Настройка клиентов OpenVPN для Виртуальной глобальной сети Azure

Эта статья поможет вам настроить клиенты протокола OpenVPN® . Для подключения через протокол OpenVPN можно также использовать VPN-клиент Azure для Windows 10. Дополнительные инструкции можно найти здесь.

Перед началом

Создайте пользовательскую конфигурацию VPN-подключения типа "точка — сеть". Убедитесь, что выбран тип туннеля "OpenVPN". Описание шагов см. в разделе о создании конфигурации подключения типа "точка — сеть" для Виртуальной глобальной сети Azure.

Клиенты Windows

  1. Загрузите и установите официальный клиент OpenVPN (версии 2.4 или выше) с веб-сайта OpenVPN.

  2. Загрузите профиль VPN для шлюза. Это можно сделать со вкладки конфигурации "точка — сеть" на портале Azure или с "New-AzVpnClientConfiguration" в PowerShell.

  3. Распакуйте профиль. Затем откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в Блокноте.

  4. Экспортируйте сертификат клиента P2S, который вы создали и отправили в конфигурацию P2S на шлюзе. Ознакомьтесь со следующими статьями.

  5. Извлеките закрытый ключ и отпечаток base64 из PFX-файла. Это можно сделать несколькими способами. Это можно сделать с помощью OpenSSL на компьютере. Файл profileinfo.txt содержит закрытый ключ, отпечаток для ЦС и сертификат клиента. Не забудьте использовать отпечаток сертификата клиента.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    
  6. Откройте profileinfo.txt в Блокноте. Чтобы получить отпечаток сертификата клиента (дочерний), выделите текст между "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----" (включая эти строки) для дочернего сертификата и скопируйте его. Дочерний сертификат можно определить, просмотрев строку subject=/.

  7. Переключитесь на файл vpnconfig.ovpn, который вы открыли в Блокноте на шаге 3. Найдите раздел, указанный ниже, и замените весь код между cert и /cert.

    # P2S client certificate
    # please fill this field with a PEM formatted cert
    <cert>
    $CLIENTCERTIFICATE
    </cert>
    
  8. Откройте файл profileinfo.txt в Блокноте. Чтобы получить закрытый ключ, выделите текст между "-----BEGIN PRIVATE KEY-----" и "-----END PRIVATE KEY-----" (включая эти строки) и скопируйте его.

  9. Вернитесь к файлу vpnconfig.ovpn в Блокноте и найдите этот раздел. Вставьте закрытый ключ, заменив все между и key и /key.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  10. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  11. Скопируйте файл vpnconfig.ovpn в папку C:\Program Files\OpenVPN\config.

  12. Щелкните правой кнопкой мыши значок OpenVPN в области уведомлений и щелкните "Подключить".

Клиенты Mac

  1. Скачайте и установите клиент OpenVPN, например TunnelBlik.

  2. Загрузите профиль VPN для шлюза. Это можно сделать со вкладки конфигурации "точка — сеть" на портале Azure или с помощью "New-AzVpnClientConfiguration" в PowerShell.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата. Дополнительные сведения о том, как экспортировать сертификат для получения закодированного открытого ключа, см. в следующих статьях.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в статье Экспорт закрытого ключа.

  6. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  7. Дважды щелкните файл профиля, чтобы создать профиль в Tunnelblik.

  8. Запустите Tunnelblik из папки приложения.

  9. Нажмите значок Tunneblik на панели задач и выберите подключение.

Важно!

Протокол OpenVPN поддерживают только iOS 11.0 и MacOS 10.13 и их более поздние версии.

Клиенты iOS

  1. Установите клиент OpenVPN (версии 2.4 или выше) из App Store.

  2. Загрузите профиль VPN для шлюза. Это можно сделать со вкладки конфигурации "точка — сеть" на портале Azure или с помощью "New-AzVpnClientConfiguration" в PowerShell.

  3. Распакуйте профиль. Откройте файл конфигурации vpnconfig.ovpn из папки OpenVPN в текстовом редакторе.

  4. Заполните раздел сертификата клиента подключения "точка — сеть" открытым ключом сертификата клиента P2S в формате base64. В сертификате с форматированием PEM вы можете открыть файл CER и скопировать ключ в формате base64, находящийся между заголовками сертификата. Дополнительные сведения о том, как экспортировать сертификат для получения закодированного открытого ключа, см. в следующих статьях.

