OpenVPN – это набор open source программ, который заслуженно является одним из самых популярных и легких решений для реализации защищенной VPN сети. OpenVPN позволяет объединить в единую сеть сервер и клиентов (даже находящиеся за NAT или файерволами), или объединить сети удаленных офисов. Серверную часть OpenVPN можно развернуть практически на всех доступных операционных системах (пример настройки OpenVPN на Linux). Вы можете установить OpenVPN сервер даже на обычный компьютер с десктопной редакцией Windows 10.
В этой статье, мы покажем, как установить OpenVPN сервер на компьютер с Windows 10, настроить OpenVPN клиент на другом Windows хосте и установить защищенное VPN подключение.
Установка службы OpenVPN сервера в Windows
Скачайте MSI установщик OpenVPN для вашей версии Windows с официального сайта (https://openvpn.net/community-downloads/). В нашем случае это OpenVPN-2.5.5-I602-amd64.msi (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.5-I602-amd64.msi).
Запустите установку.
Если вы планируете, OpenVPN сервер работал в автоматическом режиме, можно не устанавливать OpenVPN GUI. Обязательно установите OpenVPN Services.
Начиная с версии OpenVPN 2.5, поддерживается драйвер WinTun от разработчиков WireGuard. Считается, что этот драйвер работает быстрее чем классический OpenVPN драйвер TAP. Установите драйвер Wintun, откажитесь от установки TAP-Windows6.
Установите OpenSSL утилиту EasyRSA Certificate Management Scripts.
Запустите установку.
После окончания установки появится новый сетевой адаптер типа Wintun Userspace Tunnel. Этот адаптер отключен, если служба OpenVPN не запущена.
Создаем ключи шифрования и сертификаты для OpenVPN
OpenVPN основан на шифровании OpenSSL. Это означает, что для обмена трафиком между клиентом и серверов VPN нужно сгенерировать ключи и сертификаты с использованием RSA3.
Откройте командную строку и перейдите в каталог easy-rsa:
cd C:\Program Files\OpenVPN\easy-rsa
Создайте копию файла:
copy vars.example vars
Откройте файл vars с помощью любого текстового редактора. Проверьте пути к рабочим директориям.
Обязательно поправьте переменную EASYRSA_TEMP_DIR следующим образом:
set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI/temp"
Можете заполнить поля для сертификатов (опционально)
set_var EASYRSA_REQ_COUNTRY "RU" set_var EASYRSA_REQ_PROVINCE "MSK" set_var EASYRSA_REQ_CITY "MSK" set_var EASYRSA_REQ_ORG "IT-Company" set_var EASYRSA_REQ_EMAIL " admin@server.vpn.ru " set_var EASYRSA_REQ_OU " IT department "
Срок действия сертификатов задается с помощью:
#set_var EASYRSA_CA_EXPIRE 3650 #set_var EASYRSA_CERT_EXPIRE 825
Сохраните файл и выполните команду:
EasyRSA-Start.bat
Следующие команды выполняются в среде EasyRSA Shell:
Инициализация PKI:
./easyrsa init-pki
Должна появится надпись:
init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: C:/Program Files/OpenVPN/easy-rsa/pki
Теперь нужно сгенерировать корневой CA:
./easyrsa build-ca
Задайте дважды пароль для CA:
CA creation complete and you may now import and sign cert requests.
Данная команда сформировала:
- Корневой сертификат центра сертификации: «C:\Program Files\OpenVPN\easy-rsa\pki\ca.crt»
- Ключ центра сертификации «C:\Program Files\OpenVPN\easy-rsa\pki\private\ca.key»
Теперь нужно сгенерировать запрос сертификата и ключ для вашего сервера OpenVPN:
./easyrsa gen-req server nopass
Утилита сгенерирует два файла:
req: C:/Program Files/OpenVPN/easy-rsa/pki/reqs/server.req key: C:/Program Files/OpenVPN/easy-rsa/pki/private/server.key
Подпишем запрос на выпуск сертификата сервера с помощью нашего CA:
./easyrsa sign-req server server
Подтвердите правильность данных, набрав yes.
Затем введите пароль CA от корневого CA.
В каталоге issued появится сертификат сервера («C:\Program Files\OpenVPN\easy-rsa\pki\issued\server.crt»)
Теперь можно создать ключи Диффи-Хеллмана (займет длительное время):
./easyrsa gen-dh
Для дополнительной защиты VPN сервера желательно включить tls-auth. Данная технология позволяет использовать подписи HMAC к handshake-пакетам SSL/TLS, инициируя дополнительную проверку целостности. Пакеты без такой подписи будут отбрасываться VPN сервером. Это защитит вас от сканирования порта VPN сервера, DoS атак, переполнения буфера SSL/TLS.
