Настройка OpenVPN сервера.

OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL.

В этой статье в простой и доступной форме мы попытаемся рассказать вам о том как поднять собственный OpenVPN сервер. Мы не ставим своей целью, чтобы по окончании прочтения этой статьи вы досконально понимали все принципы "как это работает" или разбирались в тонкостях организации сетей, но хотим, чтобы в результате - вы могли настроить OpenVPN сервер "с нуля". Так что можно считать эту статью неким пошаговым руководством для пользователей. На самом деле в сети масса документации, мануалов, посвященных развертыванию OpenVPN, но они либо ориентированы на подготовленных пользователей или системных администраторов, либо же в качестве примера для демонстрации используются Linux-системы. Мы же пойдем другим путем и расскажем как настроить OpenVPN на компьютере среднестатического пользователя, т.е. рабочей станции с установленной ОС Windows. Зачем вам может пригодиться эта информация? Ну например вы хотите поиграть с друзьями в игру, которая не поддерживает игру через интернет, а только по локальной сети, или же, например, вы занимаетесь удаленной поддержкой пользователей, но по каким-то причинам использовать программное обеспечение вроде TeamViewer или Ammyy Admin не желаете, т.к. не хотите чтобы в процессе передачи ваших данных или установки соединения участвовали сервера сторонних компаний. В любом случае практический опыт организации собственной виртуальной частной сети (VPN) окажется для вас полезным.

Содержание

• Настройка сервера
• Настройка клиента
• Полезные ссылки
• F.A.Q.
• Можно ли раздавать интернет с помощью OpenVPN?

Настройка сервера

Итак, начнем. В нашем примере в качестве сервера OpenVPN будет выступать машина с установленной ОС Windows XP Professional SP3 (x86), в качестве клиентов - несколько машин с Windows 7 x64 и Windows 7 x86 (хотя на самом деле описываемая в статье схема заработает и на других конфигурациях). Предположим, что ПК который будет выступать в роли OpenVPN сервера имеет белый статический IP адрес в сети интернет (в случае если IP адрес, предоставляемый вашим провайдером динамический, то вам необходимо зарегистрироваться в DynDNS или No-IP), если это условие выполняется, но ПК находится за роутером или аппаратным firewall'ом - вам придется пробросить необходимые порты (об этом мы расскажем чуть ниже, когда перейдем непосредственно к настройке сервера), если вы не представляете что это такое и для чего это используется, то мы рекомендуем вам ознакомиться со статьей Port Forwarding. Как настроить и что это такое? на нашем сайте.

1. Идем на официальный сайт проекта OpenVPN, в раздел Downloads - http://openvpn.net/index.php/open-source/downloads.html. Скачиваем оттуда, соответствующий вашему релизу ОС Windows дистрибутивай (32-bit или 64-bit Installer). На момент написания этой статье для 32-х битных ОС был доступен дистрибутив openvpn-install-2.3_rc1-I002-i686.exe, а для 64-х битных - openvpn-install-2.3_rc1-I002-x86_64.exe соответственно. Т.к. мы определились, что сервер мы будем поднимать на WinXP x86, т.е. на 32-битной ОС, то скачиваем дистрибутив по первой ссылке.
2. Запускаем скачанный инсталлятор. На этапе где выбирается путь для установки вводим C:\OpenVPN (см. скриншот), это упростит нам настройку в дальнейшем: После чего нажимаем "Next" до тех пор, пока установка не будет завершена. Если в процессе установки, на этапе выбора компонент для установки у вас было "пустое окно", например, такое: То по всей видимости вы скачали "не тот" дистрибутив, в таком случае попробуйте скачать последнюю релизную версию openvpn-2.2.2-install.exe (она устанавливается как на x86, так и на x64 системы). При "правильной установке" окно выбора компонентов должно выглядеть так: Все галочки в нем при установке по-умолчанию стоят, менять дополнительно ничего не нужно. Если установка прошла успешно, то в Панели управления -> Сетевые подключения (или, если вы устанавливаете сервер на Windows 7 или Windows Vista, в Центр управления сетями и общим доступом -> Изменение параметров адаптера) у вас должен появиться TAP-Win32 Adapter V9, который будет называться "Подключение по локальной сети X" (X - автоматически присваиваемый системой номер): Состояние у него будет "Сетевой кабель не подключен", т.к. мы еще не конфигурировали наш сервер.
3. Создаем в папке OpenVPN подпапку SSL, в ней будут храниться выданные сервером ключи и сертификаты. Далее запускаем блокнот и копируем в него следующий текст:

