Artykuł - Platforma Internetowa ASTOR.

Transkrypt

Artykuł
Konfiguracja OpenVPN w AS30GSM200P
Informator Techniczny
Strona 1 z 13
Pomoc techniczna dostępna jest na Platformie Internetowej ASTOR – pod adresem platforma.astor.com.pl.
Serwis stanowi źródło wiedzy technicznej dostępne 24 godziny na dobę i umożliwia zgłaszania zagadnień serwisowych oraz śledzenia ich stanu.
Ogólnopolska linia telefoniczna 12 424 00 88, e-mail: [email protected].
Artykuł
1. Czym jest VPN ?
VPN (Virtual Private Network) – tłumacząc dosłownie Wirtualna Sieć Prywatna - tunel, przez który
płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej
sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten
sposób pakietów. Można opcjonalnie kompresować lub szyfrować przesyłane dane w celu
zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa.
Rozwiązania oparte na VPN stosowane są np. w sieciach korporacyjnych firm, których zdalni
użytkownicy pracują ze swoich domów na niezabezpieczonych łączach. Wirtualne Sieci Prywatne
charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych)
oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie). Rozwiązanie to sprawdza
się w firmach, których pracownicy często podróżują lub korzystają z możliwości telepracy.
OpenVPN – pakiet oprogramowania, który implementuje techniki tworzenia bezpiecznych
połączeń punkt-punkt (VPN) lub strona-strona w sieciach routowanych lub mostkowanych.
Umożliwia on tworzenie zaszyfrowanych połączeń między hostami przez sieć publiczną Internet
(tunel) – używa do tego celu biblioteki OpenSSL.
OpenVPN używa bibliotek OpenSSL do szyfrowania danych i kanałów kontrolnych. Może również
korzystać z HMAC by stworzyć dodatkową warstwę zabezpieczenia połączenia. Pakiet jest w stanie
również wykorzystać możliwości sprzętowe, by polepszyć stopień i jakość szyfrowania.
OpenVPN oferuje kilka metod uwierzytelnienia użytkowników: poprzez klucze, certyfikaty lub
nazwę użytkownika i hasło.
Aby korzystać z powyższej funkcjonalności, należy zapoznać się z protokołami SSL oraz TLS oraz
odpowiadającej im implementacji w postaci OpenSSL.
UWAGA!
Urządzenie konfigurujemy z poziomu przeglądarki:
Adres : 192.168.1.234
Login: admin
Hasło:12345
Po zalogowaniu się na urządzenie, możemy dokonać modyfikacji tych wartości.
Strona 2 z 13
Artykuł
2. Konfiguracja OpenSSL
Rozpoczynamy od konfiguracji OpenSSL oraz wygenerowania odpowiednich plików, które będą
niezbędne w dalszej części zestawienia połączenia z wykorzystaniem OpenVPN.
1. Do wygenerowania wspomnianych rzeczy, potrzebny jest nam pakiet programów
OpenSSL, który dla systemu Windows możemy pobrać pod adresem:
https://www.openssl.org/source/
2. Uruchamiamy plik instalacyjny, w wybranej przez siebie lokalizacji, dla ustalenia uwagi
będzie to: D:/OpenSSL. W tym przypadku zdefiniujmy pomocniczą lokalizację temp_dir jako
D:/OpenSSL/GnuWin32.
3. Odnajdujemy plik openssl.cnf wewnątrz folderu z zainstalowanymi plikami(najczęściej jest
to lokalizacja temp_dir/share/openssl.cnf).
W folderze /share:
4. Tworzymy zmienną środowiskową OPENSSL_CONF z lokalizacją odnalezioną w pkt.3
Aby to uczynić, wchodzimy w Komputer->Właściwości->Zaawansowane ustawienia systemu>Zmienne środowiskowe…
Strona 3 z 13
Artykuł
Pod zmiennymi systemowymi tworzymy nową zmienną, która będzie wskazywać na plik
openssl.cnf, która po dodaniu widnieje w polu zmiennych użytkownika:
5. Następnie konfigurujemy zmienną systemową Path, aby mieć możliwość korzystania z
OpenSSL w każdej możliwej lokalizacji. Aby to zrobić należy wejść:
Komputer->Właściwości->Zaawansowane ustawienia systemu->Zmienne środowiskowe…
Następnie edytujemy Zmienną Path, po średniku dodanej lokalizację folderu, w którym znajduje
się plik openssl.exe:
Odnajdujemy folder w którym zawarty jest openssl.exe wewnątrz folderu z zainstalowanymi
plikami(najczęściej jest to lokalizacja temp_dir/bin/).
Dodajemy po średniku odnalezioną ścieżkę.
Strona 4 z 13
Artykuł
6. Tworzymy folder w którym umieszczone będą wszystkie niezbędne klucze, certyfikaty. Dla
ustalenia uwagi tworzę folder Klucze ( D:/OpenSSL/Klucze ). Poniżej rysunek, opisujący
drzewo folderów, związanych z naszą konfiguracją.
7. Tworzymy 5 folderów wewnątrz folderu Klucze:





