VPN sítě

VPN sítěVPN sítě

Autor: Tomáš PARÍŠEKAutor: Tomáš PARÍŠEK

ObsahObsah

ÚvodÚvod

Co je VPNCo je VPN

Druhy VPNDruhy VPN

OpenVPNOpenVPN

Konfigurace OpenVPNKonfigurace OpenVPN

ÚvodÚvod

předchůdci VPN jsou přepínače, které předchůdci VPN jsou přepínače, které umožňovaly virtualizaci několika umožňovaly virtualizaci několika vzdálených sítí. Používala se k tomu vzdálených sítí. Používala se k tomu jediná infrastruktura (kabeláž). Dnes je jediná infrastruktura (kabeláž). Dnes je nahrazena poskytovatelem datových nahrazena poskytovatelem datových služebslužebNepoužívalo se ani zabezpečení dat. To Nepoužívalo se ani zabezpečení dat. To se začalo řešit až s příchodem levných se začalo řešit až s příchodem levných připojení k Internetupřipojení k Internetu

Co je VPNCo je VPN

DefiniceDefinice VPN je zkratka anglického Virtual Private VPN je zkratka anglického Virtual Private

Network (Virtuální privátní síť).Network (Virtuální privátní síť). Privátnost je tvořena nějakou metodou Privátnost je tvořena nějakou metodou

virtualizace, ať už mezi dvěma koncovými virtualizace, ať už mezi dvěma koncovými body, mezi dvěma organizacemi, mezi body, mezi dvěma organizacemi, mezi několika koncovými body v rámci jedné několika koncovými body v rámci jedné organizace, či mezi více body prostřednictvím organizace, či mezi více body prostřednictvím Internetu.Internetu.

Co je VPNCo je VPN

Důvody vytváření VPNDůvody vytváření VPN Vytvořením VPN sítě chceme dosáhnout Vytvořením VPN sítě chceme dosáhnout

virtualizace v jisté části komunikace – tzn. virtualizace v jisté části komunikace – tzn. skrýt ji před „ostatním světem“ a využít skrýt ji před „ostatním světem“ a využít společnou komunikační infrastrukturuspolečnou komunikační infrastrukturu

Hlavním důvodem vytváření VPN sítí bývá Hlavním důvodem vytváření VPN sítí bývá ekonomie (vybudovat vlastní propojení nebo ekonomie (vybudovat vlastní propojení nebo pomocí Internetu?)pomocí Internetu?)

VPN a InternetVPN a Internet

Internet díky celosvětovému rozšíření Internet díky celosvětovému rozšíření umožňuje propojení libovolných uzlů na umožňuje propojení libovolných uzlů na celém světěcelém světě

Velkou nevýhodou jsou požadavky na Velkou nevýhodou jsou požadavky na bezpečnost dat. Další může být problém bezpečnost dat. Další může být problém se zajištěním QoS, dostupnost a se zajištěním QoS, dostupnost a spolehlivost a integrita datspolehlivost a integrita dat


Př. VPN sítí: Př. VPN sítí: jsou tvořeny propojením geograficky jsou tvořeny propojením geograficky

odlehlých subsítí A a B přes jednoho odlehlých subsítí A a B přes jednoho poskytovatele. Tyto sítě o sobě navzájem poskytovatele. Tyto sítě o sobě navzájem nevědí (Viz obr.1 na další straně)nevědí (Viz obr.1 na další straně)

VPN může být tvořena i základním principem VPN může být tvořena i základním principem bod-bod (např. dial-up spojení se bod-bod (např. dial-up spojení se zabezpečenou aplikací – bankovní služby zabezpečenou aplikací – bankovní služby apod.) nebo kódované připojení (např. apod.) nebo kódované připojení (např. uživatel – banka)uživatel – banka)


Typologie VPNTypologie VPN

Podle požadavků (např. míry bezpečnosti, Podle požadavků (např. míry bezpečnosti, správu, údržbu..) volíme při budování sítě správu, údržbu..) volíme při budování sítě z několika způsobů.z několika způsobů.


