OpenVPN to kompleksowe rozwiązanie do tworzenia wirtualnych sieci prywatnych, które stanowi nowoczesną alternatywę dla tradycyjnych rozwiązań VPN. Ten przewodnik prowadzi krok po kroku przez instalację, konfigurację i zarządzanie serwerem OpenVPN na Ubuntu – od przygotowania infrastruktury klucza publicznego po testy i polityki bezpieczeństwa. OpenVPN jest oprogramowaniem open-source bazującym na protokołach SSL/TLS, zapewniającym elastyczność, niezawodność i wysoki poziom bezpieczeństwa dla zdalnej infrastruktury sieciowej.
Znajdziesz tu zarówno praktyczne instrukcje, jak i sprawdzone zalecenia konfiguracyjne, dzięki którym wdrożysz bezpieczny i stabilny VPN.
Zrozumienie OpenVPN i jego architektury
Czym jest OpenVPN i jak funkcjonuje
OpenVPN należy do rodziny stosów VPN opartych na SSL/TLS i różni się od VPN opartych na IPsec. Technologia ta szyfruje ruch i uwierzytelnia użytkowników, oferując dużą elastyczność w konfiguracji. Działa w trybie punkt–punkt i klient–serwer, obsługując wielu klientów jednocześnie.
Aby szybciej zorientować się w kluczowych właściwościach OpenVPN, zwróć uwagę na poniższe aspekty:
- Tryby uwierzytelniania – klucz statyczny (PSK) oraz SSL/TLS z certyfikatami dla wyższej skali i bezpieczeństwa;
- Topologie połączeń – połączenia punkt–punkt oraz architektura klient–serwer, z jednoczesną obsługą wielu klientów;
- Warstwa kryptograficzna – biblioteka OpenSSL, mechanizmy HMAC i tls-auth/tls-crypt zwiększające ochronę podczas handshake’u TLS;
- Zakres tunelowania – możliwość przenoszenia całego ruchu danych i stosowania precyzyjnych polityk routingu/DNS.
Architektura OpenVPN polega na tworzeniu tunelu, który przenosi cały ruch między klientem a serwerem. Szyfrowanie dzieje się na poziomie aplikacji z użyciem OpenSSL, a integralność i autentyczność pakietów wzmacnia HMAC oraz dodatkowy klucz tls-auth/tls-crypt.
Protokoły i porty OpenVPN
Domyślny port OpenVPN to UDP 1194, choć można użyć dowolnego (np. TCP 443). UDP zwykle zapewnia lepszą wydajność i mniejsze opóźnienia, natomiast TCP bywa potrzebny w sieciach restrykcyjnych.
Przygotowanie systemu i wymagania wstępne
Wymagania systemowe i aktualizacja systemu
Przed instalacją upewnij się, że środowisko spełnia minimalne wymagania:
- zaktualizowany system z pełnymi łatkami bezpieczeństwa,
- uprawnienia administratora (root/sudo),
- stabilne połączenie z internetem oraz możliwość otwierania portów na firewallu,
- prawidłowa synchronizacja czasu (ważne dla poprawnej walidacji certyfikatów).
Aby zaktualizować system, uruchom polecenie:
sudo apt update && sudo apt upgrade
Dla poprawnej synchronizacji czasu zainstaluj i skonfiguruj strefę czasową:
sudo dpkg-reconfigure tzdata
Instalacja niezbędnych pakietów
Do uruchomienia środowiska potrzebujesz OpenVPN i Easy-RSA (narzędzie do zarządzania PKI). Zainstaluj oba pakiety:
sudo apt install openvpn easy-rsa
Do zarządzania zaporą sieciową przyda się UFW (Uncomplicated Firewall) oraz narzędzie curl:
sudo apt install ufw curl
Konfiguracja infrastruktury klucza publicznego (PKI) z Easy-RSA
Przygotowanie katalogów Easy-RSA
Skopiuj i przygotuj katalog roboczy (np. ~/easy-rsa), a następnie przejdź do niego. W pliku vars skonfigurujesz domyślne parametry generowania certyfikatów. Zalecamy zmienić je zgodnie z potrzebami:
- KEY_SIZE – rozmiar klucza RSA (zalecane co najmniej 2048 bitów),
- KEY_COUNTRY – kraj,
- KEY_PROVINCE – województwo,
- KEY_CITY – miasto,
- KEY_ORG – organizacja.
Po edycji załaduj zmienne do sesji powłoki:
source vars
lub:
. vars
Tworzenie urzędu certyfikacji (CA)
CA to najkrytyczniejszy element bezpieczeństwa, który podpisuje certyfikaty serwera i klientów. Zainicjalizuj PKI, a następnie utwórz CA:
./easyrsa init-pki
./easyrsa build-ca
Ustaw silne hasło dla klucza CA (min. 16 znaków, wielkie/małe litery, cyfry i znaki specjalne).
Generowanie parametrów Diffie-Hellmana
Parametry Diffie-Hellmana (DH) są konieczne do bezpiecznej wymiany kluczy. Wygeneruj je (zalecane 2048 bitów):
./easyrsa gen-dh
Następnie przenieś plik do katalogu OpenVPN:
sudo cp pki/dh.pem /etc/openvpn/
Tworzenie certyfikatu i klucza serwera
Aby serwer mógł się uwierzytelniać, utwórz żądanie certyfikatu i je podpisz (przykładowa nazwa: server):
./easyrsa gen-req server nopass
./easyrsa sign-req server server
Następnie skopiuj certyfikat i klucz do katalogu serwera:
sudo mkdir -p /etc/openvpn/server
sudo chmod 700 /etc/openvpn/server
sudo cp pki/issued/server.crt /etc/openvpn/server/
sudo cp pki/private/server.key /etc/openvpn/server/
Generowanie klucza statycznego dla tls-auth
Dodaj warstwę ochrony handshake’u TLS, generując klucz dla tls-auth lub używając nowszego tls-crypt:
openvpn --genkey --secret ta.key
sudo cp ta.key /etc/openvpn/
Klient bez poprawnego klucza tls-auth/tls-crypt nie zainicjuje połączenia. Klucz dystrybuuj wyłącznie bezpiecznym kanałem i ustaw odpowiednie uprawnienia:
sudo chmod 600 /etc/openvpn/ta.key
Instalacja i konfiguracja serwera OpenVPN
Instalacja pakietów OpenVPN
Zainstaluj pakiety i zweryfikuj wersję:
sudo apt install openvpn easy-rsa
openvpn --version
Konfiguracja pliku server.conf
Skopiuj plik przykładowy i edytuj go według potrzeb:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server/server.conf
Przykładowe ustawienia podstawowe (sieć TUN i pulę adresów 10.8.0.0/24 zdefiniuj na serwerze):
port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
Wskaż właściwe ścieżki do certyfikatów i kluczy:
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/dh.pem
Rozważ dodatkowe dyrektywy zwiększające bezpieczeństwo i stabilność:
tls-auth /etc/openvpn/ta.key 0
# lub nowsze:
# tls-crypt /etc/openvpn/ta.key
client-to-client
keepalive 10 120
user nobody
group nogroup
Zalecane jest użycie tls-crypt – szyfruje cały handshake TLS i upraszcza konfigurację (bez parametru kierunku).
Włączenie przekazywania IP i konfiguracja NAT
Aktywuj routowanie pakietów w jądrze i zastosuj zmiany:
sudo sed -i 's/^#\?net.ipv4.ip_forward=.*/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sudo sysctl -p
Skonfiguruj NAT (maskaradę), aby klienci uzyskali dostęp do internetu lub sieci LAN (dostosuj interfejs, np. eth0):
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Konfiguracja firewalla UFW
Podstawowe ustawienia UFW
Ustaw polityki domyślne i zezwól na niezbędne usługi:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 1194/udp
sudo ufw enable
Jeśli używasz innego portu/protokołu (np. TCP 443), dostosuj reguły:
sudo ufw allow 443/tcp
Generowanie certyfikatów klientów
Tworzenie żądań certyfikatów klientów
Każdy klient musi mieć własny certyfikat i klucz prywatny. Wygeneruj żądanie i podpisz je:
./easyrsa gen-req client1
./easyrsa sign-req client client1
Klucz prywatny klienta przekaż wyłącznie bezpiecznym kanałem.
