OpenVPN
для Windows
OpenVPN — кроссплатформенный инструмент для безопасного туннелирования IP-сетей через единственный UDP или TCP-порт с поддержкой аутентификации сессий и обмена ключами на основе SSL/TLS, шифрования, аутентификации и сжатия пакетов. Поддерживается широкий спектр конфигураций, динамических IP-адресов и NAT, присутствует возможность настраивать удаленный доступ, VPN-соединения типа «точка-точка» и пр.
Основные возможности OpenVPN:
- Поддержка прокси серверов, включая HTTP, SOCKS, NAT и сетевые фильтры.
- Сетевые операции через TCP или UDP транспорт.
- Туннелирования IP-сетей через единственный UDP или TCP-порт с поддержкой аутентификации сессий.
- Эффективное сжатие трафика.
- Поддержка нескольких протоколов шифрования (MD5-HMAC, RSA) и 2048-битного ключа.
- Возможность настраивать удаленный доступ.
- Поддержка динамических IP-адресов и NAT.
- VPN-соединения типа «точка-точка».
ТОП-сегодня раздела «Анонимайзеры, VPN»
Tor Browser 14.0.9
Предоставляет надежную защиту персональной информации и конфиденциальности, которая…
Windscribe 2.13.8
Удобное решение, которое представляет собой набор инструментов, которые работают вместе…
Radmin VPN 1.4.4642.1
Простой в использовании VPN-клиент для решения практически любых задач, с помощью которого…
Amnezia VPN 4.8.2.3
Бесплатное приложение для Windows, позволяющее буквально за пару кликов мыши развернуть…
Отзывы о программе OpenVPN
Сергей про OpenVPN 2.5.7 [12-07-2022]
OpenVPN-2.5.7-I602-arm64 Win10 очень классная программа, бесплатная и работает на все100%
22 | 32 | Ответить
Валерий про OpenVPN 2.5.6 [24-03-2022]
Хрень, полная ни фига эта прога не меняет ваш регион и ип. Зря качал.
13 | 77 | Ответить
Алексей в ответ Валерий про OpenVPN 2.5.7 [18-01-2023]
Ну если не знать для чего существует данная программа, то хаять конечно же проще.
Свою задачу она выполняет на все 100%
37 | 24 | Ответить
OpenVPN can be adapted to configurations such as remote access, site to site VPN, Wi-Fi security, extensible corporate remote access solutions and granular access control elements. Based on the fundamental belief that complexity and complexity are security enemies, OpenVPN offers a cost-effective, resource-efficient alternative to other VPN technologies.
It combines security and ease of use: the structure eliminates confusion and is different from other VPN implementations. Security is based on the SSL protocol, which is the standard in the Internet communication security industry. OpenVPN implements an OSI layer through network extension using SSL/TLS protocols, supports flexible client authentication methods based on certificates, smart cards, and/or 2-factor authentication, and provides a user or group of users with access to policy controls using Firewall rules. OpenVPN is not a proxy server and it does not work through a web browser.
OpenVPN provides a secure yet cost-effective VPN solution with flexibility in configuration and strong SSL protocol-based security.
OpenVPN Technologies, Inc. now plans to further improve OpenVPN to fully meet the needs of both small businesses and large corporations. The program’s license is based on the idea that everyone can modify the source code to suit their own needs and comes under the GNU/GPL license.
— a community of 3 million users;
— Thematic sites have 200,000 visitors and 150,000 downloads per month;
— OpenVPN was announced the winner of the Best SSL VPN contest in 2007 and is recognized by InfoWorld as the best open source software.
Strong encryption and privacy features ensure secure browsing.
Supports multiple platforms including Linux, Windows, and Mac.
Allows for easy firewall traversal.
Initial setup can be complex for less tech-savvy users.
Can be slower due to high data encryption process.
Not all devices support its functionality.
Rory
Fri, Dec 22, 2023
OpenVPN is a Virtual Private Network (VPN) system that creates secure connections in routed or bridged configurations and remote access facilities.OpenVPN allows the users to configure the protocols whether they want remote access or site-to-site VPN, etc. It also provides WiFi security, extensible corporate remote access solutions, and even granular access control elements.
This tool offers a cost-effective and resource-efficient alternative to other VPN software.