Сгенерируйте ключ tls-auth:
cd C:\Program Files\OpenVPN\bin
openvpn --genkey secret ta.key
Должен появиться файл «C:\Program Files\OpenVPN\bin\ta.key». Переместите его в каталог C:\Program Files\OpenVPN\easy-rsa\pki
Теперь можно сформировать ключи для клиентов OpenVPN. Для каждого клиента, который будет подключаться к вашему серверу нужно создать собственные ключи.
Есть несколько способов генерации ключей и передачи их клиентам. В следующем примере, мы создадим на сервере ключ клиента и защитим его паролем:
./easyrsa gen-req kbuldogov
./easyrsa sign-req client kbuldogov
Данный ключ («C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov.key») нужно передать клиенту и сообщить пароль. Клиент может снять защиту паролем для ключа:
openssl rsa -in "C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov.key"-out "C:\Program Files\OpenVPN\easy-rsa\pki\private\kbuldogov_use.key"
Если вы хотите сгенерировать ключ, не защищенный паролем, нужно выполнить команду:
./easyrsa gen-req имяклиента nopass
На сервере с OpenVPN вы можете создать неограниченное количество ключей и сертификатов для пользователей. Аналогичным образом сформируйте ключи и сертфикаты для других клиентов.
Вы можете отохвать скомпрометированные сертификаты клиентов:
cd C:\Program Files\OpenVPN\easy-rsa
EasyRSA-Start.bat
./easyrsa revoke kbuldogov
Итак, мы сгенерировали набор ключей и сертификатов для OpenVPN сервера. Теперь можно настроить и запустить службу OpenVPN.
Конфигурационный файл OpenVPN сервера в Windows
Скопируйте типовой конфигурационный файл OpenVPN сервера:
copy "C:\Program Files\OpenVPN\sample-config\server.ovpn" "C:\Program Files\OpenVPN\config-auto\server.ovpn"
Откройте файл server.ovpn в любом текстовом редакторе и внесите свои настройки. Я использую следующий конфиг для OpenVPN:
# Указываем порт, протокол и устройство port 1194 proto udp dev tun # Указываем пути к сертификатам сервера ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server.key" dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem" # Указываем настройки IP сети, адреса из которой будет будут получать VPN клиенты server 10.24.1.0 255.255.255.0 #если нужно разрешить клиентам подключаться под одним ключом, нужвно включить опцию duplicate-cn (не рекомендуется) #duplicate-cn # TLS защита tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ta.key" 0 cipher AES-256-GCM # Другая параметры keepalive 20 60 persist-key persist-tun status "C:\\Program Files\\OpenVPN\\log\\status.log" log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" verb 3 mute 20 windows-driver wintun
Сохраните файл.
Не забудьте открыть на файерволе порты для указанного вами порта OpenVPN на клиенте и на сервере. Можно открыть порты в Windows Defender с помощью PowerShell.
Правило для сервера:
New-NetFirewallRule -DisplayName "AllowOpenVPN-In" -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow
Правило для клиента:
New-NetFirewallRule -DisplayName "AllowOpenVPN-Out" -Direction Outbound -Protocol UDP –LocalPort 1194 -Action Allow
Теперь нужно запустить службу OpenVPN и изменить тип ее запуска на автоматический. Воспользуйтесь таким командами PowerShell, чтобы включить службу:
Set-Service OpenVPNService –startuptype automatic –passthru
Get-Service OpenVPNService| Start-Service
Откройте панель управления, и убедитесь, что виртуальный сетевой адаптер OpenVPN Wintun теперь активен. Если нет, смотрите лог «C:\Program Files\OpenVPN\log\server.log»
Options error: In C:\Program Files\OpenVPN\config-auto\server.ovpn:1: Maximum option line length (256) exceeded, line starts with..
Смените в файле server.ovpn символы переноса строки на Windows CRLF (в notepad++ нужно выбрать Edit -> EOL Conversion -> Windows CR LF). Сохраните файл, перезапустите службу OpevVPNService.
