1. Установка openvpn
um -y install openvpn
Создаем директорию для ключей: mkdir /etc/openvpn/keys
cd /etc/openvpn/keys wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip cd /etc/openvpn/keys/easy-rsa-master/easyrsa3
mv vars.example vars
Создаем структуру публичных PKI ключей: ./easyrsa init-pki
Создайте удостоверяющий центр CA:
./easyrsa build-ca
Создать ключи Диффи-Хелмана: ./easyrsa gen-dh
Создаем запрос сертификата для сервера без пароля с помощью опции nopass, иначе придется вводить пароль с консоли при каждом запуске сервера: ./easyrsa gen-req vpn-server nopass
Подписываем запрос на получение сертификата у нашего CA: ./easyrsa sign-req server vpn-server
Создание списка отзывов сертификатов: ./easyrsa gen-crl
Создать «HMAC firewall» для защиты от DoS аттак и флуда UDP порта: openvpn –genkey –secret ta.key
Если нужно заблокировать выданный ранее сертификат, воспользуйтесь следующей командой: ./easyrsa revoke developer5
Копируем в папку /etc/openvpn все необходимые для работы openvpn сервера ключи:
cp pki/ca.crt /etc/openvpn/ca.crt cp pki/dh.pem /etc/openvpn/dh.pem cp pki/issued/server.crt /etc/openvpn/server.crt cp pki/private/server.key /etc/openvpn/server.key cp pki/crl.pem /etc/openvpn/crl.pem cp pki/ta.key /etc/openvpn/ta.key
Создадим ключ для клиента openvpn: ./easyrsa gen-req sip275 nopass ./easyrsa sign-req client sip275