OpenVPN — решение для интернета через USB

Вы имеете iPod Touch или iPhone? У вас нет Wi-Fi точки под рукой, зато есть ПК и интернет на нём, тогда этот FAQ для вас. Спасибо Mikanoshi с форума ipod-touch-max.ru. Мануал в продолжении новости

Что нам для этого нужно?
iTunnel с WinSCP и PuTTy
MyEnTunnel
OpenVPN 2.1.1
Cydia:
— OpenSSH
— network-cmds
— OpenVpn Toggle for SBSettings из репозитория BigBoss (тут не только переключатель для SBS, но и сам OpenVPN)

Принцип действия:
При установке на девайс OpenVPN создаёт сетевое устройство (эмулирует) и изменяет роуты (пути) для всех соединений на девайсе через это устройство. Запросы далее передаются на IP 127.0.0.1 порт 1194 девайса, где их уже ждёт созданное MyEnTunnel перенаправление через SSH туннель на IP 127.0.0.1 порт 1194, но уже компьютера. Запущенный на компе сервер OpenVPN слушает локальный порт 1194 и все поступающие на него запросы отправляет на сетевое псевдоустройство (так назывемый TAP-Adapter).
При расшаривании интернет-подключения для TAP-Adapter запросы наконец достигают внешнего мира.

Шаг за шагом
1. Настройте iTunnel. Для соединения через него я использую порт 1022.
2. Установите OpenVPN из Cydia на девайс и MyEnTunnel с OpenVPN (отметить все галки при установке) на комп.
3. Как настраивать OpenVPN. В установочной папке найдите папку sample-config. Можно редактировать конфиги из этой папки, можно скопировать те, что даны ниже (conf.ovpn это переименованный client.ovpn):

server.ovpn

local 127.0.0.1
port 1194
proto tcp
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 192.168.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push «route 0.0.0.0 0.0.0.0»
push «dhcp-option DNS 192.168.1.1»
push «dhcp-option WINS 192.168.1.1»
keepalive 10 120
comp-lzo
;max-clients 100
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 4
;mute 20

conf.ovpn

client

dev tun
;dev-node MyTap
proto tcp
remote 127.0.0.1 1194
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;mute-replay-warnings
ca «ca.crt»
cert «client.crt»
key «client.key»
ns-cert-type server
comp-lzo
verb 4
;mute 20

mssfix 1275
route-delay 0 120

up /var/mobile/Library/OpenVpn/update-resolv-conf
down /var/mobile/Library/OpenVpn/update-resolv-conf

В данном случае настраивается TAP-Adapter на сеть 192.168.1.0/255.255.255.0
Если уже есть соединения с этим диапазоном IP, то измените 192.168.1.0 например на 192.168.10.0 (и 192.168.1.1 на 192.168.10.1)

4. Создание сертификатов и ключей для OpenVPN.
Всё необходимое для этого лежит в подпапке easy-rsa.
Нужно открыть cmd.exe и зайти в эту папку:

cd C:\Program Files\OpenVPN\easy-rsa\

Далее все .bat файлы нужно запускать из этой командной строки не закрывая её.

Сначала нужно запустить init-config.bat
Затем отредактировать файл vars.bat примерно так (данные можно указывать свои):

set KEY_COUNTRY=Ru
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=iPTM
set KEY_EMAIL=iwantinet@overusb.com

После этого запустить
vars.bat
clean-all.bat
build-ca.bat

Во время запуска скрипт спросит Вас о различной информации для сертификата. Указывать лучше то, что было в vars.bat (будет в квадратных скобках). Также попросит ввести «Common Name», укажите например Admin.

Далее, запустить
vars.bat
build-key-server.bat server
build-key.bat client
На вопросы отвечайте y. Challenge password и Optional company name можно оставить пустыми.

Наконец, создайте параметры для алгоритма Diffie Hellman командой
build-dh.bat
Процесс займёт какое-то время. Откиньтесь на спинку стула и… ой, это не отсюда =)

5. Копируем файлы на свои места.
Файл server.ovpn поместите в папку config вместе со следующими файлами:
easy-rsa\keys\ca.crt
easy-rsa\keys\server.crt
easy-rsa\keys\server.key

А файл easy-rsa\keys\dh1024.pem в папку bin (он должен тоже быть в config, но у меня сервер его там не находит).

Файл conf.ovpn поместите в какую-нибудь отдельную папку (назовём её client) вместе с этими файлами:
easy-rsa\keys\ca.crt
easy-rsa\keys\client.crt
easy-rsa\keys\client.key

6. Файлы подготовлены, теперь можно заливать конфиг на девайс. Содержимое папки client скопируйте в
/var/mobile/Library/OpenVpn/
Скачайте и залейте туда же update-resolv-conf

Затем через WinSCP скачайте, отредактируйте и залейте обратно файл
/var/mobile/Library/SBSettings/Commands/com.offinf.openvpnup
На всякий случай на него и на com.offinf.openvpndown можно поставить права 777

com.offinf.openvpnup (кодировка — Unix Text)

#!/bin/sh
/bin/rm /var/mobile/Library/SBSettings/Toggles/OpenVpn/OFF
cd /var/mobile/Library/OpenVpn/
/usr/bin/openvpn-iphone —script-security 2 —config /var/mobile/Library/OpenVpn/conf.ovpn &

7. Выполните следующие команды в PuTTy под root-ом (su -> alpine):

cd /var/mobile/Library
chown -R mobile.mobile OpenVpn
cd OpenVpn
chmod +x update-resolv-conf
cp client.key client.key.orig
openssl rsa -in client.key.orig -out client.key

8. Настройка MyEnTunnel. Пароль для рута — alpine

9. Последний шаг. Запустите iTunnel и в MyEnTunnel нажмите Connect. Если порт успешно перенаправлен, то Вы увидите эти строки plink.exe: Requesting remote port 1194 forward to localhost:1194
plink.exe: Remote port forwarding from 1194 enabled
Connection is stable

Далее запустите на компе сервер командой
C:\Program Files\OpenVPN\bin\openvpn.exe —script-security 2 —config «C:\Program Files\OpenVPN\config\server.ovpn»
(через Пуск->Выполнить, .cmd файл или создайте ярлык к openvpn.exe)

Первый раз запустите на девайсе клиент через MobileTerminal или PuTTy, чтобы видеть процесс запуска (потом клиент можно будет вкл/выкл из SBSettings), командой
/private/var/mobile/Library/SBSettings/Commands/com.offinf.openvpnup

Когда в окне сервера и клиента появится надпись Initialization Sequence Completed, значит всё ок, можете пользоваться инетом.

P.S. Не забудьте расшарить соединение с интернетом для TAP-Adpater (делается это в свойствах соединения, вкладка «Дополнительно», галка «Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера»).

Обсуждение на форуме

via