private – do przechowywania kluczy prywatnych
certs – do przechowywania certyfikatów
requests – do przechowywania zapytań
newcerts
crl
8. Tworzymy plik tekstowy index.txt, w którym będą zapisywane kolejne certyfikaty
wydawane dla kolejnych klientów czy też serwerów.
9. Tworzymy plik serial (nie posiada rozszerzenia), w którym nadpisujemy pustą zawartość,
wpisując dwa zera („00”). Zapisujemy plik.
10. Edytujemy plik openssl.cnf. Jest plik konfiguracyjny OpenSSL, w którym zawarte są
najważniejsze informacje dotyczące lokalizacji urzędu certyfikującego a także kluczy i
certyfikatów, które zostały wygenerowane. Skupiamy się na polach:
Skupiamy się na polach :
dir = D:/OpenSSL/Klucze
certs = $dir/certs
certificate = $dir/UCcert.pem
serial = $dir/serial
private_key = $dir/private/Uckey.pem
Uwaga ! Jest to tylko przykład, w jaki sposób należy wypełnić pola, bazując na
założeniach dotyczących nazewnictwa I lokalizacji folderów z poprzednich punktów. To
samo tyczy się nazwy klucza i certyfikatu urzędu certyfikującego. Jeżeli edytowano pola
w sposób identyczny, przy generowaniu należy postąpić dokładnie jak podano w
instrukcji( z dokładnością do nazw).
Strona 5 z 13
Artykuł
Przechodzimy do wiersza poleceń, ustawiając się w folderze D:/OpenSSL/Klucze. Otwieramy
cmd.exe, a następnie komendami cd dochodzimy do interesującej nas lokalizacji. Po znalezieniu się
w odpowiednim folderze przechodzimy do generowania plików.
11. Rozpoczynamy od wygenerowania klucza prywatnego dla urzędu certyfikującego:
openssl genrsa -des3 -out private/UCkey.pem 1024
Należy zapamiętać hasło, którym zabezpieczony jest owy klucz prywatny, ponieważ jest on
niezbędny do kolejnych czynności !
12. Tworzymy certyfikat dla urzędu certyfikującego:
openssl req -new -x509 -days 365 -key private/UCkey.pem -out UCcert.pem
Uzupełnianie pól jest opcjonalne, ważne, aby każdy z certyfikatów posiadał unikatowy Common
Name. Jeżeli wszystko przebiegło w sposób poprawny, posiadamy własny urząd certyfikujący,
dzięki któremu możemy wydawać certyfikaty dla innych urządzeń.
13. Generujemy plik z parametrami Diffiego-Hellmana:
openssl dhparam -out dh1024.pem 1024
Przechodzimy do wygenerowania kluczy i certyfikatów dla urządzeń. W celu konfiguracji
najprostszej sieci, wystarczą 2 takie pary: 1 dla serwera oraz 1 dla klienta.
GENEROWANIE PLIKÓW DLA SERWERA - AS30GSM200P:
14. Generujemy klucz prywatny dla serwera:
openssl genrsa -des3 -out private/server.pem 1024
Zapamiętujemy to hasło !
Strona 6 z 13
Artykuł
15. Generujemy wniosek o wystawienie certyfikatu dla serwera:
openssl req -new -key private/server.pem -out requests/server_req.pem
16. Jako urząd certyfikujący podpisujemy certyfikat dla serwera:
openssl ca -notext -in requests/server_req.pem -out certs/servercert.pem
