abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:33 | Nová verze

Byla vydána nová stabilní verze 3.16.0, tj. první z nové řady 3.16, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu.

Ladislav Hagara | Komentářů: 0
včera 19:33 | IT novinky

NoLog.cz IT kolektiv spustil Nitter.cz. Jedná se o alternativní rozhraní pro Twitter, které nesbírá osobní údaje, nevyžaduje přihlášení a všechny přístupy na Twitter provádí skrz servery NoLog.cz.

Ladislav Hagara | Komentářů: 7
včera 18:44 | Nová verze

Byla vydána nová major verze 15 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy a videi v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0
22.5. 23:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.17 oznámil Linus Torvalds vydání Linuxu 5.18 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 0
22.5. 14:44 | Komunita

V Ubuntu 22.10 s kódovým jménem Kinetic Kudu bude zvukový server PulseAudio nahrazen multimediálním serverem PipeWire.

Ladislav Hagara | Komentářů: 14
21.5. 22:44 | Zajímavý článek

Tavis Ormandy popisuje, jak zprovoznil 32 let starý unixový port tabulkového procesoru Lotus 1-2-3 na moderním Linuxu. Doprovodné zdrojové kódy jsou na GitHubu.

Fluttershy, yay! | Komentářů: 12
21.5. 17:00 | Nová verze

Po pěti měsících vývoje od vydání verze 250 byla vydána nová verze 251 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 3
21.5. 15:44 | IT novinky

HP ve spolupráci se System76 představil 14" notebook HP Dev One s procesorem AMD Ryzen 7 PRO a předinstalovaným Pop!_OS Linuxem.

Ladislav Hagara | Komentářů: 20
21.5. 15:00 | Nová verze

Byla vydána verze 1.61.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0
19.5. 00:33 | Zajímavý článek

Správce nástroje curl Daniel Stenberg na GitHubu průběžně vytváří svou novou knihu Uncurled, v níž shrnuje své dlouhodobé zkušenosti s údržbou open-source projektu: od odpozorovaných pouček po vtipné a ne až tak vtipné příklady e-mailů od uživatelů.

Fluttershy, yay! | Komentářů: 38
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (61%)
 (15%)
 (23%)
Celkem 325 hlasů
 Komentářů: 29, poslední dnes 00:02
Rozcestník

Debian Etch - OpenVPN klient/server

7.6.2007 23:22 | Přečteno: 16136× | Výběrový blog | poslední úprava: 8.6.2007 12:36

Konfigurace OpenVPN jako klient/server s certifikátem chráněným heslem.

Nejprve nainstalujeme potřebné balíčky.

apt-get install openvpn liblzo1 liblzo2-2

Certifikáty:

Zkopírujeme si skripty pro tvorbu certifikátů.

cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

Nastavíme přístupová práva pouze pro roota.

chmod 0700 /etc/openvpn/easy-rsa

Nastavíme si proměnné pro vytváření certifikátů.

vim /etc/openvpn/easy-rsa/vars

export KEY_SIZE=2048
export KEY_COUNTRY=CZ
export KEY_PROVINCE="Czech Republic"
export KEY_CITY="City"
export KEY_ORG="OpenVPN-company"
export KEY_EMAIL="vpn@domain.com"

Aktivace proměnných.

cd /etc/openvpn/easy-rsa
. ./vars

Vymazání všech klíčů z adresáře ./keys.

./clean-all

Vytvoření certifikační autority.

./build-ca
Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Vytvoření certifikátu a privátního klíče pro server.

./build-key-server server
Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Vytvoření klientského certifikátu chráněného heslem. Soubory client1.crt, client1.csr, client1.key, ca.crt z adresáře ./keys nakopírujeme bezpečnou formou do /etc/openvpn na klienta.

./build-key-pass client1
./build-key-pass client2
...
Enter PEM pass phrase: password
Verifying - Enter PEM pass phrase: again password

Country Name (2 letter code) [CZ]:
State or Province Name (full name) [Czech Republic]:
Locality Name (eg, city) [City]:
Organization Name (eg, company) [OpenVPN-company]:
Organizational Unit Name (eg, section) []:company Team
Common Name (eg, your name or your server's hostname) []:domain.com
Email Address [vpn@domain.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Vytvoření Diffie Hellman parametrů.

