Instrukcja instalacji OpenVPN

Instrukcja instalacji OpenVPN dla użytkowników sieci WFAiIS UMK Toruń

/* przed rozpoczęciem instalacji należy zwrócić się do p. Pawła Binnebesel (bip@phys.uni.torun.pl)

z prośbą o wydanie certyfikatu umożliwiającego autoryzację oraz plików konfiguracyjnych */

System Linux 2.2/2.4/2.6

str. 2

–

Minimalne wymagania systemowe

str. 2

–

Wymagane oprogramowanie

str. 2

–

Wymagania dot. jądra

str. 2

–

Instalacja wymaganego oprogramowania

str. 2

–

Testowe uruchamianie OpenVPN

str. 4

System MS Windows 2000/XP

str. 5

–

Instalacja

str. 5

–

Testowe uruchamianie

str. 6

–

Inne

str. 6

–

Możliwe problemy:

str. 7

Informacja dot. innych systemów

str. 9

Coś nie działa – co robić?

str. 9

Usługi realizowane via OpenVPN

str. 10

-----------------------------------------------------------------------------------------------------------------------------------------------
Wszelkie komentarze / informacje o błędach proszę kierować na adres

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 1/10

System Linux 2.2/2.4/2.6

1. Minimalne wymagania systemowe: dla architektury x86: procesor 166MHz, 32 MB RAM

dla architektury Sparc: procesor SuperSparc 50, 32MB RAM

Wymagane oprogramowanie:

OpenSSL
LZO - A real-time data compression library.
OpenVPN client

Wszystkie te pakiety do pobrania ze strony

http://www.phys.uni.torun.pl/ftp/openvpn/linux

Szczegóły instalacji poniżej.

Wymagania dot. jądra:

Kernel 2.2: Wymagana jest dodatkowa instalacja modułu TUN/TAP.
Można go pobrać z adresu:

http://www.phys.uni.torun.pl/ftp/openvpn/linux/kernel-2.2

Kernel 2.4 / 2.6: Jeżeli używane jest jądro dostarczone wraz z
dystrybucją, nie jest wymagane dokonywanie jakichkolwiek zmian
(dot. dystrybucji: RedHat od 8.0 i wszystkich pochodnych od niej
[Aurox, Fedora, Knoppix, PLD]; Slackware od 8.0; SuSE od 8.0.
Brak danych odnośnie innych.).
W przypadku jądra kompilowanego samodzielnie wymagane jest włączenie
obsługi modułu TUN/TAP, poprzez zaznaczenie poniższej linii w dziale
„Networking support”):
<M> Universal TUN/TAP device driver support

4. Dodatek dla jąder 2.2 (np. RedHat Linux 6.x i 7.x)

Należy pobrać (z adresu podanego w pkt 1) i zainstalować pakiet tun-1.1.tar.gz. Więcej informacji dot.
instalacji znajduje się w dokumentacji dołączonej do samego pakietu.

5. Instalacja wymaganego oprogramowania (w zalecanej kolejności):

•

OpenSSL – większość aktualnie wydawanych dystrybucji posiada dołączony pakiet OpenSSL (aby
to sprawdzić, w systemach opartych na rpm'ach należy wydać polecenie: rpm -qa |grep ssl).

Wymagana jest obecność pakietów „openssl” i „openssl-devel”. Jeżeli nie są one zainstalowane,
zaleca się instalację pakietów dostarczonych przez producenta dystrybucji niż instalowanie ze źródeł.
Jeśli, z jakiś powodów, własna kompilacja pakietu jest konieczna i została wykonana z domyślnymi
ustawieniami dot. katalogów, po skompilowaniu należy przekopiować wszystkie pliki i katalogi z
/usr/local/ssl/include do /usr/include oraz z /usr/local/ssl/lib do /usr/lib .

•

LZO – dla wielu dystrybucji, pakiet ten jest dostępny w postaci rpm'ów. Wymagana wersja min.
1.0.7. Można je znaleźć pod adresami:

http://dag.wieers.com/packages/lzo/

lub:

http://www.rpmfind.net/linux/rpm2html/search.php?query=lzo

Dla innych dystrybucji należy wykonać instalację ze źródeł. Po pobraniu pliku lzo-1.08.tar.gz
(z adresu podanego w pkt 1) należy go rozpakować, skonfigurować i skompilować:

root@host

# tar -zpvxf lzo-1.08.tar.gz

root@host

# cd lzo-1.08

root@host

# ./configure –-prefix=/usr

root@host

# make

root@host

# make install

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 2/10

•

OpenVPN client – Po pobraniu pliku openvpn-2.0_beta11.tar.gz (z adresu podanego w pkt 1) należy
go rozpakować i skonfigurować:

root@host

# tar -zpvxf openvpn-2.0_beta11.tar.gz

root@host

# cd openvpn-2.0_beta11

root@host

# ./configure –-prefix=/usr

Podczas działania skryptu konfiguracyjnego, ważne jest aby zwrócić uwagę na poprawność
skonfigurowania pakietu do współpracy z OpenSSL oraz LZO. W przypadku wystąpienia komunikatu
o braku SSL:

checking for EVP_CIPHER_CTX_init in -lcrypto... no

configure: error: OpenSSL Crypto library not found.

należy sprawdzić czy została prawidłowo przeprowadzona instalacja OpenSSL i czy biblioteki SSL
znajdują się we właściwych katalogach.

Jeżeli konfigurator nie zgłosił żadnego krytycznego błędu należy skompilować i zainstalować pakiet:

root@host

# make

root@host

# make install

root@host

# echo 'alias char-major-10-200 tun' >>/etc/modules.conf

Następnie utworzyć katalog /etc/openvpn i rozpakować tam zawartość pliku dostarczonego przez
administratora:

root@host

# mkdir /etc/openvpn

root@host

# chmod 700 /etc/openvpn

root@host

# cd /etc/openvpn

root@host

# tar -zpvxf XXXXX-linux.tar.gz

Następnie należy sprawdzić, czy istnieje plik /dev/net/tun. Jeżeli istnieje, powinno pojawić się coś
podobnego do:

root@host

# ls -l /dev/net/tun

crw-r--r-- 1 root root 10, 200 mar 30 16:30 /dev/net/tun

Jeżeli nie ma katalogu /dev/net lub nie ma pliku /dev/net/tun należy wydać następujące polecenia:

root@host

# mkdir -p /dev/net

root@host

# mknod /dev/net/tun c 10 200

6. Testowe uruchamianie OpenVPN

Przed pierwszym uruchomieniem OpenVPN należy wyłączyć firewall (polecenie „

iptables -F

” dla

jąder 2.4/2.6 lub „

ipchains -F

” dla jąder 2.2).

Aby uruchomić tunel VPN należy wydać polecenie:

root@host

# /etc/openvpn/rc.vpn

Po około 5 – 20 sekundach (zależy od prędkości łącza) tunel powinien być gotowy do pracy.
Aby to sprawdzić, należy uruchomić ping'a na adres IP 172.20.0.1.
(Po uruchomieniu, OpenVPN zostaje przeniesiony w tło).

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 3/10

Jeżeli wszystko działa poprawnie, zalecane jest dopisanie skryptu startowego do plików uruchamianych
wraz z systemem. Dla wielu dystrybucji (RedHat / Fedora Core, Slackware, Owl) można to zrobić,
umieszczając następującą linie na końcu pliku /etc/rc.d/rc.local :

#OpenVPN - start.

/etc/openvpn/rc.vpn

Należy pamiętać o odpowiednim ustawieniu firewall'a aby nie blokował połączeń OpenVPN.
Wymagania dot. firewall:

–

możliwość połączeń w obydwie strony do/z 158.75.63.1:5000 (UDP)

–

możliwość połączeń z portów powyżej 1024 lokalnego komputera na porty powyżej 1024 komputera o
IP 158.75.63.1

–

akceptacja całego ruchu ICMP do/z IP: 158.75.63.1 oraz 172.20.0.1

–

możliwość połączeń do hostów w sieci LAN WFAiIS lub do innych komputerów w sieci OpenVPN
(w zależności od potrzeb użytkownika).

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 4/10

System Microsoft Windows 2000/XP

1. Instalacja.

Przed instalacją należy koniecznie wyłączyć oprogramowanie typu firewall oraz programy antywirusowe.
Następnie należy pobrać i zainstalować program dostepny pod adresem:

http://www.phys.uni.torun.pl/ftp/openvpn/win/

Podczas instalacji należy zaznaczyć wszystkie komponenty do instalacji, po instalacji wykonać restart
systemu.

Po ponownym uruchomieniu systemu, powinno automatycznie pojawić się nowe połączenie sieciowe.

