Konfigurace OpenVPN (Linux - Windows)
OpenVPN zde bude konfigurována jako klient/server.
Propojení linuxovského serveru a MS Windows klientů se provede pomocí SSL a X.509 autorizace, může se použít sdílený klíč jako doplněk.
Je třeba mít k dispozici platný certifikát. Použití certifikační autority má nevýhodu, že OpenVPN dovolí přístup každému, kdo má platný certifikát. Je dobré mít nakonfigurovaný filtr, který rozhodne podle jména certifikátu, zda povolit přihlášení či nikoliv.
OpenVPN poslouchá na jednom portu. Když přijde paket UDP (TCP), pokusí se UDP spojením navázat SSL/TLS komunikaci a ověřit certifikát druhé strany oproti certifikační autoritě. Obě strany se pomocí SSL/TLS dohodnou na klíčích a šifrách pro zabezpečení dat. Nakonec pošle server klientovi konfigurační volby (IP, nastavení směrování,..).
Při použití sdíleného klíče jako doplňku k SSL/TLS se budou všechna data podepisovat pomocí tohoto klíče. Nepodepsané nebo špatně podepsané pakety se hned zahazují.
Konfigurace serveru OpenVPN (soubor /etc/openvpn/vpn_server.conf):
Server má např. adresu eryx.zcu.cz
| mode server | OpenVPN bude fungovat jako klient/server |
| tls-server | počítač vystupuje v rámci TSL spojení jako server |
| dev tap0 | upřesnění typu vytvářeného zařízení |
| ifconfig 10.0.1.100 255.255.255.0 | adresa serveru |
| ifconfig-pool 10.0.1.1 10.0.1.90 255.255.255.0 | rozsah adres, ze kterého je přidělováno klientům |
| duplicate-cn | současné přihlášení více klientů se stejným certifikátem |
| ca /etc/openvpn/cacert.pem | certifikát certifikační autority |
| cert /etc/openvpn/vpn.crt | certifikát serveru |
| key /etc/openvpn/vpn.key | klíč serveru |
| dh /etc/openvpn/dh1024.pem | parametry pro Diffie-Hellman protokol |
| log-append /var/log/openvpn | parametry logování |
| status /var/run/openvpn/vpn.status 10 | jméno souboru pro uložení stavu OpenVPN |
| user openvpn | |
| group openvpn | |
| comp-lzo | |
| verb 3 |
Soubor s parametry pro Diffie-Hellman
je možno vytvořit příkazem
openssl dhparam -out
dh1024.pem 1024
Konfigurace klienta (MS
Windows):
Nainstaluje se klient OpenVPN, použije se konfigurační soubor standardně z umístění C:\Program Files\OpenVPN\config\vpn_klient.ovpn. Soubory s touto příponou v adresáři config se spouští automaticky.
| remote eryx.zcu.cz | adresa serveru |
| tls-client | |
| dev tap | typ zařízení, při použití více VPN, je potřeba vytvořit více virtuálních zařízení a pomocí dev-node určit, které se bude používat |
| pull | stažení konfigurace ze serveru pomocí volby push |
| mute 10 | |
| ca cacert.pem | certifikáty |
| cert klient.cert | |
| key klient.key | soubor s klíčem |
| comp-lzo | |
| verb 3 |
Všechny dostupné adaptéry lze vypsat příkazem
openvpn --show-adapters