./build-dh

Kopírování z ./keys do /etc/openvpn a nastavení přístupových práv pouze na roota. (na straně serveru)

cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn

chmod 600 /etc/openvpn/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn

Konfigurace pro server:

vim /etc/openvpn/vpn_server.conf
# server
mode server

# tls jako server
tls-server

# port, 1194 = default
port 1194

# protokol, tcp/udp
proto tcp-server

# nastavi zarizeni
dev tap0

# adresa serveru
ifconfig 10.0.1.100 255.255.255.0

# rozsah adres pro klienty
ifconfig-pool 10.0.1.1 10.0.1.20 255.255.255.0

# soucasne prihlaseni vice klientu
duplicate-cn

# certifikat certifikacni autority
ca /etc/openvpn/ca.crt

# certifikat serveru
cert /etc/openvpn/server.crt

# klic serveru
key /etc/openvpn/server.key

# parametry pro Diffie-Hellman protokol
dh /etc/openvpn/dh2048.pem

# logy serveru
log-append /var/log/openvpn.log

# status serveru
status /var/run/vpn.status 10

# uzivatel pod kterym bezi server
user nobody

# skupina pod kterou bezi server
group nogroup

# udrzuje spojeni nazivu, 10 (ping) a 120 (ping-restart)
keepalive 10 120

# komprese prenasenych dat
comp-lzo

# ukecanost serveru
verb 3

Konfigurace pro klienta:

vim /etc/openvpn/vpn_client.conf
# server ke kteremu se pripojujeme
remote domain.com

# tls jako klient
tls-client

# port, 1194 = default
port 1194

# protokol, tcp/udp
proto tcp-client

# nastaveni zarizeni
dev tap

# povoluje stazeni konfigurace ze severu
pull

# certifikat certifikacni autority
ca ca.crt

# certifikat klienta
cert client1.crt

# certifikat klienta
key client1.key

# uzivatel pod kterym bezi klient
user nobody

# skupina pod kterou bezi klient
group nogroup

# opakovani radku v logu
mute 10

# logy klienta
log-append /var/log/openvpn.log

# status klienta
status /var/run/vpn.status 10

# komprese prenasenych dat
comp-lzo

# ukecanost klienta
verb 3

Testování:

Spustíme daemony OpenVPN na serveru a na klientovi.

/etc/init.d/openvpn start

Takto by měl vypadat start na straně serveru.

Starting virtual private network daemon: vpn_server(OK).

Na straně klienta po zadání správného hesla.

Starting virtual private network daemon: vpn_clientEnter Private Key Password:
(OK).

Test spojení

ping 192.168.100.1
       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

8.6.2007 08:19 kajencik | skóre: 8 | blog: kajencik | Hradec Králové
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server
OpenVPN má jednu zajímavou vlastnost, která se projeví když chcete routovat sítě, zejména za klientem.... Není to tak přímočaré jak by se zdálo, už si to příliš nepamatuju, ale vyžaduje to nastavení v konfiguraci openvpn tak aby vědělo co má kam posílat. ip route add xxx.xxx.xxx.xxx/xx via tun0 ani nezkoušejte ;-)
8.6.2007 10:15 Knedla | skóre: 8 | Havířov
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server
já to dělám v konfiguraci serveru pomocí
push "route sit maska"
je to dobře popsané v tom ukázkovém konfiguráku
8.3.2008 16:22 dan | skóre: 9 | blog: paranoia | JO60WA
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server
V logu /var/log/openvpn.log na klientu se obevovala dve varovani
WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Podle navodu zde a zde, je resenim pridat do /etc/openvpn/vpn_client.conf na klientu tyto tri radky
persist-key
persist-tun
ns-cert-type server
Víra se nikdy nezrodí jako výsledek racionální argumentace
Dalibor Smolík avatar 23.5.2008 14:33 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Debian Etch - OpenVPN klient/server
Podle tohoto návodu jsem úspěšně nainstaloval OpenVPN v Debianu (server i klient). Nyní jsem potřeboval klienta pro Windows. (OpenVPN 2.0.9). Nemá někdo funkční konfigurák? Mám k dispozici certifikáty client1.crt, ca.crt, client1.key, client1.csr a pro linuxového klienta to stačí. Ve vzorovém konfiguráku pro win je soubor cacert.pem, který k dispozici nemám a log při pokusu o připojení vyhazuje chybu. Musím totiž se občas připojit i z Windows, tak se omlouvám za tento nepatřičný dotaz :-). Díky
Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
10.6.2009 08:50 nbmbnm
Rozbalit Rozbalit vše parametr dh

Koukam na to, ze v konfiguraci serveru se odkazuje parametrem dh na nejaky soubor *.pem. K cemu to tam je? Nemusi byt byt totez i v konfiguraci klienta?

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.