Как предоставить доступ для всех устройств из локальной сети к VPN
Наверное, ни для кого уже не секрет, что использование технологии Virtual Private Network (VPN) становится повседневной необходимостью. На рынке присутствует много решений – платных и бесплатных.
Так как бесплатным бывает только сыр в мышеловке, бесплатные решения вызывают подозрения, да и надоедливая реклама, которая сейчас окружает все бесплатное в интернете, очень раздражает. Стоимость же платных решений достаточно высока.
Обычно решение представляет из себя приложение, которое устанавливается на компьютер, смартфон или браузер, и серверную часть, с которой это обеспечение работает. Часто VPN позволяет выбирать страну, где будет находиться VPN сервер.
Установка приложения на компьютер, смартфон или браузер имеет ряд недостатков.
На некоторые устройства, например телевизор со Smart TV, или какое-то нестандартное устройство, требующее доступа к интернету, установка приложения может быть невозможна.
На разные виды устройств ставятся разные приложения. Для Android оно будут одни, для Windows — другие.
Приложение может содержать вирус или какую-нибудь уязвимость. Чем больше различных устройств с этим приложением вы используете, тем больше вероятность, что оно их содержит.
Мне хотелось более простого доступа к интернету через VPN, и я понял, что самое удобное решение, это предоставить доступ из локальной сети в сеть VPN. Для этого понадобится роутер, который может выступать в качестве VPN клиента, и VPN сервер.
То, что скорее всего, моя идея осуществима, меня вдохновило, и я принялся воплощать ее в жизнь. Процесс этот был методом проб и ошибок, я его не документировал, да и, наверное, это было бы утомительно приводить его в этой статье. Результатом стало то, что из множества протоколов VPN (PPTP, L2TP/IPSec, OpenVPN и WireGuard) я выбрал WireGuard, а из различных кастомных прошивок (DD-WRT, FreshTomato, OpenWRT) я выбрал OpenWRT. Также из-за того, что я хотел иметь постоянный доступ в интернет и проводить различные эксперименты, я установил кастомную прошивку на один роутер и подключил его WAN порт к одному из LAN портов другого, имеющего доступ в интернет.
Я не претендую на то, что это решение правильное, полностью безопасное и не лишено уязвимостей, но оно работает и решает основную задачу — быстро и просто получить доступ в интернет, минуя ограничения, с которыми вы можете столкнуться, например, приехав в командировку в другую страну.
Установка кастомной прошивки на роутер
Начнем с самого трудного, на мой взгляд, это установки кастомной прошивки на роутер. Я долго не мог решиться на этот шаг, так как боялся сделать кирпич из своего роутера. Меня, как и вероятно, вас пугали различные предупреждающие сообщения в статьях по перепрошивке каких-либо устройств. К счастью, мои опасения оказались напрасными. Кирпич из своего роутера у меня сделать не получилось, но это не значит, что не получится у вас. Операция по перепрошивке роутера отличается для разных моделей роутеров и может преподнести различные сюрпризы.
Вам понадобится одна из самых последних версий этой прошивки. На момент написания статьи это OpenWrt 22.03.0.
Для начала необходимо убедиться, что эта версия прошивки есть для вашего роутера, что у роутера достаточно ресурсов, чтобы корректно работала прошивка и была возможность поставить VPN клиент.
Следует внимательно почитать страницу на сайте OpenWRT для вашего роутера, посмотреть какие у него есть особенности. Например, как можно восстановить стоковую прошивку на вашем роутере, как необходимо устанавливать кастомную прошивку. Также необходимо внимательно изучить информацию об аппаратных версиях вашего роутера. Роутеры одной модели могут иметь разные аппаратные реализации, это очень важно, чтобы не испортить роутер при перепрошивке.
Так как у меня был роутер ASUS RT-56U V1, то здесь приведу, как я устанавливал прошивку на свой роутер. Подробно процесс описан по следующей ссылке https://www.asus.com/ru/support/FAQ/1000814/.