Данный конфиг позволит удаленным клиентам получить доступ только к серверу, но другие компьютеры и сервисы в локальной сети сервера для них недоступны. Чтобы разрешить клиентам OpenVPN получить доступ к внутренней сети нужно:
Включить опцию IPEnableRouter в реестре (включает IP маршрутизацию в Windows, в том числе включает маршрутизацию меду сетями Hyper-V): reg add «HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters» /v IPEnableRouter /t REG_DWORD /d 1 /f
Добавьте в конфгурационный файл сервера OpenVPN маршруты до внутренней IP сети:
push "route 10.24.1.0 255.255.255.0" push "route 192.168.100.0 255.255.255.0"
Если нужно, назначьте клиенту адреса DNS серверов:
push "dhcp-option DNS 192.168.100.11" push "dhcp-option DNS 192.168.100.12"
Если нужно завернуть все запросы клиента (в том числе Интернет трафик) на ваш OpenVPN сервер, добавьте опцию:
push "redirect-gateway def1"
Настройка OpenVPN клиента в Windows
Создайте на сервере шаблонный конфигурационный файла для клиента VPN (на базе iшаблона client.ovpn) со следующими параметрами (имя файла kbuldovov.ovpn)
client dev tun proto udp remote your_vpn_server_address 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert kbuldogov.crt key kbuldogov.key remote-cert-tls server tls-auth ta.key 1 cipher AES-256-GCM connect-retry-max 25 verb 3
Скачайте и установите клиент OpenVPN Connect для Windows (https://openvpn.net/downloads/openvpn-connect-v3-windows.msi).
Теперь на компьютер с клиентом OpenVPN нужно с сервера скопировать файлы:
- ca.crt
- kbuldogov.crt
- kbuldogov.key
- dh.pem
- ta.key
- kbuldogov.ovpn
Теперь импортируйте файл с профилем *.ovpn и попробуйте подключиться к вашему VPN серверу.
Если все настроено правильно, появится такая картинка.
Проверьте теперь лог OpenVPN на клиенте «C:\Program Files\OpenVPN Connect\agent.log»
Mon Dec 27 08:09:30 2021 proxy_auto_config_url Mon Dec 27 08:09:31 2021 TUN SETUP TAP ADAPTERS: guid='{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}' index=22 name='Local Area Connection' Open TAP device "Local Area Connection" PATH="\\.\Global\{25EE4A55-BE90-45A0-88A1-8FA8FEF24C42}.tap" SUCCEEDED TAP-Windows Driver Version 9.24 ActionDeleteAllRoutesOnInterface iface_index=22 netsh interface ip set interface 22 metric=1 Ok. netsh interface ip set address 22 static 10.24.1.6 255.255.255.252 gateway=10.24.1.5 store=active IPHelper: add route 10.24.1.1/32 22 10.24.1.5 metric=-1
Клиент успешно подключится к OpenVPN серверу и получил IP адрес 10.24.1.6.
Проверьте теперь лог на сервере («C:\Program Files\OpenVPN\log\openvpn.log»). Здесь также видно, что клиент с сертификатом kbuldogov успешно подключится к вашему серверу.
2021-12-27 08:09:35 192.168.13.202:55648 [kbuldogov] Peer Connection Initiated with [AF_INET6]::ffff:192.168.13.202:55648 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI_sva: pool returned IPv4=10.24.1.6, IPv6=(Not enabled) 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: Learn: 10.24.1.6 -> kbuldogov/192.168.13.202:55648 2021-12-27 08:09:35 kbuldogov/192.168.13.202:55648 MULTI: primary virtual IP for kbuldogov/192.168.13.202:55648: 10.24.1.6
Правило для клиента:
New-NetFirewallRule -DisplayName «AllowOpenVPN-Out» -Direction Inbound -Protocol UDP –LocalPort 1194 -Action Allow
Вот спасибо.
Так-то, конечно умею, но step-by-step инструкция, да еще и «за так».
Спасибо.
Интересная статья, спасибо.
Жаль конечно, что проверить ни где не могу.
Так как нет хост-сервера на винде за бугром для данной проверки.
А за них как известно нужно платить…
Было бы здорово, если бы поделились данными серверами или хотя бы подсказали как их найти,
желательно бесплатные 🙂
Поставил неск лет назад OpenVPN.
Настроил. Забыл.
Дай думаю обновлю.
Обновил.
Всё упало и перестало работать.
Вернул старую версию.
Полез смотреть лог изменений. А там миллион изменений: какие-то флаги\опции отменили, много всего.
Слишком пришлось бы переписывать конфиг и снова тестировать конфигурацию. А нужно было сразу вернуть сервис в строй.
здорова приятель. я живу в регионе где многие сайты и приложения под запретом если не трудно по братски у тебя есть бесплатная версия или прокси для опен впн скинь на почту пожалуйста и заранее спасибо , всех благ))
добрый день!