17. Z klucza prywatnego dla serwera zdejmujemy obowiązek wpisywania hasła:
openssl rsa -in private/server.pem –out private/server.pem_bezhasla
GENEROWANIE PLIKÓW DLA KLIENTA – PC:
18. Generujemy klucz prywatny dla klienta:
openssl genrsa -des3 -out private/client.pem 1024
Zapamiętujemy to hasło !
19. Generujemy wniosek o wystawienie certyfikatu dla klienta:
openssl req -new -key private/client.pem -out requests/client_req.pem
20. Jako urząd certyfikujący podpisujemy certyfikat dla klienta:
openssl ca -notext -in requests/client_req.pem -out certs/clientcert.pem
Jeżeli chcemy łączyć się z urządzeniem za pomocą więcej niż jednego komputera z wykorzystaniem
OpenVPN, powtarzamy procedury z pkt. 18 – 20. Dla każdego z komputerów tworzymy własny
klucz prywatny, po czym generujemy odpowiednie pliki w celu uzyskania certyfikatu.
Strona 7 z 13
Artykuł
3. Konfiguracja OpenVPN – serwer - AS30GSM200P
Po podaniu odpowiednich certyfikatów i kluczy w zakładce OpenVPN po stronie urządzenia
AS30GSM200P, możemy przejść do finalizacji owej konfiguracji.
1. Wpisujemy w przeglądarce internetowej adres ip 192.168.1.234.
Domyślny login: admin
Domyślne hasło: 12345
2. Sprawdzamy wersję wgranego firmware’u na urządzenie !
Poprawną wersją jest firmware :141212
3. W zakładce Time sprawdzamy poprawność ustawionego czasu !
4. W zakładce GSM Network uzupełniamy pole APN odpowiednią wartością, aby uzyskać
stały, zewnętrzny adres IP.
Strona 8 z 13
Artykuł
5. Przechodzimy do zakładki OpenVPN. Uzupełniamy pola następującymi wartościami:
OpenVPN mode: Server
Connection mode: Router (TUN) multi-client
VPN device: GSM
Port: 1194 (dowolnie wybrany wolny port)
Protocol: TCP
Network: 10.1.0.0 (przykładowa adresacja)
Netmask: 255.255.255.0
 Wybieramy 1 z tuneli OpenVPN, po czym ustawiamy OpenVPN mode w tryb serwer,
zgodnie z naszymi oczekiwaniami.
 W zakładce Connection mode wybieramy jeden z dwóch wariantów:
- tryb bridge(TAP)
- -tryb routera(TUN)
- W tym przykładzie zostanie zaprezentowane połączenie w trybie TUN –
(multiclient).
 W zakładce VPN wybieramy GSM.
 Deklarujemy na którym porcie będzie obsługiwane połączenie. Standardowo, do tego typu
operacji z wykorzystaniem protokołów TCP bądź UDP wykorzystuje się port 1194, lecz
można wykorzystać inny, wolny port.
- Należy zapamiętać wybrany port !
 Wybieramy protokół: TCP bądź UDP, w tym przykładzie skonfigurowane połączenie po TCP.
- Należy zapamiętać wybrany protokół !
 Podajemy sieć i maskę VPNa, zalecane podane wartości:
- Network:10.1.0.0
- Netmask:255.255.255.0
Należy zapamiętać podane informacje, ponieważ są one niezbędne do dalszej konfiguracji !
1.
Strona 9 z 13
Artykuł
6. Przechodzimy do konfiguracji certyfikatów oraz kluczy:
W następujących polach uzupełniamy je zawartością podanych plików:




