OpenVPN to zestaw oprogramowania, implementujący technikę tworzenia bezpiecznego połączenia punkt-punkt lub strona-strona w sieciach routowanych lub mostkowanych. W artykule zajmiemy się skonfigurowaniem połączenia do już gotowego serwera VPN, używając do tego NetworkManagera.

OpenVPN to zestaw oprogramowania, implementujący technikę tworzenia bezpiecznego połączenia punkt-punkt lub strona-strona w sieciach routowanych lub mostkowanych. Umożliwia on przekierowanie całego ruchu IP wykorzystując tylko jeden port do komunikacji klient-serwer. Jest to świetne narzędzie do szyfrowania przesyłanych informacji, wykorzystujące do tego celu biblioteki OpenSSL oraz protokołów SSLv3/TLSv1.

Na naszym portalu znajduje się bardzo ciekawy artykuł: Konfiguracja OpenVPN autorstwa Gerarda Stańczaka, który zgłębia tajniki konfiguracji, działania i wydajności, w tym utworzenie własnego serwera VPN.

W dzisiejszym artykule zajmiemy się głównie skonfigurowaniem połączenia do już gotowego serwera VPN, z poziomu systemu Xubuntu, używając do tego NetworkManagera.

Na początek sprawdźmy, czy mamy następujące pakiety: libpkcs11-helper1, network-manager-openvpn, openvpn, openvpn-blacklist. Jeżeli brakuje jakiegoś, to należy go zainstalować (w przypadku Xubuntu trzeba doinstalować wszystkie po kolei).

W menu NetworkManagera należy wybrać: Połączenia VPN -> Skonfiguruj VPN. Otworzy się nam nowe okno Połączenia sieciowe, z którego wybieramy Dodaj. Otworzy nam się okno, z którego możemy wybrać nowe połączenie OpenVPN lub zaimportować zapisaną konfigurację VPN.

Import konfiguracji pozwala na wybranie dwóch rodzajów plików: jeden z rozszerzeniem .opvpn (plik konfiguracyjny OpenVPN GUI pod Windows), a drugi .conf (plik z eksportu NetworkManagera). Nowe połączenie OpenVPN otworzy nam okno, z którego będziemy mogli wybrać typ Uwierzytelniania oraz wpisać nazwę naszej Bramy.

My zrobiliśmy uwierzytelnianie z Certyfikatem (TLS), oraz uzupełniliśmy odpowiednie pola w Zaawansowanych opcjach, w tym: Ogólne, Zabezpieczenia, Uwierzytelnianie TLS i Pośredniki. W przypadku wybrania Klucza statycznego, nie mamy zakładki Uwierzytelnianie TLS.

Po wypełnieniu wszystkiego poprawnie, zapisujemy i z poziomu ikonki NetworkManagera klikamy Połączenia VPN -> OpenVPN. Po chwili powinniśmy otrzymać komunikat poprawnego nawiązania połączenia.

Uwaga!
Zauważyliśmy, że wtyczka OpenVPN w NetworkManager nie posiada obsługi opcji Keepalive i Ping, przez co nasze połączenie jest zrywane po pewnym czasie. Chwilowym obejściem tego problemu jest uruchomienie polecenia ping na adres naszej bramy, zaraz po nawiązaniu połączenia.

Zaczęliśmy szukać, dlaczego brakuje tych funkcji i natrafiliśmy na 4 letnią propozycję dodania opcji Keepalive lub Ping, które można ustawić oraz byłyby obsługiwane podczas wczytywania gotowego pliku konfiguracyjnego: Bug 651657 – OpenVPN – unable to specify values for “ping” or “ping-exit” or related options. Skontaktowaliśmy się także z deweloperami projektu, którzy obiecali w ciągu najbliższych kilku tygodni dodać odpowiedni kod.