Podle funkčnosti sítě v relaci s jednotlivými Podle funkčnosti sítě v relaci s jednotlivými vrstvami protokolového zásobníku:vrstvami protokolového zásobníku: VPN na síťové vrstvě – síťová vrstva se VPN na síťové vrstvě – síťová vrstva se

zabývá směrováním IP protokolu. Toto zabývá směrováním IP protokolu. Toto směrování je základem pro tvorbu VPN.směrování je základem pro tvorbu VPN.

VPN na spojové vrstvěVPN na spojové vrstvě

VPN na spojové vrstvěVPN na spojové vrstvě

VPN v LANE sítích (emulované LAN – jedná se VPN v LANE sítích (emulované LAN – jedná se o emulaci LAN nad ATM sítí – ATM se pak o emulaci LAN nad ATM sítí – ATM se pak chová jako Ethernet/Token Ring), chová jako Ethernet/Token Ring),

VPN v MPOA (Multiprotocol over ATM – VPN v MPOA (Multiprotocol over ATM – virtuální směrování)virtuální směrování)

VPN v MPLS (Multiprotocol Label Switching – VPN v MPLS (Multiprotocol Label Switching – směrování na síťové vrstvě v kombinaci směrování na síťové vrstvě v kombinaci s přepínáním značek)s přepínáním značek)


VPN se šifrováním na spojové vrstvěVPN se šifrováním na spojové vrstvě

VPN na transportní a aplikační vrstvě VPN na transportní a aplikační vrstvě (e-mailové systémy s kódovaným (e-mailové systémy s kódovaným přenosem zpráv)přenosem zpráv)

VPN na síťové vrstvěVPN na síťové vrstvě

Základem pro vytvoření je práce se Základem pro vytvoření je práce se směrovacími informacemisměrovacími informacemiVyskytují se zde 2 základní modely VPN: Vyskytují se zde 2 základní modely VPN: peer a overlaypeer a overlay peer pracuje s informacemi na síťové vrstvě peer pracuje s informacemi na síťové vrstvě

(směrování je prováděno v každém uzlu)(směrování je prováděno v každém uzlu) overlay využívá spojovou vrstvu k vytvoření overlay využívá spojovou vrstvu k vytvoření

cesty paketu (ATM, Frame Relay, tunelování).cesty paketu (ATM, Frame Relay, tunelování).

Jedná se o omezení propagace Jedná se o omezení propagace směrovacích informací na ostatní sítěsměrovacích informací na ostatní sítě

takový model je typu peer (jeden router takový model je typu peer (jeden router zastupuje skupinu uzlů VPN navazuje zastupuje skupinu uzlů VPN navazuje spojení se vstupním routerem spojení se vstupním routerem poskytovatele)poskytovatele)

Filtrování směrovacích informacíFiltrování směrovacích informací



Směrovače zde pracují tak, že informace Směrovače zde pracují tak, že informace ze sítě A (A1..A4) jsou poskytovány opět ze sítě A (A1..A4) jsou poskytovány opět sítím A1..A4. Tzn. ostatní sítě netuší nic o sítím A1..A4. Tzn. ostatní sítě netuší nic o existenci sítě Aexistenci sítě A

Problém je přístup mimo VPN. Řeší se Problém je přístup mimo VPN. Řeší se pomocí tzv. implicitního routeru – je pomocí tzv. implicitního routeru – je přístupný ze všech částí dané VPN.přístupný ze všech částí dané VPN.

Model tunelováníModel tunelování

Vytváří se tunel, kterým je přenášena specifická Vytváří se tunel, kterým je přenášena specifická část komunikacečást komunikace Nejběžnějším typem tunelování je GRE Nejběžnějším typem tunelování je GRE (Generic Routing Encapsulation). Tunely jsou (Generic Routing Encapsulation). Tunely jsou tvořeny routery, které slouží jako vstupní a tvořeny routery, které slouží jako vstupní a výstupní body dané VPN sítěvýstupní body dané VPN sítěK přenášeným paketům se přidává GRE K přenášeným paketům se přidává GRE hlavička s cílovou adresou routeru na druhém hlavička s cílovou adresou routeru na druhém konci tunelu. Cílový router hlavičku odstraní a konci tunelu. Cílový router hlavičku odstraní a pokračuje k cíli podle cílové IP adresy (viz obr. 3 pokračuje k cíli podle cílové IP adresy (viz obr. 3 na další straně) na další straně)



