COMPUTING > Virtual Private Cloud > VMware vCloud Director > Ako spustiť a nakonfigurovať VPN pomocou OpenVPN na Windows Server 2019

3.4.1.1 Ako spustiť a nakonfigurovať VPN pomocou OpenVPN na Windows Server 2019

VPN (Virtual Private Network) je virtuální privátní síť, která umožňuje zabezpečené síťové spojení mezi dvěma nezávislými datovými sítěmi na internetu. Pomocí VPN tedy může server nebo počítač (klient) připojený k internetu na jednom místě přistupovat k síťovým prostředkům jiného serveru, čímž se mezi nimi vytvoří přímé virtuální síťové spojení v podstatě stejné jako fyzické spojení mezi dvěma síťovými body.

VPN lze vytvořit pomocí běžných operačních systémů včetně systému Windows a služby, jako je OpenVPN. Tento software s otevřeným zdrojovým kódem umožňuje pomocí certifikátů vytvořit šifrovaný virtuální tunel založený na TLS/SSL (Transport Layer Security/Secure Sockets Layer), který bezpečně přenáší provoz mezi serverem a jedním nebo více klienty.

Tento článek popisuje, jak nakonfigurovat/vytvořit VPN s OpenVPN na serveru a klientovi, které oba používají Windows Server 2019. Některé části těchto pokynů (týkající se serveru nebo klienta) lze také použít pro hybridní konfigurace/nasazení (např. a Linux Client nebo naopak).

Požadavky

Abyste se mohli připojit ke stejné síti, dvě nebo více zařízení (klient a server) připojená k VPN musí mít přístup k portu 1194.

Toho lze dosáhnout tak, že se na port povolí provoz UDP přidáním pravidla brány firewall.

Instalace OpenVPN

Začněte stažením instalačního programu OpenVPN pro Windows Server 2019 přímo z oficiálního webu.

Instalační program lze použít v operačním systému Windows jak na straně serveru, tak na straně klienta.

Po stažení souboru otevřete a spusťte instalaci. Ujistěte se, že jste zaškrtli políčko "EasyRSA 2 Certificate Management Scripts" a poté klikněte na "Next".

Pokračujte v instalaci kliknutím na každý další krok, pokud je to požadováno.

Generování certifikátů a klíčů pro server (Windows)

Po dokončení první fáze instalace sítě OpenVPN je třeba vygenerovat certifikáty a klíče potřebné pro přístup k síti VPN.

Nejprve otevřete terminál Windows Server. Za tímto účelem klikněte na tlačítko Start, zadejte příkaz "cmd" a klikněte pravým tlačítkem myši na ikonu příkazového řádku a poté vyberte možnost "Spustit jako správce".

Přejděte do složky, do které jste nainstalovali OpenVPN, a spusťte skript "init-config".

cd "C:\Program Files\OpenVPN\easy-rsa"
init-config

Výstup by měl být podobný tomu, který je uveden výše.

V tomto okamžiku je třeba provést změny v souboru "vars.bat" ve složce "C:\Program Files\OpenVPN\easy-rsa":

notepad vars.bat

Téměř na konci dokumentu najdete řadu řádků začínajících slovem "set", které slouží k nastavení některých proměnných údajů prostředí. Upravte tato pole vlastními údaji a vygenerujte certifikát.

Tento krok není naprosto nezbitný, protože tyto informace budete muset zadat znovu později, ale nastavením těchto hodnot zde v tomto souboru zajistíte, že budou v budoucnu použity jako výchozí parametry.

Po zadání těchto informací soubor uložte a zavřete textový editor. Pro provedení provedených změn zadejte následující příkaz:

vars
clean-all

Dále začněte vytvářet certifikát. V terminálu (spuštěném jako správce, stále ve složce "C:\Program Files\OpenVPN\easy-rsa") zadejte:

build-ca

Pokud jste již upravili soubor "vars" se svými údaji, objeví se tyto údaje v hranatých závorkách každého požadovaného pole. V takovém případě jednoduše stiskněte tlačítko "Send" a nastavte tyto hodnoty jako výchozí parametry.

Do pole "Common name" (Společný název) však musíte přiřadit snadno zapamatovatelný název: v tomto případě bude použit název "OpenVPN-CA".

Po potvrzení úspěšného vygenerování certifikátu se ve složce "easy-rsa\keys" vytvoří soubory "ca.crt" a "ca.key".

V této fázi je třeba vytvořit klíče pro server, to lze spustit pomocí příkazu:

build-key-server server_name

V tomto případě je třeba do pole "Common Name" zadat obecný název serveru. Jak vidíte níže, v našem případě byl použit název "server".

