6.14 Встановлення та налаштування OpenVPN сервера
OpenVPN – це надійне програмне забезпечення з відкритим кодом для створення захищених VPN-тунелів. Воно дозволяє безпечно передавати дані через публічні мережі, шифруючи весь трафік.
Використання VPN серверу надає можливість безпечно підключатися до корпоративної мережі віддалено, обходити географічні обмеження та захищати особисті дані при роботі через публічні Wi-Fi мережі.
Сьогодні OpenVPN вважається одним з найбезпечніших VPN рішень завдяки використанню надійних алгоритмів шифрування та відкритому коду, який постійно перевіряється спільнотою.
Важливо: перед початком встановлення переконайтеся що у Вас є наступні привелегії.
- У Вас є root-доступ до сервера.
- Ваш сервер має статичну IP-адресу.
- На сервері відкриті потрібні порти (за замовчуванням UDP 1194).
- Система оновлена до останньої версії.
Процедура встановлення
Процес встановлення OpenVPN залежить від операційної системи. Перед початком встановлення важливо переконатися, що система відповідає всім необхідним вимогам та має достатньо ресурсів для стабільної роботи VPN-сервера.
Встановлення OpenVPN включає не лише копіювання файлів, але й налаштування системи безпеки, створення сертифікатів та налаштування мережевих параметрів. Важливо виконувати всі кроки послідовно та уважно, оскільки помилки на цьому етапі можуть призвести до проблем з безпекою або працездатністю сервера.
Встановлення на Debian/Ubuntu:
- Оновлення системи:
- Встановлення OpenVPN та утиліти easy-rsa:
- Налаштування PKI:
Встановлення на CentOS/AlmaLinux/RockyLinux:
- Оновлення системи:
- Додавання EPEL репозиторію:
- Встановлення OpenVPN:
- Підготовка директорій:
Підготовка PKI та сертифікатів
Public Key Infrastructure (PKI) є критично важливою складовою безпеки OpenVPN. Вона забезпечує створення та управління цифровими сертифікатами, які використовуються для аутентифікації та шифрування з’єднань. Easy-RSA - це утиліта для управління PKI, яка дозволяє легко створювати сертифікати для сервера та клієнтів.
В процесі налаштування PKI створюються:
- Кореневий сертифікат (CA) для підпису інших сертифікатів.
- Сертифікат та приватний ключ сервера.
- Параметри Діффі-Хеллмана для безпечного обміну ключами.
- Додатковий ключ TLS для захисту від DOS-атак.
Виконайте наведені команди по черзі. Під час виконання може виникнути одна з наведених нижче дій:
- Підтвердження дій. Якщо з’явиться запит підтвердження, введіть
yes
і натисніть Enter. - Введення пароля. Деякі команди можуть вимагати пароль. Пам’ятайте, що під час введення пароля символи не відображаються в консолі. Просто введіть пароль і натисніть
Enter
. - Запит імені користувача або
commonName
. У деяких випадках система може запросити ввести ім’я користувача чи значення commonName. Це може бути назва сервера або клієнта. Введіть потрібне значення (наприклад, server для сервера або client1 для клієнта) та натиснітьEnter
.
Конфігурація сервера
Цей етап включає створення основного конфігураційного файлу OpenVPN, який визначає параметри роботи сервера, включаючи протокол, порт, методи шифрування та аутентифікації, а також налаштування мережі для клієнтів.
Створення базової конфігурації:
Далі ми готуємо операційну систему до роботи з VPN-сервером, включаючи налаштування IP-форвардингу, який дозволяє передавати пакети між різними мережевими інтерфейсами, що є необхідним для функціонування VPN.
Увімкнення IP форвардингу (для всіх ОС):
Налаштування файрволу
Налаштування файрволу включає створення правил для фільтрації вхідного та вихідного трафіку, налаштування NAT (Network Address Translation) для забезпечення доступу клієнтів до зовнішніх ресурсів, а також налаштування маршрутизації трафіку між різними мережевими інтерфейсами.
В даному розділі ми розглянемо налаштування різних типів файрволів, включаючи традиційний iptables, UFW (Uncomplicated Firewall) для Ubuntu/Debian та firewalld для CentOS. Кожен з цих інструментів має свої особливості та переваги, тому вибір конкретного рішення залежить від Ваших потреб та досвіду адміністрування.
Налаштування Iptables:
Важливо: замініть eth0
на Ваш реальний мережевий інтерфейс.
- Налаштування NAT та форвардингу:
- Збереження правил Iptables.
Для Debian/Ubuntu:
Для CentOS/AlmaLinux/RockyLinux:
UFW на Ubuntu/Debian:
- Налаштування UFW:
- Налаштування форвардингу:
Firewalld на CentOS/AlmaLinux/RockyLinux:
- Базові налаштування:
- Налаштування форвардингу:
- Застосування змін:
Генерація клієнтських сертифікатів
- Генерація сертифікатів для клієнта:
- Створення клієнтської конфігурації:
- Додавання сертифікатів до конфігурації:
Запуск сервера
Для Debian/Ubuntu:
Для CentOS/AlmaLinux/RockyLinux:
Інформуємо: як перевірити статус сервіса:
Підключення на комп’ютері
Налаштування OpenVPN на персональному комп’ютері надає можливість безпечного віддаленого доступу до корпоративних ресурсів та захищеного з’єднання при роботі через публічні мережі. Процес налаштування відрізняється залежно від операційної системи, але загальні принципи залишаються незмінними.
