Интерфейс OpenVPN

Обзор

OpenVPN — это набор средств с открытым исходным кодом для построения защищенного VPN-соединения. Включает в себя компоненты для создания виртуального туннеля, аутентификации, шифрования, безопасной передачи данных, аппаратной разгрузки и компрессии данных.

Основные возможности OpenVPN:

  • Работает в нескольких режимах: точка-точка, сервер-клиент, клиент;

  • Работает с трафиком по протоколам UDP и TCP;

  • Работает в режиме туннеля (TUN) на сетевом уровне или в режиме моста (TAP) на канальном уровне модели OSI;

  • Поддерживает несколько режимов аутентификации: по ключу, через сертификаты стандарта x.509, логин и пароль (необходимо указать сертификат сервера), внешние скрипты и плагины;

  • Использует библиотеку OpenSSL на основе TLS/SSL для шифрования трафика. Поддерживает несколько алгоритмов шифрования: AES 128/192/256, DES, 3DES, Blowfish 128/256;

  • Поддерживает проверку целостности зашифрованных сообщений через хеш (HMAC);

  • Поддерживает аппаратную разгрузку ЦПУ;

  • Поддерживает установку сторонних скриптов и плагинов;

  • Обширно поддерживается операционными системами и производителями оборудования.

Порядок установки соединения OpenVPN между клиентом и сервером по протоколу TLS с использованием алгоритма генерации ключей, открытие сессии передачи данных:

  1. Обмен приветственными сообщениями, рукопожатие, аутентификация.

Клиент подключается к серверу по IP-адресу и порту и отправляет свое приветственное TLS-сообщение, содержащее различную служебную информацию: поддерживаемые шифры, поддерживаемую версию протокола TLS и т.д. Сервер отвечает обратным приветом и предоставляет клиенту сертификат, подписанный центром сертификации. Клиент проверяет сертификат сервера и удостоверяется, что сертификат актуален, не просрочен и действительно был выдан центром сертификации. Если сертификат подлинный, то клиент доверяет серверу и устанавливает соединение. Опционально сервер может запросить клиентский сертификат. На этом этапе оба участника согласуют версии протокола TLS и алгоритм шифрования.

Совет

Опционально перед первым шагом можно дополнительно защитить сеанс связи, используя PSK и HMAC.

  1. Генерация общего секретного ключа шифрования.

Для генерации общего секретного ключа используется алгоритм Diffie-Hellman (DH) или DH с элиптической кривой (ECDH). Обе стороны генерируют открытые и закрытые значения DH, которые представляют собой простое число и число-генератор. Затем обе стороны обмениваются открытыми значениями и при помощи арифметических вычислений независимо генерируют симметричные секретные ключи, которые они будут использовать для шифрования и расшифровки сообщений.

  1. Открытие и закрытие сессии.

Теперь два участника могут открыть TLS-сессию и начать обмениваться зашифрованными данными, согласно выбранному алгоритму шифрования.

В конце сеанса связи клиент и сервер отправляют друг другу служебные сообщения о закрытии сессии. После этого симметричный секретный ключ удаляется. Если участники захотят возобновить сессию, им придется начать всю процедуру заново.

Пример настройки

Пример настройки по схеме «маршрутизатор в головном офисе — маршрутизатор в филиале с собственной подсетью».

При настройке интерфейса OpenVPN на сервере головного офиса указываются только параметры PKI для сервера: корневой сертификат, конечный сертификат, закрытый ключ, список отозванных сертификатов и файл со значениями DH. Не нужно дополнительно вносить данные клиента из филиала, так как эти параметры указываются на маршрутизаторе филиала. Настройка маршрутизатора филиала описана в шаге 16.

Шаг

Команда

Описание

1

set iterfaces openvpn vtun10 mode server

Переводит интерфейс OpenVPN vtun10 в режим сервера

2

set interfaces openvpn vtun10 local-port 1194

Назначает интерфейсу OpenVPN vtun10 локальный порт 1194, который будет прослушивать входящие соединения

3

set interfaces openvpn vtun10 persistent-tunnel

Не перезагружает интерфейс OpenVPN vtun10, даже когда происходят разрывы в линии сигнала или меняются маршруты. Если связь пропадет, маршрутизатор Факел не будет перезапускать соединение TCP/UDP на интерфейсе OpenVPN и заново генерировать ключи

4

set interfaces openvpn vtun10 protocol udp

Разрешает на туннеле OpenVPN vtun10 только трафик по протоколу UDP

5

run generate pki ca install ca-1

Генерирует корневой сертификат ca-1 и закрытый ключ для сервера. После этого автоматически создает две дополнительные команды:set pki ca ca-1 certificate 'generated_cert_string' и set pki ca ca-1 private key 'generated_private_key', чтобы сохранить соответствующие сгенерированные значения в инфраструктуре PKI на маршрутизаторе Факел и присвоить им имена

6

run generate pki certificate sign ca-1 install srv-1

Генерирует конечный сертификат srv-1 относительного корневого сертификата ca-1 в инфраструктуре PKI и закрытый ключ для сервера. После этого автоматически создает две дополнительные команды:set pki certificate srv-1 certificate 'generated_server_cert' и set pki certificate srv-1 private key 'generated_private_key', чтобы сохранить соответствующие сгенерированные значения в инфраструктуре PKI на маршрутизаторе Факел и присвоить им имена

7

run generate pki dh install dh-1

Генерирует значения DH для безопасного обмена ключами. После этого автоматически создает дополнительную команду set pki dh dh-1 parameters generated_dh_params_set', чтобы сохранить значения в инфраструктуре PKI на маршрутизаторе Факел и присвоить им имя <dh-1>

8

set interfaces openvpn vtun10 tls ca-certificate ca-1

Ассоциирует корневой сертификат ca-1 с выбранным интерфейсом OpenVPN vtun10. Интерфейс будет сверять сертификаты других участников соединения с этим сертификатом во время сеанса TLS-рукопожатия

9

set interfaces openvpn vtun10 tls certificate srv-1

Ассоциирует конечный сертификат сервера srv-1 с выбранным интерфейсом OpenVPN vtun10

10

set interfaces openvpn vtun10 tls dh-params dh-1

Ассоциирует значения DH dh-1 с выбранным интерфейсом OpenVPN vtun10

11

set interfaces openvpn vtun10 server push-route 192.168.0.0/16

Указывает серверу на интерфейсе OpenVPN vtun10 отправить конфигурацию маршрута для доступа в подсеть 192.168.0.0/16 всем клиентам, подключенным к VPN-туннелю

