======OpenVPN======

**OpenVPN** — свободная реализация технологии VPN с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

{{::ics-openvpn-scheme.png|Туннель OpenVPN}}

В ИКС за работу OpenVPN отвечают два объекта - туннель OpenVPN и OpenVPN-сеть. 

=====Туннель OpenVPN=====

**Туннель OpenVPN** создается в том случае, если ИКС будет являться **клиентом** для другого OpenVPN-сервера, либо работать в режиме сервера для единственного клиента (соединение между двумя ИКС).

{{::ics-int-openvpn.png|Туннель OpenVPN}}

Система туннелей OpenVPN построена таким образом, что одна из машин выбирается сервером, а все остальные - клиентами. На сервере прописывается адресация пространства внутри openVPN-сети (рекомендуется оставить значение по умолчанию) и размещаются [[сертификаты|SSL-сертификаты]] (корневой и дочерние к нему конечные по шаблонам "VPN-клиент" и "VPN-сервер", а на клиентах указывается внешний ip-адрес сервера. Также, указывается порт обмена данными, что позволяет подключаться к серверу, который находится за межсетевым экраном или NAT, при помощи [[перенаправление портов|перенаправления портов]].

Для настройки OpenVPN-туннеля между двумя ИКС необходимо выполнить следующие действия:
  - Добавить новый туннель OpenVPN
  - Указать адресацию внутренней  сети для маршрутизации между клиентами
  - Создать и добавить сертификаты защищенного соединения
  - Добавить в межсетевой экран необходимые разрешающие правила.

После чего все действия необходимо произвести на всех клиентах с указанием режима работы “клиент”.

Чтобы прописать необходимые сертификаты от сервера клиентам, сделайте следующее:

{{::ics-int-openvpn-save.png|Сохранение сертификата}}

1. На сервере выделите созданный OpenVPN-туннель и нажмите кнопку "Скачать клиентские сертификаты". Сохраните полученный архив.

{{::ics-int-openvpn-load.png|Загрузка сертификата}}

2. На каждом из клиентов выделите созданный OpenVPN-туннель и нажмите кнопку "Загрузить клиентские сертификаты". Укажите ресурс, где хранится скачанный архив и загрузите его.

=====OpenVPN-сеть=====

**OpenVPN-сеть** создается для множественных клиентских подключений к ИКС.

{{ics-opevpnnet1.png}}

Создание сети практически идентично настройке туннеля ИКС в режиме сервера. Точно так же в ней указывается сеть туннеля, методы шифрования и сертификаты (корневой и конечный по шаблону "VPN-сервер"). Сами сертификаты создаются полностью аналогично, как и для туннеля.

{{ics-opevpnnet2.png}}

Затем в модуле VPN - Пользователи отмечаются флажками те пользователи, которые могут подключаться к ИКС аналогично VPN-сети.

После того как сеть добавлена и пользователи указаны, нужно нажать кнопку "Выгрузить сертификаты". Скачается архив, который содержит конфигурационные файлы и сертификаты для каждого разрешенного пользователя ИКС.

**Важно: после того, как в модуле Провайдеры и сети" создана первая OpenVPN-сеть, туннели OpenVPN (создаваемые или уже существующие) не будут работать в режиме "сервер".**