VPN

Virtuální privátní síť (VPN) v Karlíně

VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Comsolu, Eviews, Matlabu, Mathematicy a Tecplotu.

VPN je určena především pro zaměstnance a doktorandy matematické sekce. Pokud patříte pod jinou sekci, je nutné požádat správu sítě na dané sekci. Studentům poskytujeme VPN připojení v odůvodněných případech..

Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské či diplomové práce,...).


  • Vstupním bodem do VPN v Karlíně je server
    privpn.karlin.mff.cuni.cz.

  • Po úspěšném připojení vašeho počítače do VPN v Karlíně
    se stane Váš počítač součástí karlínské sítě bez ohledu na to,
    kde se ve světě nachází a tudíž
    z něj pak můžete přistupovat ke všem zdrojům v Karlíně i mimo Karlín
    zcela identicky jako
    z jakéhokoliv počítače umístěného přímo v Karlíně. Celá komunikace z vašeho
    počítače je navíc chráněna proti neoprávněnému odposlechu.

  • Připojování do VPN v Karlíně je možné pouze po dohodě se správou sítě.

  • Virtuální privátní síť je vybudována na základě volně dostupného software
    OpenVPN

Pro připojení k VPN síti potřebujete


  • OpenVPN klienta pro Windows
    nebo Linux.

  • Balíček vpnNNN.tgz pro UNIX nebo vpnNNN.exe
    pro Windows s konfiguračními soubory a bezpečnostními klíči
    pro komunikaci (tyto soubory získáte od správy počítačové sítě v Karlíně) - kde
    NNN je nejake trojčíslí.

  • Nainstalovat software podle popisu níž v operačním
    systému Windows (XP nebo 2000)
    nebo Linux (...)

OpenVPN na Windows

Instalace

Postup instalace OpenVPN ve Windows.
Pokud budete instalovat OpenVPN na počítači, kde jsou 64 bitové Windows, je třeba OpenVPN nainstalovat
do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.


  1. Spusťte poslední verzi programu openvpn z
    domovské stránky
    openvpn.net. Stažený
    program spusťte a klikejte na přednastavené volby:
    potvrzení začátku instalace,
    souhlas s licencí,
    s přednastavením instalovaných komponent,
    nastavení adresáře, kam se bude OpenVPN instalovat,
    souhlas s možnou nekompatibilitou s windows,
    dokončení instalace komponent,
    dokončení instalace.

  2. V dalším kroku je nutno nainstalovat konfigurační soubor
    a certifikáty, které jste získali od správy sítě v souboru
    vpnNNN.exe (kde NNN jsou nějaké číslice).
    Tento soubor nakopírujte do
    adresáře C:\Program Files\OpenVPN
    a v tomto adresáři spusťte - jako administrator (tj. klik pravým tlačítkem a zvolit "Spustit jako správce").
    Program vytvoří nový podadresář Keys s konfiguračními
    soubory. Všechny soubory z tototo adresáře nakopírujte do adresáře config


  3. Na ploše se vytvořil zástupce OpenVPN GUI tohoto zástupce je nutné spouštět jako administrátor. Toto
    spouštění je možné upravit u samotného zástupce takto: klikneme na zástupce pravým tlačítkem, zvolíme "Vlastnosti", pak klikneme na tlačítko upřesnit zde zvolíme
    "Spustit jako správce".


  4. Po spuštění Open VPN GUI se vpravo dole v SYSTRAY objeví šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme
    pravým tlačítkem a zvolím "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace
    připojování) a pak zeleně (připojeno).


  5. Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"


OpenVPN v Linuxu (Debian, Slackware)

Instalace
Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.

Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na záložku kompilace.

Instalace klíčů
Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).

Modifikace klíčů pro Windows
Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:

dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server

Nastavení firewallu
Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:

iptables -I INPUT -i tap0 -j ACCEPT

Spuštění a ukončení OpenVPN

OpenVPN se spouští (pod uživatelem root)

  • Spustit program openvpn --config /root/.openvpn/client.conf
  • Po zadání tohoto hesla pokračuje vytváření VPN spojení. VPN spojení je úspěšně vytvořeno, pokud text v okně po chvilce skončí řádky oznamujícími úspěšně proběhnutou inicializaci.
  • Toto okno necháme po dobu používání VPN otevřené (můžeme ho stáhnout na lištu).
  • Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.

    OpenVPN se ukončuje

    • Zavřít v okně openvpn pomocí sekvence Ctrl c. Tím se ukončí VPN spojení a nastaví se původní hodnoty připojení.

    Změna hesla (passphrase)


    1. Spusťte příkazový řádek (například terminál), zadejte su a heslo, které má root
    2. Nastavte správný aktuální adresář pomocí cd /root/.openvpn/

    3. Spusťte příkaz openssl rsa -in client.key -des3 -out newkey.key

    4. Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).

    5. Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).

    6. Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).

    7. Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem.
      cp -f newkey.key client.key

    8. Ukončete příkazový řádek.

    Konfigurace VPN v (K)Ubuntu

    Instalace
    Hlavní nabídka panelu | system | adept manažer
    v seznamu balíků najit openvpn, změnit požadavek na nainstalovat
    a tlačítko Použít zmeny
    Otestování funkčnosti

    openvpn --genkey --secret key
    openvpn --test-crypto --secret key

    instalace klice vpnNNNN.tar

    sudo xterm
    cd /
    tar xf /usr/src/vpnNNNN.tar
    cd /root
    vi .openvpn/client.conf
    # zakomentovat ns-cert-type server

    # A jako uzivatel spustit
    sudo openvpn --config /root/.openvpn/client.conf
    # muze vyzadovat poprve heslo roota, podruhe heslo klice

    # zmena hesla klice stejna jako u Debianu

    Kompilace, nastavení jádra

    Aplikace závisí na knihovně LZO
    (dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
    bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).
    Download

    OpenVPN je ke stažení na adrese
    prdownloads.sourceforge.net/openvpn/
    , aktuální je verze
    2.0
    (nebo starší).

    Kompilace
    Zkompilujte a nainstalujte knihovnu LZO
    (./configure --prefix=/usr && make && make install),
    poté spusťte jako uživatel root ldconfig.
    Překlad OpenVPN je také velmi jednoduchý:

    tar -xzvf openvpn-2.0_beta10.tar.gz
    cd openvpn-2.0_beta10
    ./configure --prefix=/usr
    make
    make install

    Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat
    i bez ní.

    Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování
    (pořád jsme v adresáři se zdrojovýmy kódy OpenVPN):
    ./openvpn --genkey --secret key
    ./openvpn --test-crypto --secret key
    Dál otestujeme navázání spojení pomocí TLS/SSL:
    V jednom terminálu spustíme:
    ./openvpn --config sample-config-files/loopback-client
    V druhém terminálu spustíme:

    ./openvpn --config sample-config-files/loopback-server

    tun/tap
    OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun nebo tap.
    Podpora pro tun/tap je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není
    co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn.
    Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):

    Device Drivers --->
    Networking support --->
    <M> Universal TUN/TAP device driver support

    Jazyk stránek