12

set interfaces openvpn vtun10 server subnet 10.23.1.0/24

Указывает серверу на интерфейсе OpenVPN vtun10 назначить подключающимся клиентам IP-адреса из подсети 10.23.1.0/24

13

set interfaces openvpn vtun10 server client client0 ip 10.23.1.10

Указывает серверу на интерфейсе OpenVPN vtun10 назначить клиенту client0 IP-адрес 10.23.1.10

14

set interfaces openvpn vtun10 server client client0 subnet 10.23.2.0/25

Указывает серверу на интерфейсе OpenVPN маршрутизировать на клиент client0 весь трафик, направляющийся в подсеть 10.23.2.0/25

15

set protocols static route 10.23.0.0/20 interface vtun10

Задает статический маршрут для интерфейса vtun10. Весь входящий трафик будет направлен в подсеть 10.23.0.0/20

16

run generate pki certificate sign ca-1 install branch-1

Генерирует конечный сертификат и закрытый ключ для филиала офиса branch 1 относительного корневого сертификата ca-1 в инфраструктуре PKI. Команда сохраняет соответствующие сгенерированные значения в инфраструктуре PKI на маршрутизаторе Факел и присваивает им имя branch 1. Филиал сможет пройти аутентификацию у головного офиса

17

set pki ca ca-1 certificate „generated_cert_string“

Сохраняет сгенерированный на маршрутизаторе в головном офисе корневой сертификат ca-1 в инфраструктуре PKI на маршрутизаторе филиала

18

set pki certificate branch-1 certificate „generated_branch_cert“

Сохраняет сгенерированный в головном офисе конечный сертификат в инфраструктуре PKI на маршрутизаторе филиала <branch-1>

19

set pki certificate branch-1 private key „generated_private_key“

Сохраняет сгенерированный в головном офисе закрытый ключ в инфраструктуре PKI на маршрутизаторе филиала <branch-1>

20

set interfaces openvpn vtun10 tls ca-certificate ca-1

Ассоциирует корневой сертификат ca-1 с выбранным интерфейсом OpenVPN на филиале vtun10. Интерфейс будет сверять сертификаты других участников соединения с этим сертификатом во время сеанса TLS-рукопожатия

21

set interfaces openvpn vtun10 tls certificate branch-1

Ассоциирует конечный сертификат branch-1 с выбранным интерфейсом OpenVPN на филиале vtun10.

Список команд


Режим «Конфигурирование»


interfaces openvpn <interface> authentication [<password> | <username>]

Описание:
Устанавливает аутентификацию по паролю и имени пользователя.

Синтаксис:

  • set interfaces openvpn <interface> authentication [<password> | <username>]

  • delete interfaces openvpn <interface> authentication [<password> | <username>]

  • show interfaces openvpn <interface> authentication [<password> | <username>]

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <password> — пароль;

  • <username> — имя пользователя.

Режим: «Конфигурирование».

interfaces openvpn <interface> description <description>

Описание:
Добавляет описание для интерфейса OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> description <description>

  • delete interfaces openvpn <interface> description <description>

  • show interfaces openvpn <interface> description

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <description> — описание для интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> device-type [<tun> | <tap>]

Описание:
Выбирает тип виртуального устройства, которое будет создано на интерфейсе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> device-type [<tun> | <tap>]

  • delete interfaces openvpn <interface> device-type [<tun> | <tap>]

  • show interfaces openvpn <interface> device-type

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <tun>— устройство туннеля;

  • <tap> — устройство моста.

Режим: «Конфигурирование».

interfaces openvpn <interface> disable

Описание:
Выключает интерфейс OpenVPN. Интерфейсу будет присвоен статус A/D (выключен администратором).

Синтаксис:

  • set interfaces openvpn <interface> disable

  • delete interfaces openvpn <interface> disable

  • show interfaces openvpn <interface>

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> encryption cipher <cipher>

Описание:
Устанавливает предпочтительный алгоритм шифрования данных для туннеля OpenVPN. Клиент и сервер должны поддерживать выбранный алгоритм. Если один из участников соединения не будет поддерживать выбранный алгоритм, соединение не будет установлено.

Синтаксис:

  • set interfaces openvpn <interface> encryption cipher <cipher>

  • delete interfaces openvpn <interface> encryption cipher <cipher>

  • show interfaces openvpn <interface> encryption cipher

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <cipher> — алгоритм шифрования. Доступные алгоритмы: des, 3des, bf128, bf256, aes128, aes128gcm, aes192, aes192gcm, aes256,aes256gcm. Значение <none> отключает шифрование.

Режим: «Конфигурирование».

interfaces openvpn <interface> encryption ncp-ciphers <ciphers>

Описание:
Устанавливает несколько алгоритмов шифрования данных для туннеля OpenVPN. Клиент и сервер должны поддерживать один из выбранных алгоритмов. Если клиент не поддерживает определенный алгоритм, то будет предложен следующий по порядку из списка заданных значений. Если клиент не поддерживает ни один из выбранных алгоритмов, соединение не будет установлено.

Синтаксис:

  • set interfaces openvpn <interface> encryption ncp-ciphers <ciphers>

  • delete interfaces openvpn <interface> encryption ncp-ciphers <ciphers>

  • show interfaces openvpn <interface> encryption ncp-ciphers <ciphers>

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <ciphers> — алгоритм шифрования. Доступные алгоритмы: des, 3des, aes128, aes128gcm, aes192, aes182gcm, aes256, aes256gcm. Значения перечисляются через запятую. Значение <none> отключает шифрование.

Режим: «Конфигурирование».

interfaces openvpn <interface> hash <hash>

Описание:
Устанавливает алгоритм хеширования HMAC на интерфейсе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> hash <hash>

  • delete interfaces openvpn <interface> hash <hash>

  • show interfaces openvpn <interface> hash

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <hash> — алгоритм хеширования HMAC. Доступные значения: md5, sha1, sha256, sha384, sha512.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip adjust-mss [<mss> | <clamp-mss-to-mptu>]

Описание:
Устанавливает на интерфейсе OpenVPN конкретное значение для максимального размера сегмента при передаче пакетов по протоколу TCP или рассчитывает значение автоматически, динамически подстраиваясь под допустимый максимальный размер передаваемого пакета на маршруте.