Отключаем в Windows все сетевые карты на компьютере, кроме той, к которой при помощи кабеля будем подключать роутер.
Заходим в настройки TCP/IP для сетевой карты и вводим адрес 192.168.1.10 и маску 255.255.255.0.
Запускаем приложение для прошивки.
Выбираем файл с нужной прошивкой.
Подключаем роутер по сетевому кабелю к компьютеру. Зажимаем кнопку Reset и включаем роутер. Ждем пока он перейдет в режим обновления (мигающий светодиод питания, я подождал на всякий случай секунд 15).
Нажимаем кнопку Upload в приложении.
Ждем пока роутер прошьется и перезагрузится.
Заходим в настройки TCP/IP для сетевой карты и устанавливаем переключатель на «Получать IP адрес автоматически».
Настройка WiFi на роутере
Так как в прошивке OpenWRТ по умолчанию отключен WiFi, его нужно включить в настройках.
Заходим в браузере по адресу https://192.168.1.1 и выполняем базовую настройку роутера (устанавливаем пароли и доступ к роутеру через SSH, включаем и настраиваем WiFi.)
Подключаем роутер к интернету.
Подключаемся к роутеру через WiFi.
Я использовал еще один роутер, у которого было настроено подключение к интернету, поэтому мне достаточно было WAN порт роутера с кастомной прошивкой соединить при помощи кабеля с LAN портом роутера с интернетом. Вам же, если, вы хотите обойтись одним роутером, в зависимости от вида доступа в интернет вашего провайдера придётся больше покопаться в настройках роутера (например, если доступ предоставляется по технологии PPPoE).
Установка WireGuard клиента на роутер
Если вы через роутер с прошивкой от OpenWRT можете заходить в Internet, то можно приступать к установке WireGuard клиента. Во многих видео и статьях это делается из командной строки. На мой взгляд, это проще это сделать из графического интерфейса роутера.
Обновляем список пакетов: System -> Software -> Update Lists…
Заходим в раздел System -> Software и устанавливаем пакет luci-i18n-wireguard-en.
Роутер у нас предварительно настроен, теперь можно приступить к настройке VPN сервера WireGuard.
Выбор и создание VPS сервера
Для начала нужно выбрать провайдера VPS сервера. Есть несколько вариантов, у каждого есть свои достоинства и недостатки. Все зависит от ваших потребностей. Вам необходимо выбрать следующие параметры:
количество оперативной памяти;
тип жесткого диска;
размер жесткого диска;
пропускная способность сети;
лимит исходящего и входящего трафика.
Выбор провайдера VPS сервера оставляют за вами, для проверки решения можно использовать, например, DigitalOcean.
Выбор операционной системы на VPS серверe
Обычно на VPS сервер при создании можно установить какую-либо операционную из списка. Все зависит от ваших предпочтений и знаний, но по опыту хочу сказать, что Ubuntu 20.04 будет самым оптимальным решением для начала.
Установка VPN сервера
Следующий шаг, это установка VPN сервера. Для установки сервера WireGuard существует множество статей и видео в Internet. Если вы хотите лучше понимать технологию или улучшить свои знания по Linux, можно настраивать по ним. Но к счастью, на данный момент существует решение, которое позволяет установить и настроить сервер без труда человеку, имеющему минимальные знания по Linux. Утилита располагается на GitHub по адресу: https://github.com/angristan/wireguard-install
Нужно зайти в консоль ОС, установленной на VPS и выполнить следующие команды:
Если вы боитесь выполнять этот скрипт вслепую, что логично, просмотрите его содержимое с помощью следующей команды перед установкой.
Скрипт при выполнении задаст несколько вопросов. На вопросы достаточно дать ответы по умолчанию. Единственное, что нужно, это ввести имя для клиента, настройки для которого создаст скрипт.
После выполнения скрипт сообщит, где находится файл с настройками для клиента. Этот файл нам необходимо скачать к себе на компьютер при помощи команды scp, утилиты WinSCP, так как он понадобится нам для настройки WireGuard клиента. Но можно просто вывести его содержимое, используя команду cat в SSH консоли и копировать данные, которые нам понадобятся.
