Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek

Настройка OpenVPN на роутере DrayTek Vigor при помощи XCA

OpenVPN - это метод VPN с открытым исходным кодом, который может проходить через трансляторы сетевых адресов (NAT) и брандмауэры, поскольку он использует настраиваемый протокол безопасности, который использует SSL / TLS для обмена ключами. Сертификат - это один из методов аутентификации клиента, который поддерживает OpenVPN. Имея центр сертификации (CA) для подписи сертификата, сервер может использовать разные сертификаты для каждого клиента в топологии с несколькими клиент-серверами.
В этой статье мы будем использовать XCA, бесплатное программное обеспечение центра сертификации (CA), для создания и управления сертификатами сервера и клиента, необходимыми для конфигурации OpenVPN. Эта статья включает:

Часть 1. Создание сертификата сервера на маршрутизаторе

1-1. Поскольку у сертификата есть действительный период, убедитесь, что настройки времени маршрутизатора верны в разделе « System Maintenance >> Time and Date.» .

скриншот настроек времени и даты DrayOS

1-2. Перейдите в Certificate Management >> Local Certificateт, чтобы сгенерировать новый сертификат. Введите информацию и нажмите « Generate» .

скриншот DrayOS, генерирующего новый локальный сертификат

1-3. После нажатия кнопки «Создать» вы увидите запрос на подпись сертификата, который должен быть подписан центром сертификации. Скопируйте сертификат в PEM Format Content .

скриншот запроса на подпись сертификата DrayOS

Часть 2. Создание нового центра сертификации на XCA.

2-1. Запустите XCA, перейдите на вкладку Certificates, нажмите New Certificate . Выберите Create a self-signed Certificate with the serial. Нажмите  Apply all, чтобы применить шаблон ЦС.

скриншот XCA

2-2. Перейдите на страницу Sunject,

  • введите различимую информацию для сертификата, затем щелкните Generate a new key. .
  • Выберите «RSA» для Keytype  и «2048 бит» для Keysize , затем нажмите « Create» .
  • Нажмите ОК, чтобы сгенерировать сертификат ЦС. Теперь у нас есть сертификат доверенного центра сертификации для подписи сертификата сервера и сертификата клиента.

скриншот XCA

Часть 3. Импорт подписанного сертификата сервера и сертификата CA на маршрутизатор

3-1 Перейдите в раздел «Certificate signing requests», выберите «Paste PEM data» и вставьте содержимое формата PEM, скопированное с маршрутизатора на шаге 1–3.

скриншот XCA

3-2. Щелкните импортированный сертификат правой кнопкой мыши и выберите « Sign» . Для подписи используйте сертификат, созданный на шаге 2.

скриншот XCA

3-3 На вкладке «Сертификат» экспортируйте подписанный локальный сертификат в формате .crt. Вернитесь к графическому интерфейсу маршрутизатора, импортируйте его в маршрутизатор в разделе Certificate Management >> Local Certificate >> Upload Local Certificate. .

скриншот XCA и DrayOS

3-4 Убедитесь, что статус загруженного сертификата в порядке.

снимок экрана локального сертификата DrayOS, показывающий ОК в статусе

3-5 В XCA перейдите в раздел «Сертификат», выберите сертификат ЦС и экспортируйте его в формате .crt и импортируйте его в маршрутизатор в разделе « Certificate Management >> Trusted CA Certificate.

скриншот XCA и DrayOS

3-6 Убедитесь, что импортированный доверенный ЦС находится в хорошем состоянии.

снимок экрана DrayOS Trusted CA, показывающий ОК

Часть 4. Создание закрытого сертификата и закрытого ключа для VPN-клиента.

4-1 В XCA перейдите в раздел «Certificates» и нажмите « New Certificate . В разделе «Подписание» выберите «use the CA certificate for signing.».

скриншот XCA

4-2 Перейдите на страницу темы,

  • введите различимую информацию для сертификата,
  • щелкните « Generate a new key» , выберите «RSA» для Keytype  и «2048 бит» для параметра « Keysize» . Затем нажмите " Create" .
  • Нажмите ОК, чтобы сгенерировать сертификат. Теперь у нас есть частный сертификат для VPN-клиента.

