Alterator-net-openvpn: различия между версиями

Текущая версия от 11:17, 12 января 2024

Название пакета

alterator-net-openvpn

Назначение

Модуль OpenVPN-соединения позволяет настроить OpenVPN-подключение.

Используя данный модуль можно:

создавать/удалять подключения к различным серверам;
настраивать параметры подключения.

Запуск

Модуль OpenVPN-соединения доступен как в GUI (раздел Сеть ▷ OpenVPN-соединения):

так и в веб-интерфейсе https://ip-address:8080 (раздел Сеть ▷ OpenVPN-соединения):

Параметры модуля

Состояние: Позволяет остановить или запустить соединение.
Сервер, порт: Поля для указания IP-адреса сервера и порта для подключения.
Ключ: Выбор ключа, используемого при подключении.
Запускать при загрузке: Автоматическое соединение при загрузке системы.
Маршрут по умолчанию через VPN: Позволяет осуществлять маршрутизацию через VPN-соединение.
Сжатие LZO: Включение/отключение сжатия передаваемых данных. Эта настройка должна быть идентична на стороне сервера и клиента.
Алгоритм шифрования: Список для выбора алгоритма шифрования.
Алгоритм шифрования TLS: Список для выбора алгоритма шифрования для канала управления.
Алгоритм хэширования: Список для выбора алгоритма хэширования.
Отключить согласование алгоритмов шифрования (NCP): Отключение механизма согласования алгоритмов шифрования. По умолчанию OpenVPN автоматически подбирает алгоритм шифрования, не учитывая алгоритм, заданный в поле «Алгоритм шифрования». Данная опция отключает это поведение и позволяет напрямую использовать алгоритм из поля «Алгоритм шифрования».
Сетевой туннель (TUN), Виртуальное Ethernet устройство (TAP): Тип соединения. Должен быть выбран тот же тип, что и на стороне сервера.

Использование модуля

Создание соединения

Для создания нового соединения необходимо отметить пункт «Сетевой туннель (TUN)» или «Виртуальное Ethernet устройство (TAP)» (должен быть выбран тот же тип, что и на стороне сервера) и нажать кнопку «Создать соединение»:

В результате станут доступны настройки соединения:

Ключ и запрос на подпись

Далее необходимо создать SSL ключ. Для этого нужно нажать на кнопку «Управление ключами». В открывшемся окне (модуль «Управление ключами SSL») нажать кнопку «Новый…»:

Заполнить поля «Общее имя (CN)» и «Страна (C)», поставить отметку «(Пере)создать ключ и запрос на подпись» и нажать кнопку «Подтвердить»:

Нажать на кнопку «Забрать запрос на подпись» и сохранить запрос на жесткий диск.

Подписывание запроса на OpenVPN-server

На сервере, в «Центре управления системой» перейти в «Удостоверяющий центр», нажать кнопку «Выберите файл», указать путь до запроса на подпись и нажать кнопку «Загрузить запрос»:

Нажать кнопку «Подписать» и сохранить файл output.pem на сервере.

Импорт сертификата удостоверяющего центра

Чтобы получить сертификат удостоверяющего центра следует, на сервере, в «Центре управления системой» перейти в «Удостоверяющий центр», перейти по ссылке «Управление УЦ» (CA management). Загрузить сертификат УЦ, нажав на ссылку ca-root.pem:

Перенести файлы output.pem и ca-root.pem на компьютер клиента.

Импорт сертификат пользователя

На клиенте в модуле «Центра управления системой» «Управление ключами» выделить ключ и нажать кнопку «Изменить»:

В открывшемся окне положить сертификат, подписанный УЦ, указав путь до файла output.pem, и нажав кнопку «Положить»:

В «Управление ключами» изменится строка «ключ (Нет сертификата)» на «ключ (Истекает и дата когда)».

Импорт сертификата УЦ

На клиенте в модуле OpenVPN-соединение импортировать сертификат УЦ, указав путь до ca-root.pem, и нажав кнопку «Положить»:

Примечание: Если при импорте сертификата УЦ возникает ошибка (см. также altbug #38614):

то можно добавить сертификат вручную, выполнив команду:

# cat /home/user/ca-root.pem > /etc/net/ifaces/tun0/ovpnca

где:

/home/user/ca-root.pem — путь до сертификата УЦ;
tun0 — имя сетевого интерфейса;

Установка OpenVPN-соединения с OpenVPN-server'ом

На клиенте в модуле OpenVPN-соединение необходимо указать:

«Состояние» — «запустить»;
«Сервер» — IP адрес сервера или домен;
«Порт» — 1194 (должен быть указан тот же порт, что и на стороне сервера);
«Ключ» — выбрать подписанный на сервере ключ.

