Ero sivun ”OpenVPN” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
ei muokkausyhteenvetoa
Pb (keskustelu | muokkaukset) p (kai pikemminkin näin?) |
pEi muokkausyhteenvetoa |
||
(2 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
{{Ohjelma | {{Ohjelma | ||
| nimi=OpenVPN | | nimi=OpenVPN | ||
| kuva= | | kuva=[[Tiedosto:OpenVPN logo.png]] | ||
| kuvateksti= | | kuvateksti= | ||
| lisenssi=[[GPL]] | | lisenssi=[[GPL]]v2 | ||
| käyttöliittymä=teksti | | käyttöliittymä=teksti | ||
| kotisivu=[ | | kotisivu=[https://openvpn.net/ openvpn.net] | ||
OpenVPN on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan. | }} | ||
'''OpenVPN''' on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan. | |||
==Asennus== | ==Asennus== | ||
OpenVPN | {{Asenna|OpenVPN|openvpn}} | ||
NetworkManager tarvitsee myös paketin <tt>network-manager-openvpn</tt>. | |||
==Avaimet== | |||
===Staattinen avain=== | |||
Staattisella avaimen edut: | |||
* Yksinkertainen asennus | |||
* Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa | |||
Staattisen avaimen haitat: | |||
* Vain yksi asiakas per palvelin | |||
* Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön) | |||
* Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa. | |||
====Esimerkki staattisella avaimella==== | |||
Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[http://www.openvpn.net] sivustolta ja on luettavissa sivustolta sellaisenaan. | |||
Staattinen avain luodaan komennolla: | |||
<pre> | |||
shell>openvpn –genkey –secret static.key | |||
</pre> | |||
Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen. | |||
Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla. | |||
Tehdään palvelimelle konfigurointitiedosto: | |||
<pre> | |||
dev tun | |||
ifconfig 10.8.0.1 10.8.0.2 | |||
secret static.key | |||
</pre> | |||
Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain. | |||
Asiakaskoneen konfigurointitiedosto: | |||
<pre> | |||
remote munmasiina.mundomain | |||
dev tun | |||
ifconfig 10.8.0.2 10.8.0.1 | |||
secret static.key | |||
</pre> | |||
Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi. | |||
Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero. | |||
Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella: | |||
<pre> | |||
shell>openvpn [palvelimen/asiakkaan asetustiedosto] | |||
</pre> | |||
Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta: | |||
<pre> | |||
shell>ping 10.8.0.1 | |||
</pre> | |||
Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa. | |||
Jos ping onnistuu, niin muodostettu VPN tunneli toimii. | |||
==Jakelukohtaista== | |||
===Fedora-pohjaiset jakelut=== | |||
Fedora-pohjaisissa jakeluissa [[SELinux]] ei anna tietoturvasyistä ladata sertifikaattia mistä tahansa. Tehdään kotihakemistoon <tt>.cert</tt>-hakemisto: | |||
$ mkdir ~/.cert | |||
Säädetään asetukset: | |||
$ restorecon -R -v ~/.cert | |||
Lopuksi siirretään <tt>.ca</tt>-päätteinen sertifikaattitiedosto <tt>~/.cert</tt>-hakemistoon. | |||
Ongelman voi myös ratkaista kytkemällä SELinuxin pois päältä, mikä '''ei ole missään tapaksessa suositeltavaa'''. | |||
[[Luokka:Verkko]] | [[Luokka:Verkko]] |