   #dev tun
   dev tap
   #dev-node "VPN"
   proto tcp-server
   #proto udp
   port 7777
   tls-server
   server 10.10.10.0 255.255.255.0
   comp-lzo
   # route-method exe
   # маршрут для сервера, чтобы видеть сети за клиентом
   # route 192.168.x.0 255.255.255.0 10.10.10.x
   # маршрут добавляемый в таблицу маршрутизации каждого клиента, чтобы видеть сеть за сервером
   # push "route 192.168.x.0 255.255.255.0"
   # разрешает vpn-клиентам видеть друг-друга, в противном случае все vpn-клиенты будут видеть только сервер
   client-to-client
   # каталог с описаниями конфигураций каждого из клиентов
   client-config-dir C:\\OpenVPN\\config\\ccd
   # файл с описанием сетей между клиентом и сервером
   ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
   # пути для ключей и сертификатов сервера
   dh C:\\OpenVPN\\ssl\\dh1024.pem
   ca C:\\OpenVPN\\ssl\\ca.crt
   cert C:\\OpenVPN\\ssl\\Server.crt
   key C:\\OpenVPN\\ssl\\Server.key
   #persist-key
   tls-auth C:\\OpenVPN\\ssl\\ta.key 0
   tun-mtu 1500
   tun-mtu-extra 32
   mssfix 1450
   keepalive 10 120
   status C:\\OpenVPN\\log\\openvpn-status.log
   log C:\\OpenVPN\\log\\openvpn.log
   verb 3

   На параметрах которые здесь описаны, мы остановимся чуть позже. После чего сохраняем его в файл C:\OpenVPN\Config\Server.ovpn, обратите внимание файл должен получиться именно с расширением .ovpn, для этого в диалоге сохранения опции должны стоять именно так, как показано на картинке: Если вы работаете под Windows 7 / Windows Vista и блокнот не дает вам сохранить файл Server.ovpn в папку C:\OpenVPN\Config\, значит его нужно запустить с правами администратора. Для этого щелкните в меню Пуск по ярлыку Блокнота правой кнопкой мыши и выберите "Запуск от имени администратора": Теперь также с помощью блокнота создадим файл C:\OpenVPN\easy-rsa\vars.bat, скопировав в него нижеследующий текст:

   @echo off
   set path=%path%;c:\OpenVPN\bin
   set HOME=c:\OpenVPN\easy-rsa
   set KEY_CONFIG=openssl.cnf
   set KEY_DIR=c:\OpenVPN\ssl
   set KEY_SIZE=1024
   set KEY_COUNTRY=RU
   set KEY_PROVINCE=Kaluga
   set KEY_CITY=Kaluga
   set KEY_ORG=CompKaluga
   set [email protected]

   А также файл C:\OpenVPN\easy-rsa\openssl.cnf:

   #
   # OpenSSL example configuration file.
   # This is mostly being used for generation of certificate requests.
   #
   
   # This definition stops the following lines choking if HOME isn't
   # defined.
   HOME			= .
   RANDFILE		= $ENV::HOME/.rnd
   
   # Extra OBJECT IDENTIFIER info:
   #oid_file		= $ENV::HOME/.oid
   oid_section		= new_oids
   
   # To use this configuration file with the "-extfile" option of the
   # "openssl x509" utility, name here the section containing the
   # X.509v3 extensions to use:
   # extensions		= 
   # (Alternatively, use a configuration file that has only
   # X.509v3 extensions in its main [= default] section.)
   
