VPN v Karlíně

VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Eviews, Matlabu (platí pouze pro zaměstnance a doktorandy), Mathematicy a Tecplotu.

VPN je určena především pro zaměstnance a doktorandy matematické sekce a v odůvodněných případech pro studenty matematických oborů. Pokud patříte pod jinou sekci, je nutné z administrativních důvodů požádat správu sítě na dané sekci. Tedy pro fyzikální sekci použijte kontakty netadm(zavináč)karlov.mff.cuni.cz pro Karlov nebo netadm(zavináč)troja.mff.cuni.cz pro Troju a pro informatickou sekci použijte kontakt netadm(zavináč)mbox.ms.mff.cuni.cz.

Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské práce, diplomové práce nebo projektu či grantu).

Základní informace:

Pro připojení k VPN síti potřebujete:

Postupy:

OpenVPN na Windows

Pokud budete instalovat OpenVPN na počítači, kde jsou 64bitové Windows, je třeba OpenVPN nainstalovat do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.

Postup:

  1. Spusťte poslední verzi programu openvpn z domovské stránky openvpn.net. Stažený program spusťte a klikejte na přednastavené volby:
    • potvrzení začátku instalace,
    • souhlas s licencí,
    • s přednastavením instalovaných komponent,
    • nastavení adresáře, kam se bude OpenVPN instalovat,
    • souhlas s možnou nekompatibilitou s windows,
    • dokončení instalace komponent,
    • dokončení instalace.
  2. V dalším kroku je nutno nainstalovat konfigurační soubor a certifikáty, které jste získali od správy sítě v souboru vpnNNN.exe (kde NNN jsou nějaké číslice). Tento soubor nakopírujte do adresáře C:\Program Files\OpenVPN a v tomto adresáři spusťte - jako administrator (tj. klik pravým tlačítkem a zvolit "Spustit jako správce"). Program vytvoří nový podadresář Keys s konfiguračními soubory. Všechny soubory z tototo adresáře nakopírujte do adresáře config
  3. Na ploše se vytvořil zástupce OpenVPN GUI tohoto zástupce je nutné spouštět jako administrátor. Toto spouštění je možné upravit u samotného zástupce takto: klikneme na zástupce pravým tlačítkem, zvolíme "Vlastnosti", pak klikneme na tlačítko upřesnit zde zvolíme "Spustit jako správce".
  4. Po spuštění Open VPN GUI se vpravo dole v oznamovací oblasti (systray) objeví šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme pravým tlačítkem a zvolím "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace připojování) a pak zeleně (připojeno).
  5. Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"

OpenVPN v Linuxu (Debian, Slackware)

1  Instalace

Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.

Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na oddíl kompilace.

1.1  Instalace klíčů

Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).

1.2  Modifikace klíčů pro Windows

Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:

dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server

1.3  Nastavení firewallu

Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:

iptables -I INPUT -i tap0 -j ACCEPT

2  Spuštění OpenVPN

OpenVPN se spouští pod uživatelem root:

Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.

3  Ukončení OpenVPN

4  Změna hesla (passphrase)

  1. Spusťte příkazový řádek (například terminál), zadejte su a heslo, které má root
  2. Nastavte správný aktuální adresář pomocí cd /root/.openvpn/
  3. Spusťte příkaz openssl rsa -in client.key -des3 -out newkey.key
  4. Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).
  5. Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).
  6. Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).
  7. Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem:cp -f newkey.key client.key
  8. Ukončete příkazový řádek.

Konfigurace VPN v (K)Ubuntu

1  Instalace

Hlavní nabídka panelu | system | adept manažer

v seznamu balíků najit openvpn, změnit požadavek na nainstalovat a tlačítko Použít zmeny

2  Otestování funkčnosti

 openvpn --genkey --secret key
 openvpn --test-crypto --secret key

3  Instalace klice vpnNNNN.tar

 sudo xterm
 cd /
 tar xf /usr/src/vpnNNNN.tar
 cd /root
 vi .openvpn/client.conf
# zakomentovat ns-cert-type server

# A jako uzivatel spustit
 sudo openvpn --config /root/.openvpn/client.conf
# muze vyzadovat poprve heslo roota, podruhe heslo klice

# zmena hesla klice stejna jako u Debianu

Kompilace, nastavení jádra

Aplikace závisí na knihovně LZO (dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).

1  Download

OpenVPN je ke stažení na adrese prdownloads.sourceforge.net/openvpn/, aktuální je verze 2.0 (nebo starší).

2  Kompilace

Zkompilujte a nainstalujte knihovnu LZO (./configure --prefix=/usr && make && make install), poté spusťte jako uživatel root ldconfig.

Překlad OpenVPN je také velmi jednoduchý:

tar -xzvf openvpn-2.0_beta10.tar.gz
cd openvpn-2.0_beta10
./configure --prefix=/usr
make
make install

Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat i bez ní.

Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování (pořád jsme v adresáři se zdrojovými kódy OpenVPN):

./openvpn --genkey --secret key
./openvpn --test-crypto --secret key

Dál otestujeme navázání spojení pomocí TLS/SSL:

V jednom terminálu spustíme:

./openvpn --config sample-config-files/loopback-client

V druhém terminálu spustíme:

./openvpn --config sample-config-files/loopback-server

3  Podpora pro tun/tap

OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun nebo tap.

Podpora pro tun/tap je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn. Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):

Device Drivers --->
  Networking support  --->
      <M>   Universal TUN/TAP device driver support