OpenVPN na Windows serveru a redirect veškerého internetového trafficu

MyWindows.cz

home archív foto video win8dev kontakt

OpenVPN na Windows serveru a redirect veškerého internetového trafficu

Windows 10 02.03.22

Zprovoznit si OpenVPN na Windows serveru, s redirektem veškerého internet trafficu (člověk tím získá pevnou IP adresu, ať už je kdekoliv, a zabezpečí si komunikaci, plus se vše tváří, že je v Česku), je snadné. Otázka 30 minut práce :-)

Co pro to udělat?

1. Stáhnout si OpenVPN: openvpn.net/community-downloads

2. Za pomoci EasyRSA (je to součást instalace OpenVPN) si vytvořit certifikáty, tento článek je super: community.openvpn.net/EasyRSA3-OpenVPN-Howto 

3. Následně k tomu přidat TLS: openvpn.net/hardening-openvpn-security

4. Je potřeba otevřít port na firewallu pro TCP nebo UDP a aplikaci OpenVPN/bin/openvpn.exe.

5. Na Windows serveru instalovat Routing and Remote Access (obdoba IPtables) a povolit NAT mezi Tap adaptérem a Ethernet (internet) adaptérem: openvpn.net/enabling-routing-nat-on-windows

6. Pak stačí vytvořit serverový config a nakopírovat jej do config-auto složky (spouští se pak automaticky) a je hotovo:

Příklad server.ovpn:

local xxx.xxx.xxx.xxx
port xxxx
proto tcp4
dev tap
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 0
server 10.5.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
topology subnet
client-to-client
duplicate-cn
keepalive 10 120
cipher CAMELLIA-256-CBC
data-ciphers CAMELLIA-256-CBC
max-clients 10
persist-key
persist-tun
verb 3
mute 5

7. A klientský config client.ovpn (obsah klíčů můžete vložit přímo do konfigurace <ca>klíč</ca> a další, je pak snazší připojit se k VPN na Androidu) a tento soubor si super pečlivě hlídat:

client
dev tap
proto tcp4
remote xxx.xxx.xxx.xxx xxxx
cipher CAMELLIA-256-CBC
data-ciphers CAMELLIA-256-CBC
resolv-retry infinite
remote-cert-tls server
nobind
persist-key
persist-tun
verb 3
auth-nocache
key-direction 1
<ca>...</ca>
<cert>...</cert>
<key>...</key>
<tls-auth>...</tls-auth>

8. Závěrem se můžete z klienta mrknout třeba na www.mojeip.cz a musíte tam vidět IP adresu serveru