|
|
| Rivi 8: |
Rivi 8: |
| | | kotisivu=[http://tunnelblick.net/ tunnelblick.net] | | | kotisivu=[http://tunnelblick.net/ tunnelblick.net] |
| | }} | | }} |
| − | '''macOS''' on [[Apple]]n tietokoneissa (kannettavissa ja pöytäkoneissa) käytettävä käyttöjärjestelmä. Sillä on mahdollista käyttää OpenVPN-tunneliyhteyttä sitä varten tehdyllä graafisella '''Tunnelblick''' ([http://tunnelblick.net/ tunnelblick.net]) työpöytäohjelmalla jolla voi avata käytetyn VPN-palvelun tunnelin. Koska Tunnelblick on vain graafinen käyttöliittymä, se yhä käyttää alkuperäistä OpenVPN-ohjelmistoa taustalla. Asetustiedostot ovat samoja, *.ovpn astustiedosto (tai sama tiedosto .tblk tarkenteella) ja tunnistusvaremnteet .cer, .crt, .der, .key, .p12, .p7b, .p7c, .pem, or .pfx muotoisina. | + | '''macOS''' on [[Apple]]n tietokoneissa (kannettavissa ja pöytäkoneissa) käytettävä käyttöjärjestelmä. Sillä on mahdollista käyttää OpenVPN-tunneliyhteyttä kahdella eri vaihtoehdolla: |
| | + | * [[OpenVPN/macOS/Tunnelblick|Tunnelblick]] |
| | + | * [[OpenVPN/macOS/Connect|OpenVPN Connect]] |
| | | | |
| − | Henkilökortin käyttö tunnistautumisessa ei käytä macOS:n '''Keychain Access''' varmennevarastoa, sitä on yritetty lisätä siihen vuosina ? - ?, mutta se poistettiin versiossa ? kokonaan. OpenVPN älykorttien ([[PKCS#11]]) tuki on olemassa ja se oikein asettelemalla henkilökortin käyttö on mahdollista.
| |
| − |
| |
| − | == Asennus ==
| |
| − | Tunnelblick ei ole saatavilla Applen Store sovelluskaupasta vaan se pitää asentaa sen kotisivulta suoraan:
| |
| − |
| |
| − | * [https://tunnelblick.net/downloads.html tunnelblick.net/downloads.html]
| |
| − |
| |
| − | Jos macOS-versio on Catalina tai uudempi joka ilmeisesti rajoittaa asennukset Applen Storeen, se voi olla ongelma.
| |
| − |
| |
| − | Tunnelblick asennuspaketti on täydellinen toimiva kokonaisuus koska se asentaa vaadittavat OpenVPN-, OpenSC- ja OpenSSL-kirjastot mukanaan.
| |
| − |
| |
| − | == Asetukset ==
| |
| − |
| |
| − | Jos VPN-palvelun tarjoaja lähettää tunnistautumis- ja yhteysasetukset tiedostoina, ne voi helpoiten ottaa käyttöön pudottamalla tiedoston tilarivin Tunnelblick-ikonin päälle, jolloin ne menevät automaattisesti oikeaan paikkaan.
| |
| − |
| |
| − | OpenVPN ei osaa käyttää henkilökorttia oikein ja vaatii käytettävään varmenteeseen varmennekohtaisen kovakoodatun viittauksen (serialized-id):
| |
| − | % /usr/local/sbin/openvpn --show-pkcs11-ids /usr/local/lib/onepin-opensc-pkcs11.so
| |
| − | Certificate
| |
| − | DN: C=FI, serialNumber=10000350X, GN=JUHA, SN=TUOMALA, CN=TUOMALA JUHA 10000350X
| |
| − | Serial: 3BC409C1
| |
| − | Serialized id: VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45
| |
| − |
| |
| − | Serialalized-id muuttuu jos kortti vaihtuu (kerran viidessa vuodessa) ja se tekee myös asetustiedostosta käyttäjäkohtaisen.
| |
| − |
| |
| − | Asetustiedoston vaadittavat käyttäjäkohtaiset rivit:
| |
| − | pkcs11-providers /usr/local/lib/onepin-opensc-pkcs11.so
| |
| − | pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45'
| |
| − |
| |
| − | == Ongelmaratkaisu ==
| |
| − |
| |
| − | * '''OpenVPN Connect log''' tiedosto on käyttäjän kotihakemistossa ''~/Library/Application Support/OpenVPN/ovpntray.log''
| |
| − |
| |
| − | * '''Tunnelblick log''' tiedostot:
| |
| − | ** ''/var/log/Tunnelblick/tunnelblickd.log''
| |
| − | ** ''/Library/Application\ Support/Tunnelblick/Logs/''
| |
| − |
| |
| − | * Versiossa 3.8.2 on [https://github.com/Tunnelblick/Tunnelblick/issues/600 bugi #600] joka antaa virheilmoituksen ''CKR_FUNCTION_FAILED'' --show-pkcs11-ids listaus ajettaessa eikä PKCS#11 tuki toimi. Tunnelblickin mukana tulee useita openvpn-versioita valmiiksi (hakemistossa ''/Applications/Tunnelblick.app/Contents/Resources/openvpn'' eikä niissä kaikissa ole edes PKCS#11 tuki käännettynä mukaan) ja se [https://tunnelblick.net/cUsingCustomOpenVPNBinaries.html pystyy käyttämään myös erikseen asennettua] OpenVPN-pakettia.
| |
| | | | |
| | == Katso myös == | | == Katso myös == |
