VPN
VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Eviews, Matlabu (platí pouze pro zaměstnance a doktorandy), Mathematicy a Tecplotu.
VPN je určena především pro zaměstnance a doktorandy matematické sekce a v odůvodněných případech pro studenty matematických oborů. Pokud patříte pod jinou sekci, je nutné z administrativních důvodů požádat správu sítě na dané sekci. Tedy pro fyzikální sekci použijte kontakty netadm(zavináč)karlov.mff.cuni.cz pro Karlov nebo netadm(zavináč)troja.mff.cuni.cz pro Troju a pro informatickou sekci použijte kontakt netadm(zavináč)mbox.ms.mff.cuni.cz.
Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské práce, diplomové práce nebo projektu či grantu).
- Vstupním bodem do VPN v Karlíně je server
privpn.karlin.mff.cuni.cz
. - Po úspěšném připojení vašeho počítače do VPN v Karlíně
se stane Váš počítač součástí karlínské sítě bez ohledu na to,
kde se ve světě nachází a tudíž
z něj pak můžete přistupovat ke všem zdrojům v Karlíně i mimo Karlín
zcela identicky jako
z jakéhokoliv počítače umístěného přímo v Karlíně. Celá komunikace z vašeho
počítače je navíc chráněna proti neoprávněnému odposlechu. - Připojování do VPN v Karlíně je možné pouze po dohodě se správou sítě.
- Virtuální privátní síť je vybudována na základě volně dostupného software
OpenVPN
Pro připojení k VPN síti potřebujete
- OpenVPN klienta pro Windows
nebo Linux. - Balíček
vpnNNN.tgz
pro UNIX nebovpnNNN.exe
pro Windows s konfiguračními soubory a bezpečnostními klíči
pro komunikaci (tyto soubory získáte od správy počítačové sítě v Karlíně) - kde
NNN je nejake trojčíslí. - Nainstalovat software podle popisu níž v operačním
systému Windows (XP nebo 2000)
nebo Linux (...)
Instalace
Postup instalace OpenVPN ve Windows.
Pokud budete instalovat OpenVPN na počítači, kde jsou 64 bitové Windows, je třeba OpenVPN nainstalovat
do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.
- Spusťte poslední verzi programu
openvpn
z
domovské stránky
openvpn.net. Stažený
program spusťte a klikejte na přednastavené volby:
potvrzení začátku instalace,
souhlas s licencí,
s přednastavením instalovaných komponent,
nastavení adresáře, kam se bude OpenVPN instalovat,
souhlas s možnou nekompatibilitou s windows,
dokončení instalace komponent,
dokončení instalace. - V dalším kroku je nutno nainstalovat konfigurační soubor
a certifikáty, které jste získali od správy sítě v souboruvpnNNN.exe
(kde NNN jsou nějaké číslice).
Tento soubor nakopírujte do
adresářeC:\Program Files\OpenVPN
a v tomto adresáři spusťte - jako administrator (tj. klik pravým tlačítkem a zvolit "Spustit jako správce").
Program vytvoří nový podadresářKeys
s konfiguračními
soubory. Všechny soubory z tototo adresáře nakopírujte do adresáře config
Na ploše se vytvořil zástupce OpenVPN GUI tohoto zástupce je nutné spouštět jako administrátor. Toto
spouštění je možné upravit u samotného zástupce takto: klikneme na zástupce pravým tlačítkem, zvolíme "Vlastnosti", pak klikneme na tlačítko upřesnit zde zvolíme
"Spustit jako správce".
Po spuštění Open VPN GUI se vpravo dole v SYSTRAY objeví šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme
pravým tlačítkem a zvolím "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace
připojování) a pak zeleně (připojeno).
Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"
OpenVPN v Linuxu (Debian, Slackware)
Instalace
Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.
Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na záložku kompilace.
Instalace klíčů
Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).
Modifikace klíčů pro Windows
Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:
dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server
Nastavení firewallu
Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:
iptables -I INPUT -i tap0 -j ACCEPT
Spuštění a ukončení OpenVPN
OpenVPN se spouští (pod uživatelem root)
openvpn --config /root/.openvpn/client.conf
Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.
OpenVPN se ukončuje
- Zavřít v okně
openvpn
pomocí sekvence Ctrl c. Tím se ukončí VPN spojení a nastaví se původní hodnoty připojení.
Změna hesla (passphrase)
- Spusťte příkazový řádek (například terminál), zadejte
su
a heslo, které má root - Nastavte správný aktuální adresář pomocí
cd /root/.openvpn/
- Spusťte příkaz
openssl rsa -in client.key -des3 -out newkey.key
- Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).
- Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).
- Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).
- Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem.
cp -f newkey.key client.key
- Ukončete příkazový řádek.
- Instalace
- Hlavní nabídka panelu | system | adept manažer
- v seznamu balíků najit openvpn, změnit požadavek na nainstalovat
a tlačítko Použít zmeny - Otestování funkčnosti
- instalace klice vpnNNNN.tar
openvpn --genkey --secret key
openvpn --test-crypto --secret key
sudo xterm
cd /
tar xf /usr/src/vpnNNNN.tar
cd /root
vi .openvpn/client.conf
# zakomentovat ns-cert-type server
# A jako uzivatel spustit
sudo openvpn --config /root/.openvpn/client.conf
# muze vyzadovat poprve heslo roota, podruhe heslo klice
# zmena hesla klice stejna jako u Debianu
Kompilace, nastavení jádra
Aplikace závisí na knihovně LZO
(dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).
Download
OpenVPN je ke stažení na adrese
prdownloads.sourceforge.net/openvpn/, aktuální je verze
2.0
(nebo starší).
Kompilace
Zkompilujte a nainstalujte knihovnu LZO
(./configure --prefix=/usr && make && make install
),
poté spusťte jako uživatel root ldconfig
.
Překlad OpenVPN je také velmi jednoduchý:
tar -xzvf openvpn-2.0_beta10.tar.gz
cd openvpn-2.0_beta10
./configure --prefix=/usr
make
make install
Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat
i bez ní.
Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování
(pořád jsme v adresáři se zdrojovýmy kódy OpenVPN):
./openvpn --genkey --secret key
./openvpn --test-crypto --secret key
Dál otestujeme navázání spojení pomocí TLS/SSL:
V jednom terminálu spustíme:
./openvpn --config sample-config-files/loopback-client
V druhém terminálu spustíme:
./openvpn --config sample-config-files/loopback-server
tun/tap
OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun
nebo tap
.
Podpora pro tun/tap
je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není
co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn.
Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):
Device Drivers --->
Networking support --->
<M> Universal TUN/TAP device driver support