OpenVPN: Porovnání verzí
Řádek 33: | Řádek 33: | ||
pull | pull | ||
− | === Klienti - Linux, BSD, *nix === | + | ==== Klienti - Linux, BSD, *nix ==== |
Nainstalujte OpenVPN 2.x dle zvyklostí své distribuce. | Nainstalujte OpenVPN 2.x dle zvyklostí své distribuce. | ||
Řádek 40: | Řádek 40: | ||
Kdo si sám kompiluje jádro, nechť si zapne CONFIG_TUN (Universal TUN/TAP device driver support). Ve 2.6.x je to v Device Drivers/Networking Support. Modul se jmeuje tun.o (2.4) nebo tun.ko (2.6) | Kdo si sám kompiluje jádro, nechť si zapne CONFIG_TUN (Universal TUN/TAP device driver support). Ve 2.6.x je to v Device Drivers/Networking Support. Modul se jmeuje tun.o (2.4) nebo tun.ko (2.6) | ||
− | === Klienti - Windows === | + | ==== Klienti - Windows ==== |
* GUI instalator [[http://openvpn.se/ http://openvpn.se/]] | * GUI instalator [[http://openvpn.se/ http://openvpn.se/]] | ||
− | === | + | === Pro správce: root@charon: Vytvoreni+podepsani certifikatu pro VPN-klienta === |
cd /etc/openvpn/easy-rsa | cd /etc/openvpn/easy-rsa |
Verze z 13. 4. 2005, 11:11
Obsah
Návod pro připojení do HKfree přes OpenVPN zvenku
Předpokládáme, že ten, kdo se chce na VPN připojit (např. člen HKfree ze školy, z práce) nemá nic než holý počítač. Bude si muset nainstalovat OpenVPN 2.x (1.x nefunguje) a mít certifikát "podepsaný charonem", který slouží jednak pro autorizaci (místo jména+hesla) a druhak pro šifrování vlastních dat.
Jak přijít k certifikátu?
- Vytvořit si vlastní a dát jej správci charona podepsat (v tomto návodu není), nebo
- Nechat si již podepsaný certifikát vygenerovat správcem charona
Pro klienty
1. Nainstalovat OpenVPN 2. Požádat někoho, kdo má roota na charonu, aby mu vygeneroval a podepsal certifikát. Klient obdrží 3 soubory (namísto client1 tam bude jeho jméno, nickname apod):
charonvpn.crt client1.crt client1.key
3. Vytvořit si konfigurační soubor pro OpenVPN, např. hkfree.conf, s tímto obsahem:
# Konfiguracni soubor pro OpenVPN/tap pro HKfree. # VojtaLhota 13.4.2005 dev tap port 254 remote 212.71.131.229 comp-lzo float tls-client ca charonvpn.crt # Zde je treba nahradit 'client1' svym vlastnim klicem: cert client1.crt key client1.key verb 4 pull
Klienti - Linux, BSD, *nix
Nainstalujte OpenVPN 2.x dle zvyklostí své distribuce.
Je třeba mít neomezenou cestu pro odchozí UDP pakety na port 254.
Kdo si sám kompiluje jádro, nechť si zapne CONFIG_TUN (Universal TUN/TAP device driver support). Ve 2.6.x je to v Device Drivers/Networking Support. Modul se jmeuje tun.o (2.4) nebo tun.ko (2.6)
Klienti - Windows
- GUI instalator [http://openvpn.se/]
Pro správce: root@charon: Vytvoreni+podepsani certifikatu pro VPN-klienta
cd /etc/openvpn/easy-rsa ./build-key client1
Na otazku Common Name (eg, your name or your server's hostname) [] je treba napsat presne jmeno klienta (zde je to client1)
Sign the certificate? [y/n] y 1 out of 1 certificate requests certified, commit? [y/n] y
cd ../keys
Odsud mu dame tyto soubory:
-rw-r--r-- 1 root root 5012 2005-04-12 18:34 client1.crt -rw------- 1 root root 1679 2005-04-12 18:34 client1.key <- pozor, uchovat v tajnosti -rw-r--r-- 1 root root 1663 2005-04-12 18:30 charonvpn.conf
Klient si pak nainstaluje OpenVPN verze alespon 2 a vytvori si takovouto konfiguraci:
(priklad - jsme v adresari /etc/openvpn/hkfree
)
-rw-r--r-- 1 root root 1663 Apr 12 18:30 charonvpn.crt <- ma od nas -rw-r--r-- 1 root root 5012 Apr 12 18:58 client1.crt <- ma od nas -rw------- 1 root root 1679 Apr 12 18:58 client1.key <- ma od nas -rw-r--r-- 1 root root 127 Apr 13 00:01 local.conf (viz navod pro klienty)
Vzorovy konfigurak (pro rozdavani klientum) je zde (local.conf
)
Na charonu neni treba nic restartovat
Log teto VPNky je v /var/log/openvpn-tap254
Klient nakoupi
- IP adresu z rozsahu 10.107.254.x
- routu do 10.107.x.x
- DNS server 10.107.4.100 (charon)