Har tidigare skrivit om vpn, att det är en smidig lösning. Det var en server-server konfiguration det, men det är ju ofta man vill komma åt sitt nätverk när man tex reser. OpenVPN är lösningen, säkert och smidigt.
Jag förutsätter att du kör en riktigt operativsystem, så guiden är anpassad för FreeBSD (och brandväggen pf om du kör den)
Installera openvpn från ports; cd /usr/ports/security/openvpn && make install clean
Lägg till openvpn_enable=”YES” i din rc.conf
Nu är det dags att skapa lite konfigurationsfiler; cd /usr/local/etc && mkdir openvpn && cd openvpn
Skapa en fil som heter openvpn.conf, i denna ska vi lägga följande:
#Standardporten, bör du inte ändra om du inte verkligen vill.
port 1194
# Devices
dev tun
proto udp
# Server och client IP och Pool
#Ta nåt annat än din befintliga ip-range
#ipp.txt håller info om tidigare anslutningar
#likt en dhcp server så ger den klienten ip´t den
#hade förra gången (om tillgängligt)
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# Certfikaten som ska användas.
#Klienterna kommer ha matchande för att kunna ansluta.
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh2048.pem
# Routes att pusha till klienterna, och dhcp options
push “route 192.168.0.0 255.255.255.0″
push “dhcp-option WINS 192.168.0.5″
#extra säkerhet, kan kommentras bort.
#skapas med openvpn –genkey –secret ta.key
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
#bestämm cipher
cipher AES-128-CBC
# Komprimera data i länken
comp-lzo
# Gör länken lite mer resistent mot anslutningsfel
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
max-clients 4
# Kör som en daemon och droppa behörigheter
user nobody
group nobody
daemon
Nu är det dags att skapa alla certifikat. Kör cp -r /usr/local/share/doc/openvpn/easy-rsa /home/myuser/ cd /home/myuser/easy-rsa
Du ska helst vara root för att fixa detta. Gör chmod u+x på vars, clean-all, build-ca, build-key-server, build-key-client och build-dh.
Öppna filen “vars” i din favoriteditor och ändra nåt om du behöver det (främst kanske variablerna för certet längst ner i filen). Kör sedan ./vars och efter det ./clean-all följt av ./build-ca
Skapa certet du ska använda på servern: ./build-key-server server
Gör ett gäng client-certs: ./build-key client1
Fortsätt med samma fast client2, client3 osv tills du tycker att du har skapat tillräckligt många cert för att täcka ditt framtida användningsområde.
Bygg “Diffie-Hellman” paramterar som ska ligga på servern: ./build-dh
Kopiera alla nycklar till din openvpn katalog: cp -fR keys /usr/local/etc/openvpn/
Om du vill att loggningen inte ska hamna i /var/log/messages så kan du göra såhär:
vim /etc/syslog.conf
Lägg till:
!openvpn
*.* /var/log/openvpn.log
Skapa den nya logfilen: touch /var/log/openvpn.log
Och starta om syslogd: killall -HUP syslogd
Starta openvpn: /usr/local/etc/rc.d/openvpn start
Kolla i /var/log/openvpn.log om det är några fel som måste åtgärdas.
Använder du pf, så måste du tillåta trafik på port 1194:
# OPENVPN
pass in quick log on $ext proto udp from any to any port 1194 keep state
Nu är serverkonfigurationen (förhoppningsvis) färdig!
Då går vi vidare till att skapa client-konfigurationen. Ladda ner det smidiga GUI´t för openvpn klienter, på
www.openvpn.se och installera det.
Nu måste du föra över dina certifikat från servern (ett utav client-certen och ca.crt)
client1.crt
client1.key
ca.crt
(och ta.key om du valde att göra en sådan)
Skapa en minvpn.ovpn i C:/program/openvpn/config och i den lägger du:
#inställningar för tunneln
client
remote vpn.loggnet.se 1194
dev tun
proto udp
tls-auth loggnet.se/ta.key 1
cipher AES-128-CBC
comp-lzo
#sökvägar till certen
ca ca.crt
cert client1.crt
key client1.key
# Loggning
verb 3
Prova att ansluta, det borde fungera!
Det finns mycket rolig information på http://openvpn.net/ om man stöter på problem eller vill göra ytterligare anpassningar.
Från: http://www.ubergeek.co.uk/blog/2008/05/openvpn-freebsd-pf-windows-howto/
Inlägg (RSS)