OpenVPN kliendi kasutamine Debianiga

Allikas: Kuutõrvaja
Redaktsioon seisuga 26. juuni 2009, kell 15:52 kasutajalt Imre (arutelu | kaastöö) (Eesti ID-kaardi kasutamine OpenVPN kliendiga)

OpenVPN ruuditud lahenduse kliendi seadistamine

Palas http://kuutorvaja.eenet.ee/wiki/OpenVPN_serveri_kasutamine_OpenBSD'ga#OpenVPN_ruuditud_lahenduse_serveri_seadistamine kirjeldatud serverile vastava kliendi seadistamiseks sobib kasutada sellist seadistusfaili 

 client
 dev tun0
 proto udp
 remote 192.168.99.90
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 ca /etc/openvpn/keys/VPN-TLA-ca.pem
 cert /etc/openvpn/keys/tla-martkask.vpn.loomaaed.tartu.ee-cert.pem
 key /etc/openvpn/keys/tla-martkask.vpn.loomaaed.tartu.ee-key.pem
 comp-lzo
 verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis 

 # cd /etc/openvpn
 # openvpn --config openvpn.conf

OpenVPN sillatud lahenduse kliendi seadistamine

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti, nii nagu kirjeldatud sertifikaatide punktis.

Kliendi poolel sobib sillatud režiimis kasutada sellist seadistusfaili 

 # cat /etc/openvpn/openvpn.conf
 client
 dev tap
 proto udp
 remote 172.16.2.1
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 ca keys/ca.crt
 cert keys/kalake.crt
 key keys/kalake.key
 comp-lzo
 verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis 

 # cd /etc/openvpn
 # openvpn --config openvpn.conf

Eesti ID-kaardi kasutamine OpenVPN kliendiga

Selleks, et OpenVPN klient saaks ennast autentida ID-kaardi abil VPN kasutajana peab kliendi arvutis olema tehtud Eesti ID-kaardi kasutamiseks vajalikud ettevalmistused, nt nii nagu on kirjeldatud palas http://kuutorvaja.eenet.ee/wiki/Eesti_ID-kaardi_kasutamine_Debianiga

Ettevalmistuste edukuse kontrollimiseks sobib öelda nt 

 # openvpn --show-pkcs11-ids /usr/lib/opensc-pkcs11.so
 
 The following objects are available for use.
 Each object shown below may be used as parameter to
 --pkcs11-id option please remember to use single quote mark.
 
 Certificate
      DN:             /C=EE/O=ESTEID/OU=authentication/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
      Serial:         48843168
      Serialized id:  AS\x20Sertifitseerimiskeskus/PKCS\x20\x2315\x20SCard/A0055728/ID\x2Dkaart\x20\x28PIN1\x2C\x20Isikutuvastus\x29/01
 
 Certificate
      DN:             /C=EE/O=ESTEID/OU=digital signature/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
      Serial:         48843169
      Serialized id:  AS\x20Sertifitseerimiskeskus/PKCS\x20\x2315\x20SCard/A0055728/ID\x2Dkaart\x20\x28PIN2\x2C\x20Allkirjastamine\x29/02

Kliendi poolel sobib kasutada nt sellist seadistusfaili, \ märgid on varjestatud 

 client
 dev tun
 proto udp
 remote 192.168.99.90
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 ca /etc/openvpn/SK-CA.pem
 
 pkcs11-providers  /usr/lib/opensc-pkcs11.so
 pkcs11-id "AS\\x20Sertifitseerimiskeskus/PKCS\\x20\\x2315\\x20SCard/A0055728/ID\\x2Dkaart\\x20\\x28PIN1\\x2C\\x20Isikutuvastus\\x29/01"
 
 comp-lzo
 verb 3

kus väärtus 'A0055728' on kasutajal personaalne, see kirjas nt füüsiliselt kaardil ja visuaalsel vaatlusel loetav.

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=OpenVPN_kliendi_kasutamine_Debianiga&oldid=12496"