...
esr-200# config
esr-200(config)# remote-access openvpn GenOffice //Создаем сервер и даем ему имя
esr-200(config-openvpn-server)# network 10.10.100.0/24 //Определяем сеть из которой будут выделяться адреса клиентам
esr-200(config-openvpn-server)# protocol tcp //Выбираем протокол по которому будет работать сервер (tcp/udp)
esr-200(config-openvpn-server)# tunnel ip //Выбираем на каком уровне будет работать (l2 ethetnet/l3 ip)
esr-200(config-openvpn-server)# encryption algorithm aes128 //Выбираем алгоритм шифрования
esr-200(config-openvpn-server)# authentication algorithm sha-256 //Алгоритм аутенфикацииаутентификации
esr-200(config-openvpn-server)# certificate ca ca.crt //
esr-200(config-openvpn-server)# certificate dh dh.pem //
esr-200(config-openvpn-server)# certificate server-key server.key //указываем загруженные ранее сертификаты
esr-200(config-openvpn-server)# certificate server-crt server.crt //
esr-200(config-openvpn-server)# certificate ta ta.key //
esr-200(config-openvpn-server)# security-zone trusted //Указываем зону безопасности
esr-200(config-openvpn-server)# route 192.168.1.0/24 //Добавляем маршрут на сеть, которая будет доступна для клиентов
esr-200(config-openvpn-server)# enable //Включаем сервер
Предположим что удаленному офису необходимо дать статический IP. Тогда для данного клиента (предположем имяего в примере используется имя сертификата udoffice) необходимо произвести следуюющие следующие настройки:
esr-200(config-openvpn-server)# username udoffice
esr-200(config-openvpn-user)# ip address 10.10.100.202
esr-200(config-openvpn-user)# exit
Если говорить о клиентах с интернета, то их много и необходисонеобходимо, что бы они подключались через один сертификат. Для этого активируем функцию duplicate-cn:
...
На этом настройка сервера завершена. Перейдем к настройке удаленного офиса. Предположем, что там установлен ESR-10. Загрузим на него сертификаты и настроим OpenVPN тунельтуннель:
esr-10# copy tftp://192.168.16.10:/ca.crt certificate:ca/ca.crt
esr-10# copy tftp://192.168.16.10:/dh.pem certificate:dh/dh.pem
esr-10# copy tftp://192.168.16.10:/serverudoffice.key certificate:serverclient-key/serverudoffice.key
esr-10# copy tftp://192.168.16.10:/serverudoffice.crt certificate:serverclient-crt/serverudoffice.crt
esr-10# copy tftp://192.168.16.10:/ta.key certificate:ta/ta.key
esr-10# config
esr-10(config)# tunnel openvpn 1
esr-10(config-openvpn)# ip firewall disable
esr-10(config-openvpn)# remote address 10.10.0.10
esr-10(config-openvpn)# protocol tcp
esr-10(config-openvpn)# tunnel ip
esr-10(config-openvpn)# encryption algorithm aes128
esr-10(config-openvpn)# authentication algorithm sha-256
esr-10(config-openvpn)# certificate ca ca.crt
esr-10(config-openvpn)# certificate dh dh.pem
esr-10(config-openvpn)# certificate client-key udoffice.key
esr-10(config-openvpn)# certificate client-crt udoffice.crt
esr-10(config-openvpn)# certificate ta ta.key
esr-10(config-openvpn)# enable
...
Просмотреть статус подключенных клиентов на сервере можно командой show remote-access status openvpn. Статус тунеля туннеля на клиенте show tunnels status.
...