Budujeme OpenVPN sieť - Inštalácia klienta

Začíname

Ak máme inštalovaný a bežiaci server nastáva čas na inštaláciu klienta, ak nie skočíms si najprv prečítať http://pc.poradna.net/a/view/672042-budujeme-openv pn-siet-instalacia-servera.

Ako OpenVPN klienta použijeme, keďže sme v klikacom prostredí upraveného OpenVPN klienta a to projekt OpenVPN GUI /www.openvpn.se/. Za švédsky sa tváriacim projektom však podľa všetkého stoja „zlaté české ručičky“, čo je o dôvod viac k radosti.

Musím bohužiaľ poznamenať, projekt sa ďalej nevyvíja o čom svedči aj táto informácia o poslednej vydaní: Latest stable release: 1.0.3 with OpenVPN 2.0.9 (2006-10-17) .

Napriek tomu klient spoľahlivo beží na všetkých verziách OS od nemenovanej firmy z Redmondu. Inštalácia pod Win7 si síce vyžaduje isté úpravy, ale v konečnom dôsledku je rovnako spoľahlivý ako pod XP.

Začnem netradične a to nie popisom inštalácie klasickej verzie, pretože to predpokladám zvládne každí užívateľ, ale popisom portable verzie pod XP, ktorá sa neinštaluje. Výhoda portable je jasná, pripojiť sa k svojmu serveru/sieti môžete kdekoľvek vďaka tomu, že si budete svojho klienta nosiť na USB kľúči. Klienta stiahneme napríklad z ovpnp.

V prvom rade musíme zo servera stiahnuť patričné súbory. V mojom prípade to budú klientské súbory fleg.crt, fleg.key, ca.crt a ta.key. Treba ešte pripomenúť jednu zvláštnosť portable verzie. Nemá vlastný konfiguračný súbor pre klienta. Buď si teda stiahneme konfig zo servera a ten upravíme alebo si vytvoríme čistý txt dokument a ten si uložíme potom ako client.opvn. Takže čo podstatné musí obsahovať správny konfiguračný súbor? Vysvetlím len podstatné veci.

client – oznámenie, že je klient
dev tun – rovnaké rozhranie ako na servri
proto udp – typ protokolu
remote mojserver 1194 – IP adresa servera a port
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt – serverový certifikát
cert fleg.crt – môj certifikát
key fleg.key – môj kľúč
tls-auth ta.key 1 – naša bezpečnostná fičúrka, ak ju používa server musíme aj my
comp-lzo – ak používa server musíme aj my
verb 3

Súbor si teda uložíme v homedire portable verzie v podadresári /data/config/ kam si uložíme aj zvyšné súbory.

Teraz môžeme v domovskom adresári spustiť OpenVPNPortable.exe. Systém sa nás spýta, či chceme naozaj inštalovať virtuálny sieťový adaptér. Samozrejme, že chceme. Následne na to ešte potvrdíme 2 informačné okná o tom, že sa inštaluje adaptér a tray lište nám pribudne nová ikonka. OpenVPN klient je spustený a čaká na naše príkazy. Dvojklikom iniciujeme proces pripájania sa k serveru, počas inicializácie je ikona žltá po úspešnom pripojení zelená.

Na záver si môžeme skontrolovať, či máme plný prístup do vzdialenej siete. Na strane servera si nájdeme nejaký živý lokálny počítač.

server:/etc/openvpn# ping 192.168.100.38
PING 192.168.100.38 (192.168.100.38) 56(84) bytes of data.
64 bytes from 192.168.100.38: icmp_seq=1 ttl=128 time=0.189 ms

Ok.
Teraz sa pokúsime tento počítač opingovať cez VPN.

C:\Documents and Settings\fleg>tracert 192.168.100.38
Výpis trasy k 192.168.100.38 s nejvýše 30 směrováními
1    42 ms    73 ms    39 ms  172.16.254.1
2    80 ms    47 ms    46 ms  192.168.100.38
Trasování bylo dokončeno

Ako vidíte máme správnu routovaciu tabuľku a plný prístup ku vzdialenej sieti.

Ako na to pod Windows 7

Ako som už predostrel vyššie OpenVPN GUI sa už bohužiaľ dlhšiu dobu nevyvíja. Napriek tomu dokáže bezproblémovo bežať aj pod Windows 7 32bitová aj 64bitová verzia.

Pokiaľ by ste na to šli klasickou cestou dostanete bohužiaľ pri inštalácii hlášku o tom, že Windows 7 podporuje len digitálne podpísaný ovládač a ten OpenVPN nemá. Riešenie je pomerne jednoduché. Inštalovať treba poslednú RC verziu z http://openvpn.net/release/openvpn-2.1_rc15-instal l.exe. Pre samotnou inštálaciou však musíme upraviť exe súbor a spustiť ho v režime kompatibility s Windows Vista /7 nebola v čase vydania RC ešte na svete/ a hlavne ju treba spustiť ako administrátor. Následne prebehne korektná inštalácia. Po úprave konfigu a dodaní príslušných certifikátov je OpenVPN GUI pripravený na spustenie. Pozor na záverečnú nuansu. Pokiaľ spustíte OpenVPN normálnym kliknutím prebehne spojenie, vy získate IP adresu a všetko sa javí OK. Napriek tomu okrem VPN servera nikoho neuvidíte. Ak si zanalyzujeme log z klienta zistíme, že nedošlo k „pushnutiu“ routy zo servera na klienta. Dôvodom sú opäť admin práva. Pokiaľ chcem, aby nám korektne fungovalo aj routovanie musíme spúšťať OpenVPN GUI vždy s admin právami. V tomto prípade už bude log bez chýb a VPN sieť je plne funkčná.

Portable verzia keďže sa neinštaluje tak jediné čo musíme spraviť je spustiť ju s admin právami. Klienta netreba vypínať, po kliknutí pravým tlačítkom myši sa môžeme od OpenVPN servera jednoducho odpojiť a vyhnúť sa v pri ďalšom spustení relatívne dlhej inicializácii TAP adaptéra.