ICO wiki - User contributions [en]

Talk:Ufw

2012-05-14T09:46:22Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0,9
| On olemas ja põhjalik. Puudub info kõige uuema versiooni kohta.
|-
| Autorid
| 1
| 1
| Autorid on nimetatud.
|-
| Viimase muutmise aeg
| 1
| 0
| Puudub.
|-
| Skoop
| 1
| 1
| Juhendi eesmärk on kergesti mõistetav.
|-
| Sissejuhatus
| 1
| 1
| On antud ülevaade programmist.
|-
| Eeldused
| 1
| 0
| Puuduvad.
|-
| Installeerimise ja konfigureerimise osa
| 3
| 3
| Raske oleks sellest põhjalikumalt kirjutada.
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| 3
| Tekst on tehniliselt korrektne.
|-
| Korraldused on tekstist eristatavad
| 1
| 0,9
| Sisestatavates käskudes on kohati raske aru saada erinevatest valikutest. (<port>/<valikuline: protocol>). Seda, et protokoll on valikuline oleks võinud õelda käsu kirjelduses.
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Muutuvad osad on eristatavad
| 1
| 1
| On eristatavad.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| 1
| Tekst on loetav ja näeb kena välja.
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| 1
| Ei leidnud häirivaid kirjavigu.
|-
| Teenuse varundamine
| 1
| 0
| Puudub.
|-
| Teenuse taastamine
| 2
| 0
| Puudub.
|-
| Kokku
| 20
| 14,8
|
|}

Talk:Ufw

2012-05-14T09:41:52Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0,9
| On olemas ja põhjalik. Puudub info kõige uuema versiooni kohta.
|-
| Autorid
| 1
| 1
| Autorid on nimetatud.
|-
| Viimase muutmise aeg
| 1
| 0
| Puudub.
|-
| Skoop
| 1
| 1
| Juhendi eesmärk on kergesti mõistetav.
|-
| Sissejuhatus
| 1
| 1
| On antud ülevaade programmist.
|-
| Eeldused
| 1
| 0
| Puuduvad.
|-
| Installeerimise ja konfigureerimise osa
| 3
| 3
| Raske oleks sellest põhjalikumalt kirjutada.
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| 3
| Tekst on tehniliselt korrektne.
|-
| Korraldused on tekstist eristatavad
| 1
| 0,9
| Sisestatavates käskudes on kohati raske aru saada erinevatest valikutest. (<port>/<valikuline: protocol>)
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Muutuvad osad on eristatavad
| 1
| 1
| On eristatavad.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| 1
| Tekst on loetav ja näeb kena välja.
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| 1
| Ei leidnud häirivaid kirjavigu.
|-
| Teenuse varundamine
| 1
| 0
| Puudub.
|-
| Teenuse taastamine
| 2
| 0
| Puudub.
|-
| Kokku
| 20
| 14,8
|
|}

Talk:Ufw

2012-05-14T09:27:19Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0,9
| On olemas ja põhjalik. Puudub info kõige uuema versiooni kohta.
|-
| Autorid
| 1
| 1
| Autorid on nimetatud.
|-
| Viimase muutmise aeg
| 1
| 0
| Puudub.
|-
| Skoop
| 1
| 1
| Juhendi eesmärk on kergesti mõistetav.
|-
| Sissejuhatus
| 1
| 1
| On antud ülevaade programmist.
|-
| Eeldused
| 1
| 0
| Puuduvad.
|-
| Installeerimise ja konfigureerimise osa
| 3
| 3
| Raske oleks sellest põhjalikumalt kirjutada.
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| 3
| Korrektne
|-
| Korraldused on tekstist eristatavad
| 1
| 0,9
| Sisestatavates käskudes on kohati raske aru saada erinevatest valikutest. (<port>/<valikuline: protocol>)
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Muutuvad osad on eristatavad
| 1
| 1
| On eristatavad.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| 1
| Tekst on loetav ja näeb kena välja.
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| 1
| Ei leidnud häirivaid kirjavigu.
|-
| Teenuse varundamine
| 1
| 0
| Puudub. Võiks mainida, et eelnevalt võiks varundada iptables'i konfiguratsiooni.
|-
| Teenuse taastamine
| 2
| 0
| Puudub.
|-
| Kokku
| 20
| 14,8
|
|}

Talk:Ufw

2012-05-14T09:24:24Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0,9
| On olemas ja põhjalik. Puudub info kõige uuema versiooni kohta.
|-
| Autorid
| 1
| 1
| Autorid on nimetatud.
|-
| Viimase muutmise aeg
| 1
| 0
| Puudub.
|-
| Skoop
| 1
| 1
| Juhendi eesmärk on kergesti mõistetav.
|-
| Sissejuhatus
| 1
| 1
| On antud ülevaade programmist.
|-
| Eeldused
| 1
| 0
| Puuduvad.
|-
| Installeerimise ja konfigureerimise osa
| 3
| 3
| Raske oleks sellest põhjalikumalt kirjutada.
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| 3
| Korrektne
|-
| Korraldused on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Muutuvad osad on eristatavad
| 1
| 1
| On eristatavad.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| 0,9
| Sisestatavates käskudes on kohati raske aru saada erinevatest valikutest. (<port>/<valikuline: protocol>)
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| 1
| Ei leidnud häirivaid kirjavigu.
|-
| Teenuse varundamine
| 1
| 0
| Puudub. Võiks mainida, et eelnevalt võiks varundada iptables'i konfiguratsiooni.
|-
| Teenuse taastamine
| 2
| 0
| Puudub.
|-
| Kokku
| 20
| 14,8
|
|}

