Вот Вам небольшая инструкция, как раз для Вашего случая. Впринципе, использовались материалы по вышеприведённой ссылке, но, так возможно, будет проще.
За форматирование прошу прощения, нет времени.

#######

Для корректной компиляции и работы программы понадобится библиотека lzo. Также необходима поддержка устройств /dev/tun или /dev/tap на уровне ядра.

Перед настройкой OpenVPN желательно вдумчиво ознакомиться с документацией. Можно воспользоваться достаточно обширным описанием в соответствующем файле руководств:
$ man openvpn

При помощи OpenVPN можно реализовать различные механизмы работы между компьютерами и сетями. В данном проекте речь пойдёт о настройке программы в режиме работы сервера, то есть, когда к одному серверу будет подключаться несколько клиентов.Также программа может работать в режиме ”Point–to–point”. Такая реализация предполагает собой, что на каждого клиента или клиентскую сеть потребуется отдельный конфигурационный файл. В текущем проекте такой механизм работы не представляется интересным.

В режиме сервера необходимо пользоваться устройствами tap, которые эмулируют сеть на уровне Ethernet.

Механизм настройки VPN–сервера предполагает собой следующие действия:
• создание ключей и сертификатов;
• непосредственно настройка программы;
• конфигурирование брандмауэра при необходимости;
• подготовка сертификатов и конфигурационных файлов для клиентов.

Если не нужно создавать свой центр сертификации, и ключи будут создаваться исключительно для OpenVPN, можно воспользоваться набором сценариев ”Easy RSA”, который поставляются в комплекте с OpenVPN. Эти сценарии находятся в директории с документацией: /usr/share/doc/openvpn-версия/easy-rsa.

Я скопировал данный набор в домашнюю директорию пользователя “root” и дальнейшую работу с ними производил в каталоге /root/openvpn/easy-rsa. Вывод команды ls в директории:
==================================================
root@vpn:~/openvpn/easy-rsa# ls
2.0/ build-inter* build-req* openssl.cnf vars.default
README build-key* build-req-pass* revoke-crt
Windows/ build-key-pass* clean-all* revoke-full*
build-ca* build-key-pkcs12* list-crl sign-req*
build-dh* build-key-server* make-crl vars
root@vpn:~/openvpn/easy-rsa#
==================================================

В первую очередь я отредактировал файл vars, изменив в нём некоторые параметры следующим образом:
export KEY_COUNTRY=RU
export KEY_PROVINCE=RU
export KEY_CITY=MOSCOW
export KEY_ORG="XXX"
export KEY_EMAIL="a.koudinov@xxx.com"

Этот файл предназначен для установок переменных среды окружения, перед генерацией ключей. Запустить выполнение файла можно при помощи точки:
$ . vars

Затем необходимо выполнить в директории следующие файлы:
• ./clean-all — запустит сценарий очистки;
• ./build-ca — создаст сертификат корневого СА;
• ./build-key-server <имя> — создаст ключ и сертификат для сервера;
• ./build-key <имя> — создаст ключ и сертификат для клиента;
• ./build-dh — создаст параметры Diffie Hellman.
При запуске перечисленных выше сценариев предлагается ответить на вопросы. Некоторые поля заполняются автоматически, в результате инициализации переменных среды окружения, определённых в вышеуказанном файле vars. Также, ответы по умолчанию можно было поместить в конфигурационный файл программного пакета OpenSSL — openssl.cnf.

После выполнения процесса генерации сертификатов и ключей, в каталоге /etc/openvpn появилась директория keys, в которой находятся эти файлы сертификатов и ключей.

Соответственно, возникает вопрос: где необходимо размещать тот или иной файла ключа или сертификата.

Для ответа на этот вопрос приведу некую таблицу соответствия:

Файл Машина Назначение Доступ
ca.crt Сервер и клиент Сертификат корневого СА Публичный
ca.key Сервер Для подписи сертификатов Секретный
1024.pem Сервер Diffie Hellman параметры Публичный
server.xxx.com.crt Сервер Сертификат сервера Публичный
server.xxx.com.key Сервер Ключ сервера Секретный
client.xxx.com.crt Клиент Сертификат клиента Публичный
client.xxx.com.key Клиент Ключ клиента Секретный

Файлы *.csr в каталоге /etc/openvpn/keys можно безопасно удалить.

Теперь можно перейти непосредственно к настройке OpenVPN.