  5. Заполните раздел секретного ключа закрытым ключом сертификата клиента P2S в base64. Дополнительные сведения о том, как извлечь закрытый ключ, см. в разделе Экспорт закрытого ключа на сайте OpenVPN.

  6. Не изменяйте остальные поля.

  7. Отправьте файл профиля (.ovpn) по электронной почте в учетную запись электронной почты, настроенную в приложении "Почта" на устройстве iPhone.

  8. Откройте сообщение электронной почты в приложении "Почта" на устройстве iPhone и нажмите вложенный файл.

    Открытие сообщения электронной почты

  9. Нажмите Еще, если пункт Копировать в OpenVPN не отображается.

    Подробнее

  10. Нажмите Копировать в OpenVPN.

    Копировать в OpenVPN

  11. Нажмите ДОБАВИТЬ на странице Импорт профиля.

    Добавить

  12. Нажмите ДОБАВИТЬ на странице Импортированный профиль.

    Нажмите кнопку ДОБАВИТЬ.

  13. Запустите приложение OpenVPN и сдвиньте переключатель на странице Профиль вправо, чтобы установить подключение.

    Подключение

Клиенты Linux

  1. Запустите новый сеанс терминала. Новый сеанс можно начать, нажав CTRL+ALT+Т.

  2. Для установки необходимых компонентов введите следующую команду.

    sudo apt-get install openvpn
    sudo apt-get -y install network-manager-openvpn
    sudo service network-manager restart
    
  3. Загрузите профиль VPN для шлюза. Это можно сделать со вкладки конфигурации "точка — сеть" на портале Azure.

  4. Экспортируйте сертификат клиента P2S, который вы создали и отправили в конфигурацию P2S на шлюзе. Ознакомьтесь со следующими статьями.

  5. Извлеките закрытый ключ и отпечаток base64 из PFX-файла. Это можно сделать несколькими способами. Это можно сделать с помощью OpenSSL на компьютере.

    openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
    

    Файл profileinfo.txt содержит закрытый ключ, отпечаток для ЦС и сертификат клиента. Не забудьте использовать отпечаток сертификата клиента.

  6. Откройте файл profileinfo.txt в текстовом редакторе. Чтобы получить отпечаток сертификата клиента (дочерний), выделите текст между "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----", включая эти строки, для дочернего сертификата и скопируйте его. Дочерний сертификат можно определить, просмотрев строку subject=/.

  7. Откройте файл vpnconfig.ovpn и найдите раздел, показанный ниже. Замените весь код между cert и /cert.

    # P2S client certificate
    # please fill this field with a PEM formatted cert
    <cert>
    $CLIENTCERTIFICATE
    </cert>
    
  8. Откройте файл profileinfo.txt в текстовом редакторе. Чтобы получить закрытый ключ, выделите текст между "-----BEGIN PRIVATE KEY-----" и "-----END PRIVATE KEY-----" (включая эти строки) и скопируйте его.

  9. Откройте файл vpnconfig.ovpn в текстовом редакторе и найдите этот раздел. Вставьте закрытый ключ, заменив все между и key и /key.

    # P2S client root certificate private key
    # please fill this field with a PEM formatted key
    <key>
    $PRIVATEKEY
    </key>
    
  10. Не изменяйте остальные поля. Для подключения к VPN используйте заполненную конфигурацию на входе клиента.

  11. Чтобы подключиться с помощью командной строки, введите следующую команду:

    sudo openvpn --config <name and path of your VPN profile file>&
    
  12. Чтобы подключиться с помощью графического пользовательского интерфейса, перейдите в параметры системы.

  13. Щелкните + для добавления нового подключения VPN.

  14. В разделе Добавить VPN выберите Импорт из файла...

  15. Просмотрите файл профиля и дважды щелкните или выберите Открыть.

  16. Щелкните Добавить в окне Добавить VPN.

    Импорт из файла

  17. Вы можете подключиться, выбрав для VPN Вкл. на странице Параметры сети или под значком сети на панели задач.

Дальнейшие действия

Дополнительные сведения о пользовательском VPN-подключении типа "точка — сеть" см. в статье о создании пользовательского соединения VPN с помощью Виртуальной глобальной сети Azure.

OpenVPN является товарным знаком OpenVPN Inc.