Talk:Ufw

2012-05-14T09:23:23Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| 0,9
| On olemas ja põhjalik.Puudub info kõige uuema versiooni kohta.
|-
| Autorid
| 1
| 1
| Autorid on nimetatud.
|-
| Viimase muutmise aeg
| 1
| 0
| Puudub.
|-
| Skoop
| 1
| 1
| Juhendi eesmärk on kergesti mõistetav.
|-
| Sissejuhatus
| 1
| 1
| On antud ülevaade programmist.
|-
| Eeldused
| 1
| 0
| Puuduvad.
|-
| Installeerimise ja konfigureerimise osa
| 3
| 3
| Raske oleks sellest põhjalikumalt kirjutada.
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| 3
| Korrektne
|-
| Korraldused on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Käskude väljundid on tekstist eristatavad
| 1
| 1
| On eristatavad.
|-
| Muutuvad osad on eristatavad
| 1
| 1
| On eristatavad.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| 0,9
| Sisestatavates käskudes on kohati raske aru saada erinevatest valikutest.(<port>/<valikuline: protocol>)
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| 1
| Ei leidnud häirivaid kirjavigu.
|-
| Teenuse varundamine
| 1
| 0
| Puudub. Võiks mainida, et eelnevalt võiks varundada iptables'i konfiguratsiooni.
|-
| Teenuse taastamine
| 2
| 0
| Puudub.
|-
| Kokku
| 20
| 14,8
|
|}

Talk:Ufw

2012-05-14T08:42:57Z

Skullara:

Viljar Rooda A21

Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| (Hinnang)
| Tekst.
|-
| Autor
| 1
| (Hinnang)
| Tekst.
|-
| Viimase muutmise aeg
| 1
| (Hinnang)
| Tekst.
|-
| Skoop
| 1
| (Hinnang)
| Tekst.
|-
| Sissejuhatus
| 1
| (Hinnang)
| Tekst.
|-
| Nõuded
| 1
| (Hinnang)
| Tekst
|-
| Installeerimise ja konfigureerimise osa
| 3
| (Hinnang)
| Tekst
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| (Hinnang)
| Tekst.
|-
| Korraldused on tekstist eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Käskude väljundid on tekstist eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Muutuvad osad on eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| (Hinnang)
| Tekst.
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| (Hinnang)
| Tekst.
|-
| Teenuse varundamine
| 1
| (Hinnang)
| Tekst.
|-
| Teenuse taastamine
| 2
| (Hinnang)
| Tekst.
|-
| Kokku
| 20
| (Hinnang)
|
|}

Talk:Ufw

2012-05-14T08:41:31Z

Skullara: /* Viljar Rooda,Silver Kullarand */

Viljar Rooda
Silver Kullarand A31

===Hinnang===

{| class="wikitable" border="1"
|-
! KRITEERIUM
! KAAL
! HINNANG
! SELGITUS
|-
| Versioonide ajalugu
| 1
| (Hinnang)
| Tekst.
|-
| Autor
| 1
| (Hinnang)
| Tekst.
|-
| Viimase muutmise aeg
| 1
| (Hinnang)
| Tekst.
|-
| Skoop
| 1
| (Hinnang)
| Tekst.
|-
| Sissejuhatus
| 1
| (Hinnang)
| Tekst.
|-
| Nõuded
| 1
| (Hinnang)
| Tekst
|-
| Installeerimise ja konfigureerimise osa
| 3
| (Hinnang)
| Tekst
|-
| Tehniliselt korrektne (pole suuri vigu)
| 3
| (Hinnang)
| Tekst.
|-
| Korraldused on tekstist eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Käskude väljundid on tekstist eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Muutuvad osad on eristatavad
| 1
| (Hinnang)
| Tekst.
|-
| Tekst on loetav (struktuur on olemas)
| 1
| (Hinnang)
| Tekst.
|-
| Tekst on arusaadav (laused on korrektsed)
| 1
| (Hinnang)
| Tekst.
|-
| Teenuse varundamine
| 1
| (Hinnang)
| Tekst.
|-
| Teenuse taastamine
| 2
| (Hinnang)
| Tekst.
|-
| Kokku
| 20
| (Hinnang)
|
|}

OpenVPN

2012-05-07T11:03:18Z

Skullara: /* Kasutatud materjal */

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Järgnevad toimingud tuleb teha nii kliendis kui serveris.
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVPN confi faili '''/etc/openvpn/conf''' tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
7.05.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]

[http://www.grc.com/vpn/routing.htm Bridge vs Tunnel]

[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T09:02:28Z

Skullara: /* Viimase muutmise aeg */

OpenVPN

2012-05-07T09:02:04Z

Skullara: /* Installeerimine */

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Järgnevad toimingud tuleb teha nii kliendis kui serveris.
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVPN confi faili '''/etc/openvpn/conf''' tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:52:27Z

Skullara:

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVPN confi faili '''/etc/openvpn/conf''' tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:52:06Z

Skullara: /* Tunneli serveripoolse nimeserveri kasutamiseks */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVPN confi faili '''/etc/openvpn/conf''' tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:51:24Z

Skullara: /* Tunneli serveripoolse nimeserveri kasutamiseks */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVPN confi faili tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:48:42Z

Skullara: /* Tulemüür */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVpn confi faili tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
eth1 on meil see adapter, mis on ühendatud internetti.
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:47:14Z

Skullara: /* Testimine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVpn confi faili tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Ühenduse Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:46:11Z

Skullara: /* Tunneli serveripoolse nimeserveri kasutamiseks */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.
<pre>
sudo -i
apt-get install resolvconf
</pre>

OpenVpn confi faili tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Skriptile tuleb anda vajalikud õigused, et ta saaks muuta resolv.conf'i, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
chmod a+x /etc/openvpn/update-resolve-config
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:43:19Z

Skullara: /* Kliendi seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

Selleks, et kasutada tunneli sreveri poolset nimeserverit tuleb kliendi arvutisse paigaldada resolvconf pakett.

