Il modo migliore è utilizzare i servizi:
- Installa il servizio OpenVPN quando installi il client;
- Posiziona i tuoi profili OpenVPN (con estensione .ovpn, non .conf come è comune su Linux), probabilmente nella sottodirectory di configurazione della directory di installazione di OpenVPN
C:\Program Files\OpenVPN\config
.
- Apri la console dei servizi (
services.msc
);
- Trova OpenVPNService, fai clic destro su di esso, Proprietà e cambia il tipo di avvio da "Manuale" a "Automatico".
- Avviare il servizio e OpenVPN troverà e si connetterà ai profili in qualsiasi file .ovpn. Tieni presente che nella maggior parte dei casi è necessaria un'interfaccia TUN / TAP per file di connessione. In Windows, consiglio vivamente di associare in modo permanente un'interfaccia alla loro connessione utilizzando i file di configurazione:
dev-node TAP_Serv
impone a OpenVPN di associare la connessione all'interfaccia di rete denominata "Tap_Serv".
Potresti voler indagare se c'è un modo per elaborare una whitelist per forzare il servizio a connettersi solo a file specifici e non a tutti. Ho avuto alcuni problemi in passato con persone che avevano bisogno di avere un server VPN come servizio oltre a diversi file client VPN nella stessa macchina che si connettono solo ogni tanto. In quelle situazioni, se volevo che la GUI OpenVPN mostrasse loro un bellissimo elenco di connessioni disponibili, significava che il servizio vedeva quei file e cercava di connettersi automaticamente. In quei casi, ho deciso di non utilizzare affatto i servizi:
Se l'utilizzo di un servizio non è un'opzione, è possibile passare ulteriori argomenti da riga di comando all'invocazione della GUI di OpenVPN per collegarlo automaticamente all'avvio (oltre a mostrare l'icona della barra delle applicazioni come al solito):
openvpn-gui.exe --connect myprofile.ovpn
Per farlo funzionare quando accedi, inserisci un tale collegamento nella solita cartella di avvio. (Per tutti gli utenti %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
; o solo per l'utente corrente %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
.)
Non so come evitare che l'utente si connetta a Internet prima di impostare la VPN. L'unico modo in cui riesco a capire se tramite Windows Firewall e non sono un esperto in materia. Se si desidera evitare che un poweruser sia in grado di accedere a Internet, è necessario un firewall nel gateway per evitarlo o criteri di gruppo efficaci per evitare il ridimensionamento dei privilegi.
Per un utente normale, è possibile configurare il computer client Windows senza un gateway predefinito. Impostare una route statica persistente sul server VPN su client Windows usando il comando seguente (-P lo rende persistente):
route -P add <target> mask <netmask> <gateway IP> metric <metric cost> if <interface>
I percorsi in Windows sono memorizzati con la seguente chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
A questo punto un client disconnesso ha accesso solo al server VPN. Quindi è possibile aggiungere le seguenti righe nel file di configurazione del server VPN per aggiungere route ai client quando si connettono:
Per configurare il server VPN come gateway predefinito:
push "redirect-gateway def1 bypass-dhcp"
Per aggiungere un percorso specifico tramite il server VPN:
push "route 192.168.1.0 255.255.255.0"
A volte il push del percorso non funziona su Windows. Quando ciò accade, disinstallo completamente OpenVPN e le sue interfacce da Windows, riavvio il sistema e installo l'ultima versione del software. Quindi, prima di stabilire la prima connessione, riavvio Windows. Ciò ha sempre risolto i problemi, tuttavia, l'aggiornamento dell'anniversario di Windows 10 (1607) è difettoso con OpenVPN. C'è un collegamento a una discussione più approfondita nei forum OpenVPN:
Problemi di connessione con l'aggiornamento dell'anniversario di Windows 10
Tienilo a mente quando configuri i tuoi client OpenVPN per Windows 10.