Настройка WireGuard клиента на роутере
1. Добавляем интерфейс WireGuard. Network -> Interfaces -> Add new interface…
Создание интерфейса WireGuard
2. Заполняем вкладку General Settings настройками из файла конфигурации WireGuard клиента (Private Key, Public Key, IP Addresses). Для получения Public Key в SSH консоли необходимо ввести:
Содержимое файла конфигурации клиента 
Вкладка General Settings
3. Добавляем параметры WireGuard сервера (Description, Public Key, Preshared Key, Allowed IPs, Route Allowed IPs, End Point Host, End Point Port, Persistent Keep Alive). Большинство параметров располагается в файле /etc/wireguard/wg0.conf на сервере. Peers -> Add Peer
Содержимое файла конфигурации сервера WireGuard 
Параметры WireGuard сервера
4. Удостоверяемся, что VPN поднялся. Network -> Interfaces. Если он работает, то зачения RX и TX будут ненулевые.
Работающий WireGuard VPN
5. Настраиваем файервол для Fireguard. Network -> Firewall -> Add.
Параметры файервола для WireGuard
6. Добавляем маршрут в таблицу маршрутизации. В поле Target, вам необходимо ввести реальный IP адрес вашего сервера в нотации CIDR (<IP адрес>/32) Network -> Routing -> Add.
7. Настраиваем DNS. Network -> Interfaces -> WAN -> Edit -> Advanced Settings.
Выводы
На мой взгляд, такой вариант организации VPN отличается простотой в использовании самого VPN. При использовании VPN достаточно просто подключить WAN порт роутера к порту, имеющему доступ в интернет. Настроенный таким образом роутер можно взять с собой в командировку и подключить к роутеру, который будет там, и получить точно такой же интернет за тысячи километров от дома. Решение немного напоминает рецепт борща, так как можно экспериментировать с различными VPS провайдерами, роутерами, прошивками, VPN протоколами, VPN серверами и их настройками, операционными системами. Я привел только тот вариант, который у меня получился и устроил. Например, я пробовал использовать OpenVPN, но хочу сразу сказать, меня не устроила скорость получаемого интернета, она была в 2-3 раза ниже, чем при использовании WireGuard.
Я не являюсь экспертом в сетевых технологиях, и если у вас есть какие-то замечания или советы по улучшению, всегда буду рад их выслушать. Но пока у меня еще есть идеи как можно расширить и улучшить это решение, сделать его более универсальным, но это, я думаю тема моей следующей отдельной статьи после того, как проверю это решение на практике.
Как поделиться VPN-подключением с вашего ПК с Windows
Это руководство покажет вам как поделиться своим Windows VPN-соединением. Вы узнаете, как настроить размещенную сеть или «виртуальный маршрутизатор» через командную строку.
Замечания: Делать не подключиться к приложению ExpressVPN перед началом этого процесса.
Проверьте, поддерживает ли ваш ПК с Windows создание виртуального маршрутизатора
Перед началом необходимо проверить, поддерживает ли ваш компьютер создание виртуального маршрутизатора. нажмите Ключ с логотипом Windows (⊞) + S чтобы запустить панель поиска, затем введите CMD воспитывать Командная строка. Щелкните правой кнопкой мыши командную строку и выберите Запустить от имени администратора.
Для Windows 10 вам не нужно создавать виртуальный маршрутизатор. Перейдите к созданию мобильной точки доступа.
Для Windows 8:
Для более ранних версий Windows:
В командной строке введите следующее:
Netsh Wlan Show драйверов
Хит Войти.
Если вы видите «Поддерживаемая размещенная сеть: Да», тогда ваш сетевой адаптер может создать виртуальный маршрутизатор.
Если вы не видите это сообщение, вам может потребоваться обновить драйверы сетевого адаптера..