Конкретным значением администратор ПО Факел задает порог и ограничивает отправку пакетов, размер которых будет превышать заданное значение.

Максимальный размер сегмента — это опциональное поле в заголовке TCP-пакета с установленным флагом SYN. Если автоматическое обнаружение максимального размера передаваемого пакета на маршруте работает некорректно, установите конкретный размер сегмента вручную.

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <mss> — конкретное значение для максимального размера сегмента на протоколе TCP. Диапазон значений: от 536 до 65535;

  • <clamp-mss-to-pmtu> — максимальный размер сегмента будет задан автоматически.

Режим: «Конфигурирование».

Подсказка

Максимальный размер сегмента = максимальный размер передаваемого пакета - 20 (заголовок протокола IP) - 20 (заголовок протокола TCP) = 1452 байта при максимальном размере передаваемого пакета в 1492 байт.

interfaces openvpn <interface> ip arp-cache-timeout <sec>

Описание:
Задает временной интервал между записями в ARP-кэш на интерфейсе OpenVPN. ARP-кэш хранит информацию о связях между IP- и MAC-адресами. Кэш продолжит хранить данные, если от протокола верхнего уровня будет получен соответствующий сигнал. Если сигнал получен не будет, данные будут стерты.

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <sec> — интервал между записью данных в ARP-кэш. Формат: секунды. Диапазон значений: от 1 до 86400. Значение по умолчанию: 30 секунд.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip disable-arp-filter

Описание:
Выключает фильтрацию по протоколу ARP на интерфейсе OpenVPN. ПО Факел сможет отвечать на ARP-запросы IP-адресами с других интерфейсов. Это позволит контролировать, какие интерфейсы будут отвечать на ARP-запросы. Применяется в сложных сетевых конфигурациях, где необходимо строго разделять трафик между интерфейсами.
Если фильтрация через протокол ARP включена (по умолчанию), то на одной подсети смогут существовать несколько сетевых интерфейсов. При этом конкретный интерфейс ответит на ARP-запрос тогда, когда ядро системы примет решение маршрутизировать пакеты через этот интерфейс. Это позволяет настраивать на уровне ядра, какой сетевой интерфейс будет отвечать на ARP-запрос. Однако для этого необходимо использовать маршрутизацию от источника.

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip disable-forwarding

Описание:
Выключает переадресацию пакетов по протоколу IPv4 с интерфейса OpenVPN на любой другой интерфейс. После выполнения команды интерфейс OpenVPN перейдет в режим хоста.

Синтаксис:

  • set interfaces openvpn <interface> ip disable-forwarding

  • delete interfaces openvpn <interface> ip disable-forwarding

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip enable-arp-accept

Описание:
Создает новые записи в ARP-таблице интерфейса OpenVPN для gratuitous ARP-кадров, если им не присвоены соответствующие IP-адреса.

Автоматически обновляет ARP-таблицу при появлении gratuitous ARP-кадров типа «запрос», «ответ».

Если ARP-таблица уже содержит IP-адрес, соответствующий gratuitous ARP-кадру, то таблица все равно будет обновлена, даже если команда не была выполнена.

Синтаксис:

  • set interfaces openvpn <interface> ip enable-arp-accept

  • delete interfaces openvpn <interface> ip enable-arp-accept

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip enable-arp-announce

Описание:
Ограничивает на интерфейсе OpenVPN анонсирование локального IP-адреса источника при отправке IP-пакетов через ARP-запрос. ПО Факел будет использовать в исходящих ARP-запросах только те IP-адреса источника, которые соответствуют локальным IP-адресам в подсети цели.

При генерации ARP-запроса интерфейс OpenVPN проверяет все целевые подсети. По умолчанию ПО Факел при отправке ARP-запросов использует любой локальный IP-адрес, настроенный на любом интерфейсе.

Синтаксис:

  • set interfaces openvpn <interface> ip enable-arp-announce

  • delete interfaces openvpn <interface> ip enable-arp-announce

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

Примечание

Если вы выполнили команду, то при отправке ARP-запросов не используйте адреса вне подсети назначения.

interfaces openvpn <interface> ip enable-arp-ignore

Описание:
Указывает интерфейсу OpenVPN отвечать на ARP-запросы только в том случае, если целевой IP-адрес — локальный адрес на принимающем интерфейсе, который получил ARP-запрос.

По умолчанию интерфейс OpenVPN отвечает на ARP-запросы даже в том случае, если целевой IP-адрес — локальный IP-адрес назначения на любом интерфейсе. Независимо от того, какой интерфейс получил запрос.

Синтаксис:

  • set interfaces openvpn <interface> ip enable-arp-ignore

  • delete interfaces openvpn <interface> ip enable-arp-ignore

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip enable-directed-broadcast

Описание:
Включает направленную широковещательную переадресацию на интерфейсе OpenVPN. Если IP-адрес интерфейса получит пакет через широковещательную рассылку, то маршрутизатор Факел переадресует его на подсеть назначения.

Более подробная информация содержится в документах RFC 1812 и 2644.

Синтаксис:

  • set interfaces openvpn <interface> ip enable-directed-broadcast

  • delete interfaces openvpn <interface> ip enable-directed-broadcast

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip enable-proxy-arp

Описание:
Включает прокси-сервер на интерфейсе OpenVPN для маршрутизации ARP-запросов. Интерфейс OpenVPN сможет отвечать со своих MAC-адресов на ARP-запросы со стороны IP-адресов назначения, если IP-адреса назначения будут находиться на других интерфейсах маршрутизатора. В дальнейшем ПО Факел будет перенаправлять пакеты на IP-адреса назначения через прокси-сервер.

Синтаксис:

  • set interfaces openvpn <interface> ip enable-proxy-arp

  • delete interfaces openvpn <interface> ip enable-proxy-arp

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ip proxy-arp-pvlan

Описание:
Создает на интерфейсе OpenVPN частную сеть VLAN и включает на ней прокси-сервер для маршрутизации ARP-запросов. Устройства на разных портах смогут отвечать на ARP-запросы вышестоящего маршрутизатора и получат возможность обмениваться данными. Фактически интерфейс выступает в роли коммутатора, когда отдельные порты не могут общаться друг с другом напрямую, но могут поддерживать связь через вышестоящий маршрутизатор посредством маршрутизации ARP-запросов через прокси-сервер.

Более подробная информация содержится в документе RFC 3069.