GRE tunely jsou typu bod-bod, některé implementace GRE tunely jsou typu bod-bod, některé implementace dovolují konfiguraci bod-více bodůdovolují konfiguraci bod-více bodůVýhodou je odlišná adresace – přístupové body do Výhodou je odlišná adresace – přístupové body do páteřní sítě mají adresy této sítě a tunelování používá páteřní sítě mají adresy této sítě a tunelování používá adresy cílových bodů z prostoru adres této sítě, zatímco adresy cílových bodů z prostoru adres této sítě, zatímco VPN mají vlastní adresní rozsah. Tím vzniká odstínění VPN mají vlastní adresní rozsah. Tím vzniká odstínění těchto sítí, což je jeden z principů tzv. overlay modelu těchto sítí, což je jeden z principů tzv. overlay modelu (překryvný). (překryvný). Rozdíl oproti síti filtrování směrovacích informací je, Rozdíl oproti síti filtrování směrovacích informací je, možnost používat privátní adresy.možnost používat privátní adresy.Výhodou je také přenos libovolného síťového protokolu. Výhodou je také přenos libovolného síťového protokolu. Protokol je přenášen přes páteřní síť nezměněn. GRE Protokol je přenášen přes páteřní síť nezměněn. GRE umí pracovat s NATumí pracovat s NATNevýhoda je náročnost konfigurace, protože všechny Nevýhoda je náročnost konfigurace, protože všechny tunely musí být konfigurovány zvlášť. tunely musí být konfigurovány zvlášť.

Kumutovaný přístupKumutovaný přístup

VPDN (Virtual Private Dial Networks)VPDN (Virtual Private Dial Networks)

Základní metody jsou použití tunelů L2TP Základní metody jsou použití tunelů L2TP a PPTPa PPTP

L2TP vychází mimo jiné z PPTP, L2TP vychází mimo jiné z PPTP, rozšířenější je díky podpoře v OS mnoha rozšířenější je díky podpoře v OS mnoha počítačůpočítačů

L2TPL2TP

Tento typ tunelování probíhá tak, že je Tento typ tunelování probíhá tak, že je iniciován přístupovým serverem (zde musí iniciován přístupovým serverem (zde musí být autentizační informace uživatel), tzn. být autentizační informace uživatel), tzn. klient je nemůže ovlivnitklient je nemůže ovlivnit

Využívá se, když velcí poskytovatelé Využívá se, když velcí poskytovatelé obsahu přenechávají přístupové sítě jiným obsahu přenechávají přístupové sítě jiným firmámfirmám

Viz obr. 4 na další straněViz obr. 4 na další straně

L2TPL2TP

PPTPPPTP

Protokol byl vyvinut firmou MicrosoftProtokol byl vyvinut firmou MicrosoftTunel je inicializován klientem. Je vytvořeno Tunel je inicializován klientem. Je vytvořeno spojení bod-bod, na umístění serveru nezáležíspojení bod-bod, na umístění serveru nezáleží Server se ani nemusí účastnit vytvoření tohoto Server se ani nemusí účastnit vytvoření tohoto tunelu. Klient vytváří PPTP spojení na známý tunelu. Klient vytváří PPTP spojení na známý PPTP server (dosažitelný v rámci směrovacích PPTP server (dosažitelný v rámci směrovacích informací). informací). Model umožňuje výběr cílového uzlu tunelu až Model umožňuje výběr cílového uzlu tunelu až po vytvoření PPP spojení. po vytvoření PPP spojení. Výhodou je transparentnost – PPTP je Výhodou je transparentnost – PPTP je přenášeno stejně jako ostatní IP pakety.přenášeno stejně jako ostatní IP pakety.

PPTPPPTP

Šifrování na síťové vrstvěŠifrování na síťové vrstvě

Nejpoužívanější architekturou je IPsec (IP Nejpoužívanější architekturou je IPsec (IP Security)Security)

Přidává se za IP hlavičku před hlavičku Přidává se za IP hlavičku před hlavičku 4.vstvy (TCP nebo UDP).4.vstvy (TCP nebo UDP).

