Uživatelské nástroje

Nástroje pro tento web


OpenVPN plugin - OpenVPN server snadno a rychle

Potřebujete se připojovat vzdáleně a bezpečně do své sítě? Skvělým nástrojem je OpenVPN, jenže jeho konfigurace na Turrisu vyžadovala mnoho nastavení. V Turris OS je od verze 3.6 k dispozici jednoduchá konfigurace OpenVPN serveru z rozhraní Foris.

Mějte především na paměti, že zjednodušená konfigurace OpenVPN může kolidovat s dříve provedenou konfigurací. Pokud jste již dříve zkonfigurovali OpenVPN na svém routeru Turris, zkontrolujte si, zda tato konfigurace nekoliduje, případně ji zakažte.

Tento návod nepopisuje, jak funguje obecné nastavení OpenVPN či jak vygenerovat certifikáty. To najdete na stránkách OpenVPN. Zde se nachází pouze detaily, jak OpenVPN server zprovoznit na routeru Turris přes zjednodušené rozhraní Foris. Pro kompletní možnosti nastavení OpenVPN na Turrisu je možné použít kompletní konfiguraci z příkazové řádky, k čemuž je návod zde.

O VPN obecně si můžete přečíst v seriálu Správa linuxového serveru.

OpenVPN server se neobjeví po aktualizaci automaticky, je nutné jej doinstalovat jako balíček. Doinstalaci provedete v menu Updater v menu Seznam balíčků, kde se objeví položka OpenVPN. Zaškrtněte ji, router ji začne automaticky stahovat a po stažení a instalaci (v závislosti na rychlosti vašeho internetového připojení) se objeví volba OpenVPN v menu rozhraní Foris.

Proč je třeba OpenVPN zvláště doinstalovat?

Dodatečný software spuštěný na routeru může představovat bezpečnostní riziko. Ačkoliv routery Turris pravidelně aktualizujeme, držíme se zásady, že služby, které nejsou používány, nemusí být na routeru přítomné. Útočníkům to ztěžuje práci a zvyšuje vaši bezpečnost. Proto veškeré rozšiřující funkce do routeru doplňujeme formou balíčků, aby bylo možné je odebírat a přidávat podle potřeby. Odebráním balíčku dojde k jeho smazání z routeru.

K čemu slouží OpenVPN server?

Zprovozněním serveru OpenVPN na routerech Turris se můžete bezpečně (šifrovaně) připojovat na svůj router přes internet a používat jeho síťové služby, jako byste byli v ní. Například tak můžete přistupovat na NAS v Turris Omnia nebo na jiný NAS v rámci sítě.

OpenVPN plugin neslouží naopak k připojení routeru pomocí VPN do jiné sítě. Pokud chcete mít svou síť prostřednictvím Turrisu připojenou do jiné sítě přes VPN, musíte si nakonfigurovat router z příkazové řádky nebo používat VPN klienta na jednotlivých počítačích (což by měl být správný postup pro běžné použití).

Co je potřeba pro správné rozchození OpenVPN serveru

Zjednodušené nastavení OpenVPN serveru předpokládá:

  • máte veřejnou IP adresu (nejlépe statickou, pro dynamickou je nejlépe rozchodit na routeru DDNS v rozhraní LuCI)
  • standardní nastavení sítě (přítomná WAN a LAN zařízení) - pokud nevíte, o co jde, pravděpodobně to tak máte

Pokud potřebujete nastavit VPN jinak, není to přes tento plugin možné.

Nastavení OpenVPN serveru

Zjednodušené nastavení OpenVPN serveru předpokládá, že máte veřejnou IP adresu (nejlépe statickou) a standardní nastavení sítě (přítomná WAN a LAN zařízení). Pokud potřebujete nastavit VPN jinak, není to přes tento plugin možné.

Nejprve je potřeba vygenerovat certifikační autoritu. Její vygenerování může trvat až 30 minut a tento čas nelze urychlit. Generování je potřeba jen při prvním nastavení OpenVPN. Pozor, stránka se sama neupdatuje z důvodů bezpečnosti (expirace cookies), je třeba dát reload, abyste viděli aktuální stav generování certifikační autority.

Tlačítkem Povolit konfiguraci dovolíte pluginu vytvořit zjednodušenou konfiguraci VPN. Tento krok zařazujeme proto, že můžete mít na routeru vlastní konfiguraci OpenVPN vytvořenou jinak a tu vám nechceme zlikvidovat. V tomto kroku můžete na chvíli přijít o připojení k routeru, stačí stránku obnovit nebo počkat.

Ve většině případů není další údaje potřeba měnit, můžete ponechat automaticky vygenerovanou adresu sítě OpenVPN a přejít k vytvoření klientů. Pro každého klienta je třeba vygenerovat samostatný soubor, který si uživatel nahraje do svého OpenVPN klienta. Zde potřebujete jen zadat jméno klienta sloužící pro vaši evidenci, o koho jde, konfigurační soubor se vygeneruje během několika minut automaticky. Opět jde o kryptografickou funkci a výpočet souboru nelze urychlit.

Kvůli jednoduchosti do konfiguračního souboru rovnou zapisujeme IP adresu routeru, jakou má přidělenou v okamžiku generování konfiguračního souboru. Pokud ji potřebujete opravit, můžete ji editovat ve většině klientů nebo ve zdrojovém souboru.

Štastné a otevřené VPNkování.

PS: něco vám nefunguje nebo byste chtěli konfiguraci OpenVPN rozšířit, změnit? Pište nám náměty sem.

Konfigurace OpenVPN na straně klienta

Je potřeba mít staženého klienta pro danou platformu. Klient OpenVPN je k dispozici pro všechny možné platformy, jistě vygooglujete návod konkrétně na tu vaši. Zde jsou odkazy na české návody pro ty nejběžnější platformy:

Další zdroje informací