<pre>
sudo apt-get install resolvconf
</pre>

OpenVpn confi faili tuleb lisada 2 rida:
<pre>
up /etc/openvpn/update-resolve-config
down /etc/openvpn/update-resolve-config
</pre>

Lisaks tuleb muuta '''/etc/openvpn/update-resolve-config''' skriptis vastavaid ridasi, mille tulemusena muudetakse DNS serverite aadresse tunnele töö ajaks.
<pre>
foreign_option_1='dhcp-option DNS 172.16.0.175'
foreign_option_2='dhcp-option DNS 8.8.8.8'
</pre>

Tehtud muudatuste rakendamisek tuleb teha OpenVPN'ile restart.
<pre>
/etc/init.d/openvpn restart
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T08:31:00Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T07:27:12Z

Skullara: /* Teenuse varundamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.
Samuti võib teha varukoopia '''/etc/dnsmasq.conf''' failist, Aga kuna selle seadistamine pole just kõige mahukam siis võib seda teha ka taastamisel nullist.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T07:13:50Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T07:13:13Z

Skullara: /* DNS Masqerade */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

===DNS Masqerade===

Kliendi võrguliikluse suunamiseks läbi VPN tunneli tuleb paigaldada serverisse DNS Masqerade. See ei mõju DNS päringutele.
<pre>
apt-get install dnsmasq
</pre>

Peale paketi paigaldamist tuleb muuta '''/etc/dnsmasq.conf''' faili järgnevalt, et DNS Masqerade ei kuulaks enam avalikku liidest. Järgnevate ridade eest tuleb eemaldada kommentaari märgid ja omistada neile vastavad väärtused.
<pre>
listen-address=127.0.0.1,192.168.0.1
bind-interfaces
</pre>

Nende muudatuste tulemusena hakkab DNS Masqerade kuulama localhost'i ja gateway ip-aadressi VPN tunneli tun0 liidesel.

Muudatusete rakendamiseks tuleks teha restart OpenVPN'ile ja DNS Masqerade'le.
<pre>
/etc/init.d/openvpn restart
/etc/init.d/dnsmasq restart
</pre>

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T06:57:36Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===Tunneli serveripoolse nimeserveri kasutamiseks===

===DNS Masqerade===

===Kontroll===

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed
</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-05-07T06:55:10Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Tunneli serveri poolne ots saab staatilise ip.
<pre>
topology subnet
</pre>

Esimene annab tunneli ip-aadressi route'i ja teine annab default gateway.
<pre>
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
</pre>

"Kuidas ma seda sõnastan"
<pre>
tls-server
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
topology subnet
push "route 192.168.0.254 255.255.255.0"
push "route 0.0.0.0 0.0.0.0 192.168.0.1"
tls-server
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:12:25Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn --script-security 2 --config /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:07:07Z

Skullara: /* Nimeserveri push'imine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:06:00Z

Skullara: /* Gateway ja nimeserveri */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===Nimeserveri push'imine===
Tuleb veel lisada teksti uuesti confi failist

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:04:34Z

Skullara: /* Gateway ja nimeserveri */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

==Gateway ja nimeserveri==
Tuleb veel lisada teksti uuesti confi failist

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:03:54Z

Skullara: /* Gateway ja nimeserveri */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

==Gateway ja nimeserveri ==
Tuleb veel lisada teksti uuesti confi failist

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:02:59Z

Skullara: /* Serveri seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

===Gateway ja nimeserveri ===
Tuleb veel lisada teksti uuesti confi failist

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T13:00:06Z

Skullara: /* Kasutatud materjal */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://plug.4aero.com/Members/lmarzke/howto/openvpn-push-dns plug.4aero.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T12:54:31Z

Skullara: /* Kasutatud materjal */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]

[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T12:11:19Z

Skullara: /* Kliendi seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun0
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:28:20Z

Skullara: /* Kliendi seadistamine */

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun
</pre>

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:21:54Z

Skullara:

==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun
</pre

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:20:34Z

Skullara: /* Kasutatud materjal */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun
</pre

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]

[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:19:22Z

Skullara: /* Kliendi seadistamine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog.
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle.
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses.
<pre>
dev tun
</pre

Peab ka sama olema, mis serveris.
<pre>
proto udp
</pre>

Vpn ühenduse pakkimine, peab olema ka serveris määratud.
<pre>
comp-lzo
</pre>

Logifaili "jutukus".
<pre>
verb 3
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:17:21Z

Skullara: /* Serveri seadistamine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist '''/etc/sysctl.conf''' :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses
<pre>
dev tun
</pre

Peab ka sama olema, mis serveris
<pre>
proto udp
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:16:45Z

Skullara: /* Kliendi seadistamine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist /etc/sysctl.conf :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress.
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>

Näitame, et OpenVPN läheb kliendina tööle
<pre>
client
</pre>

Peab olema sama liides, mis serveri seadistuses
<pre>
dev tun
</pre

Peab ka sama olema, mis serveris
<pre>
proto udp
</pre>

Salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
client
dev tun
proto udp
remote 192.168.56.200 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
</pre>

===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T11:04:15Z

Skullara: /* Serveri seadistamine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Järgmiseks tuleb eemaldada kommentaari märk failist /etc/sysctl.conf :
<pre>
net.ipv4.ip_forward=1
</pre>

Käivita käsureal järgnev käsk, et rakendada vastav muutuja selleks sessiooniks.
<pre>
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:55:08Z

Skullara: /* Serveri seadistamine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
</pre>

Määrame ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 192.168.0.1 ja klientidel ip vahemikus 192.168.0.2 - 192.168.0.254 :
<pre>
server 192.168.0.0 255.255.255.0
</pre>

Kasutame vaikimisi VPN porti :
<pre>
port 1194
</pre>

Kasutame UDP protokolli, kuna see on turvalisem :
<pre>
proto udp
</pre>

Kasutame ruutimiseks tun liidest :
<pre>
dev tun0
</pre>

Määrame kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse :
<pre>
keepalive 10 120
</pre>

Määrab ära kas vpn ühendust pakkida :
<pre>
comp-lzo
</pre>

Kirjutab ühendunud masinad openvpn-status.log faili :
<pre>
status openvpn-status.log
</pre>

Näitab kui palju teateid kuvatakse syslogis :
<pre>
verb 3
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
;local
port 1194
server 192.168.0.0 255.255.255.0
push "redirect-gateway"
push "route 192.168.0.254 255.255.255.0"
dev tun0
proto udp
keepalive 10 120
comp-lzo
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
status /var/log/openvpn-status.log
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad olla teised). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:32:35Z

Skullara: /* Sertifikaatide genereerimine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et kopeerida vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:31:54Z

Skullara: /* Sertifikaatide genereerimine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud, et tõsta vajaminevad failid kliendi arvutisse
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:28:53Z

Skullara: /* Installeerimine */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN'i
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:26:19Z

Skullara: /* Nõuded */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimine.

''Routed'' ühenduse kasutamine.

