Pro vzdálený přístup ke službám sítě ÚT je možné využít VPN (Virtual Private Network).

V našem ústavu se využívá OpenVPN, která má výhodu ve velmi dobrém zabezpečení a snadné propustnosti přes firewally.

Pro využití OpenVPN, je třeba nainstalovat na svůj počítač klientský software. Instalační balíček, spolu s kryptografickými klíči a konfigurací dostanete po vyžádání od Pavla Formánka, tel. 266 053 862.

Podařilo se mi vyřešit problém s novými distribucemi linuxu v ústavní VPN. Problém se týká Fedory 40 a nových verzí Ubuntu a Debian, možná i dalších. Problém je v tom, že tyto distribuce považují certifikáty naší VPN za málo bezpečné a proto je neakceptují. Toto lze vyřešit atributem tls-cipher Tento atribut lze zadat v konfiguraci OpenVPN Identity→Advanced→TLS Authentication

TLS cipher string DEFAULT:@SECLEVEL=0

sudo update-crypto-policies --set LEGACY
reboot

Ve Fedoře 40 nemohou být standardně certifikáty a klíče v uživatelském home dir, protože načtení brání SELinux.

Řešení jsou dvě.

Vypnout SELinux:

V /etc/selinux/config je třeba změnit

SELINUX=enforcing

na

SELINUX=disabled

a restartovat

nebo

certifikáty a klíče přesunout do /etc

například do /etc/VPN

(toto je nutné dělat jako root)

Potom VPN funguje.

Ten používá pro konfigurece sítě netplan a nemá v grafickém rozhraní možnost zadat TLS cipher string.

Řešením je nají konfigurační soubor v /etc/netplan (má koncovku .yaml a obsahuje string „org.freedesktop.NetworkManager.openvpn“).

Do tohoto souboru je třeba dopsat řádku:

          vpn.tls-cipher: "DEFAULT:@SECLEVEL=0"

Po restartu by VPN měla fungovat.