Podpisywanie żądań certyfikatów
Po podpisaniu certyfikaty znajdziesz w pki/issued/, a klucze w pki/private/. W środowiskach o wysokich wymaganiach bezpieczeństwa maszynę CA trzymaj w odseparowaniu (offline), a transfery wykonuj sprzętowymi nośnikami.
Aby ułatwić weryfikację, poniżej znajdziesz kompletną listę materiałów, które należy przygotować dla każdego klienta:
- CA (ca.crt) – certyfikat urzędu zaufania do walidacji łańcucha;
- Certyfikat klienta (client1.crt) – tożsamość klienta potwierdzona przez CA;
- Klucz prywatny klienta (client1.key) – poufny materiał kryptograficzny, chroniony uprawnieniami 600;
- Klucz tls-auth/tls-crypt (ta.key) – dodatkowa ochrona handshake’u TLS.
Wszystkie pliki przekazuj wyłącznie bezpiecznymi kanałami.
Konfiguracja klienta OpenVPN
Przygotowanie profilu konfiguracyjnego klienta
Profil klienta (zwykle .ovpn) zawiera pełną konfigurację połączenia. Skopiuj szablon i dostosuj podstawowe dyrektywy:
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf client.ovpn
Najważniejsze wpisy w pliku klienta to:
client
remote YOUR_SERVER_IP 1194
proto udp
dev tun
resolv-retry infinite
nobind
Włączenie certyfikatów w pliku konfiguracyjnym
Aby uprościć dystrybucję, umieść certyfikaty i klucze bezpośrednio w pliku .ovpn (poniżej przykład sekcji CA):
<ca>
-----BEGIN CERTIFICATE-----
[zawartość pliku ca.crt]
-----END CERTIFICATE-----
</ca>
Analogicznie osadź sekcje <cert>, <key> oraz – w zależności od wyboru – <tls-auth> lub ustaw tls-crypt. Jednoplikowa dystrybucja znacząco upraszcza wdrożenie u użytkowników.
Instalacja i uruchomienie OpenVPN na kliencie
Zainstaluj klienta na wybranym systemie:
# Debian/Ubuntu
sudo apt install openvpn
# RHEL/CentOS
sudo yum install openvpn
Na Windows pobierz instalator z oficjalnej strony OpenVPN, a na macOS/iOS użyj aplikacji OpenVPN Connect (App Store). Skopiuj profil do odpowiedniego katalogu i połącz się:
# Linux (przykładowo)
sudo openvpn --config /etc/openvpn/client/client.ovpn
# Windows (GUI)
C:\Program Files\OpenVPN\config\client.ovpn
Testowanie połączenia i rozwiązywanie problemów
Testowanie połączenia z serwera
Uruchom serwer w terminalu i monitoruj logi podczas pierwszego startu:
sudo openvpn /etc/openvpn/server/server.conf
Szukaj w logu potwierdzenia gotowości usługi:
Initialization Sequence Completed
Następnie zweryfikuj łączność z klientem (np. ping do interfejsu TUN):
ping 10.8.0.1
Testowanie połączenia z klienta
Uruchom klienta w trybie z podwyższoną szczegółowością i sprawdź adres IP przydzielony przez tunel:
sudo openvpn --config client.ovpn --verb 3
ifconfig # Linux / macOS
ipconfig # Windows
Szukaj potwierdzenia w logu klienta:
Initialization Sequence Completed
Rozwiązywanie typowych błędów handshake’u TLS
Jeśli pojawia się komunikat błędu, sprawdź podstawowe przyczyny:
TLS Error: TLS key negotiation failed to occur within 60 seconds
Zweryfikuj poprawność adresu serwera, reguł NAT/port forwarding, dostępność portu na firewallu oraz zgodność konfiguracji TLS (w tym klucza ta.key i jego kierunku). Możesz też sprawdzić nasłuchiwanie procesu:
sudo ss -tlunp | grep openvpn
Konfiguracja DNS i routingu
Konfiguracja DNS dla klientów VPN
Serwer może “pchnąć” ustawienia DNS do klientów odpowiednimi dyrektywami:
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
Na niektórych systemach Linux potrzebny jest skrypt update-resolv-conf wywoływany dyrektywami script-security 2, up i down, aby modyfikować /etc/resolv.conf.
