Как настроить openvpn на андроид

Тему сегодняшнего дня мы посветим вопросу VPN сетей на мобильных устройствах, а именно OpenVPN клиенту на системе Android. Информация по установке OpenVPN клиента для Android пользуется спросом на просторах интернета и требует отдельного внимания, дабы осветить этот вопрос с нужного ракурса. Компания БИТ, как и вы сейчас, заинтересовались проблемой организации виртуальной частной сети на своих Android устройствах и начали поиски, необходимой для реализации задуманного, информации. По результатам проделанной нами работы, мы решили опубликовать инструкцию по настройке VPN сети на Android средствами OpenVPN.

В данной статье-инструкцие вы увидите пример реализации VPN сети с использование сертификатов авторизации и TLS шифрования. В результате реализации подобных сетей вы получаете приватную сеть, имеющую высокую степень защиты трафика от внешних посягательств.

Конфигурация клиента OpenVPN на Android с TLS авторизацией

В текущем разделе мы уделим внимание примеру конфигурации клиента OpenVPN на Android и рассмотрим какие файлы,ключи,сертификаты нам понадобятся для реализации защищенной, зашифрованной VPN сети на Android средствами TLS авторизации на сервере OpenVPN. Как оговаривалось ранее, мы будем строить зашифрованную и защищенную сеть на базе TLS авторизации и с участием сервера сертификации.

Прежде чем браться за настройку клиентской части VPN сети на Android с авторизацией по протоколу TLS, необходимо разобраться, какие файлы,ключи и сертификаты нам понадобятся.

Базовый набор файлов для OpenVPN клиента на Android:

Базовая конфигурация клиентского файла client.ovpn:

На данном этапе мы разобрались с базовым минимальным набором файлов, базовой конфигурации OpenVPN клиента на Android с TLS авторизацией на сервере. Данные теоретические знания помогут вам в реализации специализированных задач по организации зашифрованных VPN сетей под ваши нужды.

Пошаговая инструкция установки и настройки OpenVPN клиента на Android

В данном разделе инструкции мы не будем рассматривать процедуру формирования ключей клиента и сервера сертификации. Вопрос организации сервера сертификации отдельная тема и мы предполагаем, что данную задачу, уважаемый читатель, рассматриваете как отдельная тема для изучения. Раздел статьи предполагает уже созданные клиентские, серверные ключи и сертификаты.

Установка OpenVPN через Google Play

2) После установки запускаем приложение и переходим в раздел импорта файлов конфигурации, ключей и сертификатов. Файл конфигурации, ключи и сертификаты должны быть заблаговременных скопированы в файловое пространство вашего Android устройства. Способов скопировать необходимые файлы масса, выбирайте самый безопасный для вас.

Запуск OpenVPN для Android.

3) Выбираем нужную директорию с файлом конфигурации, ключем и сертификатами. Жмем на файл конфигурации и кнопку «Выбрать».

Импорт файлов конфигурации,ключей и сертификатов для OpenVPN Android.

4) По результатам процедуры импорта клиент OpenVPN для Android автоматически сформирует файл конфигурации и включит в файл конфигурации ключ, сертификаты клиента и сервера.

Примем импорта файлов конфигурации,ключа и сертификатов.

5) На данном этапе импорт и базовая конфигурация OpenVPN клиента для Андроид является завершенной. В дальнейшем вы можете провести дополнительную тонкую настройку используя графический интерфейс клиента OpenVPN для Android или вручную прописать нужные конфигурации в файле конфигураций. По завершению процедуры импорта, мы рекомендуем вам удалить исходные файлы конфигурации, ключи и сертификаты для большей безопасности вашей приватной VPN сети.

Конфигурация OpenVPN для Android через графический интерфейс.

6) Если вы правильно сконфигурировали сервер и клиент OpenVPN, то далее мы подключаем наше устройство к серверу. Для подключения OpenVPN клиента к нашему серверу необходимо нажать на импортированную запись и дождаться статуса подключения SUCCESS. В трее Android устройств будет висеть ваша аналитическая информация о количестве переподключений, трафике VPN сети и прочая аналитическая информация.

Подключение в OpenVPN серверу на Android

Эпилог нашей инструкции

Базовая конфигурация OpenVPN клиента на устройствах Android не должна вызвать никаких сложностей после прочтения данной статьи. Теперь ваши данные надежно защищены и шифруются налету при помощи VPN тунеля.

Настройка OpenVPN подключения Android

Перейдите в магазин приложений Play Market и установите приложение OpenVPN Connect.

Далее, откройте электронную почту на которую вы получили данные VPN подписки. К письму прикреплены файлы конфигурации OpenVPN вида *.secretvpn.net.ovpn.

Скачайте файл(ы) нужной страны, например nl.secretvpn.net.ovpn. Вы также можете скачать и/или сгенерировать файлы конфигурации в личном кабинете.

Запустите приложение OpеnVPN Connect и на главном экране выберите OVPN Profile. Перед вами откроется список папок устройства, откройте папку в которую вы скачали файлы конфигурации OpenVPN. Обычно эта папка называется Загрузки или Download.

Далее выберите файл конфигурации ovpn и нажмите IMPORT.

Введите логин и пароль VPN подписки и нажмите ADD.

Если необходимо, импортируйте таким образом несколько или все файлы конфигурации, каждый файл создаст отдельный пункт подключения VPN в главном окне приложения.

Для подключения к VPN нажмите на нужный профиль и одобрите запрос на подключение.

После того как соединение будет установлено отобразиться статистика подключения и в панели уведомления появиться соответствующий значок.

Вы также можете создать иконку для быстрого подключения к выбранному серверу. Для этого нажмите SET CONNECT SHORTCUT. Задайте имя и нажмите Create. Иконка появится на начальном экране вашего устройства.

Если у вас есть вопросы или возникли трудности с настройкой подключения пишите нам на почту [email protected] или в telegram.

Также подписывайтесь на нас в facebook, twitter или присоединяйтесь к нашему telegram каналу, чтобы быть в курсе последних новостей, скидок и обновлений сервиса.

Комментарии 2

Зачем писать то,чего нет в реальности?! По какой стрелочке щелкать для того, чтобы создать иконку для быстрого подключения к выбранному серверу?

В более ранних версиях программы, для доступа к профилю подключения VPN нужно было тапнуть по стрелке рядом с именем профиля, сейчас это иконка карандаша. Выбрав нужный профиль, можно создать ярлык для быстрого подключения с помощью кнопки SET CONNECT SHORTCUT

Android OpenVPN клиент ( Инсталляция и настройка клиента OpenVPN для телефонов и планшетов на базе ОС Android. )

20 января 2017 (обновлено 5 марта 2017)

Hard: Android-совместимый смартфон или планшет.
OS: Android 5.0.2 (32-bit).
Application: «OpenVPN Connect» client OpenVPN v.1.1.17.

