VPN v Karlíně
VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Eviews, Matlabu (platí pouze pro zaměstnance a doktorandy), Mathematicy a Tecplotu.
VPN je určena především pro zaměstnance a doktorandy matematické sekce a v odůvodněných případech pro studenty matematických oborů. Pokud patříte pod jinou sekci, je nutné z administrativních důvodů požádat správu sítě na dané sekci. Tedy pro fyzikální sekci použijte kontakty netadm(zavináč)karlov.mff.cuni.cz pro Karlov nebo netadm(zavináč)troja.mff.cuni.cz pro Troju a pro informatickou sekci použijte kontakt netadm(zavináč)mbox.ms.mff.cuni.cz.
Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské práce, diplomové práce nebo projektu či grantu).
Základní informace:
- Vstupním bodem do VPN v Karlíně je server
privpn.karlin.mff.cuni.cz
. - Po úspěšném připojení vašeho počítače do VPN v Karlíně se stane Váš počítač součástí karlínské sítě bez ohledu na to, kde se ve světě nachází a tudíž z něj pak můžete přistupovat ke všem zdrojům v Karlíně i mimo Karlín zcela identicky jako z jakéhokoliv počítače umístěného přímo v Karlíně. Celá komunikace z vašeho počítače je navíc chráněna proti neoprávněnému odposlechu.
- Připojování do VPN v Karlíně je možné pouze po dohodě se správou sítě.
- Virtuální privátní síť je vybudována na základě volně dostupného software OpenVPN.
Pro připojení k VPN síti potřebujete:
- Balíček s konfiguračními soubory a bezpečnostními klíči pro komunikaci. Balíček je soubor s názvem tvaru
vpnNNN.tgz
(UNIX) nebovpnNNN.zip
(Windows), kde NNN je nejake trojčíslí. Balíček získáte od správy počítačové sítě v Karlíně. - Nainstalovat a nastavit software OpenVPN podle postupu níže.
Postupy:
- OpenVPN na Windows
- OpenVPN v Linuxu (Debian, Slackware)
- Konfigurace VPN v (K)Ubuntu
- Linux - Kompilace, nastavení jádra
OpenVPN na Windows
Pokud budete instalovat OpenVPN na počítači, kde jsou 64bitové Windows, je třeba OpenVPN nainstalovat do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.
Postup:
- Ze stránky OpenVPN: Community Downloads stáhněte a nainstalujte poslední verzi programu OpenVPN.
- Obsah archivu
vpnNNN.zip
rozbalte do složkyC:\Program Files\OpenVPN
(tj. aby složkyconfig
aKeys
byly jejími podsložkami). - Spuštěný program Open VPN GUI je vidět vpravo dole v oznamovací oblasti (systray) jako šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme pravým tlačítkem myši a zvolíme "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace připojování) a pak zeleně (připojeno).
- Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"
OpenVPN v Linuxu (Debian, Slackware)
1 Instalace
Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.
Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na oddíl kompilace.
1.1 Instalace klíčů
Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).
1.2 Modifikace klíčů pro Windows
Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:
dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server
1.3 Nastavení firewallu
Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:
iptables -I INPUT -i tap0 -j ACCEPT
2 Spuštění OpenVPN
OpenVPN se spouští pod uživatelem root:
- Spustit program
openvpn --config /root/.openvpn/client.conf
- Po zadání tohoto hesla pokračuje vytváření VPN spojení. VPN spojení je úspěšně vytvořeno, pokud text v okně po chvilce skončí řádky oznamujícími úspěšně proběhnutou inicializaci.
- Toto okno necháme po dobu používání VPN otevřené (můžeme ho stáhnout na lištu).
Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.
3 Ukončení OpenVPN
- Zavřít v okně
openvpn
pomocí sekvence Ctrl c. Tím se ukončí VPN spojení a nastaví se původní hodnoty připojení.
4 Změna hesla (passphrase)
- Spusťte příkazový řádek (například terminál), zadejte
su
a heslo, které má root - Nastavte správný aktuální adresář pomocí
cd /root/.openvpn/
- Spusťte příkaz
openssl rsa -in client.key -des3 -out newkey.key
- Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).
- Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).
- Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).
- Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem:
cp -f newkey.key client.key
- Ukončete příkazový řádek.
Konfigurace VPN v (K)Ubuntu
1 Instalace
Hlavní nabídka panelu | system | adept manažer
v seznamu balíků najit openvpn, změnit požadavek na nainstalovat a tlačítko Použít zmeny
2 Otestování funkčnosti
openvpn --genkey --secret key openvpn --test-crypto --secret key
3 Instalace klice vpnNNNN.tar
sudo xterm cd / tar xf /usr/src/vpnNNNN.tar cd /root vi .openvpn/client.conf # zakomentovat ns-cert-type server # A jako uzivatel spustit sudo openvpn --config /root/.openvpn/client.conf # muze vyzadovat poprve heslo roota, podruhe heslo klice # zmena hesla klice stejna jako u Debianu
Kompilace, nastavení jádra
Aplikace závisí na knihovně LZO (dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).
1 Download
OpenVPN je ke stažení na adrese prdownloads.sourceforge.net/openvpn/, aktuální je verze 2.0 (nebo starší).
2 Kompilace
Zkompilujte a nainstalujte knihovnu LZO (./configure --prefix=/usr && make && make install
), poté spusťte jako uživatel root ldconfig
.
Překlad OpenVPN je také velmi jednoduchý:
tar -xzvf openvpn-2.0_beta10.tar.gz cd openvpn-2.0_beta10 ./configure --prefix=/usr make make install
Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat i bez ní.
Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování (pořád jsme v adresáři se zdrojovými kódy OpenVPN):
./openvpn --genkey --secret key ./openvpn --test-crypto --secret key
Dál otestujeme navázání spojení pomocí TLS/SSL:
V jednom terminálu spustíme:
./openvpn --config sample-config-files/loopback-client
V druhém terminálu spustíme:
./openvpn --config sample-config-files/loopback-server
3 Podpora pro tun/tap
OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun
nebo tap
.
Podpora pro tun/tap
je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn. Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):
Device Drivers ---> Networking support ---> <M> Universal TUN/TAP device driver support