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN ja bridge-utils paketid.
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:25:07Z

Skullara: /* Tulemüür */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimist

''Routed'' ühenduse kasutamine

128 bitine AES krüpteering

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN ja bridge-utils paketid.
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:24:37Z

Skullara: /* Eeldused */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu Server ja Klient (Ubuntu 10.04)

Kasutaja peab oskama käsurida kasutada.

Kaks või enam võrgus olevat arvutit või virtuaalmasinat.

=Nõuded=
Nõutud on sertifikaadiga autentimist

''Routed'' ühenduse kasutamine

128 bitine AES krüpteering

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN ja bridge-utils paketid.
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:23:09Z

Skullara: /* Autorid */

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

Muudetud
*Silver Kullarand
*Viljar Rooda

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu (Ubuntu 9.10 või 9.04)

Kasutaja peab oskama käsurida kasutada

Kaks või enam võrgus olevat arvutit või virtuaalmasinat

=Nõuded=
Nõutud on sertifikaadiga autentimist

''Routed'' ühenduse kasutamine

128 bitine AES krüpteering

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN ja bridge-utils paketid.
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

OpenVPN

2012-04-23T10:18:21Z

Skullara:

Koostanud: '''Viljar Rooda''' A21, '''Silver Kullarand''' A31, ''Aprill 2012'' 
==Tegemisel==

=Autorid=
*Carl Rannaberg
*Ariel Palmiste

=Sissejuhatus=
Seadistame kahe arvuti vahel töötava VPN tunneli, kasutades selleks OpenVPN lahendust. VPN ühenduses on kaks või enam arvutit omavahel turvalise tunneli kaudu ühenduses labi Interneti, kus kogu ühendus on krüpteeritud. Nii on võimalik ühest arvutist pääseda teises arvutis töötavatele teenustele ligi läbi ebaturvalise Interneti. See arvuti kuhu ühendatakse nimetatakse serveriks ja see millest ühendatakse nimetatakse kliendiks.

=Eeldused=
Töötav Ubuntu (Ubuntu 9.10 või 9.04)

Kasutaja peab oskama käsurida kasutada

Kaks või enam võrgus olevat arvutit või virtuaalmasinat

=Nõuded=
Nõutud on sertifikaadiga autentimist

''Routed'' ühenduse kasutamine

128 bitine AES krüpteering

=Installeerimine=
Esiteks tuleks tarkvara nimekirja uuendada.
<pre>sudo apt-get update</pre>
Paigaldame OpenVPN ja bridge-utils paketid.
<pre>sudo apt-get install openvpn</pre>

=Seadistamine=
VPN tunneli loomiseks on vaja vähemalt kahte arvutit. Üks on server ja teised kliendid, kes soovivad serveri arvutisse tunnelit luua, et sealseid teenuseid kasutada.

Loome kataloogi, kuhu salvestame seadistusfailid ja sertifikaadid.

Logime root kasutajane sisse ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Järgnevad käsud tuleb teha nii '''serveri''', kui ka '''kliendi''' arvutis.
<pre>mkdir /etc/openvpn/easy-rsa/</pre>
Kopeerime vajaliku failid sinna kataloogi, et pärast OpenVPN uuendust failid alles jääks.
<pre>cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ </pre>

==Sertifikaatide genereerimine==
Järgnev tuleb teha ainult '''serveri''' arvutis.

Logime root kasutajane sisse (kui juba ei ole) ja kõik järgnevad käsud tuleb teha root kasutajana.

<pre>
sudo -i
</pre>
Liigume kataloogi '''/etc/openvpn/easy-rsa/''':
<pre>
cd /etc/openvpn/easy-rsa/
</pre>
Muudame '''vars''' faili '''/etc/openvpn/easy-rsa/''' kataloogis
<pre>nano vars</pre>
Faili lõpus tuleks järgnevad read ära muuta endale sobivate andmetega.

Näieks niimoodi:
<pre>
export KEY_COUNTRY="EE"
export KEY_PROVINCE="HARJU"
export KEY_CITY="TALLINN"
export KEY_ORG="Firma"
export KEY_EMAIL="firma@firma.ee"
</pre>
*Country - kahekohaline riigikood (EE- Eesti)
*Province - Maakond
*City - Linn
*Org - organisatsioon kellele sertifikaat genereeritakse
*Email - emaili aadress
Edasi käivitame selle sama '''vars''' faili, et võtmed säiliks. (NB: mõlemad punktid järgnevas käsus on olulised)
<pre>
. ./vars
</pre>
Nüüd kustutame '''keys''' kataloogi sisu, kui see olemas on:
<pre>
./clean-all
</pre>
Lõpuks loome sertifikaadi ja selle võtme:
<pre>
./build-ca
</pre>
Nüüd peaks olema näha eelnevalt ära muudetud read, mis on vaikimisi sisestatud. Neid võib veel muuta, kui vajadus tekib või lihtsalt Enter peale iga rida vajutada. Rea ''Organizational Unit Name'' ja ''Name'' võib tühjaks jätta ja lihtsalt Enter vajutada. Kindlasti tuleb ära märkida ''Common Name'', mis võib olla arvuti hosti nimi või mingi muu. Käsu tulemusena tekitati '''keys''' kataloogi kaks faili: '''ca.crt''' ja '''ca.key'''.

Järgmisena tuleks genereerida serveri enda sertifikaat ja võti.
<pre>
./build-key-server server
</pre>
Andmed mida küsitakse on sarnased eelmise käsuga ja peavad olema samad. ''Common Name'' peab olema '''server'''. Lisaks küsitakse parooli, mis tuleks sisestada ja ''An Optional Company Name'', mille võib tühjaks jätta. Küsimuste ''Sign the certificate? [y/n]'' ja ''1 out of 1 certificate requests certified, commit? [y/n]'' peale vasta '''y''' ja vajuta Enter. Käsu tulemusena loodi failid '''server.crt''' ja '''server.key'''

Iga serverisse ühendava kliendi jaoks tuleb serveri arvutis genereerida iga kliendi jaoks sertifikaat ja võti. Ühe kliendi puhul sedasi:
<pre>
./build-key client1
</pre>
Kui küsib ''Common Name'' peaks igal kliendil olema see erinev. Meie näites sobib selleks client1.

