71.2.2. Настройка сервера OpenVPN

⁠71.2.2. Настройка сервера OpenVPN

Файл конфигурации должен быть размещен в /etc/openvpn/, все ключи – в /etc/openvpn/keys, файлы настроек клиентов – в /etc/openvpn/ccd/ или /var/lib/openvpn/etc/openvpn/ccd/.

Ранее созданные ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.

Важно правильно указать права доступа. Ключи должны быть доступны только администратору, конфигурации клиентов должны быть доступны на чтение пользователю openvpn.

Каждый файл конфигурации по маске /etc/openvpn/*.conf является конфигурацией отдельного экземпляра демона openvpn.

Примечание

Для настройки OpenVPN сервера можно использовать образец файла конфигурации OpenVPN, для этого следует скопировать файл /usr/share/doc/openvpn-gostcrypto-2.4.9/server.conf в каталог /etc/openvpn/ (номер версии в названии каталога может быть другим).

В файле конфигурации должны быть указаны:

ifconfig-pool-persist и status — без полного пути либо с путем /cache/;
ca, dh, cert, key — с путем /etc/openvpn/keys/;
client-config-dir /etc/openvpn/ccd;
ncp-disable — для возможности использования шифра отличного от AES-256-GCM.

Пример конфигурации:

# cat /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/my-ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.pem
dh /etc/openvpn/keys/server.dh
comp-lzo
server 10.8.0.0 255.255.255.0
tls-server
cipher grasshopper-cbc
tls-cipher GOST2012-GOST8912-GOST8912
ncp-disable
verb 3
mute 10
keepalive 10 60
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
ifconfig-pool-persist server_ipp.txt
verb 3
client-to-client
management localhost 1194
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.122"
;client-config-dir /etc/openvpn/ccd

Ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.

Запустить сервер OpenVPN:

# openvpn /etc/openvpn/server.conf