[MiraMaX166]

Рассмотрю настройку VPN-Servera на примере объединения двух сетей:
1. Моя основная сетка под управлением роутера ASUS RT-N66U
2. Сеть родителей (100 км от города) под управлением ASUS RT-N16

Нужно объединить их средствами VPN, сервер будет развёрнут на базе ASUS RT-N66U.

Начнём с генерирования ключей и сертификатов, делать будем под виндой, так как рабочей лини у меня под рукой сейчас нет, да и разница в генерировании минимальна...
Для начала скачайте дистриб OpenVPN версии 2.1.4 или выше (на лини ставим с реп средствами апта, аптитюда и так далее).
Далее открываем CMD винды с правами администратора.
Вбиваем команду:

Код:

cd c:\Program Files (x86)\OpenVPN\easy-rsa

Думаю, разобраться не трудно, что в 32-х битной системе или в 64-х битной, при установке 64-х битного пакета, вместо Program Files (x86) нужно указать Program Files...

Далее вбиваем:

Код:

init-config

В папке c:\Program Files (x86)\OpenVPN\easy-rsa появятся два новых файлика, открываем в редакторе vars.bat

Пример моего отредактированного конфига

@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.

set HOME=%ProgramFiles (x86)%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf

rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys

rem Increase this to 2048 if you
rem are paranoid. This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=1024

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.

set KEY_COUNTRY=RU
set KEY_PROVINCE=OMSK
set KEY_CITY=Omsk
set KEY_ORG=SkyNET
set KEY_EMAIL=miramax166@mail.ru

Далее в консоль вбиваем:

Код:

vars

Код:

clean-all

Код:

build-ca

Этим мы только что создали корневые ключ и сертификат.
Создадим тоже самое, но для сервера.
Вводим в консоль:

Код:

build-key-server server

где server - имя сервера (например, ASUS_RT-N66U).
Создадим тоже самое для клиента.
Вводим в консоль:

Код:

build-key client

где client - имя клиента (например, ASUS_RT-N16).
Теперь генерируем файл с ключем Диффи-Хелмана (dh1024.pem)
Вводим в консоль:

Код:

build-dh

Топаем в веб-морду роутера и производим настройки. Вкладка Basic.
Настраиваем тип подключения. Выбор типа устройства TUN/TAP зависит от целей создания туннеля. Основное различие, что TUN - это обычный туннель, который работает на ip уровне, а TAP - работает на канальном уровне, за счет того, что создается виртуальная сетевая карточка.
При использовании TAP генерируется значительно больше трафика из-за того же броадкаста и увеличивающихся "накладных расходов" по инкапсуляции большего количества данных. В целом, TAP используется для создания сетевого моста, а TUN для маршрутизации...


Вкладка Advance.
Выставляем нужные флаги: разрешаем видеть друг друга (локальную сеть и vpn клиентов), разрешаем выходить в интернет через это vpn соединение, отвечать на DNS запросы, отдавать свои сервера DNS клиентам при подсоединении. Тут же можно казать тип шифрования трафика, его сжатие. Можно указать специфические параметры для расшаривания подсетей удалённых шлюзов (в моём случае актуально, поэтому я добавил подсеть за NAT'ом роутера).
Также для избежания проблем с пропусканием трафика лучше указать "родное" значение MTU для пакетов...


Вкладка Keys.
Сюда вставляем содержимое файлов сгенерированных для сервера+корневой сертификат...


После манипуляций сохраняем настройки и стартуем сервак, если уже есть настроенные клиенты, то увидим следующее:


За роутером находятся несколько девайсов в отличной от VPN-сети диапазоне IP, но они без проблем пингуются из любой сети... О том, как настроить клиента на TomatoUSB, я напишу позже.