Järgmisena genereerime Diffie Hellman parameetrid:
<pre>
./build-dh
</pre>

Meil on vaja nüüd kliendi sertifikaat '''client1.crt''' ja võti '''client1.key''' ning põhisertifikaat '''ca.crt''' kopeerida kliendi arvutisse, näiteks '''/etc/openvpn/''' kataloogi. Selleks sobib üle ssh kopeerimine.

Enne tuleks ajutiselt anda '''kliendi''' arvutist '''/etc/openvpn/''' kataloogile kirjutusõiguse.
<pre>
chmod o+w /etc/openvpn/
</pre>

'''Serveri''' arvutist sisestada käsud
<pre>
scp /etc/openvpn/easy-rsa/keys/ca.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.crt <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
scp /etc/openvpn/easy-rsa/keys/client1.key <kasutajanimi>@<vpn kliendi ip-aadress>:/etc/openvpn/
</pre>

Pärast muuta õigused '''kliendi''' masinas tagasi.
<pre>
chmod o-w /etc/openvpn/
</pre>
(Märkus: Kliendi sertifikaate ja võtmed ei ole soovitav serveri masinas edasi hoida, neid on võimalik ka ainult kliendi masinas genereerida)

==Serveri seadistamine==
Seda arvutit kuhu ühendatakse nimetatakse serveriks. Kõik järgnev teha '''serveris'''. Näidis seadistusfailid asuvad kataloogis '''/usr/share/doc/openvpn/examples/sample-config-files'''
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Pakime seadistusfaili lahti:
<pre>
gunzip server.conf.gz
</pre>
Muudame server.conf faili:
<pre>
sudo nano server.conf
</pre>
Vaikimis seadistusfail on üldjoontes õigete seadistustega, küll aga peab mõnda asja muutma.

Esiteks tuleb näidata, kus on genereeritud sertifikaadid ja võtmed. Muuta ära read ''ca, cert, key ja dh'':
<pre>
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
</pre>

Jälgida ''server'' rida:
<pre>
server 10.8.0.0 255.255.255.0
</pre>
See määrab ära kõikidele klientidele antava ip aadressi vahemiku. Server ise saab esimese ip. Siin näites hakkab serveri ip-ks olema 10.8.0.1 ja klientidel ip vahemikus 10.8.0.1 - 10.8.0.254

Määrame ära et hakataks kasutama 128 bitist AES krüpteerimist. Leida üles järgnevad read ja kommenteerida välja (kustudada semikoolon rea ees)''cipher AES-128-CBC''. See tuleb ka ära määrata kliendi seadistusfailis (hiljem näidatud).
<pre>
;cipher BF-CBC # Blowfish (default)
cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
</pre>
määrame ära maksimum klientide arvu, muuda ära rida ''max-clients'':
<pre>
max-clients 50
</pre>

Salvesta fail

Lõplik '''server.conf''' peaks selline välja nägema, kui kommentaarid ja mittevajalik eemaldada
<pre>
# Vaikimis OpenVPN port
port 1194

# UDP protokoll on turvalisem kui TCP
proto udp

# Ruutimiseks kasutame tun liidest
dev tun

# Sertifikaadi failide asukohad
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

# Siin määratakse ära mis subnetist ip-aadresse hakatakse klientidele jagama
server 10.8.0.0 255.255.255.0

# Siin failis kõik väljajagatud ip-aadressid
ifconfig-pool-persist ipp.txt

# Kui kaua ühendust hoida. Pingib klienti iga 10 sekundi tagant ja kui 120 seki vastust pole olnud, ühendus suletakse
keepalive 10 120

# Krüpteerimiseks kasutame AES-i
cipher AES-128-CBC # AES

# Määrab ära kas vpn ühendust pakkida
comp-lzo

max-clients 50

persist-key
persist-tun

# Kirjutab ühendunud masinad openvpn-status.log faili
status openvpn-status.log

# Näitab kui palju teateid kuvatakse syslogis
verb 3
</pre>

Serveri seadistamine on nüüd lõppenud. Openvpn tööle panemiseks käivitada käsk:
<pre>
sudo openvpn /etc/openvpn/conf/server.conf
</pre>
Kõik töötab ilusti, kui ekraanil on näha sarnaseid ridu (ip aadressid võivad teised olla). Kui viimane rida on ''Initialization Sequence Completed'', siis peaks kõik toimima.
<pre>
Mon Dec 7 15:30:28 2009 Diffie-Hellman initialized with 1024 bit key
Mon Dec 7 15:30:28 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mon Dec 7 15:30:28 2009 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 7 15:30:28 2009 TUN/TAP device tap0 opened
Mon Dec 7 15:30:28 2009 TUN/TAP TX queue length set to 100
Mon Dec 7 15:30:28 2009 /usr/local/bin/tap-up tap0 1500 1590 init
Mon Dec 7 15:30:28 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Dec 7 15:30:28 2009 Socket Buffers: R=[114688->131072] S=[114688->131072]
Mon Dec 7 15:30:28 2009 UDPv4 link local (bound): [undef]:1194
Mon Dec 7 15:30:28 2009 UDPv4 link remote: [undef]
Mon Dec 7 15:30:28 2009 MULTI: multi_init called, r=256 v=256
Mon Dec 7 15:30:28 2009 IFCONFIG POOL: base=10.8.0.50 size=51
Mon Dec 7 15:30:28 2009 IFCONFIG POOL LIST
Mon Dec 7 15:30:28 2009 Initialization Sequence Completed

</pre>

Kui soovitakse openvpn käivitada boot ajal või teenuse käivitamisega '''/etc/init.d/''' kataloogist - siis liigutada '''server.conf''' fail '''/etc/openvpn''' kataloogi