   [ new_oids ]
   
   # We can add new OIDs in here for use by 'ca' and 'req'.
   # Add a simple OID like this:
   # testoid1=1.2.3.4
   # Or use config file substitution like this:
   # testoid2=${testoid1}.5.6
   
   ####################################################################
   [ ca ]
   default_ca	= CA_default		# The default ca section
   
   ####################################################################
   [ CA_default ]
   
   dir		= $ENV::KEY_DIR		# Where everything is kept
   certs		= $dir			# Where the issued certs are kept
   crl_dir		= $dir			# Where the issued crl are kept
   database	= $dir/index.txt	# database index file.
   new_certs_dir	= $dir			# default place for new certs.
   
   certificate	= $dir/ca.crt	 	# The CA certificate
   serial		= $dir/serial 		# The current serial number
   crl		= $dir/crl.pem 		# The current CRL
   private_key	= $dir/ca.key	 	# The private key
   RANDFILE	= $dir/.rand		# private random number file
   
   x509_extensions	= usr_cert		# The extentions to add to the cert
   
   # Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
   # so this is commented out by default to leave a V1 CRL.
   # crl_extensions	= crl_ext
   
   default_days	= 3650			# how long to certify for
   default_crl_days= 30			# how long before next CRL
   default_md	= md5			# which md to use.
   preserve	= no			# keep passed DN ordering
   
   # A few difference way of specifying how similar the request should look
   # For type CA, the listed attributes must be the same, and the optional
   # and supplied fields are just that :-)
   policy		= policy_match
   
   # For the CA policy
   [ policy_match ]
   countryName		= match
   stateOrProvinceName	= match
   organizationName	= match
   organizationalUnitName	= optional
   commonName		= supplied
   emailAddress		= optional
   
   # For the 'anything' policy
   # At this point in time, you must list all acceptable 'object'
   # types.
   [ policy_anything ]
   countryName		= optional
   stateOrProvinceName	= optional
   localityName		= optional
   organizationName	= optional
   organizationalUnitName	= optional
   commonName		= supplied
   emailAddress		= optional
   
   ####################################################################
   [ req ]
   default_bits		= $ENV::KEY_SIZE
   default_keyfile 	= privkey.pem
   distinguished_name	= req_distinguished_name
   attributes		= req_attributes
   x509_extensions	= v3_ca	# The extentions to add to the self signed cert
   
   # Passwords for private keys if not present they will be prompted for
   # input_password = secret
   # output_password = secret
   
   # This sets a mask for permitted string types. There are several options. 
   # default: PrintableString, T61String, BMPString.
   # pkix	 : PrintableString, BMPString.
   # utf8only: only UTF8Strings.
   # nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
   # MASK:XXXX a literal mask value.
   # WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
   # so use this option with caution!
   string_mask = nombstr
   
   # req_extensions = v3_req # The extensions to add to a certificate request
   
   [ req_distinguished_name ]
   countryName			= Country Name (2 letter code)
   countryName_default		= $ENV::KEY_COUNTRY
   countryName_min			= 2
   countryName_max			= 2
   
   stateOrProvinceName		= State or Province Name (full name)
   stateOrProvinceName_default	= $ENV::KEY_PROVINCE
   
   localityName			= Locality Name (eg, city)
   localityName_default		= $ENV::KEY_CITY
   
   0.organizationName		= Organization Name (eg, company)
   0.organizationName_default	= $ENV::KEY_ORG
   
   # we can do this but it is not needed normally :-)
   #1.organizationName		= Second Organization Name (eg, company)
   #1.organizationName_default	= World Wide Web Pty Ltd
   
   organizationalUnitName		= Organizational Unit Name (eg, section)
   #organizationalUnitName_default	=
   
   commonName			= Common Name (eg, your name or your server\'s hostname)
   commonName_max			= 64
   
   emailAddress			= Email Address
   emailAddress_default		= $ENV::KEY_EMAIL
   emailAddress_max		= 40
   
   # SET-ex3			= SET extension number 3
   
   [ req_attributes ]
   challengePassword		= A challenge password
   challengePassword_min		= 4
   challengePassword_max		= 20
   
   unstructuredName		= An optional company name
   
   [ usr_cert ]
   
   # These extensions are added when 'ca' signs a request.
   
   # This goes against PKIX guidelines but some CAs do it and some software
   # requires this to avoid interpreting an end user certificate as a CA.
   
   basicConstraints=CA:FALSE
   
   # Here are some examples of the usage of nsCertType. If it is omitted
   # the certificate can be used for anything *except* object signing.
   
