Drift/OpenVPN

From Programvareverkstedet
Revision as of 04:04, 16 November 2014 by Simongli (talk | contribs) (Mer punktlisting)

Dette er en kort guide til hvordan sette opp en OpenVPN server.

Hvis man har lyst på en enklere tilværelse og et sunt sinn anbefales det at man bruker pfSense (https://www.pfsense.org/). Det er en FreeBSD basert distro som fokuserer på administrering av nettverk.

Installasjon

  • Last ned din imaget du foretrekker (64-bits live og install usb-versjonen har som regel noe for seg?). (Under windows anbefales det at man bruker USB Image Tool (http://www.alexpage.de/usb-image-tool/), da vanlige linuxminnepinneopprettingsprogrammer kan slite med BSD.)
  • Boot fra mediet du nettopp lagde, bruk standardinnstillingene og trykk neste til du blir bedt om å koble til web-interfacet på en ip for å konfigurere adminbrukeren.
  • Koble til ip-en i en nettleser og logg inn med brukernavnet og passordet som står sammen med ip-en (sist vi prøvde virket brukernavnet "admin" med passord "pfsense"). Endre så adminpassordet til noe fornuftig som ikke er defaultpassordet.

Konfigurering av VPN

Hvis man skal konfigurere en fersk installasjon

  • Koble til webgrensesnittet som en bruker med admin-rettigheter.
  • I menyen langs toppen av siden under VPN velg OpenVPN.
  • I kontrollpanelet som dukker opp velg fanen "Wizards". Standard-wizzarden for å opprette en OpenVPN server vil da starte.
  • Først blir du bedt om å velge hvordan serveren skal håndtere brukere. Da vi for tiden ikke bruker LDAP eller radius, la defaulten Local User Access bli stående og gå videre (brukere håndteres da direkte av serveren).
  • Videre blir du bedt om å lage en Certificate Authority (CA):
    • Velg et passende navn, som f.eks. "PVV Nett - CA".
    • 2048 bit er en krei key length.
    • Under lifetime vær klar over at utløpsdatoen ikke kan være etter 2038 fordi problemer med unix-time (standarden på 10 år/3650 dager er det helt greit å la stå)
    • Skjemaet takler ikke særnorske bokstaver, så finn en kreativ løsning for ø-ene i Sør-Trønderlag i "State or Province"-feltet.
  • Deretter blir du bedt om å lage et nytt Server Certificate. Husk å gi den et annet navn enn CA-en, ellers gjelder de samme begrensningene som for opprettingen av CA-en.
  • Så kommer du til selve konfigureringen av innstillingene for serveren. Der det ikke er sagt noe annet om feltene er defaulten helt grei og man kan trygt gå videre:
    • Protocol: Velg UDP, evt UDP6 for ipv6 om det er tilgjengelig
    • Tunnel Network: 10.0.8.0/24
    • Hvis du bare vil ha lan med pvv, men fortsette å bruke den vanlige nettforbindelsen din til å snakke med verden ellers ikke huk av for "Redirect Gateway". For en sann VPN, huk av for "Force all client generated traffic through the tunnel."
    • Hvis du ikke huker av "Redirect Gateway", sett "Local Network" til 129.241.210.128/25
    • Concurrent connections: Bare sett noe veldig høyt med mindre det blir en veldig populær tjeneste og man begynner å slite med båndbredden.
    • Set "Inter-Client Communication" hvis du vil at folk som VPN-er skal kunne lane med hverandre
  • La resten være default.
  • Velg fornuftige ting hvis du blir prompted om brannmurkonfigurering.

Mulige ting som må fikses etter oppsett fra fersk installasjon

  • Det er en god mulighet for at brannmuren ikke er konfigurert for å tillate ipv6 forbindelsen inn til vpn-serveren. Hvis så er tilfellet, langs menyen øverst, under Firewall, gå til Rules. Rediger OpenVPN regelen. Under "TCP/IP Version" sett "IPv4+IPv6".
  • Det er mulig du ikke har fått anledning til å tillate IPv6 tilkoblinger under oppsette av OpenVPN. Isåfall, under VPN, gå til OpenVPN, og rediger OpenVPN-serveren. Under "General information", "Protocol", velg "UDP6" og lagre.

Brukere

Hvordan legge til brukere

  • Under "System" gå til "User Manager".
  • Trykk på legg til bruker, og legg til relevant info. Merk at passord settes i denne prosessen, så det kan være greit at brukeren er til stede for denne biten av prosessen.
  • Huk av på "Certificate" for "create a user certificate"
  • Under "Descriptive name" kan man bruke brukernavnet
  • CA-en kan være CA-en man brukte til å lage sertifikatet for OpenVPN-serveren, burde være satt som standard, og anbefales.
  • Lifetime kan ikke per nå slutte etter 2038 pga unix-time-problemer, så standarden på 10 år/3650 dager er helt grei å bruke for nå
  • Lagre og du er ferdig!

Hvordan sette opp OpenVPN hos/for bruker

  • Gå til VPN -> OpenVPN, så til fanen "Client Export".
  • Ganske langt nede på siden finner man listen over brukere. Finn brukeren du vil sette opp OpenVPN hos i denne listen.
  • Last ned den aktuelle installeren fra "Export" kolonnen, og kjør den hos brukeren. Alt skal da automagisk bli satt riktig.

NB! Under windows kan man få problemer hvis OpenVPN er satt opp fra før av (ente fra oss eller andre). For å få installasjonen til å virke må man i noen tilfeller avinstallere den tidligere versjonen av OpenVPN. Det som er litt kronglete er at det ofte installeres to ting; OpenVPN, og OpenVPN Client/GUI. OpenVPN GUI vil dukke opp over listen av installerte programmer og kan avinstalleres slik, men OpenVPN i seg selv må avinstalleres med sin egen uninstaller, som lettes finnes under OpenVPN i startmenyen.