Opsætning af VPN forbindelse til DRC En VPN forbindelse gør det muligt for en hjemmecomputer, eller en bærbar computer, at få adgang til DRCs interne lokalnet fra en vilkårlig internetforbindelse. Forudsætninger VPN forbindelse kan oprettes fra en PC med Windows 2000/XP (ikke 9x/Me) eller Linux. Der kræves administratorrettigheder for at installere og benytte forbindelsen. Forbindelsen kan oprettes fra alle eksterne adresser, der kræves ikke et fast IP nummer. Lokale firewalls kan dog forhindre brug af forbindelsen, hvis de ikke tillader udgående forbindelser til port 1194/UDP. Sikkerhed VPN forbindelsen er en tunnel gennem DRCs firewall, og giver den tilsluttede PC alle de rettigheder, som den ville have, hvis den var direkte tilsluttet DRCs netværk. Samtidig er den også tilsluttet Internettet uden om DRCs firewall, og er derfor ikke beskyttet af denne. Det er derfor vigtigt, at PCen beskyttes mod virus, hackere mm. ved at: Installere et antivirus program. Benytte en firewall (personlig og/eller i en evt. router). Holde operativsystem, antivirusprogram mm. opdaterede. I øvrigt bruge sin sunde fornuft. Hvis en computer, med VPN installeret, bliver stjålet, eller på anden måde forsvinder, skal IT afdelingen straks underrettes, så det tilhørende certifikat kan blive spærret! Opsætning Windows Bemærk, at fil- og foldernavne samt udseendet af ikoner mm. kan variere fra det viste, afhængig af den aktuelle Windowsversion og sprog. 1. Installationsprogrammet downloades fra ftp://ftp.spacecenter.dk/pub/openvpn/openvpn-gui-spacectr.exe. 2. Programmet installeres på sædvanlig vis: Der dobbeltklikkes på filen openvpn-gui-spacectr.exe, licensen accepteres, installationsstien ændres evt. (afhængig af den aktuelle Windowsinstallation), og de øvrige valgmuligheder ændres ikke, men beholdes som de er. Der kan, under installationen, fremkomme en advarsel om, at der forsøges at installere en driver, som ikke er godkendt af Microsoft, man skal i så fald vælge at installere driveren på trods af dette, forbindelsen vil ikke virke uden.
3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:
4. Formularen udfyldes: Alle felter skal udfyldes, men de fleste er udfyldt på forhånd: Feltet "Common Name" udfyldes med maskinnavn el.lign. (det skal være unikt og nogenlunde beskrivende), fx. kan "brugernavn-home" bruges for stationære hjemme PCer, og "brugernavnnotebook" for bærbare. Navnet behøver ikke være kendt i DRC netværket i forvejen, eller være identisk med maskinens DNS navn, men det skal være unikt, da DRC firewallen ikke tillader flere samtidige VPN forbindelser med samme navn. "E-mail Address" udfylden med brugerens mailadresse. "Pass phrase" udfyldes med et password, som skal indtastes, hver gang man logger ind på VPN forbindelsen. (Det har ingen forbindelse med passwords på DRCs mail- eller filservere, og kan vælges uafhængigt af disse.) Hvis man ikke installerede programmet i "C:\Program Files\OpenVPN", rettes "Output Folder" tilsvarende. Til slut klikkes på "Create Request" knappen. 5. Der bliver nu genereret to filer i den valgte mappe, de vil kunne ses, ved at åbne menuen Start -> Programs -> OpenVPN -> OpenVPN configuration file directory. Filerne vil have samme (eller næsten samme) navn, som indtastet i "Common Name", og endelserne hhv. ".key" og ".csr". Afhængig af Windowsindstillingene kan endelserne være skjulte, men filerne kan identificeres på ikonerne: 6. Filen, med endelsen ".csr", mailes til gvilla@spacecenter.dk. Send ikke ".key" filen til nogen! Den er
