Связаться с намиПодключиться

Соединение с облачной сетью при помощи OpenVPN

Статья создана
Обновлена 6 февраля 2025 г.

С помощью туннелей на порт TCP или UDP и асимметричного шифрования можно создавать виртуальные сети. VPN может быть использован, например, чтобы:

  • объединить территориально удаленные сети;
  • подключить внештатных сотрудников к офисной сети;
  • организовать соединение с шифрованием поверх открытой сети Wi-Fi.

Продукт OpenVPN Access Server совместим с открытой версией OpenVPN и построен на ее основе. Он предоставляет клиенты для Windows, Mac, Android и iOS, а также позволяет управлять подключениями с помощью веб-интерфейса.

Ниже показан пример настройки автоподключения, а также по логину и паролю. Чтобы создать виртуальную сеть:

  1. Подготовьте облако к работе.
  2. Создайте подсети и тестовую ВМ.
  3. Запустите сервер VPN.
  4. Настройте разрешения сетевого трафика.
  5. Получите пароль администратора.
  6. Активируйте лицензию.
  7. Создайте пользователя OpenVPN.
  8. Подключитесь к VPN.

Если сервер VPN больше не нужен, удалите ВМ.

Подготовьте облако к работе

В стоимость поддержки инфраструктуры OpenVPN входят:

  • плата за диски и постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
  • плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud);
  • плата за лицензию OpenVPN Access Server (при использовании более двух подключений).

Создайте подсети и тестовую ВМ

Для связи облачных ресурсов с интернетом необходимо иметь созданные сети и подсети.

Создайте тестовую виртуальную машину без публичного IP-адреса и подключите ее к подсети.

Запустите сервер VPN

Создайте ВМ, которая будет шлюзом VPN-подключений:

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска в поле Поиск продукта введите OpenVPN Access Server и выберите публичный образ OpenVPN Access Server.

  3. В блоке Расположение выберите зону доступности, в которой уже находится тестовая ВМ.

  4. В блоке Диски и файловые хранилища задайте размер загрузочного диска 20 ГБ.

  5. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • ПлатформаIntel Ice Lake.
    • vCPU2.
    • Гарантированная доля vCPU100%.
    • RAM2 ГБ.

  6. В блоке Сетевые настройки:

    • В поле Подсеть выберите сеть и подсеть, к которым нужно подключить ВМ. Если нужной сети или подсети еще нет, создайте их.

    • В поле Публичный IP-адрес оставьте значение Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.

      Используйте только статические публичные IP-адреса из списка, или сделайте IP-адрес созданной машины статическим. Динамический IP-адрес может измениться после перезагрузки ВМ, и соединения перестанут работать.

    • Если доступен список Группы безопасности, выберите группу безопасности. Если оставить поле пустым, будет назначена группа безопасности по умолчанию.

  7. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя. Не используйте имя root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  8. В блоке Общая информация задайте имя ВМ: vpn-server.

  9. Нажмите кнопку Создать ВМ.

  10. Появится окно с информацией о типе тарификации: BYOL (Bring Your Own License). Нажмите кнопку Создать.

Настройте разрешения сетевого трафика

Группы безопасности работают как виртуальный брандмауэр для входящего и исходящего трафика. См. подробнее о группе безопасности по умолчанию.

  1. Для работы OpenVPN Access Server добавьте следующие правила в группу безопасности по умолчанию:

    Направление
    трафика    		 Описание Диапазон портов Протокол Источник CIDR блоки
    Входящий VPN Server 443 TCP CIDR 0.0.0.0/0
    Входящий VPN Server 1194 UDP CIDR 0.0.0.0/0
    Входящий Admin Web UI,
    Client Web UI    		 943 TCP CIDR 0.0.0.0/0

    Сервер VPN способен перенаправлять трафик с порта HTTPS, поэтому при необходимости оставьте открытым единственный порт TCP 443. См. также настройки на вкладке ConfigurationNetwork Settings в административной панели сервера.

  2. Если вы настроили собственную группу безопасности, убедитесь, что в ней разрешен трафик между сервером VPN и требуемыми ресурсами. Например, они находятся в одной группе безопасности и создано правило Self для всей группы.

