HowTo - OpenVPN server med ethernet brygga

[northface]

OpenVPN är suveränt - säkert, stabilt och konfigurerbart!

OpenVPN sätts upp antingen med "routing" eller "bridging", beroende på vilken funktionalitet man vill ha. Här förklaras lite av för- och nackdelarna med de båda metoderna.

Denna handledning avser "bridging", som ger möjlighet att hantera broadcast trafik. Det krävs för att spela LAN-spel över Internet.

Innan vi börjar med att sätta upp OpenVPN behöver vi plocka fram några uppgifter för maskinen, som ska vara värd för tjänsten.

Extern adress (ip eller domännamn)
Nätverksinterface (t.ex. eth0 alt. eth1, ...)
Internt ipnr (t.ex. 192.168.11.2)
Nätmask (t.ex. 255.255.255.0)
Broadcast (t.ex.192.168.11.255)
Intern gateway (t.ex. 192.168.11.1)

Några av uppgifterna hämtas enklast med

Kod: Markera allt

ifconfig

I det här exemplet står maskinen bakom en router och har ett nätverkskort med statiskt internt ipnr. Vidare kommer att krävas en autenticering - man måste ha har ett lokalt konto på maskinen för att kunna logga in och köra OpenVPN. (Detta utöver alla de övriga säkerhetsarrangemangen med certifikat och nycklar.)

Börja med att få root rättigheter.

Kod: Markera allt

sudo -s

Installera OpenVPN med tillbehör:

Kod: Markera allt

apt-get install openvpn bridge-utils openssl

Kopiera:

Kod: Markera allt

cp -R /usr/share/doc/openvpn/examples/ /etc/openvpn/

För att handledningen ska passa Ubuntu gör den här lilla omflyttningen.

Kod: Markera allt

cp /etc/openvpn/examples/easy-rsa/1.0/* /etc/openvpn/examples/easy-rsa/

Om easy-rsa-2 önskas istället ersätt /1.0/ med /2.0/ i kopieringen. 2.0 krävs möjligen för Hardy?

Navigera till folder:

Kod: Markera allt

cd /etc/openvpn/examples/easy-rsa/

Ändra i några rader:

Kod: Markera allt

nano ./vars

export KEY_SIZE=1024
export KEY_COUNTRY=KG
export KEY_PROVINCE=NA
export KEY_CITY=BISHKEK
export KEY_ORG="OpenVPN-TEST"
export KEY_EMAIL="me@myhost.mydomain"

Ändra till export KEY_SIZE=2048 och i övrigt enligt önskemål.

Skapa nu en Certificate Authority (CA)

Kod: Markera allt

. ./vars

Kod: Markera allt

./clean-all

Kod: Markera allt

./build-ca

Välj de uppgifter du skrev in tidigare genom att slå Return vid dessa rader. Observera speciellt att COMMON NAME måste fyllas i!

Skapa certifikat och nyckel för servern. Använd samma uppgifter som vid skapandet av CA. Lämna blankt när ett "utmanande lösenord" efterfågas.

Kod: Markera allt

./build-key-server server

Skapa certifikat och nycklar för klienterna (utan lösenordskydd). Använd samma uppgifter som vid skapandet av CA. I vårt exempel tar vi bara med en klient - Nisse.

Kod: Markera allt

./build-key nisse

Om man senare vill skapa fler användare sker detta enligt modell:

Kod: Markera allt

cd /etc/openvpn/examples/easy-rsa/

Kod: Markera allt

sudo . ./vars

Kod: Markera allt

sudo ./build-key pelle

Observera kör inte ./clean-all !!

Skapa Diffie Hellman parametrar. Det tar en stund, så det här är stället där det vanligtvis rekommenderas att ta en kopp kaffe.