  • helloworld

    Z całym szacunkiem ale 4 letnią? To nikt wcześniej tego nie testował?
    Jak można wydać jakiś program który zwyczajnie nie działa? Tak ponarzekam sobie. Kuźwa zamiast skupić sie na zrobieniu dobrego oprogramowania to skupiają się na trybach samolotowych.

    • eko

      A potem sie dziwią, że ludzie piszą że windows lepszy bo nie ma błedów.Cały ten network manager, chyba lepiej odrazu odinstalowac na wstepie, nie podoba mi sie ten pakiet.Jak wam dzialaja atherosy na network-managerze i z gnome? Bo Windows na atherosach to wymiata

    • Krystian Juskowiak

      Atheros? Bez problemu (AR9285) ;-) Bardziej sen z powiek spędza mi sam Network Manager – potrafi się zagubić i przywiesić jeśli stara się łączyć z PPPoE, które parokrotnie odrzuci połączenie (takiego cudownego mam ISP, że czasem po 20 próbie łącznie mnie wpuści dopiero). A w GNOME3, które stawia na automatykę to już cyrk czasem niezły – raz włożysz kabel ethernet i PPPoE zaskoczy z próbami łączenia od razu, innym razem nawet się nie skapnie, że w ogóle ma się z czymś łączyć ;) Dlatego często irytuję się na tyle, że mam chęć wywalić NM, GNOME3 albo łączę się po Wi-Fi i mam spokój z “automatyką”.

  • gość

    Warto wspomnieć, że chodzi tutaj o Gnome’owskie GUI dla Network Managera, nie samego NM.

    • Ollbi

      Tzn. sam demon NM też nie wspiera tej opcji, bo pytałem się na IRCu i listach :D

  • Nicram

    No no, jeszcze parę lat i Linux będzie miał wbudowane i dostępne przez klikanie te same funkcje, co Windows 15 lat temu :)

    • W jaki sposób można w Windowsie użyć za pomocą wbudowanych funkcji połączenie OpenVPN ? W Linie masz to w repo, w Windzie musisz się naszukać.

      Pod KDE używam do codziennej pracy network-manager-openvpn i szczerze nie zauważyłem problemów ze zrywaniem połączenienia. Ciekawe.

    • Nicram

      W Windows połączenie VPN tworzysz poprzez dodanie nowego połączenia, w połączeniach sieciowych (w Panelu Sterowania).

    • helloworld

      hello, tutaj mowa o OpenVPN który jest porządną i dopracowaną aplikacją.
      Natomiast mistrzowie NetworkManagera nie dają rady z zaimplementowaniem opcji do gui – kuźwa by ich mać była.

    • Nicram

      Porządna i rozbudowana aplikacja to SoftEther VPN, którą da się wygodnie konfigurować i używać na wielu platformach. No i bez większego problemu daje dostęp różnym klientom bez jakichś protez, które trzeba stosować w OpenVPN.

    • helloworld

      @disqus_lt6an4Q4Cj:disqus
      A ty dalej nie rozumiesz problemu. Sam OpenVPN nie potrzebuje “jakichś” protez. Potrzebuje tylko dostępu do shella i tyle. Jest to porządna, stabilna aplikacja.
      Istotą problemu jest ekipa NetworkManagera (a raczej gnome), która zapragnęła zaimplementować klienta OpenVPN-a w tejże aplikacji.

    • Nicram

      Taka implementacja to właśnie przykład protezy…

    • nic nie stoi na przeszkodzie, aby w linuxie użyć wbudowanego polecenia:
      sudo openvpn client.ovpn
      certyfikaty i klucze automatycznie się podepną.
      pokaż mi takie polecenie w windzie, które jest wbudowane od 15 lat?
      BTW
      Microsoft technologii VPN nawet nie dostarczył ze swoimi telefonami !! gdzie android nawet potrafi to zrobić, spiąć się VPNem i wejść na zdalny pulpit. Dla kogo zrobili słuchawki to nie wiem, ale na pewno nie dla biznesu:)

