Opis dostępu zdalnego do sieci
wydziałowej z użyciem OpenVPN

Opis Usługi

Część usług sieciowych dostępna jest tylko w ramach Wydziału. Związane jest to z różnego rodzaju ograniczeniami, w tym ograniczeniami licencyjnymi nakładanymi przez producentów oprogramowania. Od czasu do czasu zachodzi jednak potrzeba uruchomienia jakiegoś rodzaju oprogramowania, czy dostępu do zasobów określonych maszyn spoza fizycznej lokalizacji Wydziału. Innym przypadkiem jest ochrona serwisów dydaktycznych przed zbyt "szerokim" dostępem osób postronnych.

Do rozwiązania tego rodzaju problemów służą sieci VPN (Virtual Private Network). Umożliwiają one dostęp do zasobów Wydziału, w taki sposób jakby się na nim przebywało, bez względu na faktyczne miejsce pracy.

Taki jest też cel implementacji OpenVPN. Jest to otwarte rozwiązanie sprawdzone w toku wieloletniego okresu rozwoju. Jedną z istotniejszych zalet tego oprogramowania jest wieloplatformowość. Klient OpenVPN dostępny jest dla wielu systemów operacyjnych.

Wymagania

  • Studenci:
    Konto w portalu Moja PG oraz fakt bycia studentem WETI(!). Login (w postaci user@student.pg.gda.pl) i hasło jest tożsame z loginem i hasłem w wyżej wymienionym systemie.
  • Pracownicy:
    Konto w portalu Moja PG (login postaci user@pg.gda.pl) oraz fakt bycia pracownikiem WETI zatrudnonym w ramach umowy o pracę.

UWAGA!
Gdyby zainstniał problem z logowaniem przy użyciu konta z portalu Moja PG należy sprawdzić na stronie "Moje dane", czy hasło do konta w Moja PG nie jest przeterminowane (u góry strony powinien pojawić się zielony komunikat: Hasło do konta straci ważność za XXX dni; przeterminowane hasło pozwala zalogować się JEDYNIE do portalu Moja PG w celu jego zmiany).

Procedura instalacji

Pierwszym krokiem jest pobranie oprogramowania klienckiego ze strony głównej projektu OpenVPN.
UWAGA: Wersja 2.3.4 (najnowsza) nie działa poprawnie. Proszę zainstalować wersję 2.3.2 lub starszą.
Oprogramowanie jest dostępne dla:
  • Windows 2000
  • Windows XP
  • Windows Vista
  • Windows 7
  • Różnych dystrybucji Linux (zarówno w postaci pakietów jak i kodu źródłowego do kompilacji)
  • Mac

Jest to wersja OpenVPN Community.
Następnie przystępujemy do typowej instalacji z użyciem proponowanych przez instalator ustawień:


Ważnym momentem jest instalacja sterownika dla interfejsu TAP:


Czego skutkiem będzie, po pewnym czasie, pojawienie się nowej pozycji na liście urządzeń sieciowych:


Po zakończeniu standardowej procedury instalacji bardzo ważnym krokiem jest ustawienie uruchamiania programu jako Administrator. W tym celu należy odnaleźć ikonę programu w Menu Start lub na pulpicie i zmodyfikować właściwości:


Procedura konfiguracji

Pobrany plik archiwum zip (Pobierz tutaj) należy skopiować jako Administrator do katalogu jak na rysunku i rozpakować tutaj jego zawartość. Plik Readme.txt będzie się już tam znajdował. Po rozpakowaniu plik zip można usunąć (nie ma to wpływu na działania tunelu vpn). Stan po rozpakowaniu zawartości archiwum przedstawiony jest poniżej :



Bezpośrednio po tym można przystąpić do uruchamiania tunelu vpn. Program po uruchomieniu lokuje się w zasobniku systemowym. Po kliknięciu w ikonę w tym zasobniku należy wybrać opcję "Connect".


Weryfikacja poprawności działania tunelu VPN

Najlepszą weryfikacją pracy tunelu jest dostęp do zasobów na Wydziale. Jednak w razie problemów warto zwrócić uwagę na kilka rzeczy co pozwoli na łatwiejszą ich analizę.

Po uruchomieniu programu, ale przed próbą logowania ikona w zasobniku systemowym ma kolor czerwony:


W czasie logowania zmienia go na żółty:


Po nawiązaniu połączenia zmienia go na zielony:


Program posiada menu kontekstowe dostępne po kliknięciu w ikonę w zasobniku systemowym. Dalsze ekrany przedstawiają wynik Show Status. Opcja View log umożliwia łatwe skopiowanie logu.


Sytuacja charakterystyczna dla uruchomienia programu bez uprawnień Administratora. Nie zostały prawidłowo ustawione opcje routingu. Tunel pozornie działa - ale brak dostępu do sieci wewnątrz Wydziału.


Prawidłowy wygląd statusu tunelu


Uwagi dotyczące innych systemów

Procedura uruchomienia tunelu w Windows XP jest analogiczna. Różnice wynikają jedynie z interfejsu użytkownika.

W większości popularnych dystrybucji Linuksa OpenVPN znajduje się w stosownych repozytoriach. Zasada kopiowania pliku konfiguracyjnego oraz certyfikatów (z reguły do katalogu /etc/openvpn) jest identyczna. Należy zwrócić uwagę na fakt, że w tej rodzinie systemów rozszerzenie pliku konfiguracujnego to conf . Jeżeli zależy nam na automatycznym podnoszeniu tunelu podczas uruchomiana systemu to należy je zmienić. W innym przypadku wystarczy uruchomić tunel jako użytkowniki root korzystając z polecenia:

openvpn --config delli20vpn.ovpn

w katalogu z rozpakowanym plikiem zip.
Aktualizacja: wrzesień 2014
Opracowanie: Mariusz Kiełpiński, wrzesień 2011
e-mail: admin@eti.pg.gda.pl

Valid HTML 4.01 Strict