tun
(for IP-nivå tunneler) og tap
(for Ethernet-nivå tunneler) -grensesnitt er støttet. I praksis, skal tun
-grensesnitt oftest brukes unntatt når VPN-klienter er ment til å bli integrert i tjenerens lokale nettverk ved hjelp av en Ethernet-bro.
pki/ca.crt
) will be stored on all machines (both server and clients) as /etc/ssl/certs/Falcot_CA.crt
. The server's certificate is installed only on the server (pki/issued/vpn.falcot.com.crt
goes to /etc/ssl/certs/vpn.falcot.com.crt
, and pki/private/vpn.falcot.com.key
goes to /etc/ssl/private/vpn.falcot.com.key
with restricted permissions so that only the administrator can read it), with the corresponding Diffie-Hellman parameters (pki/dh.pem
) installed to /etc/openvpn/dh.pem
. Client certificates are installed on the corresponding VPN client in a similar fashion.
/etc/openvpn/*.conf
. Setting up a VPN server is therefore a matter of storing a corresponding configuration file in this directory. A good starting point is /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
, which leads to a rather standard server. Of course, some parameters need to be adapted: ca
, cert
, key
and dh
need to describe the selected locations (respectively, /etc/ssl/certs/Falcot_CA.crt
, /etc/ssl/vpn.falcot.com.crt
, /etc/ssl/private/vpn.falcot.com.key
and /etc/openvpn/dh.pem
). The server 10.8.0.0 255.255.255.0
directive defines the subnet to be used by the VPN; the server uses the first IP address in that range (10.8.0.1
) and the rest of the addresses are allocated to clients.
tun0
name. However, firewalls are often configured at the same time as the real network interfaces, which happens before OpenVPN starts. Good practice therefore recommends creating a persistent virtual network interface, and configuring OpenVPN to use this pre-existing interface. This further allows choosing the name for this interface. To this end, openvpn --mktun --dev vpn --dev-type tun
creates a virtual network interface named vpn
with type tun
; this command can easily be integrated in the firewall configuration script, or in an up
directive of the /etc/network/interfaces
file, or a udev rule can be added to that end. The OpenVPN configuration file must also be updated accordingly, with the dev vpn
and dev-type tun
directives.
10.8.0.1
-adressen. Å gi klientene tilgang til det lokale nettverket (192.168.0.0/24), krever at en legger til et push route 192.168.0.0 255.255.255.0
-direktiv til OpenVPN-oppsettet slik at VPN-klienter automatisk får en nettverksrute som forteller dem at dette nettverket kan nås ved hjelp av VPN. Videre, maskiner på det lokale nettverket må også informeres om at ruten til VPN går gjennom VPN-tjeneren (dette fungerer automatisk når VPN-tjeneren er installert i porten). Alternativt kan VPN-tjeneren settes opp til å utføre IP-maskering, slik at tilkoblinger fra VPN-klienter ser ut som om de kommer fra VPN-tjeneren i stedet (se Seksjon 10.1, «Innfallsport (gateway)»).
/etc/openvpn/
. Et standardoppsett kan fås ved å bruke /usr/share/doc/openvpn/examples/sample-config-files/client.conf
som et startpunkt. remote vpn.falcot.com 1194
-direktivet beskriver adressen og porten til OpenVPN-tjeneren; ca
, cert
og key
må også tilpasses til å beskrive plasseringen av de viktigste filene.
AUTOSTART
directive to none
in the /etc/default/openvpn
file. Starting or stopping a given VPN connection is always possible with the commands systemctl start openvpn@name
and systemctl stop openvpn@name
(where the connection name matches the one defined in /etc/openvpn/name.conf
).
tun*
) på begge sider av en SSH-tilkobling, og disse virtuelle grensesnitt kan settes opp akkurat som om de var fysiske grensesnitt. Tunnelsystemet må først aktiveres ved å sette PermitTunnel
til «yes» i SSH-tjenerens oppsettsfil (/etc/ssh/sshd_config
). Når SSH-tilkoblingen etableres, må det eksplisitt bes om at det lages en tunnel med -w any:any
valget/alternativet (any
kan erstattes med det ønskede tun
enhetsnummeret). Dette krever at brukeren har administratorprivilegium på begge sider, for å kunne lage nettverksenheten (med andre ord, må forbindelsen etableres som rot).
/etc/ipsec.conf
contains the parameters for IPsec tunnels (or Security Associations, in the IPsec terminology) that the host is concerned with. There are many configuration examples in /usr/share/doc/libreswan/
, but Libreswan's online documentation has more examples with explanations:
systemctl
; for example, systemctl start ipsec
will start the IPsec service.