Задача: осуществить подключение к «виртуальной частной сети» (VPN), доступ к которой предоставляется сервером OpenVPN посредством одноимённого протокола, с мобильного устройства функционирующего под управлением операционной системы Android. Три года назад я написал во многом повторяющуюся здесь инструкцию применительно к мобильным устройствам Apple, но сейчас количество пользователей ОС Android существенно подросло, так что пишу памятку и для них.

В Android отсутствует встроенная поддержка протокола OpenVPN, так что приходится использовать приложение «OpenVPN Connect» непосредственно от разработчиков протокола. Первым делом инсталлируем таковое, отыскав в «магазине приложений» (оно бесплатное) по ключевому слову «openvpn»:

Обычно предварительный набор данных клиента включает в себя следующий набор файлов:

Элементарно открываем (лучше в режиме только для чтения, во избежание случайных корректировок содержимого) программой просмотра текстов (plain text) полученные ключевые файлы и переносим оттуда наборы символов, ограниченные соответствующими метками (далее об этом подробнее), собственно говоря и представляющих собой те самые ключи, в конфигурационный файл OpenVPN, в соответствующим образом тегированные контейнеры.

Создаём на обычном компьютере «ключевой файл конфигурации», представляющий собой обычный текстовый файл (plain text) с зарезервированным для конфигураций OpenVPN расширением «.ovpn»:

# Включаем режим работы в качестве клиента VPN
client

# Включаем режим IP-туннелирования «Layer 3»
dev tun

# Используем транспортный протокол с проверкой целостности
proto tcp

# Указываем адрес OpenVPN-сервера (IP или доменное имя) и прослушиваемый сервером порт
remote vpn.example.net 443

# Включаем сжатие трафика между сервером и клиентом
comp-lzo

# Включаем шифрование повышенного уровня относительно стандартного
cipher AES-256-CBC

# Содержимое открытого ключа OpenVPN-сервера (CA, сертификата сервера)

——BEGIN CERTIFICATE——
Laiv8aiTh1iz1aequ1ae.
.
——END CERTIFICATE——

# Содержимое открытого ключа OpenVPN-клиента (сертификата клиента)

——BEGIN CERTIFICATE——
.

# Содержимое закрытого ключа OpenVPN-клиента

——BEGIN RSA PRIVATE KEY——
.

# (Опционально) Включаем поддержку согласования статического ключа «HMAC» при инициировании соединения я сервером (помогает для защиты от DDoS за счёт того, что соединение на порту принимается только в том случае, если клиент будет обращаться к серверу используя точно такой же статический ключ «HMAC» и отбрасывать соединения не «подписанные» этим ключом)
key-direction 1

# (Опционально) Содержимое статического ключа «HMAC» предварительной аутентификации

——BEGIN OpenVPN Static key V1——
.

Итоговый файл в моём случае обычно получается размером не более 10 (десяти) килобайт, что более чем укладывается в ограничение на 256 килобайт для конфигурационного файла клиента «OpenVPN Connect».

Обычно я отправляю получившийся «ключевой файл конфигурации» на клиентское устройство по электронной почте. Далее немного картинок, иллюстрирующих применение приложения «OpenVPN Connect» в деле.

Первый запуск приложения может смутить ненужными нам в данном случае ссылками на платные сервисы туннелирования (разработчики предлагают подключение по протоколу OpenVPN к готовым VPN-серверам в самых разных странах для нужд клиентов готовых платить за удобство) и абсолютным отсутствием каких-либо настроек:

Меню приложения спрятано в верхнем правом углу, за «вертикальным троеточием». Всё, что нам там нужно, это выбрать пункт «Импорт (Import)» и следом подпункт «Импорт профиля с SD-карты (Import Profile from SD card)». Если в загружаемом файле не было допущено синтаксических ошибок, то мы немедленно будем уведомлены об успешном импорте набора пользовательских настроек (если их загружается несколько, то выбирать соединение можно будет через выпадающее меню):

Далее просто жмём кнопочку «Подключить (Connect)», и в течении секунды-другой, в зависимости от скорости доступа и производительности VPN-сервера, ждём подключения:

Поблагодарить автора ( сделайте свой денежный вклад в хорошее настроение )

OpenVPN на Android: прозрачное переключение между WiFi и «Мобильными данными» без разрыва соединений

Здравствуйте, разрешите поделиться своим опытом.

Есть приложения критичные к разрывам связи, переподключение происходит мучительно и вообще не всегда. Поставил перед собой цель, сделать прыжки маршрутов и физических подключений прозрачными, что бы связь была постоянной и TCP коннект не рвался.

И поможет в этом старый, добрый и ламповый «openvpn». Но установка и настройка — тема давно избитая, трогать её, здесь не планируется.

Что нам нужно:

Приступим

Начнем с правки «openvpn-settings». Суть в том, что при любом изменении в сетевой конфигурации нативному демону openvpn посылается команда SIGUSR1, что заставляет его отключаться и подключаться по новой. Для наших целей это вред, но нам все равно желательно иметь возможность выполнять некоторые действия при изменении сетевой конфигурации.

Кто-то скажет, но ведь есть persist-tun. Отвечаю, работает не так, как хочется, openvpn дергает скрипты «лежать-вставать» каждый раз, когда приходит SIGUSR1. И в принципе отличить по имеющимся переменным перезапуск от старта, без выкрутасов почти не возможно. Это подрывает всю затею, а хочется просто и надежно.

Поэтому мы заменим отправку SIGUSR1 на вызов shell скрипта.

Скачиваем исходники командой
hg clone code.google.com/p/android-openvpn-settings
Открываем файл
\src\de\schaeuffelhut\android\openvpn\service\ManagementThread.java
Находим функцию public void sendSignal(int s) её мы и будем редактировать.
Комментируем отправку SIGUSR1 и вставляем вызов нашего скрипта с правами рут.
Файл скрипта у нас будет называться точно так же как и файл подключения, но дополненный расширением sh.

Должно получится так:

Всё, можно собирать, подписывать, устанавливать. Перед установкой обязательно деинсталлируйте старый «openvpn-setting» из системы.

Далее проверим конфигурации подключения openvpn.

