Ero sivun ”VPN” versioiden välillä
Siirry navigaatioon
Siirry hakuun
→OpenVPN: Esimerkkikonfigurointi staattisella avaimella
(→OpenVPN: Esimerkkikonfigurointi staattisella avaimella) |
|||
| Rivi 32: | Rivi 32: | ||
[[OpenVPN]] on [[OpenSSL]]:ään pohjautuva, [[GPL]]-lisensoitu VPN-protokolla. | [[OpenVPN]] on [[OpenSSL]]:ään pohjautuva, [[GPL]]-lisensoitu VPN-protokolla. | ||
*[http://openvpn.net/ Kotisivu] | *[http://openvpn.net/ Kotisivu] | ||
==== Asennus ==== | |||
OpenVPN on asennettavissa useissa jakeluissa [[pakettienhallinta|pakettienhallinnan]] avulla, RPM-pohjaisissa käyttöjärjestelmissä se on käännettävissä [[rpmbuild]]-ohjelman avulla tai kääntämällä ./configure-menetelmällä suoraan lähdekoodista. Joissain jakeluissa se on jo valmiiksi asennettuna. Esimerkiksi Fedoralla tai vastaavalla [[RPM]]-pohjaisella voidaan tarkistaa: | |||
<pre> | |||
shell>rpm -qa | grep openvpn | |||
</pre> | |||
RPM-paketista asennettaessa sillä on seuraavat riippuvuudet: | |||
* openssl | |||
* lzo | |||
* pam | |||
Ja jos ollaan rakentamassa itse käännettyä RPM-pakettia, myös seuraavat riippuvuudet: | |||
* openssl-devel | |||
* lzo-devel | |||
* pam-devel | |||
Huomaa, että näiden pakettien nimet eroavat jakelusta riippuen. | |||
Lähdekoodista kääntämällä OpenVPN asennetaan seuraavasti: | |||
<pre> | |||
shell>tar xfz openvpn-[versionro].tar.gz | |||
</pre> | |||
Purkamisen jälkeen siirrytään puretun kansion juureen ja kirjoitetaan vaiheittain seuraavat komennot: | |||
<pre> | |||
shell>./configure | |||
shell>make | |||
shell>make install | |||
</pre> | |||
Katso lisätiedot [[kääntäminen|kääntämisestä]]. | |||
===== Staattinen avain ===== | |||
Staattisella avaimen edut: | |||
* Yksinkertainen asennus | |||
* Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa | |||
Staattisen avaimen haitat: | |||
* Vain yksi asiakas per palvelin | |||
* Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön) | |||
* Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa. | |||
===== Esimerkki staattisella avaimella ===== | |||
Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[http://www.openvpn.net] sivustolta ja on luettavissa sivustolta sellaisenaan. | |||
Staattinen avain luodaan komennolla: | |||
<pre> | |||
shell>openvpn –genkey –secret static.key | |||
</pre> | |||
Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen. | |||
Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla. | |||
Tehdään palvelimelle konfigurointitiedosto: | |||
<pre> | |||
dev tun | |||
ifconfig 10.8.0.1 10.8.0.2 | |||
secret static.key | |||
</pre> | |||
Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain. | |||
Asiakaskoneen konfigurointitiedosto: | |||
<pre> | |||
remote munmasiina.mundomain | |||
dev tun | |||
ifconfig 10.8.0.2 10.8.0.1 | |||
secret static.key | |||
</pre> | |||
Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi. | |||
Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero. | |||
Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella: | |||
<pre> | |||
shell>openvpn [palvelimen/asiakkaan asetustiedosto] | |||
</pre> | |||
Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta: | |||
<pre> | |||
shell>ping 10.8.0.1 | |||
</pre> | |||
Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa. | |||
Jos ping onnistuu, niin muodostettu VPN tunneli toimii. | |||
===PPTP=== | ===PPTP=== | ||