Nykyinen versio |
Oma tekstisi |
Rivi 8: |
Rivi 8: |
| }} | | }} |
|
| |
|
| '''OpenVPN''' on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan.
| | OpenVPN on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan. |
|
| |
|
| ==Asennus== | | ==Asennus== |
Rivi 14: |
Rivi 14: |
|
| |
|
| NetworkManager tarvitsee myös paketin <tt>network-manager-openvpn</tt>. | | NetworkManager tarvitsee myös paketin <tt>network-manager-openvpn</tt>. |
|
| |
| ==Avaimet==
| |
| ===Staattinen avain===
| |
| Staattisella avaimen edut:
| |
| * Yksinkertainen asennus
| |
| * Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa
| |
| Staattisen avaimen haitat:
| |
| * Vain yksi asiakas per palvelin
| |
| * Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön)
| |
| * Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa.
| |
|
| |
| ====Esimerkki staattisella avaimella====
| |
| Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[http://www.openvpn.net] sivustolta ja on luettavissa sivustolta sellaisenaan.
| |
|
| |
| Staattinen avain luodaan komennolla:
| |
| <pre>
| |
| shell>openvpn –genkey –secret static.key
| |
| </pre>
| |
| Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen.
| |
|
| |
| Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla.
| |
| Tehdään palvelimelle konfigurointitiedosto:
| |
|
| |
| <pre>
| |
| dev tun
| |
| ifconfig 10.8.0.1 10.8.0.2
| |
| secret static.key
| |
| </pre>
| |
| Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain.
| |
|
| |
| Asiakaskoneen konfigurointitiedosto:
| |
| <pre>
| |
| remote munmasiina.mundomain
| |
| dev tun
| |
| ifconfig 10.8.0.2 10.8.0.1
| |
| secret static.key
| |
| </pre>
| |
| Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi.
| |
|
| |
| Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero.
| |
|
| |
| Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella:
| |
| <pre>
| |
| shell>openvpn [palvelimen/asiakkaan asetustiedosto]
| |
| </pre>
| |
| Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta:
| |
| <pre>
| |
| shell>ping 10.8.0.1
| |
| </pre>
| |
| Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa.
| |
| Jos ping onnistuu, niin muodostettu VPN tunneli toimii.
| |
|
| |
|
| ==Jakelukohtaista== | | ==Jakelukohtaista== |