Я пытаюсь использовать OpenVPN вместо PPTP для нашего VPN. Для этого мне нужно, чтобы это было "легко" настроить. Прямо сейчас мне нужно заставить людей переименовать сетевой интерфейс Tap-Win32, чтобы конфигурация работала должным образом.
Есть ли способ упростить конфигурацию клиента OpenVPN, чтобы свести ее к типу процедуры Next-Next-Finish?
Я упомянул об этом в паре других вопросов об OpenVPN, но мы использовали собственный установщик nullsoft для OpenVPN. Отправную точку и инструкции можно найти Вот. Установщик содержал хорошо прокомментированный файл конфигурации, в основном предварительно настроенный для пользователя. Им были предоставлены хорошие инструкции с множеством изображений, которые помогут им выполнить процесс создания запроса на подпись сертификата с помощью мастера MyCertificate Wizard, который является частью этого пакета. Мы предварительно заполнили все поля для запроса сертификата, кроме имени сотрудника и адреса электронной почты. Затем они отправляли нам свой сертификат CSR, мы проверяли информацию в запросе, подписывали его и отправляли им сертификат по электронной почте. Затем их инструкции включали установку сертификата и изменение файлов конфигурации, чтобы они указывали на их новый сертификат и файлы ключей.
Однако мы были небольшой компанией, поэтому было легко помочь парочке пользователей, которые боролись с этим процессом. В более крупной организации я бы переместил запросы сертификатов, подписи и автоматически сгенерированный файл конфигурации в какое-нибудь веб-приложение.
Еще одна вещь, которую вы могли бы изучить, - это что-то вроде wpkg, еще один мой любимый проект. В нем у вас может быть базовый xml-файл, принадлежащий общему профилю, для распространения пакета openvpn на все компьютеры в организации. Затем у вас могут быть профили для каждого пользователя, содержащие файл пакета xml, который выталкивает конфигурацию для этого пользователя. Но с этим может быть сложно справиться, если у вас большое количество пользователей. Также требуется немного времени, чтобы выяснить и реализовать wpkg, поэтому, возможно, это не стоит усилий. Если у вас есть сервер WSUS, вы можете сделать с ним что-то подобное.