аналогично)) сначала я генерировал серты через 2.4.3 версию, все работало, пока моб.телефоны не перестали подключаться. Вышло обновление SSL
ок, обновил до 2.4.8 версии, пока все работает, моб.клиенты в том числе.
Решил поковырять на досуге новую версию 2.5.5, в корне все изменилось, даже генерация сертификатов теперь совершенно другая процедура
Народ, подскажите плиз, небольшая проблема, по вашей инструкции настраивал OpenVPN, все здорово работает, спасибо Вам, но столкнулся с задачей отозвать сертификат, и как то не получается это сделать из мануалов в инете для windows, OpenVPN 2.5.4…если быть точным согласно инструкциям мне необходимо cd C:\Program Files\OpenVPN\easy-rsa и там запусттить vars, но запуска не происходит.Вы не сталкивались?
Чтобы отозвать сертфикат мне пришлось добавить в файл vars строку:
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
Для отзыва сертификата нужно запустить RSA-Start.bat и выполнить команду:
./easyrsa revoke ZavalenaElena
Появится запрос на подтверждение отзыва сертфиката, пишите yes. Затем указываете пароль от CA.
Появится предупреждение:
Revocation was successful. You must run gen-crl and upload a CRL to your
infrastructure in order to prevent the revoked cert from being accepted.
Выполните команду:
./easyrsa gen-crl
Будет создан файл:
An updated CRL has been created.
CRL file: C:/Program Files/OpenVPN/easy-rsa/pki/crl.pem
Нужно добавить его в конфиг файл:
crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\crl.pem"
В текстовом файле «C:\Program Files\OpenVPN\easy-rsa\pki\index.txt» будет список всех сертфикатов
Действующие сертификаты имеют статус V в начале строки, отозванные — R.
Выручайте.Все сделал по инструкции.Не запускается сервер, прилагаю log
2022-01-28 18:29:31 WARNING: —topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to —topology subnet as soon as possible.
2022-01-28 18:29:31 —pull-filter ignored for —mode server
2022-01-28 18:29:31 OpenVPN 2.5.5 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 15 2021
2022-01-28 18:29:31 Windows version 10.0 (Windows 10 or greater) 64bit
2022-01-28 18:29:31 library versions: OpenSSL 1.1.1l 24 Aug 2021, LZO 2.10
2022-01-28 18:29:31 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2022-01-28 18:29:31 Need hold release from management interface, waiting…
2022-01-28 18:29:31 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2022-01-28 18:29:31 MANAGEMENT: CMD ‘state on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘log all on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘echo all on’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘bytecount 5’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘hold off’
2022-01-28 18:29:31 MANAGEMENT: CMD ‘hold release’
2022-01-28 18:29:31 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
2022-01-28 18:29:31 Note: cannot open C:\Program Files\OpenVPN\log\status.log for WRITE
2022-01-28 18:29:31 Diffie-Hellman initialized with 2048 bit key
2022-01-28 18:29:31 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-01-28 18:29:31 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2022-01-28 18:29:31 interactive service msg_channel=580
2022-01-28 18:29:31 open_tun
2022-01-28 18:29:31 Register ring buffers failed using service: Попытка выполнить операцию инициализации, которая уже проведена. [status=0x4df]
2022-01-28 18:29:31 Failed to register {A46C18F7-D35B-42E7-8738-83F7ECB6B2A5} adapter ring buffers
2022-01-28 18:29:31 MANAGEMENT: Client disconnected
2022-01-28 18:29:31 All wintun adapters on this system are currently in use or disabled.
2022-01-28 18:29:31 Exiting due to fatal error
Службу запускаете от SYSTEM или обычного пользователя?
Сетевой адаптер Openvpn WinTun в системе появился?
Какая версия Windows?
Спасибо, нашел решение на англ форуме, не нужно запускать службу OpenVPN в автоматический режим. Нужно ставить вручную, и тогда все ОК!
Спасибо помогло
Так же, у меня выходила ошибка при генерации CA.crt
«Easy-RSA error:
Missing or invalid OpenSSL
Expected to find openssl command at: openssl»
Помогло следующее:
в файле vars раскомментировал и поменял путь к строчке:
set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»
Мне почему не помогло…
#set_var EASYRSA_OPENSSL «openssl»
#
# This sample is in Windows syntax — edit it for your path if not using PATH:
#set_var EASYRSA_OPENSSL «C:/Program Files/OpenVPN/bin/openssl.exe»
В конфиг файле vars указал такую переменную:
set_var EASYRSA_OPENSSL "C:/Program Files/OpenVPN/bin/openssl.exe"
Все заработало
У пользователя перестал запускаться OpenVPN Connect.exe от слова совсем (версия openvpn-connect-3.3.4.2600). При щелчке ничего не происходит.В журналах Windows пусто, в log файлах пусто.