Windows
Підключення на комп’ютерах з Windows можна виконати за допомогою офіційного клієнта OpenVPN GUI. Цей клієнт пропонує зручний графічний інтерфейс для управління VPN-з’єднаннями та підтримує всі сучасні версії Windows. Процес налаштування включає встановлення програми та імпорт конфігураційних файлів.
-
Встановлення клієнта:
- Завантажте OpenVPN клієнт.
- Запустіть інсталятор та виконайте стандартні кроки встановлення.
-
Налаштування:
- Перемістіть конфігураційні файли в
C:\Users\Ваш_Користувач\OpenVPN\config\
абоC:\Program Files\OpenVPN\config\
. - Необхідні файли (може бути потрібно від 1 до 4 файлів, в залежності від налаштувань сервера):
- Конфігурація (
*.ovpn
). - Сертифікат клієнта (
*.crt
). - Приватний ключ (
*.key
). - Сертифікат CA (
ca.crt
).
- Конфігурація (
- Перемістіть конфігураційні файли в

Інформуємо: для зручності можна створювати окрему папку під кожну конфігурацію.
- Підключення:
- Запустіть клієнт OpenVPN GUI.
- Клікніть правою кнопкою на іконці в системному треї.
- Виберіть
Connect
.
Linux
Linux надає гнучкі можливості для налаштування OpenVPN як через командний рядок, так і через графічний інтерфейс. Завдяки вбудованій підтримці OpenVPN у більшості дистрибутивів, процес налаштування зазвичай не викликає складнощів у користувачів, знайомих з Linux-системами.
Встановлення через термінал:
- Налаштування через термінал:
- Запуск підключення:
Встановлення через графічний інтерфейс:
- Встановіть Network Manager OpenVPN плагін:
- Відкрийте налаштування мережі.
- Додайте VPN-підключення.
- Імпортуйте файл
.ovpn
.
MacOS
Для користувачів MacOS можна використовувати спеціальну версію OpenVPN Connect, яка повністю інтегрується з системою та забезпечує простий і надійний спосіб управління VPN-підключеннями. Додаток підтримує всі сучасні версії MacOS та пропонує інтуїтивно зрозумілий інтерфейс.
-
Встановлення:
- Завантажте OpenVPN Connect
- Запустіть інсталятор та виконайте стандартні кроки встановлення.
-
Налаштування:
- Відкрийте OpenVPN Connect.
- Натисніть
+
для додавання профілю. - Імпортуйте
.ovpn
файл перетягуванням або через менюBrowse
. - Введіть необхідні облікові дані.
- Збережіть профіль.
Підключення на мобільних пристроях
Мобільні пристрої стали важливою частиною нашого життя, тому безпечний доступ до мережі через VPN на смартфонах та планшетах може знадобитися для захисту даних. OpenVPN пропонує офіційні клієнти для всіх популярних мобільних платформ.
Важливо: більшість безкоштовних мобільних клієнтів OpenVPN не підтримують протокол tap
, який використовується за замовчуванням. Щоб уникнути проблем, налаштуйте сервер OpenVPN для роботи з протоколом tun
.
Android
OpenVPN Connect для Android забезпечує надійний та безпечний спосіб підключення до VPN-серверів. Додаток доступний через Google Play Market та підтримує широкий спектр Android-пристроїв, включаючи смартфони та планшети різних виробників. Інтерфейс програми оптимізовано для зручного використання на мобільних пристроях.
-
Встановлення:
- Завантажте OpenVPN Connect з Google Play Market.
-
Налаштування:
- Перенесіть
.ovpn
файл на пристрій. - Відкрийте OpenVPN Connect.
- Натисніть
+
та виберіть спосіб імпорту:URL
абоUpload File
. - Ми використовуємо
Upload File
, натискаємоBrowse
для вибору файла конфігурації - Знайдіть та виберіть раніше завантажений
.ovpn
файл. - Введіть назву підключення (
Profile Name
) та облікові дані (Username
таPassword
).
- Перенесіть
iOS
Версія OpenVPN Connect для iOS розроблена з урахуванням особливостей екосистеми Apple та забезпечує безперебійну роботу на iPhone та iPad. Додаток повністю відповідає вимогам безпеки App Store та інтегрується з системними налаштуваннями iOS для максимальної зручності використання.
-
Встановлення:
- Завантажте OpenVPN Connect з App Store.
-
Налаштування:
- Імпортуйте профіль одним із способів:
- Через файл
.ovpn
(iCloud, Dropbox). - Через URL підключення.
- Через прямий імпорт від провайдера.
- Введіть назву підключення та облікові дані.
- Через файл
- Імпортуйте профіль одним із способів:
Важливо:
- Переконайтеся в наявності всіх необхідних файлів сертифікатів.
- Використовуйте тільки офіційні джерела для завантаження клієнтів.
- Регулярно оновлюйте програмне забезпечення.
- Зберігайте конфігураційні файли в надійному місці.
Інформуємо: для отримання додаткової інформації звертайтеся до офіційної документації OpenVPN та документації Вашого пристрою.