Серверы/клиенты

Общая информация

Для создания зашифрованного канала типа сервер-клиенты необходимо:

  • в поле «Отключить» установить переключатель в случае необходимости отключить сервер, не удаляя его из списка;

../../../../../_images/one115.png

Отключение сервера, не удаляя его из списка

  • в поле «Описание» ввести краткое описание зашифрованного канала;

../../../../../_images/two99.png

Описание зашифрованного канала

Режим Peer to Peer Server (SSL/TLS)

Для настройки режима Peer to Peer Server (SSL/TLS) необходимо:

  • в поле «Режим» выбрать режим «Peer to Peer Server (SSL/TLS)» из выпадающего списка;

../../../../../_images/tri71.png

Выбор режима Peer to Peer Server (SSL/TLS)

  • в поле «Протокол» выбрать из выпадающего списка необходимый протокол, соответствующий таблице;

../../../../../_images/four60.png

Выбор протокола

Выбор протокола

Протокол

UDP

TCP

Примечание

Обратите внимание, что использование обоих семейств с UDP/TCP не работает с явным интерфейсом, поскольку OpenVPN не поддерживает прослушивание более одного указанного IP-адреса. В этом случае в настоящее время предполагается IPv4.

  • в поле «Режим работы устройства» выбрать из выпадающего списка необходимый режим работы, соответствующий таблице;

../../../../../_images/five57.png

Выбор режима работы устройства

Выбор режима работы устройства

Режим работы устройства

tun

tap

  • в поле «Интерфейс» выбрать из выпадающего списка необходимый интерфейс;

../../../../../_images/six53.png

Выбор интерфейса

Примечание

При выборе любого из них в сочетании с UDP мы будем предполагать, что сервер используется в многосетевом режиме. Это имеет некоторые небольшие последствия для производительности, чтобы обеспечить правильный поиск обратного адреса

  • в поле «Локальный порт» установить числовое значение порта;

../../../../../_images/seven44.png

Значение порта

Режим Peer to Peer Client (SSL/TLS)

Для настройки режима Peer to Peer Client (SSL/TLS) необходимо:

  • в поле «Режим» выбрать режим «Peer to Peer Client (SSL/TLS)» из выпадающего списка;

../../../../../_images/eit38.png

Выбор режима Peer to Peer Client (SSL/TLS)

  • в поле «Протокол» выбрать из выпадающего списка необходимый протокол, соответствующий таблице;

../../../../../_images/nine31.png

Выбор протокола

Выбор протокола

Протокол

UDP

TCP

Примечание

Обратите внимание, что использование обоих семейств с UDP/TCP не работает с явным интерфейсом, поскольку OpenVPN не поддерживает прослушивание более одного указанного IP-адреса. В этом случае в настоящее время предполагается IPv4

  • в поле «Режим работы устройства» выбрать из выпадающего списка необходимый режим работы, соответствующий таблице;

../../../../../_images/ten26.png

Выбор режима работы устройства

Выбор режима работы устройства

Режим работы устройства

tun

tap

  • в поле «Интерфейс» выбрать из выпадающего списка необходимый интерфейс;

../../../../../_images/eleven21.png

Выбор интерфейса

Примечание

При выборе любого из них в сочетании с UDP мы будем предполагать, что сервер используется в многосетевом режиме. Это имеет некоторые небольшие последствия для производительности, чтобы обеспечить правильный поиск обратного адреса

  • в поле «Удаленный сервер» в колонке «Хост или адрес» и «Порт» ввести соответствующие значения, либо установить переключатель в случае необходимости выбора удаленного сервера случайным образом;

../../../../../_images/twelve21.png

Выбор удаленного сервера

  • в поле «Локальный порт» установить числовое значение порта;

../../../../../_images/trinad20.png

Значение порта

  • в поля «Имя пользователя» и «Пароль» ввести имя пользователя и пароль;

../../../../../_images/fourteen17.png

Имя пользователя/пароль

Примечание

Оставьте пустым, когда не требуется имя пользователя и пароль

  • в поле «Время пересогласования» ввести числовое значение пересогласования ключа канала данных после n секунд;

../../../../../_images/fiveteen17.png

Значение времени пересогласования

Примечание

По умолчанию 3600. Установите 0, чтобы отключить.