Для применения настроек, нажать кнопку «Применить». Состояние с «Выключено» должно поменяться на «Включено»:

Проверить, появилось ли соединение с сервером можно, выполнив команду:

$ ip addr

Должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:

tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
   link/none
   inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0

Модули Alterator

Модули Alterator • Alterator-bacula/client-backup/client • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/schedule • Alterator-bacula/director • Alterator-audit • AlteratorLilo • AlteratorServices • Alterator-clamav • Alterator-pkg • Alterator/New/Modules/Postfix Dovecot • Alterator-mirror • Alterator-osec • Alterator-vsftpd • Alterator-bind • Alterator-logs • Alterator-squid • Alterator-squidmill • Alterator-quota • Alterator-root • Alterator-users • Alterator-ldap-users • Alterator-ldap-groups • Alterator-console • Alterator-sysinfo • Alterator-xinetd • Alterator-xkb • Alterator-ulogd • Alterator-bacula-client • Alterator-net-dnat • Alterator-net-iptables • Alterator-net-bl • Alterator-net-iptables-manual • Alterator-net-tc • Alterator-alternatives • Alterator-ahttpd-server • Alterator-ahttpd-power • Alterator-services • Alterator-sslkey • Alterator-datetime • Alterator-net-pptp • Alterator-net-pppoe • Alterator-net-l2tp • Alterator-net-routing • Alterator-snort • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-control • Alterator-sshd • Alterator-selinux-users • Alterator-net-vlan • Alterator-mkbootflash • Alterator-bird • Alterator-groups • Alterator-auth-token • Alterator-controlpp • Alterator-x11 • Alterator-printers • Alterator-sysconfig/proxy • Alterator-grub • Alterator-secsetup • Alterator-zram-swap • Alterator-gpupdate • Alterator-limits • Alterator-kiosk • Alterator-net-wifi • Alterator-ports-access • Alterator-update-kernel • Alterator-updates • Alterator-dhcp • Alterator-auth • Alterator-net-bond • Alterator-netinst • Alterator-net-bridge • Alterator-net-domain • Alterator-openvpn-server • Alterator-net-openvpn • Alterator-ca • Alterator-net-eth • Alterator-mass-management • Alterator-multiseat • Alterator-roles • Alterator-zabbix-agent