Синтаксис:

  • set interfaces openvpn <interface> ip proxy-arp-pvlan

  • delete interfaces openvpn <interface> ip proxy-arp-pvlan

  • show interfaces openvpn <interface> ip

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

Подсказка

Вы можете использовать эту команду без предварительного выполнения команды interfaces openvpn <interface> ip enable-proxy-arp.

interfaces openvpn <interface> ip source-validation [<strict> | <loose> | <disable>]

Описание:
Включает на интерфейсе OpenVPN различные режимы проверки источника запроса по обратному пути.

Более подробная информация содержится в документе RFC 3704.

Синтаксис:

  • set interfaces openvpn <interface> ip source-validation [<strict> | <loose> | <disable>]

  • delete interfaces openvpn <interface> ip source-validation [<strict> | <loose> | <disable>]

  • show interfaces openvpn <interface> ip source-validation

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <strict> — строгий режим. Применяется для предотвращения подмены IP-адреса при DDos-атаках. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника не соответствует записи в таблице FIB, пакет не пройдет проверку и будет отброшен. В этом режиме некоторые полезные пакеты могут быть отклонены, если сеть имеет сложную конфигурацию;

  • <loose> — нестрогий режим. Применяется в случае ассиметричной маршрутизации или другой сложной конфигурации сети. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника недоступен ни через какой интерфейс, то пакет не пройдет проверку и будет отброшен;

  • <disable> — проверка источника по обратному пути выключена.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 accept-dad <0-2>

Описание:
Настраивает работу механизма обнаружения дубликатов IPv6-адресов на интерфейсе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 accept-dad <0-2>

  • delete interfaces openvpn <interface> ipv6 accept-dad <0-2>

  • shwo interfaces openvpn <interface> ipv6 accept-dad

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <0> — выключает механизм по обнаружению дубликатов IPv6-адресов;

  • <1> — включает механизм по обнаружению дубликатов IPv6-адресов. Значение по умолчанию;

  • <2> — включает механизм по обнаружению дубликатов IPv6- и MAC-адресов в сегменте локальной сети. Если будут найдены два устройства с одинаковыми MAC- и IPv6-адресами на одном сегменте сети, передача данных по протоколу IPv6 будет остановлена для избежания конфликтов.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 address autoconf

Описание:
Включает на интерфейсе OpenVPN механизм получения IPv6-адреса другими устройствами через автоматическую настройку адресов без сохранения состояния (SLAAC). Хост-устройства с поддержкой протокола IPv6 могут автоматически производить свою настройку при подключении к сети IPv6. Для этого они обмениваются сообщениями ICMPv6 по протоколу обнаружения соседей.

При первичном подключении хост-устройство отправляет многоадресную рассылку с запросом параметров у маршрутизатора. Роутер отвечает на запрос и высылает объявление, которое содержит параметры конфигурации сетевого уровня. Узнав эти параметры, хост-устройство сможет подключиться к маршрутизатору.

Более подробная информация содержится в документе RFC 4862.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 address autoconf

  • delete interfaces openvpn <interface> ipv6 address autoconf

  • show interfaces openvpn <interface> ipv6 address

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

Примечание

Команда автоматически выключает перенаправление IPv6-трафика на интерфейсе OpenVPN.

interfaces openvpn <interface> ipv6 address eui64 <prefix>

Описание:
Запускает преобразование EUI-64 на интерфейсе OpenVPN. После этого хост-устройство сгенерирует себе уникальный 64-битный IPv6-адрес на основе своего MAC-адреса.

Более подробная информация содержится в документе RFC 4291.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 address eui64 <prefix>

  • delete interfaces openvpn <interface> ipv6 address eui64 <prefix>

  • show interfaces openvpn <interface> ipv6 address eui64

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <prefix> — префикс IPv6-адреса. Будет добавлен к основной части IPv6-адреса при запуске преобразования EUI-64.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 adjust-mss [<mss> | <clamp-mss-to-pmtu>]

Описание:
Устанавливает на интерфейсе OpenVPN конкретное значение для максимального размера сегмента при передаче IPv6-пакетов по протоколу TCP или рассчитывает значение автоматически, динамически подстраиваясь под допустимый максимальный размер передаваемого пакета на маршруте.

Конкретным значением администратор ПО Факел задает порог и ограничивает отправку пакетов, размер которых будет превышать заданное значение.

Максимальный размер сегмента — это опциональное поле в заголовке TCP-пакета с установленным флагом SYN. Если автоматическое обнаружение максимального размера передаваемого пакета на маршруте работает некорректно, установите конкретный размер сегмента вручную.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 adjust-mss [<mss> | <clamp-mss-to-pmtu>]

  • delete interfaces openvpn <interface> ipv6 adjust-mss [<mss> | <clamp-mss-to-pmtu>]

  • show interfaces openvpn <interface> ipv6 adjust-mss

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <mss> — конкретное значение для максимального размера сегмента на протоколе TCP. Диапазон значений: от 536 до 65535;

  • <clamp-mss-to-pmtu> — максимальный размер сегмента будет задан автоматически.

Режим: «Конфигурирование».

Подсказка

Максимальный размера сегмента = максимальный размер передаваемого пакета - 20 (заголовок протокола IP) - 20 (заголовок протокола TCP) = 1452 байта при максимальном размере передаваемого пакета в 1492 байт.

interfaces openvpn <interface> ipv6 base-reachable-time <sec>

Описание:
Задает временной интервал, в течение которого интерфейс OpenVPN будет пытаться установить связь с хостом на другом конце туннеля. Если в течение указанного интервала связь установлена не будет, то интерфейс OpenVPN отметит туннель нерабочим.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 base-reachable-time <sec>

  • delete interfaces openvpn <interface> ipv6 base-reachable-time <sec>

  • show interfaces openvpn <interface> ipv6 base-reachable-time

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <sec> — интервал в течение которого интерфейс OpenVPN будет пытаться установить связь с хостом на другом конце OpenVPN. Формат: секунды. Диапазон значений: от 1 до 86400. Значение по умолчанию: 30 секунд.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 disable-forwarding

Описание:
Выключает переадресацию пакетов по протоколу IPv4 с интерфейса OpenVPN на любой другой интерфейс. После выполнения команды интерфейс OpenVPN перейдет в режим хоста.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 disable-forwarding

  • delete interfaces openvpn <interface> ipv6 disable-forwarding

  • show interfaces openvpn <interface> ipv6

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 dup-addr-detect-transmits <n>

Описание:
Задает, сколько сообщений типа «опрос соседа» интерфейс OpenVPN отправит по сети для обнаружения дубликатов IPv6-адресов.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 dup-addr-detect-transmits <n>

  • delete interfaces openvpn <interface> ipv6 dup-addr-detect-transmits <n>

  • show interfaces openvpn <interface> ipv6 dup-addr-detect-transmits

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <n> — количество сообщений типа «опрос соседа», рассылаемых по сети.