Kod: Markera allt

./build-dh

Skapa sen även en statiskt nyckel, som placeras på servern (ta.key_0)och klienten (ta.key_1)

Kod: Markera allt

openvpn --genkey --secret ta.key

Den statiska nyckeln hamnar i folder /etc/openvpn/examples/easy-rsa/ och vi kopierar den till /etc/openvpn/examples/easy-rsa/keys/ med två nya namn.
Anm. normalt skrivs de statiska nycklarna som ta.key 0 utan underscore, men min Debian Etch server protesterar över detta och vill ha ett underscore. Detta finns därför fortsättningsvis med i handledningen.

Kod: Markera allt

cp /etc/openvpn/examples/easy-rsa/ta.key /etc/openvpn/examples/easy-rsa/keys/ta.key_0

Kod: Markera allt

cp /etc/openvpn/examples/easy-rsa/ta.key /etc/openvpn/examples/easy-rsa/keys/ta.key_1

Nu har vi samlat allt vi behöver i folder /etc/openvpn/examples/easy-rsa/keys/


Vi skapar konfigurationsfilen för servern. Ersätt rödmarkerat med dina uppgifter.

Skapa en tom fil - server.conf - och öppna denna.

Kod: Markera allt

touch /etc/openvpn/server.conf

Kod: Markera allt

nano /etc/openvpn/server.conf

Klistra in, ändra rödmarkerat och spara.

local 192.168.11.2
port 1194
proto udp
dev tap0
ca /etc/openvpn/examples/easy-rsa/keys/ca.crt
cert /etc/openvpn/examples/easy-rsa/keys/server.crt
key /etc/openvpn/examples/easy-rsa/keys/server.key
dh /etc/openvpn/examples/easy-rsa/keys/dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.11.2 255.255.255.0 192.168.11.95 192.168.11.99
client-to-client
keepalive 10 120
cipher AES-128-CBC
# push "route 192.168.99.0 255.255.255.0"
# push "route 192.168.88.0 255.255.255.0"
tls-auth /etc/openvpn/examples/easy-rsa/keys/ta.key_0
comp-lzo
max-clients 5
persist-key
persist-tun
status openvpn-status.log
verb 3
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

Några korta kommentarer till konfigfilen.
- Server bridge. Klienterna tilldelas ipnr från det intervallet som anges enligt 192.168.11.95 - 192.168.11.99
- Push route. Om man har några subnet bakom servern kan även maskiner nås på dessa genom att leda trafiken dit.

Dax att skapa själva bryggan med start och stopp av denna. Det finns skript för detta.

Skapa en tom fil - bridge - och öppna denna.

Kod: Markera allt

touch /etc/init.d/bridge

Kod: Markera allt

nano /etc/init.d/bridge

Klistra in, ändra rödmarkerat och spara.

#!/bin/bash
# Create global variables
# Define Bridge Interface
br="br0"
# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"
# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth1"
eth_ip="192.168.11.2"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.11.255"
gw="192.168.11.1"
start_bridge () {
#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################
for t in $tap; do
openvpn --mktun --dev $t
done
for t in $tap; do
ifconfig $t 0.0.0.0 promisc up
done
ifconfig $eth 0.0.0.0 promisc up
brctl addbr $br
brctl addif $br $eth
for t in $tap; do
brctl addif $br $t
done
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast up
route add default gw $gw $br
}
stop_bridge () {
####################################
# Tear Down Ethernet bridge on Linux
####################################
ifconfig $br down
brctl delbr $br
for t in $tap; do
openvpn --rmtun --dev $t
done
ifconfig $eth $eth_ip netmask $eth_netmask broadcast $eth_broadcast up
route add default gw $gw $eth
}
case "$1" in
start)
echo -n "Starting Bridge"
start_bridge
;;
stop)
echo -n "Stopping Bridge"
stop_bridge
;;
restart)
stop_bridge
sleep 2
start_bridge
;;
*)
echo "Usage: $0 {start|stop|restart}" >&2
exit 1
;;
esac

Gör skriptet exekverbart

Kod: Markera allt

chmod +x /etc/init.d/bridge

Kör:

Kod: Markera allt

update-rc.d bridge defaults 15

Vi ska nu testa installationen på servern.