Сервер

На сервере требуется внести директиву float, поскольку мы будем менять физическое соединение, а с ним и IP. Так же сервер должен транслировать внутренний адрес нашего клиента во внешнюю сеть. Для настройки этого мне удобней использовать директивы up и down.

up «/bin/sh /etc/openvpn/androidupdown»
down «/bin/sh /etc/openvpn/androidupdown»

Скрипт должен быть примерно таким:

Клиент

Во первых надо убрать директиву redirect-gateway, если она есть. Но задать up и down с указанием скрипта, который выполнит настройку маршрутов. Если вы помните, мы условились, что имя файла будет повторять имя конфигурации с добавление sh. Да, мы будем вызывать один и тот же скрипт и из демона, и из монитора.

Если конфигурация называется «testconfig.ovpn», то пусть будет так:

up «/system/bin/sh /sdcard/openvpn/testconfig.ovpn.sh»
down «/system/bin/sh /sdcard/openvpn/testconfig.ovpn.sh»

Здесь стоит немного пояснить.
Мы создаем альтернативную таблицу маршрутизации под номером 100 в которой указываем шлюзом по умолчанию vpn туннель. И добавляем правило маршрутизации, которое заворачивает весь трафик в нашу таблицу под номером 100, раньше чем он попадет в основную таблицу под именем main.

В альтернативной таблице есть маршрут, который выталкивает пакеты предназначенные для сервера, обратно в цепочку правил. Далее они попадут в основную таблицу маршрутизации. Там они смогут найти основной маршрут физического соединения. Но, а если не найдут, такое случатся во время реконнектов, то это не страшно. Openvpn может потерпеть некоторое время, но разумеется не вечно. Только сообщения в логах, напомнят об отсутствии связи непродолжительное время.

Не забывайте скрипты должны заканчиваться переводом строки.

Для разрешения запуска скриптов на Android, необходимо установить «Built-in + script» в «Preferences» которые вызываются по долгому тапу на подключении. Теперь можно пробовать.

В результате тестирования оказалось, что некоторые программы сами проверяют состояние сети и пытаются переподключаться во время любых изменений. Тут либо просить авторов исправить ситуацию. Либо самостоятельно де компилировать и исправлять. В любом случае закрытие TCP сессии происходит, не по таймауту, а так как положено.

Буду рад любой критике и замечаниям. Желаю стабильного коннекта!

Search

There are various OpenVPN configuration tutorials around the Internet, this post aims to fill in the gaps on how to configure the OpenVPN server, and OpenVPN for Android clients, while managing a simple firewall configured with UFW running an Arch Linux system.

OpenVPN is a robust and highly flexible VPN daemon. OpenVPN supports SSL/TLS security, Ethernet bridging, TCP or UDP tunnel transport through proxies or NAT, support for dynamic IP addresses and DHCP, scalability to hundreds or thousands of users, and portability to most major OS platforms. Further details about OpenVPN (and advanced tips on how to to configure it) can be found in the ArchWiki OpenVPN entry.

Although OpenVPN is relatively popular among FOSS enthusiasts, the Android project does not officially support OpenVPN natively. Hopefully, the ics-openvpn (Google Play) use the Android VPN APIs to provide this functionality.

Background

This post assumes an Arch Linux system will be used to configure the OpenVPN server. It also assumes the Uncomplicated Firewall (UFW) will be used as an iptables front-end.

For information on how to configure OpenVPN on dd-wrt-enabled routers, be sure to read dd-wrt’s wiki.

Installing the dependencies

The openvpn package provides the OpenVPN binary, corresponding libraries and sample configuration files. The easy-rsa package provides a set of scripts that make it easy to maintain a Public-Key Infrastructure (PKI) system, which will be required for generating the certificates for the OpenVPN server and clients. The ufw package provides ufw, the uncomplicated firewall.

Installing all these packages is as easy as typing (as root) 1 :

Enabling IP forwarding

Since we want traffic from the VPN to be forwarded by the server, we have to configure IP forwarding. To do so, we have to create the file /etc/sysctl.d/ipforward.conf with the contents

And either reboot or call

Configuring UFW

You will probably want UFW to deny unmatched packets by default, and to allow only OpenVPN and other traffic you might be interested in (like ssh). The following commands will enable OpenVPN and http traffic, for example:

We will also have to edit the file /etc/ufw/before.rules to include (after the header comments and before the *filter line) the following contents:

Starting and enabling UFW

After UFW is properly configured, we will have to enable it, and to tell the system to start it by default by executing the following commands (only once):

Configuring the Public-Key Infrastructure

Initializing the PKI

Some tutorials recommend setting up easy-rsa in its installation directory. I’d recommend actually copying it to a user’s directory and setting it up there.

First we’ll copy easy-rsa to a directory we control:

The vars file holds various configuration entries for using easy-rsa. Because of that, it may be worth editing it to use your preferred values as a default. The variables you may want to edit to change the certificates’ default fields are. Other fields are related to key sizes and may be left at their default values:

After vars is configured, we can source it,

And create the Certificate Authority,

And the Diffie-Hellman key exchange parameters, which can take a long time or idle-ish computers (consider using an entropy harvesting daemon, such as haveged, to speed things up here):

After this step we have a Certificate Authority. Nice! Now on to generating the various keys and certificates we need…

Generating server keys & certificates

Generating client keys & certificates

Generating client keys and certificates is even easier than generating server keys. In this post we will create only such pair, but the process can be repeated for as many clients as you want (if you don’t use OpenVPN’s duplicate-cn configuration option).

Enabling an “HMAC firewall”

By default, OpenVPN, may be vulnerable to DoS 2 attacks and UDP port flooding. Generating a random key to be used as a shared secret helps in increasing OpenVPN’s resiliency to these attacks. To generate such a key, do:

Now we have everything we need to configure OpenVPN. Let’s do it!

Configuring OpenVPN

Copying the keys & certificates

The following “script”, when executed by root, will copy the files OpenVPN needs to operate as a server.

Configuring the OpenVPN server

Configuring the Android clients

Configuring an Android client is no different than configuring a regular client.

The OpenVPN unified configuration format

The key here is to make the user’s lives easier by bundling all key and certificate files into a single OpenVPN ( *.ovpn ) file. The key is to use the OpenVPN unified format, which allows the embedding of these files’ contents. So, if a traditional OpenVPN configuration file has entries like 3

A unified OVPN file will have the following entries:

Preparing the configuration file

The ellipses above will have to be substituted by the files’ contents. One easy way to do so is to use the ovpn-writer.sh script like the following:

This will generate the android-example.ovpn output file.

After the client files have been generated, you have to to send them to your service’s user via some kind of secure channel. Selecting the channel is out of the scope of this document.

Importing the configuration file on Android

Alright! So the user has the ovpn files sitting right in his/her SD card. After OpenVPN for Android is installed, and started, one will be presented by the main OpenVPN for Android interface. Tapping the folder icon will bring a file selection dialog, which, after having selected the file, will present a screen similar to the image below.

