Настройка OpenVPN сервера и клиентов на Windows

OpenVPN - технология виртуальной частной сети используемая для создания шифрованных каналов связи. Она позволяет устанавливать защищенные соединения используя библиотеку OpenSSL. OpenVPN быстрое, надежное и безопасное решение для создания VPN. Итак рассмотрим настройку OpenVPN сервера и клиентов на Windows.

Настройка OpenVPN сервера на Windows

Для начала скачаем с официального сайта файл openvpn-install в зависимости от ОС 32-bit или 64-bit.

Устанавливаем OpenVPN на компьютер, который будет использоваться в качестве сервера. При установке отмечаем все пункты.

Указываем путь установки OpenVPN. По умолчанию C:\Program Files\OpenVPN.

Соглашаемся с установкой TAP адаптера.

Жмем Next.

И Finish.

После установки перейдем в каталог C:\Program Files\OpenVPN\easy-rsa и найдем файл vars.bat.sample. Из названия файла vars.bat.sample удалим .sample и откроем получившийся файл vars.bat с помощью блокнота.

Тут, по желанию можно отредактировать последние 10 строк.

set KEY_COUNTRY=RU

set KEY_PROVINCE=RU

set KEY_CITY=Moscow

set KEY_ORG=OpenVPN

set KEY_EMAIL=mail@mail.ru

set KEY_CN=changeme

set KEY_NAME=changeme

set KEY_OU=changeme

set PKCS11_MODULE_PATH=changeme

set PKCS11_PIN=1234

Далее заходим в управление компьютером → службы → и находим OpenVPN Service → ставим тип запуска автоматически, нажимаем применить и запустить.

Запускаем командную строку от администратора, для этого открываем Пуск → Все программы → Стандартные → и нажимаем правой кнопкой на командную строку → запустить от имени администратора.

Набираем в командной строке cd "C:\Program Files\OpenVPN\easy-rsa" и жмем Enter.

Далее набираем vars и также Enter.

Запустим команду clean-all.

Создадим сертификат сервера Root CA набрав build-ca. И заполняем параметры для сертификата.

Создадим ключ Диффи Хельмана командой build-dh.

Создадим сертификат сервера командой build-key-server server.

Далее будем создавать сертификаты для клиентов командой build-key имя-клиента. Имена создаваемых клиентов должны быть уникальны. 

Теперь созданные сертификаты можно увидеть в C:\Program Files\OpenVPN\easy-rsa\keys.

После закрытия командной строки, для генерации новых клиентов необходимо заново запускать командную строку от администратора и вводить команды: cd "C:\Program Files\OpenVPN\easy-rsa",  vars, build-key имя-клиента.

Дальше скопируем файлы ca, server, server.key и dh1024.pem в папку C:\Program Files\OpenVPN\config. Также скопируем файл server из C:\Program Files\OpenVPN\sample-config в C:\Program Files\OpenVPN\config и отредактируем его с помощью блокнота.

# Тип сервер

mode server 

# Туннель tun

dev tun 

# Протокол

proto tcp 

# Порт который использует впн

port 1197

# Ключи и сертификаты

ca ca.crt

cert server.crt

key server.key 

dh dh1024.pem

# Пул адресов для клиентов

server 192.168.100.0 255.255.255.0

# Грубо говоря экономим адреса

topology subnet

# чтобы клиенты видели друг друга

client-to-client

# Немного улучшит пинг

mssfix

# Время жизни клиентов, если не откликнулся — отключает

keepalive 10 120

# Уровень отладки

verb 3 

Теперь, для того чтобы клиенты OpenVPN имели доступ с ресурсам в локальной сети за OpenVPN сервером включим маршрутизацию на компьютере с OpenVPN сервером. Для этого запустим редактор системного реестра через меню поиска в пуске (regedt32.exe) и откроем следующий раздел: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters и в параметре IPEnableRouter укажем значение: 1. Затем перезапустим компьютер.

