openVPN jednoduše pro 3 stanice?

Nainstalujeme:

1) Openvpn

2) Openssl

3) Lzo

4) Pam

Nejdřív vytvoříme si certifikáty pro bezpečné spojení (PKI - public key infrastructure).

Můžete upravit soubor vars aby nám rovnou nabízel předvyplněné možnosti, je to taky dobrý proto, že tyto hodnoty ve všech certifikátech musí být shodné, jinak se nepřipojíte:

export KEY_COUNTRY=CZ

export KEY_PROVINCE=CZECHIA

export KEY_CITY=PRAG

export KEY_ORG="MOJE_FIRMA"

export KEY_EMAIL=ja@example.cz

Nejdřív vygenerujeme cerifikát a klíče CA (certifikační autority)- zadáme tyto příkazy:

cp /usr/share/doc/packages/openvpn/easy-rsa /etc/openvpn/easy-rsa

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all

./build-ca

Pak vygenerujeme ceftifikát a klíče pro OpenVPN server:

./build-key-server server

Common Name: server

Sign the certificate? Y

1 out of 1 certificate requests certified, commit? Y

poté vygenerujeme cerfikáty a klíče pro OpenVPN klienty client1 a client2:

./build-key client1

Common Name: client1

Sign the certificate? Y

1 out of 1 certificate requests certified, commit? Y

./build-key client2

Common Name: client2

Sign the certificate? Y

1 out of 1 certificate requests certified, commit? Y

Pak vygenerujem Diffie Hellman parametery:

./build-dh

v podsložce keys se nám vytvořili různé klíče a certifikáty.

Ted musíme bezpečně přenést soubory ca.crt , client1.key a client1.crt na počítač client1 a ca.crt , client2.key a client2.crt na počítač client2.

Pak vygenerujem Diffie Hellman parametery:

./build-dh

Ted si nastavíme OpenVPN server:

cp /usr/share/doc/packages/openvpn/sample-config-files/server.conf /etc/openvpn/server.conf

### server.conf ####

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh1024.pem

server 192.168.100.0 255.255.255.0 #zde zadáváme celou síť a server bude naslouchat

#na první adrese sítě, zde to bude 192.168.100.1

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

;user nobody

;group nobody

persist-key

persist-tun

status openvpn-status.log

;log openvpn.log

;log-append openvpn.log

verb 3

;mute 20

################################

ted můžem server spustit. (v suse: rcopenvpn start)

Poté nakonfigurujem klienta:

########## client.conf ###############

client

dev tun

proto udp

remote 10.10.10.10 1194

resolv-retry infinite

nobind

;user nobody

;group nobody

persist-key

persist-tun

ca ca.crt

cert client1.crt

key client1.key

comp-lzo

verb 3

;mute 20

#########################

Takže takhle to chodí mě, V příkladu je 10.10.10.10 (veřejná) IP adresa OpenVPN serveru a 192.168.100.0 je sít z jejíhož rozsahu se budou klientům přidělovat adresy.

5.6.2007 20:30 power | skóre: 15
Rozbalit Rozbalit vše Re: openVPN jednoduše pro 3 stanice?

Tohle vypadá velice schopně akorát mi to právě nepřijde tak jednoduchý jako ve zmíněném článku. No což každopádně děkuju a budu to zkoušet. Uf to bude něco

Lamos Linuxos

6.6.2007 11:15 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: openVPN jednoduše pro 3 stanice?

Neboj, nejslozitejsi je vytvoreni certifikatu. Na tom jsem stravil nejvic casu. Zbytek je brnkacka. Jo, jeste si dej pozor a trochu si promysli nastaveni DHCP voleb, ktere budes posilat klientovi, at se mu spravne nastavi IP adresa, routovani, dns-servery a pod.

Dejf

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

Ještě mám dotázek. když spojím třeba i 2 sítě VPNkem vždy se dostanu jen na počítače na kterých VPN běží to znamená z klienta na server a opačně. chtěl bych aby na sebe sítě navzájem viděli. tzn aby se určité počítače mohly dostat do druhé sítě. Mám jednu síť 192.168.1.0 a druhou 192.168.10.0 VPN mezi nima má 10.0.0.1 a 10.0.0.2 Je možné aby se některé PC ze sítě 192.168.10.0 dostali na databázi která je umístěná někde v síti 192.168.1.0 ?

Lamos Linuxos

11.6.2007 22:26 milda
Rozbalit Rozbalit vše Re: openVPN jednoduše pro 3 stanice?

jj, na pocitac ktery je v siti 192.168.1.0 (tun/tap 10.0.0.1) musis dat routu:
ip route add 192.168.10.0/24 via 10.0.0.2
a na ten druhy to musi byt obracene, tzn. pro sit 192.168.10.0 (tun/tap 10.0.0.2) dej
ip route add 192.168.1.0/24 via 10.0.0.1
a jedes. Nasledne si samozrejme nastuduj man openvpn, jsou tam moznosti jak to poslat ze serveru na klienta automaticky hned po autentizaci. Ale pokud me pamet neklame, tak je to takto. Takovy podobny radek pridas do openvpn.conf na serveru a ten ti preda routu na klienta, na server das tu druhou routu rucne
push "route 192.168.10.0 255.255.255.0 10.0.0.2"

12.6.2007 07:35 power | skóre: 15
Rozbalit Rozbalit vše Re: openVPN jednoduše pro 3 stanice?

OK pročtu to a zkusím. Mělo by to fungovat i v případě co uvádí "misace2" (klienti a server)?

Lamos Linuxos

12.6.2007 09:19 milda
Rozbalit Rozbalit vše Re: openVPN jednoduše pro 3 stanice?

Myslim, ze by to fungovat melo, ale uplne dukladne jsem to nestudoval. Nicmene take mu tam v konfiguraku serveru chybi routa tak jak jsem psal minule.

Dotaz: openVPN jednoduše pro 3 stanice?

Odpovědi