1. Установка openvpn um -y install openvpn Создаем директорию для ключей: mkdir /etc/openvpn/keys cd /etc/openvpn/keys wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip cd /etc/openvpn/keys/easy-rsa-master/easyrsa3 mv vars.example vars Создаем структуру публичных PKI ключей: ./easyrsa init-pki Создайте удостоверяющий центр CA: ./easyrsa build-ca Создать ключи Диффи-Хелмана: ./easyrsa gen-dh Создаем запрос сертификата для сервера без пароля с помощью опции nopass, иначе придется вводить пароль с консоли при каждом запуске сервера: ./easyrsa gen-req vpn-server nopass Подписываем запрос на получение сертификата у нашего CA: ./easyrsa sign-req server vpn-server Создание списка отзывов сертификатов: ./easyrsa gen-crl Создать «HMAC firewall» для защиты от DoS аттак и флуда UDP порта: openvpn --genkey --secret ta.key Если нужно заблокировать выданный ранее сертификат, воспользуйтесь следующей командой: ./easyrsa revoke developer5 Копируем в папку /etc/openvpn все необходимые для работы openvpn сервера ключи: cp pki/ca.crt /etc/openvpn/ca.crt cp pki/dh.pem /etc/openvpn/dh.pem cp pki/issued/server.crt /etc/openvpn/server.crt cp pki/private/server.key /etc/openvpn/server.key cp pki/crl.pem /etc/openvpn/crl.pem cp pki/ta.key /etc/openvpn/ta.key Создадим ключ для клиента openvpn: ./easyrsa gen-req sip275 nopass ./easyrsa sign-req client sip275