Debian Etch - OpenVPN klient/server

Přihlášení | Registrace

napište » Zprávičky

Valve hledá vývojáře pro portování her na Linux

včera 22:04 | Upozornění

Firma Valve, tvůrce online herní platformy Steam, hledá vývojáře pro portování her z Windows na Linux. Nedávno sice Valve dementovala zvěsti o chystaném linuxovém klientu Steam, ale třeba se blýská na lepší časy.

Robert Krátký | Komentářů: 9

Open-Xchange nabízí nástroj pro migraci z Microsoft Outlooku

včera 21:50 | Zajímavý software

Tvůrci Open-Xchange, open source groupwarového softwaru, oznámili, že vyvinuli migrační nástroj pro převod dat z Microsoft Outlooku na Open-Xchange. Nástroj podporuje přesun e-mailů, kontaktů, událostí a úkolů na Open-Xchange Server. Mohou jej použít jak individuální uživatelé, kteří používali Outlook jako samostatný poštovní klient, tak ti, kdo ho používali v kombinaci s Exchange Serverem.

Robert Krátký | Komentářů: 0

Akademie Root.cz

IBM má nejrychlejší mikroprocesor: z196 s 5,2 GHz

včera 21:40 | IT novinky

IBM představila dosud nejrychlejší mikroprocesor: 5,2 GHz a stojí tisíce dolarů. Jmenuje se z196 a bude dodáván s mainframy řady Z. z196 obsahuje 1,4 miliard tranzistorů na čipu, který měří 512 čtverečních milimetrů a je vyroben 45nm technologií. Na trh se dostane během září.

Robert Krátký | Komentářů: 3

Vyberte si přednášky pro konferenci LinuxAlt

včera 16:24 | Pozvánky

Konference LinuxAlt se koná o víkendu 6. a 7. listopadu 2010 na půdě FIT VUT v Brně — Králově poli. Pořádá ji společnost Red Hat, FIT VUT a Liberix, o.p.s., a hlavním tématem jsou opět open-source software a otevřené technologie. … více »

Vlastimil Ott | Komentářů: 0

Pět tabletů Archos s Androidem 2.2 již na podzim

včera 09:57 | IT novinky

Firma Archos oznámila pětici nových tabletů s Androidem 2.2 (Froyo). Zařízení budou od kapesní velikosti (displej 2,8", 3,2" a 4,3") až po iPadovsky velké tablety (displej 7" a 10,1"). Malé verze budou v prodeji již z září, ostatní přijdou během podzimu. Nejmenší a nejlevnější bude stát 99 USD, největší a nejdražší bude za 349 USD.

Robert Krátký | Komentářů: 6

Co bude nového ve Firefoxu 4

včera 09:49 | Zajímavý článek

Čím se bude odlišovat Mozilla Firefox 4 od verze 3.x? Ubuntu.ka připravil přehled nových funkcí Firefoxu 4 včetně screenshotů srovnávajících příslušné vlastnosti ve verzích 3 a 4.

Robert Krátký | Komentářů: 14

OilRush: Nová strategická hra pro Linux

včera 09:43 | Zajímavý software

Ruská firma Unigine připravuje nativní linuxovoou real-time strategickou hru OilRush. Cílem hry bude rozšiřovat, bránit a dobývat vrtné plošiny v moři. Hra používá engine Unigine a renderovat bude pomocí OpenGL 3.x/4.x. K dispozici je docela působivá video ukázka. Informuje Phoronix.

Robert Krátký | Komentářů: 11

KSplice pro uživatele Fedory zdarma

včera 09:20 | Zajímavý software

KSplice, kód, který umožňuje patchování jádra za běhu (bez restartu), bude k dispozici pro uživatele Fedory zadarmo (kromě toho existuje placená 'enterprise' verze). Mimo Fedory je bezplatná verze k mání i pro Ubuntu.

Robert Krátký | Komentářů: 6

Fotolab už nabízí program pro objednání tisku digitálních fotografií i pro Linux

1.9. 19:47 | Zajímavý software

Firma Fotolab (sběrny Fotolab a FotoStar) vydala své programy pro objednávání tisku digitálních fotografií, fotoknih apod. i ve verzích pro Linux. Ze stránek si můžete stáhnout archiv s perlovským skriptem, který po odsouhlasení EULA dostahuje potřebné aplikační soubory.