Zakládá se tunel mezi dvěma body. Jsou Zakládá se tunel mezi dvěma body. Jsou definovány dva přenosové módydefinovány dva přenosové módy TransportníTransportní Tunelovací Tunelovací


Transportní má menší nároky na šířku Transportní má menší nároky na šířku pásmapásma

Mezi IP hlavičku a data se přidává AH Mezi IP hlavičku a data se přidává AH (Authentification Header)(Authentification Header)


Je-li požadováno šifrování, přidává se Je-li požadováno šifrování, přidává se hlavička ESP (Encaspulating Security hlavička ESP (Encaspulating Security Paylod) Paylod)


V tunelovacím módu je IP datagram V tunelovacím módu je IP datagram zašifrován a je vytvořena nová hlavička.zašifrován a je vytvořena nová hlavička.

Také umožňuje, aby se některá zařízení Také umožňuje, aby se některá zařízení chovala jako IP proxi chovala jako IP proxi

Po aplikaci AHPo aplikaci AH


Opět v případě zabezpečování dat se Opět v případě zabezpečování dat se vkládá ESP vkládá ESP


Před vytvářením tunelu se dohadují parametry Před vytvářením tunelu se dohadují parametry spojení:spojení: šifrovací algoritmus (DES, 3DES)šifrovací algoritmus (DES, 3DES) hashovaní funkce (MD5, SHA)hashovaní funkce (MD5, SHA) metoda autentikacemetoda autentikace doba životnosti.doba životnosti.

Konfiguruje se buď tak, že se v obou koncových Konfiguruje se buď tak, že se v obou koncových bodech použije předem definovaný klíč bodech použije předem definovaný klíč (jednoduchost) nebo lze využít pro sdílení klíčů (jednoduchost) nebo lze využít pro sdílení klíčů certifikační autority.certifikační autority.Výhodou je podpora IPv6 protokolu Výhodou je podpora IPv6 protokolu

Sítě na spojové vrstvěSítě na spojové vrstvě

využívání časového nebo frekvenčního využívání časového nebo frekvenčního multiplexu, synchronizace vysílání a příjmu dat multiplexu, synchronizace vysílání a příjmu dat (synchronní přenosy). Ekonomičnost spočívá ve (synchronní přenosy). Ekonomičnost spočívá ve využití přepínané infrastruktury.využití přepínané infrastruktury. Frame Relay – CIR (Committed Information Rate) Frame Relay – CIR (Committed Information Rate)

referenční hodnota velikosti rychlosti přenosu ve referenční hodnota velikosti rychlosti přenosu ve vstupním bodě. Je-li překročena rychlost, jsou rámce vstupním bodě. Je-li překročena rychlost, jsou rámce označovány jako DE (Discard Eligible) a mohou být označovány jako DE (Discard Eligible) a mohou být v případě přetížení sítě zahazovány.v případě přetížení sítě zahazovány.

ATM (Asynchronous Transfer Mode) – obdoba Frame ATM (Asynchronous Transfer Mode) – obdoba Frame Relay, rámce nad rychlostní limit jsou označeny CLP Relay, rámce nad rychlostní limit jsou označeny CLP (Cell Loss Priority)(Cell Loss Priority)

LAN EmulaceLAN Emulace

LANE emulována nad ATM sítíLANE emulována nad ATM sítíDefinuje rozhraní pro stávající protokoly síťové vrstvy. Definuje rozhraní pro stávající protokoly síťové vrstvy. Pakety jsou posílány ATM sítí zapouzdřeny v LANE Pakety jsou posílány ATM sítí zapouzdřeny v LANE MAC rámcích. Síť se pak chová jako Ethernet.MAC rámcích. Síť se pak chová jako Ethernet.LANE se skládá zLANE se skládá z

LES (LANE emulation server) – poskytuje mapování mezi MAC LES (LANE emulation server) – poskytuje mapování mezi MAC a ATM adresamia ATM adresami