Режим Удаленный доступ (SSL/TLS)

Для настройки режима Удаленный доступ (SSL/TLS) необходимо:

  • в поле «Режим» выбрать режим «Удаленный доступ (SSL/TLS)» из выпадающего списка;

../../../../../_images/sixteen17.png

Выбор режима Удаленный доступ (SSL/TLS)

  • в поле «Протокол» выбрать из выпадающего списка необходимый протокол, соответствующий таблице;

../../../../../_images/seventeen16.png

Выбор протокола

Выбор протокола

Протокол

UDP

TCP

Примечание

Обратите внимание, что использование обоих семейств с UDP/TCP не работает с явным интерфейсом, поскольку OpenVPN не поддерживает прослушивание более одного указанного IP-адреса. В этом случае в настоящее время предполагается IPv4

  • в поле «Режим работы устройства» выбрать из выпадающего списка необходимый режим работы, соответствующий таблице;

../../../../../_images/eitteen12.png

Выбор режима работы устройства

Выбор режима работы устройства

Режим работы устройства

tun

tap

  • в поле «Интерфейс» выбрать из выпадающего списка необходимый интерфейс;

../../../../../_images/nineteen12.png

Выбор интерфейса

Примечание

При выборе любого из них в сочетании с UDP мы будем предполагать, что сервер используется в многосетевом режиме. Это имеет некоторые небольшие последствия для производительности, чтобы обеспечить правильный поиск обратного адреса

  • в поле «Локальный порт» установить числовое значение порта;

../../../../../_images/twenty10.png

Значение порта

Режим Удаленный доступ (аутентификация пользователя)

Для настройки режима Удаленный доступ (аутентификация пользователя) необходимо:

  • в поле «Режим» выбрать режим «Удаленный доступ (аутентификация пользователя)» из выпадающего списка;

../../../../../_images/twentyone7.png

Выбор режима Удаленный доступ (аутентификация пользователя)

  • в поле «Сервер для аутентификации» выбрать из выпадающего списка необходимый сервер, соответствующий таблице;

../../../../../_images/twentytwo7.png

Выбор сервера для аутентификации

Выбор сервера для аутентификации

Сервер для аутентификации

Ничего не выбрано

Локальная база данных

  • в поле «Принудительно использовать локальную группу» выбрать из выпадающего списка необходимую группу, пользователям которой необходимо разграничить доступ;

../../../../../_images/twentytri7.png

Выбор локальной группы

  • в поле «Протокол» выбрать из выпадающего списка необходимый протокол, соответствующий таблице;

../../../../../_images/twentyfour6.png

Выбор протокола

Выбор протокола

Протокол

UDP

TCP

Примечание

Обратите внимание, что использование обоих семейств с UDP/TCP не работает с явным интерфейсом, поскольку OpenVPN не поддерживает прослушивание более одного указанного IP-адреса. В этом случае в настоящее время предполагается IPv4

  • в поле «Режим работы устройства» выбрать из выпадающего списка необходимый режим работы, соответствующий таблице;

../../../../../_images/twentyfive6.png

Выбор режима работы устройства

Выбор режима работы устройства

Режим работы устройства

tun

tap

  • в поле «Интерфейс» выбрать из выпадающего списка необходимый интерфейс;

../../../../../_images/twentysix6.png

Выбор интерфейса

Примечание

При выборе любого из них в сочетании с UDP мы будем предполагать, что сервер используется в многосетевом режиме. Это имеет некоторые небольшие последствия для производительности, чтобы обеспечить правильный поиск обратного адреса

  • в поле «Локальный порт» установить числовое значение порта;

../../../../../_images/twentyseven6.png

Значение порта

Режим Удаленный доступ (SSL/TLS+аутентификация пользователя)

Для настройки режима Удаленный доступ (SSL/TLS+аутентификация пользователя) необходимо:

  • в поле «Режим» выбрать режим «Удаленный доступ (SSL/TLS+аутентификация пользователя)» из выпадающего списка;

../../../../../_images/twentyeit6.png

Выбор режима Удаленный доступ (SSL/TLS+аутентификация пользователя)

  • в поле «Сервер для аутентификации» выбрать из выпадающего списка необходимый сервер, соответствующий таблице;