OpenVPN provides very strong encryption and privacy features besides ensuring secure browsing. It also supports multiple operating systems including Linux, Windows, and macOS. It also provides easy firewall traversal.
However, the initial setup can be very complex. Therefore a lot of new users do not feel that welcome to use this tool. The transfer speed can be slower due to the high data encryption mechanism. Lastly, a lot of devices still do not support OpenVPN’s functionality.
👨💻️ USER REVIEWS AND COMMENTS 💬
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Ryan
OpenVPN is a great tool for those companies wanting to add an extra firewall to their WiFi protocols from hacking attempts. This is great to help save and prevent any attempts of cyber attacks. Not only that, but users can be approved and added to the firewall security to control its rules.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Calum Parco
OpenVPN is a free and open source virtual private network (VPN) software solution that allows users to securely connect to a remote network over the internet. It uses SSL/TLS encryption to create a secure tunnel between two computers, allowing data to be transmitted without risk of interception. It is a versatile tool that can be used for a wide range of applications, including secure remote access, remote office connections, and site-to-site virtual private networks.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Daniel Siebenaler
I have been using OpenVPN software for about a year now and I am very pleased with the results. It is very user friendly and easy to set up. The speeds and connections are reliable and secure. The support team is also very helpful and I have had no issues while using their software. The price of the software is also very reasonable and is worth the investment. It also offers a lot of features and is easily customizable to suit your needs. Overall, I am impressed with the performance of OpenVPN and would recommend it to anyone looking for a reliable VPN.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Jack Oase
OpenVPN is a great software for creating secure and reliable VPN connections. It has a wide range of functionalities and is very customizable, making it easy to fit to different environments.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Harry B.
OpenVPN is an open-source virtual private network (VPN) software that allows users to create secure connections between remote computers or networks. It provides strong encryption, authentication protocols, and key exchange methods to protect data transmission. It supports various operating systems and can work with both TCP and UDP protocols. OpenVPN can also be configured to work in client-server or site-to-site modes, and it supports dynamic IP addresses. Additionally, it offers advanced features such as multi-factor authentication, IPv6 support, and custom security profiles.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Zac
OpenVPN is a robust and highly flexible VPN software that ensures secure point-to-point connections. Its key feature is encryption, which ensures that data transfers, including communication details, remain confidential. OpenVPN’s ability to traverse network address translators (NATs) and firewalls sets it apart in the realm of VPN solutions.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
George
A reliable tool offering strong encryption and flexibility across various platforms.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Robert
Secure, reliable for remote access. User-friendly interface, customizable features. Free.
image/svg+xmlBotttsPablo Stanleyhttps://bottts.com/Florian Körner
Owen
Secure, reliable, customizable, slightly complex.
private network connection for secure data transfer, user friendly.
- Windows
- Интернет и Сеть
- Управление сетью
- OpenVPN Connect (64bit) 3.7.1
OpenVPN Connect (64bit)3.7.1
OpenVPN Connectэто надежный и безопасный VPN клиент, разработанный для обеспечения конфиденциальности, безопасности и надежного удаленного доступа. Разработанный компанией OpenVPN Technologies, он предоставляет простой способ установления зашифрованных подключений между вашим устройством и удаленными серверами, обеспечивая целостность и конфиденциальность данных как в личных, так и в профессиональных случаях использования.
OpenVPN Connectподдерживает несколько платформ, включая Windows, macOS, iOS и Android, что делает его подходящим для широкого круга пользователей. Он легко интегрируется с OpenVPN Access Server, Cloud и другими совместимыми серверами, обеспечивая гибкость и совместимость для различных сетевых потребностей. Интуитивно понятный интерфейс упрощает настройку, позволяя как новичкам, так и опытным пользователям легко устанавливать VPN-соединения.
Передовые функции безопасности, такие как шифрование AES-256 и поддержка аутентификации TLS, защищают вашу онлайн-активность от угроз. Клиент также предоставляет надежную защиту от утечек DNS и варианты разделенного туннелирования, предоставляя пользователям больший контроль над потоками данных и сетевыми конфигурациями. Кроме того, его легкий дизайн обеспечивает минимальное воздействие на системные ресурсы, поддерживая оптимальную производительность устройства.