Selecting the android-example profile will bring a warning dialog as depicted below. One has to accept that OpenVPN will be able to intercept all network traffic to continue.

After a successful connection, the key icon, highlighted in the screenshot below will be present in Android’s notification bar. Tapping that icon will display statistics about the connection, as shown below:

And that’s it! By now you should have a working OpenVPN server and a client running on Android.

As you may be aware, this assumes the local package database is updated, and will only download and install the new packages. You might need to combine the -y and the -u options. (Which will sync the package database and update all packages.) Tweak the command line as needed.↩

Some journalists say this is a form of hacking. As @SwiftOnSecurity would say: Please stop calling DDoS attacks, “hacker attacks.” That’s like calling taking a dump, “biological terrorism.”↩

Renato Cunha

Machine Learning Software Developer

My research interests include distributed robotics, mobile computing and programmable matter.

Настройка OpenVPN соединения на Android 4.x

Скачайте архив с конфигурационными файлами в разделе Подписки. Распакуйте архив и поместите его на карту памяти или встроенный накопитель устройства. Там же можно узнать логин и пароль для подключения.

Установите программу «OpenVPN for Android». Она бесплатна, доступна в каталоге Google Play Store и не требует root-доступа, поэтому может быть использована на любом Android-устройстве.

Запустите программу OpenVPN for Android. Нажмите кнопку «Импорт» в правом верхнем углу.

Программа покажет некоторые детали об импортируемом профиле. Нажмите кнопку «Импорт» в правом верхнем углу.

Вам будет предложено ввести пароль для извлечения сертификата. Вводить его не нужно, оставьте поле ввода пустым и нажмите «Ok».

Программа предложит задать название для сертификата. Оставьте его без изменений — «client».

Далее вам будет предложено задать PIN-код для разблокировки устройства. Это необходимый шаг, пропускать его нельзя. Задайте удобный для вас PIN-код. Постарайтесь его не забыть — без этого кода разблокировать ваше устройство будет невозможно.

После этого появится запрос на использование сертификата. Нажмите кнопку «Allow».

Ваш профиль успешно импортирован. Далее нужно настроить логин и пароль для подключения. Нажмите кнопку настройки напротив названия профиля.

В окне настройки профиля нужно изменить только «Имя пользователя» и «Пароль». Их вы можете посмотреть в разделе «Мой аккаунт». Остальные поля оставьте по умолчанию.

Теперь ваше подключение полностью настроено. Нажмите на его названии. Система спросит вас о разрешении на установление VPN-подключения. Установите галку «Я доверяю этому приложению» и нажмите «Ok».

Программа выведет полный лог подключения. Так же в панеле уведомлений появится соответствующий значок подключения VPN и появится возможность посмотреть его статус.

Подключите ваш смартфон практически к любому VPN с помощью OpenVPN Connect

Как вы храните свои данные в открытом доступе? Вы подключаетесь к общедоступным сигналам Wi-Fi? Вы проверяете свой онлайн-банкинг? Как насчет конфиденциальных рабочих или деловых документов?

Я собираюсь показать вам, как настроить практически любой VPN на вашем смартфоне с помощью OpenVPN Connect.

Что такое OpenVPN?

OpenVPN — это VPN-приложение с открытым исходным кодом, используемое для создания безопасных соединений. Базовая технология OpenVPN используется в нескольких других системах, таких как DD-WRT, pfSense и Tomato ( все реализации встроенного ПО для защищенного маршрутизатора. ). Кроме того, будучи открытым исходным кодом, OpenVPN доступен для большого количества платформ, включая Windows, macOS, многочисленные дистрибутивы Linux, iOS, Android и даже Windows 10 Mobile.

OpenVPN использует библиотеку OpenSSL для шифрования всех передаваемых данных с помощью 256-битного алгоритма шифрования. OpenVPN обычно может обходить определенные сценарии блокировки VPN-провайдера, а также поддерживать сторонние плагины и скрипты. Именно поэтому многие провайдеры VPN используют OpenVPN в качестве основы для своих услуг.

Настройка OpenVPN Connect

Вот где приходит ваш провайдер VPN. В этом случае я собираюсь использовать бесплатный сервер ретрансляции VPN, предоставляемый добровольной сетью. Однако, если ваш провайдер VPN поддерживает OpenVPN, он должен предоставить вам файл конфигурации OVPN. Если на их сайте нет прямой загрузки, вы можете запросить файл конфигурации для загрузки.

Найти провайдера VPN

Теперь перейдите на сайт вашего провайдера VPN. В этом примере я использую трехдневную бесплатную пробную версию NordVPN, поэтому, если у вас еще нет VPN, вы можете попробовать его бесплатно. Создав и активировав свою учетную запись, используя надежный одноразовый пароль, перейдите в раздел загрузки NordVPN.

Выбор отдельного файла позволит загрузить его на ваш смартфон. Выберите пару файлов (например, al1.nordvpn.com.tcp443.ovpn и al1.nordvpn.com.udp1194.ovpn ). Файл UDP обычно обеспечивает более быстрое соединение, но может не работать при определенных обстоятельствах. В этом случае вернитесь к файлу TCP. (UDP и TCP — это два типа интернет-трафика, которые работают по-разному.)

Вы не уверены, к какому серверу NordVPN вы подключаетесь? Двух- или трехбуквенный префикс является кодом страны. Наш пример сервера с префиксом al1 находится в Албании. Если вы не уверены, введите буквы в поисковик вместе с «кодом страны». Например, «код страны».

Импорт в OpenVPN Connect

Теперь у вас должен быть либо отдельный файл конфигурации OVPN, либо весь список распакован и готов к работе.

Затем перейдите к ранее загруженному файлу конфигурации UDP и выберите его. Профиль должен немедленно импортироваться и отобразиться в списке серверов OpenVPN Connect.

Это может занять минуту или две, но вы подключитесь к выбранному вами серверу.

Зачем использовать OpenVPN Connect?

Учитывая, что большинство крупных провайдеров VPN используют OpenVPN в своих собственных специализированных приложениях для iOS и Android, вам может быть интересно, с какой стати вы бы вместо этого использовали OpenVPN Connect.

Кроме того, если у вас есть несколько подписок VPN, вы можете создать на своем устройстве одну папку, содержащую файлы конфигурации OVPN. Затем, вместо загрузки бесчисленных дополнительных приложений VPN, вы можете централизовать управление VPN.

Недостатком OpenVPN является отсутствие информации об учетной записи, которую может предоставить специальное приложение-служба. Это может быть информация, такая как ваши оставшиеся данные (если у вас есть ограничение), как быстро переключиться на альтернативный сервер и многое другое.