   # This is OK for an SSL server.
   # nsCertType			= server
   
   # For an object signing certificate this would be used.
   # nsCertType = objsign
   
   # For normal client use this is typical
   # nsCertType = client, email
   
   # and for everything including object signing:
   # nsCertType = client, email, objsign
   
   # This is typical in keyUsage for a client certificate.
   # keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   
   # This will be displayed in Netscape's comment listbox.
   nsComment			= "OpenSSL Generated Certificate"
   
   # PKIX recommendations harmless if included in all certificates.
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid,issuer:always
   
   # This stuff is for subjectAltName and issuerAltname.
   # Import the email address.
   # subjectAltName=email:copy
   
   # Copy subject details
   # issuerAltName=issuer:copy
   
   #nsCaRevocationUrl		= http://www.domain.dom/ca-crl.pem
   #nsBaseUrl
   #nsRevocationUrl
   #nsRenewalUrl
   #nsCaPolicyUrl
   #nsSslServerName
   
   [ server ]
   
   # JY ADDED -- Make a cert with nsCertType set to "server"
   basicConstraints=CA:FALSE
   nsCertType			= server
   nsComment			= "OpenSSL Generated Server Certificate"
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid,issuer:always
   
   [ v3_req ]
   
   # Extensions to add to a certificate request
   
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   
   [ v3_ca ]
   
   
   # Extensions for a typical CA
   
   
   # PKIX recommendation.
   
   subjectKeyIdentifier=hash
   
   authorityKeyIdentifier=keyid:always,issuer:always
   
   # This is what PKIX recommends but some broken software chokes on critical
   # extensions.
   #basicConstraints = critical,CA:true
   # So we do this instead.
   basicConstraints = CA:true
   
   # Key usage: this is typical for a CA certificate. However since it will
   # prevent it being used as an test self-signed certificate it is best
   # left out by default.
   # keyUsage = cRLSign, keyCertSign
   
   # Some might want this also
   # nsCertType = sslCA, emailCA
   
   # Include email address in subject alt name: another PKIX recommendation
   # subjectAltName=email:copy
   # Copy issuer details
   # issuerAltName=issuer:copy
   
   # DER hex encoding of an extension: beware experts only!
   # obj=DER:02:03
   # Where 'obj' is a standard or added object
   # You can even override a supported extension:
   # basicConstraints= critical, DER:30:03:01:01:FF
   
   [ crl_ext ]
   
   # CRL extensions.
   # Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
   
   # issuerAltName=issuer:copy
   authorityKeyIdentifier=keyid:always,issuer:always
   

   Поздравляю! Вы только что создали основные конфигурационные файлы вашего сервера. Продолжим его настройку.
4. Для дальнейшей настройки сервера нам будут необходимы некоторые навыки работы в командной строке. Прежде всего давайте разберемся, как ее запустить? Существует несколько способов, например, нажать Пуск -> Выполнить (или комбинацию кнопок Win+R) на клавиатуре и в появившемся поле ввести cmd и нажать кнопку Ок. Однако, пользователям Windows 7 / Windows Vista понадобится запустить консоль с правами администратора, для этого проще всего на рабочем столе создать соответствующий ярлык. Щелкаем правой кнопкой мыши по любому пустому месту рабочего стола и выбираем пункт "Создать ярлык", в поле "месторасположение объекта" просто указываем три буквы - cmd и называем ярлык cmd, либо командная строка. Далее, пользователи Windows XP просто запускают его, а пользователи Windows Vista и Windows 7 запускают его от имени администратора, так, как это делалось выше с блокнотом.
5. Далее последовательно вводим в консоли строки:

   cd C:\OpenVPN\easy-rsa
   vars
   clean-all

   При этом на экране это должно выглядеть так: Далее не закрывая это окно вводим последовательно команды генерации ключей:

