Obsah

UT VPN


Pro vzdálený přístup ke službám sítě ÚT je možné využít VPN (Virtual Private Network).

V našem ústavu se využívá OpenVPN, která má výhodu ve velmi dobrém zabezpečení a snadné propustnosti přes firewally.

Pro využití OpenVPN, je třeba nainstalovat na svůj počítač klientský software. Instalační balíček, spolu s kryptografickými klíči a konfigurací dostanete po vyžádání od Pavla Formánka, tel. 266 053 862.

Nová verze

Vzhledem k tomu, že původní verze OpevVPN již zastarala, je nyní k dispozici nová verze s bezpečnější kryptografikou.

INSTALACE

WINDOWS

Stáhněte si a nainstalujte OpenVPN klienta:

https://openvpn.net/downloads/openvpn-connect-v3-windows.msi

Na záložce Get connected zvolte Upload File

a pomocí lačítka BROWSE načtěte konfigurační soubor .ovpn, který Vám přišel e-mailem.

Nyní již stačí stisknout tlačítko CONNECT

LINUX

Spusťte si konfiguraci a v sekci síť zadejte přidat VPN.

Zadejte Importovat ze souboru a otevřete konfigurační soubor.

Klikněte na přidat.

Na záložce IPv4 zaškrtněte Použít toto připojení pouze pro zdroje na jeho síti.

Další obsah se týká pouze starších verzí VPN

Problém v novějších distribucích linuxu

Podařilo se mi vyřešit problém s novými distribucemi linuxu v ústavní VPN. Problém se týká Fedory 40 a nových verzí Ubuntu a Debian, možná i dalších. Problém je v tom, že tyto distribuce považují certifikáty naší VPN za málo bezpečné a proto je neakceptují. Toto lze vyřešit atributem tls-cipher Tento atribut lze zadat v konfiguraci OpenVPN Identity→Advanced→TLS Authentication

TLS cipher string DEFAULT:@SECLEVEL=0

Ve fedoře 41 je třeba navíc dát příkazy: 

sudo update-crypto-policies --set LEGACY
reboot

Ve Fedoře 40 nemohou být standardně certifikáty a klíče v uživatelském home dir, protože načtení brání SELinux.

Řešení jsou dvě.

Vypnout SELinux:

V /etc/selinux/config je třeba změnit 

SELINUX=enforcing

na 

SELINUX=disabled

a restartovat

nebo

certifikáty a klíče přesunout do /etc 

například do /etc/VPN

(toto je nutné dělat jako root)

Potom VPN funguje.

Problém je s kubuntu

Ten používá pro konfigurece sítě netplan a nemá v grafickém rozhraní možnost zadat TLS cipher string.

Řešením je nají konfigurační soubor v /etc/netplan (má koncovku .yaml a obsahuje string „org.freedesktop.NetworkManager.openvpn“).

Do tohoto souboru je třeba dopsat řádku: 

          vpn.tls-cipher: "DEFAULT:@SECLEVEL=0"

Po restartu by VPN měla fungovat.