==Kliendi seadistamine==
Järgnev tuleb teha kliendi arvutis. Logime root kasutajana sisse:
<pre>
sudo -i
</pre>
Loome kataloogi conf:
<pre>
mkdir /etc/openvpn/conf
</pre>
Kopeerime seadistusfailid sinna kataloogi:
<pre>
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/conf
</pre>
Liigume sinna kataloogi:
<pre>
cd /etc/openvpn/conf
</pre>
Muudame client.conf faili:
<pre>
nano client.conf
</pre>
Otsida üles rida ''remote my-server-1 1194''. Siia tuleb ''my-server-1'' asemele panna VPN serveri ip-aadress. See peab olema päris ip-aadress, mida näeb serveris käsuga ''ifconfig'' ja on tavaliselt eth0 aadress
<pre>
remote <vpn serveri ip-aadress> 1194
</pre>
Järgmiseks tuleb määrata ära sertifikaatide ja võtmete asukohad. Leida üles ja ära muuta read ''ca'', ''cert'' ja ''key''. Panna sinna täispikk kataloog, kuhu enne sai serverist sertifikaadid kopeeritud. Meie näite puhul '''/etc/openvpn/''' kataloog
<pre>
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
</pre>
Leida üles rida '';cipher x'' ja muuta ära, et kasutataks AES krüpteerimist.
<pre>
cipher AES-128-CBC
</pre>
Ülejäänud asjad jäävad samaks ja salvestada fail.
Lõplik client.conf fail ilma üleliigsete kommentaarideta on selline:
<pre>
# Näitame, et OpenVPN läheb kliendina tööle
client

# Peab olema sama liides, mis serveri seadistuses
dev tun

# Peab ka sama olema, mis serveris
proto udp

# OpenVPN serveri ip-aadress kuhu ühendatakse.
remote <vpn serveri ip-aadress> 1194

resolv-retry infinite
nobind
persist-key
persist-tun

# Serdifailide asukohad
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key

# Krüpteerimis siffer, peab olema sama mis serveris
cipher AES-128-CBC

# Vpn ühenduse pakkimine, peab olema ka serveris määratud
comp-lzo

# Logifaili "jutukus"
verb 3
</pre>
===Ühendumine serveriga===
Kui serveris openvpn edukalt töötab, võib kliendi arvutis openvpn tööle panna:
<pre>
sudo openvpn /etc/openvpn/conf/client.conf
</pre>
Kõik peaks toimima, kui väljundi viimane rida on ''Initialization Sequenze Completed'' ja erroreid ei tekkinud.
(Et teenus automaatselt stardiks, kui kõik korras on, siis võib '''client.conf''' faili liigutada '''/etc/openvpn''' kataloogi)

=Testimine=
Testimiseks proovida mõnda serveri arvutis töötavat teenust, näiteks veebiserverit. Kui veebiserver töötab serveris, siis ühenduda openvpn serverisse, ip aadressiks paneme serveri vpn liidese(tun0) ip-aadressi, mis meie näites oli 192.168.0.1:
<pre>
links 192.168.0.1
</pre>
Kui tuleb leht ette, siis on opevpn tunnel edukalt loodud ja töökorras.
==Tulemüür==
Kui masinas on töötav iptables tulemüür (vahet pole, kas serveris või kliendis), siis võiks lubada udp port 1194 läbi tulemüüri, kui ei saada ühendust serveriga.

<pre>
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
</pre>
ja lubada ka tun0 liidese liiklus läbi
<pre>
iptables -A INPUT -i tun0 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
</pre>
<pre>
iptables -A FORWARD -j REJECT
</pre>
<pre>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
</pre>

=Teenuse varundamine=
Kuna kõik vajalikud seadistusfailid on '''/etc/openvpn''' kataloogis, siis piisab terve selle kataloogi varundamisest. Antud kataloogist teha kord päevas täielik varukoopia ja kõik failid salvestada.

=Teenuse taastamine=
Kui teenusega ilmneb probleeme tuleb seadistusfailid ja sertifikaadid ning võtmed üle vaadata ja vajadusel taastada. Kontrollida, et arvutite ip-aadressid oleks vastavuses seadistusfailidega.

=Versioonide ajalugu=
ver. 0.1 03.11.2009

ver. 0.2 30.11.2009

ver. 0.3 01.12.2009

ver. 0.4 07.12.2009

ver. 0.5 08.12.2009

ver. 0.6 09.12.2009

ver. 0.7 11.12.2009

ver. 0.8 13.12.2009

ver. 0.9 16.12.2009

ver. 1.5 : Stabiilne versioon

ver. 1.6 : Lisati Web Proxy võimalus via tinyproxy

ver. 1.7 : Lisati võimalus muuta WebProxy teenuse porti.

ver. 1.8 : Parandati WebProxy probleemid.

=Viimase muutmise aeg=
23.04.2012

=Kasutatud materjal=
[http://openvpn.net/index.php/open-source/documentation/howto.html openvpn.net]
[http://library.linode.com/networking/openvpn/ubuntu-10.04-lucid library.linode.com]
[[Category:IT infrastruktuuri teenused]]

Samba4 installeerimine

2012-03-19T13:25:45Z

Skullara: /* Tulemüür */

Autorid Kaie Vares AK31 ja Maksim Kornejev AK31

=Sissejuhatus=
Samba4 ei ole veel valmis, arendus alles käib. Samba4 sisaldab sisemist LDAP serverit,Kerberos serverit koos PAC toetusega, Bind9, Python toetust jmuud. Samba4 kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL).

=Skoop=
Kasutame Samba 4.0.0alpha12 . Juhend kehtib Ubuntu Maverick 10.10 jaoks, kuhu pole installeeritud bind9, kerberos-serverit ja LDAP serverit. Meil on kasutada näidisdomeen nimega'' kena.kaalik.ee ''.
 

=Installeerimine=

Töö alustamiseks on soovitav logida sisse administraatorina
<source lang="bash">
sudo -i
</source>
Seejärel uuendame tarkvara nimekirja
<source lang="bash">
apt-get update
</source>
installime vajalikud paketid
<source lang="bash">
apt-get install samba4 samba4-clients bind9
</source>
salvestame vana konfiguratsiooni faili teise nimega
<source lang="bash">
mv /etc/samba/smb.conf{,.old}
</source>
 

Loome bind9 kofiguratsiooni faili. Parool peab olema vähemalt 7 sümbolit, meie näites:Kaalika55

<source lang="bash">
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=kena.kaalik.ee \
--domain=KAALIK --adminpass=Kaalika55 --server-role='domain controller'
</source>
 

==skriptide modifitseerimine==
Samba4 ei kontrolli samba kataloogi olemasolu /var/run ja see tuleb samba4 skripti ise lisada.
<source lang="bash">
nano /etc/init.d/samba4
</source>
 

lisame SAMBAPID kontrolli rea log_daemon_msg "Starting Samba 4 daemon" "samba" alla:
<source lang="bash">
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisame järgmised kolm rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi

if ...
</source>
 

Veel tuleb luua fail /usr/local/sbin/samba. Ka seda võib teha, kasutades käsku nano
<source lang="bash">
nano /usr/local/sbin/samba
</source>
faili sisuks:
<source lang="bash">
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/sbin/$(basename $0)
</source>
 

