HOWTO - sätta upp OpenVPN server med Ubuntu och Windows klienter

[Okänd]

Nedan finns en handledning för att sätta upp OpenVPN mellan en Ubuntuserver och Ubuntu- alt. Windows klient. Inga förklaringar finns just nu - så tillsvidare hänvisas till http://openvpn.net

Det är inte speciellt svårt att sätta upp, men man behöver vara nogrann och ha lite tålamod. När det väl fungerar är det värt investeringen med råge. Lycka till - till den som vågar sig på ... !


Installera OpenVPN

Gör Universe förrådet tillgängligt

sudo apt-get install openvpn

Kopiera folder easy-rsa från /usr/share/doc/openvpn/examples/ till /etc/openvpn/


Skapa en Certificate Authority (CA)
cd /etc/openvpn/easy-rsa
. ./vars
sudo ./clean-all
sudo ./build-ca

Skapa certifikat och nyckel för server
sudo ./build-key-server server

Skapa certifikat och nycklar för 2 klienter
sudo ./build-key ubuntuklient
sudo ./build-key windowsklient

Skapa Diffie Hellman parametrar
sudo ./build-dh

Skapa även statiskt nyckel för att ytterligare förstärka säkerheten.
sudo openvpn --genkey --secret ta.key


De skapade filerna ovan hamnar i /etc/openvpn/easy-rsa/keys/

Ge filen ta.key två olika namn ta.key_0 och ta.key_1


Följande filer ska placeras på Ubuntuservern (se nedan):
ca.crt
dh1024.pem
server.crt
server.key
ta.key_0

Följande filer ska placeras på Ubuntuklienten (se nedan):
ca.crt
ubuntuklient.crt
ubuntuklient.key
ta.key_1

Följande filer ska placeras på Windowsklienten (se nedan):
ca.crt
windowsklient.crt
windowsklient.key
ta.key_1


SERVER

Skapa en fil server.conf med nedanstående innehåll

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key_0
cipher BF-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3

Placera filen enligt /etc/openvpn/server.conf


Placera även filerna:

ca.crt
dh1024.pem
server.crt
server.key
ta.key_0

i folder /etc/openvpn/


UBUNTU-KLIENT

Installera OpenVPN
sudo apt-get install openvpn

Skapa en fil ubuntuklient.conf med nedanstående innehåll

client
dev tun
proto udp
remote <serverip alt. domän> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/ubuntuklient.crt
key /etc/openvpn/ubuntuklient.key
ns-cert-type server
tls-auth /etc/openvpn/ta.key_1
cipher BF-CBC
comp-lzo
verb 3

Placera filen enligt /etc/openvpn/ubuntuklient.conf

Placera även filerna:

ca.crt
ubuntuklient.crt
ubuntuklient.key
ta.key_1

i folder /etc/openvpn/


WINDOWS-KLIENT

Hämta hem openvpn klient för Windows och installera enligt anvisningarna; http://openvpn.se/

Antag att programmet installeras i C:\\Program Files\OpenVPN\


Skapa en fil, ubuntuserver.ovpn, med nedanstående innehåll

client
dev tun
proto udp
remote <serverip alt. domän> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\ubuntu\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\ubuntu\\windowsklient.crt"
key "C:\\Program Files\\OpenVPN\\ubuntu\\windowsklient.key"
ns-cert-type server
tls-auth "C:\\Program Files\\OpenVPN\\ubuntu\\ta.key_1"
cipher BF-CBC
comp-lzo
verb 3

Placera filen enligt C:\\Program Files\OpenVPN\config\ubuntuserver.ovpn


Skapa en folder ubuntu enligt C:\\Program Files\OpenVPN\ubuntu\ och lägg filerna:

ca.crt
windowsklient.crt
windowsklient.key
ta.key_1

i denna folder.


UPPSTART

Öppna brandvägg för inkommande trafik till servern.
Protokoll UDP
Port 1194

Openvpn servern startas enligt:
sudo /etc/init.d/openvpn start

(VPN-daemonen startar dessutom automatiskt vid omstart av datorn.)

Ubuntuklienten startas enligt:
sudo openvpn /etc/openvpn/ubuntuklient.conf

Testa med att pinga servern 10.8.0.1 från klienten. Vi strul kolla i loggarna.

[Akny]

Jag har följt denna guide och kommer till :

Följande filer ska placeras på Ubuntuservern (se nedan):
ca.crt
dh1024.pem
server.crt
server.key
ta.key_0

osv, osv....

Var hittar jag dessa filer och de som anges nedan dessa rader?

Tacksam för hjälp.

[Okänd]

De skapade filerna hamnar i /etc/openvpn/easy-rsa/keys/

Men först måste du gjort det här (enligt instruktionen):

"Skapa en Certificate Authority (CA)
cd /etc/openvpn/easy-rsa
. ./vars
sudo ./clean-all
sudo ./build-ca

Skapa certifikat och nyckel för server
sudo ./build-key-server server

Skapa certifikat och nycklar för 2 klienter
sudo ./build-key ubuntuklient
sudo ./build-key windowsklient

Skapa Diffie Hellman parametrar
sudo ./build-dh

Skapa även statiskt nyckel för att ytterligare förstärka säkerheten.
sudo openvpn --genkey --secret ta.key"

[Akny]

Behöver lite mer hjälp.

Hur får jag över detta till Windows?


Skapa en folder ubuntu enligt C:\\Program Files\OpenVPN\ubuntu\ och lägg filerna:

ca.crt
windowsklient.crt
windowsklient.key
ta.key_1

i denna folder.