Создайте свой виртуальный маршрутизатор
В командной строке введите следующее:
netsh wlan set hostednetwork mode = разрешить ssid = ключ NETWORKNAME = ПАРОЛЬ
Назовите свой виртуальный маршрутизатор, задав следующие значения:
= SSID[выберите имя для вашей сети]
ключ =[выберите пароль для своей сети]
Хит Войти.
Затем вы увидите это сообщение:
Режим размещенной сети был разрешен.
SSID размещенной сети был успешно изменен.
Пароль пользователя в размещенной сети успешно изменен.
Поздравляем! Вы успешно создали виртуальный маршрутизатор.
Запустите свой виртуальный маршрутизатор
Чтобы запустить виртуальный маршрутизатор, введите в командной строке следующую команду:
netsh wlan start hostednetwork
Хит Войти.
Если виртуальный маршрутизатор запускается успешно, вы увидите сообщение «Хостинговая сеть запущена».
Если вы получили сообщение о том, что размещенная сеть не может быть запущена, обновите драйверы сетевого адаптера..
Если вы не используете Windows 10, выполните следующие действия.
Только для Windows 10: делитесь VPN через мобильную точку доступа
Перейти к настройки > сеть & интернет > Мобильная точка доступа.
Переключить ваш Мобильная точка доступа в На.
Перейти к настройки > Сеть и Интернет > Изменить параметры адаптера.
Щелкните правой кнопкой мыши на ExpressVPN Tap Adapter и выберите свойства.
Под Sharing вкладка, установите флажок для Разрешить другим пользователям сети подключаться через интернет на этом компьютере. Из выпадающего меню, выберите точку доступа ты только что создал.
щелчок Ok.
Теперь вы готовы подключиться к ExpressVPN.
Поделись своим виртуальным роутером
Чтобы поделиться своим виртуальным маршрутизатором, вам нужно указать имя соединения. Откройте окно «Выполнить», нажав Клавиша с логотипом Windows (⊞) + R, или нажав на Начало кнопка. Тип ncpa.cpl, затем нажмите Войти или Ok.
В окне «Сетевые подключения» вы должны увидеть новое подключение к Wi-Fi в списке сетевых адаптеров. Описание покажет имя ssid что вы назначили ранее. Обратите внимание на название соединения. (В этом примере используется «Подключение по локальной сети * 5».) Это понадобится вам позже.
Теперь найдите сетевое соединение с описанием «TapVapN ExpressVPN» (в этом примере используется «Ethernet 2».)
Щелкните правой кнопкой мыши на нем и выберите свойства.
В окне «Свойства» щелкните Sharing вкладку и установите флажок для Разрешить другим пользователям сети подключаться к Интернету через этот компьютер.
В разделе «Подключение к домашней сети» выберите недавно созданный виртуальный маршрутизатор из выпадающего меню. (Это тот, который вы определили ранее.) Затем нажмите Ok.
Подключиться к ExpressVPN
Запустите приложение ExpressVPN и подключиться к серверу по вашему выбору используя протокол OpenVPN (UDP или TCP). Инструкции по изменению вашего протокола можно найти здесь.
Поздравляем! Ваш ПК с Windows теперь виртуальный маршрутизатор.
Теперь вы можете подключить любое устройство с поддержкой Wi-Fi к вашему новому виртуальному маршрутизатору и поделиться своим VPN-соединением.
Отключите ваш виртуальный маршрутизатор
Для пользователей Windows 10:
Перейти к настройки > сеть & интернет > Мобильная точка доступа.
Переключить ваш Мобильная точка доступа в от.
Для пользователей не Windows 10:
Чтобы отключить виртуальный маршрутизатор, вернитесь к командная строка и введите следующее:
netsh wlan stop hostednetwork
Вы увидите сообщение «Размещенная сеть остановлена».
Это остановит и отключит ваш виртуальный маршрутизатор. Если ваш виртуальный маршрутизатор больше не находится в Сетевые соединения окно, то вы успешно отключили его.
Совместное использование VPN-доступа между двумя компьютерами в локальной сети
У меня есть VPN-доступ к нескольким машинам в моем офисе с моего домашнего компьютера. Я хотел бы иметь возможность доступа к этим машинам с другого компьютера в моей локальной сети, без настройки второго VPN-доступа. Оба компьютера являются машинами Windows 7.