OpenVPN Connectидеально подходит для пользователей, ищущих надежное решение для приватного просмотра, удаленной работы и доступа к контенту с географическими ограничениями. Благодаря своей приверженности сильному шифрованию и совместимости на разных устройствах, оно продолжает быть доверенным выбором для людей и организаций, стремящихся обезопасить свое онлайн-присутствие.
Ключевые особенности:
- Сильное шифрование: использует индустриальный стандарт шифрования AES-256 для защиты данных и обеспечения конфиденциальности.
- Безопасный удаленный доступ: обеспечивает безопасный и надежный удаленный доступ к частным сетям для отдельных лиц и команд.
- Совместимость с протоколом OpenVPN: полностью совместим с OpenVPN Access Server и программным обеспечением с открытым исходным кодом OpenVPN.
- Автоматический выбор сервера: Предлагает автоматический выбор сервера для оптимизации скорости соединения и надежности.
- Пользовательские профили: поддерживается импорт VPN-профилей, созданных пользователем и предоставленных администратором.
- Раздельное туннелирование: позволяет пользователям перенаправлять выбранный трафик через VPN, одновременно обеспечивая доступ к другим ресурсам напрямую.
- Бесшовная интеграция: Легко интегрируется с системами аутентификации сторонних производителей, включая LDAP, RADIUS и SAML.
- Расширенные настройки конфигурации: поддержка настроек прокси, настройка порта и расширенные сетевые функции для технических пользователей.
- Защита от утечек DNS и IP: Обеспечивает сокрытие IP-адресов пользователей и DNS-запросов.
- Стабильность соединения: автоматически переподключается при прерывании соединения, обеспечивая постоянный доступ к VPN.
- Удобный интерфейс: обеспечивает чистый и интуитивно понятный UI для настройки и управления VPN соединениями.
- Поддержка нескольких подключений: Управляет несколькими профилями VPN для бесшовного переключения между сетями.
OpenVPN
Подключить
клиентская программа
Программа доступна на других языках.
- Download OpenVPN Connect (64bit)
- Télécharger OpenVPN Connect (64bit)
- Herunterladen OpenVPN Connect (64bit)
- Scaricare OpenVPN Connect (64bit)
- ダウンロード OpenVPN Connect (64bit)
- Descargar OpenVPN Connect (64bit)
- Baixar OpenVPN Connect (64bit)
Отзывы пользователей
Оценка пользователя
Лицензия:
Свободный
Требования:
Windows 10 64/ Windows 11 64
Языки:
Multi-languages
Размер:
98.41 MB
Издатель:
OpenVPN Inc.
Обновлено:
May 5, 2025
Чистый
Отчетное программное обеспечение
Уровни безопасности
Чтобы избежать возможного ущерба для вашего устройства и обеспечить безопасность ваших данных и конфиденциальность, наша команда проверяет каждый раз, когда новый файл установки загружается на наши серверы или связывается с удаленным сервером, и периодически пересматривает файл, чтобы подтвердить или обновить его статус. На основе этой проверки мы устанавливаем следующие уровни безопасности для любых загружаемых файлов.
Чистый
Это весьма вероятно, что эта программа чистая.
Мы просканировали файлы и URL-адреса, связанные с этой программой, более чем в 60 ведущих антивирусных службах мира; угроз не найдено. И стороннее программное обеспечение не bundled.
Предупреждение
Эта программа поддерживается рекламой и может предложить установить сторонние программы, которые не являются обязательными. Это могут включать панель инструментов, изменение вашей домашней страницы, поисковой системы по умолчанию или установку других сторонних программ. Это могут быть ложные срабатывания, и нашим пользователям рекомендуется быть осторожными при установке и использовании этого ПО.
Инвалид
Это программное обеспечение больше недоступно для скачивания. С высокой вероятностью, эта программа вредоносна или имеет проблемы с безопасностью или другие причины.
Представить отчет
Спасибо!
Ваш отчет был отправлен.
Мы рассмотрим вашу просьбу и примем соответствующие меры.
Обратите внимание, что вы не получите уведомление о любых действиях, предпринятых по этому отчету. Приносим извинения за любые неудобства, которые это может причинить.
Мы благодарим вас за помощь в поддержании нашего сайта чистым и безопасным.
