====== Openvpn a tunel do sítě ======
===== Úvod =====
OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP.
===== Realizace =====
Jdeme na to. :-)
==== Typ OpenVPN serveru ====
Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server (point to multipoint), ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů a lide budou moci využívat zdrojů ve firmě.
==== Tvoříme certifikáty ====
Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta.
Předpokládejme, že máme již nainstalovanou aplikaci openssl a openvpn. S OpenVPN (Gentoo distro) se nám objevi potřebné pomůcky v adresáři /usr/share/openvpn/easy-rsa/, u Debianu-Lenny v /usr/share/doc/openvpn/examples/easy-rsa/2.0/. Jejich pomoci využíjeme pro tvorbu zabezpečení.
cd
. vars
./build-ca
./clean-all
./build-ca
# vytvorime Diffie Hellman parametry
./build-dh
# vytvorime certifikát pro server
./build-key-server server
#2x se nás to zeptá [y/n] 2x (y)es
# vytvorime certifikát pro klienta
./build-key klient1
a máme začátek za sebou.
==== Konfigurace serveru ====
###################
# #
###################
mode server
tls-server
dev tap_fam
ifconfig 192.168.100.1 255.255.255.0
ifconfig-pool 192.168.100.100 192.168.100.200 255.255.255.0
duplicate-cn
proto udp
ca /etc/openvpn/family/keys/ca.crt
cert /etc/openvpn/family/keys/server.crt
key /etc/openvpn/family/keys/server.key
dh /etc/openvpn/family/keys/dh2048.pem
log-append /etc/openvpn/vpn.fam.log
status /etc/openvpn/vpn.fam.stat 10
user root
group root
comp-lzo
verb 3
keepalive 1 220
Pokud nastartujeme openvpn pomocí
/etc/init.d/openvpn restart
ip ad
měli bychom již vidět v seznamu nový interface **tap_fam**. To je super.