Есть ли способ для моего «основного» компьютера разделить свой VPN-доступ к другому компьютеру в локальной сети? Как настроить этот ресурс?
Я не думаю, что «простой» обмен интернет-соединением соответствует моим потребностям, потому что:
- В моей локальной сети уже есть собственный DHCP/ маршрутизатор для доступа в Интернет, и я бы хотел сохранить его таким
- Я не могу получить доступ к Интернету через VPN-соединение
4 ответа 4
Кажется, сегодня я решил для себя ту же проблему:
- Маршрутизатор имеет адрес 192.168.1.1/255.255.255.0 и DHCP включен
- ПК с Windows 7 имеет IP-адрес локальной сети 192.168.1.5 (маска сети 255.255.255.0 шлюз 192.168.1.1 ) и PPTP VPN для удаленной сети 10.10.10.0
Моя последняя попытка была (и она работает!):
- Я включил ICS на VPN-соединении и выбрал LAN в качестве цели
- Это изменило IP-адрес локальной сети моего компьютера на 192.168.137.1 и очистило шлюз, поэтому я исправил его, установив IP-адрес локальной сети на 192.168.1.5 , маску сети на 255.255.255.0 и шлюз на 192.168.1.1 (изначально DNS был 8.8.8.8 )
- Я добавил статический маршрут на маршрутизаторе: маска 10.10.10.0 255.255.255.0 шлюз 192.168.1.5
Я перепробовал тысячу комбинаций и, наконец, это работает! Надеюсь, это может помочь другим.
Возможно, вам удастся избежать добавления на втором компьютере маршрута для направления трафика в VPN через компьютер, на котором работает клиент VPN. Я думаю что-то вроде:
где 192.168.1.xxx — это IP рабочей VPN, а 192.168.2.8 — IP-адрес VPN-клиента. Вы можете проверить это обсуждение команды route
РЕДАКТИРОВАТЬ: синтаксис Linux должен быть
Я считаю, что решение заключается в создании VPN типа «сеть-сеть», а не в том, чтобы компьютеры выполняли туннель индивидуально.
Возможно, ваши системные администраторы могли бы указать вам, как это сделать?
Возможность разрешить второму компьютеру использовать VPN зависит от настроек вашего VPN-клиента — обычно VPN-клиенты, предварительно настроенные «корпоративными» администраторами, настроены так, чтобы разрешать только узлу, на котором фактически запущено программное обеспечение VPN-клиента, по каналу VPN.
У меня была похожая проблема, когда я хотел, чтобы устройство получило доступ к серверу CVS за брандмауэром, но у меня не было VPN-клиента на этом устройстве. Решение: настройте нестандартный порт на «2-й машине», запустите SSH (в вашем случае: PuTTY), чтобы перенаправить этот порт на сервер, только «1-я машина» может видеть, когда подключен VPN:
[2nd_machine] -> [1025/tcp PuTTy на 1st_machine forwards] -> [Концентратор VPN] -> [22/tcp CVS Server]
Записки IT специалиста
Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
- Автор: Чурилов А.А.
- 31.03.2015
OpenVPN пользуется заслуженной популярностью у системных администраторов, когда нужно быстро и эффективно соединить VPN-каналами удаленные офисы. Сегодня предлагаем вам статью нашего читателя в которой он расскажет вам как настроить безопасный канал между офисами с дополнительной парольной защитой на платформе Windows.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
И так нам нужно организовать VPN канал между двумя офисами. Сеть Офис 1 (назовем его С_ОФ1) и Сеть Офис 2 (назовем его С_ОФ2).
Скажу сразу что в моем случае OpenVPN в обоих офисах установлен на Windows 7.
С_ОФ1 включает:
Машина куда ставим OpenVPN Server имеет 2 сетевых интерфейса.