Securepoint OpenVPN 2.0.43
Security: OpenVPN update to version 2.6.12 and OpenSSL update to 3.0.15
Bugfix: Update of the deprecated OpenVPN option “—ns-cert-type” to “—remote-cert-tls”
Security Bugfix: Solved the issue of password remaining as cleartext in memory for some unknown amount of time (CWE 316 https://cwe.mitre.org/data/definitions/316.html)
Most cases are covered, but in some rare cases the password remains in memory for a short time, i.e. Windows / QT-Framework may store copies of the password in the memory. This is classified as a known issue.
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.43.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.43 file.
Securepoint OpenVPN 2.0.42
Security: Update to OpenSSL 3.0.13 and OpenVPN 2.6.10
Security: Update of TAP-driver to 9.27.0 (CVE-2024-1305)
Please Note: Windows 7 will no longer recive TAP-Driver updates as the support from microsoft and openvpn has ended
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.42.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.42 file.
Securepoint OpenVPN 2.0.41
Security: Update to OpenSSL 3.2.0 and OpenVPN 2.6.8
Bugfix: Reinstalling the client would delete all connections
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.41.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.41 file.
Securepoint OpenVPN 2.0.40
Security Bugfix: Bug fixed that could lead to extended privileges (local privilege escalation) when installing or repairing the ssl vpn client
Bugfix: The option «use interact» was not saved correctly
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.40.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.40 file.
Securepoint OpenVPN 2.0.39
Feature: Inline-Certificates are now supported in the Client
Bugfix: Usage of script-security for values 0 and 1 will not throw an error
Bugfix: If the start parameter «-noSave» is appended to the filename, (re-)enabling «Start on windows startup» will now add it to the startup-arguments
Security: OpenVPN 2.5.8 with OpenSSL 1.1.1t
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.39.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.39 file.
Securepoint OpenVPN 2.0.38
Feature: On startup the client will now check for a newer version and offer a direct download link
Feature: The msi-installer will now install windows 10 drivers by default
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 7, executed in an administrative shell):
msiexec /qn /i openvpn-client-installer-2.0.38.msi TRANSFORMS=»:en-us.mst» CWINVERSION=7
For further examples please see the msi-installer-examples-2.0.38 file.
Securepoint OpenVPN 2.0.36
Feature: The default target of the msi-file is now Windows 10 instead of Windows 7.
Maintenance: New code signing certificate
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 10):
msiexec /qn /i openvpn-client-installer-2.0.36.msi TRANSFORMS=»:en-us.mst» CWINVERSION=10
For further examples please see the msi-installer-examples-2.0.36 file.
Securepoint OpenVPN 2.0.37
Security: OpenSSL update (CVE-2022-0778)
Security: OpenVPN update (CVE-2022-0547)
Bugfix: Fixing import of utm roadwarrior configurations
Bugfix: Fixing import of ovpn-files with special characters
Bugfix: Fixing import of ovpn-files with tls-crypt keyword
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 10 will be installed!
Example(en, Windows 10):
msiexec /qn /i openvpn-client-installer-2.0.37.msi TRANSFORMS=»:en-us.mst» CWINVERSION=10
For further examples please see the msi-installer-examples-2.0.37 file.
Securepoint OpenVPN 2.0.35
Security: OpenSSL config autoloading on Windows is disabled (CVE-2021-3606).
Security: OpenVPN 2.5.3 with custon security patch(no script-security > 1).
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 7 will be installed!
Example(en, Windows 10):
msiexec /qn /i openvpn-client-installer-2.0.35.msi TRANSFORMS=»:en-us.mst» CWINVERSION=10
For further examples please see the msi-installer-examples-2.0.35 file.
Securepoint OpenVPN 2.0.34
Maintenance: Add new TAP driver for Windows 10.
Hint
Please read the important security changes in 2.0.33 release.
Important msi installer note!
If you do the install by using the msi installer it is all-important to specify the property CWINVERSION as msiexec argument which specify the windows version.
Two values are possible:
CWINVERSION=7
CWINVERSION=10
This property controls the installation of the tap driver. If no property is specified the tap driver for Windows 7 will be installed!
