Drift/OpenVPN: Difference between revisions
(Milestone - konfigurasjon av sertifikater dekket) |
(Mulige ting som må fikses etter oppsett) |
||
Line 23: | Line 23: | ||
Først blir du bedt om å velge hvordan serveren skal håndtere brukere. Da vi for tiden ikke bruker LDAP eller radius, la defaulten Local User Access bli stående og gå videre (brukere håndteres da direkte av serveren). | Først blir du bedt om å velge hvordan serveren skal håndtere brukere. Da vi for tiden ikke bruker LDAP eller radius, la defaulten Local User Access bli stående og gå videre (brukere håndteres da direkte av serveren). | ||
Videre blir du bedt om å lage en Certificate Authority (CA) | Videre blir du bedt om å lage en Certificate Authority (CA): | ||
* Velg et passende navn, som f.eks. "PVV Nett - CA". | * Velg et passende navn, som f.eks. "PVV Nett - CA". | ||
* 2048 bit er en krei key length. | * 2048 bit er en krei key length. | ||
Line 30: | Line 30: | ||
Deretter blir du bedt om å lage et nytt Server Certificate. Husk å gi den et annet navn enn CA-en, ellers gjelder de samme begrensningene som for opprettingen av CA-en. | Deretter blir du bedt om å lage et nytt Server Certificate. Husk å gi den et annet navn enn CA-en, ellers gjelder de samme begrensningene som for opprettingen av CA-en. | ||
Så kommer du til selve konfigureringen av innstillingene for serveren. Der det ikke er sagt noe annet om feltene er defaulten helt grei og man kan trygt gå videre: | |||
* Protocol: Velg UDP, evt UDP6 for ipv6 om det er tilgjengelig | |||
* Tunnel Network: 10.0.8.0/24 | |||
* Hvis du bare vil ha lan med pvv, men fortsette å bruke den vanlige nettforbindelsen din til å snakke med verden ellers ikke huk av for "Redirect Gateway". For en sann VPN, huk av for "Force all client generated traffic through the tunnel." | |||
* Hvis du ikke huker av "Redirect Gateway", sett "Local Network" til 129.241.210.128/25 | |||
* Concurrent connections: Bare sett noe veldig høyt med mindre det blir en veldig populær tjeneste og man begynner å slite med båndbredden. | |||
* Set "Inter-Client Communication" hvis du vil at folk som VPN-er skal kunne lane med hverandre | |||
La resten være default. | |||
Velg fornuftige ting hvis du blir prompted om brannmurkonfigurering. | |||
=== Mulige ting som må fikses etter oppsett fra fersk installasjon === | |||
Det er en god mulighet for at brannmuren ikke er konfigurert for å tillate ipv6 forbindelsen inn til vpn-serveren. Hvis så er tilfellet, langs menyen øverst, under Firewall, gå til Rules. Rediger OpenVPN regelen. Under "TCP/IP Version" sett "IPv4+IPv6". | |||
Det er mulig du ikke har fått anledning til å tillate IPv6 tilkoblinger under oppsette av OpenVPN. Isåfall, under VPN, gå til OpenVPN, og rediger OpenVPN-serveren. Under "General information", "Protocol", velg "UDP6" og lagre. |
Revision as of 01:40, 16 November 2014
Dette er en kort guide til hvordan sette opp en OpenVPN server.
Hvis man har lyst på en enklere tilværelse og et sunt sinn anbefales det at man bruker pfSense (https://www.pfsense.org/). Det er en FreeBSD basert distro som fokuserer på administrering av nettverk.
Installasjon
Last ned din imaget du foretrekker (64-bits live og install usb-versjonen har som regel noe for seg?). (Under windows anbefales det at man bruker USB Image Tool (http://www.alexpage.de/usb-image-tool/), da vanlige linuxminnepinneopprettingsprogrammer kan slite med BSD.)
Boot fra mediet du nettopp lagde, bruk standardinnstillingene og trykk neste til du blir bedt om å koble til web-interfacet på en ip for å konfigurere adminbrukeren.
Koble til ip-en i en nettleser og logg inn med brukernavnet og passordet som står sammen med ip-en (sist vi prøvde virket brukernavnet "admin" med passord "pfsense"). Endre så adminpassordet til noe fornuftig som ikke er defaultpassordet.
Konfigurering av VPN
Hvis man skal konfigurere en fersk installasjon
Koble til webgrensesnittet som en bruker med admin-rettigheter.
I menyen langs toppen av siden under VPN velg OpenVPN.
I kontrollpanelet som dukker opp velg fanen "Wizards". Standard-wizzarden for å opprette en OpenVPN server vil da starte.
Først blir du bedt om å velge hvordan serveren skal håndtere brukere. Da vi for tiden ikke bruker LDAP eller radius, la defaulten Local User Access bli stående og gå videre (brukere håndteres da direkte av serveren).
Videre blir du bedt om å lage en Certificate Authority (CA):
- Velg et passende navn, som f.eks. "PVV Nett - CA".
- 2048 bit er en krei key length.
- Under lifetime vær klar over at utløpsdatoen ikke kan være etter 2038 fordi problemer med unix-time (standarden på 10 år/3650 dager er det helt greit å la stå)
- Skjemaet takler ikke særnorske bokstaver, så finn en kreativ løsning for ø-ene i Sør-Trønderlag i "State or Province"-feltet.
Deretter blir du bedt om å lage et nytt Server Certificate. Husk å gi den et annet navn enn CA-en, ellers gjelder de samme begrensningene som for opprettingen av CA-en.
Så kommer du til selve konfigureringen av innstillingene for serveren. Der det ikke er sagt noe annet om feltene er defaulten helt grei og man kan trygt gå videre:
- Protocol: Velg UDP, evt UDP6 for ipv6 om det er tilgjengelig
- Tunnel Network: 10.0.8.0/24
- Hvis du bare vil ha lan med pvv, men fortsette å bruke den vanlige nettforbindelsen din til å snakke med verden ellers ikke huk av for "Redirect Gateway". For en sann VPN, huk av for "Force all client generated traffic through the tunnel."
- Hvis du ikke huker av "Redirect Gateway", sett "Local Network" til 129.241.210.128/25
- Concurrent connections: Bare sett noe veldig høyt med mindre det blir en veldig populær tjeneste og man begynner å slite med båndbredden.
- Set "Inter-Client Communication" hvis du vil at folk som VPN-er skal kunne lane med hverandre
La resten være default.
Velg fornuftige ting hvis du blir prompted om brannmurkonfigurering.
Mulige ting som må fikses etter oppsett fra fersk installasjon
Det er en god mulighet for at brannmuren ikke er konfigurert for å tillate ipv6 forbindelsen inn til vpn-serveren. Hvis så er tilfellet, langs menyen øverst, under Firewall, gå til Rules. Rediger OpenVPN regelen. Under "TCP/IP Version" sett "IPv4+IPv6".
Det er mulig du ikke har fått anledning til å tillate IPv6 tilkoblinger under oppsette av OpenVPN. Isåfall, under VPN, gå til OpenVPN, og rediger OpenVPN-serveren. Under "General information", "Protocol", velg "UDP6" og lagre.