{{:utinfo:ovpntech_key.png }}
 ====== UT VPN ======
\\

Pro vzdálený přístup ke službám sítě ÚT je možné využít VPN (Virtual Private Network).

V našem ústavu se využívá OpenVPN, která má výhodu ve velmi dobrém zabezpečení a snadné propustnosti přes firewally.

Pro využití OpenVPN, je třeba nainstalovat na svůj počítač klientský software. Instalační balíček, spolu s kryptografickými klíči a konfigurací dostanete po vyžádání od [[mailto:pavel@it.cas.cz|Pavla Formánka]], tel. 266 053 862.

===== Nová verze =====

Vzhledem k tomu, že původní verze OpevVPN již zastarala, je nyní k dispozici nová verze s bezpečnější kryptografikou.

==== INSTALACE ====
=== WINDOWS ===
Stáhněte si a nainstalujte OpenVPN klienta:

 [[https://openvpn.net/downloads/openvpn-connect-v3-windows.msi]]

Na záložce **Get connected** zvolte **Upload File**

a pomocí lačítka ''BROWSE'' načtěte  konfigurační soubor //.ovpn//, který Vám přišel e-mailem.

Nyní již stačí stisknout tlačítko ''CONNECT''

=== LINUX ===
Spusťte si konfiguraci a v sekci síť zadejte přidat VPN.

Zadejte Importovat ze souboru a otevřete konfigurační soubor.

Klikněte na přidat.

Na záložce IPv4 zaškrtněte Použít toto připojení pouze pro zdroje na jeho síti.

----
<fs large><fc #4682b4>Další obsah se týká pouze starších verzí VPN</fc></fs>
----
====== Problém v novějších distribucích linuxu ======
Podařilo se mi vyřešit problém s novými distribucemi linuxu v ústavní VPN. Problém se týká Fedory 40 a nových verzí Ubuntu a Debian, možná i dalších.
Problém je v tom, že tyto distribuce považují certifikáty naší VPN za málo bezpečné a proto je neakceptují. Toto lze vyřešit atributem ''tls-cipher''
Tento atribut lze zadat v konfiguraci OpenVPN  **Identity->Advanced->TLS Authentication**

 TLS cipher string **DEFAULT:@SECLEVEL=0**

<WRAP left tip 60%>
Ve fedoře 41 je třeba navíc dát příkazy:
  sudo update-crypto-policies --set LEGACY
  reboot
</WRAP>


{{:utinfo:vpn-f40.png|}}

Ve Fedoře 40 nemohou být standardně certifikáty a klíče v uživatelském home dir, protože načtení brání SELinux.

Řešení jsou dvě.

Vypnout SELinux:

V /etc/selinux/config je třeba změnit
  SELINUX=enforcing
na
  SELINUX=disabled
a restartovat

nebo

**certifikáty a klíče přesunout do /etc**

  například do /etc/VPN

(toto je nutné dělat jako root)

Potom VPN funguje.

=== Problém je s kubuntu ===
Ten používá pro konfigurece sítě netplan a nemá v grafickém rozhraní možnost zadat TLS cipher string.

Řešením je nají konfigurační soubor v /etc/netplan (má koncovku .yaml a obsahuje string "org.freedesktop.NetworkManager.openvpn").

Do tohoto souboru je třeba dopsat řádku:
            vpn.tls-cipher: "DEFAULT:@SECLEVEL=0"
Po restartu by VPN měla fungovat.