Příručka - Vzdálené připojení - OpenVPN 1 VZDÁLENÉ PŘIPOJENÍ - OpenVPN OBSAH Popis a vlastnosti služby Popis instalace OpenVPN klienta pro Windows Postup připojení k serveru Používání, tipy Řešení problémů Popis a vlastnosti služby Princip OpenVPN je software umožňující vytvořit bezpečné šifrované připojení vzdálené PC stanice (klienta) do chráněné firemní sítě přes veřejnou síť Internet (nejedná se o VPN založenou na IPSec/L2TP, či PPTP protokolech). Komunikace je založena na spojení klienta vůči serveru na TCP nebo UDP portu 1149. Bezpečnost přístupu k chráněné síti je dvouúrovňová - je založena na principu něco mám (soubory certifikátu a klíče vydaných administrátorem) + něco znám (heslo ke klíči). Nastavení sítě pro VPN klienta určuje server (směrování/routy, výchozí brána, DNS/WINS servery, ) Výhody - šifrování přenášených dat silnou šifrou AES 256 bit a LZO komprese - podporuje všechny typy připojení dial-up, GPRS, CDMA, EDGE, WiFi, a připojení ze sítí s neveřejnými adresami - autentizace certifikátem a klíčem jež je chráněn heslem - vysoká odolnost při použití na nekvalitních linkách - možnost volit mezi TCP nebo UDP protokolem (na klientské straně) - podpora HTTP a SOCKS proxy - klient se tak může připojit i přes proxy servery - routování je plně konfigurovatelné (není potřeba směrovat provoz do internetu přes VPN) - možnost automatické obnovy po rozpojení Omezení - klient není podporován pro operační systémy Windows 95, 98, ME, CE - nelze vytvořit spojení před přihlášením do Windows - provoz OpenVPN je závislý na tom, zda uživatel má nebo nemá práva administrátora na daném počítači rozdíly a omezení při použití OpenVPN bez těchto práv jsou v dokumentu zvýrazněny modrou barvou, použití bez práv administrátora není autory programu doporučeno - pro volbu mezi více VPN kanály je nutné mít práva administrátora - klíč chráněný heslem nelze jednoduše použít bez práv administrátora (zajistí správce sítě) Co s OpenVPN získáte - plný přístup do Vaší LAN sítě (Váš notebook se jeví jako by byl zapojen v lokální síti) - možnost připojit se téměř odkudkoliv bez omezení - minimum administrace na klientovi - konfigurace může být celá získána ze serveru (odpadá rekonfigurace klientů při změnách např. vnitřní adresace, routování ) - bezplatný klientský software a neomezený počet uživatelských licencí na serveru Co je potřeba ve vzdálené síti, aby bylo možné se připojit do chráněné sítě - přístup na internet (lze i přes NAT) alespoň pro TCP nebo UDP port 1194 nebo
Příručka - Vzdálené připojení - OpenVPN 2 - přístup na internet přes SOCKS proxy server nebo - přístup na internet přes HTTP proxy server s povolenou metodou connect na portu 1194 Popis instalace OpenVPN klienta pro Windows Požadavky: Systém Windows 2000, XP, nebo novější Software OpenVPN s grafickým rozhraním = OpenVPN GUI for Windows - poslední verzi software je možné nalézt na adrese www.openvpn.se Konfigurační balíček se soubory certifikátů, klíče a konfigurací VPN klienta vystavuje administrátor sítě Postup instalace: 1) Stažení instalačního balíčku OpenVPN s grafickým rozhraním z internetu. 2) Instalace software OpenVPN s grafickým rozhraním. 3) Instalace konfiguračního balíčku uživatele do VPN klienta pro připojení k serveru. Add 1) Stažení instalačního balíčku OpenVPN s grafickým rozhraním z internetu Instalátor programu OpenVPN s grafickým rozhraním (GUI) je možné najít na adrese http://www.openvpn.se/download.html nebo pro použití (ne instalaci) bez administrátorských práv použijte zdroj http://www.openvpn.se/development.html - dole na stránce sekce Installation Package for non-admin users. Add 2) Instalace software OpenVPN s grafickým rozhraním Instalaci je nutné provádět jako administrátor systému. Přejdeme do složky do které jsme v předchozím kroku uložili instalátor OpenVPN s grafickým rozhraním a spustíme jej. Instalace je prováděna intuitivně, na podstatné otázky vyžaduje instalátor odpověď. Pokud zde není uvedeno jinak, vždy potvrďte výchozí hodnotu. Výběr instalovaných komponent a jejich základní konfigurace Vybrat možnost: Hide the TAP-Win32 Virtual Ethernet Adapter
Příručka - Vzdálené připojení - OpenVPN 3 Výběr umístění instalovaného software - Přednastavenou hodnotu C:\Program Fines\OpenVPN není potřeba nijak měnit. Souhlas s instalaci software pro hardware TAP-Win32 Adapter V8 Tento dialog se na některých systémech nemusí zobrazit. Systém varuje před instalaci ovladače pro virtuální rozhraní, které nezískalo logo firmy Microsoft, instalace tohoto ovladače je pro funkčnost OpenVPN nezbytně nutná, proto nemůže být vynechána a je potřeba Pokračovat v instalaci. Instalace tohoto software nezpůsobuje nestabilitu systému. V případě tohoto kroku je po instalaci OpenVPN doporučen restart. Souhlas s instalaci software pro hardware TAP-Win32 Adapter V8 zde je potřeba zvolit: Pokračovat Add 3) Instalace konfiguračního balíčku uživatele do VPN klienta pro připojení k serveru
Příručka - Vzdálené připojení - OpenVPN 4 Od správce serveru je nutné získat konfigurační balíček ZIP jež obsahuje certifikát, klíč a konfiguraci OpenVPN. Celý obsah tohoto balíčku je nutné nakopírovat do podadresáře config ve složce kam byl software OpenVPN instalován, v případě výchozí konfigurace software OpenVPN s grafickým rozhraním, je nutné nakopírovat konfiguraci do C:\Program Files\OpenVPN\config\. Postup připojení k serveru Kliknutím pravým tlačítkem myši na ikonu OpenVPN GUI v ikon tray se zobrazí nabídka možností. Pro připojení zvolit Connect, stejného výsledku je možné dosáhnout dvojklikem levým tlačítkem myši na tutéž ikonu (použijte, pokud nemáte administrátorská práva), uživatel bez administrátorských práv nemá možnost volby mezi více VPN spoji, všechny nakonfigurované OpenVPN připojení jsou spouštěny i zastavovány najednou, je nutné mít vždy nastavenu právě jednu konfiguraci dané VPN (TCP nebo UDP, viz níže). Automaticky se otevře okno, do kterého je vypisován stav připojení k serveru, začne probíhat připojení k serveru a jste vyzváni k zadání hesla. Po této operaci trvá přibližně 30 sekund než je spojení vytvořeno, doba připojování závisí na rychlosti a vytížení internetové linky a může se lišit. Poté co je spojení úspěšně (ikona OpenVPN bude zelená) vytvořeno zobrazí se informace o úspěšném připojení a přidělené IP adrese klientské straně.