Также на ней установлен прокси-сервер который раздает инет в локалку, тем самым являясь для всех машин в локалке основным шлюзом(192.168.0.100)
192.168.0.100 смотрит в сеть
192.168.1.2 смотрит в мир через роутер. Роутер имеет статический IP скажем 111.222.333.444. На роутере сделан проброс порта 1190 (в моем случае порт 1190 проброшена на 192.168.1.2)
Пользователь в сети: 192.168.0.50
С_ОФ2 включает:
Машина куда ставим OpenVPN Client имеет 2 сетевых интерфейса.
Также на ней установлен прокси-сервер который раздает инет в локалку, тем самым являясь для всех машин в локалке основным шлюзом(172.17.10.10)
172.17.10.10смотрит в сеть
192.168.1.2 смотрит в мир через роутер.
Пользователь в сети: 172.17.10.50
Задача: Пользователь С_ОФ1(192.168.0.50) должен видеть расшареные ресурсы на Пользователе С_ОФ2 (172.17.10.50) и наоборот.
Приступаем к настройке
Скачиваем OpenVPN с официального сайта в соответствии с разрядностью системы.
Запускаем установку, на 3-м шаге активируем неактивные пункты.
Следующий шаг — путь для установки. Чтобы облегчить себе дальнейшую жизнь, устанавливаем в корень диска С.
В процессе установки в систему инсталлируется виртуальный сетевой адаптер TAP-Win32 Adapter V9 и, соответственно, драйвер к нему. Этому интерфейсу программа OpenVPN как раз и будет назначать IP адрес и маску виртуальной сети OpenVPN. В нашем случае ему назначен адрес 10.10.10.1с маской 255.255.255.0 на сервере С_ОФ1 и 10.10.10.2 с аналогичной маской на клиенте С_ОФ2.
Переименуем его в «VPN»
В директории «C:\OpenVPN» следует сразу же создать дополнительно папку ssl (здесь мы будем хранить ключи аутентификации) папку ccd (здесь будут находится конфигурация настроек сервера для клиента).
В папке easy-rsa создаем файл vars.bat, данный пакетный файл будет задавать переменные для сеанса генерации сертификатов, в той части что касается организации и расположения заполняем своими данными.
Запускаем командную строку от имени администратора.
Переходим по пути C:\OpenVPN\easy-rsa, набрав для перехода в командной строке команду
Запускаем vars.bat:
Далее запускаем clean-all.bat:
Теперь запускаем build-ca.bat. Так как вся информация о сервере у нас уже заполнена, все оставляем без изменений:
после этого у нас в папке ssl появится два файла ca.crt и ca.key.
Запускаем build-dh.bat:
в результате у нас в папке ssl появится файл dh1024.pem.
Создаем серверный ключ, для этого вводим команду:
где «ServerVPN» это название нащего VPN сервера, как в моем случае,
Важно! Указываем параметр «commonname» — пишем имя нашего VPN сервера. Все остальные параметры оставляем по умолчанию, на все вопросы отвечаем yes
в результате у нас в папке ssl появятся файлы ServerVPN.crt, ServerVPN.csr, ServerVPN.key.
Приступаем к формированию клиентских ключей.
где «UserVPN_1» имя нашего клиента.
Важно! Указываем параметр «commonname» — пишем имя нашего VPN клиента(UserVPN_1). Все остальные параметры оставляем по умолчанию, на все вопросы отвечаем yes
В результате у нас в папке ssl появятся файлы UserVPN_1.crt, UserVPN_1.csr, UserVPN_1.key.
Если у вас несколько клиентов, то повторяем формирование ключей; не забывая каждому клиенту присваивать свои имена
Генерация ключа tls-auth (ta.key) для аутентификации пакетов, для этого переходим в корневую папку OpenVPN:
и выполняем команду:
в результате в папке ssl плучим файл ta.key.
Приступаем к созданию конфига сервера. В папке config создаем файл OpenVPN.ovpn:
В папке ccd создаем файл без расширения и называем его точно, как клиента UserVPN_1, открываем его блокнотом и пишем следующее:
Создаем конфиг клиента.
