OpenVPN: Porovnání verzí

Z HKfree wiki
Skočit na navigaci Skočit na vyhledávání
Řádek 8: Řádek 8:
 
* Vytvořit si vlastní a dát jej správci charona podepsat (v tomto návodu není), nebo
 
* Vytvořit si vlastní a dát jej správci charona podepsat (v tomto návodu není), nebo
 
* Nechat si již podepsaný certifikát vygenerovat správcem charona
 
* Nechat si již podepsaný certifikát vygenerovat správcem charona
 
==== root@charon: Vytvoreni+podepsani certifikatu pro VPN-klienta ====
 
 
cd /etc/openvpn/easy-rsa
 
./build-key client1
 
 
Na otazku Common Name (eg, your name or your server's hostname) [] je treba napsat presne jmeno klienta (zde je to client1)
 
 
Sign the certificate? [y/n] y
 
1 out of 1 certificate requests certified, commit? [y/n] y
 
 
cd ../keys
 
 
Odsud mu dame tyto soubory:
 
-rw-r--r--  1 root root 5012 2005-04-12 18:34 client1.crt
 
-rw-------  1 root root 1679 2005-04-12 18:34 client1.key <- pozor, uchovat v tajnosti
 
-rw-r--r--  1 root root 1663 2005-04-12 18:30 charonvpn.conf
 
 
Klient si pak nainstaluje OpenVPN verze alespon 2 a vytvori si takovouto konfiguraci:
 
(priklad - jsme v adresari <code>/etc/openvpn/hkfree</code>)
 
 
-rw-r--r--  1 root root 1663 Apr 12 18:30 charonvpn.crt <- ma od nas
 
-rw-r--r--  1 root root 5012 Apr 12 18:58 client1.crt  <- ma od nas
 
-rw-------  1 root root 1679 Apr 12 18:58 client1.key  <- ma od nas
 
-rw-r--r--  1 root root  127 Apr 13 00:01 local.conf (viz navod pro klienty)
 
 
Vzorovy konfigurak (pro rozdavani klientum) je zde (<code>local.conf</code>)
 
 
Na charonu neni treba nic restartovat
 
Log teto VPNky je v <code>/var/log/openvpn-tap254</code>
 
Klient nakoupi
 
* IP adresu z rozsahu 10.107.254.x
 
* routu do 10.107.x.x
 
* DNS server 10.107.4.100 (charon)
 
  
 
==== Pro klienty  ====
 
==== Pro klienty  ====
Řádek 77: Řádek 43:
 
=== Klienti - Windows ===
 
=== Klienti - Windows ===
 
* GUI instalator [[http://openvpn.se/ http://openvpn.se/]]
 
* GUI instalator [[http://openvpn.se/ http://openvpn.se/]]
 +
 +
==== root@charon: Vytvoreni+podepsani certifikatu pro VPN-klienta ====
 +
 +
cd /etc/openvpn/easy-rsa
 +
./build-key client1
 +
 +
Na otazku Common Name (eg, your name or your server's hostname) [] je treba napsat presne jmeno klienta (zde je to client1)
 +
 +
Sign the certificate? [y/n] y
 +
1 out of 1 certificate requests certified, commit? [y/n] y
 +
 +
cd ../keys
 +
 +
Odsud mu dame tyto soubory:
 +
-rw-r--r--  1 root root 5012 2005-04-12 18:34 client1.crt
 +
-rw-------  1 root root 1679 2005-04-12 18:34 client1.key <- pozor, uchovat v tajnosti
 +
-rw-r--r--  1 root root 1663 2005-04-12 18:30 charonvpn.conf
 +
 +
Klient si pak nainstaluje OpenVPN verze alespon 2 a vytvori si takovouto konfiguraci:
 +
(priklad - jsme v adresari <code>/etc/openvpn/hkfree</code>)
 +
 +
-rw-r--r--  1 root root 1663 Apr 12 18:30 charonvpn.crt <- ma od nas
 +
-rw-r--r--  1 root root 5012 Apr 12 18:58 client1.crt  <- ma od nas
 +
-rw-------  1 root root 1679 Apr 12 18:58 client1.key  <- ma od nas
 +
-rw-r--r--  1 root root  127 Apr 13 00:01 local.conf (viz navod pro klienty)
 +
 +
Vzorovy konfigurak (pro rozdavani klientum) je zde (<code>local.conf</code>)
 +
 +
Na charonu neni treba nic restartovat
 +
Log teto VPNky je v <code>/var/log/openvpn-tap254</code>
 +
Klient nakoupi
 +
* IP adresu z rozsahu 10.107.254.x
 +
* routu do 10.107.x.x
 +
* DNS server 10.107.4.100 (charon)

