Windows OpenVPN клиент ( Инсталляция и настройка клиента OpenVPN для Windows. )

OS: MS Windows 2000/XP/2003/Vista/2008/Seven/2012.
Application: Windows client OpenVPN v.2.3.

В операционной системе "MS Windows" встроенная поддержка протокола OpenVPN отсутствует, очевидно потому следуем на сайт разработчиков и загружаем необходимое клиентское программное обеспечение:


Важно! Для того, чтобы клиент OpenVPN мог средствами операционной системы изменять сетевую конфигурацию интерфейсов - включаем встроенного клиента DHCP, если он был выключен ранее.

Запускаем установку, везде соглашаясь с замыслом разработчиков, одобряя все опции, кроме двух необязательных: "OpenSSL Utilites" и "OpenVPN RSA Certificate Management":



Инсталлятор OpenVPN озаботится поддержкой системой псевдо-устройства "tun" (в процессе установки драйверов будет создано новое устройство - виртуальный сетевой TUN/TAP интерфейс), наша задача состоит в том, чтобы не помешать ему в этом (предоставив по требованию привилегии суперпользователя системы). Мы будем использовать технологию "Layer 3 based IP" туннеля для пропускания IP-трафика между клиентом и окружением сервера VPN (OpenVPN поддерживает и "Layer 2 based Ethernet", но в нашем решении пропуск трафика уровня Ethernet не требуется):


Прежде всего, если мы желаем инициировать VPN-соединения вручную, с помощью графического интерфейса, следует подправить условия запуска GUI, указав работать ему от имени суперпользователя системы - иначе клиент OpenVPN не сможет создать виртуальный сетевой интерфейс и применить полученные с сервера маршруты следования трафика (если планируется использовать только фоновый сервис, то в модификации условий запуска клиента OpenVPN нет необходимости):



Очень важно! Прежде чем производить дальнейшие работы с конфигурационными файлами, необходимо отключить маскировку расширений файлов в названиях таковых, заставив операционную систему "MS Windows" позволять явно указывать тип файла с помощью вручную задаваемых расширений. В нашем случае мы в процессе настройки создаём обычный текстовый файл (plain text), изменяя после его расширение с принятого в системе ".txt" на зарезервированный для OpenVPN ".ovpn". Так вот, если позволить системе "скрывать расширения для зарегистрированных типов файлов", то у нас получится не желаемое "client.name.ovpn", а "client.name.ovpn.txt" - только оконечивающего имя файла реального расширения ".txt" мы не увидим, потому как оно скрыто, а настраиваемый OpenVPN-клиент не примет конфигурации, потому что ожидает её хоть и в текстовом файле, но с расширением ".ovpn".

Снимаем "галочку" с пункта "скрывать расширения для зарегистрированных типов файлов" в наборе опций "Параметры папок" "Панели управления" системы:


Приложение не предоставляет никаких средств "интуитивно понятной" настройки. Единственный предусмотренный способ - создание конфигурационного файла VPN-соединения вручную в соответствующей предопределённой директории:


Конфигураций может быть несколько - они различаются по именам файлов и могут быть использованы как все вместе одновременно, так и по отдельности. Для простоты разместим файлы конфигурации и сертификатов, используемые нашим пока единственным VPN-соединением в одном месте. В дальнейшем, в случае необходимости использования множественных соединений, не составит труда распределить файлы по выделенным директориям. А пока, копируем полученные от администратора VPN-сервера сертификаты и ключи в директорию "C:\Program Files\OpenVPN\config\" и там же создаём конфигурационный файл "сlient.name.ovpn" следующего содержания:


Естественно, в вышеприведённой конфигурации адрес сервера удалённого доступа "vpn.example.net" заменяем на предоставленный администратором. Так же, вместо "ca.crt", "сlient.name.crt", "сlient.name.key" и "ta.key" подставляем имена файлов сертификатов и ключей созданных для обеспечения вашего VPN-подключения администратором (эти файлы вы уже должны были разместить рядом с "конфигом").

Конфигурационные файлы OpenVPN имеют единый формат для всех поддерживаемых версий операционных систем (Linux, Mac, Windows). Применительно к MS Windows отличие лишь в указании двойных "бэкслешей" в пути к файлам ключей и сертификатов и заключение полных путей к файлам в двойные кавычки.

Подключатся к удалённой сетевой инфраструктуре можно двумя способами: запуская клиента OpenVPN в качестве фоновой задачи при старте операционной системы в автоматическом режиме или вручную, через контекстное меню индикатора графического интерфейса "OpenVPN GUI for Windows", размещающегося в "трее":


С установлением VPN-соединения индикатор клиента в "трее" приобретёт зеленоватую окраску. С этого момента доступ к удалённой сетевой инфраструктуре можно считать успешно осуществлённым. Ради интереса можете удостоверится в появлении дополнительно к основному интернет-подключению ещё одной ограниченной сетевой конфигурации VPN:


Я упоминал ранее, что для полноценной работы OpenVPN-клиента требуются права суперпользователя. В частности, высокий уровень доступа необходим для применения полученных от VPN-сервера маршрутов на частные сети удалённой инфраструктуры. Для расширения кругозора после первого подключения можно проверить, действительно ли маршруты приняты операционной системой в работу (в командной строке ввести и исполнить "route print"):


По умолчанию сразу после установки возможность автоматического запуска фонового сервиса OpenVPN неактивна - единожды исправляем это и больше не возвращаемся к подключению до истечения срока действия сертификатов:


Если подключение используется эпизодически и в автоматизации процесса нет необходимости, то в качестве минимальной оптимизации можно настроить автозапуск графического интерфейса, индикатор которого будет размещён в "трее" и предоставит возможность инициировать VPN-туннель одним кликом мыши в контекстном меню:


Если конфигураций VPN-туннелей несколько, то, в случае автоматического запуска фонового сервиса, все они будут инициированы одна за другой, последовательно. Естественно, что вручную можно запускать VPN-соединения в произвольном порядке, выбирая подпункты контекстного меню графического интерфейса "OpenVPN GUI for Windows" в "трее".