Märkused OpenVPN kasutamise kohta
Sisukord
Sissejuhatus
Käesolevasse teksti on koondatud üldised märkused OpenVPN kasutamise kohta.
Kliendi ja serveri tarkvara
OpenVPN serveris ja kliendis kasutatakse iseenesest sama tarkvara, arvuti omandab serveri või kliendi rolli vastavalt seadistusele.
Deemon režiimis käivitamiseks tuleb kasutada --daemon võtit.
OpenVPN ja kellaaeg
OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.
Sertifikaatide haldamine
Kui on vajalik pidada OpenVPN serveri Debiani peal, siis CA pidamiseks sobib kasutada kataloogis /usr/share/doc/openvpn/examples/easy-rsa/2.0 asuvaid programme.
Kui CA jaoks kasutada mõnda muud programmi kui OpenVPNiga kaasa tulevat eary-rsa, nt TinyCA (http://kuutorvaja.eenet.ee/wiki/TinyCA_kasutamine), siis ei ole vaja tegeleda keskkonnamuutujate seadistamisega, piisab vaid näidata seadistusfailis võtmete ja sertifikaatide asukohad.
Kliendi vaikelüüs üle VPN kanali
Kui OpenVPN server suunab ümber kliendi vaikelüüsi üle tunneli (push "redirect-gateway local def1"), siis peab arvestama, et kõik liiklus hakkab selle kliendi jaoks käima läbi OpenVPN serveri, st kliendi internetiühenduse kiirus on piiratud OpenVPN serveri internetiühenduse kiirusega.
Ühendumine samaaegselt mitmesse erinevasse samu ip aadress kasutavasse võrku üle ruuditud OpenVPN puhul
Olgu eesmärgiks korraldada OpenVPN kliendist samaaegne ühendumine mitmesse eemal asuvasse võrku, kusjuures iseenesest need võrgud kasutavad samu aadress. Üheks võimalusest on probleem lahendada selliselt, et võrku A pöördutakse nö tavalisel viisil, aga võrgu B kasutamisel sooritatakse sellised IP aadresside teisendused
- klient ruudib fiktiivse võrgu 192.168.20.0/24 liikluse tunneli B teisse otsa
- OpenVPN server B teisendab aadressilt 172.19.0.5 lähtuva liikluse sihtaadressid 192.168.2.0/24 võrgu aadressideks
- OpenVPN server B teisendab aadressilt 172.19.0.5 lähtuva liikluse lähteaadressi aadressiks 192.168.2.254
___
klient | | tun0: 172.17.4.97
|___| tun1: 172.19.0.5
|
|
internet
| |
| | eth0: xxx
OpenVPN server A _|_ _|_ OpenVPN server B
tun0: 172.17.4.98 | | | | tun0: 172.19.0.6
|___| |___|
| | eth1: 192.168.2.254
| |
| | B: 192.168.2.0/24
A: 192.168.2.0/24 | --|--------------------------------
-------------------------------|--
Sellise skeemi rakendamisega kaasneb
- võrgu B arvutite jaoks paistab OpenVPN kliendi liiklus lähtuvat OpenVPN serveri sisemiselt aadressilt
- teisendusi tuleb teha B võrgu iga üksiku ip aadressi jaoks
- võrgu B arvuti poole ei pöörduta tema päris ip aadressiga
iptables programmi abil sobib taoliste teisenduste teostamiseks öelda kliendis
# route add -net 192.168.20.0 netmask 255.255.255.0 gw 172.19.0.6
ning OpenVPN server B arvutis
# iptables -t nat -i tun0 -A PREROUTING -s 172.19.0.5 -d 192.168.20.252 -j DNAT --to 192.168.2.252 # iptables -t nat -A POSTROUTING -s 172.19.0.5 -d 192.168.2.252 -j SNAT --to 192.168.2.254
