VPN v Karlíně

VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Eviews, Matlabu (platí pouze pro zaměstnance a doktorandy), Mathematicy a Tecplotu.

VPN je určena především pro zaměstnance a doktorandy matematické sekce a v odůvodněných případech pro studenty matematických oborů. Pokud patříte pod jinou sekci, je nutné z administrativních důvodů požádat správu sítě na dané sekci. Tedy pro fyzikální sekci použijte kontakty netadm(zavináč)karlov.mff.cuni.cz pro Karlov nebo netadm(zavináč)troja.mff.cuni.cz pro Troju a pro informatickou sekci použijte kontakt netadm(zavináč)mbox.ms.mff.cuni.cz.

Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské práce, diplomové práce nebo projektu či grantu).

Základní informace:

• Vstupním bodem do VPN v Karlíně je server privpn.karlin.mff.cuni.cz.
• Po úspěšném připojení vašeho počítače do VPN v Karlíně se stane Váš počítač součástí karlínské sítě bez ohledu na to, kde se ve světě nachází a tudíž z něj pak můžete přistupovat ke všem zdrojům v Karlíně i mimo Karlín zcela identicky jako z jakéhokoliv počítače umístěného přímo v Karlíně. Celá komunikace z vašeho počítače je navíc chráněna proti neoprávněnému odposlechu.
• Připojování do VPN v Karlíně je možné pouze po dohodě se správou sítě.
• Virtuální privátní síť je vybudována na základě volně dostupného software OpenVPN.

Pro připojení k VPN síti potřebujete:

• Balíček s konfiguračními soubory a bezpečnostními klíči pro komunikaci. Balíček je soubor s názvem tvaru vpnNNN.tgz (UNIX) nebo vpnNNN.zip (Windows), kde NNN je nejake trojčíslí. Balíček získáte od správy počítačové sítě v Karlíně.
• Nainstalovat a nastavit software OpenVPN podle postupu níže.

Postupy:

• OpenVPN na Windows
• OpenVPN v Linuxu (Debian, Slackware)
• Konfigurace VPN v (K)Ubuntu
• Linux - Kompilace, nastavení jádra

OpenVPN na Windows

Pokud budete instalovat OpenVPN na počítači, kde jsou 64bitové Windows, je třeba OpenVPN nainstalovat do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.

Postup:

1. Ze stránky OpenVPN: Community Downloads stáhněte a nainstalujte poslední verzi programu OpenVPN.
2. Obsah archivu vpnNNN.zip rozbalte do složky C:\Program Files\OpenVPN (tj. aby složky config a Keys byly jejími podsložkami).
3. Spuštěný program Open VPN GUI je vidět vpravo dole v oznamovací oblasti (systray) jako šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme pravým tlačítkem myši a zvolíme "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace připojování) a pak zeleně (připojeno).
4. Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"

OpenVPN v Linuxu (Debian, Slackware)

1  Instalace

Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.

Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na oddíl kompilace.

1.1  Instalace klíčů

Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).

1.2  Modifikace klíčů pro Windows

Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:

dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server

1.3  Nastavení firewallu

Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:

iptables -I INPUT -i tap0 -j ACCEPT

2  Spuštění OpenVPN

OpenVPN se spouští pod uživatelem root:

• Spustit program openvpn --config /root/.openvpn/client.conf
• Po zadání tohoto hesla pokračuje vytváření VPN spojení. VPN spojení je úspěšně vytvořeno, pokud text v okně po chvilce skončí řádky oznamujícími úspěšně proběhnutou inicializaci.
• Toto okno necháme po dobu používání VPN otevřené (můžeme ho stáhnout na lištu).

Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.

3  Ukončení OpenVPN

• Zavřít v okně openvpn pomocí sekvence Ctrl c. Tím se ukončí VPN spojení a nastaví se původní hodnoty připojení.

4  Změna hesla (passphrase)

1. Spusťte příkazový řádek (například terminál), zadejte su a heslo, které má root
2. Nastavte správný aktuální adresář pomocí cd /root/.openvpn/
3. Spusťte příkaz openssl rsa -in client.key -des3 -out newkey.key
4. Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).
5. Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).
6. Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).
7. Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem:cp -f newkey.key client.key
8. Ukončete příkazový řádek.

Konfigurace VPN v (K)Ubuntu

1  Instalace

Hlavní nabídka panelu | system | adept manažer

v seznamu balíků najit openvpn, změnit požadavek na nainstalovat a tlačítko Použít zmeny

2  Otestování funkčnosti

 openvpn --genkey --secret key
 openvpn --test-crypto --secret key

3  Instalace klice vpnNNNN.tar

 sudo xterm
 cd /
 tar xf /usr/src/vpnNNNN.tar
 cd /root
 vi .openvpn/client.conf
# zakomentovat ns-cert-type server

# A jako uzivatel spustit
 sudo openvpn --config /root/.openvpn/client.conf
# muze vyzadovat poprve heslo roota, podruhe heslo klice

# zmena hesla klice stejna jako u Debianu

Kompilace, nastavení jádra

Aplikace závisí na knihovně LZO (dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).

1  Download

OpenVPN je ke stažení na adrese prdownloads.sourceforge.net/openvpn/, aktuální je verze 2.0 (nebo starší).

2  Kompilace

Zkompilujte a nainstalujte knihovnu LZO (./configure --prefix=/usr && make && make install), poté spusťte jako uživatel root ldconfig.

Překlad OpenVPN je také velmi jednoduchý:

tar -xzvf openvpn-2.0_beta10.tar.gz
cd openvpn-2.0_beta10
./configure --prefix=/usr
make
make install

Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat i bez ní.

Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování (pořád jsme v adresáři se zdrojovými kódy OpenVPN):

./openvpn --genkey --secret key
./openvpn --test-crypto --secret key

Dál otestujeme navázání spojení pomocí TLS/SSL:

V jednom terminálu spustíme:

./openvpn --config sample-config-files/loopback-client

V druhém terminálu spustíme:

./openvpn --config sample-config-files/loopback-server

3  Podpora pro tun/tap

OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun nebo tap.

Podpora pro tun/tap je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn. Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):

Device Drivers --->
  Networking support  --->
      <M>   Universal TUN/TAP device driver support