Uživatelské nástroje
linux-openvpn
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
linux-openvpn [2009/01/13 13:57] petr |
linux-openvpn [2013/08/06 21:41] (aktuální) |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Openvpn a tunel do sítě ====== | ====== Openvpn a tunel do sítě ====== | ||
| - | ==== Úvod ==== | + | ===== Úvod ===== |
| - | OPenvpn lze konfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni, kterym vydradime sit. Komunikaci můžeme navazovat pomocí stavového protokolu tcp nebo nespojiteho protokolu UDP. | + | OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP. |
| - | ==== Certifikáty ==== | + | ===== Realizace ===== |
| - | Nejdříve je potřeba | + | Jdeme na to. :-) |
| + | |||
| + | ==== Typ OpenVPN serveru ==== | ||
| + | Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server (point to multipoint), ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů a lide budou moci využívat zdrojů ve firmě. | ||
| + | |||
| + | ==== Tvoříme certifikáty ==== | ||
| + | Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta. | ||
| + | |||
| + | Předpokládejme, že máme již nainstalovanou aplikaci openssl a openvpn. S OpenVPN (Gentoo distro) se nám objevi potřebné pomůcky v adresáři /usr/share/openvpn/easy-rsa/, u Debianu-Lenny v /usr/share/doc/openvpn/examples/easy-rsa/2.0/. Jejich pomoci využíjeme pro tvorbu zabezpečení. | ||
| <code> | <code> | ||
| - | cd <adresar> | + | cd <adresar_s_easy_rsa> |
| . vars | . vars | ||
| ./build-ca | ./build-ca | ||
| ./clean-all | ./clean-all | ||
| ./build-ca | ./build-ca | ||
| + | # vytvorime Diffie Hellman parametry | ||
| ./build-dh | ./build-dh | ||
| + | # vytvorime certifikát pro server | ||
| ./build-key-server server | ./build-key-server server | ||
| #2x se nás to zeptá [y/n] 2x (y)es | #2x se nás to zeptá [y/n] 2x (y)es | ||
| - | #pripadne si vygeneruju klientsky certifikaty | + | # vytvorime certifikát pro klienta |
| - | ./build-key client1 | + | ./build-key klient1 |
| + | </code> | ||
| + | a máme začátek za sebou. | ||
| + | |||
| + | |||
| + | ==== Konfigurace serveru ==== | ||
| + | |||
| + | |||
| + | <code> | ||
| + | ################### | ||
| + | # # | ||
| + | ################### | ||
| + | mode server | ||
| + | tls-server | ||
| + | dev tap_fam | ||
| + | ifconfig 192.168.100.1 255.255.255.0 | ||
| + | ifconfig-pool 192.168.100.100 192.168.100.200 255.255.255.0 | ||
| + | duplicate-cn | ||
| + | proto udp | ||
| + | |||
| + | ca /etc/openvpn/family/keys/ca.crt | ||
| + | cert /etc/openvpn/family/keys/server.crt | ||
| + | key /etc/openvpn/family/keys/server.key | ||
| + | dh /etc/openvpn/family/keys/dh2048.pem | ||
| + | |||
| + | log-append /etc/openvpn/vpn.fam.log | ||
| + | status /etc/openvpn/vpn.fam.stat 10 | ||
| + | |||
| + | user root | ||
| + | group root | ||
| + | comp-lzo | ||
| + | verb 3 | ||
| + | |||
| + | keepalive 1 220 | ||
| + | </code> | ||
| + | |||
| + | Pokud nastartujeme openvpn pomocí | ||
| + | <code> | ||
| + | /etc/init.d/openvpn restart | ||
| + | ip ad | ||
| </code> | </code> | ||
| - | a máme potředné certifikáty hotové | + | měli bychom již vidět v seznamu nový interface **tap_fam**. To je super. |
linux-openvpn.1231851420.txt.gz · Poslední úprava: 2013/08/06 21:39 (upraveno mimo DokuWiki)
Nástroje pro stránku
Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC0 1.0 Universal