Устанавливаем на клиенте OpenVPN, предаём ему ca.crt, UserVPN_1.crt, UserVPN_1.key, ta.key.
Настраиваем файрволы и антивирусы на клиенте и на сервере для беспрепятственного прохождения пакетов. Описывать не буду все зависит от установленных антивирусов и файрволов.
После всего этого запускаем наш сервер и клиент.
Если все правильно сделали наш сервер получит IP 10.10.10.1 и подключится к нему клиент и получит IP 10.10.10.2 . И так подключение у нас состоялось теперь сервер и клиент пингуют друг друга по IP нашей VPN сети, то есть 10.10.10.1 и 10.10.10.2.
Для того чтобы пинг шел по внутренним адресам наших С_ОФ1 и С_ОФ2 нужно включить службу Маршрутизации и удаленного доступа.
Hужно зайти в свойства службы, настроить ее на автоматическое включение и запустить.
После этого мы сможем пинговать внутренние IP сервера и клиента (172.17.10.10 клиент и 192.168.0.100 сервер).
Но у этого способа есть маленький недостаток: после включения этой службы и подключения к нашему VPN-каналу на значке сетевого подключения повиснет красный крест до отключения VPN.
При этом все сети работают в штатном режиме. Лично меня этот крест раздражает и иногда сбивает с толку.
Есть второй способ как сделать видимыми внутренние IP сетей наших сервера и клиента.
Для этого заходим в реестр, открываем ветку реестра:
Находим параметр и меняем значение: IPEnableRouter типа REG_DWORD значение 1.
Не забываем перезагрузить машину, чтобы настройки вступили в силу!
Это нужно проделать и на сервере, и на клиенте.
Итак мы пингуем наши сети по внутренним IP, а так как у нас и сервер и клиент для своих сетей являются шлюзами, то и машины из сети 1 могут видеть машины из сети 2 и наоборот. то есть Пользователь С_ОФ1(192.168.0.50) может видеть расшаренные папки Пользователя С_ОФ2 (172.17.10.50) и наоборот.
Если сервер и клиент не будут являться шлюзами для своих сетей, в том случае придётся прописывать маршруты руками.
Пример для С_ОФ1:
Пример для С_ОФ2:
в моем случае этого не понадобилось.
Для автоматического запуска сервера и клиента нам нужно включить службу OpenVPN Service
теперь при загрузке машины сервер автоматически стартует, а при включении машины клиента он также автоматически подключится к серверу.
Дополнительная защита
Как известно в OpenVPN есть возможность аутентификации по сертификатам, как описано выше, а так же по логину и паролю, но можно еще и объединить их вместе. Насколько мне известно только в Linux есть возможность штатными средствами настроить аутентификацию по логину и паролю, но в Windows это тоже можно решить. Для этого в папке config создаем файл auth.vbs и пишем в него следующее
Так же в папке config содаем файл Users.pw туда пише логин и пароль нашего клиента
Если несколько клиентов то:
Дальше нужно в конфиге клиента прописать строку auth-user-pass, теперь когда клиент будет подключаться к серверу у него будет выплывать окно авторизации где нужно ввести логин и пароль, который вы назначили ему в Users.pw,их нужно будет сообщить клиенту.
У меня настроено что имя пользователь(логин) соответствует имени клиента в сертификате, то есть UserVPN_1. но можно задать и другое имя отличное от имени в сертификате, для этого нужно смотреть настройки в auth.vbs.
‘ открываем переменную окружения common_name (это CN предъявленного клиентом сертификата)
‘ и сравниваем её с введенным именем пользователя.
‘ если это сравнение не нужно, то следующие 2 строки удалить или закомменировать
CurrentCommonName = CreateObject(«WscrIPt.Shell»).ExpandEnvironmentStrings(«%common_name%»)
if UCase(CurrentCommonName) <> UCase(UserName) then WScrIPt.Quit(1)
WScrIPt.Echo «Debug: CurrentCommonName alert alert-bq»> Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Дополнительные материалы:
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 