OpenVPN - nastavení - certifikáty atd...

Předem - pročítám již 2 dny fora a thready a moc rozumu jsem z nich nepobral :(

Jelikož jsem se v našich končinách konečně dostal na net (natrvalo) chtěl bych vyzkoušet a naučit se "problematiku" VPN. Co se týče teorie tak snad bych něco věděl ale konktrétní program ee :(

Asi nejdoporučenější prog. jsem pochopil OpenVPN ale s jeho nastavenim si nevim rady :( Linux totiz neovladam a v drtive vetsine 99% jsem našel jen odkazy jak ho nastavit právě na linuxu :( Přímo v HowTo je sice návod na instalaci ve Win ale při generování certifikátů jsem se totálně ztratil a nepochopil co proč a jak :( a navíc mi to nědělalo to co to asi dělat mělo :(

Vysvětlí mi prosím někdo problematiku těch certifikátů (stačí stručně)? Co je to CA certifikát a jak je to s veřejným, kilentským a serverovým certifikátem?

Případně i jestli lze nastavit tento server na xp Home co mám v práci a připojit se na něho z domu kde mam taky xp? nebudu řešit připojení internetu firewallu apod... to bych zvládnul.... jde mi jen o to vůbec někde začít.

Dále jestli je lepší začít s něčím jednodušším jako je asi VNC co jsem se dočetl apod?

Připadne mi, že čím jsem starší, tím hůř to leze do hlavy..... nebo se tomu tam nechce :(

Předem velmi moc děkuji za jakoukoliv pomoc nebo radu, návod nebo jen nakopnutí jak pokračovat dále....

CA certifikát je zvláštní druh certifikátu, kterým jsou podepsány všechny ostatní certifikáty. Do podepsaného certifikátu jsou vloženy informace o certifikátu CA a kontrolní součet. Tento certifikát musí mít k dispozici každý klient a server. Serverový certifikát slouží k identifikaci serveru. To aby měl připojující se klient jistotu, že se připojuje ke skutečnému serveru a ne k žádnému cizáku, který mu podstrčil hacker. Veřejným klíčem serveru se šifruje heslo pro šifru, která se používá pro komunikaci client -> server. U klientského certifikátu je to přesně opačně, jde o ověření a šifrování spojení server -> client. K serveru se může v základním nastavení připojit každý klient, který má platný certifikát podepsaný CA certifikátem, který je uvedený v nastavení serveru.

OpenVPN lze nainstalovat i na WinXP Home. Doporučuji začít se setavením OpenVPN GUI for Windows (http://openvpn.se/download.html), je opravdu jednoduché. Problém spočívá v tom, že je nutné, aby měl server buďto veřejnou IP adresu, nebo aby bylo správně nastavené routování k serveru na port, kde naslouchá OpenVPN (standardně 1194).

Dobrý zdroj informací je OpenVPN HOWTO (http://openvpn.net/howto.html).

Pokud budeš chtít, můžu ti vygenerovat SSL certifikáty a pomoct s nastavením.

toto je moje konfigurace na serveru
dev tun
local IP SERVERU
port 1194
proto udp

push "route 192.168.1.0 255.255.255.0 10.8.0.1"

push "route 10.8.0.1"
push "dhcp-option DNS 81.27.192.33"
push "dhcp-option WINS 81.27.192.97"
push "redirect-gateway"

ca /etc/openvpn/ca.crt
cert /etc/openvpn/debian.crt
key /etc/openvpn/debian.key
dh /etc/openvpn/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

log-append /etc/openvpn/log

status /etc/openvpn/log/vpn.status 10

comp-lzo
#keepalive 10 120
persist-tun
persist-key
verb 3



toto klienta

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.

client
# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun


# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote IP SERVERU 1194
;remote my-server-2 1194


# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun


# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key


# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

Pokud chces mohu ti vygenerovat i certifikaty

Citace:

---

Původně odeslal chinook

Pokud chces mohu ti vygenerovat i certifikaty

---

heh no tak toto berem ako dobry vtip :)
potom sa ho uz len mozes spytat na ip adresu servera :D

Citace:

---

Původně odeslal TiMEoS

heh no tak toto berem ako dobry vtip :)
potom sa ho uz len mozes spytat na ip adresu servera :D

---

Jen by si vyzkousel ze mu to chodi a pak certifikaty samozrejme zmenil. Chtit je nemusi ne? Jen jsem se nabidl

A proc to nejdrive nevyzkousis bez certifikatu ???
Abys mel jistotu, e je chyba tam ....

Zapis vypada celkem rozume ....

Co vypisuje log ?

potřeboval bych poradit s nastavenim.
připojení na net mám přes ADSL, s veřejnou IP. to mám připojené do switche a v siti mam jedno PC které je jako "server", je tam win XP. slouzi k filtrovani posty (kerio), zalohuje data z disku d: ktere jsou sdilene na disk e:, neni to raid nevim jak to funguje.. a je tam mysql pro učetnictvi. Chtěl bych se přes VPN připojit přes internet do sitě, abych se dostal k databazi a mohl pracovat z venku, take abych přes vzdalenou plochu nebo VNC mohl spravovat server.

asi VPN server. v prvni řadě budu muset přesměrovat asi na tom adsl modemu veřejnou ip na ten muj server. na jakem portu VPN běži? na adsl modemu je router.

dale co mam všechno nainstalovat na serveru ? nepomohl by mi někdo nastavit config soubor u openVPN?

tak sem našel navod tady a podle toho jsem to zkusil:
http://www.itsatechworld.com/2006/01...igure-openvpn/

je tam vygenerovani certifikatu ktere se mi asi povedlo, pak jsou tam ke stahnuti konfiguračni soubory pro server a pro klienty.. pokud sem to dobře pochopil tak stači jenom upravit IP serveru a DSN, ktere mužou byt jakekoliv ne?

tady je chyba kterou mi to vypise:
Mon Jan 15 08:27:03 2007 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2
005
Mon Jan 15 08:27:03 2007 Cannot load certificate file C:\Program Files\OpenVPN\e
asy-rsa\keys\server.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line:
error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Mon Jan 15 08:27:03 2007 Exiting
Press any key to continue...


soubor server.crt se mi ve složce C:\Program Files\OpenVPN\e
asy-rsa\keys\ vytvořil tak nevím v čem je problem.

No asi by to chtelo vice informaci.
Vypada to na chybu v certifiaktech, co je vubec v tom souboru, neni prazdny? Je to ten spravny crt ke klici ? Mozna by se hodily konfiguraky.

Pro inspiraci ti muzu hodit moje.

Server:

Kód:

---

monsoon@debian:~$ cat /etc/openvpn/private.conf
mode server
tls-server
dev tap0
ifconfig 192.168.124.124 255.255.255.0
ifconfig-pool 192.168.124.125 192.168.124.140 255.255.255.0
ifconfig-pool-persist ipp.txt

cipher AES-256-CBC

crl-verify /etc/openvpn/private/crl.pem

ca /etc/openvpn/private/ca.crt
cert /etc/openvpn/private/server.crt
key /etc/openvpn/private/server.key
dh /etc/openvpn/private/dh2048.pem

log-append /var/log/openvpn
status /var/run/openvpn/vpn.status 10

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120

---

Client:

Kód:

---

remote monsoon.no-ip.com
tls-client
dev tap
pull
nobind
route 192.168.123.0 255.255.255.0 192.168.124.124 50

cipher AES-256-CBC

ca ca.crt
cert monsoon_ntb.crt
key monsoon_ntb.key

comp-lzo
verb 3
ns-cert-type server

---