Режим: «Конфигурирование».

interfaces openvpn <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

Описание:
Включает на интерфейсе OpenVPN различные режимы проверки источника запроса по обратному пути.

Более подробная информация содержится в документе RFC 3704.

Синтаксис:

  • set interfaces openvpn <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

  • delete interfaces openvpn <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

  • show interfaces openvpn <interface> ipv6 source-validation

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <strict> — строгий режим. Применяется для предотвращения подмены IPv6-адреса при DDos-атаках. Каждый входящий пакет проверяется по таблице FIB. Если IPv6-адрес источника не соответствует записи в таблице FIB, пакет не пройдет проверку и будет отброшен. В этом режиме некоторые полезные пакеты могут быть отклонены, если сеть имеет сложную конфигурацию;

  • <loose> — нестрогий режим. Применяется в случае ассиметричной маршрутизации или другой сложной конфигурации сети. Каждый входящий пакет проверяется по таблице FIB. Если IPv6-адрес источника недоступен ни через какой интерфейс, то пакет не пройдет проверку и будет отброшен;

  • <disable> — проверка источника по обратному пути выключена.

Режим: «Конфигурирование».

interfaces openvpn <interface> keep-alive failure-count <n>

Описание:
Задает количество сообщений keepalive, после получения которых соединение на интерфейсе OpenVPN будет считаться нерабочим.

Синтаксис:

  • set interfaces openvpn <interface> keep-alive failure-count <n>

  • delete interfaces openvpn <interface> keep-alive failure-count <n>

  • show interfaces openvpn <interface> keep-alive failure-count

Аргументы:

Режим: «Конфигурирование».

interfaces openvpn <interface> keep-alive interval <sec>

Описание:
Задает интервал отправки сообщений keepalive на интерфейсе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> keep-alive interval <sec>

  • delete interfaces openvpn <interface> keep-alive interval <sec>

  • show interfaces openvpn <interface> keep-alive interval

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <sec> — Интервал отправки сообщений keepalive. Формат: секунды.

Режим: «Конфигурирование».

interfaces openvpn <interface> local-address <address>

Описание:
Назначает интерфейсу OpenVPN локальный IP-адрес, который будет являться конечной точкой на туннеле OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> local-address <address>

  • delete interfaces openvpn <interface> local-address <address>

  • show interfaces openvpn <interface> local-address

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — локальный IP-адрес, конечная точка туннеля OpenVPN. Формат: IPv4 или IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> local-host <address>

Описание:
Назначает интерфейсу OpenVPN внешний IP-адрес, который будет ожидать входящие соединения. Используется, когда сервер обладает несколькими интерфейсами и необходимо указать конкретный IP-адрес, к которому будет подключаться клиент.

Синтаксис:

  • set interfaces openvpn <interface> local-host <address>

  • delete interfaces openvpn <interface> local-host <address>

  • show interfaces openvpn <interface> local-host

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — внешний IP-адрес интерфейса OpenVPN. Формат: IPv4 или IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> local-port <port>

Описание:
Назначает интерфейсу OpenVPN внешний порт, который будет ожидать входящие соединения.

Синтаксис:

  • set interfaces openvpn <interface> local-port <port>

  • delete interfaces openvpn <interface> local-port <port>

  • show interfaces openvpn <interface> local-port

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <port> — порт, который будет ожидать входящие соединения.

Режим: «Конфигурирование».

interfaces openvpn <interface> mirror ingress <monitor-interface>

Описание:
Дублирует входящий трафик с порта интерфейса OpenVPN на порт SPAN-интерфейса.

Синтаксис:

  • set interfaces openvpn <interface> mirror ingress <monitor-interface>

  • delet interfaces openvpn <interface> mirror ingress <monitor-interface>

  • show interfaces openvpn <interface> mirror ingress

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <monitor-interface> — имя SPAN-интерфейса.

Режим: «Конфигурирование».

interfaces openvpn <interface> mirror egress <monitor-interface>

Описание:
Дублирует исходящий трафик с порта интерфейса OpenVPN на порт SPAN-интерфейса.

Синтаксис:

  • set interfaces openvpn <interface> mirror egress <monitor-interface>

  • delete interfaces openvpn <interface> mirror egress <monitor-interface>

  • show interfaces openvpn <interface> mirror egress

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <monitor-interface> — имя SPAN-интерфейса.

Режим: «Конфигурирование».

interfaces openvpn <interface> mode [<site-to-site> | <client> | <server>]

Описание:
Устанавливает режим работы интерфейса OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> mode [<site-to-site> | <client> | <server>]

  • delete interfaces openvpn <interface> mode [<site-to-site> | <client> | <server>]

  • show interfaces openvpn <interface> mode

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <site-to-site> — интерфейс OpenVPN будет работать в режиме «точка-точка»;

  • <client> — интерфейс OpenVPN будет работать в режиме клиента;

  • <server> — интерфейс OpenVPN будет работать в режиме сервера.

Режим: «Конфигурирование».

interfaces openvpn <interface> offload dco

Описание:
Включает программную разгрузку канала данных на интерфейсе OpenVPN. Передает обработку данных из пользовательского пространства на ядро. Включается отдельно для каждого туннеля.

Синтаксис:

  • set interfaces openvpn <interface> offload dco

  • delete interfaces openvpn <interface> offload dco

  • show interfaces openvpn <interface> offload

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> openvpn-option <text>

Описание:
Настраивает интерфейс OpenVPN напрямую. Использует синтаксис как в файле openvpn.conf.

Внимание

Будьте осторожны при настройке OpenVPN напрямую. Неправильно заданные параметры могут привести к сбою в работе сервера. В случае неудачного запуска просмотрите записи журнала ошибок.

Синтаксис:

  • set interfaces openvpn <interface> openvpn-option <text>

  • delete interfaces openvpn <interface> openvpn-option <text>

  • show interfaces openvpn <interface> openvpn-option

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <text> — строка с настройками. Формат: синтаксис файла openvpn.conf.