Для дальнейшего разбора приведу конфигурационный файл (нужно отметить, что при запуске программа считает конфигурационными файлами все файлы с расширением .conf в директории /etc/openvpn/):
==================================================
#
local xxx.xxx.xxx.27
port 1194
proto udp
dev tap0

ca certs/ca.crt
cert certs/vpn.xxx.com.crt
key keys/vpn.xxx.com.key
dh keys/dh1024.pem

server 172.27.194.0 255.255.255.0

up ./net.up

push "route 172.20.0.0 255.255.240.0"
push "route 172.21.0.0 255.255.240.0"
push "route 10.1.0.0 255.255.0.0"
push "route 172.28.0.0 255.255.0.0"

client-config-dir ccd

push "dhcp-option DNS 172.20.0.5"
push "dhcp-option DNS 172.21.0.194"
; push "dhcp-option WINS 172.20.0.7"

client-to-client

keepalive 10 120
comp-lzo
;max-clients 100
user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn-status.log
log-append /var/log/openvpn.log

verb 3
==================================================

В данном примере файла конфигурации указывается, что будет использоваться устройство tap0, назначается соответствующий IP–адрес и порт, на котором будут приниматься соединения.

Далее указываются пути к файлам ключей, сертификатов, параметров Diffie Hellman.

Параметр
server 172.27.194.0 255.255.255.0,
означает, что программа будет работать в режиме сервера и ip–адреса будут назначаться клиентам из указанного диапазона.

При помощи параметра push клиентам передаются маршруты в необходимые сети, могут назначаться DNS, WINS серверы и т.п.

Указание параметра client-to-client позволит клиентам осуществлять соединение друг с другом.

Также в данном файле указано, что нужно использовать компрессию при передаче данных (параметр comp-lzo), указаны системные пользователь и группа, с привилегиями которых будет работать OpenVPN и перечислены некоторые настройки, которые могут оказаться полезными в случае разрыва соединения клиента с сервером.

Следует обратить внимание на строку
up ./net.up.
При инициализации OpenVPN сервера, запускается на выполнение указанный сценарий, в котором вносятся изменение в таблицу маршрутизации и описывается маршрут к сегменту сети, предназначенному для клиентских подключений. Приведу содержательную часть этого сценария:
==================================================
#!/bin/sh
#
route add -net 172.27.194.0 netmask 255.255.255.0 gw 172.27.194.1
==================================================

Последние строки конфигурационного файла позволяют настроить параметры протоколирование соединений и другой информации о процессе работы программы, с определённым уровнем информативности. Соответственно, указываются пути к файлам журнальной регистрации.

После того, как программа настроена может понадобиться сконфигурировать брандмауэр. Поскольку в данном примере сервер vpn работает в качестве шлюза, то он имеет 2 сетевых интерфейса. Соответственно, при настройке брандмауэра нужно разрешить соединения с рабочим портом OpenVPN и разрешить прохождение пакетов по необходимым портам через сетевые интерфейсы. Приведу в качестве примера часть сценария инициализации правил брандмауэра на сервере vpn:
==================================================
$IPT -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.21.0.194
$IPT -A INPUT -i eth0 -s 172.21.1.23 -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -s 172.21.0.29 -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
$IPT -A INPUT -i eth1 -p udp -m udp -m multiport --dports 53,1194 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -j LOG --log-prefix "DROPPED INPUT TCP PACKETS: "
$IPT -A FORWARD -i tap+ -p icmp -m icmp -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.21.0.194 -p udp -m udp --dport 53 -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.20.0.5 -p udp -m udp --dport 53 -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.21.0.172 -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.21.0.10 -p tcp -m tcp --dport 2020 -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.21.1.23 -p tcp -m tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i tap+ -d 172.21.0.0/20 -p tcp -m tcp --dport 445 –j ACCEPT
$IPT -A FORWARD -p tcp -m tcp -j LOG --log-prefix "DROPPED FORWARD TCP PACKETS: "
==================================================
В данном фрагменте переменная $IPT определяет путь к программе iptables.

Как видно, в 5 строке фрагмента, в цепочке INPUT разрешаются соединения на UDP–порт 1194, который является рабочим портом программы OpenVPN для обслуживания клиентских запросов. Далее хочу обратить внимание на то, что внутренним интерфейсом, через который будет осуществляться передача данных при работе в сети VPN, является сэмулированный сетевой интерфейс tap. Поэтому, дальнейшие правила прохождения пакетов нужно применять именно к этому интерфейсу, как и показано в примере в цепочке FORWARD.