Kod: Markera allt

/etc/init.d/bridge start

Kod: Markera allt

openvpn /etc/openvpn/server.conf

Kontrollera om det blir några fel. Om success - starta om maskinen. Nu ska servern vara klar att ta emot anslutningar!

OpenVPN bryggan startas och stoppas sedan fortsättningsvis enligt denna sekvens

Kod: Markera allt

/etc/init.d/bridge start
/etc/init.d/openvpn start
/etc/init.d/openvpn stop
/etc/init.d/bridge stop

Beroende på den interna brandväggens inställningar - policies och regler - kan regelverket behöva justeras med följande;

Kod: Markera allt

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

Spara reglerna i en fil /etc/iptables.up.rules

Kod: Markera allt

sh -c "iptables-save > /etc/iptables.up.rules"

För att reglerna ska tillämpas efter omstart av maskinen gör föjande:
Öppna:

Kod: Markera allt

nano /etc/network/interfaces

Lägg till raden:

Kod: Markera allt

pre-up iptables-restore < /etc/iptables.up.rules

Ska något annat subnet nås vid "push" krävs ip-forwarding. Lägg till följande i /etc/sysctl.conf:
# ovpn
net.ipv4.ip_forward=1


Återstår nu att fixa till en klient på Nisses linux-maskin (laptop?).
Installera

Kod: Markera allt

sudo apt-get install openvpn openssl

Vi ska lägga några filer i /etc/openvpn/. Återvänd till servern. I folder /etc/openvpn/examples/easy-rsa/keys/ finns bl.a filerna
ca.crt
ta.key_1
nisse.crt
nisse.key
Kopiera dessa filer och lägg dom på Nisses maskin i folder /etc/openvpn/. Vi ska oxå lägga en konfigfil här - client.conf

Skapa en tom fil - client.conf - och öppna denna.

Kod: Markera allt

sudo touch /etc/openvpn/client.conf

Kod: Markera allt

sudo nano /etc/openvpn/client.conf

Klistra in, ändra rödmarkerat och spara.

client
dev tap
proto udp
remote <serverns externa ip alt. domännamn> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca /etc/openvpn/ca.crt
cert /etc/openvpn/nisse.crt
key /etc/openvpn/nisse.key
ns-cert-type server
tls-auth /etc/openvpn/ta.key_1
cipher AES-128-CBC
comp-lzo
verb 3
auth-user-pass

Öppna eventuell router/brandvägg för inkommande trafik till servern.
Protokoll: UDP
Port: 1194

Klart för uppkoppling. Kontrollera om några fel uppträder under denna.

Kod: Markera allt

sudo openvpn /etc/openvpn/client.conf

För att sedan avsluta/koppla ned klienten dödas helt enkelt processen.

Kod: Markera allt

sudo pkill openvpn

Om allt gått hem finns Nisse nu med på det lokala nätverket och kan delta i spelen!


I det fall Nisse hade haft Windows XP på sin laptop (Gud förbjude) fick han istället installera Windowsversionen av OpenVPN på denna.

1. Hämta version openvpn-2.0.9-install.exe på http://openvpn.net/index.php/downloads.html och installera.

2. Antag att installation skedde till C:\Program\OpenVPN

3. Skapa en folder C:\Program\OpenVPN\Ubuntumaskin

4. Kopiera filerna ca.crt, ta.key_1, nisse.crt, nisse.key till denna folder

5. Vi ska nu skapa en konfig.fil;

client
dev tap
proto udp
remote <serverns externa ip alt. domännamn> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca C:\\Program\\OpenVPN\\Ubuntumaskin\\ca.crt
cert C:\\Program\\OpenVPN\\Ubuntumaskin\\nisse.crt
key C:\\Program\\OpenVPN\\Ubuntumaskin\\nisse.key
ns-cert-type server
tls-auth C:\\Program\\OpenVPN\\Ubuntumaskin\\ta.key_1
cipher AES-128-CBC
comp-lzo
verb 3
auth-user-pass

6. Ge filen namnet t.ex. ubuntu.ovpn

7. Lägg filen i folder C:\Program\OpenVPN\config

8. Starta OpenVPN genom att högerklicka på C:\Program\OpenVPN\config\ubuntu.ovpn och välj "Start OpenVPN on this config file".

