Erinevus lehekülje "Märkused OpenVPN kasutamise kohta" redaktsioonide vahel

Sissejuhatus

Käesolevasse teksti on koondatud üldised märkused OpenVPN kasutamise kohta.

Kliendi ja serveri tarkvara

OpenVPN serveris ja kliendis kasutatakse iseenesest sama tarkvara, arvuti omandab serveri või kliendi rolli vastavalt seadistusele.

Deemon režiimis käivitamiseks tuleb kasutada --daemon võtit.

OpenVPN ja kellaaeg

OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.

Sertifikaatide haldamine

Kui on vajalik pidada OpenVPN serveri Debiani peal, siis CA pidamiseks sobib kasutada kataloogis /usr/share/doc/openvpn/examples/easy-rsa/2.0 asuvaid programme.

Kui CA jaoks kasutada mõnda muud programmi kui OpenVPNiga kaasa tulevat eary-rsa, nt TinyCA (http://kuutorvaja.eenet.ee/wiki/TinyCA_kasutamine), siis ei ole vaja tegeleda keskkonnamuutujate seadistamisega, piisab vaid näidata seadistusfailis võtmete ja sertifikaatide asukohad.

Kliendi vaikelüüs üle VPN kanali

Kui OpenVPN server suunab ümber kliendi vaikelüüsi üle tunneli (push "redirect-gateway local def1"), siis peab arvestama, et kõik liiklus hakkab selle kliendi jaoks käima läbi OpenVPN serveri, st kliendi internetiühenduse kiirus on piiratud OpenVPN serveri internetiühenduse kiirusega.

Ühendumine samaaegselt mitmesse erinevasse samu ip aadress kasutavasse võrku üle ruuditud OpenVPN puhul

Olgu eesmärgiks korraldada OpenVPN kliendist samaaegne ühendumine mitmesse eemal asuvasse võrku, kusjuures iseenesest need võrgud kasutavad samu aadress. Üheks võimalusest on probleem lahendada selliselt, et võrku A pöördutakse nö tavalisel viisil, aga võrgu B kasutamisel sooritatakse sellised IP aadresside teisendused

• klient ruudib fiktiivse võrgu 192.168.20.0/24 liikluse tunneli B teisse otsa
• OpenVPN server B teisendab aadressilt 172.19.0.5 lähtuva liikluse sihtaadressid 192.168.2.0/24 võrgu aadressideks
• OpenVPN server B teisendab aadressilt 172.19.0.5 lähtuva liikluse lähteaadressi aadressiks 192.168.2.254

                                       ___
                              klient  |   |  tun0: 172.17.4.97
                                      |___|  tun1: 172.19.0.5
                                        |
                                        |
  
                                    internet
 
                                |                |
                                |                |   eth0: xxx
            OpenVPN server A   _|_              _|_   OpenVPN server B
           tun0: 172.17.4.98  |   |            |   |  tun0: 172.19.0.6
                              |___|            |___|  
                                |                |   eth1: 192.168.2.254
                                |                |
                                |                |  B: 192.168.2.0/24
            A: 192.168.2.0/24   |              --|--------------------------------
 -------------------------------|--

Sellise skeemi rakendamisega kaasneb

• võrgu B arvutite jaoks paistab OpenVPN kliendi liiklus lähtuvat OpenVPN serveri sisemiselt aadressilt
• teisendusi tuleb teha B võrgu iga üksiku ip aadressi jaoks
• võrgu B arvuti poole ei pöörduta tema päris ip aadressiga

iptables programmi abil sobib taoliste teisenduste teostamiseks öelda kliendis

 # route add -net 192.168.20.0 netmask 255.255.255.0 gw 172.19.0.6

ning OpenVPN server B arvutis

 # iptables -t nat -i tun0 -A PREROUTING -s 172.19.0.5 -d 192.168.20.252 -j DNAT --to 192.168.2.252
 # iptables -t nat -A POSTROUTING -s 172.19.0.5 -d 192.168.2.252 -j SNAT --to 192.168.2.254

OpenVPN serveri pidamine mitmel pordil

Tavaliselt saab nö raskesti väljapääsetavatest võrkudest ikkagi välja 80/tcp või 443/tcp pordile, st võib olla mõtet lisaks standardsele OpenVPN 1194/udp pordile pidada teenust ka nt 443/tcp pordil. Selleks tuleb käivitada kaks üksteisest sõltumatut OpenVPN protsessi, kusjuures OpenVPN serverisse tekib siis ka kaks tun seadet.