На этом настройка компьютера OpenVPN сервера закончена. Откроем сетевые подключения и видим новое подключение по локальной сети с IP адресом 192.168.100.1, данную сеть мы указали в конфигурации server.

Теперь надо перенаправить на интернет маршрутизаторе выбранный нами порт для работы с OpenVPN, указанный в конфигурационном файле server (в нашем случае 1197 tcp) до нашего OpenVPN сервера. Также, чтобы OpenVPN клиенты получили доступ к ресурсам нашей сети нужно на маршрутизаторе (или основном шлюзе сети) указать что сеть 192.168.100.0/24 находится за OpenVPN сервером.

Настройка OpenVPN клиента на Windows

Установим OpenVPN. Все значения оставим по умолчанию.

Соглашаемся с установкой TAP адаптера.

Далее скопируем файлы: ca, test, test.key с OpenVPN сервера в каталог клиента C:\Program Files\OpenVPN\config. Скопируем файл client из C:\Program Files\OpenVPN\sample-config в C:\Program Files\OpenVPN\config и отредактируем его с помощью блокнота.

client

dev tun

proto tcp

# Адрес и порт сервера

remote 95.95.95.95 1197

# Ключи должны лежать в папке с конфигом

ca ca.crt

cert test.crt

key test.key

nobind

persist-key

persist-tun

verb 3

# Добавление маршрутов

route-method exe

route-delay 5

route 192.168.1.0 255.255.255.0 192.168.100.1

Далее заходим в управление компьютером → службы → и находим OpenVPN Service → ставим тип запуска автоматически, нажимаем применить и запустить.

На этом настройка компьютера с OpenVPN клиентом закончена. Откроем сетевые подключения и видим новое подключение по локальной сети с IP адресом 192.168.100.10.

Запустим ping с OpenVPN клиента до нашего OpenVPN сервера. Как видим отправлено 4, получено 4, потеряно 0. OpenVPN работает!!!

Настройка трансляции видео с IP камеры для размещения на сайте или в блоге

В настоящее время имеется множество способов передачи видео и звука в режиме реального времени через сеть интернет. Рассмотрим самый простой способ передачи видео с ip камеры не требующий использования дополнительного оборудования и размещения онлайн видео на своем сайте или в блоге. 

Для передачи видео с ip камеры используем «белый» (внешний ip адрес). Внешний ip адрес предоставляется интернет провайдерами и может входить в тарифный план, либо предоставляется отдельно.

В качестве источника видео используем ip камеру с поддержкой потокового протокола реального времени - RTSP.

Для начала настроим ip камеру: присвоим статический ip адрес из локальной сети, маску шлюз и порт RTSP для трансляции видео (по умолчанию используется порт 554 tcp).

На интернет маршрутизаторе необходимо перенаправить выбранный нами RTSP порт до адреса ip камеры. На имеющемся mikrotik перенаправление порта выглядит следующим образом:

Для одновременного просмотра видео с ip камеры на сайте большим количеством пользователей настроим трансляцию видео через медиа сервер. Медиа сервер забирает видео с IP камеры (используя RTSP порт) и раздает его через web браузер, что позволяет снизить нагрузку на ip камеру и канал интернета.

В качестве медиа сервера используем возможности сайта https://rtsp.me/ru/#create 

Введем данные с нашей ip камеры rtsp://логин:пароль@белый ip адрес:порт RTSP. Укажем адрес электронной почты и нажмем создать трансляцию.

Если в окне видео плеера появилось изображение с ip камеры, значит параметры ip камеры верно.

Далее скопируем HTML код, нажав «copy» и полученный код вставим на страничку нашего сайта или блога.

Пример трансляции видео в блоге…….

Avaya IP Office настройка SIP линий (trunk), потока E1

Avaya IP Office - модульная IP АТС, поддерживающая до 12 модулей расширения (4 внутренних и 8 внешних), до 8 потоков E1, 128 SIP линий, 128 H.323 линий. Максимальная ёмкость АТС составляет 384 абонента (IP, цифровые и аналоговые). Также АТС поддерживает аудио конференцию до 64 абонентов, IVR и голосовую почту. Подходит для установки в 19 дюймовую стойку. 