LEC (LANE emulation client) – obsahuje každý člen ELAN LEC (LANE emulation client) – obsahuje každý člen ELAN (emulované LAN) – okrajové přepínače ATM a koncové uzly (emulované LAN) – okrajové přepínače ATM a koncové uzly ATM. LEC může být členem několika ELAN – virtuální sítě se ATM. LEC může být členem několika ELAN – virtuální sítě se překrývají. ELAN (jen množina uzlů ATM) je podmnožina VLAN překrývají. ELAN (jen množina uzlů ATM) je podmnožina VLAN (uzly ATM i uzly na standardních segmentech) – viz obr. 9 na (uzly ATM i uzly na standardních segmentech) – viz obr. 9 na další stranědalší straně

LANELANE

LANELANE

Propojování ELAN se děje pomocí směrovače. Propojování ELAN se děje pomocí směrovače. Často se používá one-armed router – směrovač Často se používá one-armed router – směrovač s jedním ATM rozhraním, na něm je s jedním ATM rozhraním, na něm je implementován vícenásobný LEC (pro každou implementován vícenásobný LEC (pro každou VLAN jeden). Směrování pak probíhá tak, že VLAN jeden). Směrování pak probíhá tak, že jednotlivým sítím jsou přiřazena IP Subnet jednotlivým sítím jsou přiřazena IP Subnet Number.Number.Problémy mohou být s propustností v takovýchto Problémy mohou být s propustností v takovýchto bodech. bodech. Nevýhodou je také nebezpečnost takového bodu Nevýhodou je také nebezpečnost takového bodu z hlediska poruchovosti.z hlediska poruchovosti.

MPOAMPOA

Základem je virtuální směrovač, který emuluje funkci Základem je virtuální směrovač, který emuluje funkci tradiční sítě s routery, přitom principem směrování tradiční sítě s routery, přitom principem směrování eliminuje výkonnostní omezení. Pakety na své cestě eliminuje výkonnostní omezení. Pakety na své cestě nejsou zpracovávány routery, ale virtuální směrovač je nejsou zpracovávány routery, ale virtuální směrovač je pošle přímo přes ATM síť.pošle přímo přes ATM síť.Výpočetní zpracování provádí MPS (MPOA server), Výpočetní zpracování provádí MPS (MPOA server), zatímco MPC (MPOA client) provádí směrování paketů. zatímco MPC (MPOA client) provádí směrování paketů. MPOA pracuje s protokolovým zásobníkem běžných MPOA pracuje s protokolovým zásobníkem běžných směrovacích protokolů. Okrajové ATM přepínače směrovacích protokolů. Okrajové ATM přepínače směrují komunikaci na 2. a 3. vrstvě, spolu s ATM směrují komunikaci na 2. a 3. vrstvě, spolu s ATM přepínači tvoří sítě se směrováním „bez přeskoků“. přepínači tvoří sítě se směrováním „bez přeskoků“. Velkou nevýhodou je omezení na ATM sítě. Výhodou je Velkou nevýhodou je omezení na ATM sítě. Výhodou je dynamické vytváření virtuálních obvodů na rozdíl od dynamické vytváření virtuálních obvodů na rozdíl od statických statických

Sítě s protokolem MPOASítě s protokolem MPOA

Virtuální sítě MPLSVirtuální sítě MPLS

Hybridní technologieHybridní technologievyužívá dvou základních přístupů: směrování na síťové využívá dvou základních přístupů: směrování na síťové vrstvě (přepínání podle návěští, značek) a přepínání vrstvě (přepínání podle návěští, značek) a přepínání paket po paketu na straně jedné a virtuální obvody na paket po paketu na straně jedné a virtuální obvody na spojové vrstvě a přepínání datových toků na straně spojové vrstvě a přepínání datových toků na straně druhé.druhé.Návěští se používají pro identifikaci přenášených dat. Návěští se používají pro identifikaci přenášených dat. Architektura založena na aplikaci návěští na paket, který Architektura založena na aplikaci návěští na paket, který vstupuje do sítě MPLS. Tím je určena cesta, kterou vstupuje do sítě MPLS. Tím je určena cesta, kterou paket projde mezi koncovými body sítě a výstupní router. paket projde mezi koncovými body sítě a výstupní router. Rozšířením z hlediska VPN je globální identifikátor (CUG Rozšířením z hlediska VPN je globální identifikátor (CUG - Closed User Group identifier), který může být přiřazen - Closed User Group identifier), který může být přiřazen paketu a poté se podle indexu provádí směrování. CUG paketu a poté se podle indexu provádí směrování. CUG se použije k určení výstupního routeru. se použije k určení výstupního routeru.

