Project: TURRIS - zprovoznění OpenVPN serveru

Návod pro úspěšné zprovoznění Turrise jakožto VPN serveru (OpenVPN) pro možnost připojení do vnitřní sítě zvenku. Záměrně je zvolena metoda TUN, aby se mohli využít pro připojení i mobilní zařízení (iPhone, Android).

Pro každý návod je třeba mít připojen router prostřednictvím SSH, tedy v případě Windows doporučuji například program Putty. Tedy v konzoli musíte vidět:

root@turris:~#

Nejprve je nutné nainstalovat openvpn-easy-rsa:

opkg update
opkg install openvpn-easy-rsa

Nyní vyčistíme včechny případné stávající klíče:

cd /etc/easy-rsa/keys
clean-all

Dále vytvoříme certifikáty:

build-ca
build-dh

Poté vytvoříme serverový klíč:

build-key-server server

Následně vytvoříme klientský klíč:

build-key client

Všechny potřebné soubory nakopírujeme do '/etc/openvpn/':

cd /etc/easy-rsa/keys
cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/

V adresáři /etc/config/ vytvořte soubor 'openvpn' a do jeho obsahu vložte:

config openvpn 'turris_server'
	option enabled '1'
	option dev 'tun'
	option proto 'udp'
	option port '1194'
	option keepalive '10 1200'
	option ca '/etc/easy-rsa/keys/ca.crt'
	option cert '/etc/easy-rsa/keys/server.crt'
	option key '/etc/easy-rsa/keys/server.key'
	option dh '/etc/openvpn/dh2048.pem'
	option server '192.168.100.0 255.255.255.0'
	option remote-cert-tls 'server'
	list push 'redirect-gateway def1'
	list push 'dhcp-option DNS 192.168.100.0'
	option comp-lzo 'yes'
	option verb '3'
	option topology 'subnet'
	option ifconfig_pool_persist '/tmp/ipp.txt'
	option persist_key '1'
	option persist_tun '1'
	option status '/tmp/openvpn-status.log'

Dále v adresáři /etc/config/ zeditujte soubor 'network' a přidejte nové rozhraní vpn:

config interface 'vpn'
	option ifname 'tun0'
	option proto 'static'
	option ipaddr '192.168.100.1'
	option netmask '255.255.255.0'

Dále v adresáři /etc/config/ zeditujte soubor 'firewall' a upravte stávající zónu 'lan' takto:

config zone
	option name 'lan'
	list network 'lan'
	list network 'vpn'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'

Ve stejném souboru je ještě nutné nastavit povolení příchozího portu, tedy přidejte:

config rule
	option name 'OpenVPN'
	option src 'wan'
	option proto 'udp'
	option dest_port '1194'
	option target 'ACCEPT'

Následně je nutno provést restart obou služeb a aktivaci po startu a aktuální spuštění OpenVPN:

/etc/init.d/network restart
/etc/init.d/firewall restart
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Nyní by vše mělo být nastaveno a spuštěno, nyní již stačí nastavit klienta.


Pro použití s iZařízeními (iPhone, iPad,..) doporučuji program OpenVPN Connect, který je dostupný zdarma v AppStore. Pro připojení je třeba buď nahrát soubory přes iTunes nebo si vytvořit 1 soubor, který obsahuje vše a je v tomto formátu (zároveň obsahuje mou konfiguraci klienta). Soubor nazvěte například 'openvpn.ovpn'. Tento můžete do přístroje buď poslat emailem nebo opětovně přes iTunes (Aplikace -> OpenVPN a Nahrát).

client
dev tun
proto udp
remote VEREJNA_IP_ADRESA_TURRISE 1194
nobind
ns-cert-type server
verb 3
redirect-gateway def1
auth-nocache
script-security 2
persist-key
persist-tun

<ca>
-----BEGIN CERTIFICATE-----
....zde bude obsah souboru ca.crt
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
....zde bude obsah souboru client.crt
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
....zde bude obsah souboru client.key
-----END PRIVATE KEY-----
</key>

key-direction 1

Po úspěšném nahrání souboru do iZařízení jej v OpenVPN aktivujeme a můžeme tlačítkem I|O vyzkoušet funkčnost.


Sdílet na Facebooku Sdílet na Twitteru Vytisknout



Doporučuji: MePaBlu Copyright S474N ©2004-2017