Jag verkar ha problem med rättigheter.....

[Okänd]

Du får kopiera dom från Ubuntu till Windowsmaskinen - t.ex över nätverket, USB minne ... whatever.

[Belsebub]

tack för en trevlig guide! följde nästan till punkt å pricka och det funkade.
lite nyfiken på varför du döper om ta.key... är "tls_auth ta.key_0" samma som "tls_auth ta.key 0"? (resp. 1 för klient).. utgick från /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz när jag konfigurerade.

glöm inte att även ändra brandväggsregler så att tun-interfacet tillåts trafik!

[Okänd]

Va' kul att nå'n testat och lyckats få upp det!

Jag hade lite problem med tls_auth ta.key 0 utan underscore. Jag ändrade till tls_auth ta.key_0 och då funkade det. Men det kanske inte behövs ...? Kanske var nå't annat som bråkade.

[Victor]

verkar lovande, men undrar bara lite hur openVPN funkar.. Är det så att man kopplar upp sig på servern och så tittar man virtuellt på den skärmen genom sin skärm, om ni fattar vad ja menar ??

[Okänd]

Oxå nyfiken på hur det funkar och vilka möjligheter man har som inloggad utifrån!!

[Belsebub]

OpenVPN fungerar på så sätt att du skapar en säker förbindelse (tunnel) mellan server och klient(er). På din klient kommer du få upp ett nytt nätverksgränsnitt och det är genom det gränsnittet du kommunicerar med servern. Hur du kommunicerar är upp till dig. Jag använder t.ex. min förbindelse framförallt för fildelning (samba) mellan min server och laptop när jag inte är hemma. Kan dock sägas att openvpn (iaf windowsklienten) tar lite väl mycket cpu när mycket data sänds.

FlaerpeN, det du beskriver kan åstadkommas med t.ex. VNC-protokollet. Det finns en del mjukvara för detta i ubuntus paketkällor. Kanske någon skrivit en guide om detta på forumet?

[Emil.s]

Hej!
Jag försöker att få igång det här nu...

Har kopierat /usr/share/doc/openvpn/examples/easy-rsa till /etc/openvpn/.
Men vad menar du med "../vars"!?

Det finns ju bara "easy-rsa" katalogen i /etc/openvpn/.

Hur som hellst så blir det så här:

Kod: Markera allt

root@Sandnabba: /etc/openvpn/easy-rsa # ./clean-all 
you must define KEY_DIR
root@Sandnabba: /etc/openvpn/easy-rsa # ./build-ca 
you must define KEY_DIR
root@Sandnabba: /etc/openvpn/easy-rsa # ./build-key-server server
you must define KEY_DIR

[Okänd]

vars är en fil.
Ställ dej i /etc/openvpn/easy-rsa
Skriv . ./vars
OBS! Du ska ha mellanslag mellan punkterna!

[Emil.s]

[quote="northface"]OBS! Du ska ha mellanslag mellan punkterna![/quote]
Aha! Det var det jag missade.
Ska testa imorrn. Tackar för hjälp.

Men varför . .? Det räcker väl med "./vars"?

[Emil.s]

Funkade inte med "./vars". Men ". ./vars" funkade utmärkt.
Kanske någon som kan förklara detta fenomen? (Orkar inte kolla i bash manualen. )

Har hur som hellst problem igen. Får detta medelande på både server och klient:

Kod: Markera allt

Wed Dec 27 15:37:41 2006 Cannot load certificate file /etc/openvpn/server.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certifi
cate_file:PEM lib

På klienten (Mac OS X med "Tunelblick") så får jag samma, fast med "/private/etc/openvpn/macbooken.crt" i stället.

Har ingen aning om vad det är.

[Emil.s]

Gjorde om allt från början. Och nu funkar det!

EDIT:
Tar en fråga till här.
Om jag vill ansluta via servern (10.8.0.1, som jag kan pinga. ). Ska jag skriva den som gateway då? Och lär man aktivera ip forwarding eller något då?

[Okänd]

Du ansluter med klienten till servern. I klientens conf-fil finns en rad:
remote <serverip alt. domän> 1194

Skriv in serverns publika ip eller domännamn.

Starta sedan klienten (se tidigare post). Om allt funkar upprättas en tunnel.

[Emil.s]

[quote="northface"]Du ansluter med klienten till servern. I klientens conf-fil finns en rad:
remote <serverip alt. domän> 1194

Skriv in serverns publika ip eller domännamn.

Starta sedan klienten (se tidigare post). Om allt funkar upprättas en tunnel.[/quote]
Jo, tunneln är uppe.
Men räcker det med att den är uppe för att all min internet trafik ska gå genom tunneln? Ska man inte ändra något mer för det?

[Okänd]

Ja, nu kan du trafikera servern med din klient. Du kör som vanligt, men använder interna ipnr. Precis som din klient på Internet satt på interna nätverket. Testa nån tjänst typ web, ftp, vnc ... om du har det på servern.

För att göra det lite mer anvancerat kan man sen skicka trafiken vidare från servern till andra maskiner på interna nätverket. Det finns att läsa om på http://openvpn.net

[thecrasyman]

Hej, har ett problem jag får

starting virutal private networks deamon : server failed

varför har gjort allt rätt tror jag? va kan vara fel snälla hjälp h ade

[Emil.s]

[quote="thecrasyman"]Hej, har ett problem jag får

starting virutal private networks deamon : server failed

varför har gjort allt rätt tror jag? va kan vara fel snälla hjälp h ade[/quote]
Kolla loggen...