    • Nicram

      Pierwsza implementacja VPN w systemach Windows z jaką miałem styczność była w Windows NT4, to był bodajże 96 rok. Mówię o takiej wbudowanej w system, nie wymagającej zewnętrznych aplikacji. Co więcej dawała się konfigurować z GUI, bez jakichś archaicznych trybów konsoli. Mamy XXI wiek, skończy z zaszłościami historycznymi typu konsola i edycja konfiguracji przez vi. Może na użytkownikach Linuxa robi to wrażenie, ale jak się dorośnie to człowiek szuka czegoś wygodnego, bo nie ma czasu na czytanie kolejnych tomów manuali i przeklepywanie komend w nieskończoność. Android domyślnie nie obsługuje VPN, ani zdalnego pulpitu, trzeba instalować zewnętrzne aplikacje, tak że argument zupełnie nietrafiony.

    • Krystian Juskowiak

      “Mamy XXI wiek, skończy z zaszłościami historycznymi typu konsola i edycja konfiguracji przez vi.”

      To musisz do Apple też napisać – w OS X też jest konsola ;-)

      Pewnie – sam chciałbym wszystko co się da, wyklikać w GUI. Jednakże konsola to nie przeszłość – może Panowie z MS tak twierdzą, jednak reszta świata *Unixowego jest już poza PR Microsoftu.

      Zgodzę się jednakże, że w XXI wieku powinno się minimalizować jej użycie i powinna być supportem, a nie pierwszym narzędziem do konfiguracji (nie dotyczy serwerów). Oczywiście nie jest tak zawsze, tylko czasami w specyficznych przypadkach. Ale i PowerShell nie pojawił się w Windows z nudów ;-)

    • Cały czas nie odpowiadasz zgodnie z zapytaniem, tylko z własną wiedzą, a to jest spora różnica.

    • to o czym mówisz to połączenie PPTP śmigające na portach, które są wycinane przez większą część operatorów, nie ma to nic wspólnego z OpenVPN. To windowsowe to tylko dodatkowy login i hasło pozbawione jakichkolwiek kuczy, certyfikatów etc. Więcej można zrobić prostym routerem ot choćby RV110 Cisco niż tym co masz w windowsie. To co my mamy w repo, to Winda musi doinstalowywać ręcznie przez pobieranie oto takich instalatorów: https://openvpn.net/

    • Nicram

      Po prostu nie masz pojęcia o czym mówisz. Poczytaj sobie o obsłudze certyfikatów wbudowanej w serwer VPN Windows Server 2000 :)

    • Tu mówimy o łączeniu się z końcówki do serwera a nie odwrotnie. Zatem czekam na screeny z Windowsa desktopowego, gdyż to co jest opisane to klient.

  • Duży Pies

    Właśnie kończę czytać “Polowanie na Snowdena”, wcześniej przeczytałem “Snowden. Nigdzie się nie ukryjesz”. Jeśli dobrze znacie angielski, to polecam przekopać archiwum internetowe “Guardiana” – jest tam sporo danych o Snowdenie i o tym co pokazał światu. A więc pisze tam, że NSA i GCHQ nie tylko przechwytują cały ruch internetowy, ale skutecznie udało im się albo złamać szyfrowanie albo umieścić w programach i protokołach szyfrujących tylne furtki. Można w to wierzyć lub nie. Ja wierzę że tak jest. To oznacza że nasza wiara w moc szyfrowania jest naiwna. Chciałbym się mylić, bo zależy mi na prywatności. Ale mam coraz więcej obaw…

    Jedyny sposób żeby się przekonać czy to działa, czy naprawdę potrafią nas podsłuchać mimo szyfrowania, to zrobić prowokację – po angielsku na angielskojęzycznych stronach zacząć zamieszczać “niebezpieczne” wpisy nawołujące np. do zamachów terrorystycznych. Do tego używać szyfrowania, np. PGP/GPG, SSL/TLS. I zobaczyć czy będzie i jaka będzie reakcja. Ktoś chętny?