Konfiguracja routingu dla dostępu do sieci lokalnej
Dostęp do zasobów LAN możesz zrealizować przez NAT lub routing. NAT (maskarada) jest prosty i powszechny:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Routing wymaga tras w LAN/routerze i bywa niezbędny dla ruchu wrażliwego (np. VoIP). W server.conf dodaj np.:
route 192.168.1.0 255.255.255.0
Routing całego ruchu klienta przez VPN
Aby przekierować cały ruch internetowy klientów przez VPN, użyj:
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
Następnie włącz maskaradę na interfejsie wyjściowym serwera:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Pamiętaj, że pełny tunel zwiększa obciążenie serwera i łącza.
Zarządzanie użytkownikami i bezpieczeństwem
Implementacja bezpiecznych certyfikatów i kluczy
Klucz CA (ca.key) przechowuj offline i maksymalnie zabezpiecz. Zalecane rozmiary kluczy to minimum 2048 bitów (optymalnie 4096 bitów). Na serwerze i u klientów zabezpiecz klucze prywatne uprawnieniami:
chmod 600 /ścieżka/do/klucza.key
Nie współdziel nigdy klucza prywatnego klienta; w razie kompromitacji natychmiast unieważnij certyfikat i wydaj nowy.
Włączenie tls-auth i tls-crypt
tls-auth dodaje podpis HMAC do pakietów handshake’u i utrudnia skanowanie portów oraz ataki DoS. tls-crypt dodatkowo szyfruje cały handshake. Na serwerze użyj preferencyjnie:
tls-crypt ta.key
# alternatywnie (starsza metoda, z kierunkiem):
# tls-auth ta.key 0
Na kliencie przy tls-auth ustaw kierunek:
tls-auth ta.key 1
Włączenie tls-auth lub tls-crypt to jedna z najważniejszych praktyk bezpieczeństwa.
Wybór algorytmów szyfrowania
Nowoczesne wersje OpenVPN (2.4+) domyślnie używają AES-256-GCM. Unikaj przestarzałego BF-CBC (Blowfish). Ustal algorytmy jawnie po obu stronach:
cipher AES-256-GCM
auth SHA256
Niezgodność algorytmów między serwerem a klientem spowoduje błędy handshake’u.
Włączenie i zarządzanie usługą OpenVPN
Automatyczne uruchamianie OpenVPN przy starcie systemu
Skonfiguruj autostart i zweryfikuj status usługi systemd:
sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server
sudo systemctl status openvpn@server
sudo journalctl -u openvpn@server
Monitorowanie i logowanie
Włącz logi i odpowiedni poziom szczegółowości, aby ułatwić diagnostykę:
log /var/log/openvpn.log
verb 3
Podglądaj log w czasie rzeczywistym na serwerze i kliencie:
sudo tail -f /var/log/openvpn.log
sudo journalctl -u openvpn@client -n 50
Na Windows logi znajdziesz w GUI OpenVPN lub w:
C:\Program Files\OpenVPN\log\
Regularne monitorowanie logów pozwala szybko wychwycić problemy i próby nadużyć.
Zaawansowane zagadnienia i optymalizacja
Konfiguracja keepalive i ponownego łączenia
Aby utrzymać sesję aktywną przez NAT/firewalle, ustaw mechanizm keepalive:
keepalive 10 120
Serwer wysyła ping co 10 s; brak odpowiedzi przez 120 s powoduje reset połączenia.
Kompresja danych
Kompresja może zmniejszyć zużycie pasma, ale niesie ryzyka (m.in. CRIME/BREACH) i jest domyślnie wyłączona. Jeśli jest absolutnie konieczna, rozważ nowocześniejszy wariant:
compress lz4-v2
W większości wdrożeń zaleca się pozostawienie kompresji wyłączonej.