OpenVPNOpenVPN

Používá SSL/TLS, který zajišťuje šifrování a autentizaciPoužívá SSL/TLS, který zajišťuje šifrování a autentizaci (platformy Linux, Solaris, OpenBSD, FreeBSD, NetBSD, (platformy Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X a Windows 2000/XP)Mac OS X a Windows 2000/XP)Program běží v user módu (nemusí se patchovat jádro)Program běží v user módu (nemusí se patchovat jádro)Podporuje tunel (1:1) nebo klient/server (N:1).Podporuje tunel (1:1) nebo klient/server (N:1).Bezpečný a odolný na nekvalitních linkách, podpora Bezpečný a odolný na nekvalitních linkách, podpora HTTP a SOCKS proxy – klient se může připojit HTTP a SOCKS proxy – klient se může připojit odkudkolivodkudkolivPro každý směr komunikace je možno použít jiný klíčPro každý směr komunikace je možno použít jiný klíčOpenVPN umí automaticky navázat spadlé spojeníOpenVPN umí automaticky navázat spadlé spojení

OpenVPNOpenVPN

Standardně protokol UDP, ale použít lze i TCP (HTTP Standardně protokol UDP, ale použít lze i TCP (HTTP nebo SOCKS proxy). Komunikace probíhá na jediném nebo SOCKS proxy). Komunikace probíhá na jediném portu (snadná konfigurace firewallu)portu (snadná konfigurace firewallu)OpenVPN komunikuje prostřednictvím TUN a TAP OpenVPN komunikuje prostřednictvím TUN a TAP rozhraní.rozhraní.Pro kompresi se používá knihovna LZO. Konfigurace: Pro kompresi se používá knihovna LZO. Konfigurace: spouštěcí skript "sample-scripts/openvpn.init" spouštěcí skript "sample-scripts/openvpn.init" nakopírujeme do "/etc/init.d" a přidáme příkazem nakopírujeme do "/etc/init.d" a přidáme příkazem "chkconfig --add openvpn"."chkconfig --add openvpn".Instalace ve Windows: stahnout balíček OpenVPN a Instalace ve Windows: stahnout balíček OpenVPN a nainstalovat. Ten přidá "Virtual TAP" síťové zařízení a nainstalovat. Ten přidá "Virtual TAP" síťové zařízení a službu OpenVPN. Popř. lze nainstalovat (místo Windows službu OpenVPN. Popř. lze nainstalovat (místo Windows služby) "OpenVPN GUI".služby) "OpenVPN GUI".

OpenVPN - konfiguraceOpenVPN - konfigurace

Tunel mezi dvěma linuxovými stroji (s IP např. Tunel mezi dvěma linuxovými stroji (s IP např. 1.2.3.4 a 5.6.7.8) s použitím sdíleného klíče1.2.3.4 a 5.6.7.8) s použitím sdíleného klíče

mezi stroji funguje normálně IP komunikace. mezi stroji funguje normálně IP komunikace.

Chceme vytvořit šifrovaný a komprimovaný Chceme vytvořit šifrovaný a komprimovaný tunel.tunel. Vygenerování klíče se provede příkazem openvpn "--Vygenerování klíče se provede příkazem openvpn "--

genkey --secret /etc/openvpn/secret.key" a ten genkey --secret /etc/openvpn/secret.key" a ten distribujeme na oba počítače.distribujeme na oba počítače.