/etc/ppp/options.pptp
, /etc/ppp/peers/falcot
, /etc/ppp/ip-up.d/falcot
, og /etc/ppp/ip-down.d/falcot
.
Eksempel 10.2. Filen /etc/ppp/options.pptp
# PPP-valg brukt med en PPTP-forbindelse lock noauth nobsdcomp nodeflate
Eksempel 10.3. Filen /etc/ppp/peers/falcot
# vpn.falcot.com er PPTP-tjeneren pty "pptp vpn.falcot.com --nolaunchpppd" # forbindelsen vil identifisere seg som "vpn"-brukeren user vpn remotename pptp # kryptering trengs require-mppe-128 file /etc/ppp/options.pptp ipparam falcot
pptpd
er PPTP-tjeneren for Linux. Hovedoppsettsfilen, /etc/pptpd.conf
, krever svært få endringer: localip (lokal IP-adresse), og remoteip (ekstern IP-adresse). I eksempelet nedenfor bruker PPTP-tjeneren alltid 192.168.0.199
-adressen, og PPTP-klienter mottar IP-adresser fra 192.168.0.200
til 192.168.0.250
.
Eksempel 10.6. Filen /etc/pptpd.conf
# TAG: speed # # Spesifiserer hastigheten som PPP-bakgrunnsprosessen skal snakke på. # speed 115200 # TAG: option # # Spesifiserer plasseringen til PPP-tilvalgsfilen. # I utgangspunktet titter PPP i '/etc/ppp/options' # option /etc/ppp/pptpd-options # TAG: debug # # Slår på (mer) feilsøkingsinformasjon til syslog # # debug # TAG: localip # TAG: remoteip # # Spesifiserer IP-adresseområdene på den lokal og den motsatte siden. # # Du kan spesifisere enkelt-IP-adresser oppdelt med komma eller du kan skrive inn områder, # eller begge deler. Et eksempel: # # 192.168.0.234,192.168.0.245-249,192.168.0.254 # # VIKTIGE BEGRESNINGER: # # 1. Ingen mellomrom tillates mellom komma og inne i adresser. # # 2. Hvis du oppgir flere IP-adresser enn MAX_CONNECTIONS, så vil PPP # starte på begynnelsen av listen og fortsette inntil den har fått # MAX_CONNECTIONS IP-adresser. De øvrige blir ignorert. # # 3. Ingen forkortelser i områdene! Med andre ord, 234-8 betyr ikke 234 to 238, # du må skrive inn 234-238 hvis det er dette du mener. # # 4. Hvis du oppgir en enkelt lokalt IP-adresse så er det OK - alle lokale IP-adresser # vil bli satt til dette. Du MÅ fortsatt oppgi minst en IP for den andre enden for hver # samtidige klient. # #localip 192.168.0.234-238,192.168.0.245 #remoteip 192.168.1.234-238,192.168.1.245 #localip 10.0.1.1 #remoteip 10.0.1.2-100 localip 192.168.0.199 remoteip 192.168.0.200-250
/etc/ppp/pptpd-options
. De viktige parametre er tjenernavnet (pptp
), domenenavnet (falcot.com
), og IP-adressene for DNS- og WINS-tjenere.
Eksempel 10.7. Filen /etc/ppp/pptpd-options
## turn pppd syslog debugging on #debug ## change 'servername' to whatever you specify as your server name in chap-secrets name pptp ## change the domainname to your local domain domain falcot.com ## these are reasonable defaults for WinXXXX clients ## for the security related settings # The Debian pppd package now supports both MSCHAP and MPPE, so enable them # here. Please note that the kernel support for MPPE must also be present! auth require-chap require-mschap require-mschap-v2 require-mppe-128 ## Fill in your addresses ms-dns 192.168.0.1 ms-wins 192.168.0.1 ## Fill in your netmask netmask 255.255.255.0 ## some defaults nodefaultroute proxyarp lock
vpn
-brukeren (og tilhørende passord) i /etc/ppp/chap-secrets
-filen. I motsetning til andre tilfeller hvor en asterisk (*
) ville fungere, må tjenernavnet fylles inn eksplisitt her. Videre identifiserer Windows PPTP-klienter seg med DOMENE\\BRUKER
-formen, i stedet for bare å gi et brukernavn. Dette forklarer hvorfor filen også nevner FALCOT\\vpn
-brukeren. Det er også mulig å spesifisere individuelle IP-adresser for brukere; en stjerne i dette feltet angir at dynamisk adressering skal brukes.