...
Затем необходимо создать сертификаты согласно инструкции:
Для удобства работы скопируйте дистрибутив easy-rsa в папку etc
cp -r /usr/share/easy-rsa /etc
Далее перейдите в скопированную папку:
cd /etc/easy-rsa
Теперь создайте центр сертификации (CA):
./easyrsa init-pki
touch pki/.rnd
./easyrsa build-ca
На запрос нужно ввести пароль, который далее будет использоваться для генерации сертификатов.
Далее на запрос введите наименование центра сертификации, например WNAM.
После этого сгенерируйте файл параметров Диффи-Хеллмана dh.pem
./easyrsa gen-dh
Затем создайте сертификат и ключ для сервера:
./easyrsa gen-req ovpn-server nopass
./easyrsa sign-req server ovpn-server
Выпущенные сертификаты будут располагаться в pki/issued.
Теперь скопируйте сертификат и ключ в конфигурационную папку openvpn:
mkdir /etc/openvpn/keys
cp pki/ca.crt pki/dh.pem /etc/openvpn/keys
cp pki/private/ovpn-server.key pki/issued/ovpn-server.crt /etc/openvpn/keys
Далее следует отредактировать файл отсюда: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-8#step-5-—-configure-and-build-the-certificate-authority. Далее следует отредактировать файл /etc/openvpn/server.conf:
mode serverdev tunproto tcp-server
tls-server
port 1194
topology subnetca keys/ca.crt
cert keys/wnam.provider.ru.ovpn-server.crt
key keys/wnam.provider.ruovpn-server.key
dh keys/dh2048dh.pemcipher AES-128-CBC
auth md5keepalive 10 120
status /var/log/openvpn-status.log
log /var/log/openvpn.log
user nobody
group nogrouppersist-key
persist-tunifconfig 10.1.0.255 10.1.0.254
ifconfig-pool 10.1.0.1 10.1.0.253
route 10.1.0.0 255.255.0.0
push "route 10.1.0.255"
ifconfig-pool-persist ipp.txt 0auth-user-pass-verify /etc/openvpn/verify.sh via-file
script-security 2
client-cert-not-required
username-as-common-nameverb 2
...