Tekitame eelnevale ka lingid
<source lang="bash">
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>
 

Samba4 käivitamine
<source lang="bash">
/etc/init.d/samba4 start
</source>
 

==DNS seadistamine==

Alustuseks tuleb korrigeerida confi faili
<source lang="bash">
nano /etc/bind/named.conf.local
</source>
 

Lisada lõppu rida
<source lang="bash">
include "/var/lib/samba/private/named.conf";
</source>
 

==AppArmor==
Järgmine probleem tekib AppArmoriga, kes kaitseb samba4 faile Bindi eest. Lahenduseks on:
 

<source lang="bash">
nano /etc/apparmor.d/usr.sbin.named
...
'''/var/lib/samba/private/* rw,'''
'''/var/lib/samba/private/dns/* rw,'''
}
</source>
 

AppArmor profiilide laadimine ja bindile restart:
<source lang="bash">
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>
 
<source lang="bash">
nano /etc/resolv.conf
</source>
 

Lisada rida
<source lang="bash">
nameserver 127.0.0.1
</source>
 

==Kerberos==
Vajalik on veel Kerberose confifaili tõstmine
<source lang="bash">
cp /var/lib/samba/private/krb5.conf /etc/
</source>
 

=Testimine=
Testimiseks installeerime paketi krb5-user
<source lang="bash">
apt-get install krb5-user
</source>
 Versiooni kontrollimine:
<source lang="bash">
smbclient --version
</source>
 
Kontrollime, kas Samba töötab:
<source lang="bash">
smbclient -L localhost -U%
</source>
Tulemuseks on jagatud failide nimekiri:
<pre> Sharename Type Comment
--------- ---- -------
printers Printer All Printers
print$ Disk Printer Drivers
IPC$ IPC IPC Service (%h server (Samba, Ubuntu))
ADMIN$ Disk DISK Service (%h server (Samba, Ubuntu))
</pre>

 Testime dns serverit
<source lang="bash">
host -t SRV _kerberos._udp.kena.kaalik.ee
</source>
 

Loome kausta, mida jagada
<source lang="bash">
mkdir /data/test -p
</source>
 
Lisame faili smb.conf lõppu share nimega test
<source lang="bash">
nano /etc/samba/smb.conf

[test]
path = /data/test
read only = no
</source>
 

teeme sambale restarti
service samba4 restart
 

Kontrollime, kas kerberos-server töötab
<source lang="bash">
kinit Administrator
</source>
Küsitakse administraatori parooli

 
Proovime, kas pääseme ligi jagatud kaustale
<source lang="bash">
smbclient //kena.kaalik.ee/test -U%
</source>
kui kõik on korras: (lõpetamiseks exit)
smb: \>

=Tulemüür=
Samba 4 kasutades peavad olema tulemüüris avatud järgmised pordid
<pre>
> tcp :137
> tcp :139
> tcp :464
> tcp :88
> tcp :636
> tcp :445
> tcp :1024
> tcp :3268
> tcp :389
> tcp :135
</pre>
Seda saab teha järgneva skriptiga, skripti täitmiseks peab olema administraatori õigustes.
<pre>
iptables -I INPUT -p tcp --dport 137 -j ACCEPT
iptables -I INPUT -p tcp --dport 139 -j ACCEPT
iptables -I INPUT -p tcp --dport 464 -j ACCEPT
iptables -I INPUT -p tcp --dport 88 -j ACCEPT
iptables -I INPUT -p tcp --dport 636 -j ACCEPT
iptables -I INPUT -p tcp --dport 445 -j ACCEPT
iptables -I INPUT -p tcp --dport 1024 -j ACCEPT
iptables -I INPUT -p tcp --dport 3268 -j ACCEPT
iptables -I INPUT -p tcp --dport 389 -j ACCEPT
iptables -I INPUT -p tcp --dport 135 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
</pre>

=Kasutaja loomine=
Uue kasutaja loomine käib käsuga:
<pre>
samba-tool newuser USERNAME
</pre>

=kokkuvõte=
SAmba4 on keerulisem varasemast versioonist, silmas tuleb ka pidada, et tsoonifail genereeritakse töö käigus automaatselt . Probleem võib tekkida sellega, et bind9 on eelnevalt installeeritud, sel juhul tuleb bind9 confi faile käsitsi korrigeerida..

[[Category:IT infrastruktuuri teenused]]

= Kasulikke viiteid=
1.http://blog.mycroes.nl/2010/09/installing-samba-4-on-ubuntu-maverick.html

2.Samba4 [[https://wiki.samba.org/index.php/Samba4]]

3.Samba4/HOWTO [[https://wiki.samba.org/index.php/Samba4/HOWTO]]

Samba4 installeerimine

2012-03-19T13:25:30Z

Skullara: /* Tulemüür */

Autorid Kaie Vares AK31 ja Maksim Kornejev AK31

=Sissejuhatus=
Samba4 ei ole veel valmis, arendus alles käib. Samba4 sisaldab sisemist LDAP serverit,Kerberos serverit koos PAC toetusega, Bind9, Python toetust jmuud. Samba4 kasutab uut Virtual File System (VFS) mis toetab Acess Control List -i (ACL).

=Skoop=
Kasutame Samba 4.0.0alpha12 . Juhend kehtib Ubuntu Maverick 10.10 jaoks, kuhu pole installeeritud bind9, kerberos-serverit ja LDAP serverit. Meil on kasutada näidisdomeen nimega'' kena.kaalik.ee ''.
 