   openvpn --genkey --secret %KEY_DIR%\ta.key
   build-dh
   build-ca

   Последняя команда (build-ca) создаст сертификат и ключ центра сертификации (CA), в процессе, правда, она задаст вам несколько вопросов, ответить на которые надо по-умолчанию нажатием кнопки Enter: Теперь создадим ключ сервера:

   build-key-server server

   Обратите внимание, вторым аргументом в команде идет имя ключа (server), это же имя вы должны ввести при ответе на вопрос Common Name (eg, your name or your server's hostname), на остальные вопросы можно ответить по-умолчанию нажатием кнопки Enter. Если вы все сделали правильно команда предложит подписать сертификат и подтвердить запрос, на оба вопроса нужно ответить Y (см. скриншот): Если вы все сделали правильно, то картинка у вас будет идентичной скриншоту, а в последних строчках вывода команды будет сообщение об успешном добавлении одной записи в базу данных.
6. После этого идем в оснастку "Службы и приложения" консоли управления, сделать это можно щелкнув по ярлыку Компьютер (Мой компьютер) правой кнопкой мыши и выбрав пункт меню Управление, либо набрав в консоли команду services.msc, находим там службу "OpenVPN Service" и в меню по правой кнопки мыши выбираем "Пуск". Если до этого вы все сделали правильно, то служба перейдет в состояние "Работает". Теперь можно изменить ей тип запуска на "Авто", вместо "Вручную", который был там по-умолчанию. В результате должно получиться так: На этом настройка самого сервера закончена, осталось только сконфигурировать клиентов. Для этого необходимо также выдать им ключи и сертификаты, делается это практически аналогично серверу, только для сервера мы использовали команду build-key-server, а для клиентов будем использовать команду build-key.
7. Предположим что у нас два клиента, назовем их client1 и client2. Выполним последовательно команды:

   build-key client1
   build-key client2
   

   При этом на вопрос Common Name (eg, your name or your server's hostname) вы также должны указать имя клиента используемое в команде, т.е. если вы вводили команду build-key client1, то на вопрос Common Name отвечаем client1, если client2, то client2. На остальные вопросы можно ответить нажатием Enter, в конце вас также попросят подписать сертификат и подтвердить запрос, на оба пункта отвечаем утвердительно - Y. Теперь перезапускаем службу OpenVPN для того чтобы изменения вступили в силу, в оснастке управления службами, в меню по правой кнопке мыши "Перезапуск", либо же в консоли последовательно вводим:

   net stop openvpnservice
   net start openvpnservice

8. Теперь если мы зайдем в папку, то увидим там сгенерированные нами файлы ключей и сертификатов: Каждому клиенту необходимы будут его файлы:

   ca.crt
   <clientname>.crt
   <clientname>.key
   ta.key

   Т.е. для клиента 1 мы собираем файлы ca.crt, client1.crt, client1.key и ta.key, для клиента 2 - ca.crt, client2.crt, client2.key и ta.key соответственно и т.п. И тем или иным образом отправляем ему их (имеется ввиду по почте, в архиве с паролем, или на флешке), файлы ключей и сертификатов должны быть переданы по надежным каналам связи и не должны попасть в "третьи руки", т.к. фактически с помощью них клиент может получить доступ в вашу виртуальную подсеть. В следующем разделе мы рассмотрим настройку клиента, при этом будет предполагаться что файлы ключей и сертификатов от вас он уже получил.
9. Если на ПК используемом в качестве сервера используется firewall / брандмауэр, то необходимо добавить OpenVPN в список исключений. Для встроенного брандмауэра Windows в консоли это можно сделать следующей командой:

   netsh firewall add allowedprogram program = C:\OpenVPN\bin\openvpn.exe name = "OpenVPN Server" ENABLE scope = ALL profile = ALL

Настройка клиентов

Настройка клиента значительно проще, чем настройка сервера, у клиента нам не нужно генерировать ключи, сертификаты и т.п., так как все необходимое уже было сгенерировано нами на сервере и передано клиенту. Поэтому инструкция в случае для клиента получается значительно короче.