Handy Backup

OpenVPN Connect — полезное приложение, но к нему нужно немного привыкнуть. Для некоторых пользователей я бы посоветовал использовать OpenVPN Connect в качестве службы резервного копирования при сбое основного VPN-приложения (надеюсь, никогда).

Вы пробовали OpenVPN? Это хорошо работает для вас, или вы предпочитаете удобство выделенного клиентского приложения для вашего провайдера VPN? Напишите нам в комментариях.

How to set up OpenVPN on Android

Our Android app allows you to choose between the OpenVPN, IKEv2, and WireGuard® protocols. If enabled, Smart Protocol will choose the best option for you. We strongly recommend using our Android app on your Android or Chrome OS device.

How to set up Proton VPN as an Android VPN

Download your chosen app

Note: To avoid undesired behavior and bugs, we strongly recommend using one of the following applications:

Download configuration files to your device

Note: Below we describe how to download config files directly onto your device, though you can also send config files to your device via email or USB transfer.

1. Sign in to your Proton VPN dashboard at account.protonvpn.com/login

2. Select Downloads.

3. Select OpenVPN configuration files section and choose:

Note: You can also perform the above steps on your PC and send the OVPN config files as attachments to your email address that you can access on your Android device.

Set up OpenVPN on Android

In the OpenVPN for Android app, tap the Import button in the top right corner, then select the OVPN files you downloaded previously.

Tap the Save button to finish importing the config file.

To add more connections simply repeat the above steps with different configuration files. Note: Secure Core servers are marked as xx-xx-01.protonvpn.com.xxxxxxx.ovpn.

Connect to Proton VPN

1. Tap on the newly added profile to connect.

2. Tap OK when you see the below prompt for Connection request.

3. When prompted for the username and password, enter your OpenVPN credentials and hit connect.

4. For more information on your OpenVPN credentials and where to find them, see here.

Note: To use our NetShield DNS filtering feature, append the suffix +f1 to your username to block malware, or +f2 to block malware, ads, and trackers (for example 123456789+f2).

5. A new screen will appear detailing the connection attempt. When you see Initialization Sequence Completed and a key icon appears in the top status bar, you are successfully connected.

Disconnect from Proton VPN

1. Tap the profile you are currently connected to (Indicated by Connected:SUCCESS […] underneath the profile name).

2. Select Disconnect on the confirmation window.

Neither OpenVPN Connect nor OpenVPN for Android work in conjunction with ProtonVPN on Samsung Galaxy Note8 (Android 8).

Hello, please contact our customer support team as we need more detailed information about your situation. https://protonvpn.com/support-form

I would like to use Proton VPN on my Android phone, but I live in China, which means that I can’t access the Google Play Store. Is it possible to download the apk file from somewhere else so that I can sideload it onto my phone? (Note: it is no just that the Google Play Store is blocked in China. Almost all phones bought here don’t have the Play Store app, and it can’t be installed even if you can find a copy to download.)

Hello Dizzy, Please contact our customer support team and we will provide with the required tools to try out our services in China. https://protonvpn.com/support-form

I’ve an issue with ProtonVPN for Android, similar to reported by John, connection is not responsive after locking phone while connected to Internet via WiFi. I’ve tried to set connection as “Always-on active” in VPN connections section of phone Settings, it doesn’t seem to change anything. If I use different OpenVPN client (OpenVPN for Android) everything is fine.

Steps to reproduce:
1. Be sure phone is using WiFi network connection (not cellular carrier data connection, there is no issue on cellular connection). I’ve noticed the issue on my home WiFi network. Have not checked on any other WiFi networks, but I guess it doesn’t matter.
2. Connect to server using ProtonVPN app, doesn’t matter which one. I connect to AU servers (both with Secure Core option and without it, I guess it doesn’t matter as well).
3. Lock phone. I press Power button to switch off display and lock phone. But it is fine if you just wait a minute for auto lock. Locked here means that it will require password to unlock phone after waking up. Probably password lock is not really related to the issue, just going to sleep mode matters.
4. Wait some time (I believe waiting for 5 minutes is enough). Unlock phone.
5. Connection is in connected state, key symbol is shown in tray. There is upload activity according to ProtonVPN app but *no download* activity. All messages in ProtonVPN log have old timestamps (e.g. around the time phone was locked).

Environment:
1. Android 7.1.1
2. Phone: Blackberry KeyOne, BBB100-1, firmware build AAV119
My guess is that there is some network state change on WiFi network that is not handled by ProtonVPN. Hope this will help to nail down the issue. I’ve switched to OpenFPN for Android for now and can live with it.

Hello Alex, thank you for the steps to reproduce the issue. We have delivered the information to the developers and will do our best to see how to solve it. We appreciate your time!

Same issue as Alex, vpn not downloading activity after unlocking the phone, i am running proton vpn app version 1.22. on Samsung S7 with Andoid 7.0 security revision march 2018, i don not change wifi and cellular and the issue is always in the wifi without any lost of signal. Don not receive any message will the phone is locked.

Hello Carlos, please contact our support staff and we will do our best to help you out with the android connection loss issue! https://protonvpn.com/support-form

I really like the android it works very well, the only issue is that after some period of time, the connection becomes very slow/unusable (or goes to sleep) if I simply reconnect to another server all is well – is there any way to avoid this?

Currently trying ProtonVPN for Android. Everything works great when connected to my home Wi-Fi but as soon as I am on the go and use data from my cellular data provider all apps are telling me I have no internet connection. Am I missing something?

Hello Thierry,
May we ask, do you swtich from wifi to cellular and then loose internet on apps, or can you connect to our vpn servers with cellular and evn then loose internet?
Please contact our support with more detailed information.
https://protonvpn.com/support-form

Hi
Installed and running fine.
One thing did not understand though:
“Use secure core”…?

Hello Pedro,
Secure core is a feature of our applications that provides extra security layer by bouncing your connection through two VPN servers. If you have any further questions or issues that you`d like to be addressed, feel free to write us a message here:
https://protonvpn.com/support-form

Hey Harold, our app uses IKEv2 protocol which does not allow connections on a local network by design. You can try using OpenVPN Connect app instead, OpenVPN protocol usually does allow connections in the local network.

Works great on ChromeOS devices that have Google Play Android support. I’m using it successfully on an Asus Chromebook Flip 2 C302CA-DHM4 w/ the Android ProtonVPN app! Also run ProtonVPN on a variety of platforms without problems including OpenVPN on macOS High Sierra.

when will proton vpn have a app for android tv box would be great and the best

Hey Tomy, optimizing it for Android TVs is quite low on our to-do list, but we will see what we can do about it.

Hello Ted, there is a possibility that our hostnames were blocked. However, there are a few things you can try out, please contact us via https://protonvpn.com/support-form and we will provide you with a few methods that might work.

