ساخت کانفیگ پروفایل OpenVPN

کانکشن‌های OpenVPN یکی از قویترین کانکشن‌های وی پی ان از نظر رمزنگاری و امنیت هستند که برای ارتباط امن بین شعب و دفاتر شرکت ها و مجموعه ها بر بستر اینترنت میشه از اون استفاده کرد. برای اتصال به یک سرور اوپن وی پی ان هم معمولا فایلی در اختیار کابر قرارداده میشه به اسم فایل کانفیگ یا پروفایل OpenVPN.

در این آموزش قصد داریم تا با روش ساخت فایل کانفیگ اوپن وی پی ان آشنا بشیم و آپشن‌موجود در اون رو بررسی کنیم.

فرض کنید که شما در مجموعه کاری خودتون یک روتر میکروتیک دارید که سرور OpenVPN رو روی اون راه اندازی کردید و حالا میخواهید کاربران شما با استفاده از یک ارتباط امن و استفاده از منابع شبکه داخلی نظیر VoIP یا فایل شیرینگ یا ریموت دسکتاپ استفاده کنند. فایل کانفیگ ایجاد شده رو میتونید در اختیار کاربران قرار بدید تا به سرور مورد نظر شما (در اینجا روتر میکروتیک) متصل بشن.

کانفیگ VPN چیست؟

در حالت کلی برای اتصال به هر نوع سرور VPN شما نیاز به یک سری اطلاعات دارید. مثلا آدرس سرور، پورت مربوطه، پروتکل ارتباطی و نام کاربری و احتمالا گواهی SSL. گاهی این اطلاعات به صورت جداگانه در اختیار شما قرار داده میشه تا اون رو روی روتر یا مودم وارد کنید، مثلا تنظیمات سرویس‌های L2TP یا SSTP و یا گاهی به صورت یه فایل متنی در اختیارتون قرار داده میشه.

به صورت کلی اگر بخواییم کانفیگ VPN رو تعریف کنیم باید بگیم تنظیم کلاینت و سرور به نحوی که بتونن با هم ارتباط کامل برقرار کنند. به این فرآیند میگن کانفیگ کردن VPN.

حالا ببینیم کانفیگ سرور openvpn چی هست:

فایل کانفیگ OpenVPN چیست؟

به صورت خیلی خلاصه و ساده اگر بخواهیم این فایل رو تعریف کنیم میشه یک فایل متنی (TXT) ساده که شامل اطلاعاتی برای اتصال به سرور OpenVPN هست. این اطلاعات میتونه شامل آدرس سرور، پورت اتصال، الگوریتم رمزنگاری، روت، نام کاربری و رمز، گواهی SSL و یا حتی اطلاعات سرور پروکسی باشه.

معمولا چون پسوند یا extension فایل کانفیگ اوپن وی پی ان .ovpn هست در رایانه یا گوشی تلفن همراه اون رو به صورت فایل ناشناخته نشون میده و همین موضوع باعث میشه افرادی که به تازگی با این مبحث آشنا شدند فکر کنند که این فایل خیلی خاص و عجیب هست اما کافیه یه فایل پروفایل OpenVPN رو با برنامه Notepad یا هر تکست ادیتور دیگه‌ای باز کنید تا محتویات اون رو مشاهده کنید، برای همین هم بالاتر گفتیم که فایل کانفیگ اوپن وی پی ان یک فایل متنی ساده است. پس اگر همچین فایلی دیدید از اون نترسید و به راحتی با نوت پد بازش کنید و محتویاتش رو ببینید.

محتویات فایل پروفایل اوپن وی پی ان شامل چه چیزهایی است؟

اگر یک فایل پروفایل رو از قبل داشته باشید و اون رو با نوت پد باز کنید در ابتدای اون چیزی شبیه به این عکس مشاهده می‌کنید:

و در ادامه‌ی فایل هم اطلاعات گواهی SSL میتونه موجود باشه. در واقع فایل گواهی SSL که در مقاله راه اندازی سرور اوپن وی پی ان در میکروتیک ایجاد کردیم هم یه فایل متنی ساده است که محتوای اون رو با برنامه Notepad میتونید مشاهده کنید.

اگر هرکدوم از فایل‌های گواهی که شامل

ca.crt

client.crt

client.key

بودند رو باز کنید با چیزی شبیه به این این عکس روبرو میشید:

شما دو راه دارید که به نرم افزار کلاینت اوپن وی پی ان گواهی SSL رو وارد کنید، یه روش اینکه که در کنار فایل کافیگ فایل های گواهی رو هم قرار بدید و یه روش دیگه اینه که محتویات اون فایل ها رو کپی کنید و در همون فایل کانفیگ قرار بدید که در این صورت کار کاربری که میخواد کانکشن رو استفاده کنه خیلی راحت میشه و فقط یه فایل رو توی برنامه ایمپورت میکنه. حالا با هم آپشن‌هایی که تو یه فایل پروفایل OpenVPN معمول وجود داره رو بررسی میکنیم.