скриншот XCA

4-3. Перейдите в раздел «Certificates» и выберите только что созданный сертификат. Экспортируйте его в формат .crt и импортируйте в VPN-клиент.

скриншот XCA

4-4. Перейдите в раздел «Private Keys», экспортируйте закрытый ключ (Oclient.key), вручную измените имя расширения на. .key.Затем импортируйте его в VPN-клиент.

скриншот XCA

Часть 5. Настройка маршрутизатора в качестве сервера OpenVPN.

5-1. Перейдите в VPN and Remote Access >> OpenVPN General Setup, и выполните конфигурацию, указанную ниже.

скриншот Общей настройки DrayOS Open VPN

5-2. Перейдите на вкладку Client Config, укажите имя файла CA Certificate, , Client Certificate для OpenVPN клиента и  Client Key . Затем нажмите « Export» .

скриншот настройки DrayOS Open VPN Client Config

5-3. Перейдите в раздел «VPN and Remote Access >> Remote Dial-in User», чтобы создать профили пользователей для подключенных пользователей OpenVPN. Установите флажок Enable this account , введите имя пользователя / пароль и установите флажок OpenVPN Tunnel в поле Allowed Dial-In Type.

снимок экрана DrayOS Remote Dial-in User Setup

5-4. Перейдите в раздел  VPN and Remote Access >> SSL General Setup, чтобы изменить сертификат сервера на локальный сертификат, созданный в части 2.

скриншот Общей настройки DrayOS SSL VPN

Часть 6: Настройка клиента в графическом интерфейсе OpenVPN

 

6-1 Импортируйте конфигурацию OpenVPN (test.ovpn) в графический интерфейс OpenVPN. В папку конфигурации OpenVPN нужно положить три файла:

  • Сертификат доверенного центра сертификации (CAtest.crt)
  • Частный сертификат (Oclient.crt)
  • Закрытый ключ (Oclient.key)
s скриншот пользовательского интерфейса OpenVPN

6-2 Нажмите « Подключиться» и введите имя пользователя / пароль, настроенные на шаге 5-3.

скриншот интерфейса OpenVPN

Настройка клиента в Smart VPN client

OpenVPN поддерживается клиентом Smart VPN, начиная с версии 5.2.0, сначала установите OpenVPN для Windows .

Ниже приведены шаги по настройке смарт-клиента VPN в качестве альтернативного решения помимо графического интерфейса OpenVPN.

1. Добавьте профиль VPN и выберите тип VPN OpenVPN, затем импортируйте конфигурацию OpenVPN (test.ovpn) в клиент Smart VPN.

импортировать конфигурацию в смарт-клиент vpn

2. Введите имя пользователя / пароль, настроенные на шаге 5-3, и нажмите OK, чтобы сохранить его.

умная аутентификация клиента vpn

3. В папку ovpnca смарт-клиента VPN нужно положить три файла:

  • Сертификат доверенного центра сертификации (CAtest.crt)
  • Частный сертификат (Oclient.crt)
  • Закрытый ключ (Oclient.key)
путь к сертификату клиента smart vpn

4. Затем включите Connect.

умное подключение клиента vpn

После установки туннелей OpenVPN статус VPN будет отображаться в разделе VPN and Remote Access >> Connection Management

скриншот DrayOS, показывающий OpenVPN онлайн

Исправление проблем

VERIFY ERROR: error=self signed certificate
Маршрутизатор использует самозаверяющий сертификат для VPN вместо сертификата, который мы импортировали. Проверьте настройки сертификата сервера в SSL VPN >> Общие настройки (шаг 5-4).




Поиск по каталогу
Например Termit iRZ модем Rl21 Atm21 Антенна 906 sma 47270
Поиск по базе знаний
Например ATM control iRZ collector iRZ bridge Termit Настройка ALFA
Мы используем cookie-файлы