Example(en, Windows 10):
msiexec /qn /i openvpn-client-installer-2.0.34.msi TRANSFORMS=»:en-us.mst» CWINVERSION=10
For further examples please see the msi-installer-examples-2.0.34 file.
OpenVPN – это набор open source программ, который заслуженно является одним из самых популярных и легких решений для реализации защищенной VPN сети. OpenVPN позволяет объединить в единую сеть сервер и клиентов (даже находящиеся за NAT или файерволами), или объединить сети удаленных офисов. Серверную часть OpenVPN можно развернуть практически на всех доступных операционных системах (пример настройки OpenVPN на Linux). Вы можете установить OpenVPN сервер даже на обычный компьютер с десктопной редакцией Windows 10.
В этой статье, мы покажем, как установить OpenVPN сервер на компьютер с Windows 10, настроить OpenVPN клиент на другом Windows хосте и установить защищенное VPN подключение.
Содержание:
- Установка службы OpenVPN сервера в Windows
- Создаем ключи шифрования и сертификаты для OpenVPN
- Конфигурационный файл OpenVPN сервера в Windows
- Настройка OpenVPN клиента в Windows
Установка службы OpenVPN сервера в Windows
Скачайте MSI установщик OpenVPN для вашей версии Windows с официального сайта (https://openvpn.net/community-downloads/). В нашем случае это OpenVPN-2.5.5-I602-amd64.msi (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.5-I602-amd64.msi).
Запустите установку.
Если вы планируете, OpenVPN сервер работал в автоматическом режиме, можно не устанавливать OpenVPN GUI. Обязательно установите OpenVPN Services.
Начиная с версии OpenVPN 2.5, поддерживается драйвер WinTun от разработчиков WireGuard. Считается, что этот драйвер работает быстрее чем классический OpenVPN драйвер TAP. Установите драйвер Wintun, откажитесь от установки TAP-Windows6.
Установите OpenSSL утилиту EasyRSA Certificate Management Scripts.
Запустите установку.
По умолчанию OpenVPN устаналивается в каталог C:\Program Files\OpenVPN.
После окончания установки появится новый сетевой адаптер типа Wintun Userspace Tunnel. Этот адаптер отключен, если служба OpenVPN не запущена.
Создаем ключи шифрования и сертификаты для OpenVPN
OpenVPN основан на шифровании OpenSSL. Это означает, что для обмена трафиком между клиентом и серверов VPN нужно сгенерировать ключи и сертификаты с использованием RSA3.
Откройте командную строку и перейдите в каталог easy-rsa:
cd C:\Program Files\OpenVPN\easy-rsa
Создайте копию файла:
copy vars.example vars
Откройте файл vars с помощью любого текстового редактора. Проверьте пути к рабочим директориям.
Обязательно поправьте переменную EASYRSA_TEMP_DIR следующим образом:
set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI/temp"
Можете заполнить поля для сертификатов (опционально)
set_var EASYRSA_REQ_COUNTRY "RU" set_var EASYRSA_REQ_PROVINCE "MSK" set_var EASYRSA_REQ_CITY "MSK" set_var EASYRSA_REQ_ORG "IT-Company" set_var EASYRSA_REQ_EMAIL " [email protected] " set_var EASYRSA_REQ_OU " IT department "
Срок действия сертификатов задается с помощью:
#set_var EASYRSA_CA_EXPIRE 3650 #set_var EASYRSA_CERT_EXPIRE 825
Сохраните файл и выполните команду:
EasyRSA-Start.bat
Следующие команды выполняются в среде EasyRSA Shell:
Инициализация PKI:
./easyrsa init-pki
Должна появится надпись:
init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: C:/Program Files/OpenVPN/easy-rsa/pki
Теперь нужно сгенерировать корневой CA:
./easyrsa build-ca
Задайте дважды пароль для CA:
CA creation complete and you may now import and sign cert requests.
Данная команда сформировала:
- Корневой сертификат центра сертификации: «C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt»
- Ключ центра сертификации «C:\Program Files\OpenVPN\easy-rsa\pki\private\ca.key»
Теперь нужно сгенерировать запрос сертификата и ключ для вашего сервера OpenVPN:
./easyrsa gen-req server nopass
Утилита сгенерирует два файла:
req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/server.req key: C:/Program Files/OpenVPN/easy-rsa/pki/private/server.key
Подпишем запрос на выпуск сертификата сервера с помощью нашего CA:
./easyrsa sign-req server server
Подтвердите правильность данных, набрав yes.