شرح برخی دستورات موجود در فایل پروفایل OpenVPN

فرض رو بر این میگیریم که شما یه سرور OpenVPN راه اندازی کردید و الان لازم هست که فایل کانفیگ پروفایل رو ایجاد کنید تا کابران از طریق گوشی یا رایانه به شبکه مورد نظر شما وصل بشن.

فایل پروفایل OpenVPN شامل چندین خط Option هست که به نرم افزار کلاینت میگه چطور با سرور OpenVPN ارتباط برقرار کنه.

نمونه این آپشن‌ها رو در ادامه می‌تونید ببینید:

client
dev tun
proto tcp
remote 10.11.25.1 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth MD5
auth-user-pass
http-proxy 10.11.25.10 80
redirect-gateway def1
verb 3

اگر با توجه به آموزش موجود تو سایت اوپن پارس روی روتر میکروتیک سرور OpenVPN رو فعال کردید همین آپشن‌هایی که قرار دادیم رو میتونید تو فایل کانفیگ خودتون استفاده کنید و بدون مشکل وصل بشید اما برای اینکه کمی بهتر موضوع رو درک کنید چندتا از مهمترین آپشن‌ها رو با هم بررسی می‌کنیم تا با توجه به نیاز خودتون و تنظیمات سرور اون رو تغییر بدید.

اولین آپشنی که مهم هست گزینه dev tun هست، باید دقت کنید نوع کانکشنی که نرم افزار کلاینت ایجاد می‌کنه از نوع TUN باشه. کانکشن‌های TUN برای تونل و روتینگ استفاده میشن و کانکشن‌های TAP برای ساخت بریج‌ها و عملکرد تو لایه 2. خیلی نیاز نیست موضوع رو تخصصی بدونید اما دقت داشته باشید این گزینه رو درست اعمال کنید.

آپشن بعدی که مهم هست proto tcp یا proto udp که احتمالا حدس زدید، پروتکل ارتباطی رو مشخص میکنه که از نوع TCP باشه یا UDP که با توجه به تنظیمات سرور اوپن وی پی ان باید انتخاب کنید. در نسخه های 6 و قبل میکروتیک فقط پروتکل TCP قابل استفاده است و در نسخه 7 امکان استفاده از پروتکل UDP هم فراهم شده.

آپشن بعدی و مهم تو فایل نمونه ما remote 10.11.25.1 443 هست. خب احتمالا متوجه شدید که آدرس IP سرور به همراه پورت سرور اوپن وی پی ان رو باید اینجا تنظیم کنید. میتونید از آدرس دامنه هم به جای آدرس IP استفاده کنید.

آپشن مهم بعدی که از تنظیمات سرور باید بهش دقت داشته باشید انتخاب الگوریتم رمزنگاری هست، cipher AES-256-CBC و تو تنظیمات روتر میکروتیک قابل مشاهده است.

الگوریتم رمزنگاری تصدیق هویت هم با توجه به تنظیمات موجود در روتر میکروتیک یا سرور اوپن وی پی ان خودتون انتخاب کنید، آپشن auth MD5

تو این فایل ما کار تصدیق هویت رو با نام کاربری و رمز عبور انجام میدیم در نتیجه آپشن auth-user-pass رو بهش اضافه کردیم.

و در نهایت آپشن مهم بعدی برای ما http-proxy 10.11.25.10 80 هست. فرض کنید که گاهی لازم دارید ترافیک کانکشن اوپن وی پی ان رو از یه پروکسی عبور بدید، در اینجا میتونید آدرس سرور پروکسی و پورت اون رو مشخص کنید.

در نهایت در انتهای فایل هم محتویات فایل های گواهی SSL رو قرار میدید و فایل رو ذخیره میکنید. حالا میتونید از این فایل در برنامه کلاینت خودتون برای ارتباط با سرور اوپن وی پی ان استفاده کنید.

در نهایت دقت داشته باشید که تنظیمات مربوط به NAT و یا Route رو روی میکروتیک به درستی انجام بدید که کاربران بعد از برقراری کانکشن OpenVPN دچار مشکل نشوند.

جنریتور فایل کانفیگ OPENVPN

برای سهولت استفاده هم می‌تونید از فرم زیر برای ایجاد فایل کانفیگ اوپن وی پی ان استفاده کنید.

مقادیر فیلدها رو با دقت وارد کنید تا فایل آماده در اختیارتون قرار داده بشه.