Erinevus lehekülje "OpenVPN" redaktsioonide vahel

Allikas: Kuutõrvaja
(Eesmärk)
(OpenVPN serveri seadistamine - OpenBSD)
14. rida: 14. rida:
 
OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.
 
OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.
  
===OpenVPN serveri seadistamine - OpenBSD===
+
===OpenVPN tarkvara paigaldamine ning sertifikaatide ettevalmistamine - OpenBSD===
  
 
Paigalda pakett openvpn
 
Paigalda pakett openvpn
77. rida: 77. rida:
  
 
   # /usr/local/share/examples/openvpn/easy-rsa/build-dh
 
   # /usr/local/share/examples/openvpn/easy-rsa/build-dh
 +
 +
===OpenVPN serveri seadistamine - OpenBSD===
  
 
Serveri poolel sobib kasutada sellist seadistusfaili bridge režiimis
 
Serveri poolel sobib kasutada sellist seadistusfaili bridge režiimis

Redaktsioon: 25. juuli 2008, kell 21:10

Eesmärk

Käesolevas tekstis kirjeldatakse OpenVPN kasutamist eesmärgiga on seada käima turvaline ühendus ühe OpenBSD arvuti ja ühe või mitme Debian arvuti vahel, kusjuures OpenBSD juures töötab OpenVPN server režiimis ning Debianil klient režiimis.

OpenVPN kasutab OpenBSD poolel tun seadet ning Linuxi poolel analoogilist tun/tap seadet. Need on virtuaalsed võrguseadmed, mis tähendab, et nad on realiseeritud tarkvaraliselt võimaldades neid kasutaval programmil saata andmeid operatsioonisüsteemi võrgu pinnu (ingl. k. networking stack) ning vastupidi, võtta sealt andmeid vastu.

tun/tap seade võib töötada kahes kihis

  • layer 2 - etherneti kiht, nt moodustada sildu (Linuxi puhul tap)
  • layer 3 - ip kiht, tegeleda ruuditavate ip pakettidega (Linuxi puhul tun)

Kuna andmevahetuse krüptimisel kasutatakse sertifikaate, siis OpenVPN tarkvaraga koos jagatakse ka pisikest CA tarkvara, millega on mõnus sertifikaate hallata.

OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.

OpenVPN tarkvara paigaldamine ning sertifikaatide ettevalmistamine - OpenBSD

Paigalda pakett openvpn 

 # pkg_add openvpn

Seejärel tuleb moodustada mõned kataloogid ja failid 

 # mkdir /etc/openvpn /etc/openvpn/keys
 # touch /etc/openvpn/keys/index.txt
 # echo 01 > /etc/openvpn/keys/serial
 # cp /usr/local/share/examples/openvpn/easy-rsa/openssl.cnf /etc/openvpn

Seada sobivab keskkonnamuutujad 

 # . /usr/local/share/examples/openvpn/easy-rsa/vars

Seejärel tuleb genereerida sertifikaadid

  • CA
 # cd /etc/openvpn/keys
 # /usr/local/share/examples/openvpn/easy-rsa/build-ca

Oluline on, et CA ja järgneval serveri sertifikaadil oleks sama organisatsiooni nimi, sisestage mõistlikud andmed, näiteks 

 ...
 Country Name (2 letter code) [KG]:EE
 State or Province Name (full name) [NA]:Tartu
 Locality Name (eg, city) [BISHKEK]:Tartu
 Organization Name (eg, company) [OpenVPN-TEST]:LOOMAAED
 Organizational Unit Name (eg, section) []:
 Common Name (eg, your name or your server's hostname) []:aix.loomaaed.tartu.ee
 Email Address [me@myhost.mydomain]:
 ..

Tekivad failid 

 keys/ca.key
 keys/ca.crt
  • OpenVPN serveri sertifikaat
 # /usr/local/share/examples/openvpn/easy-rsa/build-key-server server
 ...
 The Subject's Distinguished Name is as follows
 countryName           :PRINTABLE:'EE'
 stateOrProvinceName   :PRINTABLE:'Tartu'
 localityName          :PRINTABLE:'Tartu'
 organizationName      :PRINTABLE:'LOOMAAED'
 commonName            :PRINTABLE:'tuler.loomaaed.tartu.ee'
 emailAddress          :IA5STRING:'me@myhost.mydomain'
 Certificate is to be certified until Jul 23 18:03:58 2018 GMT (3650 days)
 Sign the certificate? [y/n]:y
 ..
  • OpenVPN kliendi sertifikaat
 # /usr/local/share/examples/openvpn/easy-rsa/build-key sid1
  • Diffie-Hellmani ajad
 # /usr/local/share/examples/openvpn/easy-rsa/build-dh

OpenVPN serveri seadistamine - OpenBSD

Serveri poolel sobib kasutada sellist seadistusfaili bridge režiimis 

 # cat /etc/openvpn/openvpn.conf
 local 10.0.10.251
 port 1194
 proto udp
 dev-type tap
 dev tun0
 ca keys/ca.crt
 cert keys/server.crt
 key keys/server.key
 dh keys/dh1024.pem
 server-bridge 172.16.0.254 255.255.255.0 172.16.0.210 172.16.0.220
 ifconfig-pool-persist /tmp/ipp.txt
 push "redirect-gateway local def1"
 keepalive 10 120
 comp-lzo
 user nobody
 group nobody
 persist-key
 persist-tun
 status /var/log/openvpn-status.log
 verb 3

Ning sellist seadistusfaili route režiimis 

 # cat /etc/openvpn/openvpn.conf
 local 10.0.10.251
 port 1194
 proto udp
 dev tun0
 ca keys/ca.crt
 cert keys/server.crt
 key keys/server.key
 dh keys/dh1024.pem
 server 10.8.0.0 255.255.255.0
 ifconfig-pool-persist /tmp/ipp.txt
 push "redirect-gateway local def1"
 keepalive 10 120
 comp-lzo
 user nobody
 group nobody
 persist-key
 persist-tun
 status /var/log/openvpn-status.log
 verb 3

Käivitamiseks tuleb öelda 

 # cd /etc/openvpn
 # openvpn --config openvpn.conf

OpenVPN kliendi seadistamine - Debian

Paigaldada pakett openvpn 

 # apt-get install openvpn

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti, vajalikud on sellised failid 

 # scp keys/sid1.crt keys/sid1.key keys/ca.crt root@192.168.50.144:/etc/openvpn

Kliendi poolel sobib bridge režiimis kasutada sellist seadistusfaili 

 # cat /etc/openvpn/openvpn.conf
 client
 dev tap
 proto udp
 remote 10.0.10.251
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 ca ca.crt
 cert sid1.crt
 key sid1.key
 comp-lzo
 verb 3

Käivitamine toimub öeldes 

 # cd /etc/openvpn
 # openvpn --config openvpn.conf

Kasulikud materjalid

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=OpenVPN&oldid=8009"