Računarske mreže

Kako podesiti OpenVPN?

OpenVPN je pouzdano i provereno rešenje. OpenVPN je potpuno siguran i beskrajno konfigurabilan. Vrlo lako možete instalirati ovaj software i pokrenuti ga bez potrebe za oslanjanjem na treća lica. Činjenica da je otvorenog koda i da je potpuno besplatan, OpenVPN izdvaja od drugih sličnih rešenja.

OpenVPN može izgledati pomalo zastrašujuće za konfiguraciju ako se prvi put srećete sa njim, ali jednomkada gapodesite biće pravo zadovoljstvo koristiti ga. Onog trenutka kada bude u upotrebi na vašoj mreži obavljaće potpuno neprimetno ogroman broj zadataka za vas.

Jedna od najpopularnijih i najpraktičnijih primena OpenVPN-a je da omogući bezbedno „surfovanje“ i bezbedan pristup vašoj kućnoj mreži kada ste na putovanju ili na nekoj javnoj bežičnoj mreži. Takodje se može koristiti za povezivanje udaljenih odvojenih mreža u jednu veliku, potpuno rutabilnu mrežu. Praktično nema ograničenja u primeni OpenVPN-a.

Za potrebe ovog članka, prikazaću kako da podesite OpenVPN u tipičnoj kućnoj mreži. Konfiguracija prikazana dole u nastavku teksta obezbedjuje vašem klijentskom PC-ju bezbedan izlaz na internet kao i bezbedan prilaz vašoj kućnoj mreži sa bilo koje lokacije. Informacije sadržane u ovom uputsvu namenjene su korisnicima Windows operativnih sistema.

  • Instalacija OpenVPN-a
  • Najpre, preuzmite instalaciju sa sledeće adrese: http://openvpn.se/download.html. Ovo je GUI verzija OpenVPN-a. To je u osnovi stari dobri OpenVPN sa minimalnim grafičkim interfejsom, dostupan na lak način iz system tray-a.

    Najpre ga instalirajte na računaru koji će vam predstavljati server. Ovaj računar će morati da bude uvek uključen a OpenVPN će morati da radi u svakom trenutku ako želite da vaša virtuelna mreža bude dostupna.Ukoliko već imate neku verziju instaliranu, ugasite sve instnance pre pokretanja nove instalacije.

    Pokrenite instalaciju. Tokom procesa instalacije možete izabrati da GUI aplikacija bude startovana sa startovanjem vašeg računara i operativnog sistema. Podrazumevana vrednost je „da„. Ja preporučujem da zadržite sve podrazumevane vrednosti tokom instalacije, uključujući i instalaciju programa u podrazumevani direktorijum na vašem računaru. Na kraju instalacije biće neophodno da restarujete vaš računar.

  • Kreiranje sertifikata
  • Nakon restarta vašeg računara, moraćete da podesite OpenVPN koristeći komandnu liniju i neki tekst editor kao što je to Notepad.

    Idite na Start->Run i upišite cmd da otvorite komandnu liniju.

    Zatim unesite komandu ispod da bi ste prešli na ispravan direktorijum:

    cd C:\Program Files\OpenVPN\easy-rsa

    Zatim otkucajte sledeću komandu da pokrenete komandnu biblioteku koja će kopirati konfiguracione fajlove u tekućem direktorijumu

    init-config

    Sada otvorite fajl vars.bat u svom tekst editoru. Fajl bi trebalo da se nalazi u direktorijumu C:\Program Files\OpenVPN\easy-rsa\. Trebalo bi da promenite vrednosti sledećih varijabli na dnu ptvorenog fajla: KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, i KEY_EMAIL. Ne bi trebalo da ostavite nijedan od ovih parametara prazan.

    Nazad, na komandnoj linije ćete pokrenuti sledeće komande u navedenom redosledu:

    vars
    clean-all
    build-ca

    Kada pokrenete build-ca bićete upitani za nekoliko unosa. Možete jednostavno pritisnuti enter i prihvatiti sve podrazumevane vrednosti. Lozinku i opcioni naziv firme možete ostaviti praznim ako želite. Pritisnite "y" za poslednja dva pitanja "Sign the certificate? [y/n]" i "1 out of 1 certificate requests certified, commit? [y/n]".

    Sada unesite sledeće komande jednu po jednu menjajući imena klijenata:

    build-key klijent1
    build-key klijent2

    i tako dalje…

    Bićete upitani da unesete podatke, baš kao kada ste kreirali serverski ključ.

    Navedene komande pokrenite onoliko puta koliko klijenata želite da imate na vašem VPN-u. Predlog je da napravite i više nego što vam je potrebno jer ne znate nikada da li će vam kasnije trebati još klijenata, a ovim ćete sigurno uštedeti vreme. Ako želite da lozinkom zaštitite ključeve, samo zamenite komandz build-key komandom build-key-pass.

    Finalni korak u ovom procesu je da definišete Diffie Hellman parametre za OpenVPN server. Unesite sledeću komandu da bi ste započeli proces:

    build-dh

    Ovo može potrajati dosta vremena.

    Napomena: Proces kreiranja sertifikata obavljate samo na serveru.

  • Primer mreže
  • Konfiguracioni fajlovi i podešavanja su za sledeći primer mreže:

    IP adresa vašeg kućnog rutera je 192.168.1.1 a subnet mask je 255.255.255.0. Vaš OpenVPN server je povezan nataj ruter i ima ručno podešenu IP adresu 192.168.1.150 sa subnet mask-om 255.255.255.0 i default gateway 192.168.1.1.

