Ero sivun ”OpenVPN” versioiden välillä
Pb (keskustelu | muokkaukset) p (kai pikemminkin näin?) |
pEi muokkausyhteenvetoa |
||
(2 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
{{Ohjelma | {{Ohjelma | ||
| nimi=OpenVPN | | nimi=OpenVPN | ||
| kuva= | | kuva=[[Tiedosto:OpenVPN logo.png]] | ||
| kuvateksti= | | kuvateksti= | ||
| lisenssi=[[GPL]] | | lisenssi=[[GPL]]v2 | ||
| käyttöliittymä=teksti | | käyttöliittymä=teksti | ||
| kotisivu=[ | | kotisivu=[https://openvpn.net/ openvpn.net] | ||
OpenVPN on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan. | }} | ||
'''OpenVPN''' on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan. | |||
==Asennus== | ==Asennus== | ||
OpenVPN | {{Asenna|OpenVPN|openvpn}} | ||
NetworkManager tarvitsee myös paketin <tt>network-manager-openvpn</tt>. | |||
==Avaimet== | |||
===Staattinen avain=== | |||
Staattisella avaimen edut: | |||
* Yksinkertainen asennus | |||
* Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa | |||
Staattisen avaimen haitat: | |||
* Vain yksi asiakas per palvelin | |||
* Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön) | |||
* Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa. | |||
====Esimerkki staattisella avaimella==== | |||
Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[http://www.openvpn.net] sivustolta ja on luettavissa sivustolta sellaisenaan. | |||
Staattinen avain luodaan komennolla: | |||
<pre> | |||
shell>openvpn –genkey –secret static.key | |||
</pre> | |||
Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen. | |||
Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla. | |||
Tehdään palvelimelle konfigurointitiedosto: | |||
<pre> | |||
dev tun | |||
ifconfig 10.8.0.1 10.8.0.2 | |||
secret static.key | |||
</pre> | |||
Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain. | |||
Asiakaskoneen konfigurointitiedosto: | |||
<pre> | |||
remote munmasiina.mundomain | |||
dev tun | |||
ifconfig 10.8.0.2 10.8.0.1 | |||
secret static.key | |||
</pre> | |||
Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi. | |||
Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero. | |||
Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella: | |||
<pre> | |||
shell>openvpn [palvelimen/asiakkaan asetustiedosto] | |||
</pre> | |||
Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta: | |||
<pre> | |||
shell>ping 10.8.0.1 | |||
</pre> | |||
Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa. | |||
Jos ping onnistuu, niin muodostettu VPN tunneli toimii. | |||
==Jakelukohtaista== | |||
===Fedora-pohjaiset jakelut=== | |||
Fedora-pohjaisissa jakeluissa [[SELinux]] ei anna tietoturvasyistä ladata sertifikaattia mistä tahansa. Tehdään kotihakemistoon <tt>.cert</tt>-hakemisto: | |||
$ mkdir ~/.cert | |||
Säädetään asetukset: | |||
$ restorecon -R -v ~/.cert | |||
Lopuksi siirretään <tt>.ca</tt>-päätteinen sertifikaattitiedosto <tt>~/.cert</tt>-hakemistoon. | |||
Ongelman voi myös ratkaista kytkemällä SELinuxin pois päältä, mikä '''ei ole missään tapaksessa suositeltavaa'''. | |||
[[Luokka:Verkko]] | [[Luokka:Verkko]] |
Nykyinen versio 13. toukokuuta 2014 kello 22.06
OpenVPN | |
---|---|
Käyttöliittymä | teksti |
Lisenssi | GPLv2 |
Kotisivu | openvpn.net |
OpenVPN on vapaa VPN-ohjelmisto. Se ei käytä IPseciä, vaan kuljettaa kaiken liikenteen yksittäisen UDP- tai TCP-portin läpi. Se tukee liikenteen salausta OpenSSL-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että Windowsille. Esimerkiksi NetworkManager osaa OpenVPN-asiakkaana toimimisen lähes suoraan.
Asennus[muokkaa]
OpenVPN löytyy useimpien jakeluiden paketinhallinnasta nimellä openvpn. Lisätietoja ohjelmien asentamisesta löytyy artikkelista Ohjelmien asentaminen.
NetworkManager tarvitsee myös paketin network-manager-openvpn.
Avaimet[muokkaa]
Staattinen avain[muokkaa]
Staattisella avaimen edut:
- Yksinkertainen asennus
- Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa
Staattisen avaimen haitat:
- Vain yksi asiakas per palvelin
- Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön)
- Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa.
Esimerkki staattisella avaimella[muokkaa]
Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[1] sivustolta ja on luettavissa sivustolta sellaisenaan.
Staattinen avain luodaan komennolla:
shell>openvpn –genkey –secret static.key
Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen.
Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla. Tehdään palvelimelle konfigurointitiedosto:
dev tun ifconfig 10.8.0.1 10.8.0.2 secret static.key
Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain.
Asiakaskoneen konfigurointitiedosto:
remote munmasiina.mundomain dev tun ifconfig 10.8.0.2 10.8.0.1 secret static.key
Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi.
Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero.
Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella:
shell>openvpn [palvelimen/asiakkaan asetustiedosto]
Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta:
shell>ping 10.8.0.1
Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa. Jos ping onnistuu, niin muodostettu VPN tunneli toimii.
Jakelukohtaista[muokkaa]
Fedora-pohjaiset jakelut[muokkaa]
Fedora-pohjaisissa jakeluissa SELinux ei anna tietoturvasyistä ladata sertifikaattia mistä tahansa. Tehdään kotihakemistoon .cert-hakemisto:
$ mkdir ~/.cert
Säädetään asetukset:
$ restorecon -R -v ~/.cert
Lopuksi siirretään .ca-päätteinen sertifikaattitiedosto ~/.cert-hakemistoon.
Ongelman voi myös ratkaista kytkemällä SELinuxin pois päältä, mikä ei ole missään tapaksessa suositeltavaa.