@@ Строка 1: / Строка 1: @@
-{{Stub}}
 == Название пакета ==
@@ Строка 29: / Строка 27: @@
 :Позволяет остановить или запустить соединение.
 ;Сервер, порт
-:Поля для указания ip-адреса сервера и порта для подключения.
+:Поля для указания IP-адреса сервера и порта для подключения.
 ;Ключ
 :Выбор ключа, используемого при подключении.
@@ Строка 53: / Строка 51: @@
 === Создание соединения ===
-Для создания нового соединения необходмо отметить пункт «Сетевой тунель (TUN)» и нажать кнопку «Создать соединение».
+Для создания нового соединения необходимо отметить пункт «Сетевой туннель (TUN)» или «Виртуальное Ethernet устройство (TAP)» (должен быть выбран тот же тип, что и на стороне сервера) и нажать кнопку «Создать соединение»:
-[[Файл:Alterator-net-openvpn2.png|Новое соединение]]
+[[Файл:Alterator-net-openvpn2.png|Новое соединение OpenVPN]]
 В результате станут доступны настройки соединения:
-[[Файл:Alterator-net-openvpn1.png|Настройки соединения]]
+[[Файл:Alterator-net-openvpn1.png|Настройки соединения OpenVPN]]
 === Ключ и запрос на подпись ===
-Далее необходимо создать ключ. Для этого нужно нажать на кнопку «Управление ключами». В открывшемся окне нажать на кнопку «Новый...»:
+Далее необходимо создать SSL ключ. Для этого нужно нажать на кнопку «Управление ключами». В открывшемся окне (модуль [[Alterator-sslkey|«Управление ключами SSL»]]) нажать кнопку «Новый…»:
 [[Файл:Alterator-sslkey1.png|SSL ключи]]
-В новом окне заполнить поля «Общее имя (CN)» и «Страна (C)», поставить отметку «(Пере)создать ключ и запрос на подпись» и нажать кнопку «Подтвердить»:
+Заполнить поля «Общее имя (CN)» и «Страна (C)», поставить отметку «(Пере)создать ключ и запрос на подпись» и нажать кнопку «Подтвердить»:
 [[Файл:Alterator-sslkey-client-new.png|Создать ключ и запрос на подпись]]
-Для того чтобы забрать запрос на подпись, нужно нажать на кнопку «Забрать запрос на подпись» и сохранить запрос на жесткий диск.
+Нажать на кнопку «Забрать запрос на подпись» и сохранить запрос на жесткий диск.
 === Подписывание запроса на OpenVPN-server ===
-На сервере, в [[ЦУС|«Центре управления системой»]] перейти в [[Alterator-ca|«Удостоверяющий центр»]], нажать кнопку «Обзор...» и указать путь до запроса на подпись, далее нажать кнопку «Загрузить запрос»:
+На сервере, в [[ЦУС|«Центре управления системой»]] перейти в [[Alterator-ca|«Удостоверяющий центр»]], нажать кнопку «Выберите файл», указать путь до запроса на подпись и нажать кнопку «Загрузить запрос»:
 [[Файл:Alterator-ca1.png|Подписывание запроса на OpenVPN-server]]
@@ Строка 83: / Строка 81: @@
 === Импорт сертификата удостоверяющего центра ===
-Сертификат удостоверяющего центра это файл, который находится на OpenVPN-server.
+Чтобы получить сертификат удостоверяющего центра следует, на сервере, в [[ЦУС|«Центре управления системой»]] перейти в [[Alterator-ca|«Удостоверяющий центр»]], перейти по ссылке «Управление УЦ» (CA management). Загрузить сертификат УЦ, нажав на ссылку ca-root.pem:
-Чтобы его получить, на сервере, в [[ЦУС|«Центре управления системой»]] и перейти в [[Alterator-ca|«Удостоверяющий центр»]], дальше перейти по ссылке «Управление УЦ» (CA management). Загрузить сертификат УЦ, нажав на ссылку ca-root.pem:
 [[Файл:Alterator-ca-root2.png|Сертификат УЦ]]
-Перенести файл output.pem и ca-root.pem на компьютер клиента.
+Перенести файлы output.pem и ca-root.pem на компьютер клиента.
 === Импорт сертификат пользователя ===
-На клиенте в модуле [[ЦУС|«Центра управления системой»]] [[Alterator-sslkey|«Управление ключами»]] выделить ключ «myopenvpn (Нет сертификата)»:
+На клиенте в модуле [[ЦУС|«Центра управления системой»]] [[Alterator-sslkey|«Управление ключами»]] выделить ключ и нажать кнопку «Изменить»:
 [[Файл:Alterator-sslkey2.png|SSL ключ myopenvpn]]
-Нажать кнопку «Изменить», в открывшемся положить сертификат, подписанный УЦ, указав путь до файла output.pem, и нажав кнопку «Положить»:
+В открывшемся окне положить сертификат, подписанный УЦ, указав путь до файла output.pem, и нажав кнопку «Положить»:
 [[Файл:Alterator-sslkey3.png|Положить сертификат, подписанный УЦ]]
-В [[Alterator-sslkey|«Управление ключами»]] изменится строка «myopenvpn (Нет сертификата)» на «myopenvpn (Истекает и дата когда)».
+В [[Alterator-sslkey|«Управление ключами»]] изменится строка «ключ (Нет сертификата)» на «ключ (Истекает и дата когда)».
-Все хорошо, ключ создан и активизирован.
 === Импорт сертификата УЦ ===
@@ Строка 111: / Строка 105: @@
 [[Файл:Alterator-ca2.png|Импорт сертификата УЦ]]
-{{note|В GUI модуле '''OpenVPN-соединение''' не происходит импорт сертификата УЦ. Можно скопировать файл ca-root.pem в каталог /var/lib/ssl/certs/ в консоли}}
+{{Note| Если при импорте сертификата УЦ возникает ошибка (см. также {{altbug|38614}}):
+[[Файл:Alterator-net-openvpn-error.png|Ошибка в модуле Alterator-net-openvpn при импорте сертификата]]
+то можно добавить сертификат вручную, выполнив команду:
+<syntaxhighlight lang="bash"># cat /home/user/ca-root.pem > /etc/net/ifaces/tun0/ovpnca</syntaxhighlight>
+где:
+* {{path|/home/user/ca-root.pem}} — путь до сертификата УЦ;
+* tun0 — имя сетевого интерфейса;
+}}
 === Установка OpenVPN-соединения с OpenVPN-server'ом ===
@@ Строка 117: / Строка 120: @@
 На клиенте в модуле '''OpenVPN-соединение''' необходимо указать:
-* «Состояние» — «запустить»
+* «Состояние» — «запустить»;
+* «Сервер» — IP адрес сервера или домен;
-* «Сервер» — IP адрес сервера или домен
+* «Порт» — 1194 (должен быть указан тот же порт, что и на стороне сервера);
+* «Ключ» — выбрать подписанный на сервере ключ.
-* «Порт» — 1194
-* «Ключ» — выбрать подписанный на сервере ключ
 Для применения настроек, нажать кнопку «Применить». Состояние с «Выключено» должно поменяться на «Включено»:
@@ Строка 129: / Строка 129: @@
 [[Файл:Alterator-net-openvpn3.png|Настройки соединения]]
-Проверить, появилось ли соединение с сервером можно командой
+Проверить, появилось ли соединение с сервером можно, выполнив команду:
- [root@client ~]#ip a s
+<syntaxhighlight lang="bash">$ ip addr</syntaxhighlight>
-должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
+Должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
-  tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
+  tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
-     link/[none]
+     link/none
      inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
 {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
+[[Категория:Модули Alterator]]