Na serverovém počítači spustíme příkazový řádek jako správce a přesuneme se do adresáře C:\Program Files\OpenVPN\easy-rsa a spustíme podle návodu na OpenVPN.net tuto posloupnost dávkových souborů:

init-config

Teď můžeme otevřít soubor vars.bat a upravit proměnné KEY na koci souboru (stát, město, orgranizace…). Pokračujeme spuštěním souborů:

vars
clean-all
build-ca
build-key-server server
build-dh
build-key client1

Ve složce C:\Program Files\OpenVPN\easy-rsay\keys máme vytvořené potřebné soubory pro VPN spojení. Z této složky na serverový počítač zkopírujeme do složky C:\Program Files\OpenVPN\config soubory:

ca.crt
dh1024.pem
server.crt
server.key

Na klientském počítači zkopírujeme do složky C:\Program Files\OpenVPN\config tyto soubory:

ca.crt
client1.crt
client1.key

Dále na serverový počítač do složky C:\Program Files\OpenVPN\config umístíme soubor vpn_server.ovpn s tímto obsahem:

# server
mode server

# tls jako server
tls-server

# port, 1194 = default

port 1194

# protokol, tcp/udp
proto udp

# nastavi zarizeni
dev tap

# adresa serveru
ifconfig 10.10.1.100 255.255.255.0

# rozsah adres pro klienty
ifconfig-pool 10.10.1.20 10.10.1.25 255.255.255.0

# soucasne prihlaseni vice klientu
duplicate-cn

# certifikat certifikacni autority
ca ca.crt

# certifikat serveru
cert server.crt

# klic serveru
key server.key

# parametry pro Diffie-Hellman protokol
dh dh1024.pem

# logy serveru
log-append openvpn.log

# status serveru
#status /var/run/vpn.status 10

# uzivatel pod kterym bezi server
#user nobody

# skupina pod kterou bezi server
#group nogroup

# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120

# komprese prenasenych dat
comp-lzo

# ukecanost serveru
verb 3

Na klientský počítač do složky C:\Program Files\OpenVPN\config umístíme soubor vpn_client.ovpn s tímto obsahem:

client
dev tap
proto udp
remote muj_server 1194

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server

ping 15
ping-restart 45
ping-timer-rem

persist-key
persist-tun
resolv-retry infinite
nobind
comp-lzo
verb 3
mute-replay-warnings

Na klientském i serverovém počítači musí být ve firewallu povolen port 1194 a pokud je v cestě NAT musí být nastaven forwarding portu 1194 na serverový počítač. Nakonec nastavíme automatické spuštění služby OpenVPN a službu spustíme, nejprve na serverovém počítači. Služba OpenVPN najde naše konfigurační soubory a vytvoří VPN spojení.

Příčiny nefunkční VPN

Soubory certifikátů serveru i klienta musí nenulovou délku. Pokud při generování certifikátu serveru dostanete chybovou hlášku:

The commonName field needed to be supplied and was missing

nebo

failed to update database

potom při generování vložte nějaký řetězec do hodnoty CommonName, až bude skript požadovat vstup této hodnoty.

ssh-keygen -R hostname

tento příkaz by měl ze souboru /root/.ssh/known_hosts vyřadit neplatné záznamy o počítači hostname. Potom test:

ssh -l root -i /root/.ssh/catv-id_dsa hostname

Byla zobrazena běžná  hláška:

The authenticity of host 'hostname (1.2.3.4)' can't be established.
RSA key fingerprint is .......
Are you sure you want to continue connecting (yes/no)?

Toto potvrzení se zobrazuje jen při prvním připojení. po potvrzení připojení však byla zobrazena hláška:

Warning: the RSA host key for 'hostname' differs from the key for the IP address '1.2.3.4'
Offending key for IP in /root/.ssh/known_hosts:13
Matching host key in /root/.ssh/known_hosts:40
Are you sure you want to continue connecting (yes/no)

a tato hláška se opakovala při každém připojení, což je problém, protože potřebujeme aby připojení bylo bezobslužné. Jakoby nezafungoval úplně správně ssh-keygen. Nakonec bylo potřeba ručně odstranit řádky 13 a 40 ze souboru /root/.shh/known_hosts, potom připojení proběhlo normálně.

Nic se mi nelíbilo, takže u mně funkční postup je:

- stáhnout program UNetbootin
- pomocí tohoto programu uložit na USB flash disk ISO obraz RescueCD

a hotovo, funguje to. Pokud potom chceme takto vytvořený bootovací disk použít na daném počítači, nejprve je zapojíme do nějakého USB portu, potom teprve v BIOSu nastavíme pořadí bootovacích zařízení, kde dáme na první místo náš USB disk.

netsh winsock reset catalog 
netsh int ipv4 reset reset.log
netsh int ipv6 reset reset.log

Po zadání příkazů restartujeme počítač. Příkazový řádek je nutné spustit jako správce, tedy klikneme na Start – Všechny programy – Příslušenství, zde na položce Příkazový řádek klikneme pravým tlačítkem, z nabídky vybereme Spustit jako správce.