../../../../../_images/twentynine6.png

Выбор сервера для аутентификации

Выбор сервера для аутентификации

Сервер для аутентификации

Ничего не выбрано

Локальная база данных

  • в поле «Принудительно использовать локальную группу» выбрать из выпадающего списка необходимую группу, пользователям которой необходимо разграничить доступ;

../../../../../_images/trizero6.png

Выбор локальной группы

  • в поле «Протокол» выбрать из выпадающего списка необходимый протокол, соответствующий таблице;

../../../../../_images/trione6.png

Выбор протокола

Выбор протокола

Протокол

UDP

TCP

Примечание

Обратите внимание, что использование обоих семейств с UDP/TCP не работает с явным интерфейсом, поскольку OpenVPN не поддерживает прослушивание более одного указанного IP-адреса. В этом случае в настоящее время предполагается IPv4

  • в поле «Режим работы устройства» выбрать из выпадающего списка необходимый режим работы, соответствующий таблице;

../../../../../_images/tritwo5.png

Выбор режима работы устройства

Выбор режима работы устройства

Режим работы устройства

tun

tap

  • в поле «Интерфейс» выбрать из выпадающего списка необходимый интерфейс;

../../../../../_images/tritri7.png

Выбор интерфейса

Примечание

При выборе любого из них в сочетании с UDP мы будем предполагать, что сервер используется в многосетевом режиме. Это имеет некоторые небольшие последствия для производительности, чтобы обеспечить правильный поиск обратного адреса

  • в поле «Локальный порт» установить числовое значение порта;

../../../../../_images/trifour5.png

Значение порта

Криптографические установки

Для создания криптографических установок необходимо:

  • в поле «Аутентификация TLS» установить переключатель в случае необходимости включить аутентификацию пакетов TLS и автоматически генерировать совместно использующийся ключ аутентификации TLS;

../../../../../_images/trifive5.png

Выбор аутентификации TLS

  • в поле «Центр сертификации пиров» выбрать из выпадающего списка необходимый центр сертификации;

../../../../../_images/trisix4.png

Выбор центра сертификации пиров

  • в поле «Список отзыва сертификатов узлов» установить необходимый список отзыва;

../../../../../_images/triseven4.png

Выбор списка отзыва сертификатов узлов

  • в поле «Сертификат сервера» установить необходимый cертификат сервера;

../../../../../_images/trieit5.png

Выбор сертификата сервера

  • в поле «Длина параметров DH» выбрать из выпадающего списка необходимую длину, соответствующую таблице;

../../../../../_images/trinine5.png

Длина параметров DH

Длина параметров DH

Длина параметров DH

1024 бит

2048 бит

4096 бит

  • в поле «Алгоритм шифрования» выбрать из выпадающего списка необходимый алгоритм;

../../../../../_images/fourone6.png

Выбор алгоритма шифрования

  • в поле «Дайджест-алгоритм аутентификации» выбрать из выпадающего списка необходимый алгоритм;

../../../../../_images/fourtwo5.png

Дайджест-алгоритм аутентификации

Примечание

Не изменяйте эти настройки, если все клиенты поддерживают установленный по умолчанию для OpenVPN алгоритм хеширования SHA1

  • в поле «Уровень сертификата» выбрать из выпадающего списка необходимый уровень;

../../../../../_images/fourtri5.png

Выбор уровня сертификата

Примечание

Если клиент входит в систему на основе сертификата, не принимать сертификаты ниже указанного уровня. Позволяет отклонять сертификаты, выданные промежуточными центрами сертификации, сгенерированные на основе того же корневого сертификата, что и сертификат сервера

  • в поле «Ограниченный пользователь/совпадение с общим именем сертификата» (при выборе режима «Удаленный доступ (SSL/TLS+аутентификация пользователя)») установить переключатель для успешной аутентификации пользователей общее имя сертификата клиента должно совпадать с именем пользователя, полученным при входе в систему;

../../../../../_images/oneone3.png

Ограниченный пользователь/совпадение с общим именем сертификата

Настройки туннеля

Для настроек туннеля необходимо:

  • в поле «Туннельная сеть IPv4» указать туннельную сеть IPv4;

../../../../../_images/fourfive6.png

Туннельная сеть IPv4

Примечание

Эта виртуальная сеть IPv4 используется для частных соединений между этим сервером и клиентскими хостами в формате CIDR (например, 10.0.8.0/24). Первый сетевой адрес будет назначен интерфейсу виртуального сервера. Остальные сетевые адреса могут быть дополнительно назначены подключаемым клиентам (см. пул IP-адресов)

