OpenVPN/macOS/Connect

Kohteesta DigiWiki
< OpenVPN‎ | macOS
Versio hetkellä 2. maaliskuuta 2021 kello 10.38 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Siirry navigaatioon Siirry hakuun
OpenVPN Connect
[[]]
Kuvaus VPN yhteysohjelma
Käyttöliittymä GUI
Lisenssi
Kotisivu

OpenVPN Connect ohjelmalla voi muodostaa etäyhteyden OpenVPN-palveluun. Koska OpenVPN Connect on vain graafinen käyttöliittymä, se yhä käyttää alkuperäistä OpenVPN-ohjelmistoa taustalla. Asetustiedostot ovat samoja, *.ovpn astustiedosto (tai sama tiedosto .tblk tarkenteella) ja tunnistusvaremnteet .cer, .crt, .der, .key, .p12, .p7b, .p7c, .pem, or .pfx muotoisina.

Henkilökortin käyttö tunnistautumisessa ei käytä macOS:n Keychain Access varmennevarastoa, sitä on yritetty lisätä siihen vuosina ? - ?, mutta se poistettiin versiossa ? kokonaan. OpenVPN älykorttien (PKCS#11) tuki on olemassa ja se oikein asettelemalla henkilökortin käyttö on mahdollista.

Asennus

OpenVPN Connect ei ole saatavilla Applen Store sovelluskaupasta vaan se brew pakentinhallintaohjelmalla: 

brew cask install openvpn-connect
brew install openvpn


Asetukset

Jos VPN-palvelun tarjoaja lähettää tunnistautumis- ja yhteysasetukset tiedostoina, se otetaan käyttöön valitsemalla import toiminto ohjelman työpöytä-ikonista ja valitsemalla asetustiedosto.

OpenVPN Connect ei osaa käyttää henkilökorttia oikein ja vaatii käytettävään varmenteeseen varmennekohtaisen kovakoodatun viittauksen (serialized-id): 

% /usr/local/sbin/openvpn --show-pkcs11-ids /usr/local/lib/onepin-opensc-pkcs11.so
Certificate
      DN:             C=FI, serialNumber=10000350X, GN=JUHA, SN=TUOMALA, CN=TUOMALA JUHA 10000350X
      Serial:         3BC409C1
      Serialized id:  VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45

Serialalized-id muuttuu jos kortti vaihtuu (kerran viidessa vuodessa) ja se tekee myös asetustiedostosta käyttäjäkohtaisen.

Asetustiedoston vaadittavat käyttäjäkohtaiset rivit: 

pkcs11-providers /usr/local/lib/onepin-opensc-pkcs11.so
pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015135155169/HENKILOKORTTI\x20\x28perustunnusluku\x29/45'

Toinen, parempi vaihtoehto pkcs11-id tilalle olisi käyttää pkcs11-id-management asetusta joka kysyisi käytettävän varmenteen käyttöliittymässä.


Ongelmaratkaisu

  • OpenVPN Connect log tiedosto on käyttäjän kotihakemistossa ~/Library/Application Support/OpenVPN/ovpntray.log


Katso myös

Aiheesta muualla

Noudettu kohteesta ”http://digisaatio.fi/mediawiki/index.php?title=OpenVPN/macOS/Connect&oldid=7011