VPN

VPN zajišťuje vytvoření zabezpečeného připojení od sítě matematické sekce z libovolného počítače připojeného do Internetu (pokud není služba blokována poskytovatelem připojení). Z připojeného počítače je pak možné využívat služby sítě, tedy zejména přístup na databáze matematických článků a připojení na licenční servery Eviews, Matlabu (platí pouze pro zaměstnance a doktorandy), Mathematicy a Tecplotu.

VPN je určena především pro zaměstnance a doktorandy matematické sekce a v odůvodněných případech pro studenty matematických oborů. Pokud patříte pod jinou sekci, je nutné z administrativních důvodů požádat správu sítě na dané sekci. Tedy pro fyzikální sekci použijte kontakty netadm(zavináč)karlov.mff.cuni.cz pro Karlov nebo netadm(zavináč)troja.mff.cuni.cz pro Troju a pro informatickou sekci použijte kontakt netadm(zavináč)mbox.ms.mff.cuni.cz.

Žádost o zřízení VPN prosím posílejte na adresu richter(zavináč)karlin.mff.cuni.cz nebo ulrych(zavináč)karlin.mff.cuni.cz. U doktorandů prosíme o uvedení katedry, u studentů doporučující osobu z matematické sekce (vedoucího bakalářské práce, diplomové práce nebo projektu či grantu).


 • Vstupním bodem do VPN v Karlíně je server
  privpn.karlin.mff.cuni.cz.

 • Po úspěšném připojení vašeho počítače do VPN v Karlíně
  se stane Váš počítač součástí karlínské sítě bez ohledu na to,
  kde se ve světě nachází a tudíž
  z něj pak můžete přistupovat ke všem zdrojům v Karlíně i mimo Karlín
  zcela identicky jako
  z jakéhokoliv počítače umístěného přímo v Karlíně. Celá komunikace z vašeho
  počítače je navíc chráněna proti neoprávněnému odposlechu.

 • Připojování do VPN v Karlíně je možné pouze po dohodě se správou sítě.

 • Virtuální privátní síť je vybudována na základě volně dostupného software
  OpenVPN

Pro připojení k VPN síti potřebujete


 • OpenVPN klienta pro Windows
  nebo Linux.

 • Balíček vpnNNN.tgz pro UNIX nebo vpnNNN.exe
  pro Windows s konfiguračními soubory a bezpečnostními klíči
  pro komunikaci (tyto soubory získáte od správy počítačové sítě v Karlíně) - kde
  NNN je nejake trojčíslí.

 • Nainstalovat software podle popisu níž v operačním
  systému Windows (XP nebo 2000)
  nebo Linux (...)

OpenVPN na Windows

Instalace

Postup instalace OpenVPN ve Windows.
Pokud budete instalovat OpenVPN na počítači, kde jsou 64 bitové Windows, je třeba OpenVPN nainstalovat
do adresáře "C:\Program Files" (i v případě, že systém nabízí něco jiného) jinak budete muset měnit dávkové soubory a nastavení.


 1. Spusťte poslední verzi programu openvpn z
  domovské stránky
  openvpn.net. Stažený
  program spusťte a klikejte na přednastavené volby:
  potvrzení začátku instalace,
  souhlas s licencí,
  s přednastavením instalovaných komponent,
  nastavení adresáře, kam se bude OpenVPN instalovat,
  souhlas s možnou nekompatibilitou s windows,
  dokončení instalace komponent,
  dokončení instalace.

 2. V dalším kroku je nutno nainstalovat konfigurační soubor
  a certifikáty, které jste získali od správy sítě v souboru
  vpnNNN.exe (kde NNN jsou nějaké číslice).
  Tento soubor nakopírujte do
  adresáře C:\Program Files\OpenVPN
  a v tomto adresáři spusťte - jako administrator (tj. klik pravým tlačítkem a zvolit "Spustit jako správce").
  Program vytvoří nový podadresář Keys s konfiguračními
  soubory. Všechny soubory z tototo adresáře nakopírujte do adresáře config


 3. Na ploše se vytvořil zástupce OpenVPN GUI tohoto zástupce je nutné spouštět jako administrátor. Toto
  spouštění je možné upravit u samotného zástupce takto: klikneme na zástupce pravým tlačítkem, zvolíme "Vlastnosti", pak klikneme na tlačítko upřesnit zde zvolíme
  "Spustit jako správce".


 4. Po spuštění Open VPN GUI se vpravo dole v SYSTRAY objeví šedivá ikonka připomínající monitor se zámečkem, na tuto ikonku klikneme
  pravým tlačítkem a zvolím "Connect", do otevřeného okénka vyplníme heslo a klikneme na tlačítko OK, šedivá ikonka se nejdřív zabarví žlutě (tj. indikace
  připojování) a pak zeleně (připojeno).


 5. Spojení se ukončí pomocí kliknutí pravým tlačítkem na ikonku OpenVPN a zvolením "Disconnect"


OpenVPN v Linuxu (Debian, Slackware)

Instalace
Zeleně jsou vyznačeny změny, které bylo nutné udělat při instalaci na platformě Slackware 8.0.

Program je možné přeložit ze zdrových souborů nebo stáhnout jako balíček (záleží na distribuci - pro Debian se balíček jmenuje openvpn). Pokud se rozhodnete pro variantu kompliace, přejděte na záložku kompilace.

