Mainos / Advertisement:
Ero sivun ”Openvpn” versioiden välillä
Siirry navigaatioon
Siirry hakuun
(Tämä versio merkittiin käännettäväksi) |
|||
| Rivi 1: | Rivi 1: | ||
<languages/> | <languages/> | ||
<translate> | <translate> | ||
| + | <!--T:1--> | ||
OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokollista. OpenVPN eroaa muista VPN protokollista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen. | OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokollista. OpenVPN eroaa muista VPN protokollista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen. | ||
| − | ===== Esimerkkimme ===== | + | ===== Esimerkkimme ===== <!--T:2--> |
| + | <!--T:3--> | ||
Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti | Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti | ||
| + | <!--T:4--> | ||
* Jh:n verkko kotona: 192.168.112.0/24 | * Jh:n verkko kotona: 192.168.112.0/24 | ||
* kotigw: 192.168.112.254 (mikrotikki ) | * kotigw: 192.168.112.254 (mikrotikki ) | ||
| Rivi 15: | Rivi 18: | ||
* Virtuaaliverkko: 10.10.7.0/24 | * Virtuaaliverkko: 10.10.7.0/24 | ||
| − | == Serverin konffaus == | + | == Serverin konffaus == <!--T:5--> |
| + | <!--T:6--> | ||
Asennetaan openvpn palvelimeen. | Asennetaan openvpn palvelimeen. | ||
| − | [[aptitude]] install openvpn | + | <!--T:7--> |
| + | [[aptitude]] install openvpn | ||
| − | === Certien asennus === | + | === Certien asennus === <!--T:8--> |
Kopioi certificate luontiin tarvittavat tiedostot openvpn kansioon | Kopioi certificate luontiin tarvittavat tiedostot openvpn kansioon | ||
| − | cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn | + | <!--T:9--> |
| + | cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn | ||
| + | <!--T:10--> | ||
Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso | Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso | ||
OpenVPN HOWTO): | OpenVPN HOWTO): | ||
| − | cd /etc/openvpn/easy-rsa/2.0 | + | <!--T:11--> |
| + | cd /etc/openvpn/easy-rsa/2.0 | ||
| + | <!--T:12--> | ||
Voit muokata seuraavassa tiedostossa certificaten määrityksiä | Voit muokata seuraavassa tiedostossa certificaten määrityksiä | ||
nano vars | nano vars | ||
| − | . ./vars | + | <!--T:13--> |
| + | . ./vars | ||
./clean-all | ./clean-all | ||
./build-ca | ./build-ca | ||
| Rivi 42: | Rivi 52: | ||
./build-dh | ./build-dh | ||
| + | <!--T:14--> | ||
Lisää clientejä luodaan komennolla | Lisää clientejä luodaan komennolla | ||
./build-key client2 | ./build-key client2 | ||
./build-key jonne | ./build-key jonne | ||
| + | <!--T:15--> | ||
Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa. | Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa. | ||
| + | <!--T:16--> | ||
Serverin conffitiedoston voi joko tehdä itse tai kopioida /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz. Siitä tarvii vain muokata serttien nimet ja halutessaan verkko-osoitteet. Tiedosto tarvii toki purkaa komennolla gunzip. | Serverin conffitiedoston voi joko tehdä itse tai kopioida /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz. Siitä tarvii vain muokata serttien nimet ja halutessaan verkko-osoitteet. Tiedosto tarvii toki purkaa komennolla gunzip. | ||
| − | === HOST to LAN === | + | === HOST to LAN === <!--T:17--> |
| + | <!--T:18--> | ||
Alla konfiguraatiotiedosto palvelimelle jos sen haluaa tästä ottaa. | Alla konfiguraatiotiedosto palvelimelle jos sen haluaa tästä ottaa. | ||
| − | === LAN to LAN === | + | === LAN to LAN === <!--T:19--> |
nano /etc/openvpn/server.conf | nano /etc/openvpn/server.conf | ||
| − | dev tun | + | <!--T:20--> |
| + | dev tun | ||
port 1723 | port 1723 | ||
proto tcp | proto tcp | ||
| Rivi 77: | Rivi 92: | ||
| + | <!--T:21--> | ||
8. Avaa UDP-portti 1723 palomuurissasi ja lisää myös tarvittavat säännöt tun-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa): | 8. Avaa UDP-portti 1723 palomuurissasi ja lisää myös tarvittavat säännöt tun-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa): | ||
| − | iptables -A INPUT -i tun+ -j ACCEPT | + | <!--T:22--> |
| + | iptables -A INPUT -i tun+ -j ACCEPT | ||
iptables -A FORWARD -i tun+ -j ACCEPT | iptables -A FORWARD -i tun+ -j ACCEPT | ||
iptables -A FORWARD -o tun+ -j ACCEPT | iptables -A FORWARD -o tun+ -j ACCEPT | ||
9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille: | 9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille: | ||
| − | client | + | <!--T:23--> |
| + | client | ||
dev tun | dev tun | ||
port 1723 | port 1723 | ||
| Rivi 100: | Rivi 118: | ||
keepalive 10 60 | keepalive 10 60 | ||
| − | service openvpn restart | + | <!--T:24--> |
| + | service openvpn restart | ||
| + | <!--T:25--> | ||
nyt voi pingata esim. kotiservulta 10.10.7.10(koulun clientti). | nyt voi pingata esim. kotiservulta 10.10.7.10(koulun clientti). | ||