7. Kolla vad som sker i kommandoprompten.

Om man vill slippa ifrån att se kommandoprompten, så finns det ett GUI; C:\Program\OpenVPN\bin\openvpn-gui-1.0.3.exe. ( Finns den inte där kan den hämtas här. Klicka på filen och det dyker det upp en icon i system tray. Högerklicka på denna och välj "Connect".


Kör all trafik genom OpenVPN servern

Man kan använda OpenVPN servern för annat än att utifrån Internet på ett säkert sätt nå sin hemmaserver och lokala nätverk. Ett mycket användbart scenario är att köra all sin trafik genom en OpenVPN tunnel.

Om man t.ex. ansluter sin laptop till en trådlös publik accesspunkt på flygplats, hotell, bibliotek ... och sedan surfar eller vad man nu vill göra, är säkerheten låg och trafiken kan relativt enkelt avlyssnas av andra.

Genom att istället koppla upp laptopen mot OpenVPN servern därhemma och sen köra all trafik i tunnel dit och låta OpenVPN servern skicka ut trafiken till Internet igen har man ett mycket säkrare system. Den magiska optionen för att göra detta är redirect-gateway, som leder trafiken från klienten och ut till Internet igen.

Jag använder mej av OpenDNS servrar (208.67.222.222, 208.67.220.220). Har lagt in dessa på klienten, där jag kör Hardy i roaming mode. Vidare använder min Debian Etch server sig av dessa DNS:er.

Lägg till följande i server.conf:
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

För att inte tappa DNS:erna vid omstart lägg till raden:
prepend domain-name-servers 208.67.222.222,208.67.220.220;
i /etc/dhcp3/dhclient.conf på klienten. Glöm inte att samtidigt ta bort "domain-name-servers" i raden som börjar med "request subnet-mask, broadcast-address,.....".
Starta om.

[Emil.s]

WOW! Grymt jobb!

Mr. Perfekt som man är så lär jag påpeka några saker:
"sudo su" - Nej nej! Ful lösning i stir med "sudo bash" osv. Suda har inbyggd lösning för det! "sudo -s". Då får man dessutom med skalvariabler, sin egen bashrc och liknande.
Och så: "cat /dev/null > /etc/openvpn/server.conf". "touch /etc/openvpn/server.conf" annars. Eller så skiter man helt i det och kör bara "nano /etc/openvpn/server.conf", och så skapas filen när man sparar.

Hur smo hellst så var det imponerande iallafall.

En fråga dock... Hur gör man om man inte har ett NAT hemma, dvs att OpenVPN servern har ett interface direkt ut på internet?

[northface]

Man får väl fuska lite ibland. Men jag skyller på Debian Etch. Hur som helst är det tillfixat enligt önskemål.

Har du Shorewall?

[Emil.s]

Man får väl fuska lite ibland.

Har du Shorewall?

Japp

[northface]

Om man har Shorewall säger dom att det är lite tricky. Så här är lösningen, men jag har ingen erfarenhet.

Lägg till i:

1. hosts - filen
net br0:eth1
vpn br0:tap0

2. policy - filen
vpn all ACCEPT

3. zones -filen
vpn ipv4

4. tunnel - filen
openvpn net 0.0.0.0/0 vpn

[Pinky]

Jag får följande när jag försöker starta klienten:

root@pinky-laptop:/etc/openvpn# openvpn /etc/openvpn/client.conf
Sat Sep 20 13:13:50 2008 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL]built on Jun 11 2008
Enter Auth Username:pinky
Enter Auth Password:
Sat Sep 20 13:13:57 2008 Cannot load private key file /etc/openvpn/pinky.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Sat Sep 20 13:13:57 2008 Error: private key password verification failed
Sat Sep 20 13:13:57 2008 Exiting

Filen finns där.. vad kan jag ha gjort fel?

