Создание VPN-соединения с помощью OpenVPN

В сценарии рассматривается настройка OpenVPN-инстанса для доступа к виртуальным машинам Яндекс.Облака через шифрованное соединение. В сценарии рассматривается вариант настройки OpenVPN-шлюза с доступом по логину и паролю.

Чтобы настроить VPN-туннель:

1. Подготовьте облако к работе.
2. Создайте сети и подсети.
3. Создайте OpenVPN-инстанс.
4. Задайте пароль администратора.
5. Создайте пользователя OpenVPN.
6. Подключитесь к VPN.

Если OpenVPN-инстанс больше не нужен, удалите его.

Подготовьте облако к работе

Перед тем, как разворачивать сервер, нужно зарегистрироваться в Облаке и создать платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Яндекс.Облако или зарегистрируйтесь, если вы еще не зарегистрированы.
2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсы

В стоимость поддержки инфраструктуры OpenVPN входят:

• плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
• плата за использование динамического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Создайте подсети и тестовую ВМ

Для связи облачных ресурсов с интернетом необходимо иметь созданные сети и подсети.

Создайте тестовую виртуальную машину без публичного IP-адреса и подключите ее к подсети.

Создайте OpenVPN-инстанс

Создайте в Облаке виртуальную машину, которая будет служить шлюзом для VPN-туннеля.

1. Откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.

2. Укажите имя виртуальной машины, например openvpn-instance.

3. Выберите зону доступности, где находится подсеть, к которой будет подключен OpenVPN-инстанс, и где уже находится тестовая ВМ.

4. В блоке Образы из Cloud Marketplace нажмите кнопку Выбрать и выберите образ OpenVPN.

5. В блоке Сетевые настройки выберите требуемую сеть, подсеть и назначьте ВМ публичный IP-адрес из списка или автоматически.

   Используйте только статические публичные IP-адреса из списка, или сделайте IP-адрес созданной машины статическим. Динамический IP-адрес может измениться после перезагрузки ВМ и соединения перестанут работать.

6. В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.

7. Нажмите кнопку Создать ВМ.

Задайте пароль администратора

На сервере OpenVPN заранее создан пользователь openvpn с административными правами. Чтобы получить доступ к административной панели, нужно задать этому пользователю пароль.

1. Подключитесь к виртуальной машине по SSH:

   $ ssh <публичный IP-адрес ВМ>
   

2. Выполните команду:

   $ sudo passwd openvpn
   Enter new UNIX password:
   

   Введите новый пароль.

   После этого можно войти в административную панель OpenVPN.

Создайте пользователя OpenVPN

Для подключения через OpenVPN на клиентской машине нужно ввести логин и пароль пользователя. Создайте нового пользователя:

1. Откройте в браузере URL вида https://<публичный IP-адрес ВМ>:943/admin/.
2. Введите имя пользователя openvpn и созданный на предыдущем шаге пароль.
3. Нажмите кнопку Agree. Откроется главный экран административной панели OpenVPN.
4. Разверните вкладку User management и выберите пункт User permissions.
5. В списке пользователей введите имя нового пользователя в поле New Username, например test-user.
6. Нажмите значок карандаша в столбце More Settings и в поле Password введите пароль нового пользователя.
7. Нажмите кнопку Save settings.
8. Нажмите кнопку Update running server.

После этого можно подключаться к VPN с помощью OpenVPN Connect.

Подключитесь к VPN

Чтобы убедиться, что соедиение устанавливается и работает, подключитесь к VPN и выполните команду ping для внутреннего адреса тестовой ВМ:

1. Запустите OpenVPN Connect Client.
2. Создайте новое соединение. Укажите IP-адрес ВМ, пользователя test-user и его пароль.
3. Включите созданное соединение.
4. Откройте терминал и выполните команду ping <внутренний IP-адрес тестовой ВМ>. Если команда выполняется, доступ к ВМ через OpenVPN есть.

Удалите созданные ресурсы

Если вам больше не нужен OpenVPN-инстанс, удалите ВМ openvpn-instance и тестовую ВМ.

Если вы зарезервировали публичный статический IP-адрес, удалите его.