Ero sivun ”OpenVPN” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
Rivi 60: Rivi 60:
 
  telnet localhost 8888
 
  telnet localhost 8888
 
  password 'HENKILOKORTTI (perustunnusluku) token' 1234
 
  password 'HENKILOKORTTI (perustunnusluku) token' 1234
 +
 +
== Katso myös ==
 +
* [[Tekniikka/OpenVPN]]
  
 
== Aiheesta muualla ==
 
== Aiheesta muualla ==

Versio 22. helmikuuta 2018 kello 10.42

OpenVPN
Ovpntech logo-s.png
Kuvaus {{{kuvaus}}}
Käyttöliittymä CLI, GUI
Lisenssi
Kotisivu openvpn.net

OpenVPN on suosittu VPN-ohjelmisto (Virtual Private Network) joka toimii useassa eri käyttöjärjestelmässä (Windows, Mac OSX, Linux jakelut). VPN-yhteyden asiakaspään tunnistamisen voi tehdä henkilövarmennetta käyttäen. Tästä on merkittäviä etuja tunnelipalvelun tarjoajalle ja käyttäjälle.

Asetukset

Jos korttia ei ole aiemmin käytetty kyseisessä tietokoneessa, henkilökortin asetttaminen kortinlukijaan käynnistää sirukortin ATR-ajurin (smartcard driver) asentamisen. Nykyiset Windows-versiot etsivät ajuria verkosta ja lataavat ja asentavat sen automaattisesti, tämä edellyttää tietysti toimivan Internet-yhteyden.

Komentoja annettaessa istunnon tulee olla paikallinen, käytettävän tietokoneen omalta näppäimistöltä ja näytöltä - koska kortinlukijan käyttö ja kortin luku on estetty etänä (RDP, Remote Desktop Protocol ja vastaavat) turvallisuussyistä.

OpenVPN vaatii, että käytettävä kortin varmenne sidotaan luotavaan yhteyteen asiakaspään asetustiedostossa vaikka siihen ei olisi mitään tarvetta. Ikävä kyllä sidos vielä tehdään käyttäen varmenteen laitteistopolkua eikä esimerkiksi pelkkää varmenteen Common Name kentän arvoa ja saman henkilön kaksi eri korttia todennäköisesti sisältävät erimuotoiset polut ja asetustiedostoa pitää siten muokata kortin vaihtuessa. Oikea tapa olisi käyttää suoraan löydettyä varmennetta jos asetustiedostossa on viitattu sirukorttiin ja useamman tapauksessa kysyä käyttöliittymässä mitä käytetään, kuten esimerkiksi Windows käyttöjärjestelmä tekee.

Common Name (CN)

Windowsissa:

Openvpn.win7.show.pkcs11.ids.png


Linuxissa:

# /usr/sbin/openvpn --show-pkcs11-ids /usr/lib64/pkcs11/onepin-opensc-pkcs11.so

The following objects are available for use.
Each object shown below may be used as parameter to
--pkcs11-id option please remember to use single quote mark.

Certificate
       DN:             C=FI, serialNumber=10000350X, GN=JUHA, SN=TUOMALA, CN=TUOMALA JUHA 10000350X
       Serial:         3BC409C1
       Serialized id:  VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45

Esimerkit on tehty saman henkilön eri korteilla. Huomaa, että kortin vaihtuessa serialized-id on vaihtunut

Asetustiedosto .ovpn

Asetustiedoston saat palvelun tarjoajalta jossa on palvelun tiedot valmiina. Tiedosto laitetaan OpenVPN ohjelmiston saataville oletushakemistoon:

Windowsissa:

C:\Program Files\OpenVPN\config

OpenVPN ikoni työpöydän panelissa muuttaa valikkoaan kun ensimmäisen palvelun asetustiedosto löytyy kyseisestä hakemistosta. Valikko aukeaa klikkaamalla ikonia hiiren oikealla painikkeella. Uusia valintoja ovat mm Connect ja Edit Settings.

Linuxissa:

/etc/openvpn/client/

Käyttö

PIN1-tunnusluvun syöttö

Tunnusluvun voi syöttää joko graafisella käyttöliittymällä tai telnet-ohjelmalla.

telnet localhost 8888
password 'HENKILOKORTTI (perustunnusluku) token' 1234

Katso myös

Aiheesta muualla