтського ПЗ для з'єднання з сервером . Єдине обмеження Remote Access Server – необхідність ліцензування. Безкоштовна (базова) ліцензія розрахована на обслуговування двох VPN-клієнтів. Збільшення кількості користувачів потребує придбання додаткових ліцензій. На момент написання статті їх вартість складає 9.60$ на рік за кожного,починаючи з третього клієнта. Детальну інформацію про ліцензування Access Server можна знайти тут.

1. Створення сервера pfSense та налаштування OpenVPN Remote Access Server

Для подальших маніпуляцій нам знадобиться хост pfSense. Якщо Ви використовуєте сервіс 1cloud.ru, для підготовки сервера достатньо вибрати відповідний шаблон (pfSense 2.3) при створенні сервера - через кілька хвилин він буде готовий до роботи. Якщо Ви плануєте використовувати сторонній хостинг або власний сервер, потрібно спочатку встановити і налаштувати pfSense.

Отже, сервер готовий. Переходимо до його веб-інтерфейсу управління.

Входимо, використовуючи облікові дані, вказані на панелі керування 1cloud. Потім відкриваємо вкладкуVPN > OpenVPN > Wizards.

Відкриється майстер настроювання OpenVPN Remote Access Server. Вибираємо тип сервера (Type of Server) -Local User Access.

На наступному етапі слід вказати параметри сертифіката створюваного центру сертифікації (CA), який надалі завірятиме сертифікати клієнтів:

Клацаємо“Add new CA”.

Тепер необхідно вказати параметри сертифіката CA. Можна нічого не змінювати, тільки вказати Descriptive Name – наприкладMyCAcrt. Клікаємо«Create new Certificate».

Далі потрібно налаштувати OpenVPN-сервер:

Інші параметри можна залишити за замовчуванням. Клікаємо«Next».

Тепер вказуємо параметри Firewall. Включаємо обидві опції: дозволяємо зовнішні підключення для клієнтів та трафік усередині VPN-тунелю.

Налаштування серверної частини завершено.

Тепер нам потрібно додати користувачів, які надалі зможуть підключатися до приватної віртуальної мережі. Для цього переходимо до менюSystem > User Manager. Клацаємо«Add» длядодавання нового користувача.

Вводимо інформацію про користувача. Не забудьте активувати“Click to create a user certificate” та вказати створений раніше центр сертифікації в параметрах сертифіката користувача.

Аналогічно, при необхідності, додаємо другого (третього і т.д.) користувача.

2. Експорт клієнтських конфігурацій та підключення користувачів

Для спрощення процедур конфігурації програм-клієнтів, у pfSense передбачений додатковий інструментOpenVPN Client Export Utility. Цей інструмент автоматично готує інсталяційні пакети та конфігураційні файли користувачів, що дозволяє уникнути ручного настроювання VPN-клієнта з боку кінцевого користувача.

Встановимо вищеописаний пакет. Для цього переходимо до менюSystem > Package Manager > Available Packages. Знаходимо у спискуopenvpn-client-export utility. Клацаємо«Install» для його встановлення.

Повідомлення зі скріншота нижче говорить про успішне завершення інсталяції.

Тепер можна експортувати конфігурації на пристрої користувача. Переходимо у вкладкуVPN > OpenVPN > Client Export.

Змінювати будь-які параметри, вказані на сторінці, зазвичай немає необхідності. У нижній частині сторінки знаходимо поле«OpenVPN Clients». Тут розміщено версії конфігурацій під різні типи клієнтів.

Розглянемо процес підключення клієнта до створеної віртуальної приватної мережі найпоширенішому прикладі – підключенні ПК під керуванням Windows.

На цьому налаштування Point-to-site VPN завершено.

P.S. В рамках даної інструкції ми не будемо описувати налаштування клієнтів на інших ОС. Цю інформацію можна знайти безпосередньо у розділіVPN > OpenVPN > Client Export > Client Install Packages. Наведемо лише приклад налаштування VPN-клієнта на ОС Ubuntu/Debian без встановленого графічного оточення (що часто є актуальним для серверів).

Увійдіть у термінал (безпосередньо на пристрої або через SSH) Послідовно введіть наступні команди (кожний новий рядок є окремою командою):

В результаті виконання останньої команди, у вікні терміналу повинен з'явитися список мережевих підключень, що включає з'єднанняTUN -це і є підключений VPN-тунель.