1. Ориентируясь на инструкцию по настройке сервера скачиваем дистрибутив OpenVPN с официального сайта, устанавливаем его и создаем в папке C:\OpenVPN подпапку SSL.
2. Помещаем в нее файлы ca.crt, client1.crt, client1.key и ta.key, переданные нам владельцем сервера.
3. Запускаем блокнот и создаем файл Client1.ovpn следующего содержания:

   # decker OpenVPN Config File (c) Decker, [email protected] 
   dev tap 
   # dev-node "OpenVPN"  
   proto tcp  
   remote x.x.x.x 7777  
   route-delay 3  
   client  
   tls-client  
   ns-cert-type server  
   ca C:\\OpenVPN\\ssl\\ca.crt  
   cert C:\\OpenVPN\\ssl\\client1.crt  
   key C:\\OpenVPN\\ssl\\client1.key  
   tls-auth C:\\OpenVPN\\ssl\\ta.key 1  
   comp-lzo  
   tun-mtu 1500  
   tun-mtu-extra 32  
   mssfix 1450  
   ping-restart 60  
   ping 10  
   status C:\\OpenVPN\\log\\openvpn-status.log  
   log C:\\OpenVPN\\log\\openvpn.log  
   verb 3

   Обратите внимание, здесь client1.crt и client1.key - это названия файлов полученные вами от владельца сервера. x.x.x.x - это IP адрес или доменное имя OpenVPN сервера, 7777 - номер порта сервера.
4. Заходим в оснастку "Службы и приложения", так, как это описано в разделе настроек сервера и запускаем службу OpenVPN, если она успешно запустилась, то выставляем ей тип запуска в "Авто".
5. Одновременно обращаем внимание на свойства нашего OpenVPN адаптера, если вы все настроили правильно, то через несколько секунд после запуска службы OpenVPN адаптер получит сетевой адрес от сервера:

Полезные ссылки

• Официальная документация по OpenVPN - http://openvpn.net/index.php/open-source/documentation.html
• OpenVPN man-pages - http://openvpn.net/index.php/open-source/documentation/manuals.html
• OpenVPN HOWTO (на русском) - http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html

F.A.Q.

Вы можете присылать возникшие у вас вопросы на email указанный в разделе контактов, либо обсудить эту статью на нашем форуме.

А можно ли таким способом раздавать интернет?

Наверное большинство из вас хочет спросить "А можно ли посредством OpenVPN раздавать интернет, например, через локальную сеть провайдера?" и ответ скорее всего порадует вас. Можно! Рассмотрим пример. Допустим провайдер выдает всем "серые" адреса в своей локальной сети, а подключение к интернет идет через VPN или PPPoE, при этом пользователи локальной сети провайдера "видят" друг-друга в ней и могут свободно обмениваться файлами и т.п. напрямую через локальную сеть провайдера без подключения к интернет. Рассмотрим пример, как можно "поделиться" своим интернетом с друзьями (обращаем ваше внимание на то, что у большинства провайдеров перепродажа, равно как и другие способы передачи траффика интернет третьим лицам запрещены условиями договора, поэтому прежде чем настраивать подобную схему - убедитесь в ее легитимности в вашем случае). Допустим у пользователя у которого установлен OpenVPN сервер подключение к интернет и локальной сети провайдера осуществляется через роутер (!) IP адрес которого 172.31.1.1, также роутер выдает адреса для ПК подключенных к нему из диапазона 172.31.1.0/24. Таким образом для ПК с OpenVPN сервером получаем два интерфейса, один из них WAN (интерфейс подключенный к роутеру, на котором доступна локальная сеть провайдера и интернет), а другой - VPN, т.е. интерфейс OpenVPN сервера. Намомним, что в этом случае для корректной работы OpenVPN сервера (если вы настраивали все согласно приведенной выше инструкции) на роутере необходимо пробросить порт TCP 7777 из локальной сети провайдера (именно по этому IP к вам будут подключаться удаленные клиенты) на машину с OpenVPN-сервером.