Ke konci postupu budete dvakrát vyzváni k potvrzení, že se mají data uložit tak, jak byla zadána. V obou případech zadejte y a stiskněte tlačítko "Send".

Generování klíčů pro klienta (Windows)

V síti VPN musí být všechna připojená zařízení rozpoznatelná, takže klienti potřebují ke komunikaci dvojici klíčů. Stále na serveru, v terminálu, ve složce "C:\Program Files\OpenVPN\easy-rsa") zadejte:

build-key client_name

Tentokrát musíte do pole "Common Name" zadat obecný název Klienta (jak vidíte níže, v tomto případě byl použit název "client-desktop").

Nyní je třeba použít šifrovací protokol Diffie-Hellman, aby se obě strany (Server a Klient) mohly rozhodnout pro "společný" klíč, který budou používat jako autentizační klíč pro vzájemné rozpoznání. Pak zadejte následující příkaz:

build-dh

Tato operace může v závislosti na použitém hardwaru serveru nějakou dobu trvat a nevyžaduje žádnou další akci ze strany uživatele.

Nakonec musíte vytvořit „ta.key“, který poskytuje dodatečnou ochranu VPN. Konkrétněji je třeba definovat autentizaci TLS, aby se ověřilo, že pakety putující po síti jsou kompletní. Zadejte:

"C:\Program Files\OpenVPN\bin\openvpn.exe" --genkey --secret "C:\Program Files\OpenVPN\easy-rsa\keys\ta.key"

Server (Windows) konfigurační soubor

OpenVPN již poskytuje vzorové konfigurační soubory, které lze použít při vytváření konfigurace potřebné pro správnou funkci sítě VPN.

Otevřte Start -> Všechny programy -> OpenVPN -> Vzorové konfigurační soubory OpenVPN zkopírujte soubor "server.ovpn" do složky "C:\Program Files\OpenVPN\easy-rsa\keys". Po zkopírování jej otevřete pomocí Poznámkového bloku:

notepad "C:\Program Files\OpenVPN\easy-rsa\keys\server.ovpn"

Poté vyberte řádky:

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

a nahraďte je následujícími:

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"

Po provedení těchto změn soubor uložte a zavřete.

Konfigurační soubor klienta (Windows)

Změny, které je třeba provést v konfiguračním souboru klienta, jsou podobné jako u serveru.

Otevřte Start -> Všechny programy -> OpenVPN -> Vzorové konfigurační soubory OpenVPN zkopírujte soubor "client.ovpn" do složky ""C:\Program Files\OpenVPN\easy-rsa\keys". Po zkopírování jej přejmenujte na stejný "Common Name", který byl použit při generování klíče (v tomto případě "client-desktop"), a otevřete jej pomocí Poznámkového bloku.

notepad "C:\Program Files\OpenVPN\easy-rsa\keys\client-desktop.ovpn"

Poté vyberte řádky:

ca ca.crt
cert server.crt
key server.key

a nahraďte je následujícími:

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client-desktop.crt"
key "C:\\Program Files\\OpenVPN\\config\\client-desktop.key"

Poté označte remote my-server-1 1194 nahraďte "my-server-1" IP adresou vašeho serveru. Po provedení těchto změn soubor uložte a zavřete.

Dále je třeba zkopírovat následující soubory:

ca.crt
ta.key
dh2048.pem
server.crt
server.key
server.ovpn

do složky "C:\Program Files\OpenVPN\config", což lze provést přímo pomocí nástroje robocopy.

robocopy "C:\Program Files\OpenVPN\easy-rsa\keys\ " "C:\Program Files\OpenVPN\config\ " ca.crt ta.key dh2048.pem server.crt server.key server.ovpn

Nyní stačí zkopírovat tyto soubory:

ca.crt
ta.key
client-desktop.crt
client-desktop.key
client-desktop.ovpn

do klienta ve složce "C:\Program Files\OpenVPN\config\".

N.B. Na Klientovi musíte mít také nainstalované grafické rozhraní OpenVPN, jak je vysvětleno na začátku průvodce serverem.

Nyní na Serveru i na Klientovi klikněte na Start -> Všechny programy -> OpenVPN -> OpenVPN GUI.

Grafické rozhraní OpenVPN se otevře v systémové liště vpravo dole. Klikněte pravým tlačítkem myši na ikonu OpenVPN a poté klikněte na "Connect".

Když ikona zezelená, znamená to, že připojení k virtuální privátní síti bylo správně navázáno, a že tedy obě zařízení, klient a server, budou komunikovat prostřednictvím právě vytvořené sítě VPN.