Управление OpenVPN сертификатами в консоли

Четверг, 18 июля 2013 г.
Рубрика: Администрирование
Метки: OpenVPN
Просмотров: 23365

Выбранные пары IP-адресов, во-первых, должны быть уникальными, во-вторых, должны входить в состав последовательных подсетей, ограниченных маской /30 (255.255.255.252), и, в-третьих, должны находиться в пределах пула IP-адресов, выделенного для виртуальной частной сети (определяется параметром server файла конфигурации сервера OpenVPN). С учетом перечисленных условий для клиентов и сервера подойдут пары IP-адресов со следующими парами последних октетов:

[  1,  2]   [  5,  6]   [  9, 10]   [ 13, 14]   [ 17, 18]   [ 21, 22]   [ 25, 26]   [ 29, 30]   [ 33, 34]   [ 37, 38]
[ 41, 42]   [ 45, 46]   [ 49, 50]   [ 53, 54]   [ 57, 58]   [ 61, 62]   [ 65, 66]   [ 69, 70]   [ 73, 74]   [ 77, 78]
[ 81, 82]   [ 85, 86]   [ 89, 90]   [ 93, 94]   [ 97, 98]   [101,102]   [105,106]   [109,110]   [113,114]   [117,118]
[121,122]   [125,126]   [129,130]   [133,134]   [137,138]   [141,142]   [145,146]   [149,150]   [153,154]   [157,158]
[161,162]   [165,166]   [169,170]   [173,174]   [177,178]   [181,182]   [185,186]   [189,190]   [193,194]   [197,198]
[201,202]   [205,206]   [209,210]   [213,214]   [217,218]   [221,222]   [225,226]   [229,230]   [233,234]   [237,238]
[241,242]   [245,246]   [249,250]   [253,254]

именно поэтому 10.8.0.9 10.8.0.10, 10.8.0.13 10.8.0.14 и так далее

Ну и после добавления в клиентский конфиг ip добавляем правило iptables:

iptables -t nat -A POSTROUTING -s 10.8.0.9 -o venet0 -j SNAT --to-source 77.79.14.162, то есть client1(конфиг:

[root@serv ccd]# cat client1
ifconfig-push 10.8.0.9 10.8.0.10
iroute 10.8.0.0 255.255.255.0) при коннекте получит внутренний локальный ip 10.8.0.9, который iptables будет редиректить на 77.79.14.162 на выходе

ну и так далее:

iptables -t nat -A POSTROUTING -s 10.8.0.17 -o venet0 -j SNAT --to-source 77.79.14.165
iptables -t nat -A POSTROUTING -s 10.8.0.21 -o venet0 -j SNAT --to-source 77.79.14.166
iptables -t nat -A POSTROUTING -s 10.8.0.25 -o venet0 -j SNAT --to-source 77.79.14.167
iptables -t nat -A POSTROUTING -s 10.8.0.29 -o venet0 -j SNAT --to-source 77.79.14.168
iptables -t nat -A POSTROUTING -s 10.8.0.33 -o venet0 -j SNAT --to-source 77.79.14.169
iptables -t nat -A POSTROUTING -s 10.8.0.37 -o venet0 -j SNAT --to-source 77.79.14.170
iptables -t nat -A POSTROUTING -s 10.8.0.41 -o venet0 -j SNAT --to-source 77.79.14.171
iptables -t nat -A POSTROUTING -s 10.8.0.45 -o venet0 -j SNAT --to-source 77.79.14.172

Для клиента в итоге конфиг ovpn-файла будет выглядеть так:

client
remote 77.79.14.161 1194
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
route-delay 2
route-method exe
redirect-gateway def1
dhcp-option DNS 8.8.8.8
verb 3

где 77.79.14.161, IP адрес сервера на котором установлен VPN