Why isn’t the ProtonVPN apk for android downloadable from f-droid or some place other than the Google play store? Google is one of the biggest enemies of privacy in the world so how can you be sure they don’t tamper with ProtonVPN?

Although it is not (yet?) available on f-droid, you can download it from yalp store which is on f-droid. And it’s running without complaining the missing google play store/services/framework on my phone (using an alternate custom ROM).

Hi. I’ve an extra SIM (Swiss telecommunications company). It’s possible to configure ProtonVPN on a Wifi Broadband like the Huawei E5885, or a Netgear AirCard 810?

Hello Norman, these devices do not support VPN natively, so you will have to connect to VPN on each of your devices individually.

Hi, could you advise on the configuration for Chrome OS? I tried to manually import CA and configure various server IP, nothing is fruitful.

Hello Vivek, we have not tested our Android app on ChromeOS. However, maybe you will find this thread on our subreddit useful, one of our users has reported that certain versions of ChromeOS are able to run our Android app without issues: https://www.reddit.com/r/ProtonVPN/comments/7sju41/how_to_use_protonvpn_with_a_chromebook/

First of all, thanks for your VPN software, overall it works great on WIFI and on 4G.
For me there’s one exception though. When trying to connect when i’m on one certain WiFI-network, connection fails and i get ‘Gateway unreachable’ and ‘Peer not responding’. Opera VPN does connect without any problem. Is there a way to fix this?

Hi,
I have noticed, Google Play Services and Google Play Store are not routed via the ProtonVPN but instead these services try to connect outside theVPN. Is there a reason why?
Thanks.

Hello,
Does the ProtonVPN app tunnel traffic from all the android apps automatically when we connect or we need to configure something more? Like the allowed apps on the openVPN for android app where we can choose which apps we want to use with the VPN?

All of the services that rely solely on internet connection are tunneled once you are connected to a VPN server. We do not support split tunneling at the moment, so your internet connection is completely tunneled and encrypted.

How can i configure VPN file to use in android. I have a free account but i cant download any country files like the instructions showed on this page https://protonvpn.com/support/android-vpn-setup/

hi bruno, country config files include the basic servers and thus are available to paid subscribers only. If you want to set up on android, download the server config files for US, NL and JP free servers

Does not work on UAE.

Please also consider developing an extension for Chrome OS.

Some features I would like in the Android App:
Android TV Support
Connect to Fastest Server Option
Connect on Android Boot
Auto-connect
Connect only to Secure Core Servers Option

Are you guys planning to implement any of these? 🙂

Hi, yes the Android app will almost include all of these: Fastest server connection, Connect on Boot and connecting to preselected servers such as secure core or similar.

Is there a way to download the country file for Secure Core servers only so that I can connect to the fastest secure core servers only? I want to use your privately own servers only and want to be able to connect to the fastest one on demand.

Hi Kian, with Secure Core, the fastest server will in majority of times be the connection with closest geographic proximity for both entry and exit node. E.g. if you live in Sweden, the SE >> FR connection would most likely always be the fastest.

Is your Android app going to work with Android TV devices as well? Please make this happen, it shouldnt be much more work either.

This service looks really excellent. I’m waiting for an Android app. I hope one is available soon.

Will there be an Android-App in some time?

Yes, this is currently in development.

UK config file for Android not working (could not resolve domain gb.protonvpn.com), had to change the server to uk.protonvpn.com.
Otherwise happy till now 🙂

I’ve tried downloading to my phone each of the configuration files from all the servers in the list and they all fail with an “unrecognized error”. The support docs don’t seem to have an answer for this issue. I did choose the “Android” radio button.

Every profile I try to import into OpenVPN for Android fails to save with a message about bad backslash usage.

Too bad it doesn’t work when you have 2way auth on your account since you only get the option to enter your login info and your initial password, it never prompts for the 6-digit 2-way auth code, nor for the mailbox password (for decrypting)

[us-30.protonvpn.com] Peer Connection Initiated with [AF_INET]209.58.142.159:1194
AUTH: Recieved control message: AUTH_FAILED
SIGTERM[soft,auth-failure] recieved, process exiting

never mind.. sorted, I just didn’t pay attention to the openvpn login info that’s a lil obscurely placed in the middle of the page instead of being emphasised with colour/size ect 🙂

The password you are using is incorrect, you have to use the OpenVPN password. Details here: https://protonvpn.com/support/vpn-login/

I managed to get this working using the guide, thanks!
I have a question though – is it ok to leave OpenVPN connected indefinitely or is it better to disconnect when not in use?

What a shame – was working great on Android for a few days, but now has just stopped connecting and constantly gives auth fail errors.
Changing username and password does not help.
Time to look elsewhere….

Connecting to Access Server with Android

Client software choice

The OpenVPN protocol is not one that is built into the Android operating system for Android devices. Therefore a client program is required that can handle capturing the traffic you wish to send through the OpenVPN tunnel, and encrypting it and passing it to the OpenVPN server. And of course, the reverse, to decrypt the return traffic. So a client program is required, and there are some options here. We do not intend to limit our customers and cause a type of vendor lock-in situation. We try to keep connectivity and the choice of client software open, although we do recommend the official OpenVPN Connect client of course.

Official OpenVPN Connect app

On the Google Play Store, the client you can download and install for free there is called OpenVPN Connect. This program supports only one active VPN tunnel at a time. Trying to connect to two different servers at the same time is a function we did not build into our official OpenVPN Connect app, and it is also not possible because the underlying operating system does not allow this. The OpenVPN Connect app is able to remember multiple different servers, but only one can be active at a time.

To obtain the OpenVPN Connect app, go to the Google Play Store on your Android device, or open the link below to the Google Play Store. On the Google Play Store on your device, look for the words «openvpn connect» and the application will show up in the search results. You can install it from there. Once installed an icon will be placed on your home screen where you can find the app. Once you have it open you can use the Access Server option to start the import process. You can use the option to import directly from the web interface of the Access Server or use the import from file option. If you use the web interface import option you need to enter the address of your Access Server’s web interface here, along with username and password. If your server is on an unusual port (not the default HTTPS port TCP 443), specify the port here. Once the import has completed, you are ready to use the app.

OpenVPN open source OpenVPN for Android app

OpenVPN for Android is an open source client and developed by Arne Schwabe. It is targeted at more advanced users and offers many settings and the ability to import profiles from files and to configure/change profiles inside the app. The client is based on the community version of OpenVPN. It is based on the OpenVPN 2.x source code. This client can be seen as the semi-official client of the OpenVPN open source community.

Other clients

There may be other OpenVPN clients available on the Google Play Store as well, but we have no information on them here.

