OpenVPN server – klient na Windows, instalace a nastavení

Postup instalace je popsaný pro nejjednodušší cestu k realizaci VPN spojení. Instalační soubory pro Windows stáhneme z www.openvpn.net. Instalujeme na serverovém a klientských počítačích, vhodná je instalace na disk C, při instalaci na D vznikal problém s dávkovými soubory, kde je proměnná pro program files nastavená na výchozí systémový C:\Program Files.

Na serverovém počítači spustíme příkazový řádek jako správce a přesuneme se do adresáře C:\Program Files\OpenVPN\easy-rsa a spustíme podle návodu na OpenVPN.net tuto posloupnost dávkových souborů:

init-config

Teď můžeme otevřít soubor vars.bat a upravit proměnné KEY na koci souboru (stát, město, orgranizace…). Pokračujeme spuštěním souborů:

vars
clean-all
build-ca
build-key-server server
build-dh
build-key client1

Ve složce C:\Program Files\OpenVPN\easy-rsay\keys máme vytvořené potřebné soubory pro VPN spojení. Z této složky na serverový počítač zkopírujeme do složky C:\Program Files\OpenVPN\config soubory:

ca.crt
dh1024.pem
server.crt
server.key

Na klientském počítači zkopírujeme do složky C:\Program Files\OpenVPN\config tyto soubory:

ca.crt
client1.crt
client1.key

Dále na serverový počítač do složky C:\Program Files\OpenVPN\config umístíme soubor vpn_server.ovpn s tímto obsahem:

# server
mode server

# tls jako server
tls-server

# port, 1194 = default

port 1194

# protokol, tcp/udp
proto udp

# nastavi zarizeni
dev tap

# adresa serveru
ifconfig 10.10.1.100 255.255.255.0

# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.25 255.255.255.0

# soucasne prihlaseni vice klientu
duplicate-cn

# certifikat certifikacni autority
ca ca.crt

# certifikat serveru
cert server.crt

# klic serveru
key server.key

# parametry pro Diffie-Hellman protokol
dh dh1024.pem

# logy serveru
log-append openvpn.log

# status serveru
#status /var/run/vpn.status 10

# uzivatel pod kterym bezi server
#user nobody

# skupina pod kterou bezi server
#group nogroup

# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120

# komprese prenasenych dat
comp-lzo

# ukecanost serveru
verb 3

Na klientský počítač do složky C:\Program Files\OpenVPN\config umístíme soubor vpn_client.ovpn s tímto obsahem:

client
dev tap
proto udp
remote muj_server 1194

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server

ping 15
ping-restart 45
ping-timer-rem

persist-key
persist-tun
resolv-retry infinite
nobind
comp-lzo
verb 3
mute-replay-warnings

Na klientském i serverovém počítači musí být ve firewallu povolen port 1194 a pokud je v cestě NAT musí být nastaven forwarding portu 1194 na serverový počítač. Nakonec nastavíme automatické spuštění služby OpenVPN a službu spustíme, nejprve na serverovém počítači. Služba OpenVPN najde naše konfigurační soubory a vytvoří VPN spojení.

Příčiny nefunkční VPN

Soubory certifikátů serveru i klienta musí nenulovou délku. Pokud při generování certifikátu serveru dostanete chybovou hlášku:

The commonName field needed to be supplied and was missing

nebo

failed to update database

potom při generování vložte nějaký řetězec do hodnoty CommonName, až bude skript požadovat vstup této hodnoty.

Čtěte také tyto články

MySQL záloha ze vzdáleného serveru na lokální počítač automaticky

WordPress – šablony kategorií s pluginem Idealien Category Enhancements

Zencart – změna sazby daně se zachováním cen produktů

Rubrika: Sítě Štítky: Štítky: , Vložil: admin Datum: 25 února, 2010

Komentářů: 19 to “OpenVPN server – klient na Windows, instalace a nastavení”

  1. supershort on 6 května, 2010 at 10.42 říká:

    Moc dík, perfektní návod díky němu jsem nastavil VPN za 10 minut. A chodí perfektně.