Получите пароль администратора

На сервере OpenVPN заранее создан пользователь openvpn с административными правами. Пароль генерируется автоматически при создании виртуальной машины.

Получите пароль в выводе последовательного порта или в серийной консоли. Пароль отобразится в строке:

To login please use the "openvpn" account with <пароль> password.

Где <пароль> — пароль пользователя openvpn.

Для первого входа в административную панель используйте логин openvpn и полученный пароль.

Если вы не получили пароль после первого запуска сервера VPN, необходимо заново создать ВМ с OpenVPN Access Server. При перезапусках пароль не отображается.

Активируйте лицензию

Примечание

Если у вас до двух VPN-подключений, используйте продукт бесплатно (активация не требуется).

Чтобы активировать лицензию:

  1. Создайте учетную запись на сайте openvpn.net.
  2. Введите код подтверждения, полученный по электронной почте.
  3. В окне Where would you like to Go? отметьте опцию Remember my choice и выберите продукт Access server.
  4. В окне Tell us more выберите назначение: Business use или Personal Use.
  5. На вкладке Subscriptions выберите максимальное количество подключений в поле How many VPN connections do you need? и нажмите кнопку Create.
  6. На экране отобразится ваша подписка: Subscription 1.
  7. Чтобы скопировать ключ активации, нажмите кнопку Copy Key в блоке Subscription Key.

Дождитесь перехода ВМ в статус RUNNING и введите ключ активации в административной панели по адресу https://<публичный_IP-адрес_ВМ>/admin/.

Публичный IP-адрес ВМ можно узнать в консоли управления в поле Публичный IPv4-адрес блока Сеть на странице ВМ.

Создайте пользователя OpenVPN

OpenVPN Access Server предоставляет два веб-интерфейса:

  1. Client Web UI по адресу https://<публичный_IP-адрес_ВМ>/. Интерфейс предназначен для входа обычных пользователей, скачивания клиентских программ и профилей конфигурации.
  2. Admin Web UI по адресу https://<публичный_IP-адрес_ВМ>/admin/. Интерфейс предназначен для настройки сервера.

Примечание

По умолчанию на сервер установлен самоподписанный сертификат. Если вам необходимо поменять сертификат, воспользуйтесь инструкцией.

Чтобы создать пользователя, войдите в административную панель:

  1. Откройте в браузере URL вида https://<публичный_IP-адрес_ВМ>/admin/.
  2. Введите имя пользователя openvpn и пароль (см. раздел про получение пароля администратора).
  3. Ознакомьтесь с лицензионным соглашением и нажмите кнопку Agree. Откроется главный экран административной панели OpenVPN.
  4. Разверните вкладку User management и выберите пункт User permissions.
  5. В списке пользователей в поле New Username введите имя нового пользователя. Например: test-user.
  6. В столбце More Settings нажмите значок карандаша и в поле Password введите пароль нового пользователя.
  7. Нажмите кнопку Save settings.
  8. Нажмите кнопку Update running server.

Подключитесь к VPN

В панели пользователя можно загрузить OpenVPN Connect для Windows, Linux, MacOS, Android, iOS. Также для подключения можно использовать OpenSource-клиенты.

Чтобы убедиться, что соединение устанавливается и работает, подключитесь к VPN и выполните команду ping для внутреннего адреса тестовой ВМ:

  1. Установите openvpn с помощью менеджера пакетов:

    sudo apt update && sudo apt install openvpn

  2. Разрешите для пользователя test-user автоматическое подключение:

    • Войдите в панель администратора по адресу https://<публичный_IP-адрес_ВМ>/admin/.
    • Откройте вкладку User managementUser permissions.
    • Включите опцию Allow Auto-login в строке пользователя.

  3. Настройте маршрутизацию:

    • Войдите в панель администратора по адресу https://<публичный_IP-адрес_ВМ>/admin/.
    • Откройте вкладку ConfigurationVPN Settings.
    • В блоке Routing отключите опцию Should client Internet traffic be routed through the VPN?