Итак, для начала подключим Avaya IP Office к локальной сети через порт LAN. По умолчанию ip адрес 192.168.42.1. Управление АТС осуществляется через программное обеспечение IP Office Manager, просмотр статистики и состояния через IP Office System Status.

Запустим IP Office Manager имя пользователя по умолчанию: Administrator, пароль по умолчанию: Administrator. Если Manager с первого раза не нашел АТС укажем ip адрес вручную в пункте «адрес устройства».

Основными ограничениями по использованию всех возможностей Avaya IP Office является лицензии. Лицензии в Avaya IP Office нужны практически на всё (SIP акаунты, H.323 акаунты, SIP транки и т.д.) и стоят не дешево.

 

Для начала изменим ip адреса LAN (локальной сети), WAN (сети оператора связи) и настроим DNS. 

Настройка ЛВС 1 (предприятия) 

Настройка ЛВС 2 (оператора связи)

Далее создадим пользователя, укажем имя, внутренний номер, пароль и подтверждение пароля. 

Укажем, хотим создать внутренний VoIP номер H.323 или SIP. H.323 поддерживают ip телефоны Avaya. 

Avaya IP Office настройка SIP линий (trunk) с аутентификацией по логину и паролю

Добавим SIP линию с оператором связи. Параметры настроек, логины и пароли SIP аккаунтов для АТС узнаем у оператора связи. Нажимаем правой кнопкой мыши Линии → Создать → Линия SIP.

Выбираем свободную входящую и исходящую группу каналов для каждого номера.

Добавим входящие маршруты для каждого номера.

Добавим автоответчик для «общей» линии. Записать IVR можно с телефона набрав комбинацию цифр, в моем случае *8401.

Добавим входящий маршрут для автоответчика - IVR. 

Добавим «общий» исходящий маршрут - краткий код «short code». Для звонков через SIP линию используем префикс «9».

Для каждого абонента можно настроить свой собственный «short code» чтобы абонент звонил со своей линии. Данный «short code» находится в меню пользователи → краткие коды.

Avaya IP Office настройка SIP линий (trunk) без аутентификации

Добавим SIP линию с оператором связи. Параметры настроек для АТС узнаем у оператора связи. Нажимаем правой кнопкой мыши Линии → Создать → Линия SIP.

Выбираем свободную входящую и исходящую группу каналов для SIP trunk.

В имени пользователя, аутентификации и контакте указываем любые данные.

Добавим входящие маршруты для каждого номера или в нашем случае на IVR.

Добавим «общий» исходящий маршрут - краткий код «short code». Для звонков через SIP trunk используем префикс «9».

Для каждого абонента можно настроить свой собственный «short code» чтобы абонент звонил со своего номера. Данный «short code» находится в меню пользователи → краткие коды.

Avaya IP Office настройка потока E1

Настройка потока E1 между Cisco 2801 и Avaya IP Office. Откроем меню линии PRI 30. Cisco 2801 имеющаяся в наличии поддерживает 6 линий место стандартных 30 в потоке E1.

Добавим входящий маршрут от Cisco 2801 до Avaya IP Office.

Добавим исходящий маршрут от Avaya IP Office до Cisco 2801 (номера 2XXX).

И наконец для просмотра состояния SIP линий, SIP trunk и потока E1 а также дополнительных параметров воспользуемся программой IP Office System Status. Имя пользователя и пароль в System Status по умолчанию также Administrator.

Также если при настройках в Avaya IP Office появляются ошибки можно загрузить нужную «рабочую» конфигурацию. Для этого выбрать из меню IP Office Manager при старте «Открыть файл конфигурации» из выпадающего меню пункт «Все файлы» и выбрать нужную (удачную) конфигурацию (к примеру по дате), далее нажать файл → автономно → отправить конфигурацию.