Dalším krokem je vytvoření souboru na PC 5.6.7.8 Dalším krokem je vytvoření souboru na PC 5.6.7.8 "/etc/openvpn/vpn.conf„ s následujícím obsahem…"/etc/openvpn/vpn.conf„ s následujícím obsahem…

OpenVPN - konfiguraceOpenVPN - konfiguraceremote 1.2.3.4remote 1.2.3.4 ;určuje druhou stranu;určuje druhou stranuifconfig 10.0.0.2 255.255.255.0ifconfig 10.0.0.2 255.255.255.0 ;netmaska virtuálního síťového rozhraní ;netmaska virtuálního síťového rozhraní port 5001port 5001proto udpproto udpdev tap0dev tap0 ;typ a číslo virtuálního rozhraní ;typ a číslo virtuálního rozhraní secret /etc/openvpn/secret.keysecret /etc/openvpn/secret.key ;jméno souboru s klíčem ;jméno souboru s klíčem ping 10ping 10 ;intervaly keep-alive pingů ;intervaly keep-alive pingů comp-lzocomp-lzo ;komprese;kompreseverb 5verb 5 ;upřesnění logování ;upřesnění logování mute 10mute 10user openvpnuser openvpn ;pod jakými efektivními právy má démon ;pod jakými efektivními právy má démon běžet běžet group openvpngroup openvpn

na druhém PC pak upravíme řádky remote a ifconfig takto:na druhém PC pak upravíme řádky remote a ifconfig takto:remote 5.6.7.8remote 5.6.7.8ifconfig 10.0.0.1 255.255.255.0ifconfig 10.0.0.1 255.255.255.0

Nakonec se příkazem "/etc/rc.d/init.d/openvpn start" provede vytvoření zařízení tap0 Nakonec se příkazem "/etc/rc.d/init.d/openvpn start" provede vytvoření zařízení tap0 a je hotovo.a je hotovo.


OpenVPN funguje jako klient/server.OpenVPN funguje jako klient/server.

Propojení linuxovského serveru a MS Windows Propojení linuxovského serveru a MS Windows klientů:klientů: použije se SSL a X.509 autorizaci, sdílený klíč se zde použije se SSL a X.509 autorizaci, sdílený klíč se zde

může použít jako doplněk.může použít jako doplněk. je třeba mít k dispozici platný certifikát. Použití je třeba mít k dispozici platný certifikát. Použití

certifikační autority má nevýhodu, že OpenVPN dovolí certifikační autority má nevýhodu, že OpenVPN dovolí přístup každému, kdo má platný certifikát. Je dobré přístup každému, kdo má platný certifikát. Je dobré mít nakonfigurovaný filtr, který rozhodne podle jména mít nakonfigurovaný filtr, který rozhodne podle jména certifikátu, zda povolit přihlášení či nikoliv.certifikátu, zda povolit přihlášení či nikoliv.


OpenVPN poslouchá na jednom portu. Když OpenVPN poslouchá na jednom portu. Když přijde paket UDP (TCP), pokusí se UDP přijde paket UDP (TCP), pokusí se UDP spojením navázat SSL/TLS komunikaci a ověřit spojením navázat SSL/TLS komunikaci a ověřit certifikát druhé strany oproti certifikační autoritě. certifikát druhé strany oproti certifikační autoritě. Obě strany se pomocí SSL/TLS dohodnou na Obě strany se pomocí SSL/TLS dohodnou na klíčích a šifrách pro zabezpečení dat. Nakonec klíčích a šifrách pro zabezpečení dat. Nakonec pošle server klientovi konfigurační volby (IP, pošle server klientovi konfigurační volby (IP, nastavení směrování,..).nastavení směrování,..).Při použití sdíleného klíče jako doplňku Při použití sdíleného klíče jako doplňku k SSL/TLS se budou všechna data podepisovat k SSL/TLS se budou všechna data podepisovat pomocí tohoto klíče. Nepodepsané nebo špatně pomocí tohoto klíče. Nepodepsané nebo špatně podepsané pakety se hned zahazují.podepsané pakety se hned zahazují.