Robert Krátký | Komentářů: 21

Microsoft získal patent na vypnutí operačního systému

1.9. 18:47 | Humor

Koncem srpna byl Microsoftu schválen patent na vypínání operačního systému. Patent má výstižný název "Operating system shut down" a ve výtažku se mimo jiné píše: "Uživatelské rozhraní a schéma poskytnuté pro umožnění vypnutí operačního systému". Vypnutí operačního systému prostě není žádná legrace. Patent uvádí pět "vynálezců". … více »

Robert Krátký | Komentářů: 91

Centrum | Napsat | Starší

navrhněte » Anketa

Používáte domácí účetnictví?

GnuCash (5%)

KMyMoney (6%)

jiné (9%)

žádné (80%)

Celkem 586 hlasů

Komentářů: 26, poslední 1.9. 19:15

Pojďte s námi budovat chytřejší planetu

Pracovní nabídky

Rozcestník

AbcLinuxu

HDmag.cz

Doporučujeme

bl4z4 - bl4z4

Aktuální zápisy

? Archív

? Navigace

Nej blogů na AbcLinuxu

Nejčtenější za poslední měsíc

Nejkomentovanější za poslední měsíc

AbcLinuxu:/ Blogy / bl4z4 / Debian Etch - OpenVPN klient/server

Debian Etch - OpenVPN klient/server

7.6.2007 23:22 | Přečteno: 9484× | Výběrový blog | poslední úprava: 8.6.2007 12:36

Konfigurace OpenVPN jako klient/server s certifikátem chráněným heslem.

Nejprve nainstalujeme potřebné balíčky.

apt-get install openvpn liblzo1 liblzo2-2

Certifikáty:

Zkopírujeme si skripty pro tvorbu certifikátů.

cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

Nastavíme přístupová práva pouze pro roota.

chmod 0700 /etc/openvpn/easy-rsa

Nastavíme si proměnné pro vytváření certifikátů.

vim /etc/openvpn/easy-rsa/vars

export KEY_SIZE=2048
export KEY_COUNTRY=CZ
export KEY_PROVINCE="Czech Republic"
export KEY_CITY="City"
export KEY_ORG="OpenVPN-company"
export KEY_EMAIL="vpn@domain.com"

Aktivace proměnných.

cd /etc/openvpn/easy-rsa
. ./vars

Vymazání všech klíčů z adresáře ./keys.

./clean-all

Vytvoření certifikační autority.

./build-ca

Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Vytvoření certifikátu a privátního klíče pro server.

./build-key-server server

Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Vytvoření klientského certifikátu chráněného heslem. Soubory client1.crt, client1.csr, client1.key, ca.crt z adresáře ./keys nakopírujeme bezpečnou formou do /etc/openvpn na klienta.

./build-key-pass client1
./build-key-pass client2
...

Enter PEM pass phrase: password
Verifying - Enter PEM pass phrase: again password

Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Vytvoření Diffie Hellman parametrů.

./build-dh

Kopírování z ./keys do /etc/openvpn a nastavení přístupových práv pouze na roota. (na straně serveru)

cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn

chmod 600 /etc/openvpn/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn

Konfigurace pro server:

vim /etc/openvpn/vpn_server.conf

# server
mode server

# tls jako server
tls-server

# port, 1194 = default
port 1194

# protokol, tcp/udp
proto tcp-server

# nastavi zarizeni
dev tap0

# adresa serveru
ifconfig 10.0.1.100 255.255.255.0

# rozsah adres pro klienty
ifconfig-pool 10.0.1.1 10.0.1.20 255.255.255.0

# soucasne prihlaseni vice klientu
duplicate-cn

# certifikat certifikacni autority
ca /etc/openvpn/ca.crt

# certifikat serveru
cert /etc/openvpn/server.crt

# klic serveru
key /etc/openvpn/server.key

# parametry pro Diffie-Hellman protokol
dh /etc/openvpn/dh2048.pem

# logy serveru
log-append /var/log/openvpn.log

# status serveru
status /var/run/vpn.status 10

# uzivatel pod kterym bezi server
user nobody

# skupina pod kterou bezi server
group nogroup

# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120

# komprese prenasenych dat
comp-lzo

# ukecanost serveru
verb 3

Konfigurace pro klienta:

vim /etc/openvpn/vpn_client.conf

# server ke kteremu se pripojujeme
remote domain.com

# tls jako klient
tls-client

# port, 1194 = default
port 1194

# protokol, tcp/udp
proto tcp-client

# nastaveni zarizeni
dev tap

# povoluje stazeni konfigurace ze severu
pull

# certifikat certifikacni autority
ca ca.crt

# certifikat klienta
cert client1.crt

# certifikat klienta
key client1.key

# uzivatel pod kterym bezi klient
user nobody

# skupina pod kterou bezi klient
group nogroup

# opakovani radku v logu
mute 10

# logy klienta
log-append /var/log/openvpn.log

# status klienta
status /var/run/vpn.status 10

# komprese prenasenych dat
comp-lzo

# ukecanost klienta
verb 3

Testování:

Spustíme daemony OpenVPN na serveru a na klientovi.

/etc/init.d/openvpn start

Takto by měl vypadat start na straně serveru.

Starting virtual private network daemon: vpn_server(OK).

Na straně klienta po zadání správného hesla.

Starting virtual private network daemon: vpn_clientEnter Private Key Password:
(OK).

Test spojení

ping 192.168.100.1

Hodnocení: 100 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

8.6.2007 08:19 kajencik | skóre: 7 | blog: kajencik | Hradec Králové
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server

Odpovědět | Sbalit | Link | Blokovat | Admin

OpenVPN má jednu zajímavou vlastnost, která se projeví když chcete routovat sítě, zejména za klientem.... Není to tak přímočaré jak by se zdálo, už si to příliš nepamatuju, ale vyžaduje to nastavení v konfiguraci openvpn tak aby vědělo co má kam posílat. ip route add xxx.xxx.xxx.xxx/xx via tun0 ani nezkoušejte ;-)

8.6.2007 10:15 Knedla | skóre: 8 | Havířov
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server

já to dělám v konfiguraci serveru pomocí

push "route sit maska"

je to dobře popsané v tom ukázkovém konfiguráku

8.3.2008 16:22 dan | skóre: 9 | blog: paranoia
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server

Odpovědět | Sbalit | Link | Blokovat | Admin

V logu /var/log/openvpn.log na klientu se obevovala dve varovani

WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Podle navodu zde a zde, je resenim pridat do /etc/openvpn/vpn_client.conf na klientu tyto tri radky

persist-key
persist-tun
ns-cert-type server

Víra se nikdy nezrodí jako výsledek racionální argumentace

23.5.2008 14:33 Dalibor Smolík | skóre: 52 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server

Odpovědět | Sbalit | Link | Blokovat | Admin

Podle tohoto návodu jsem úspěšně nainstaloval OpenVPN v Debianu (server i klient). Nyní jsem potřeboval klienta pro Windows. (OpenVPN 2.0.9). Nemá někdo funkční konfigurák? Mám k dispozici certifikáty client1.crt, ca.crt, client1.key, client1.csr a pro linuxového klienta to stačí. Ve vzorovém konfiguráku pro win je soubor cacert.pem, který k dispozici nemám a log při pokusu o připojení vyhazuje chybu. Musím totiž se občas připojit i z Windows, tak se omlouvám za tento nepatřičný dotaz :-)

. Díky

Moudrost nepřichází vždy s věkem. Někdy věk přichází sám.

10.6.2009 08:50 nbmbnm
Rozbalit Rozbalit vše parametr dh

Odpovědět | Sbalit | Link | Blokovat | Admin

Koukam na to, ze v konfiguraci serveru se odkazuje parametrem dh na nejaky soubor *.pem. K cemu to tam je? Nemusi byt byt totez i v konfiguraci klienta?

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 Powered by 64bit.eu

Podmínky použití | Osobní údaje

Sledujte AbcLinuxu.cz na:
	Facebooku,		Twitteru,		Identi.ca,		RSS