[northface]

Prova med att skapa en ny användare t.ex. pinky2. Starta på sidan vid "Om man senare vill skapa fler användare sker detta enligt modell:"

Flytta pinky2.crt och pinky2.key till klienten /etc/openvpn/. Ändra oxå i client.conf till pinky2

[Pinky]

Mkay.. när man skapar certifikaten så frågar den om nåt lösenord till certifikaten också, jag skrev in ett där, men man kanske skulle låta den var apå default? (tom)?

[northface]

Det ska vara ok med lösenord.

[Pinky]

vad använder man det till egentligen? Det man sätte rpå certen altså? Får man upp en extra fråga om lösen då innan man kan ansluta till vpn'et då eller?

[whitesox]

Fått igång allt på både laptop(ubuntu) och desktop(XP) men problemet är att båda maskinerna blir tilldelade samma ip. Vad gör jag för fel?

[northface]

I server.conf ställer du in vilka ip klienterna ska ha.
I exemplet finns raden
server-bridge 192.168.11.2 255.255.255.0 192.168.11.95 192.168.11.99

Den säger att klienten får något ip intervallet 192.168.11.95 - 192.168.11.99. Se till att detta li
gger utanför serverns egna ip (som ju är fast)

edit:
nu ser jag att jag missförstod dej.

Får dom samma ip om de är uppkopplade samtidigt?

[whitesox]

precis.. de får samma ip när de är uppkopplade..

sen har jag lite annan conf mot vad som står här.. kör bla inte brygga..

[northface]

Om dom inte är uppkopplade samtidigt kan jag förstå att dom får samma ip - men inte om de är uppkoppplade samtidigt - det verkar konstigt. Men man kan tilldela resp. klient ett fast ip. Jag kanske ska lägga till det i guiden?

Pinky
Nej, du får inte upp någon speciell fråga om lösenordet. Åtminstone får inte jag det.

[whitesox]

nu tror jag dom blir tilldelade via dhcp.. har kört openvpn förut och då hade jag samma problem, kommer bara inte ihåg hur jag löste det.. hade för mig att jag kopierade certifikaten när det strulade sist men nu har jag ju gjort ett till varje maskin.. va ju som sagt ett tag sen jag hade igång det..

Edit:

Testade o göra nya nycklar igen o nu funkar det..

[northface]

Det kan vara lite struligt att få igång OpenVPN. Man måste vara nogrann och ha lite tålamod. Om man inte får rätt på det är det oftast enklast att ta om det början istället för att leta fel. Först tar man bort hela foldern /keys/ och sedan filen ta.key i folder /easy-rsa/

[northface]

admin, vg ta bort - finns i HowTo'n

[whitesox]

Verkar ju kanon att kryptera all trafik oavsett vart man är men hur funkar det med dns:en när all trafik går via vpn-servern? En tanke bara..

[northface]

Jag har kört enligt HowTo'n en längre tid inkluderat Tips #1 posten innan jag skrev dessa. Allt fungerar klockrent!

Det finns, vad jag förstår, ett par optioner att lägga till om skulle få problem med DNS.
push "dhcp-option DOMAIN min.domän.se"
push "dhcp-option DNS 1.2.3.4"

Sen vet jag inte om det har nå'n betydelse om man kör bridging eller routing. Själv kör jag ju bridging med en M0n0wall som brandvägg/router och som således också är gateway. På klientsidan har jag Linux (Hardy) på laptopen.

[whitesox]

Verkar strula med dns för mig. La till dessa rader i server.conf men då la dns:en av.. Men min vpn-server är inte gateway. Den har ip 10.8.0.1 och 192.168.4.2 om det är där det kör ihop sig..

push "redirect-gateway def1"
push "dhcp-option DNS 195.67.199.9"
push "dhcp-option DNS 195.67.199.10"
push "dhcp-option DNS 192.168.4.1" #local gateway (router)
push "route 192.168.4.0 255.255.255.0" #local lan subnet