Konfigurace serveru OpenVPNKonfigurace serveru OpenVPNServer má např. adresu eryx.zcu.czServer má např. adresu eryx.zcu.cz

mode servermode server ;OpenVPN bude fungovat jako ;OpenVPN bude fungovat jako klient/serverklient/servertls-servertls-server ;počítač vystupuje v rámci TSL spojení ;počítač vystupuje v rámci TSL spojení

jako serverjako serverdev tap0dev tap0 ;upřesnění typu vytvářeného zařízení;upřesnění typu vytvářeného zařízeníifconfig 10.0.1.100 255.255.255.0ifconfig 10.0.1.100 255.255.255.0

;adresa serveru;adresa serveruifconfig-pool 10.0.1.1 10.0.1.90 255.255.255.0ifconfig-pool 10.0.1.1 10.0.1.90 255.255.255.0

;rozsah adres, ze kterého je ;rozsah adres, ze kterého je přidělováno přidělováno klientůmklientůmduplicate-cnduplicate-cn ;současné přihlášení více klientů se ;současné přihlášení více klientů se stejným stejným certifikátemcertifikátemca /etc/openvpn/cacert.pemca /etc/openvpn/cacert.pem ;certifikát certifikační autority;certifikát certifikační autoritycert /etc/openvpn/vpn.crtcert /etc/openvpn/vpn.crt ;certifikát serveru;certifikát serverukey /etc/openvpn/vpn.keykey /etc/openvpn/vpn.key ;klíč serveru;klíč serverudh /etc/openvpn/dh1024.pemdh /etc/openvpn/dh1024.pem ;parametry pro Diffie-Hellman protokol;parametry pro Diffie-Hellman protokol

Konfigurace serveru OpenVPNKonfigurace serveru OpenVPN

log-append /var/log/openvpnlog-append /var/log/openvpn ;parametry logování;parametry logovánístatus /var/run/openvpn/vpn.status 10status /var/run/openvpn/vpn.status 10 ;jméno souboru pro ;jméno souboru pro

uložení stavu uložení stavu OpenVPNOpenVPN

user openvpnuser openvpngroup openvpngroup openvpncomp-lzocomp-lzo ;povolení komprese;povolení kompreseverb 3verb 3

Soubor s parametry pro Diffie-Hellman je Soubor s parametry pro Diffie-Hellman je možno vytvořit příkazem možno vytvořit příkazem openssl dhparam -out dh1024.pem 1024.openssl dhparam -out dh1024.pem 1024.

Konfigurace klienta OpenVPNKonfigurace klienta OpenVPN

Nainstaluje se klient OpenVPN, použije se Nainstaluje se klient OpenVPN, použije se konfigurační soubor standardně konfigurační soubor standardně z umístění: C:\Program Files\OpenVPN\z umístění: C:\Program Files\OpenVPN\config\vpn_klient.ovpn . config\vpn_klient.ovpn .

Soubory s touto příponou (*.ovpn) Soubory s touto příponou (*.ovpn) v adresáři config se spouští automaticky.v adresáři config se spouští automaticky.

Konfigurace klienta OpenVPNKonfigurace klienta OpenVPNremote eryx.zcu.czremote eryx.zcu.cz ;adresa serveru;adresa serverutls-clienttls-clientdev tapdev tap ;typ zařízení, při použití více VPN, je potřeba ;typ zařízení, při použití více VPN, je potřeba

vytvořit více virtuálních zařízení a pomocí dev-vytvořit více virtuálních zařízení a pomocí dev-node určit, které se bude používat.node určit, které se bude používat.

pullpull ;stažení konfigurace ze serveru pomocí volby ;stažení konfigurace ze serveru pomocí volby pushpushmute 10mute 10ca cacert.pemca cacert.pem ;certifikáty;certifikátycert klient.certcert klient.certkey klient.keykey klient.key ;soubor s klíčem;soubor s klíčemcomp-lzocomp-lzoverb 3verb 3

Všechny dostupné adaptéry lze vypsat příkazem openvpn --show-adapters.Všechny dostupné adaptéry lze vypsat příkazem openvpn --show-adapters.

ZávěrZávěr

Použité zdroje:Použité zdroje: www.svetsiti.czwww.svetsiti.cz www.root.czwww.root.cz Archiv semestrálních prací z PD z předešlých Archiv semestrálních prací z PD z předešlých

let (let (www.kiv.zcu.cz/~www.kiv.zcu.cz/~simekmsimekm//vyukavyuka//pdpd))

Documents

VPN sítě