Также хочу обратить внимание на первую строку фрагмента. Она содержит NAT преобразования. Таким образом, все удалённые клиентские компьютеры, к ресурсам сети предприятия будут обращаться с внутренним IP – адресом сервера vpn. Это было сделано ввиду некоторой технической необходимости и, разумеется, обязательным условием не является.

Перейду к вопрсу подготовки необходимых файлов для клиентских машин.

Хочу уточнить, что все клиентские машины работают под управлением опреационной системы Microsoft Windows, поэтому им было необходимо установить клиентское приложение OpenVPN для Windows. Для инсталляции предлагалось воспользоваться дистрибутивом программы с Интернете–ресурса http://openvpn.net/index.php/downloads.html.

С учётом работы программы в операционной системе Microsoft Windows, для каждого клиента я подготавливаю каталог “config” следующего содержания (фрагмент вывода команды dir на моей рабочей станции):



Directory of D:\wrk\openvpn-client\config

03.07.2008 16:27 <DIR> .
03.07.2008 16:27 <DIR> ..
03.07.2008 16:21 1 253 ca.crt
09.10.2007 13:06 196 client.ovpn
03.07.2008 16:27 3 551 test.crt
03.07.2008 16:27 887 test.key
4 File(s) 5 887 bytes
2 Dir(s) 116 835 020 800 bytes free

Как видно, каталог содержит сертификат корневого СА, сертификат клиента, ключ клиента и конфигурационный файл клиентского приложения OpenVPN. Приведу пример конфигурационного файла:
==================================================
dev tap
proto udp
remote xxx.xxx.xxx.27
port 1194
client
tls-client
ns-cert-type server
ca ca.crt
cert test.crt
key test.key
ping-restart 60
persist-tun
persist-key
comp-lzo
verb 3
==================================================

В данном файле следует правильно указать IP –адрес сервера либо FQDN–имя сервера, порт и пути к сертификатам и ключу. Остальные параметры оставлены по–умолчанию из, предлагающегося при установке приложения, конфигурационного файла.

После выполнения этих действий, каталог “config” я помещаю в архив, с обозначением удалённого клиента и отправляю ответственному лицу по электронной почте, с небольшой инструкцией по установке. На стороне клиента останется необходимым разархивировать полученный файл в рабочую директорию установленного приложения OpenVPN и запустить программу.

Да, забыл отметить.

В вышеприведённом случае схема работы следующая:

Интернет--->VPN-шлюз--->локальная сеть

VPN шлюз имеет два сетевых интерфейса, инетовский и внутренний соответственно.
Когда товарищи ломятся на VPN, подключаются, получают адреса из сегмента, который виден в локальной сети. Всё. Имеют доступ к ресурсам внутри.

Вам необходимо не забыть корректно описать маршруты.

Обратите внимание, в примере SNAT на внутренний интерфейс. Это совершенно не обязательно и отчасти не совсем правильно. Просто были траблы с описанием всех маршрутов на роутерах в локальной сети. Поэтому было проще занатить на внутренний адрес компа.

> local xxx.xxx.xxx.27

> это кстате реальный внешний адрес сервера на eth -интерфейсе? или адрес tap????

Реальный внешний.


на скриншоте видно, что ткнуть нужно в конеект, появить окошко с процессом подключения.
Вы же чего-то недоустановили наверное.

Права на машине XP у пользователя должны быть из группы "Administrators"

Иначе оно не сможет создать интерфейсы.

Learning_Oracleвозник попутный вопрос
tls-server
tls-client

В OpenVPN ряд основных функций защиты VPN реализован на базе протокола Secure Sockets Layer (SSL)/Transport Layer Security (TLS)

я так понял активизирует данную возможность... ???


а что говорит по этому поводу man openvpn?

"TLS mode is the most powerful crypto mode of OpenVPN in both security and flexibility. TLS mode works by establishing control and data channels which are multiplexed over a single TCP/UDP port. OpenVPN initiates a TLS session over the control channel and uses it to exchange cipher and HMAC keys to protect the data channel. TLS mode uses a robust reliability layer over the UDP connection for all control channel communication, while the data channel, over which encrypted tunnel data passes, is forwarded without any mediation. The result is the best of both worlds: a fast data channel that forwards over UDP with only the overhead of encrypt, decrypt, and HMAC functions, and a control channel that provides all of the security features of TLS, including certificate-based authentication and Diffie Hellman forward secrecy."

Learning_Oracleне надо менят сертификаты корневого CA и параметры diffie Hellman они создаются один раз, а клиентские можно потом генерить сколько угодно ?? правильно я понимаю механизм.

Да