Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
linux-openvpn [2009/01/13 15:42] petr |
linux-openvpn [2013/08/06 21:41] (aktuální) |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Openvpn a tunel do sítě ====== | ====== Openvpn a tunel do sítě ====== | ||
- | ==== Úvod ==== | + | ===== Úvod ===== |
OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP. | OpenVPN lze konfigurovat různě. Můžeme jej nakonfigurovat jako pointopoint spojení dvou zarizeni, jako vice pripojitelnych zarizeni k VPN serveru, kdy klienti dostávají adresy vyhrazené sítě. Můžeme si vybrat i mezi různými typy komunikace, spojity protokol TCP nebo nespojity protokol UDP. | ||
+ | |||
+ | ===== Realizace ===== | ||
+ | Jdeme na to. :-) | ||
==== Typ OpenVPN serveru ==== | ==== Typ OpenVPN serveru ==== | ||
- | Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server, ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů. | + | Zde si ukážeme příklad, kdy máme ve firmě OpenVPN server (point to multipoint), ke kterému se budou připojovat lidé z terénu. OpenVPN server jim přidělí ip adresy z určeného rozsahu a podle klientů a lide budou moci využívat zdrojů ve firmě. |
- | ==== Certifikáty ==== | + | ==== Tvoříme certifikáty ==== |
Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta. | Nejdříve si vygenerujeme potřebné věci pro zabezpečení spojení. Vytvoříme si naši OpenVPN certifikační autoritu, certifikát pro server, certifikát pro klienta. | ||
Řádek 18: | Řádek 21: | ||
./clean-all | ./clean-all | ||
./build-ca | ./build-ca | ||
+ | # vytvorime Diffie Hellman parametry | ||
./build-dh | ./build-dh | ||
+ | # vytvorime certifikát pro server | ||
./build-key-server server | ./build-key-server server | ||
#2x se nás to zeptá [y/n] 2x (y)es | #2x se nás to zeptá [y/n] 2x (y)es | ||
- | #pripadne si vygeneruju klientsky certifikaty | + | # vytvorime certifikát pro klienta |
- | ./build-key client1 | + | ./build-key klient1 |
+ | </code> | ||
+ | a máme začátek za sebou. | ||
+ | |||
+ | |||
+ | ==== Konfigurace serveru ==== | ||
+ | |||
+ | |||
+ | <code> | ||
+ | ################### | ||
+ | # # | ||
+ | ################### | ||
+ | mode server | ||
+ | tls-server | ||
+ | dev tap_fam | ||
+ | ifconfig 192.168.100.1 255.255.255.0 | ||
+ | ifconfig-pool 192.168.100.100 192.168.100.200 255.255.255.0 | ||
+ | duplicate-cn | ||
+ | proto udp | ||
+ | |||
+ | ca /etc/openvpn/family/keys/ca.crt | ||
+ | cert /etc/openvpn/family/keys/server.crt | ||
+ | key /etc/openvpn/family/keys/server.key | ||
+ | dh /etc/openvpn/family/keys/dh2048.pem | ||
+ | |||
+ | log-append /etc/openvpn/vpn.fam.log | ||
+ | status /etc/openvpn/vpn.fam.stat 10 | ||
+ | |||
+ | user root | ||
+ | group root | ||
+ | comp-lzo | ||
+ | verb 3 | ||
+ | |||
+ | keepalive 1 220 | ||
+ | </code> | ||
+ | |||
+ | Pokud nastartujeme openvpn pomocí | ||
+ | <code> | ||
+ | /etc/init.d/openvpn restart | ||
+ | ip ad | ||
</code> | </code> | ||
- | a máme potředné certifikáty hotové | + | měli bychom již vidět v seznamu nový interface **tap_fam**. To je super. |