OpenVPN для Windows и Андроид. Установка OpenVPN клиента для Windows.

OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

Как работает OpenVPN

Протокол OpenVPN отвечает за поддержание коммуникации между клиентом и сервером. Как правило, он используется для создания защищённого туннеля между VPN-клиентом и сервером. Читайте так же: “Как обойти блокировку”

Для шифрования и аутентификации OpenVPN использует библиотеку OpenSSL. Кроме того, для передачи данных OpenVPN могут использоваться протоколы UDP или TCP.

Установка OpenVPN на машину-сервер

Инсталляция представляет собой стандартную процедуру с некоторыми нюансами, о которых и поговорим подробнее.

Настраиваем сервер.

# Extensions for a typical CA

# PKIX recommendation.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true
# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign
# Some might want this also
# nsCertType = sslCA, emailCA
# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy
# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where ‘obj’ is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF
[ crl_ext ] # CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always
Копируем index.txt.start в index.txt, а serial.start в serial в папку ssl

Как настроить сетевой мост между двумя сетями для Open VPN сервера?

В моем случае необходимо, чтобы клиенты подключаясь к нашей сети видели наши доступные компьютеры, а наши сервера «видели» бы нужные сетевые принтеры в соседней сети. Для этого нам нужно создать сетевой мост — объединить два сетевых устройство между собой.

В нашем случае это наш сетевой адаптер, который «смотрит» в интернет и только что созданный адаптер TAP. Настройки IP обнуляем. Выделяем оба адаптера мышкой и объединяем в «мост»:

Настройки IP адаптеров включенных в мост не изменяем и ничего не трогаем!

Отключаем брандмауэр windows. Дополнительно, там же идем в «Разрешение обмена данными с приложениями в брандмауэре Windows, добавляем наш установленный open vpn в список (C:Program FilesOpenVPVBinOpenVPNgui,exe).

Сняли возможную блокировку соединения. Идем далее! Предварительная подготовка почти закончена. Теперь займемся непосредственно сервером. Идем в папку C:Program FilesOpenVPVeasy-rsa

В ней находятся программы с которыми мы сейчас будем взаимодействовать. Открываем командную строку от имени Администратора. Переходим в папку easy-rsa, для чего в командную строку скопируем команду cd C:Program FilesOpenVPNeasy-rsa

Все операции далее совершаем через командную строку. Для создания конфигурации сервера запустим файл init-config.bat

Создастся файл vars.bat, в нем мы заполним информацию, которую будут содержать сертификаты безопасности и с их помощью будут шифроваться данные. Для этого в блокноте открываем файл vars.bat и произвольно заполняем значения (командную строку не закрываем!):

rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set DH_KEY_SIZE=2048

rem Private key size
set KEY_SIZE=4096

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don’t leave any of these parms blank.

set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=OU
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234

Значения «server» не изменяем. Все значения (страна, регион, город, организация, почтовый адрес) проставляем произвольно английским шрифтом. Сохраняем файл. Переходим в командную строку снова. Набираем первой команду Vars.bat

Если у вас так как на фото, нормально. Идем далее

Библиотеки нужны в этом каталоге, чтобы не возникало ошибок при создании сертификатов центра авторизации и файла Диффи-Хеллмана. Начнем с последнего. Файл Диффи-Хеллмана препятствует расшифровке информации (если файлы ключей были похищены), а так же отвечает за шифрование. Создадим его для нашего сервера в командной строке набрав команду build-dh.bat

Ждем, пока файл генерируется на основании информации указанной в vars.bat Далее, сгенерируем сертификат нашего удостоверяющего центра. Он будет необходим для дальнейшей выдачи серверного и клиентских сертификатов. Наберем в командной строке команду build-ca.bat Последовательно и не спеша нажимаем клавишу Enter…

Так же последовательно и не спеша нажимаем Enter пока не дойдем до строчки Common Name(eg, your name or your servers hostname Здесь нужно обязательно указать имя сервера ( можно имя компьютера) и нажать Enter. Далее будут оставшиеся поля и запрос на создание пароля от сертификата. Просто нажимаем Enter. На вопросы записи сертификата и добавления его в базу данных нажимаем Y и Enter

Срок действия сертификата — 10 лет.

Если нужно поменять сроки действия открываем файл openssl 1.00.cnf и в строке default_days редактируем сроки действия серверного и клиентских сертификатов.

Теперь нам необходимо создать файл конфигурации сервера, выбрать протокол соединения, имя сетевого виртуального адаптера, порт соединения и еще много чего.

В папке sample-config лежит пример файла server.ovpn, находим его, открываем блокнотом( от имени администратора!):

Openvpn клиенты не видят друг друга, как настроить файл конфигурации сервера?

Очищаем содержимое server.ovpn и вставляем текст:

# Поднимаем L4-туннель
dev tap
#dev tune
# Имя устройства (указывается имя адаптера openvpn):
dev-node Ethernet

# Протокол, который использую:tcp
#proto udp
proto tcp

# Порт который «слушает» впн (должен быть открыт, не из списка «известных»)
port 13359

#server 10.8.0.0 255.255.255.0

# Данная машина является
#tls-server

#Укажем пулл незанятых разрешенных адресов из нашей локальной сети; укажем IP «моста», его маску а так же диапазон адресов

# Пул разрешенных адресов
server-bridge 192.168.0.1 255.255.255.0 192.168.0.111 192.168.0.121

# Включаю сжатие
comp-lzo

# Разрешаю клиентам видеть друг друга
client-to-client

#назначаю каждому клиенту свой постоянный IP

ifconfig-pool-persist ipp.txt

# Немного улучшит пинг
mssfix

# # Грубо говоря экономим адреса
topology subnet

# Метод шифрования
cipher AES-256-CBC

#при перезагрузке сервера:
persist-key
persist-tun

#Максимальный размер блока данных:
tun-mtu 1500
tun-mtu-extra 32

# Немного улучшит пинг
mssfix 1450

# Время жизни клиентов, если не откликнулся — отключает
keepalive 10 120

# максимальное количество клиентов

max-clients 10

Жирным выделил то, что можно менять. Ненужные строки можно закомментировать. Сохраняем файл под именем server.ovpn в папке C:Program FilesOpenVPNconfig Если не получается сохранить — запускаем блокнот (или программу NotePad++) от имени администратора, редактируем и сохраняем файл куда нужно.

Из папки Key скопируем сгенерированные нами файлы ключей и сертификатов, файл dh2048.pem в папку Config — там же уже должен лежать наш файл server.ovpn

Операции с сервером можно считать почти законченными. Давайте стартуем и проверим наш сервер. На рабочем столе запустим ярлык OpenVPNgui в виде оранжевой замочной скважины (от имени Администратора!) На панели задач рядом с основным значком появиться еще один значок подключения. Кликнув по нему мышкой обнаруживаем, что устанавливается соединение. Если сервер стартовал успешно — значок подключения станет зеленым

Как сделать автоматический старт OpenVPN соединения при запуске Windows?

