Készítette: Kadlecsik József
utolsó módosítás: 2012. január 13.(Borbás Józsefné)

_________________________________________________________________________________________________________________________

OpenVPN (Virtual Private Network) beüzemelése

A KFKI telephelyen üzemeltetett VPN szolgáltatások lehetővé teszik, hogy a .kfki.hu domain névhez vagy intézeti domain-ekhez kötött szolgáltatásokhoz (védett weboldalak és könyvtári szolgáltatások, online folyóiratok stb.) férjenek hozzá otthonról vagy távolról. A VPN szolgáltatáson keresztül nem kerülik ki a telephelyi tűzfalakat, továbbra is azokon kívül lesznek.

Jelenleg a következő VPN-ek használhatóak:
VPN típusaleírása
KFKI VPNáltalános telephelyi VPN (.kfki.hu, .szfki.hu, energia.mta.hu, .ttk.mta.hu, .wigner.mta.hu)
Wigner VPNMTA Wigner FK specifikus VPN (.rmki.kfki.hu, .szfki.hu, .wigner.mta.hu)
MFA VPNMFA specifikus VPN (.mfa.kfki.hu, .ttk.mta.hu)
Energia VPNMTA EK specifikus VPN (.aeki.kfki.hu, .iki.kfki.hu, .energia.mta.hu)

OpenVPN beüzemelése Windows rendszereken

Az OpenVPN programcsomag Windows 2000, Windows XP, Windows Vista és Windows 7 rendszerekre telepíthető.
  1. Töltse le a telepítőkészletet a http://www.kfki.hu/cnc/vpn/openvpn-2.1_rc22-install.exe címről

  2. Telepítse a programcsomagot a következő lépésekben:

  3. Töltse le a működőképes konfigurációs fájlt a http://www.kfki.hu/cnc/vpn/client.ovpn címről (Windows Vista és Windows 7 esetén a http://www.kfki.hu/cnc/vpn/client.ovpn.vista címről), és mentse el 
    \Program Files\OpenVPN\config\client.ovpn
    néven. Figyelem! Az elmentés során ne engedje, hogy az Internet Explorer vagy más böngésző a fájl tartalmát HTML formátumba konvertálja, mert azzal az használhatatlanná válik.

    Ez a konfigurációs fájl az általános telephelyi VPN szerverhez való csatlakozást teszi lehetővé. Amennyiben az Wigner, az MFA vagy az Energia VPN-hez kíván csatlakozni, javítsa át a fájlban található 1194-es port értéket a 
    remote 148.6.64.1 1194
    sorban a következő táblázatnak megfelelően:
    VPN típusaport értéke
    KFKI VPN1194
    Wigner VPN1195
    MFA VPN1196
    Energia VPN1198

  4. Töltse le az NIIF CA tanúsítványát, amely a szerver oldal azonosításához szükséges a http://www.ca.niif.hu/Certificates/niif_ca_root_x509.pem címről

    és mentse el 
    \Program Files\OpenVPN\config\niifca-cert.pem
    néven.

    Egyes böngészőkben ehhez a jobb egérgombbal kell a linkre kattintani, mert a bal egérgombbal való kattintáskor a böngésző tanúsítványtárolójába kerül automatikusan a tanúsítvány (pl. firefox).

    Figyelem! Itt is vigyázzon, hogy a böngésző ne kovertálja a fájl tartalmát HTML formátumúra.

  5. A VPN kapcsolat az OpenVPN GUI programnak a Tálcán (Tray) található ikonjára  kattintva, a Connect paranccsal indítható el. A megjelenő autentikációs ablakban

    az E-mail címünkkel mint felhasználói névvel, valamint a Postfilter spamszűrési felületen az ehhez a címünkhöz beállított jelszóval jelentkezhetünk be. Az egyes VPN-ek esetében a következő alakú E-mail címeket fogadja el a rendszer:
    VPN típusaE-mail cím alakja
    KFKI VPNminden telephelyi érvényes E-mail cím (@kfki.hu, @szfki.hu, @energia.mta.hu, @ttk.mta.hu, @wigner.mta.hu)
    Wigner VPNazonosito@rmki.kfki.hu, azonosito@szfki.hu, azonosito@wigner.mta.hu
    MFA VPNazonosito@mfa.kfki.hu, azonosito@ttk.mta.hu
    Energia VPNazonosito@aeki.kfki.hu, azonosito@iki.kfki.hu, azonosito@energia.mta.hu
Mivel az OpenVPN egy új hálózatnak látszik és a Windows tűzfalak (Kerio, ZoneAlarm, stb.) általában figyelik, ha egy új, eddig ismeretelen hálózathoz kapcsolódik egy gép, a kapcsolatot a tűzfalnál is engedélyezni kell, ha az ezt megkérdezi.
 