Затем введите пароль CA от корневого CA.
В каталоге issued появится сертификат сервера («C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.crt»)
Теперь можно создать ключи Диффи-Хеллмана (займет длительное время):
./easyrsa gen-dh
Для дополнительной защиты VPN сервера желательно включить tls-auth. Данная технология позволяет использовать подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Пакеты без такой подписи будут отбрасываться VPN сервером. Это защитит вас от сканирования порта VPN сервера, DoS атак, переполнения буфера SSL/TLS.
Сгенерируйте ключ tls-auth:
cd C:\Program Files\OpenVPN\bin
openvpn --genkey secret ta.key
Должен появиться файл «C:\Program Files\OpenVPN\bin\ta.key». Переместите его в каталог C:\Program Files\OpenVPN\easy-rsa\pki
Теперь можно сформировать ключи для клиентов OpenVPN. Для каждого клиента, который будет подключаться к вашему серверу нужно создать собственные ключи.
Есть несколько способов генерации ключей и передачи их клиентам. В следующем примере, мы создадим на сервере ключ клиента и защитим его паролем:
./easyrsa gen-req kbuldogov
./easyrsa sign-req client kbuldogov
Данный ключ («C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov.key») нужно передать клиенту и сообщить пароль. Клиент может снять защиту паролем для ключа:
openssl rsa -in "C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov.key"-out "C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov_use.key"
Если вы хотите сгенерировать ключ, не защищенный паролем, нужно выполнить команду:
./easyrsa gen-req имяклиента nopass
На сервере с OpenVPN вы можете создать неограниченное количество ключей и сертификатов для пользователей. Аналогичным образом сформируйте ключи и сертфикаты для других клиентов.
Вы можете отохвать скомпрометированные сертификаты клиентов:
cd C:\Program Files\OpenVPN\easy-rsa
EasyRSA-Start.bat
./easyrsa revoke kbuldogov
Итак, мы сгенерировали набор ключей и сертификатов для OpenVPN сервера. Теперь можно настроить и запустить службу OpenVPN.
Конфигурационный файл OpenVPN сервера в Windows
Скопируйте типовой конфигурационный файл OpenVPN сервера:
copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\config-auto\server.ovpn"
Откройте файл server.ovpn в любом текстовом редакторе и внесите свои настройки. Я использую следующий конфиг для OpenVPN:
# Указываем порт, протокол и устройство port 1194 proto udp dev tun # Указываем пути к сертификатам сервера ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server.key" dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem" # Указываем настройки IP сети, адреса из которой будет будут получать VPN клиенты server 10.24.1.0 255.255.255.0 #если нужно разрешить клиентам подключаться под одним ключом, нужвно включить опцию duplicate-cn (не рекомендуется) #duplicate-cn # TLS защита tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ta.key" 0 cipher AES-256-GCM # Другая параметры keepalive 20 60 persist-key persist-tun status "C:\\Program Files\\OpenVPN\\log\\status.log" log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" verb 3 mute 20 windows-driver wintun
Сохраните файл.
OpenVPN позволяет использовать как TCP, так и UDP для подключения. В этом примере я запустил OpenVPN на 1194 UDP. Рекомендуется использовать протокол UDP, это оптимально как с точки зрения производительности, так и безопасности.
Не забудьте открыть на файерволе порты для указанного вами порта OpenVPN на клиенте и на сервере. Можно открыть порты в Windows Defender с помощью PowerShell.
Правило для сервера:
New-NetFirewallRule -DisplayName "AllowOpenVPN-In" -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow
Правило для клиента:
New-NetFirewallRule -DisplayName "AllowOpenVPN-Out" -Direction Outbound -Protocol UDP –LocalPort 1194 -Action Allow
Теперь нужно запустить службу OpenVPN и изменить тип ее запуска на автоматический. Воспользуйтесь таким командами PowerShell, чтобы включить службу:
Set-Service OpenVPNService –startuptype automatic –passthru
Get-Service OpenVPNService| Start-Service
Откройте панель управления, и убедитесь, что виртуальный сетевой адаптер OpenVPN Wintun теперь активен. Если нет, смотрите лог «C:\Program Files\OpenVPN\log\server.log»
Если при запуске OpenVPN вы видите в логе ошибку:
Options error: In C:\Program Files\OpenVPN\config-auto\server.ovpn:1: Maximum option line length (256) exceeded, line starts with..
