OpenVPN

Установка

Установка и настройка сервера и клиентов OpenVPN под Windows.

Скачиваем http://openvpn.net/index.php/open-source/downloads.html
Устанавливаем на сервер
Запускаем командную строку «от имени администратора»
Переходим в каталог OpenVPN:
```
cd /d "C:\Program Files\OpenVPN\easy-rsa"
```
Удаляем старые настройки (внимание, сертификаты также будут удалены!):
```
clean-all
```
Инициализируем настройки:
```
init-config
```

Вписываем реквизиты организации:

set KEY_COUNTRY=RU
set KEY_PROVINCE=Leningradskaya
set KEY_CITY=Saint-Petersburg
set KEY_ORG=IPKASATKIN
set KEY_EMAIL=email@kasatkin.org

Выполняем инициализацию переменных (командную строку не закрываем):
```
vars
```

Ключи шифрования для сервера

Генерируем файл с параметрами Диффи-Хеллмана ¹⁾ ²⁾ (нужен для создания зашифрованного туннеля):
```
build-dh
```

Генерируем сертификат центра сертификации (указываем Common name):

build-ca
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Leningradskaya]:
Locality Name (eg, city) [Saint-Petersburg]:
Organization Name (eg, company) [IPKASATKIN]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA
Email Address [email@kasatkin.org]:

Генерируем сертификат и ключ шифрования для сервера. Указываем server в Common name, на запросы Sign и Commit отвечаем y:
```
build-key-server server
```

Конфигурационные файлы сервера

Копируем файл с примером конфигурации сервера:

copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\easy-rsa\"

Правим серверный конфигурационный файл:

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
 
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"
 
crl-verify "C:\\Program Files\\OpenVPN\\config\\crl.pem"

Копируем следующие файлы из каталога C:\Program Files\OpenVPN\easy-rsa\ на сервере в каталог C:\Program Files\OpenVPN\config\:
```
keys\ca.crt
keys\dh1024.pem
keys\server.crt
keys\server.key
server.ovpn
```

Запуск сервера

На сервере открываем оснастку управления сервисами, меняем тип запуска на Auto у сервиса OpenVPN и запускаем его
Открываем UDP порт 1194 в брандмауэре сервера

Ключи шифрования для клиента

На сервере запускаем командную строку «от имени администратора»
Переходим в каталог OpenVPN:
```
cd /d "C:\Program Files\OpenVPN\easy-rsa"
```
Инициализируем переменные:
```
vars
```
Создаём сертификаты и ключи шифрования для нового клиента:
```
build-key nikbook
```
Указываем nikbook в Common name, на запросы Sign и Commit отвечаем y

Конфигурационные файлы клиента

Сначала подготовительные шаги на сервере:
На сервере запускаем Wordpad «от имени администратора»
Открываем файл с примером конфигурации клиента «C:\Program Files\OpenVPN\sample-config\client.ovpn»

Правим конфигурационный файл (vpn.kasatkin.org меняем на адрес сервера):

nikbook.ovpn

remote vpn.kasatkin.org 1194
 
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\nikbook.crt"
key "C:\\Program Files\\OpenVPN\\config\\nikbook.key"

Сохраняем как новый файл по адресу C:\Program Files\OpenVPN\easy-rsa. В качестве имени файла используем имя клиента и расширение ovpn, название файла с расширением вводим в кавычках «nikbook.ovpn»

Копируем на флешку следующие файлы:

C:\Program Files\OpenVPN\easy-rsa\keys\ca.crt
C:\Program Files\OpenVPN\easy-rsa\keys\nikbook.crt
C:\Program Files\OpenVPN\easy-rsa\keys\nikbook.key
C:\Program Files\OpenVPN\easy-rsa\nikbook.ovpn

Далее действия на клиенте:
Скачиваем на компьютер клиента инсталлятор OpenVPN («Windows installer») http://openvpn.net/index.php/open-source/downloads.html
Устанавливаем на клиенте OpenVPN (все пункты инсталлятора по умолчанию)
Копируем файлы с флешки в каталог «C:\Program Files\OpenVPN\config\» на компьютере клиента

Запуск

На клиенте запускаем ярлык OpenVPN «от имени администратора»
Правый клик на появившемся в трее значке, пункт «Connect»

Блокировка клиента

Для блокировки клиента (человек уволился, своровали ноутбук и т.д.) необходимо провести процедуру отзыва сертификата клиента. Для этого:

Запускаем командную строку «от имени администратора»
Переходим в каталог OpenVPN:
```
cd /d "C:\Program Files\OpenVPN\easy-rsa"
```
Инициализируем переменные:
```
vars
```
Отзываем сертификат:
```
revoke-full nikbook
```
Копируем список отозванных сертификатов в папку keys:
```
copy /y "C:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" "C:\Program Files\OpenVPN\config\"
```

Запуск 1С через VPN

Перед запуском 1С:

В конфигурационный файл NetHASP (для 1С обычно находится по адресу «C:\Program Files\1cv82\conf\nethasp.ini») в разделе [NH_TCPIP] добавляем адрес VPN-сервера:
nethasp.ini
```
[NH_COMMON]
 
[NH_IPX]
 
[NH_NETBIOS]
 
[NH_TCPIP]
NH_SERVER_ADDR = 10.8.0.1
```
Подключаем VPN-клиента
Подключаем сетевой диск (вводим имя и пароль) Y: - адрес \\10.8.0.1\1c
Диск можно подключить из командной строки (от имени администратора):
```
net use y: \\10.8.0.1\1c /user:vpn password
```
Открываем сетевой диск (должны увидеть базы)
Запускаем 1С, добавляем базу (она будет лежать на диске Y:\)

На сервере должен стоять HASP License Manager (http://users.v8.1c.ru/getfile.jsp?path=Comm/Platform/Demo_8_1_5/Drivers.rar)

Источники

¹⁾

http://www.rsa.com/rsalabs/node.asp?id=2248

²⁾

http://ru.wikipedia.org/wiki/%C0%EB%E3%EE%F0%E8%F2%EC_%C4%E8%F4%F4%E8_%97_%D5%E5%EB%EB%EC%E0%ED%E0