CA cert: certyfikat urzędu certyfikującego (UCcert.pem)
Server/client cert: certyfikat dla serwera (servercert.pem)
Server/client private key: klucz prywatny dla serwera (server.pem)
DH PEM: plik z parametrami Diffiego-Hellmana (dh1024.pem)
7. Jeżeli chcemy mieć możliwość korzystania z adresacji sieci LAN(192.168.1.0/24) po stronie
urządzenia AS30GSM200P Uzupełniamy pole:
Additional configuration: push "route 192.168.1.0 255.255.255.0"
Wklejamy całą zawartość pliku, łącznie z nagłówkami !
8. Jeżeli wszystko zostało wykonane poprawnie, zatwierdzamy wszystkie zmiany !
9. Po załadowaniu nowych informacji, należy sprawdzić czy zostały one poprawnie wgrane na
urządzenie. Jest to szczególnie ważne gdy łączymy się poprzez publiczne IP.
Strona 10 z 13
Artykuł
4. Konfiguracja OpenVPN – klient – OpenVPN-GUI
1. Po poprawnym skonfigurowaniu serwera, należy skonfigurować urządzenie, które będzie
klientem w sieci OpenVPN. Zakładamy, że najczęstszym wyborem w tym wypadku będzie
komputer, dlatego w tym celu należy pobrać aplikację – klienta OpenVPN GUI ze strony:
http://openvpn.se/download.html
Jest to zaimplementowany klient OpenVPN z interfejsem graficznym. Po pobraniu instalujemy
pobrane pliki.
2. W przypadku korzystania ze środowiska Windows, uruchamiamy program jako
administrator, nie zastosowanie się do tego może wpłynąć na poprawność działania !
3. Po uruchomieniu, w prawym dolnym rogu powinna pojawić się ikonka:
4. Aby nawiązać połączenie, należy podać parametry połączenia. Dzięki nim program jest w
stanie określić takie informacje jak: klient/serwer, TCP/UDP, który port jest używany,
adresy IP. Służą do tego pliki z rozszerzeniem .ovpn, które można znaleźć w folderze
/sample-config, który znajduje się w folderze OpenVPN.
Konfigurujemy zatem ten plik, zamieszczając w nim informacje, poniżej przedstawiona
najprostsza konfiguracja:
client #ustawiamy computer jako klienta
dev tun # connection mode ustawiamy jako tap
proto tcp # wybieramy protokol
remote 87.251.253.19 1194 # podajemy publiczny adres ip serwera oraz port
ca UCcert.pem #nazwa certyfikatu urzędu certyfikującego
cert clientcert.pem #nazwa certyfikatu klienta
key client.pem #nazwa klucza prywatnego klienta
comp-lzo #uzywanie kompresji lzo
verb 4 #poziom komunikatów podczas połączenia
Poprawna konfiguracja wygląda tak, jak na poniższym rysunku:
Strona 11 z 13
Artykuł
Zapisujemy ten plik np. jako client.ovpn.
5. Tak skonfigurowany plik przenosimy do folderu /config w miejscu, gdzie został
zainstalowany OpenVPN. Umieszczamy tam również wszystkie certyfikaty i klucze, które
zostały zawarte w .ovpn.
Przeniesienie tych plików do folderu /config jest warunkiem wykrycia przez program
konfiguracji, która umożliwia nam połączenie !
6. Po poprawnym przeniesieniu tych plików, przechodzimy do ikonki OpenVPN w prawym
dolnym rogu, klikamy na nią prawym przyciskiem, powinniśmy mieć możliwość połączenia
się po OpenVPN:
Strona 12 z 13
Artykuł
7. Klikamy połącz i czekamy na odpowiedź. Na ekranie interfejsu graficznego będą pojawiać
się komunikaty. Ich liczba i szczegółowość zależy od parametru verb, który jest
umieszczony w pliku client.ovpn. Poniżej obraz opisanej sytuacji:
8.
9. Jeżeli wszystko przebiegło pomyślnie, powinniśmy dostrzec taki komunikat:
Oznacza to, iż zostało nawiązanie połączenie, automatyczne zostało nam przydzielony
adres IP z puli dostępnych adresów.
Od tej pory jesteśmy połączeni pomiędzy komputerem a urządzeniem za pomocą
OpenVPN.
Strona 13 z 13

Artykuł - Platforma Internetowa ASTOR.

Transkrypt

Podobne dokumenty

Załącznik nr 1 OŚWIADCZENIE ZWYCIĘZCY NAGRODY Konkurs

Aktualizacja firmware w module IC200UEM001 do wersji 3.3

System sterowania, wizualizacji i transmisji danych w

Zaproszenie

Automatyczna linia z robotem przemysłowym do paletyzacji worków

Wprowadzenie do OpenSSL