Mainos / Advertisement:

Ero sivun ”Openvpn” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
p (Poisti suojauksen sivulta Openvpn)
Rivi 15: Rivi 15:
 
== Serverin konffaus ==
 
== Serverin konffaus ==
  
Asennetaan openvpn, openssl ja bridge-utils palvelimeen.
+
Asennetaan openvpn palvelimeen.
  
   [[aptitude]] install openvpn openssl bridge-utils
+
   [[aptitude]] install openvpn  
  
 
Kopioi:
 
Kopioi:
Rivi 68: Rivi 68:
 
  route 192.168.88.0 255.255.255.0
 
  route 192.168.88.0 255.255.255.0
  
 
6. Luo ethernet-silta '''lisäämällä''' /etc/network/interfaces -tiedostoon seuraavat rivit, missä eth0:n tilalla on sisäverkkosi verkkoadapteri ja ip-osoite tiedot vastaavat sisäverkkosi asetuksia:
 
 
          auto br0
 
          iface br0 inet static
 
          address 192.168.2.1                    # Vaihda verkkoadapterisi IP-osoite
 
          netmask 255.255.255.0
 
          broadcast 192.168.2.255                # Vaihda verkkoadapterisi broadcast osoite
 
          network 192.168.2.0                    # Vaihda verkkoadapterisi verkko-osoite
 
          pre-up openvpn –mktun –dev tap0
 
          bridge_ports eth0 tap0
 
  
  
 
7. Käynnistä verkko uudestaan /etc/init.d/network restart komennolla 8. Avaa UDP-portti 1194 palomuurissasi ja lisää myös tarvittavat säännöt tap0- ja br0-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa):
 
7. Käynnistä verkko uudestaan /etc/init.d/network restart komennolla 8. Avaa UDP-portti 1194 palomuurissasi ja lisää myös tarvittavat säännöt tap0- ja br0-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa):
  
           iptables -A INPUT -i tap0 -j ACCEPT
+
           iptables -A INPUT -i tun+ -j ACCEPT
           iptables -A INPUT -i br0 -j ACCEPT
+
           iptables -A FORWARD -i tun+ -j ACCEPT
           iptables -A FORWARD -i br0 -j ACCEPT
+
           iptables -A FORWARD -o tun+ -j ACCEPT
 
9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille:
 
9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille:
  

Versio 6. tammikuuta 2015 kello 17.08

OpenVPN on avoimella lähdekoodilla toimiva VPN. Tämä on yksi maailman turvallisimmista VPN protokollista. OpenVPN eroaa muista VPN protokolista, että vaatii erillisen asiakasohjelman muodostaakseen yhteyden palvelimeen.

Esimerkkimme

Esimerkissämme luomma yhteyden konffijh:n kotipalvelimelta gugglan koneelle. konffijh:lla on kotona hp palvelin missä on virtuaalidebian ja koululla on samanlainen hp kone missä on myös virtuaalidebian. Kotona on openvpnserveri ja koululla taas clientti

  • Jh:n verkko kotona: 192.168.112.0/24
  • kotigw: 192.168.112.254 (mikrotikki :) )
  • openvpnservu: 192.168.112.3
  • openvpnclientti: 192.168.7.7
  • jh:n säätöverkko koulussa: 192.168.7.0/24
  • portti: 1723 (koska turun tietohallinnon muuri joka estää...)
  • Virtuaaliverkko: 10.10.7.0/24

Serverin konffaus

Asennetaan openvpn palvelimeen.

 aptitude install openvpn 

Kopioi:

 cp -R /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn


Luo avaimet seuraavasti /etc/openvpn/easy-rsa/2.0 hakemistossa (jos et tiedä mitä vastata kysymyksiin avaimia luotaessa, katso OpenVPN HOWTO):

cd /etc/openvpn/easy-rsa/2.0

   . ./vars
   ./clean-all
   ./build-ca
   ./build-key-server server
   ./build-key client
   ./build-dh

Sijoita luomasi avaimet haluamaasi paikkaan. Omani ovat /etc/openvpn/dataa-hakemistossa. Alla konfiguraatiotiedosto palvelimelle

nano /etc/openvpn/server.conf
dev tun
port 1723
proto tcp
ca /etc/openvpn/dataa/ca.crt
cert /etc/openvpn/dataa/server.crt
key /etc/openvpn/dataa/server.key
dh /etc/openvpn/dataa/dh1024.pem
server 10.10.7.0 255.255.255.0
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
client-config-dir ccd
route 192.168.0.0 255.255.255.0
route 192.168.176.0 255.255.255.0
route 192.168.180.0 255.255.255.0
route 10.1.1.0 255.255.255.0
route 10.5.25.0 255.255.255.0
route 10.5.26.0 255.255.255.0
route 10.5.27.0 255.255.255.0
route 10.20.0.0 255.255.0.0
route 10.245.0.0 255.255.0.0
route 192.168.88.0 255.255.255.0


7. Käynnistä verkko uudestaan /etc/init.d/network restart komennolla 8. Avaa UDP-portti 1194 palomuurissasi ja lisää myös tarvittavat säännöt tap0- ja br0-adaptereille esim. seuraavasti (tämä tapa voi erota käyttämästäsi tavasta, joten sovella tarvittaessa):

         iptables -A INPUT -i tun+ -j ACCEPT
         iptables -A FORWARD -i tun+ -j ACCEPT
         iptables -A FORWARD -o tun+ -j ACCEPT

9. Tämän jälkeen tarvitset vielä OpenVPN:n (Windows GUI) ja konfiguraatiotiedoston clientille:

client
dev tun
port 1723
proto tcp
remote joh.dy.fi 1723
nobind
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client2.crt
key /etc/openvpn/keys/client2.key
comp-lzo
persist-key
persist-tun
verb 3
route 192.168.112.0 255.255.255.0
route 192.168.0.0 255.255.0.0
route 192.168.176.0 255.255.255.0
route 192.168.180.0 255.255.255.0
route 10.1.1.0 255.255.255.0
keepalive 10 60
service openvpn restart

nyt voi pingata esim. kotiservulta 10.10.7.10(koulun clientti).


Näin sinulla on toimiva OpenVPN-konfiguraatio ja voit tunneloida yhteyksiäsi turvallisesti ja helposti. Heitä kommenttia jos joku asia jäi epäselväksi tai ohjeissa on sinun mielestäsi jotain, minkä voisin tehdä paremmin :)


http://ilar.in/2008/08/01/vpn-tunneli-openvpn-sillattuna-udp-yli-ubuntu-debian/

pam auth

Client side:

Prompt for username/password at startup time auth-user-pass

Server side:

This enables username/password checks. plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so system-auth


[muokkaa]Linkkejä http://wiki.xdroop.com/space/Linux/OpenVPN/PAM+Authentication http://www.wikihow.com/Enable-Windows-XP-Routing http://ilar.in/2008/08/01/vpn-tunneli-openvpn-sillattuna-udp-yli-ubuntu-debian/

Http proxy

Http proxyn asettaminen openvpn

http-proxy 192.168.4.1 1080

Debian 6:sen openvpn:ssä on bugi jonka seurauksena openvpn kaatuu. Ongelman voi korjata laittamalla kyseisen option

 http-proxy-retry


Linkki bugiin:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514718

desdi

Mainos / Advertisement: