Opis dostępu zdalnego do sieci wydziałowej z użyciem OpenVPN dla Windows Vista i Windows 7/8/10

Opis dostępu zdalnego do sieci
wydziałowej z użyciem OpenVPN

Opis Usługi

Część usług sieciowych dostępna jest tylko w ramach Wydziału. Związane jest to z różnego rodzaju ograniczeniami, w tym ograniczeniami licencyjnymi nakładanymi przez producentów oprogramowania. Od czasu do czasu zachodzi jednak potrzeba uruchomienia jakiegoś rodzaju oprogramowania, czy dostępu do zasobów określonych maszyn spoza fizycznej lokalizacji Wydziału. Innym przypadkiem jest ochrona serwisów dydaktycznych przed zbyt "szerokim" dostępem osób postronnych.

Do rozwiązania tego rodzaju problemów służą sieci VPN (Virtual Private Network). Umożliwiają one dostęp do zasobów Wydziału, w taki sposób jakby się na nim przebywało, bez względu na faktyczne miejsce pracy.

Taki jest też cel implementacji OpenVPN. Jest to otwarte rozwiązanie sprawdzone w toku wieloletniego okresu rozwoju. Jedną z istotniejszych zalet tego oprogramowania jest wieloplatformowość. Klient OpenVPN dostępny jest dla wielu systemów operacyjnych.

Wymagania

Studenci:
Konto w portalu Moja PG oraz fakt bycia studentem WETI(!). Login (w postaci user@student.pg.edu.pl) i hasło jest tożsame z loginem i hasłem w wyżej wymienionym systemie.
Pracownicy:
Konto w portalu Moja PG (login postaci user@pg.edu.pl) oraz fakt bycia pracownikiem WETI zatrudnonym w ramach umowy o pracę.

UWAGA!
1. "Stare" loginy w domenach pg.gda.pl i student.pg.gda.pl już NIE DZIAŁAJĄ.
2. Gdyby zainstniał problem z logowaniem przy użyciu konta z portalu Moja PG należy sprawdzić na stronie "Moje dane", czy hasło do konta w Moja PG nie jest przeterminowane (u góry strony powinien pojawić się zielony komunikat: Hasło do konta straci ważność za XXX dni; przeterminowane hasło pozwala zalogować się JEDYNIE do portalu Moja PG w celu jego zmiany).

Procedura instalacji

Pierwszym krokiem jest pobranie oprogramowania klienckiego ze strony głównej projektu OpenVPN.
UWAGA: Minimalna wersja klienta współpracująca a obecnym serwerem to 2.4.3.
Oprogramowanie jest dostępne dla:

Windows Vista
Windows 7
Windows 8 i 8.1
Windows 10
Różnych dystrybucji Linux (zarówno w postaci pakietów jak i kodu źródłowego do kompilacji)
Mac

Jest to wersja OpenVPN Community.
Następnie przystępujemy do typowej instalacji z użyciem proponowanych przez instalator ustawień:

Ważnym momentem jest instalacja sterownika dla interfejsu TAP:

Czego skutkiem będzie, po pewnym czasie, pojawienie się nowej pozycji na liście urządzeń sieciowych:

Po zakończeniu standardowej procedury instalacji bardzo ważnym krokiem jest ustawienie uruchamiania programu jako Administrator. W tym celu należy odnaleźć ikonę programu w Menu Start lub na pulpicie i zmodyfikować właściwości:

Procedura konfiguracji

Pobrany plik archiwum zip (Pobierz tutaj) należy skopiować jako Administrator do katalogu jak na rysunku i rozpakować tutaj jego zawartość. Plik Readme.txt będzie się już tam znajdował. Po rozpakowaniu plik zip można usunąć (nie ma to wpływu na działania tunelu vpn). Stan po rozpakowaniu zawartości archiwum przedstawiony jest poniżej :

UWAGA: Uwaga: od lipca 2020 działa nowy serwer VPN; użytkownicy, którzy pobrali starsze archiwum, muszą zrobić to ponownie. Stary serwer zostanie wyłączony do końca 2020 roku.

Bezpośrednio po tym można przystąpić do uruchamiania tunelu vpn. Program po uruchomieniu lokuje się w zasobniku systemowym. Po kliknięciu w ikonę w tym zasobniku należy wybrać opcję "Connect".

Weryfikacja poprawności działania tunelu VPN

Najlepszą weryfikacją pracy tunelu jest dostęp do zasobów na Wydziale. Jednak w razie problemów warto zwrócić uwagę na kilka rzeczy co pozwoli na łatwiejszą ich analizę.

Po uruchomieniu programu, ale przed próbą logowania ikona w zasobniku systemowym ma kolor czerwony:

W czasie logowania zmienia go na żółty:

Po nawiązaniu połączenia zmienia go na zielony:

Program posiada menu kontekstowe dostępne po kliknięciu w ikonę w zasobniku systemowym. Dalsze ekrany przedstawiają wynik Show Status. Opcja View log umożliwia łatwe skopiowanie logu.

Sytuacja charakterystyczna dla uruchomienia programu bez uprawnień Administratora. Nie zostały prawidłowo ustawione opcje routingu. Tunel pozornie działa - ale brak dostępu do sieci wewnątrz Wydziału.

Prawidłowy wygląd statusu tunelu

Uwagi dotyczące innych systemów

W większości popularnych dystrybucji Linuksa OpenVPN znajduje się w stosownych repozytoriach. Zasada kopiowania pliku konfiguracyjnego oraz certyfikatów (z reguły do katalogu /etc/openvpn) jest identyczna. Należy zwrócić uwagę na fakt, że w tej rodzinie systemów rozszerzenie pliku konfiguracujnego to conf . Jeżeli zależy nam na automatycznym podnoszeniu tunelu podczas uruchomiana systemu to należy je zmienić. W innym przypadku wystarczy uruchomić tunel jako użytkownik root korzystając z polecenia:

openvpn --config delli20vpn.ovpn

w katalogu z rozpakowanym plikiem zip.

Aktualizacja: lipiec 2020
e-mail: admin@eti.pg.edu.pl

	Opis dostępu zdalnego do sieci wydziałowej z użyciem OpenVPN
Opis Usługi Część usług sieciowych dostępna jest tylko w ramach Wydziału. Związane jest to z różnego rodzaju ograniczeniami, w tym ograniczeniami licencyjnymi nakładanymi przez producentów oprogramowania. Od czasu do czasu zachodzi jednak potrzeba uruchomienia jakiegoś rodzaju oprogramowania, czy dostępu do zasobów określonych maszyn spoza fizycznej lokalizacji Wydziału. Innym przypadkiem jest ochrona serwisów dydaktycznych przed zbyt "szerokim" dostępem osób postronnych. Do rozwiązania tego rodzaju problemów służą sieci VPN (Virtual Private Network). Umożliwiają one dostęp do zasobów Wydziału, w taki sposób jakby się na nim przebywało, bez względu na faktyczne miejsce pracy. Taki jest też cel implementacji OpenVPN. Jest to otwarte rozwiązanie sprawdzone w toku wieloletniego okresu rozwoju. Jedną z istotniejszych zalet tego oprogramowania jest wieloplatformowość. Klient OpenVPN dostępny jest dla wielu systemów operacyjnych. Wymagania Studenci: Konto w portalu Moja PG oraz fakt bycia studentem WETI(!). Login (w postaci user@student.pg.edu.pl) i hasło jest tożsame z loginem i hasłem w wyżej wymienionym systemie. Pracownicy: Konto w portalu Moja PG (login postaci user@pg.edu.pl) oraz fakt bycia pracownikiem WETI zatrudnonym w ramach umowy o pracę. UWAGA! 1. "Stare" loginy w domenach pg.gda.pl i student.pg.gda.pl już NIE DZIAŁAJĄ. 2. Gdyby zainstniał problem z logowaniem przy użyciu konta z portalu Moja PG należy sprawdzić na stronie "Moje dane", czy hasło do konta w Moja PG nie jest przeterminowane (u góry strony powinien pojawić się zielony komunikat: Hasło do konta straci ważność za XXX dni; przeterminowane hasło pozwala zalogować się JEDYNIE do portalu Moja PG w celu jego zmiany). Procedura instalacji Pierwszym krokiem jest pobranie oprogramowania klienckiego ze strony głównej projektu OpenVPN. UWAGA: Minimalna wersja klienta współpracująca a obecnym serwerem to 2.4.3. Oprogramowanie jest dostępne dla: Windows Vista Windows 7 Windows 8 i 8.1 Windows 10 Różnych dystrybucji Linux (zarówno w postaci pakietów jak i kodu źródłowego do kompilacji) Mac Jest to wersja OpenVPN Community. Następnie przystępujemy do typowej instalacji z użyciem proponowanych przez instalator ustawień: Ważnym momentem jest instalacja sterownika dla interfejsu TAP: Czego skutkiem będzie, po pewnym czasie, pojawienie się nowej pozycji na liście urządzeń sieciowych: Po zakończeniu standardowej procedury instalacji bardzo ważnym krokiem jest ustawienie uruchamiania programu jako Administrator. W tym celu należy odnaleźć ikonę programu w Menu Start lub na pulpicie i zmodyfikować właściwości: Procedura konfiguracji Pobrany plik archiwum zip (Pobierz tutaj) należy skopiować jako Administrator do katalogu jak na rysunku i rozpakować tutaj jego zawartość. Plik Readme.txt będzie się już tam znajdował. Po rozpakowaniu plik zip można usunąć (nie ma to wpływu na działania tunelu vpn). Stan po rozpakowaniu zawartości archiwum przedstawiony jest poniżej : UWAGA: Uwaga: od lipca 2020 działa nowy serwer VPN; użytkownicy, którzy pobrali starsze archiwum, muszą zrobić to ponownie. Stary serwer zostanie wyłączony do końca 2020 roku. Bezpośrednio po tym można przystąpić do uruchamiania tunelu vpn. Program po uruchomieniu lokuje się w zasobniku systemowym. Po kliknięciu w ikonę w tym zasobniku należy wybrać opcję "Connect". Weryfikacja poprawności działania tunelu VPN Najlepszą weryfikacją pracy tunelu jest dostęp do zasobów na Wydziale. Jednak w razie problemów warto zwrócić uwagę na kilka rzeczy co pozwoli na łatwiejszą ich analizę. Po uruchomieniu programu, ale przed próbą logowania ikona w zasobniku systemowym ma kolor czerwony: W czasie logowania zmienia go na żółty: Po nawiązaniu połączenia zmienia go na zielony: Program posiada menu kontekstowe dostępne po kliknięciu w ikonę w zasobniku systemowym. Dalsze ekrany przedstawiają wynik Show Status. Opcja View log umożliwia łatwe skopiowanie logu. Sytuacja charakterystyczna dla uruchomienia programu bez uprawnień Administratora. Nie zostały prawidłowo ustawione opcje routingu. Tunel pozornie działa - ale brak dostępu do sieci wewnątrz Wydziału. Prawidłowy wygląd statusu tunelu Uwagi dotyczące innych systemów W większości popularnych dystrybucji Linuksa OpenVPN znajduje się w stosownych repozytoriach. Zasada kopiowania pliku konfiguracyjnego oraz certyfikatów (z reguły do katalogu /etc/openvpn) jest identyczna. Należy zwrócić uwagę na fakt, że w tej rodzinie systemów rozszerzenie pliku konfiguracujnego to conf . Jeżeli zależy nam na automatycznym podnoszeniu tunelu podczas uruchomiana systemu to należy je zmienić. W innym przypadku wystarczy uruchomić tunel jako użytkownik root korzystając z polecenia: openvpn --config delli20vpn.ovpn w katalogu z rozpakowanym plikiem zip. Aktualizacja: lipiec 2020 e-mail: admin@eti.pg.edu.pl