Verze z 13. 4. 2005, 11:10

Linux

Návod pro připojení do HKfree přes OpenVPN zvenku

[http://openvpn.net/]

Předpokládáme, že ten, kdo se chce na VPN připojit (např. člen HKfree ze školy, z práce) nemá nic než holý počítač. Bude si muset nainstalovat OpenVPN 2.x (1.x nefunguje) a mít certifikát "podepsaný charonem", který slouží jednak pro autorizaci (místo jména+hesla) a druhak pro šifrování vlastních dat.

Jak přijít k certifikátu?

  • Vytvořit si vlastní a dát jej správci charona podepsat (v tomto návodu není), nebo
  • Nechat si již podepsaný certifikát vygenerovat správcem charona

Pro klienty

1. Nainstalovat OpenVPN 2. Požádat někoho, kdo má roota na charonu, aby mu vygeneroval a podepsal certifikát. Klient obdrží 3 soubory (namísto client1 tam bude jeho jméno, nickname apod):

charonvpn.crt
client1.crt
client1.key

3. Vytvořit si konfigurační soubor pro OpenVPN, např. hkfree.conf, s tímto obsahem:

# Konfiguracni soubor pro OpenVPN/tap pro HKfree.
# VojtaLhota 13.4.2005

dev tap
port 254
remote 212.71.131.229
comp-lzo
float
tls-client
ca charonvpn.crt

# Zde je treba nahradit 'client1' svym vlastnim klicem:
cert client1.crt
key client1.key

verb 4
pull

Klienti - Linux, BSD, *nix

Nainstalujte OpenVPN 2.x dle zvyklostí své distribuce.

Je třeba mít neomezenou cestu pro odchozí UDP pakety na port 254.

Kdo si sám kompiluje jádro, nechť si zapne CONFIG_TUN (Universal TUN/TAP device driver support). Ve 2.6.x je to v Device Drivers/Networking Support. Modul se jmeuje tun.o (2.4) nebo tun.ko (2.6)

Klienti - Windows

root@charon: Vytvoreni+podepsani certifikatu pro VPN-klienta

cd /etc/openvpn/easy-rsa
./build-key client1

Na otazku Common Name (eg, your name or your server's hostname) [] je treba napsat presne jmeno klienta (zde je to client1)

Sign the certificate? [y/n] y
1 out of 1 certificate requests certified, commit? [y/n] y
cd ../keys

Odsud mu dame tyto soubory:

-rw-r--r--  1 root root 5012 2005-04-12 18:34 client1.crt
-rw-------  1 root root 1679 2005-04-12 18:34 client1.key <- pozor, uchovat v tajnosti
-rw-r--r--  1 root root 1663 2005-04-12 18:30 charonvpn.conf

Klient si pak nainstaluje OpenVPN verze alespon 2 a vytvori si takovouto konfiguraci: (priklad - jsme v adresari /etc/openvpn/hkfree)

-rw-r--r--  1 root root 1663 Apr 12 18:30 charonvpn.crt <- ma od nas
-rw-r--r--  1 root root 5012 Apr 12 18:58 client1.crt   <- ma od nas
-rw-------  1 root root 1679 Apr 12 18:58 client1.key   <- ma od nas
-rw-r--r--  1 root root  127 Apr 13 00:01 local.conf (viz navod pro klienty)

Vzorovy konfigurak (pro rozdavani klientum) je zde (local.conf)

Na charonu neni treba nic restartovat Log teto VPNky je v /var/log/openvpn-tap254 Klient nakoupi

  • IP adresu z rozsahu 10.107.254.x
  • routu do 10.107.x.x
  • DNS server 10.107.4.100 (charon)