Aby sprawdzić, czy wszystkie sterowniki zainstalowały się prawidłowo, po restarcie, należy wejść do
panelu sterowania -> połączenia sieciowe. Powinno pojawić się tam nowe, nieaktywne połączenie,
przypisane do: TAP-Win32 Adapter (zaznaczone na czerwono)

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 5/10

Również w Panel Sterowania -> System -> Sprzęt -> Menadżer urządzeń; powinna pojawić się nowa „karta
sieciowa” o nazwie „TAP-Win32 Adapter”:

---------------------------------------------------------------------------------------------------------------------------------
Jeżeli po restarcie nie zostanie utworzone nowe połączenie oraz virtualna karta sieciowa, należy uruchomić
program z menu Start -> Programy -> OpenVPN ->„Add a new TAP-Win32 virtual ethernet adapter”.
---------------------------------------------------------------------------------------------------------------------------------

Następnie należy rozpakować pliki otrzymane od administratora. Jeżeli instalacja została przeprowadzona w
katalogu c:\Program Files\OpenVPN, to pliki te należy rozpakować do
c:\Program Files\OpenVPN\config.
(jeżeli w innych katalogach, to należy rozpakować je zawsze do podkatalogu „config”, znajdującego się w
katalogu gdzie zainstalowano OpenVPN)

2. Testowe uruchamianie:
Aby uruchomić tunel VPN należy uruchomić plik c:\Program Files\OpenVPN\config\start.bat
(w zależności od miejsca gdzie została przeprowadzona instalacja. Przypadku innych katalogów, należy
uruchomić plik z podkatalogu config znajdującego się w katalogu gdzie zainstalowano OpenVPN)

3. Inne:
Wyłączenie tunelu następuje po wciśnięciu klawisza F4 przy aktywnym oknie OpenVPN. Wciśnięcie
klawisza F3 powoduje restart OpenVPN.

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 6/10

4. Możliwe problemy:

a. pojawianie się podczas uruchamiania OpenVPN komunikatu:

oraz więcej niż jedno nieaktywne połączenie sieciowe przypisane do urządzenia TAP-32:

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 7/10

Przyczyna:omyłkowe zainstalowanie więcej niż jednego sterownika TAP-32.

Rozwiązanie problemu: Należy wejść do: Panel Sterowania -> System -> Sprzęt -> Menadżer urządzeń
i usunąć zbędne urządzenie TAP-32 (wybrać pokazane na czerwono urządzenie i wcisnąć klawisz „Delete”):

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 8/10

Pozostałe systemy operacyjne

Wg. dokumentacji, możliwa jest współpraca oprogramowania OpenVPN z systemem Sun Solaris.

Brak możliwości uruchomienia na platformach MS Windows 3.11/9x/ME.

Coś nie działa – co robić?

Skontaktować się z administratorem. Wcześniej przygotować następujące rzeczy:
1. System Linux: informacje pojawiające się przy ręcznym starcie OpenVPN, wynik działania poleceń

(wydanych po uruchomieniu OpenVPN):

root@host

# ps aux

root@host

# route

root@host

# ifconfig -a

root@host

# lsmod

root@host

# uname -a

root@host

# iptables –v -L #jądra 2.4.x/2.6.x

root@host

# ipchains -v -L #jądra 2.2.x

2. System Windows: informacje pojawiające się przy ręcznym starcie OpenVPN, wynik działania

polecenia:

route PRINT

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 9/10

Usługi realizowane via OpenVPN

1. Pełen dostęp do serwerów IF poprzez SSH/FTP.

2. Dostęp do poczty elektronicznej (odbieranie i wysyłanie):

Aby skonfigurować klienta poczty elektronicznej, należy postępować zgodnie ze wskazówkami
dotyczącymi konfiguracji dla komputerów sieci lokalnej IF dostępnymi na:

http://www.phys.uni.torun.pl/lan/lan.html

(pkt. 4)

3. Dostęp do dowolnych usług pracujących na dowolnym komputerze dostępnych dla sieci

lokalnej.

4. Możliwość przeglądania zasobów bibliotecznych i innych WWW dostępnych tylko z sieci

IF:
W tym celu należy skonfigurować w przeglądarce internetowej obsługę serwera proxy.
Adres serwera HTTP proxy: w3cache.phys.uni.torun.pl
Port: 8080
Należy pamiętać, ze przeglądarka do prawidłowej obsługi proxy wymaga nawiązanego
połączenia OpenVPN. W przypadku wprowadzenia w/w ustawień i braku włączonego OpenVPN
podczas próby przeglądania stron WWW, przeglądarka nie będzie pracować poprawnie.

vampire(at)phys.uni.torun.pl

Sebastian Wasilewski, 14.04.05

str. 10/10