Прововал все — переустановку клиента, очистку реестра, перезагрузки, безопасный режим — ничего не помогало, пока не попробовал очистить папку
%Temp%
Оставлю тут, может кому понадобится.
Приветствую . Уставил, папки easy-rsa в корне нету) Куда шагать?
В установщие включили галку «EasyRSA Certificate Management Scripts»?
Какая версия openvpn?
Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
Extra arguments given.
genrsa: Use -help for summary.
Easy-RSA error:
Failed create CA private key.
Зы : Не судите строго, оч хочу научиться…
Путь до директории easy-rsa должен быть без пробелов, к примеру директория
«C:\Program Files\OpenVPN\easy-rsa\» содержит пробелы(Program Files).
Скопируй директорию easy-rsa в другую директорию, что в пути до неё не было пробелов, например:
«C:\MyFiles\easy-rsa»
Как у всех работает если в пошаговой инструкции нет ни слова что неболжно быть пробелов в пути,прям подгорает,исправьте инструкцию два дня сижу не могук понять в чем проблема оказывается в дериктории не должно быть пробелов
Вот это добавляли в конфиг файл?
set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI/temp"
С этой опцией ошибка «Extra arguments given» не появляется. И переносить каталоги не нужно.
Можете дать ссылку на видеоурок
Заранее спасибо
а где собственно взять kbuldogov.crt?
вот тоже не понял
Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
usage: genrsa [args] [numbits]
-des encrypt the generated key with DES in cbc mode
-des3 encrypt the generated key with DES in ede cbc mode (168 bit key)
-idea encrypt the generated key with IDEA in cbc mode
-aes128, -aes192, -aes256
encrypt PEM output with cbc aes
-out file output the key to ‘file
-passout arg output file pass phrase source
-f4 use F4 (0x10001) for the E value
-3 use 3 for the E value
-engine e use engine e, possibly a hardware device.
-rand file;file;…
load the file (or the files in the directory) into
the random number generator
Easy-RSA error:
Failed create CA private key
Я разворачиваю сервис на виртуальный машинах подключенных к интернету через CSR 1000v, между выходом на сторону провайдера и виртуальным маршрутизатором есть ещё пара домашних маршрутизаторов, нужна ли какая-либо дополнительная настройка маршрутизаторов для работоспособности такой сети? Проброс портов на виртуальном роутере для выхода в сеть уже произвёл.
Нужно чтобы по пути от интернет-маршрутизатора ваш openvpn порт не блочился вашими железками.
Wed Mar 09 13:44:01 2022 UDP link local: (not bound)
Wed Mar 09 13:44:01 2022 UDP link remote: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:44:01 2022 MANAGEMENT: >STATE:1646811841,WAIT,,,,,,
Wed Mar 09 13:45:01 2022 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 09 13:45:01 2022 TLS Error: TLS handshake failed
Wed Mar 09 13:45:01 2022 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 09 13:45:01 2022 MANAGEMENT: >STATE:1646811901,RECONNECTING,tls-error,,,,,
Wed Mar 09 13:45:01 2022 Restart pause, 20 second(s)
Wed Mar 09 13:45:21 2022 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Mar 09 13:45:21 2022 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Wed Mar 09 13:45:21 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:45:21 2022 Socket Buffers: R=[245760->245760] S=[81920->81920]
Wed Mar 09 13:45:21 2022 UDP link local: (not bound)
Wed Mar 09 13:45:21 2022 UDP link remote: [AF_INET]192.168.100.131:1194
Wed Mar 09 13:45:21 2022 MANAGEMENT: >STATE:1646811921,WAIT,,,,,,
не конектится клиент «состояние подключение…(желтый)»
Мать моя женщина!
Почему так все сложно?
Проверил в локальной сети , все прекрасно работает как на стороне сервера так и клиента. (с не большими ошибками) .
По интернету все так же проблема, пробросил порты в модемах Хуавей HG8245H на обеих сторонах. Но результатов не дало, либо не правильно пробросил, либо провайдер или еще какие то подводные камни
А откуда появился kbuldogov.crt ?
./easyrsa gen-req имяклиента nopass
Создаётся файл kbuldogov.req – файл, хранящий запрос о сертификате, а также файл kbuldogov.key – хранящий клиентский ключ.
Следующим шагом будет создание и подпись клиентского сертификата. Для этого введите в консоль команду:
./easyrsa sign-req client client1
client1=kbuldogov