Тирика-Магазин
Как настроить программу Тирика-Магазин для работы через Интернет. Часть 4.
Этап 4. Настройка OpenVPN
В этой главе мы приводим пошаговое руководство по настройке программы OpenVPN для трех типовых случаев. В первом случае компьютер Альфа с базой данных программы Тирика-магазин подключен к Интернету напрямую, во втором случае офис, в котором находится компьютер Альфа, подключен к Интернету через маршрутизатор, и, наконец, в третьем случае роль маршрутизатора играет отдельный компьютер
База данных программы Тирика-Магазин установлена на компьютере, напрямую подключенном к Интернет и обладающем статическим маршрутизируемым IP-адресом
В центральном офисе имеется компьютер, напрямую подключенный к Интернет и у него есть статический маршрутизируемый IP-адрес. Двум магазинам из филиалов (или из дома) необходимо подключаться к базе данных, работающей в центральном офисе через Интернет. В этом случае, конфигурация будет как на рисунке ниже:
1. Сначала необходимо установить серверную часть OpenVPN. Скачайте полный пакет OpenVPN отсюда: www.tirika.ru/articles/nastrojka-programmy-dlja-raboty-cherez-internet/openvpn-2.2.1-install.exe
2. Запустите файл openvpn-2.2.1-install.exe на компьютере, имеющим выход в Интернет со статическим немаршрутизируемым IP-адресом и пройдите процедуру инсталляции, следуя инструкциям программы-установщика и оставляя все опции по умолчанию. Внимание! Нужно подтверждить установку драйвера сетевого адаптера TAP-Win32 Adapter V9, когда Windows это попросит
3. Скачайте архив с типовыми конфигурационными файлами отсюда: www.tirika.ru/articles/nastrojka-programmy-dlja-raboty-cherez-internet/ openvpn-config-files.zip
4. Скопируйте файлы server.ovpn и ipp.txt из скачанного архива в папку C:\Program Files\OpenVPN\config
5. Файл серверной конфигурации практически готов к применению, только замените в строчке push "route 192.168.78.0 255.255.255.0" адрес сети на тот, который настроен в вашей локальной сети. Например, на рисунке выше это 192.168.5.0 255.255.255.0.
6. Теперь самая сложная часть настройки – генерация сертификатов и ключей. Здесь нужно быть предельно внимательным и точно следовать инструкциям.
6.1 Запустите окно командной строки Пуск – Выполнить – cmd.exe
6.2 Перейдите в папку C:\Program Files\OpenVPN\easy-rsa и выполните команды:
cd C:\Program Files\OpenVPN\easy-rsa
init-config
6.3 Отредактируйте файл vars.bat и установите следующие параметры: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, KEY_EMAIL. Эти параметры нельзя оставлять пустыми, остальные можно оставить по умолчанию, например:
set KEY_COUNTRY=RU
set KEY_PROVINCE=MO
set KEY_CITY=Moskow
set KEY_ORG=GazProm
set KEY_EMAIL=root@gazprom.ru
set KEY_CN=changeme
set KEY_NAME=changeme
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
6.4 Далее выполните следующие команды из того же окна командной строки:
vars
clean-all
build-ca
Последняя команда build-ca запросит значения параметров. Все параметры можно не менять, нажав Enter, кроме одного – Common Name. Здесь нужно ввести какое-нибудь имя, например, OpenVPN-CA
6.5 Теперь сгенерируем сертификат и ключ для сервера, выполнив команду:
build-key-server server
Также, как и в предыдущей команде, все параметры можно принять по умолчанию, но для Common Name введите слово server.
На последние два вопроса "Sign the certificate? [y/n]" and "1 out of 1 certificate requests certified, commit? [y/n]" ответьте утвердительно, нажав "y"
6.6 Теперь сгенерируем ключи для клиентов, выполнив команды:
build-key client1
build-key client2
(это команды для двух филиалов, по аналогии можно сделать ключи для большего количества)
Как и в прошлый раз, принимаем все параметры, кроме Common Name, для которого указываем client1 и client2 соответственно. На последние вопросы опять ответьте утвердительно.
6.7 Осталось выполнить еще одну команду:
build-dh
6.8 Итак, в результате выполнения всех команд, мы получим в папке C:\Program Files\OpenVPN\easy-rs\keys ряд файлов ключей и сертификатов. Создайте на сервере папку C:\vpn_keys и скопируйте туда содержимое папки .\easy-rs\keys. Скопируйте отдельно следующие файлы для клиентских машин: ca.crt, client1.crt, client1.key, client2.crt, client2.key в безопасное место, затем их нужно будет перенести на компьютеры филиалов
7. Вот и все с сервером, можно запускать службу OpenVPN Service, можно сделать автоматический запуск службы при необходимости (через Пуск- Панель управления - Службы)
8. Приступим к настройке клиента из филиала №1 . Клиент OpenVPN устанавливается на компьютере, расположенном в филиале и имеющим выход в Интернет. Необходимо запустить тот же файл openvpn-2.2.1-install.exe и пройти процедуру инсталляции точно так же, как и для сервера.
9. Скопируйте файл client.ovpn из ранее скачанного архива в папку C:\Program Files\OpenVPN\config
10. Создайте папку C:\vpn_keys и скопируйте туда три ранее сохраненных файла ключей: ca.crt, client1.crt, client1.key
11. Отредактируйте файл client.ovp. В строке remote my-server 5194 нужно заменить my-server на IP адрес сервера. Не забывайте, что это должен быть реальный Интернет адрес, иначе соединение не получится.
12. Проверьте связь с VPN-сервером командой ping
ping 10.218.77.1
где 10.218.77.1 – адрес сервера OpenVPN (замените этот адрес на тот статически маршрутизируемый IP-адрес, кот. вы получили от вашего интернет-провайдера в главе «Этап 3» - см. выше). Если приходят ответы – отлично. Если получен ответ от сервера, запустите графический интерфейс клиента Пуск – Программы – OpenVPN – OpenVPN GUI. В системном трее появится иконка клиента в виде двух красных компьютеров – щелкните на ней правой клавишей и выберите Connect. Если все настроено успешно, то установится соединение с сервером и иконка позеленеет и можно приступить к настройке программы Тирика-Магазин, как это описано в следующей главе «Этап 5».
Если проверка не прошла, то нужно внимательно проверить всю настройку по шагам, возможно, вы все-таки сделали ошибку и нужно все повторить еще раз. Однако большая часть проблем при настройке VPN связана с сетевыми экранами (firewall). В Windows встроенный сетевой экран называется брандмауэром Windows. Настоятельно рекомендуем включить брандмауэр в случае, если компьютер напрямую подключен к Интернет! И в этом случае необходимо разрешить доступ к порту, на котором работает сервер OpenVPN для входящих подключений. Для этого убедитесь сперва, что брандмауэр вообще включен, вызвав окно с сетевыми подключениями, щелкните правой кнопкой на то подключение, которое соединено с Интернетом и нажмите Свойства. В Свойствах выберите вкладку Дополнительно, а затем кнопку Параметры. Там должно быть так, как на рисунке ниже:
Далее в этом же окне перейдите на вкладку Исключения и нажмите кнопку Добавить порт. Введите имя OpenVPN, номер 5194 и порт UPD, как на следующем рисунке:
Теперь брандмауэр не будет блокировать входящие подключения из Интернет на порт сервера OpenVPN.
Далее: Окончание статьи