Для настроек туннеля необходимо:

  • в поле «Локальная сеть IPv4» указать локальную сеть IPv4;

../../../../../_images/foursix5.png

Локальная сеть IPv4

Примечание

Сети IPv4, которые будут доступны из удаленной точки, представляют собой разделенный запятыми список из одного или нескольких CIDR-диапазонов. Вы можете оставить это поле пустым, если вы не хотите добавлять маршрут к локальной сети через этот туннель на удаленном компьютере. Как правило, определен маршрут к вашей сети LAN

  • в поле «Удаленная сеть IPv4» указать удаленную сеть IPv4;

../../../../../_images/fourseven4.png

Удаленная сеть IPv4

Примечание

Сети IPv4, для которых будет создан маршрут через туннель, чтобы установить VPN-соединение между двумя пунктами, не изменяя таблицы маршрутизации вручную, представляют собой разделенный запятыми список из одного или нескольких CIDR-диапазонов. Для VPN-соединения между двумя пунктами, необходимо ввести адрес удаленной сети LAN. Вы можете оставить это поле пустым, если не хотите использовать VPN-соединение между двумя пунктами

  • в поле «Число одновременных подключений» указать максимальное количество клиентов, которым разрешено одновременно подключаться к этому серверу;

../../../../../_images/foureit4.png

Число одновременных подключений

  • в поле «Сжатие» указать параметры сжатия;

../../../../../_images/fournine4.png

Сжатие

Примечание

Сжимайте туннельные пакеты с помощью алгоритма LZ4/LZO. LZ4 обычно предлагает наилучшую производительность при наименьшей загрузке ЦП. Для обратной совместимости используйте LZO (который идентичен старой опции –comp-lzo yes). В частичном режиме (опция –compress с пустым алгоритмом) сжатие отключено, но кадрирование пакетов для сжатия по-прежнему включено, что позволяет позже установить другой параметр. Устаревший алгоритм LZO с адаптивным режимом сжатия будет динамически отключать сжатие на определенный период времени, если OpenVPN обнаружит, что данные в пакетах не сжимаются эффективно

  • в поле «Pass through TOS» установить переключатель в случае необходимости указать значение поля «Тип сервиса» заголовка IP для туннельных пакетов так, чтобы оно совпадало со значением инкапсулированного пакета;

../../../../../_images/fivezero4.png

Pass through TOS

Настройки клиента

Для настроек клиента необходимо:

  • в поле «Динамический IP-адрес» установить переключатель в случае необходимости разрешить подключенным клиентам сохранять соединения, если их IP-адрес изменился;

../../../../../_images/fiveone4.png

Динамический IP-адрес

  • в поле «Топология сети» установить переключатель в случае необходимости выделить только один IP-адрес для клиента (топология подсети) вместо изолированной подсети (топология net30);

../../../../../_images/fivetwo3.png

Топология сети

Примечание

Актуально при указании IP-адреса виртуального адаптера для клиентов, когда используется режим TUN на IPv4

  • в поле «Домен DNS по умолчанию» предоставить клиентам доменное имя по умолчанию;

../../../../../_images/fivetri2.png

Домен DNS по умолчанию

  • в поле «DNS-серверы» предоставить клиенту список NTP-серверов;

../../../../../_images/fivefour2.png

DNS-серверы

  • в поле «Принудительное обновление кэша DNS» установить переключатель в случае необходимости запустить «net stop dnscache», «net start dnscache», «ipconfig /flushdns» и «ipconfig /registerdns» при инициации соединения;

../../../../../_images/fivefive3.png

Принудительное обновление кэша DNS

Примечание

Это заставляет Windows распознавать развернутые DNS-серверы

  • в поле «Prevent DNS leaks» установить переключатель в случае необходимости блокировать DNS-серверы на других сетевых адаптерах, чтобы предотвратить утечку DNS;

../../../../../_images/fivesix2.png

Prevent DNS leaks

Примечание

Совместим только с клиентами Windows

  • в поле «NTP-серверы» предоставить клиенту список NTP-серверов;

../../../../../_images/fiveseven2.png

NTP-серверы

  • нажать кнопку «Сохранить» save .