"adgangskortet" til DRCs netværk, og skal opbevares sikkert. 7. Når der modtages svar på mailen, gemmes den vedhæftede fil i ovenstående mappe. Hvis den ikke allerede har navnet "client.crt" omdøbes den til dette. 8. Filen med endelsen ".key" omdøbes til "client.key". Mappen skal nu indeholde filerne "ca.crt", "README.txt", "spacecenter.ovpn" (installeret sammen med programmet), "client.crt", "client.key" og en fil med endelsen ".csr". (Se ovenstående bemærkning vedr. filendelser.) 9. Forbindelsen er nu klar til brug. Bemærk dog, at den ikke virker fra adresser på DRCs interne net, hvor den da også er overflødig, men man kan altså ikke afprøve den herfra. 10.Forbindelsen aktiveres ved at dobbeltklikke på OpenVPN-GUI ikonet i "systembakken" i nederste højre hjørne af skærmen og indtaste password, når der spørges efter det: 11.Maskinen vil nu være en del af DRCs interne netværk. 12.Forbindelsen lukkes ned igen, ved at højreklikke på OpenVPN-GUI ikonet, og vælge "Disconnect" i menuen. Hvis en hjemmecomputer skal kunne logge ind på uhurus (Samba) netværksdrev, skal en værdi i registreringsdatabasen ændres. Dette gøres ved at downloade filen ftp://ftp.spacecenter.dk/pub/openvpn/win2000_plainpassword.reg (på trods af navnet virker den også i Windows XP), dobbeltklikke på den og genstarte maskinen. (Bærbare computere, der er konfigurerede af DRCs IT afdeling, har fået dette udført ved installationen.) Den indbyggede firewall i Windows XP/SP2, og muligvis andre personlige firewalls, kan muligvis give problemer. I så fald kan den slås fra for OpenVPN netinterfacet (normalt "Local Area Connection 2" el. lign., kan kendes på, at "netkortet" hedder "TAP-Win32 Adapter V8") eller for IP numrene 192.38.111.66 (DRCs firewall/openvpn serveren), 130.226.216.0-130.226.216.255 (130.226.216.0/24) og 172.25.0.0-172.25.127.255 (172.25.0.0/17). Slå ikke firewallen fra for "resten af verden"! Linux 1. OpenVPN installeres, hvorledes afhænger af dstributionen: I Fedora Core 4 bruges kommandoen "yum install openvpn". RPM installationspakker til andre Redhat versioner kan downloades fra http://dag.wieers.com/packages/openvpn/, man skal også installere LZO fra http://dag.wieers.com/packages/lzo/. Source kan downloades fra http://openvpn.net/download.html, LZO source fra http://www.oberhumer.com/opensource/lzo/download/. 2. Hvis man har installeret Windows på samme maskine, er det nemmest at følge ovenstående vejledning i Windows, og efterfølgende kopiere filerne "ca.crt", "client.crt", "client.key" og "spacecenter.ovpn". Alternativt kan de ovenstående filer genereres på en anden (Windows) maskine, men i Linux maskinens navn, og efterfølgende flyttes. Hvis denne metode bruges, skal man være omhyggelig med efterfølgende at slette især "client.key" fra Windowsmaskinen, da denne fil er "adgangskortet" til DRCs netværk! (Og pas på, ikke at overskrive evt. eksisterende certifikat- og nøglefiler på Windowsmaskinen.) Hvis man ikke har adgang til en Windowsmaskine, kan man installere OpenSSL og generere nøgler og "certificate
signing request" vha. openssl kommandoen (det er muligt, men ret "langhåret"). Filerne "ca.crt" og "spacecenter.ovpn" kan også downloades fra ftp://ftp.spacecenter.dk/pub/openvpn/. 3. Det anbefales at redigere "spacecenter.ovpn", og fjerne semikolonet i starten af linierne ";user nobody" og ";group nobody". Det kan måske være nødvendigt at konvertere filen til UNIX tekstformat vha. "dos2unix", dette må ikke gøres med nøgle- og certifikatfiler. 4. Forbindelsen kan nu aktiveres (som "root") med kommandoen "openvpn --daemon --config spacecenter.ovpn". 5. Forbindelsen kan afbrydes ved at dræbe "openvpn" processen.