  4. Скачайте профиль конфигурации:

    • Откройте в браузере панель пользователя по адресу https://<публичный_IP-адрес_ВМ>/.
    • Войдите с помощью логина test-user и пароля.
    • В блоке Available Connection Profiles нажмите Yourself (autologin profile) и загрузите файл profile-1.ovpn.
    • Также файл конфигурации можно скачать в панели администратора по адресу https://<<публичный_IP-адрес_ВМ>/admin/.

  5. Загрузите профиль конфигурации на машину с Linux:

    scp profile-1.ovpn user@<IP-адрес>:~

  6. Переместите профиль конфигурации в каталог /etc/openvpn:

    sudo mv /home/user/profile-1.ovpn /etc/openvpn

  7. Поменяйте расширение файла ovpn на conf:

    sudo mv /etc/openvpn/profile-1.ovpn /etc/openvpn/profile-1.conf

  8. Закройте доступ к файлу:

    sudo chown root:root /etc/openvpn/profile-1.conf
sudo chmod 600 /etc/openvpn/profile-1.conf

  9. VPN-соединение включится автоматически после перезагрузки. Чтобы запустить вручную, выполните команду:

    sudo openvpn --config /etc/openvpn/profile-1.conf

    Результат:

    2022-04-05 15:35:49 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-04-05 15:35:49 OpenVPN 2.5.1 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2021
2022-04-05 15:35:49 library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
2022-04-05 15:35:49 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2022-04-05 15:35:49 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-04-05 15:35:49 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
2022-04-05 15:35:49 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
2022-04-05 15:35:49 TCP/UDP: Preserving recently used remote address: [AF_INET]51.250.25.105:443
2022-04-05 15:35:49 Socket Buffers: R=[131072->131072] S=[16384->16384]
2022-04-05 15:35:49 Attempting to establish TCP connection with [AF_INET]51.250.25.105:443 [nonblock]
...
...
2022-04-05 15:35:54 Initialization Sequence Completed

  10. Проверьте работу сети с помощью команды ping:

    sudo ping <внутренний_IP-адрес_тестовой_ВМ>

    Если команда выполняется, доступ к ВМ через VPN есть.

  11. Чтобы прервать подключение, установленное вручную, нажмите Ctrl + C.

  1. Скачайте дистрибутив для установки:

    • Откройте в браузере панель пользователя по адресу https://<публичный_IP-адрес_ВМ>/.
    • Войдите с помощью логина test-user и пароля.
    • Скачайте дистрибутив OpenVPN Connect версии 2 или версии 3, нажав на значок Windows.

  2. Установите и запустите OpenVPN Connect.

  3. VPN-соединение включится автоматически, если в профиле пользователя разрешен автоматический вход.

  4. В приложение можно импортировать новый профиль конфигурации. Для этого укажите адрес https://<публичный_IP-адрес_ВМ>/ или выберите файл с профилем.

  5. Откройте терминал и выполните команду ping <внутренний_IP-адрес_тестовой_ВМ>. Если команда выполняется, доступ к ВМ через VPN есть.

  1. Скачайте дистрибутив для установки:

    • Откройте в браузере панель пользователя по адресу https://<публичный_IP-адрес_ВМ>/.
    • Войдите с помощью логина test-user и пароля.
    • Скачайте дистрибутив OpenVPN Connect версии 2 или версии 3, нажав на значок Apple.

  2. Установите и запустите OpenVPN Connect.

  3. VPN-соединение включится автоматически, если в профиле пользователя разрешен автоматический вход.

  4. В приложение можно импортировать новый профиль конфигурации. Для этого укажите адрес https://<<публичный_IP-адрес_ВМ>/ или выберите файл с профилем.

  5. Откройте терминал и выполните команду ping <внутренний_IP-адрес_тестовой_ВМ>. Если команда выполняется, доступ к ВМ через VPN есть.

Как удалить созданные ресурсы

Удалите ресурсы, которые вы больше не будете использовать, чтобы за них не списывалась плата:

  • Удалите ВМ vpn-server и тестовую ВМ.
  • Если вы зарезервировали публичный статический IP-адрес, удалите его.

См. также

Предыдущая
Установка виртуального роутера Mikrotik CHR
Следующая
Настройка Cloud DNS для доступа к кластеру Managed Service for ClickHouse® из других облачных сетей