Na splnění tohoto zadání máte 2 cvičení. Kdo zmákne celý úkol za 1 cvičení, obdrží bonusový úkol za dalších 10 bodů (bude upřesněno).
Bonus za hotovo na 1 cvičení: 2b + bonus level (další openvpn cvičení)
Na poslední 2 položky máte pouze jediný pokus!
dummy0 je virtuální rozhraní, které fyzicky není, ale lokálně jich můžete vytvořit neomezený počet a každému dát ip adresu.
V Debianu (ubuntu) je nutné nahrát do jádra modul:
modprobe dummy
A pak už jen konfigurovat ipčka, např.
ifconfig dummy0 1.2.3.4 netmask 255.255.255.0
openvpn
apt-get install openvpn
Tuto část nepotřebujete, protože máte v zadání použití vlastní CA. Tento návod necháváme jako ilustraci.
/usr/share/doc/openvpn/examples/easy-rsa/2.0
zkopírujte toolkit pro správu certifikátů do /etc/openvpncp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa
/etc/openvpn/easy-rsa/vars
podle vašich požadavků, zejména informace o generovaných certifikátechvars
cd /etc/openvpn/easy-rsa/ . vars
./clean-all
./build-dh
./build-ca
./build-key-server server
./build-key client1 ./build-key client2
openvpn --genkey --secret keys/ta.key
/etc/openvpn/
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn cd /etc/openvpn/ gunzip server.conf.gz
port 1194 proto udp dev tap ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd ;push "redirect-gateway def1 bypass-dhcp" keepalive 10 120 tls-auth ta.key 0 # This file is secret comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3
/etc/openvpn/jmeno.conf
client dev tap proto udp remote my-server-1 1194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca ca.crt cert client.crt key client.key ns-cert-type server tls-auth ta.key 1 comp-lzo verb 3
# start /etc/init.d/openvpn start jmeno # stop /etc/init.d/openvpn stop jmeno
/var/log/syslog
cd /etc/openvpn/easy-rsa . vars ./revoke-full client1
error 23 at 0 depth lookup:certificate revoked
crl.pem
, který obsahuje seznam revokovaných certifikátů, ten teď musíme předat VPN serveru ať může odmítat spojení s revokovanými certifikátycrl-verify crl.pem
client-config-dir ccd
/etc/openvpn/ccd
a v něm pro každého klienta, pro kterého potřebujete upravit konfiguraci vytvořte soubor se stejným názvem jako Common Name certifikátu klienta. Pokud například vyžadujete, aby klient client1
vždy po připojení k VPN přesměroval veškerou komunikaci do internetu přes tuto VPN, vytvořte soubor /etc/openvpn/ccd/client1
s tímto obsahem:push "redirect-gateway"