Nykyinen versio |
Oma tekstisi |
Rivi 1: |
Rivi 1: |
| {{Ohjelma | | {{Ohjelma |
| | nimi=OpenVPN | | | nimi=OpenVPN |
| | kuva=[[Tiedosto:OpenVPN logo.png]] | | | kuva= |
| | kuvateksti= | | | kuvateksti= |
| | lisenssi=[[GPL]]v2 | | | lisenssi=[[GPL]] |
| | käyttöliittymä=teksti | | | käyttöliittymä=teksti |
| | kotisivu=[https://openvpn.net/ openvpn.net] | | | kotisivu=[http://www.openvpn.net www.openvpn.net]}} |
| }} | | OpenVPN on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille, että [[Windows]]ille. Esimerkiksi [[Ubuntu]]n graafinen verkon asetustyökalu osaa OpenVPN-asiakkaana toimimisen lähes suoraan. |
| | |
| '''OpenVPN''' on vapaa [[VPN]]-ohjelmisto. Se ei käytä [[wikipedia:fi:IPsec|IPseciä]], vaan kuljettaa kaiken liikenteen yksittäisen [[UDP]]- tai [[TCP]]-portin läpi. Se tukee liikenteen salausta [[OpenSSL]]-kirjaston avulla, ja osaa myös pakata tietovirran. OpenVPN on saatavissa sekä Unix-tyyppisille alustoille että [[Windows]]ille. Esimerkiksi [[NetworkManager]] osaa OpenVPN-asiakkaana toimimisen lähes suoraan.
| |
|
| |
|
| ==Asennus== | | ==Asennus== |
| {{Asenna|OpenVPN|openvpn}}
| | OpenVPN löytyy useimmista [[jakelu]]ista paketista <tt>openvpn</tt>, tarkemmat asennusohjeet sivulla [[ohjelmien asentaminen]]. |
| | |
| NetworkManager tarvitsee myös paketin <tt>network-manager-openvpn</tt>.
| |
| | |
| ==Avaimet==
| |
| ===Staattinen avain===
| |
| Staattisella avaimen edut:
| |
| * Yksinkertainen asennus
| |
| * Ei X509 Julkisen avaimen infrastruktuurin ylläpitoa
| |
| Staattisen avaimen haitat:
| |
| * Vain yksi asiakas per palvelin
| |
| * Puute salauksessa (avaimen paljastuminen paljastaa aikaisempien istuntojen sisällön)
| |
| * Avaimen pitää olla selväkielinen jokaisella yhdistämiskerralla ja avaimen vaihto tapahtuu jo valmiina olevassa turvatussa tunnelissa.
| |
| | |
| ====Esimerkki staattisella avaimella====
| |
| Tässä esimerkissä esitellään hyvin yksinkertainen tapa OpenVPN yhteyden konfigurointiin staattisella avaimella. Esimerkin asetustiedot ja komennot on lainattu OpenVPN.net[http://www.openvpn.net] sivustolta ja on luettavissa sivustolta sellaisenaan.
| |
| | |
| Staattinen avain luodaan komennolla:
| |
| <pre>
| |
| shell>openvpn –genkey –secret static.key
| |
| </pre>
| |
| Huomio, että avaimen nimi voi olla mikä tahansa .key päätteinen.
| |
| | |
| Kopioi luotu avain sekä asiakaskoneelle että palvelimelle käyttäen salattua tunnelia pitkin tai esim. Siirrettävällä medialla.
| |
| Tehdään palvelimelle konfigurointitiedosto:
| |
| | |
| <pre>
| |
| dev tun
| |
| ifconfig 10.8.0.1 10.8.0.2
| |
| secret static.key
| |
| </pre>
| |
| Ensimmäisellä rivillä määritellään tunnelointitapa (tun = reititetty IP tunneli, tap = siltaava ethernet-tunneli), toisella rivillä ensin palvelimen ja toisena asiakaskoneen osoite. Viimeisellä rivillä määritellään staattinen avain.
| |
| | |
| Asiakaskoneen konfigurointitiedosto:
| |
| <pre>
| |
| remote munmasiina.mundomain
| |
| dev tun
| |
| ifconfig 10.8.0.2 10.8.0.1
| |
| secret static.key
| |
| </pre>
| |
| Ensimmäiseltä riviltä on muutettava munmasiina.mundomain joko palvelimen domainnimeksi tai IP-osoitteeksi.
| |
| | |
| Varmistetaan ja tarvittaessa avataan UDP portti 1194 palvelimella. Varmistetaan myös, ettei asiakaskoneella tai palvelimella estetä OpenVPN:n käyttämää virtuaalista TUN-käyttöliittymää. Linuxissa pitäisi löytyä nimellä tun0 ja Windows koneilla nimellä Local Area Connection n, jossa n on automaattinen järjestysnumero.
| |
| | |
| Seuraavaksi käynnistetään OpenVPN komentoriviltä (ongelmanratkaisun helpottamiseksi) seuraavalla tavalla ensin palvelimella ja sitten asiakaskoneella:
| |
| <pre>
| |
| shell>openvpn [palvelimen/asiakkaan asetustiedosto]
| |
| </pre>
| |
| Jos kaikki on mennyt nappiin eikä palomuuri estä tunnelin luomista, tee yhteyskokeilu asiakaskoneelta VPN kautta:
| |
| <pre>
| |
| shell>ping 10.8.0.1
| |
| </pre>
| |
| Jos palvelimessa käytetään siltaavaa tilaa (dev tap asetustiedostossa), IP-osoite on palvelimen IP-osoite sen aliverkossa.
| |
| Jos ping onnistuu, niin muodostettu VPN tunneli toimii.
| |
| | |
| ==Jakelukohtaista==
| |
| ===Fedora-pohjaiset jakelut===
| |
| Fedora-pohjaisissa jakeluissa [[SELinux]] ei anna tietoturvasyistä ladata sertifikaattia mistä tahansa. Tehdään kotihakemistoon <tt>.cert</tt>-hakemisto:
| |
| $ mkdir ~/.cert
| |
| Säädetään asetukset:
| |
| $ restorecon -R -v ~/.cert
| |
| Lopuksi siirretään <tt>.ca</tt>-päätteinen sertifikaattitiedosto <tt>~/.cert</tt>-hakemistoon.
| |
| | |
| Ongelman voi myös ratkaista kytkemällä SELinuxin pois päältä, mikä '''ei ole missään tapaksessa suositeltavaa'''.
| |
|
| |
|
| [[Luokka:Verkko]] | | [[Luokka:Verkko]] |