3149489020

Proszę pliki te przenieś do katalogu: C:\Program Files\OpenVPN\config a następnie kopie niektórych plików dystrybuować do innej grupy laboratoryjnej w celu połączenia się do tego serwera.

Które z plików należy dystrybuować do klientów, a które nie możemy? Dlaczego?

Połączenie VPN typu klient-serwer

8.    Ze strony: http://kt.aah.edu.pl/~niemiec/lab ściągnąć plik server.ovpn i uruchomić serwer (klikamy prawym przyciskiem myszy na pliku server.ovpn i włączamy opcję: „Start OpenVPN on this config file"). Klient na innym komputerze ściąga ze strony http://kt.aah.edu.pl/~niemiec/lab plik client.ovpn, a następnie edytuje odpowiednią linie skryptu wpisując poprawny adres IP serwera i uruchamia skrypt.

Proszę prześledzić etapy połączenia, a następnie sprawdzić czy pojawiły się nowe połączenia sieciowe z adresami IP z podsieci 10.8.0.0 (komenda: ipconfig). Sprawdzić czy klient połączył się z serwerem za pomocą polecenia: ping „adres IP z podsieci 10.8.0.0" (w razie problemów proszę chwilowo wyłączyć systemowy firewall Windowsa XP). Można też przeskanować podsieć 10.8.0.0 programem NetScan.

W jaki sposób odbyło się uwierzytelnienie klienta? Dlaczego serwer może być pewien że łączy się z nim uprawniony klient?

9.    Jeśli z jakiś powodów należy unieważnić certyfikat (np. klucz prywatny został skompromitowany, zmieniły się dane osobowe użytkownika, itp.) można to zrobić za pomocą listy unieważnionych certyfikatów CRL (Certificate Revocation List), która będzie sprawdzana podczas każdorazowej próby łączenia klienta z serwerem. Jeśli na liście CRL znajduje się certyfikat klienta - połączenie z tym klientem nie będzie ustalone.

Aby unieważnić certyfikat dla klienta nr 2, należy wygenerować listę CRL w katalogu: C:\Program Fiies\OpenVPN\easy-rsa za pomocą komend:

vars

revoke-full client2

Komendy te generują plik crl.pem który należy skopiować do folderu, w którym uruchomiony jest serwer. Następnie w pliku konfiguracyjnym serwera należy dodać linię:

crl-verify crl.pem

tak aby serwer sprawdzał listę odwołanych certyfikatów przy każdorazowej weryfikacji klientów. Na koniec należy uruchomić serwer (lub zrestartować jeśli już jest uruchomiony) i spróbować podłączyć do niego klienta nr 2.