  2. Jaromír Buček on 17 května, 2010 at 13.19 říká:

    Prosím o radu – A- spustím OpenVPN normálně, dá mi volbu „connect“ opticky se spojí, ale není průchozí. -B- spustím jako správce a nenabídne volbu „connect“ , pouze Proxy setting, About a Setting. Platí pro Windows 7/64bit , na XP funguje.

  3. Mati on 18 srpna, 2010 at 5.08 říká:

    To Jar. Bucek: Zrejme spoustite OpenVPN GUI standardne. Visty a Win7 oh potrebuji „spustit jako spravce“. Ja jsem stahnul novou verzi, ktera mi chodila standardne i pod Vistama, ale uz ne (mozna po nejake win aktualizaci – zatim jsem nad tim moc nemel cas laborovat). Pokud to totiz neni tak jak rikam, neproroutuje se to. Taky by melo jit spoustet to jako sluzbu, ale to jsem zatim jeste nezousel.

  4. admin on 18 srpna, 2010 at 5.27 říká:

    může pomoci spustit neprovedené routy v příkazovém řádku s admin právy. Routy najdete v logu OpenVPN, zkopírujete do příkazové řádku a spustíte. Stav rout zkontrolujete v příkazovém řádku příkazem route print.

  5. S on 27 srpna, 2010 at 12.05 říká:

    dostávám „failed to update database“ u generování klienta, žádné hodnoty prázdné nenechávám. Dá se třeba nějak nastavit „přednastavená hodnota“ ve vars.bat? mám W7 prof. 32b.
    taky píše že mu chybí nějaký soubor .old
    (pouštím jako správce, instalováno na C, poslední verze 2.1.2)

  6. admin on 27 srpna, 2010 at 12.58 říká:

    Hodnota CommonName musí být při každém generování jiná. V adresáři easy-rsa by měl být soubor s názvem serial.start obsahující řetězec 01. Hodnoty ve vars.bat je možné přednastavit, použjí se potom pro generování, ale asi (musel by nahlédnout do http://openvpn.net/index.php/open-source/documentation/howto.html#pki ) nikoliv CommonName. Obsah vars.bat se přepíše při spuštění init-config.

  7. Faze on 27 srpna, 2010 at 13.31 říká:

    Zdravim. Chceme zkusit vpn na hry ale na W7 jsem narazil na problém – nemělo by openvpn vytvořit při instalaci virtuální lan kabel v seznamu sítí, kterej pak budu nastavovat ve hrách jako primární adaptér? ještě pořát čekám na propojení s dalšími, ale nevím jak pak nastavit hry pokud to ten virtuální lan nevytvoří a zůstane to jen v sys-tray 😐
    díky za každou radu
    P.S: primárně nám jde o Empire Earth I s datadiskem která potřebuje /24 síť (=hamachi nepoužitelné)

  8. admin on 27 srpna, 2010 at 15.59 říká:

    Faze: Pokud uvedená hra funguje v režimu server – klienti, tak lze aplikovat zde uvedený postup. Hráči klienti se potom budou připojovat na adresu VPN serveru.
    Počítač, kde poběží VPN server musí být viditelný z internetu, tedy mít veřejnou IP, pokud bude za natem, musí být na natu směrování portu OpenVPN.
    Virtuální LAN rozhraní Open VPN je aktivní až po ručním spuštění nebo po spuštění služby OpenVPN.
    Toto vše je v podstatě v tomto článku.

  9. Tom on 15 října, 2010 at 17.21 říká:

    Ahoj, je to super navod na vytvoreni vpn spojeni, ale mam takovy vetsi problem – jsem tele a na strankach openvpn nemohu najit normalni program pro vpn – server. Je to tam vse v .vhd soubory a jine… muzes mi prosim nejak poslat, nebo sem hodit odkaz a jak mam vubec nainstalovat ten server? Klient je vpohode.. Dik moc

  10. admin on 15 října, 2010 at 18.41 říká:

    Tom: instalace OpenVPN může fungovat jako server i jako klient. Když chceš server, bude v konfiguračním souboru toto:
    mode server.
    Na jednom počítači může současně běžet OpenVPN klient i server a to i více různých klientů a serverů.