Режим: «Конфигурирование».

interfaces openvpn <interface> persistent-tunnel

Описание:
Не перезагружает интерфейс OpenVPN, даже когда происходят разрывы в линии сигнала или меняются маршруты. Если связь пропадет, маршрутизатор Факел не будет перезапускать соединение TCP/UDP на интерфейсе OpenVPN и заново генерировать ключи.

Синтаксис:

  • set interfaces openvpn <interface> persistent-tunnel

  • delete interfaces openvpn <interface> persistent-tunnel

  • show interfaces openvpn <interface>

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> redirect <destination>

Описание:
Перенаправляет трафик на другой интерфейс маршрутизатора Факел.

Синтаксис:

  • set interfaces openvpn <interface> redirect <destination>

  • delete interfaces openvpn <interface> redirect <destination>

  • show interfaces openvpn <interface> redirect

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <destination> — имя интерфейса, на который будет перенаправлен трафик.

Режим: «Конфигурирование».

interfaces openvpn <interface> remote-address <address>

Описание:
Задает IP-адрес однорангового узла в конечной точке туннеля OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> remote-address <address>

  • delete interfaces openvpn <interface> remote-address <address>

  • show interfaces openvpn <interface> remote-address

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — IP-адрес однорангового узла в конечной точке туннеля OpenVPN. Формат: IPv4 или IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> remote-host [<address> | <name>]

Описание:
Задает внешний IP-адрес или доменное имя однорангового узла, который будет ожидать входящие соединения. Используется, когда сервер обладает несколькими интерфейсами и необходимо указать конкретный IP-адрес, к которому будет подключаться клиент.

Синтаксис:

  • set interfaces openvpn <interface> remote-host [<address> | <name>]

  • delete interfaces openvpn <interface> remote-host [<address> | <name>]

  • show interfaces openvpn <interface> remote-host

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — внешний IP-адрес однорангового узла, который будет ожидать входящие соединения;

  • <name> — доменное имя однорангового узла.

Режим: «Конфигурирование».

interfaces openvpn <interface> remote-port <port>

Описание:
Задает внешний порт однорангового узла сети, который будет ожидать входящие соединения.

Синтаксис:

  • set interfaces openvpn <interface> remote-port <port>

  • delete interfaces openvpn <interface> remote-port <port>

  • show interfaces openvpn <interface> remote-port

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <port> — внешний порт.

Режим: «Конфигурирование».

interfaces openvpn <interface> replace-default-route local enable

Описание:
Заменяет маршрут по умолчанию маршрутом, созданным на интерфейсе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> remote-default-route local enable

  • delete interfaces openvpn <interface> remote-default-route local enable

  • show interfaces openvpn <interface> remote-default-route local

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> server client <name>

Описание:
Указывает серверу имя-идентификатор сертификата клиента, которому будет разрешено подключение к интерфейсу OpenVPN на туннеле.

Синтаксис:

  • set interfaces openvpn <interface> server client <name>

  • delete interfaces openvpn <interface> server client <name>

  • show interfaces openvpn <interface> server client

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <name> — имя-идентификатор сертификата.

Режим: «Конфигурирование».

interfaces openvpn <interface> server client-ip-pool [<disable> | <start> | <stop> | <subnet-mask>]

Описание:
Указывает пул IPv4-адресов, которые сервер назначит клиенту на туннеле OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> server client-ip-pool [<disable> | <start> | <stop> | <subnet-mask>]

  • delete interfaces openvpn <interface> server client-ip-pool [<disable> | <start> | <stop> | <subnet-mask>]

  • show interfaces openvpn <interface> server client-ip-pool

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <disable> — отлючает назначение IP-адресов;

  • <start> — первый IP-адрес в пуле;

  • <stop> — последний IP-адрес в пуле;

  • <subnet-mask> — маска подсети. Не работает в режиме моста;

Режим: «Конфигурирование».

interfaces openvpn <interface> server client-ipv6-pool [<base> | <disable>]

Описание:
Указывает диапазон IPv6-адресов, которые сервер назначит клиенту на туннеле OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> server client-ipv6-pool [<base> | <disable>]

  • delete interfaces openvpn <interface> server client-ipv6-pool [<base> | <disable>]

  • show interfaces openvpn <interface> server client-ipv6-pool

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <base> — префикс подсети. Формат: CIDR;

  • <disable> — отключает назначение IPv6-адресов;

Режим: «Конфигурирование».

interfaces openvpn <interface> server domain-name <text>

Описание:
Указывает доменное имя, которое сервер будет использовать для разрешения DNS-запросов от клиентов на туннеле OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> server domain-name <text>

  • delete interfaces openvpn <interface> server domain-name <text>

  • show interfaces openvpn <interface> server domain-name

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <text> — доменное имя.

Режим: «Конфигурирование».

interfaces openvpn <interface> server max-connections <1-4096>

Описание:
Ограничивает серверу максимальное количество клиентских соединений.

Синтаксис:

  • set interfaces openvpn <interface> server max-connections <1-4096>

  • delete interfaces openvpn <interface> server max-connections <1-4096>

  • show interfaces openvpn <interface> server max-connections

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <1-4096> — максимальное количество клиентских соединений. Диапазон значений: от 1 до 4096.

Режим: «Конфигурирование».

interfaces openvpn <interface> server mfa totp [<challenge> | <digits> | <drift> | <slop> | <step>]

Описание:
Устанавливает для сервера на интерфейсе OpenVPN многофакторную аутентификацию по одноразовым паролям на основе времени (TOTP).

Синтаксис:

  • set interfaces openvpn <interface> server mfa totp [<challenge> | <digits> | <drift> | <slop> | <step>]

  • delete interfaces openvpn <interface> server mfa totp [<challenge> | <digits> | <drift> | <slop> | <step>]

  • show interfaces openvpn <interface> server mfa totp

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <challenge> — способ аутентификации «вызов-ответ». Введите после аргумента значение enable, чтобы включить способ аутентификации и значение disable, чтобы выключить. Значение по умолчанию: enable;

  • <digits> — количество цифр в пароле для генерации хеша. Значение по умолчанию: 6;

  • <drift> — отклонение во времени. Формат: секунды. Значение по умолчанию: 0;

  • <slop> — допуск по рассинхронизации. Формат: секунды. Значение по умолчанию: 180;

  • <step> — временной интервал, в течение которого OTP-пароль остается действительным. Формат: секунды. Значение по умолчанию: 30.