Příručka - Vzdálené připojení - OpenVPN 5 Spuštěný grafický klient OpenVPN barvou ikony v Ikon Tray indikuje stav připojení: hnědá - nepřipojeno žlutá - spojení je vytvářeno/ukončováno zelená - spojení je aktivní
Příručka - Vzdálené připojení - OpenVPN 6 Používání, tipy Po připojení k VPN serveru klient obdrží IP adresu z chráněné sítě a jsou mu doplněny směrovací tabulky. Výchozí brána klienta zůstává zachována, tedy do sítě internet a ostatních sítí klient přistupuje skrze původní připojení, nikoliv skrze VPN linku. Na straně klienta je možné volit mezi připojení přes TCP nebo UDP port. Primárně je doporučeno používat UPD spojení, teprve až při problémech zkusit přejít na TCP spojení. Připojení přes TCP spolehlivější - vhodné i pro nekvalitní linky (dial-up, GPRS, ) Připojení přes UDP výkonnější / rychlejší - pouze na kvalitních linkách server nepozná ihned odpojení klienta spojení po odpojení klienta vyprší po cca 3 minutách (případné změny konfigurace pro daný učet se projeví právě až po tomto časovém limitu) Připojení přes proxy server (http, socks) funguje pouze pro TCP variantu. Proxy server nesmí mít zakázáno použití metody CONNECT na portu 1194. Změna hesla Heslo se vždy vztahuje ke klientskému klíči. Změnit je ho možné na klientovi přes nabídku OpenVPN -> konfigurace -> Change Password. Upozornění heslo měníte pro aktuální konfiguraci! Ve zdrojovém balíčku ZIP na serveru i jinde zůstává heslo původní! heslo může měnit pouze uživatel s administrátorskými právy Adresace sítí Upozornění VPN spojení nelze běžně použít pokud má chráněná firemní síť i vzdálená síť stejnou IP adresaci. Příklad: chráněná firemní síť do které se chci připojit má adresaci 192.168.1.x. Vzdálená síť ve které se nachází notebook s OpenVPN klientem má rovněž adresaci 192.168.1.x Pro tyto výjimečné případy je možné vytvořit speciální konfiguraci na straně serveru a klienta, přičemž je nutné počítat, že takové konfigurace jsou vždy provázeny komplikacemi. V případě potřeby takového řešení kontaktujte svého dodavatele řešení.
Příručka - Vzdálené připojení - OpenVPN 7 Automatické připojení po startu PC Upravíme záznam v registrech pro start OpenVPN-GUI. V registrech budeme editovat klíč HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Tady upravíme hodnotu openvpn-gui a to tak, že za spustitelné openvpn.exe dopíšeme jako parametr connect název konfiguračního souboru Po této úpravě bude se po startu PC OpenVPN-GUI začne připojovat k serveru. V případě že je konfigurační balíček vygenerován s heslem je uživatel na toto heslo dotázán. Řešení problémů 1) Po kliknutí pravým tlačítkem myši na ikonu OpenVPN v panelu chybí možnost připojit se k serveru Obsah konfiguračního balíčku není ve správném adresáři. Standardní umístění je C:\Program Files\OpenVPN\config 2) Nelze se vytvořit VPN připojení. Ověřte dostupnost Vašeho serveru přes aktuální připojení ve vzdálené síti. Např. příkazem ping server.domena.cz, kde uvedete příslušný název Vašeho serveru. Příprava podkladů pro hotline při řešení problémů - Při následujících krocích je nutné mít administrátorská práva 1) Zvyšte úrovně logování událostí. Toto provedete přes menu OpenVPN -> konfigurace -> Edit Config. Zobrazí se Vám poznámkový blok s nastavením konfigurace pro dané spojení (TCP / UDP). Změňte řádek s textem verb 1 na verb 5 a poznámkový blok uzavřete s potvrzením uložení provedených změn.
Příručka - Vzdálené připojení - OpenVPN 8 2) Proveďte zkušební připojení pro daný typ spojení (TCP / UDP). 4) Odešlete záznam činnosti (log) emailem. Toto provedete přes menu OpenVPN -> konfigurace -> View Log Po zvolení dané položky menu se Vám otevře poznámkový blok s obsahem souboru záznamu činnosti. V něm zvolte menu Soubor -> Uložit jako a soubor si uložíte někam na disk odkud jej jako přílohu odešlete emailem.