Туннели OpenVPN можно применять для безопасного объединения сетей или серверов через интернет, обхода блокировок локальных сетевых экранов или ограничений провайдеров, контроля за использованием сетевого трафика в рамках одной сети, безопасного доступа на сервер или в сеть.
С помощью OpenVPN можно создавать туннели второго (L2 канального) и третьего (L3 сетевого) уровня. Планирование уровня туннеля осуществляется на начальном этапе конфигурирования и выбирается исходя из потребности. В ОС роутеров Tandem-4GL-OEM, Tandem-4GR и NR-410 добавлен клиент OpenVPN 2.4.0, позволяющий создавать виртуальные частные сети (VPN) через мобильное интернет-подключение. OpenVPN управляется интерфейсом «VPN» и реализует следующие возможности:
- Создание VPN-туннеля типа «точка-точка» уровня L2/L3 c аутентификацией по общему секретному ключу (shared key) или без аутентификации.
- Создание VPN-туннеля типа «Сеть» уровня L2/L3 с аутентификацией TLS при помощи сертификатов и закрытых ключей (TLS-клиент). Дополнительная аутентификация по логину и паролю. Аутентификация канала управления TLS при помощи общего закрытого ключа.
- Перенаправление интернет трафика через туннель. Конфигурация VPN-шлюз.
- Транспортный протокол – UDP или TCP.
- Алгоритм сжатия LZ4.
Пример конфигурации сервера выложен на Github.
Режим bridged (TAP L2) подразумевает объединение в bridge (мост) ethernet интерфейса с одним или более виртуальным TAP интерфейсом, который по туннелю OpenVPN будет соединен с аналогичным мостом на другой стороне туннеля. Это является программным аналогом физического коммутатора и позволяет логически соединить две (или более) расположенные отдельно друг от друга сети в одну так, как будто это одна сеть.
В конфигурации OpenVPN туннеля TAP (L2) с аутентификацией по общему ключу одно из устройств (роутер) должно выступать в роли сервера и иметь статический белый IP-адрес, второе устройство (LTE-роутер) может иметь динамический IP-адрес.
В конфигурации OpenVPN туннеля TAP (L2) с аутентификацией TLS должен присутствовать сервер, к которому будут подключаться клиенты. Клиенты могут иметь динамические или статические IP-адреса.
В конфигурации OpenVPN туннеля TUN (L3) с аутентификацией по общему ключу одно из устройств (роутер) должно выступать в роли сервера и иметь статический белый IP-адрес, второе устройство (LTE-роутер) может иметь динамический IP-адрес.
В конфигурации OpenVPN туннеля TUN (L3) с аутентификацией TLS должен присутствовать сервер, к которому будут подключаться клиенты. Клиенты могут иметь динамические или статические IP-адреса.