Instalace klíčů
Soubor vpnNNN.tar, který jste získali od administrátora, rozbalte do adresáře /tmp. Obsah adresáře Keys nakopírujte do adresáře /root/.openvpn (jako běžný uživatel nemůžete dynamicky alokovat zařízení tap).

Modifikace klíčů pro Windows
Standardní dodávaná sada klíče a certifikátu je určena pro Windows, je tedy třeba přejmenovat soubor /root/.openvpn/client.ovpn na /root/.openvpn/client.conf a změnit některé položky v tomto souboru na:

dev tap
ca "/root/.openvpn/ca.crt"
cert "/root/.openvpn/client.crt"
key "/root/.openvpn/client.key"
#ns-cert-type server

Nastavení firewallu
Předpokládejme, že máte firewall nastaven tak, aby fungoval pro normální připojení. Aby spojení přes VPN fungovalo vždy, stačí kompletně na vstupu povolit zařízení tap0 příkazem:

iptables -I INPUT -i tap0 -j ACCEPT

Spuštění a ukončení OpenVPN

OpenVPN se spouští (pod uživatelem root)

 • Spustit program openvpn --config /root/.openvpn/client.conf
 • Po zadání tohoto hesla pokračuje vytváření VPN spojení. VPN spojení je úspěšně vytvořeno, pokud text v okně po chvilce skončí řádky oznamujícími úspěšně proběhnutou inicializaci.
 • Toto okno necháme po dobu používání VPN otevřené (můžeme ho stáhnout na lištu).
 • Od této chvíle komunikujete přes rozhranní tap0. Výchozí branou je karlínský VPN server. Spojení je šifrované.

  OpenVPN se ukončuje

  • Zavřít v okně openvpn pomocí sekvence Ctrl c. Tím se ukončí VPN spojení a nastaví se původní hodnoty připojení.

  Změna hesla (passphrase)


  1. Spusťte příkazový řádek (například terminál), zadejte su a heslo, které má root
  2. Nastavte správný aktuální adresář pomocí cd /root/.openvpn/

  3. Spusťte příkaz openssl rsa -in client.key -des3 -out newkey.key

  4. Na výzvu zadejte původní heslo. (Heslo se nezobrazuje).

  5. Na výzvu zadejte nové heslo. (Heslo se nezobrazuje).

  6. Na výzvu zadejte nové heslo znovu kvůli ověření. (Heslo se nezobrazuje).

  7. Přepište certifikát podepsaný starým heslem certifikátem podepsaným novým heslem.
   cp -f newkey.key client.key

  8. Ukončete příkazový řádek.

  Konfigurace VPN v (K)Ubuntu

  Instalace
  Hlavní nabídka panelu | system | adept manažer
  v seznamu balíků najit openvpn, změnit požadavek na nainstalovat
  a tlačítko Použít zmeny
  Otestování funkčnosti

  openvpn --genkey --secret key
  openvpn --test-crypto --secret key

  instalace klice vpnNNNN.tar

  sudo xterm
  cd /
  tar xf /usr/src/vpnNNNN.tar
  cd /root
  vi .openvpn/client.conf
  # zakomentovat ns-cert-type server

  # A jako uzivatel spustit
  sudo openvpn --config /root/.openvpn/client.conf
  # muze vyzadovat poprve heslo roota, podruhe heslo klice

  # zmena hesla klice stejna jako u Debianu

  Kompilace, nastavení jádra

  Aplikace závisí na knihovně LZO
  (dá se kompilovat i bez ní, ale proč se ochuzovat o kompresi) a také potřebujete hlavičkové soubory OpenSSL (jsou
  bežně součástí distribuce, pokud ne, je možné je stáhnou z http://www.openssl.org/source/).
  Download

  OpenVPN je ke stažení na adrese
  prdownloads.sourceforge.net/openvpn/
  , aktuální je verze
  2.0
  (nebo starší).

  Kompilace
  Zkompilujte a nainstalujte knihovnu LZO
  (./configure --prefix=/usr && make && make install),
  poté spusťte jako uživatel root ldconfig.
  Překlad OpenVPN je také velmi jednoduchý:

  tar -xzvf openvpn-2.0_beta10.tar.gz
  cd openvpn-2.0_beta10
  ./configure --prefix=/usr
  make
  make install

  Pokud se vám nepodařilo nainstalovat openvpn s knihovnou LZO, nic se neděje, klient by měl fungovat
  i bez ní.

  Před tím než nainstalujete do systému balíček vytvořený installem, otestujte funkčnost šifrování
  (pořád jsme v adresáři se zdrojovýmy kódy OpenVPN):
  ./openvpn --genkey --secret key
  ./openvpn --test-crypto --secret key
  Dál otestujeme navázání spojení pomocí TLS/SSL:
  V jednom terminálu spustíme:
  ./openvpn --config sample-config-files/loopback-client
  V druhém terminálu spustíme:

  ./openvpn --config sample-config-files/loopback-server

  tun/tap
  OpenVPN spoužívá pro komunikaci virtuální síťové zařízení tun nebo tap.
  Podpora pro tun/tap je v Linuxu součástí jádra. Pokud používáte jádro z distribuce, tak není
  co řešit, modul tun budete mít v jádře a nahraje se automaticky po spuštění openvpn.
  Pokud si překládáte jádro sami, nezapomeňte volbu (pro jádro řady 2.6):

  Device Drivers --->
  Networking support --->
  <M> Universal TUN/TAP device driver support

  Jazyk stránek