Режим: «Конфигурирование».

interfaces openvpn <interface> server name-server <address>

Описание:
Назначает серверу на интерфейсе OpenVPN адрес DNS-сервера, куда клиенты будут направлять свои запросы.

Синтаксис:

  • set interfaces openvpn <interface> server name-server <address>

  • delete interfaces openvpn <interface> server name-server <address>

  • show interfaces openvpn <interface> server name-server

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — адрес DNS-сервера, куда клиенты будут направлять свои запросы. Формат: IPv4 или IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> server push-route <address>

Описание:
Указывает серверу на интерфейсе OpenVPN отправить конфигурацию маршрута для доступа к адресу или диапазону адресов всем клиентам, подключенным к VPN-туннелю.

Синтаксис:

  • set interfaces openvpn <interface> server push-route <address>

  • delete interfaces openvpn <interface> server push-route <address>

  • show interfaces openvpn <interface> server push-route

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — адрес или диапазон адресов, к которым клиенты получат доступ. Формат: IPv4 или IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> server reject-unconfigured-clients

Описание:
Указывает серверу на интерфейсе OpenVPN не пускать в сеть клиентов без заданной конфигурации.

Синтаксис:

  • set interfaces openvpn <interface> server reject-unconfigured-clients

  • delete interfaces openvpn <interface> server reject-unconfigured-clients

  • show interfaces openvpn <interface> server

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> server subnet <address>

Описание:
Задает диапазон IPv4- или IPv6-адресов, которые сервер на интерфейсе OpenVPN будет назначать подключающимся клиентам.

Синтаксис:

  • set interfaces openvpn <interface> server subnet <address>

  • delete interfaces openvpn <interface> server subnet <address>

  • show interfaces openvpn <interface> server subnet

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <address> — диапазон адресов, которые сервер будет назначать подключающимся клиентам. Формат: IPv4 и IPv6.

Режим: «Конфигурирование».

interfaces openvpn <interface> server topology [<net30> | <point-to-point> | <subnet>]

Описание:
Указывает серверу на интерфейсе OpenVPN назначать клиентам IP-адреса в соответствии с выбранной топологией.

Синтаксис:

  • set interfaces openvpn <interface> server topology [<net30> | <point-to-point> | <subnet>]

  • delete interfaces openvpn <interface> server topology [<net30> | <point-to-point> | <subnet>]

  • show interfaces openvpn <interface> server topology

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <net30> — IP-адреса будут назначены из блока в 30 адресов;

  • <point-to-point> — IP-адрес будет назначен индивидуально каждому клиенту;

  • <subnet> — IP-адреса будут назначены из блока всей подсети.

Режим: «Конфигурирование».

interfaces openvpn <interface> shared-secret-key <key>

Описание:
Ассоциирует общий секретный ключ (PSK) с выбранным интерфейсом OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> shared-secret-key <key>

  • delete interfaces openvpn <interface> shared-secret-key <key>

  • show interfaces openvpn <interface> shared-secret-key

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <key> — общий секретный ключ (PSK).

Режим: «Конфигурирование».

interfaces openvpn <interface> tls auth-key <key>

Описание:
Ассоциирует общий секретный ключ с выбранным интерфейсом OpenVPN и использует его для проверки служебных сообщений на целостность (HMAC) при TLS-рукопожатии.

Синтаксис:

  • set interfaces openvpn <interface> tls auth-key <key>

  • delete interfaces openvpn <interface> tls auth-key <key>

  • show interfaces openvpn <interface> tls auth-key

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <key> — общий секретный ключ (PSK).

Режим: «Конфигурирование».

interfaces openvpn <interface> tls ca-certificate <name>

Описание:
Ассоциирует именной корневой сертификат с выбранным интерфейсом OpenVPN. Интерфейс будет сверять сертификаты других участников соединения с этим сертификатом во время сеанса TLS-рукопожатия, чтобы удостовериться, что все одноранговые узлы являются теми, за кого они себя выдают.

Синтаксис:

  • set interfaces openvpn <interface> tls ca-certificate <name>

  • delete interfaces openvpn <interface> tls ca-certificate <name>

  • show interfaces openvpn <interface> tls ca-certificate

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <name> — имя сертификата согласно стандарту pki x.509.

Режим: «Конфигурирование».

interfaces openvpn <interface> tls certificate <name>

Описание:
Ассоциирует именной сертификат с выбранным интерфейсом OpenVPN. Интерфейс будет использовать этот сертификат во время сеанса TLS-рукопожатия.

Синтаксис:

  • set interfaces openvpn <interface> tls certificate <name>

  • delete interfaces openvpn <interface> tls certificate <name>

  • show interfaces openvpn <interface> tls certificate

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <name> — имя сертификата согласно стандарту pki x.509.

Режим: «Конфигурирование».

interfaces openvpn <interface> tls crypt-key <key>

Описание:
Ассоциирует общий секретный ключ (PSK) с выбранным интерфейсом OpenVPN для шифрования сеанса TLS-рукопожатия.

Синтаксис:

  • set interfaces openvpn <interface> tls crypt-key <key>

  • delete interfaces openvpn <interface> tls crypt-key <key>

  • show interfaces openvpn <interface> tls crypt-key

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <key> — общий секретный ключ (PSK).

Режим: «Конфигурирование».

interfaces openvpn <interface> tls dh-params <params>

Описание:
Указывает интерфейсу OpenVPN использовать значения Diffie-Hellman из выбранного файла для создания pre-master secret и безопасного установления TLS-соединения. Значения включают в себя простое число, число-генератор и записываются в файл командой generate pki dh install <name>.

Синтаксис:

  • set interfaces openvpn <interface> tls dh-params <params>

  • delete interfaces openvpn <interface> tls dh-params <params>

  • show interfaces openvpn <interface> tls dh-params

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <params> — значения Diffie-Hellman.

Режим: «Конфигурирование».

interfaces openvpn <interface> tls peer-fingerprint <fingerprint>

Описание:
Ассоциирует отпечаток сертификата однорангового узла сети с выбранным интерфейсом OpenVPN. Предварительно необходимо сгенерировать сертификат на удаленном узле.

Синтаксис:

  • set interfaces openvpn <interface> tls peer-fingerprint <fingerprint>

  • delete interfaces openvpn <interface> tls peer-fingerprint <fingerprint>

  • show interfaces openvpn <interface> tls peer-fingerprint

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <fingerprint> — отпечаток сертификата однорангового узла сети. Формат: SHA256.