Смените в файле server.ovpn символы переноса строки на Windows CRLF (в notepad++ нужно выбрать Edit -> EOL Conversion -> Windows CR LF). Сохраните файл, перезапустите службу OpevVPNService.
Данный конфиг позволит удаленным клиентам получить доступ только к серверу, но другие компьютеры и сервисы в локальной сети сервера для них недоступны. Чтобы разрешить клиентам OpenVPN получить доступ к внутренней сети нужно:
Включить опцию IPEnableRouter в реестре (включает IP маршрутизацию в Windows, в том числе включает маршрутизацию меду сетями Hyper-V): reg add «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters» /v IPEnableRouter /t REG_DWORD /d 1 /f
Добавьте в конфгурационный файл сервера OpenVPN маршруты до внутренней IP сети:
push "route 10.24.1.0 255.255.255.0" push "route 192.168.100.0 255.255.255.0"
Если нужно, назначьте клиенту адреса DNS серверов:
push "dhcp-option DNS 192.168.100.11" push "dhcp-option DNS 192.168.100.12"
Если нужно завернуть все запросы клиента (в том числе Интернет трафик) на ваш OpenVPN сервер, добавьте опцию:
push "redirect-gateway def1"
Настройка OpenVPN клиента в Windows
Создайте на сервере шаблонный конфигурационный файла для клиента VPN (на базе iшаблона client.ovpn) со следующими параметрами (имя файла kbuldovov.ovpn)
client dev tun proto udp remote your_vpn_server_address 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert kbuldogov.crt key kbuldogov.key remote-cert-tls server tls-auth ta.key 1 cipher AES-256-GCM connect-retry-max 25 verb 3
В директиве remote указывается публичный IP адрес или DNS имя вашего сервера OpenVPN.
Скачайте и установите клиент OpenVPN Connect для Windows (https://openvpn.net/downloads/openvpn-connect-v3-windows.msi).
Теперь на компьютер с клиентом OpenVPN нужно с сервера скопировать файлы:
- ca.crt
- kbuldogov.crt
- kbuldogov.key
- dh.pem
- ta.key
- kbuldogov.ovpn
Теперь импортируйте файл с профилем *.ovpn и попробуйте подключиться к вашему VPN серверу.
Если все настроено правильно, появится такая картинка.
Проверьте теперь лог OpenVPN на клиенте «C:\Program Files\OpenVPN Connect\agent.log»
Mon Dec 27 08:09:30 2021 proxy_auto_config_url
Mon Dec 27 08:09:31 2021 TUN SETUP
TAP ADAPTERS:
guid='{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}' index=22 name='Local Area Connection'
Open TAP device "Local Area Connection" PATH="\\.\Global\{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}.tap" SUCCEEDED
TAP-Windows Driver Version 9.24
ActionDeleteAllRoutesOnInterface iface_index=22
netsh interface ip set interface 22 metric=1
Ok.
netsh interface ip set address 22 static 10.24.1.6 255.255.255.252 gateway=10.24.1.5 store=active
IPHelper: add route 10.24.1.1/32 22 10.24.1.5 metric=-1
Клиент успешно подключится к OpenVPN серверу и получил IP адрес 10.24.1.6.
Проверьте теперь лог на сервере («C:\Program Files\OpenVPN\log\openvpn.log»). Здесь также видно, что клиент с сертификатом kbuldogov успешно подключится к вашему серверу.
2021-12-27 08:09:35 192.168.13.202:55648 [kbuldogov] Peer Connection Initiated with [AF_INET6]::ffff:192.168.13.202:55648 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI_sva: pool returned IPv4=10.24.1.6, IPv6=(Not enabled) 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: Learn: 10.24.1.6 -> kbuldogov/192.168.13.202:55648 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: primary virtual IP for kbuldogov/192.168.13.202:55648: 10.24.1.6