• Переименуем интерфейс подключенный к роутеру в WAN, а интерфейс OpenVPN сервера в VPN:
• В конфигах OpenVPN сервера, в файле C:\OpenVPN\config\Server.ovpn добавим строки:

  dev-node "VPN" # имя интерфейса openvpn в системе
  push "route 0.0.0.0 0.0.0.0" # правило маршрутизации для КАЖДОГО клиента, основным шлюзом будет наш openvpn-сервер
  push "dhcp-option DNS 8.8.8.8" # DNS-сервера выдающиеся КАЖДОМУ клиенту
  push "dhcp-option DNS 8.8.4.4"

• В свойствах интерфейса WAN на закладке "Дополнительно", включим общий доступ для подключения к интернет: Внимание! После того как вы сделаете это система автоматически пропишет в свойства адаптера VPN в свойства протокола TCP/IP IP адрес 192.168.0.1 и маску подсети 255.255.255.0 (!) Это неверно! Необходимо зайти в свойства протокола TCP/IP адаптера OpenVPN и выбрать там значение "Получить IP адрес автоматически", либо, если подсеть у вас такая же, как и в приведенных в инструкции по настройке сервера конфигах (10.10.10.0/255.255.255.0) прописать там IP адрес - 10.10.10.1 и маску подсети 255.255.255.0. Галочку общего доступа на подключении WAN больше не трогать (в тот момент когда мы ее установили, мы включили маршрутизацию пакетов в системе, что вообщем-то эквивалентно установке ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IPEnableRouter в значение 1), именно благодаря этому будет возможен общий доступ к интернет через VPN-соединение.
• После этого обязательно отключаем брэндмауэр Windows на интерфейсе VPN, т.е. снимаем соответствующую галочку в настройках бранлмауэра:
• После чего перезапускаем службу OpenVPN и удаленный клиент может попытаться подключиться к нам. Если все настроено верно, то в свойствах интерфейса OpenVPN на клиенте мы увидим следующее: Т.е. клиент в нашей виртуальной частной сети получил IP адрес 10.10.10.2, основным шлюзом для него является OpenVPN сервер - 10.10.10.1, и DNS серверы именно те, которые мы задавали. Если посмотреть трассировку маршрута до нашего сайта c клиента, то мы увидим что траффик идет именно через наш OpenVPN сервер: Чего собственно и требовалось добиться. Кстати, решение с OpenVPN универсальное, в отличие от обычного PPTP VPN. Многие провайдеры блокируют протокол GRE, используемый в PPTP VPN. OpenVPN сервер же работает только используя TCP или UDP протокол, причем номер порта вы определяете сами, получая таким образом крайне неприхотливый к "агрессивной среде провайдера" туннель ;)

От автора

Данную статью разрешается размещать на любых ресурсах, копировать полностью или частично, без ограничений, при условии сохранения ссылки на оригинал. Ссылка должна содержать название нашего ресурса Скорая Компьютерная Помощь г. Калуга оформленное в виде ссылки, а также содержать псевдоним автора статьи. Примером оформления подобной ссылки может быть:

Настройка OpenVPN сервера © Скорая Компьютерная Помощь г. Калуга // Decker

Примечание

В последнее время к нам на электронную почту приходит большое количество вопросов в стиле "Вопрос по Вашей статье http://compkaluga.ru/articles/172/ на шаге 5 после команды clean-all в результате у Вас копируется какой-то файл. У меня этого не происходит. команда openvpn --genkey --secret %KEY_DIR%\ta.key создает мне ключ а вот далее build-dh иbuild-ca не дают результата (cmd.exe пишет, что команда не является внутренней или внешней... или исполняемым файлом) файл ca.key не создается. Что я мог сделать не так?". 

Основной смысл которых сводится к вашей же невнимательности. Проблема при запуске clean-all, build-key и других команд заключается в том, что при установке OpenVPN вы не поставили галочки OpenSSL Utilities и OpenVPN RSA Certificate Management Scripts (их нужно ставить обязательно!). Обратите внимание на скриншот с окном выбора компонентов в начале статьи, там эти галочки стоят!