etc/openvpn/ccd, правильно я понимаю?
в chroot т.е. /var/lib/openvpn/etc/openvpn/ccd
Пример на рабочем сервере Альт линукс.Путь, где находятся OpenVPN интерфейсы -это: /etc/net/ifaces
перейдем в него
[root@proxyae ifaces]#
cd /etc/net/ifacesпосмотрим содержимое
[root@proxyae ifaces]#
lsdefault enp0s10 enp0s11 enp0s13 lo tun0 tun1 tun2 unknown
Созданные ранее каталоги с файлами настроек:
tun0 - сервер openvpn, tun2 - клиент к офисному серверу
tun0 и tun2 это каталоги с файлами настроек
заглянем в каталог настроек сервера tun0
[root@proxyae ifaces]
# ls tun0options ovpnoptions[root@proxyae ifaces]
# cat tun0/optionsONBOOT=yes
TYPE=ovpn
BOOTPROTO=static[root@proxyae ifaces]
# cat tun0/ovpnoptions# Generated by alterator-openvpn-server, do not edit manually
# ( настройка с веб интерфейса данного тунеля перезатрет конфиг):
# лучше править в консоли.
port 1194
proto tcp-server
dev-type tun
# Расположение ключей и название любые
# Публичный сертификат для сервера и клиента, которым подписываются ключи
ca /var/lib/ssl/certs/openvpn-server-CA.crt
# Сертификат сервера
cert /var/lib/ssl/certs/openvpn-server.cert
# Секретный ключ сервера
key /var/lib/ssl/private/openvpn-server.key
# ключ Диффи-Хелмана
dh /var/lib/ssl/private/openvpn-server.dh
# Диапазон виртуальной подсети адресов, присваиваемых клиентам
server 192.168.100.0 255.255.255.0
user openvpn
group openvpn
ifconfig-pool-persist ipp.txt
keepalive 10 120
# ccd каталог находится в chroot директории
# /var/lib/openvpn/etc/openvpn/ccd
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
# логи статуса соединений
status /var/log/openvpn-status.log
# основной лог
log /var/log/ovpnae-server.log
verb 3
comp-lzo
# маршрутизация на VPN хосте
# локльная сеть в которой находится OpenVPN сервер
push "route 192.168.8.0 255.255.255.0"
# Сети за клиентами которые хотим видеть с сети 192.168.8.0/24
# В данном примере клиенты являются интернет шлюзами в подсети 192.168.6.0/24 и 192.168.5.0/24
route 192.168.6.0 255.255.255.0
push "route 192.168.6.0 255.255.255.0"
route 192.168.5.0 255.255.255.0
push "route 192.168.5.0 255.255.255.0"
# передаем dhcp опции DNS клиентам
push "dhcp-option DNS 192.168.8.1"
# Можем сделать OpenVPN основным шлюзом у клиентов
# push "redirect-gateway"
имена файлов данного каталога (/var/lib/openvpn/etc/openvpn/ccd) должны соответствовать именам сертификата клиентов , а именно
Sudject: CN=a5, Sudject: CN=a6 - строчки внутри файла сертификата клиентов подключающихся к OpenVPN серверу[root@proxyae ifaces]
# ls /var/lib/openvpn/etc/openvpn/ccda5 a6содержимое файлов a5 и a6 - данные файлы дают возможность видеть сеть за клиентом[root@proxyae ifaces]
# cat /var/lib/openvpn/etc/openvpn/ccd/*iroute 192.168.5.0 255.255.255.0
iroute 192.168.6.0 255.255.255.0Заглянем в каталог настроек клиента tun2 подключающегося
к офисному OpenVPN (и возможно работающем на Windows) и работающем на одном шлюзе с tun0 сервером[root@proxyae ifaces]
# ls tun2ca.crt options ovpnoptions[root@proxyae ifaces]
# cat tun2/optionsONBOOT=yes
TYPE=ovpn
BOOTPROTO=static[root@proxyae ifaces]#
cat tun2/ovpnoptions
clientdev-type tun
proto tcp-client
#подключиться к любому резервному OpenVPN серверуremote ххх.xxx.xxx.xxx 1194
remote ххх.xxx.xxx.yyy 1194
remote ххх.xxx.xxx.zzz 1194
resolv-retry infinite
connect-retry 60
connect-retry-max 720
nobind
user openvpn
group openvpn
persist-key
persist-tun
# Месторасположение и название ключей может быть любым
# Публичный сертификат для сервера и клиента, которым подписываются ключи (на сервере и клиенте)ca /etc/net/ifaces/tun2/ca.crt
# сертификат клиентского ключа (у клиента)cert /var/lib/ssl/certs/serverae.crt
# клиентский ключ (у клиента)key /var/lib/ssl/private/serverae.key
script-security 2
status /var/log/ovpngp-status.log
log /var/log/ovpngp.log
verb 3
# Параметры сжатия для клиента и сервера одинаковыеcomp-lzo
Настройки клиента для подключения к серверу tun0 (192.168.8.0/24)
описанному выше[root@proxy
a5 ~]#
cat /etc/net/ifaces/tun0/ovpnoptionsclient
dev-type tun
proto tcp-client
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
connect-retry 60
connect-retry-max 720
nobind
user openvpn
group openvpn
persist-key
persist-tun
# Меторасположение и название ключей может быть любым.
# открытый сертификат УД сервера которым подписываются все ключи (на сервере и клиенте)ca /etc/net/ifaces/tun0/openvpn-server-CA.crt
# сертификат клиентского ключа (у клиента)cert /var/lib/ssl/certs/a5.cert
# клиентский ключ (у клиента)key /var/lib/ssl/private/a5.key
script-security 2
status /var/log/openvpn-stat
log /var/log/openvpn.log
verb 3
# Параметры сжатия для клиента и сервера одинаковыcomp-lzo
В данном примере клиент tun2 и сервер tun0 не взаимодействуют между собой. Cервер tun0 клиентские локальные сети 5/24, 6/24, 8/24 объединяет, а клиент tun2 подцепляет другие локальные сети подцепившись к другому серверу и все это хозяйство из десяти подсетей по всей области видятся, как одна большая локальная сеть!
Клиент tun0 в последнем примере, работает в паре с сервером tun0 (названия тунелей могут быть разные, просто созданы там и там первыми)