Режим: «Конфигурирование».

interfaces openvpn <interface> tls role [<active> | <passive>]

Описание:
Задает на интерфейсе OpenVPN порядок установления TLS-рукопожатия.

Синтаксис:

  • set interfaces openvpn <interface> tls role [<active> | <passive>]

  • delete interfaces openvpn <interface> tls role [<active> | <passive>]

  • show interfaces openvpn <interface> tls role

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <active> — интерфейс первым откроет сеанс TLS-рукопожатия;

  • <passive> — интерфейс будет ждать, пока другой участник соединения откроет сеанс TLS-рукопожатия.

Совет

Если интерфейс выступает в роли сервера, установите режим <passive>, если в роли клиента — <active>.

Режим: «Конфигурирование».

interfaces openvpn <interface> tls rls-version-min [<1.0> | <1.1> | <1.2> | <1.3>]

Описание:
Указывает минимально допустимую версию протокола TLS, которую будет использовать интерфейс OpenVPN. Если одноранговый узел будет использовать версию ниже указанной, TLS-соединение не будет установлено.

Синтаксис:

  • set interfaces openvpn <interface> tls rls-version-min [<1.0> | <1.1> | <1.2> | <1.3>]

  • delete interfaces openvpn <interface> tls rls-version-min [<1.0> | <1.1> | <1.2> | <1.3>]

  • show interfaces openvpn <interface> tls rls-version-min

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <1.0> — протокол TLS версии 1.0;

  • <1.1> — протокол TLS версии 1.1;

  • <1.2> — протокол TLS версии 1.2;

  • <1.3> — протокол TLS версии 1.3.

Режим: «Конфигурирование».

interfaces openvpn <interface> use-lzo-compression

Описание:
Включает алгоритм сжатия LZO на интерфесе OpenVPN.

Синтаксис:

  • set interfaces openvpn <interface> use-lzo-compression

  • delete interfaces openvpn <interface> use-lzo-compression

  • show interfaces openvpn <interface>

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Конфигурирование».

interfaces openvpn <interface> vrf <vrf>

Описание:
Размещает интерфейс OpenVPN на указанном VRF-экземпляре.

Синтаксис:

  • set interfaces openvpn <interface> vrf <vrf>

  • delete interfaces openvpn <interface> vrf <vrf>

  • show interfaces openvpn <interface> vrf

Аргументы:

  • <interface> — имя интерфейса OpenVPN;

  • <vrf> — имя VRF-экземпляра.

Режим: «Конфигурирование».

Режим «Администрирование»


show openvpn [<client> | <server> | <site-to-site>]

Описание:
Отображает статус интерфейса OpenVPN в различных режимах работы.

Синтаксис:

  • show openvpn [<client> | <server> | <site-to-site>]

Аргументы:

  • <client> — режим клиента;

  • <server> — режим сервера;

  • <site-to-site> — режим «точка-точка».

Режим: «Администрирование».

Уровень привилегий: «Администратор».

interfaces openvpn detail

Описание:
Отображает подробную информацию о всех интерфейсах OpenVPN.

Синтаксис:

show interfaces openvpn detail

Режим: «Администрирование».

Уровень привилегий: «Администратор».

interfaces openvpn <interface> brief

Описание:
Отображает краткую информацию о выбранном интерфейсе OpenVPN.

Синтаксис:

show interfaces openvpn <interface> brief

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

interfaces openvpn <interface> user

Описание:
Отображает информацию о подключенных пользователях и клиентах на выбранном интерфейсе OpenVPN.

Синтаксис:

show interfaces openvpn <interface> user

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

reset openvpn client <name>

Описание:
Перезапускает режим клиента на интерфейсе OpenVPN.

Синтаксис:

  • reset openvpn client <name>

Аргументы:

  • <name> — имя клиента на интерфейсе OpenVPN.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

reset openvpn interface <interface>

Описание:
Перезапускает интерфейс OpenVPN.

Синтаксис:

  • reset openvpn interface <interface>

Аргументы:

  • <interface> — имя интерфейса OpenVPN.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki ca [<file> | <install> | <sign>]

Описание:
Генерирует корневой сертификат и предлагает несколько действий: сохранить в файл, установить в текущую конфигурацию, подписать сертификатом от другого центра сертификации.

Синтаксис:

generate pki ca [<file> | <install> | <sign>]

Аргументы:

  • <file> — сохраняет корневой сертификат в файл;

  • <install> — устанавливает корневой сертификат в текущую конфигурацию;

  • <sign> — подписывает корневой сертификат сертификатом от другого центра сертификации.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki certificate [<file> | <install> | <self-signed> | <sign>]

Описание:
Генерирует конечный сертификат и предлагает несколько действий: сохранить в файл, установить в текущую конфигурацию, самостоятельно подписать, подписать сертификатом от другого центра сертификации.

Синтаксис:

generate pki certificate [<file> | <install> | <self-signed> | <sign>]

Аргументы:

  • <file> — сохраняет конечный сертификат в файл;

  • <install> — устанавливает конечный сертификат в текущую конфигурацию;

  • <self-signed> — самостоятельно подписывает конечный сертификат;

  • <sign> — подписывает сертификатом от другого центра сертификации.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki crl

Описание:
Генерирует или обновляет уже созданный список сертификатов на интерфейсе OpenVPN.

Синтаксис:

generate pki crl

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki dh [<install> | <file>]

Описание:
Генерирует значения алгоритма Diffie-Hellman для создания pre-master secret и безопасного установления TLS-соединения. Значения включают в себя простое число, число-генератор. Предлагает сохранить сгенерированные значения в текущую конфигурацию PKI или в отдельный файл.

Синтаксис:

generate pki dh [<install> | <file>]

Аргументы:

  • <install> — сохраняет сгенерированные значения DH в текущую конфигурацию;

  • <file> — сохраняет сгенерированные значения DH в файл.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki key-pair <filename>

Описание:
Генерирует пару из открытого и закрытого ключей, сохраняет их в файл. Сгенерированные ключи не будут привязаны к какому-либо интерфейсу.

Синтаксис:

generate pki key-pair file <filename>

Аргументы:

  • <filename> — имя файла, в который будет сохранена пара ключей.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

generate pki openvpn shared-secret

Описание:
Генерирует общий секретный ключ (PSK) в формате OpenVPN.

Синтаксис:

generate pki openvpn shared-secret

Режим: «Администрирование».

Уровень привилегий: «Администратор».