OpenVPN beüzemelése Linux rendszereken

  1. Telepítse az adott diszribúciónak megfelelő módon az OpenVPN programot.

  2. Töltse le a http://www.kfki.hu/cnc/vpn/client.conf címről a konfigurációs fájlt és mentse el 
    /etc/openvpn/client.conf
    néven.

    Ez a konfigurációs fájl az általános telephelyi VPN szerverhez való csatlakozást teszi lehetővé. Amennyiben a Wigner, az MFA vagy az Energia VPN-hez kíván csatlakozni, javítsa át a fájlban található 1194-es port értéket a 
    remote 148.6.64.1 1194
    sorban a következő táblázatnak megfelelően:
    VPN típusaport értéke
    KFKI VPN1194
    Wigner VPN1195
    MFA VPN1196
    Energia VPN1198

  3. Töltse le az NIIF CA tanúsítványát, amely a szerver oldal azonosításához szükséges a http://www.ca.niif.hu/Certificates/niif_ca_root_x509.pem címről

    és mentse el 
    /etc/openvpn/niifca-cert.pem
    néven.

    Egyes böngészőkben ehhez a jobb egérgombbal kell a linkre kattintani, mert a bal egérgombbal való kattintáskor a böngésző tanúsítványtárolójába kerül automatikusan a tanúsítvány (pl. firefox).

  4. Hozza létre a 
    /etc/openvpn/authenticate-by
    fájlt, amelyben az azonosításhoz szükséges adatokat tárolhatja a következő formátumban: 
    felhasználói-név
    jelszó

    A felhasználói azonosítója az E-mail címe, a jelszó pedig a Postfilter spamszűrési felületen az ehhez az E-mail címhez beállított jelszó. Az egyes VPN-ek esetében a következő alakú E-mail címeket fogadja el a rendszer:
    VPN típusaE-mail cím alakja
    KFKI VPNminden telephelyi érvényes E-mail cím (@kfki.hu, @szfki.hu, @energia.mta.hu, @ttk.mta.hu, @wigner.mta.hu)
    Wigner VPNazonosito@rmki.kfki.hu, azonosito@szfki.hu, azonosito@wigner.mta.hu
    MFA VPNazonosito@mfa.kfki.hu, azonosito@ttk.mta.hu
    Energia VPNazonosito@aeki.kfki.hu, azonosito@iki.kfki.hu, azonosito@energia.hu

  5. Linux/Unix alatt az OpenVPN kliens program nem veszi át automatikusan a DNS információkat az OpenVPN szervertől. A névfeloldási problémák elkerülése végett néhány segéd-scriptre és beállításra van szükség.

    • Ha a Linux disztibúciója tartalmazza a resolvconf programot, akkor
      • Töltse le a resolvconf-dns.up és resolvconf-dns.down script-eket a http://www.kfki.hu/cnc/vpn/ könyvtár alól, mentse el azokat a 
        /etc/openvpn
        könyvtár alatt dns.up és dns.down néven és tegye a script-eket végrehajthatóvá.
      • Egészítse ki a 
        /etc/openvpn/client.conf
        fájlt a következő két sorral: 
        up /etc/openvpn/dns.up
        plugin /usr/lib/openvpn/openvpn-down-root.so /etc/openvpn/dns.down
    • Ha a Linux disztibúciója nem tartalmazza a resolvconf programot, akkor
      • Töltse le a dns.up és dns.down script-eket a http://www.kfki.hu/cnc/vpn/ könyvtár alól, mentse el azokat a 
        /etc/openvpn
        könyvtár alatt valamint tegye a script-eket végrehajthatóvá.
      • Egészítse ki a 
        /etc/openvpn/client.conf
        fájlt a következő két sorral: 
        up /etc/openvpn/dns.up
        plugin /usr/lib/openvpn/openvpn-down-root.so /etc/openvpn/dns.down
    Ezeket végrehajtva az OpenVPN kliens a letöltött és beállított script-ek segítségével a VPN működésének idejére átveszi a szerver által átadott DNS információkat.

KFKI Home >  NEW >  Számítógép Hálózati Központ   webmaster@sunserv.kfki.hu