Каждый раз запускать вручную соединение неудобно. В ярлыке OpenVPNgui (свойствах объекта) дописываем аргумент —connect server.ovpn, Ярлык помещаем в «автозагрузку». Я настраивал автозапуск быстро с помощью glary utilites

Вот так это выглядит Команда —connect дает соединение, а настройки его берутся из файла нашего server.ovpn

Если планируется круглосуточная работа сервера — советую настроить операционную систему на автоматический вход без пароля. Это гарантирует самозапуск соединения после перезагрузок, которые бывают при отключении света, установки обновлений.

С сервером закончили. Не забываем открыть порт (указанный в конфиге сервера) на роутере, чтобы предоставить доступ к нашему серверу извне.

Пора создавать сертификаты

Открываем командную строку от имени администратора и выполняем последовательно:

Создаем server.ovpn в папке config и редактируем его.
Создаем server.ovpn в папке config и редактируем его.
server.ovpn dev tun
proto tcp-server
port 5190
tls-server
server 192.168.0.0 255.255.255.0
comp-lzo
dh C:\OpenVPN\ssl\dh1024.pem
ca C:\OpenVPN\ssl\ca.crt
cert C:\OpenVPN\ssl\Server.crt
key C:\OpenVPN\ssl\Server.key
tls-auth C:\OpenVPN\ssl\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\OpenVPN\log\openvupn-status.log
log C:\OpenVPN\log\openvpn.log
verb 3
Отправляем CA.crt, klient.crt, klient.key, ta.key из «c:openvpnssl» нашим клиентам (помещаем их в такую же директорию « c:openvpnssl»).

Настройка клиента

На сервере:

На сервере генерируем сертификат для клиента. Для этого сначала чистим файл index.txt в папке C:Program FilesOpenVPNeasy-rsakeys.

Затем запускаем командную строку от имени администратора:

Переходим в каталог easy-rsa:

И генерируем сертификат первого пользователя:

* на все запросы наживаем Enter, кроме Common Name — в данном поле вводим имя клиента (в нашем случае, просто client1). В конце подтверждаем введенную информацию — y.
** На каждого клиента нужно сгенерировать свой сертификат, в противном случае, им будет присваиваться один и тот же IP-адрес, что будет приводить к конфликту.

Получиться, что-то на подобие:

Country Name (2 letter code) [RU]:
State or Province Name (full name) [Sankt-Petersburg]:
Locality Name (eg, city) [Sankt-Petersburg]:
Organization Name (eg, company) [Organization]:
Organizational Unit Name (eg, section) [DMOSK]:
Common Name (eg, your name or your server’s hostname) [DMOSK]:client1
Name [server.domain.ru]:
Email Address [master@dmosk.ru]:

По умолчанию, для Common Name будет подставляться значение из vars.bat — но с ним сертификат не будет создаваться. Необходимо при создании каждого ключа подставлять значение, равное имени сертификата. Например, как выше — подставлено client1.

Теперь из папки keys копируем файлы:

… и переносим их на клиентский компьютер.

На клиенте:

Заходим на официальную страницу загрузки openvpn и скачиваем клиента для Windows:

* по сути, это тот же файл, который скачивался для сервера.

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

Переходим в папку C:Program FilesOpenVPNconfig. И копируем в нее сертификаты, которые перенесли с сервера.

Теперь открываем блокнот от имени администратора и вставляем следующие строки:

client
resolv-retry infinite
nobind
remote 192.168.0.15 443
proto udp
dev tun
comp-lzo
ca ca.crt
cert client1.crt
key client1.key
dh dh.pem
float
cipher DES-CBC
keepalive 10 120
persist-key
persist-tun
verb 0

Сохраняем файл с именем config.ovpn в папке C:Program FilesOpenVPNconfig.

Запускаем с рабочего стола программу «OpenVPN GUI» от имени администратора (это важно).

Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:

Произойдет подключение и значок поменяет цвет с серого/желтого на зеленый.

Доступ к локальной сети

По инструкции выше мы сможем получить доступ только к серверу, на котором установлен OpenVPN. Для получения доступа ко всей внутренней сети, выполним следующие шаги.

1. Настройка реестра

Для включения IP маршрутизации в Windows необходимо в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters найти параметр IPEnableRouter и задать ему значение 1. Это можно сделать в утилите редактирования реестра (regedit) или командой:

reg add “HKLMSYSTEMCurrentControlSetServicesTcpipParameters” /v IPEnableRouter /t REG_DWORD /d 1 /f

* командную строку необходимо запускать от администратора.

2. Настройка OpenVPN Server

В конфигурационный файл OpenVPN добавим:

push “route 172.16.10.0 255.255.255.0”
push “route 192.168.2.0 255.255.255.0”

* где 172.16.10.0 — VPN сеть; 192.168.2.0 — локальная сеть, в которую необходимо «попасть» пользователям openvpn.

При необходимости использовать DNS внутренней сети также добавим:

push “dhcp-option DNS 192.168.0.15”
push “dhcp-option DNS 192.168.0.16”
push “dhcp-option DOMAIN dmosk.local”

* где 192.168.0.15 и 192.168.0.16 — внутренние DNS-серверы; dmosk.local — домен, который будет добавляться к узлам, обращение к которым идет по неполному имени.

Если нам нужно, чтобы все запросы клиента (в том числе, Интернет) ходили через сервер OpenVPN, добавляем:

push “redirect-gateway def1”

* в таком случае, нам не обязательно добавлять push route, который мы использовали выше.

Перезагружаем службу OpenVpnService.

3. Разрешаем доступ к локальной сети

Заходим в управление сетевыми подключениями (Панель управленияСеть и ИнтернетСетевые подключения). Кликаем правой кнопкой мыши по адаптеру локальной сети – Свойства:

На вкладке Доступ ставим галочку Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера:

… и сохраняем настройки.

Ваш аккаунт

Возможные проблемы

Большая часть проблем решается при помощи логов, которые находятся в папке C:Program FilesOpenVPNlog. Уровень детализации лога контролируется параметром verb в конфигурационном файле сервера или клиента.

Также возможны следующие часто возникающие проблемы:

Заключение

Организация собственной VPN-сети позволит вам максимально защитить передаваемую информацию, а также сделать интернет-серфинг более безопасным. Главное – быть внимательнее при настройке серверной и клиентской части, при правильных действиях можно будет пользоваться всеми преимуществами частной виртуальной сети.