    • Namawiam do tego, abyś sam spróbował:) Będziemy Ci paczki do
      Guantanamo wysyłać :)

    • Duży Pies

      Słuchaj, jeśli jesteś zainteresowany taką prowokacją, to ja jestem bardzo chętny. Czy się podłączysz czy też nie, ja chcę ją i tak przeprowadzić, naprawdę. To może być fantastyczna przygoda wakacyjna xD

      Już nawet zacząłem o tym intensywnie myśleć. Przede wszystkim trzeba ogarnąć totalną anonimizację. A więc używamy Tailsa, internet tylko na modemie 3G na kartę pre-paidową. Szukam kogoś kto mi przeflaszuje ten modem bo chcę w nim zmienić 2 ważne identyfikatory, tak żebym był anonimowy już na brzegu ISP ;)

      Są inni chętni?

    • hhhe, ja na wakacje wolę jechać w mniej wyczerpujące miejsca niż obóz “zagłady”:p planuję jakieś morze o temperaturze pozwalającej na nurkowania w cieniutkiej piance bez konieczności zakładania suchego skafandra.

    • Duży Pies

      Ja nigdzie nie pojadę, no tak wyszło. Taką mam karmę ;)
      Ale sprawdzić czy NSA/GCHQ lub nawet nasze ABW i SKW, czy złamią szyfrowanie i mnie namierzą, sprawdzić można by. Jeśli wszystko przygotuję profesjonalnie i zrobię całą serię wpisów na Twitterze, Facebooku, Google’u+, spróbuję przygotować honeypota z którego bym to robił i wtedy może uda się zarejestrować próby przeniknięcia. Byłyby one pośrednim dowodem na inwigilację. Trzebaby by zrobić bardzo anonimowego IPS. Kupiłem “Króliczą norę” i chcę ją ogarnąć i nauczyć się tworzyć honeypoty. Honeypot może być także IPS.Chodzi mi to bardzo po głowie i nie daje spokoju. Teraz problemem numer jeden jest zmiana xxxxxxxxxxxx wiesz czego w modemie 3G ;)

    • NSA-KGB-KAMIENI-KUPA

      Już Cie obserwujemy – nawet nie myśl o takich głupotach i posłuchaj kolegi który jedzie jaja smażyć.

    • oj niech myśli, będziemy mogli się pochwalić, że znaliśmy człowieka, który się NSA nie kłaniał :)

    • Gabriel

      http://sekurak.pl/hot-truecrypt-hacked-defacement/
      poczytaj komentarze
      “Wracając do TC. Mam ambiwalentne uczucia co do TC. Sam go używam.
      Natomiast gdy używa go przestępca, to chciałbym mu się dobrać do dupy i
      odszyfrować dysk i gdzieś mam gadkę o prawach człowieka.”

    • Duży Pies

      W tamtym komentarzu miałem na myśli takich “przestępców”: zorganizowaną przestępczość, mafie, pedofili, internetowych oszustów, amatorów fraudów, itp. Więc nie mam sobie nic do zarzucenia. Tamten komentarz powtórzyłbym jeszcze milion razy bez zmian.
      Co więc chciałeś udowodnić swoim komentarzem? Że jesteś głupi? Co ma inwigilacja NSA którą krytykuję do tego że chciałbym dobrać się do dupy przestępcom? Może jak wydoroślejesz, może jak doświadczysz czegoś złego od przestępcy, to zrozumiesz że liberalizm w stosunku do nie których grup społecznych jest zwyczajnie głupi.
      Dla mnie świat nie jest czarno-biały, nie jest zero-jedynkowy. Dla ciebie chyba tak…

  • ali

    Jeżeli zrywa wam połączenie, to oznacza, że serwer bądz klient został niepoprawnie skonfigurowany. Proponuję zanim weźmiecie się za pisanie artykułów doczytać/dowiedzieć się co nieco o opisywanym temacie.