    Ruter se konfiguriše tako da radi port forward porta 1194 na IP adresu servera 192.168.1.150.

  • Kreiranje konfiguracionih fajlova
  • Sada je vreme da napravite konfiguracione fajlove za vaš server i za vaše klijente. Trebalo bi da postoje primeri konfiguracionih fajlova u konfiguracionom direktorijumu, ali preporučujem da koristite ove dole. Neophodno je da kreirate kofiguracione fajlove za svakog klijenta ponaosob. Konfiguracioni fajlovi za klijente mogu biti apsolutno identični osim dve linije koje sadrže putanju do .crt i .key fajlova.

    Konfiguracioni fajl servera: server.ovpn (desni klik mišem, save, i na kraju open in txt editor)

    Potrebno je samo da promenite IP adrese DNS servera za vaš DynDNS.org nalog osim ako nemate vaše statičke IP adrese koje takodje možete uneti.

    Konfiguracioni fajlovi klijenata:

    klijent1.ovpn (desni klik mišem, save, i na kraju open in txt editor)
    klijent2.ovpn

    Potrebno je da izmenite ove fajlove tako što ćete uneti IP adresu vašeg DynDNS servera ili statiče IP adrese ukoliko ih imate.

    Ove konfiguracione fajlove smestite u konfiguracini direktorijum (C:\Program Files\OpenVPN\config) odgovarajućeg računara. Svaki računar treba da ima samo jedan konfiguracioni fajl.

  • Konfigurisanje rutera
  • Moraćete da napravite odredjene promene na konfiguraciji vašeg rutera koji je instaliran u vašoj kućnoj mreži. Trebaće vam ruter koji je sposoban da ažurira DynDNS ako imate dinamičku uslugu.

    Najpre treba da se uverite da je port forwarding uključen i ispravan. Port 1194 treba da bude preusmeren na IP adresu vašeg OpenVPN servera 192.168.1.150.

    Dalje, potrebno je da dodate jednu stavku u ruting tabelu vašeg rutera. TO će omogućiti da ruter pravilno usmerava saobraćaj od klijenata ka TAP interfejsu servera.

    Manje-više kod većine rutera to bi trebalo da izgleda otprilike ovako:

    Enter Route Name: openVPN
    Destination LAN IP: 192.168.10.0
    Subnet Mask: 255.255.255.252
    Default Gateway: 192.168.1.150
    Interface: LAN & Wireless

    Jenom kada ste uneli ove podatke, proverite da li ste ih sačuvali. Ova stavka za ruting tabelu se unosi sa navedenim parametrima pod preduslovom da imate ista podešavanja na vašoj mreži odnosno da ste sledili uputstva tokom celog teksta i vašu mrežu konfigurisali prema primerima iz ovog uputstva.

  • Konfigurisanje servera
  • Moraćete da napravite odredjene promene na konfiguraciji vašeg rutera koji je instaliran u vašoj kućnoj mreži. Trebaće vam ruter koji je sposoban da ažurira DynDNS ako imate dinamičku uslugu.

    Preumite reg fajl i pokrenite ga

    Routing registry key.reg (desni klik mišem, save, i run)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    IPEnableRouter = dword:00000001

    Ovaj ključ će omogućiti da rutiranja u OpenVPN konfiguracionim fajlovima rade ispravno.

  • Konfigurisanje klijenta
  • Instalirajte OpenVPN na svakom od klijentski računara koristeći isti instalacioni fajl kao za prethodnu instalaciju. Sva podešavanja možete ostaviti na podrazumevana. Nakon restarta, iskopirajte odgovarajuće .ovpn fajlove u konfiguracioni direktorijum (C:\Program Files\OpenVPN\config) odgovarjućeg klijenta. Zatim iskopirajte 3 neophodna sertivikata u direktorijum C:\Program Files\OpenVPN\easy-rsa\keys (ukoliko ne postoji, kreirajte ga sami). Tri fajla za kopiranje su ca.crt, klijentX.crt, klijentX.key. Promenite imena prema odgovarajučim klijentima.

  • Povezivanje
  • Ukoliko je sve išlo kako treba do sada, trebalo bi da ste u mogućnosti da se povežete nakon startovanja OpenVPN-a.

    Server: U system tray-u pronadjite OpenVPN i kliknite levim tasterom miša na connect.

    Klijenti: Onog trenutka kada je server povezan, trebalo bi i svi klijenti da se povežu bez problema bilo da se povezujete sa lokalne mreže ili sa neke "spoljne" mreže.

  • Rešavanje problema
  • Ukoliko ne možete da se povežete ili imate limitiranu konekciju kroz OpenVPN, onda postoji mnoštvo razloga zbog kojih je ispravan rad nemoguć. Proverite sve korake unazad i proverite da li je sintaksa ispravna. Jedna mala greška u unosu može dovesti do toga da ništa ne radi. Takodje možete proveriti log fajl i videti da li ima nele greške u njemu. Imajte na umu da su u primerim korišćena tipična kućna mrežna podešavanja i da se možda vaša mreža razlikuje od ovog primera. Dakle, ukoliko je vaša mreža drugačija gore navedeni primer najverovatnije neće raditi za vas. Ako ste u stanju da se usšešno povežete ali niste u mogućnosti da surfujete internetom onda je najverovatnije problem u rutiranju.