  11. Hafajs on 14 listopadu, 2010 at 21.42 říká:

    Zdravim, jen chci podekovat za clanek. Jeste jsem podle nej nezkousel VPNko rozjet (zkusim zitra) ale nez jsem clanek nasel, provedl jsem nekolik vlastnich neuspesnych pokusu. Ale az ted mi zacina byt jasna filosofie nastaveni ;). Jeste jednou diky.

  12. Hafajs on 16 listopadu, 2010 at 9.14 říká:

    Tak jsem se zasekl pri generovani klice. Spustim build-dh, otevre se prikazovy radek a tim to konci. Dal se nic nedeje.
    Upresnujici dotaz:
    build-key-server server (spustit jen na serveru?)
    build-dh (spustit vzdy?)
    build-key client1 (spustit jen na klientovi?)

    Dalsi soubory pro nakopirovani nemam. Nemam ani adresar „keys“ ve kterem by mely byt, ale to davam za vinu nedokoncenemu generovani klice.
    OS Win XP Pro SP3, instalace VPN provedena z openvpn-2.1.3-install

  13. Fugas.zr on 8 prosince, 2010 at 14.46 říká:

    Pekny den. Super clanek. OpenVPN sestaveno, akorát jsem předpokládal, že se clienti mezi soubou navzajem uvidí. Svr pingá všechny. Klienti jen server. Je nějaká možnost? XPP SP3 a FW vypnut. Díky.

  14. admin on 8 prosince, 2010 at 20.39 říká:

    Fugas.zr: použij v konfiguraci serveru příznak client-to-client

  15. Fugas.zr on 9 prosince, 2010 at 11.28 říká:

    Díky moc. Večír na to juknu, když tak se ozvu.

  16. chvoj on 12 prosince, 2011 at 17.56 říká:

    Ahoj, super návod někde jsem to podobné viděl i jako video ale toto bohatě stačí. jen jsem po dokončení všech úkonů zkončil při přihlašování klienta hned na začátku že nemůže načíst crt file. Přesněji
    Cannot load certificate file xy.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
    xy.crt je zapsaný v *ovpn Díky za radu

  17. Misiak on 21 dubna, 2012 at 16.35 říká:

    nastavil som vsetko podla navodu akurat som si zmenil IP adresy. Pri pokuse o pripojenie mi hlasi read UDPv4: Connection reset by peer …. code 10054, povoleny port 1194 mam vo win firewale na oboch stranach , na routri mam smerovanie portu 1194 na adresu servera, nerozumiem asi som nieco zle zadal ale nejako to nevidim, ak viete skuste pomoct prosim, pripadne poslem konfiguraky servra a klienta

  18. David on 2 listopadu, 2013 at 3.37 říká:

    Zdravím. Od jedné IT firmy máme na domácích stanicích nakonfigurované připojení k redakčnímu serveru (přes internet, nikoliv místní síť) a přes spouštěcí soubor se připojujeme ke konkrétnímu disku. V momentě, kdy mám zapnuté připojení, se mi zablokuje ostatní přístup na internet (prohlížeče, Outlook). Prostě když jede OpenVPN, nefunguje, kromě Skype, nic jiného co přistupuje na internet. Nepomohla ani přeinstalace systému (Win. 7). Ostatní kolegové takový problém nemají a nikdo neví, co s tím. Nevíte, čím by to mohlo být? Děkuji

  19. Pavel on 16 ledna, 2015 at 14.18 říká:

    Dobrý den, jak překonfiguravat nastavení, případně co opravit, abych viděl celou lan síť okolo serveru a nejenom samotny server?

«
»