=Installeerimine=

Töö alustamiseks on soovitav logida sisse administraatorina
<source lang="bash">
sudo -i
</source>
Seejärel uuendame tarkvara nimekirja
<source lang="bash">
apt-get update
</source>
installime vajalikud paketid
<source lang="bash">
apt-get install samba4 samba4-clients bind9
</source>
salvestame vana konfiguratsiooni faili teise nimega
<source lang="bash">
mv /etc/samba/smb.conf{,.old}
</source>
 

Loome bind9 kofiguratsiooni faili. Parool peab olema vähemalt 7 sümbolit, meie näites:Kaalika55

<source lang="bash">
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/share/samba/setup/provision --realm=kena.kaalik.ee \
--domain=KAALIK --adminpass=Kaalika55 --server-role='domain controller'
</source>
 

==skriptide modifitseerimine==
Samba4 ei kontrolli samba kataloogi olemasolu /var/run ja see tuleb samba4 skripti ise lisada.
<source lang="bash">
nano /etc/init.d/samba4
</source>
 

lisame SAMBAPID kontrolli rea log_daemon_msg "Starting Samba 4 daemon" "samba" alla:
<source lang="bash">
log_daemon_msg "Starting Samba 4 daemon" "samba"

#Lisame järgmised kolm rida
if [ ! -d $(dirname $SAMBAPID) ];
then mkdir -p $(dirname $SAMBAPID)
fi

if ...
</source>
 

Veel tuleb luua fail /usr/local/sbin/samba. Ka seda võib teha, kasutades käsku nano
<source lang="bash">
nano /usr/local/sbin/samba
</source>
faili sisuks:
<source lang="bash">
#!/bin/sh
LD_PRELOAD=/usr/lib/libdcerpc.so.0.0.1 /usr/sbin/$(basename $0)
</source>
 

Tekitame eelnevale ka lingid
<source lang="bash">
ln -s /usr/local/sbin/samba{,_dnsupdate}
ln -s /usr/local/sbin/samba{,_spnupdate}
</source>
 

Samba4 käivitamine
<source lang="bash">
/etc/init.d/samba4 start
</source>
 

==DNS seadistamine==

Alustuseks tuleb korrigeerida confi faili
<source lang="bash">
nano /etc/bind/named.conf.local
</source>
 

Lisada lõppu rida
<source lang="bash">
include "/var/lib/samba/private/named.conf";
</source>
 

==AppArmor==
Järgmine probleem tekib AppArmoriga, kes kaitseb samba4 faile Bindi eest. Lahenduseks on:
 

<source lang="bash">
nano /etc/apparmor.d/usr.sbin.named
...
'''/var/lib/samba/private/* rw,'''
'''/var/lib/samba/private/dns/* rw,'''
}
</source>
 

AppArmor profiilide laadimine ja bindile restart:
<source lang="bash">
/etc/init.d/apparmor reload
/etc/init.d/bind9 restart
</source>
 
<source lang="bash">
nano /etc/resolv.conf
</source>
 

Lisada rida
<source lang="bash">
nameserver 127.0.0.1
</source>
 

==Kerberos==
Vajalik on veel Kerberose confifaili tõstmine
<source lang="bash">
cp /var/lib/samba/private/krb5.conf /etc/
</source>
 

=Testimine=
Testimiseks installeerime paketi krb5-user
<source lang="bash">
apt-get install krb5-user
</source>
 Versiooni kontrollimine:
<source lang="bash">
smbclient --version
</source>
 
Kontrollime, kas Samba töötab:
<source lang="bash">
smbclient -L localhost -U%
</source>
Tulemuseks on jagatud failide nimekiri:
<pre> Sharename Type Comment
--------- ---- -------
printers Printer All Printers
print$ Disk Printer Drivers
IPC$ IPC IPC Service (%h server (Samba, Ubuntu))
ADMIN$ Disk DISK Service (%h server (Samba, Ubuntu))
</pre>

 Testime dns serverit
<source lang="bash">
host -t SRV _kerberos._udp.kena.kaalik.ee
</source>
 

Loome kausta, mida jagada
<source lang="bash">
mkdir /data/test -p
</source>
 
Lisame faili smb.conf lõppu share nimega test
<source lang="bash">
nano /etc/samba/smb.conf

[test]
path = /data/test
read only = no
</source>
 

teeme sambale restarti
service samba4 restart
 

Kontrollime, kas kerberos-server töötab
<source lang="bash">
kinit Administrator
</source>
Küsitakse administraatori parooli

 
Proovime, kas pääseme ligi jagatud kaustale
<source lang="bash">
smbclient //kena.kaalik.ee/test -U%
</source>
kui kõik on korras: (lõpetamiseks exit)
smb: \>

=Tulemüür=
Samba4 kasutades peavad olema tulemüüris avatud järgmised pordid
<pre>
> tcp :137
> tcp :139
> tcp :464
> tcp :88
> tcp :636
> tcp :445
> tcp :1024
> tcp :3268
> tcp :389
> tcp :135
</pre>
Seda saab teha järgneva skriptiga, skripti täitmiseks peab olema administraatori õigustes.
<pre>
iptables -I INPUT -p tcp --dport 137 -j ACCEPT
iptables -I INPUT -p tcp --dport 139 -j ACCEPT
iptables -I INPUT -p tcp --dport 464 -j ACCEPT
iptables -I INPUT -p tcp --dport 88 -j ACCEPT
iptables -I INPUT -p tcp --dport 636 -j ACCEPT
iptables -I INPUT -p tcp --dport 445 -j ACCEPT
iptables -I INPUT -p tcp --dport 1024 -j ACCEPT
iptables -I INPUT -p tcp --dport 3268 -j ACCEPT
iptables -I INPUT -p tcp --dport 389 -j ACCEPT
iptables -I INPUT -p tcp --dport 135 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
</pre>

=Kasutaja loomine=
Uue kasutaja loomine käib käsuga:
<pre>
samba-tool newuser USERNAME
</pre>

=kokkuvõte=
SAmba4 on keerulisem varasemast versioonist, silmas tuleb ka pidada, et tsoonifail genereeritakse töö käigus automaatselt . Probleem võib tekkida sellega, et bind9 on eelnevalt installeeritud, sel juhul tuleb bind9 confi faile käsitsi korrigeerida..

[[Category:IT infrastruktuuri teenused]]

= Kasulikke viiteid=
1.http://blog.mycroes.nl/2010/09/installing-samba-4-on-ubuntu-maverick.html

2.Samba4 [[https://wiki.samba.org/index.php/Samba4]]

3.Samba4/HOWTO [[https://wiki.samba.org/index.php/Samba4/HOWTO]]