| + | <!--T:26--> | ||
Näin sinulla on toimiva OpenVPN-konfiguraatio ja voit tunneloida yhteyksiäsi turvallisesti ja helposti. Heitä kommenttia jos joku asia jäi epäselväksi tai ohjeissa on sinun mielestäsi jotain, minkä voisin tehdä paremmin. | Näin sinulla on toimiva OpenVPN-konfiguraatio ja voit tunneloida yhteyksiäsi turvallisesti ja helposti. Heitä kommenttia jos joku asia jäi epäselväksi tai ohjeissa on sinun mielestäsi jotain, minkä voisin tehdä paremmin. | ||
| − | ===pam auth=== | + | ===pam auth=== <!--T:27--> |
| + | <!--T:28--> | ||
Client side: | Client side: | ||
| − | auth-user-pass | + | <!--T:29--> |
| + | auth-user-pass | ||
| + | <!--T:30--> | ||
Server side: | Server side: | ||
| − | plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so system-auth | + | <!--T:31--> |
| + | plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so system-auth | ||
| − | === http proxy === | + | === http proxy === <!--T:32--> |
| + | <!--T:33--> | ||
Http proxyn asettaminen openvpn | Http proxyn asettaminen openvpn | ||
| − | http-proxy 192.168.4.1 1080 | + | <!--T:34--> |
| + | http-proxy 192.168.4.1 1080 | ||
| + | <!--T:35--> | ||
Debian 6:sen openvpn:ssä on bugi jonka seurauksena openvpn kaatuu. Ongelman voi korjata laittamalla kyseisen option | Debian 6:sen openvpn:ssä on bugi jonka seurauksena openvpn kaatuu. Ongelman voi korjata laittamalla kyseisen option | ||
| − | http-proxy-retry | + | <!--T:36--> |
| + | http-proxy-retry | ||
| + | <!--T:37--> | ||
Linkki bugiin: | Linkki bugiin: | ||
| + | <!--T:38--> | ||
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514718 | http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514718 | ||
</translate> | </translate> | ||
Versio 21. tammikuuta 2015 kello 16.40
OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokollista. OpenVPN eroaa muista VPN protokollista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen.
Sisällysluettelo
Esimerkkimme
Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti
- Jh:n verkko kotona: 192.168.112.0/24
- kotigw: 192.168.112.254 (mikrotikki )
- openvpnservu: 192.168.112.3
- openvpnclientti: 192.168.7.7
- jh:n säätöverkko koulussa: 192.168.7.0/24
- portti: 1723
- Virtuaaliverkko: 10.10.7.0/24
Serverin konffaus
Asennetaan openvpn palvelimeen.
aptitude install openvpn
Certien asennus
Kopioi certificate luontiin tarvittavat tiedostot openvpn kansioon
cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn
Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso
OpenVPN HOWTO):
cd /etc/openvpn/easy-rsa/2.0
Voit muokata seuraavassa tiedostossa certificaten määrityksiä
nano vars
. ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client ./build-dh
Lisää clientejä luodaan komennolla
./build-key client2 ./build-key jonne
Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa.
Serverin conffitiedoston voi joko tehdä itse tai kopioida /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz. Siitä tarvii vain muokata serttien nimet ja halutessaan verkko-osoitteet. Tiedosto tarvii toki purkaa komennolla gunzip.
HOST to LAN
Alla konfiguraatiotiedosto palvelimelle jos sen haluaa tästä ottaa.
LAN to LAN
nano /etc/openvpn/server.conf
dev tun port 1723 proto tcp ca /etc/openvpn/ca.crt ## Muuta vastamaan omia certejä cert /etc/openvpn/server.crt ## key /etc/openvpn/server.key ## dh /etc/openvpn/dh1024.pem ## server 10.123.123.0 255.255.255.0 ## Muuta vastamaan omaa ifconfig-pool-persist ipp.txt comp-lzo persist-key persist-tun status /var/log/openvpn-status.log verb 3 client-to-client client-config-dir ccd route 192.168.0.0 255.255.255.0
8. Avaa UDP-portti 1723 palomuurissasi ja lisää myös tarvittavat säännöt tun-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa):
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille:
client dev tun port 1723 proto tcp remote joh.dy.fi 1723 nobind ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/client2.crt key /etc/openvpn/keys/client2.key comp-lzo persist-key persist-tun verb 3 route 192.168.0.0 255.255.255.0 keepalive 10 60
service openvpn restart
nyt voi pingata esim. kotiservulta 10.10.7.10(koulun clientti).
Näin sinulla on toimiva OpenVPN-konfiguraatio ja voit tunneloida yhteyksiäsi turvallisesti ja helposti. Heitä kommenttia jos joku asia jäi epäselväksi tai ohjeissa on sinun mielestäsi jotain, minkä voisin tehdä paremmin.
pam auth
Client side:
auth-user-pass
Server side:
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so system-auth
http proxy
Http proxyn asettaminen openvpn
http-proxy 192.168.4.1 1080
Debian 6:sen openvpn:ssä on bugi jonka seurauksena openvpn kaatuu. Ongelman voi korjata laittamalla kyseisen option
http-proxy-retry
Linkki bugiin:
Mainos / Advertisement:
