Finns det ett annat (enkelt) sätt att ansluta via OpenVPN-klienten från Linux/UNIX till min Nidavellir-brandvägg än den som beskrivs i manualen?


Ja, det finns flera metoder.

Om du följer de enkla stegen i manualen för din brandvägg/VPN-server till det steg där du hämtar konfigurationsfilen i ovpn-format (filen heter någonting i stil med dinbrandvägg.ovpn och innehåller förberedd konfiguration för just din klient) så kan du avbryta och iställefölja dessa steg på de allra flesta Linux- och UNIX-baserade plattformar:

 

1. Säkerställ att du har installerat OpenVPN-klienten för just ditt operativsystem (tex yum install openvpn eller apt-get install openvpn eller pkg_add -r openvpn etc, följ instruktionerna för just ditt operativsystem och säkerställ att du hämtar den senaste versionen som är tillgänglig av OpenVPN-klienten).

 

Du kan eventuellt behöva uppdatera brandväggsinställningar beroende på hur just ditt nätverk ser ut men troligtvis släpps utgående trafik igenom (det är vanligt i alla fall) så du bör kunna hoppa över detta nu och enbart återkomma till det om du skulle få problem som time-out och att ingen kontakt kan upprättas alls.

 

2. Leta reda på var du sparade konfigurationsfilen när du exporterade den i ovpn-forat från din brandvägg (exempelvis: /home/användarnamn/Downloads/brandväggsnamn.ovpn eller /usr/home/andänvarnamn/Downloads/brandväggsnamn.ovpn etc). I värsta fall kanske du måste söka (locate brandväggsnamn.ovpn eller find / -name *.ovpn etc). Tänk på att alla filer som hör ihop med din brandväggskonfiguration måste skyddas från insyn av obehöriga, de ska aldrig ligga i publika mappar eller liknande).

 

3. Leta reda på sökvägen till din openvpn-klient, tex: which openvpn och starta programmet. Du behöver med största sannolikhet root-behörighet så detta bör göras med sudo. Kör du ett script för att ansluta måste även detta kunna köras som root för att öppna anslutningen:

 

sudo /usr/sbin/openvpn -o sökvägen-till/din-fil-med-inställningar/brandväggsnamn.ovpn

 

Det smarta med att starta openvpn med flaggan -o och din ovpn-fil är att du nu har allt på ett och samma ställe. Dessutom kommer i de flesta miljöer såväl användarnamn och lösenord maskeras så endast du som känner till både användarnamnet och lösenordet för just din VPN-anslutning kan logga in och se vad som sker.

 

Det tar normalt någon sekund för alla kontroller som körs vid inloggning och du bör nu få ett meddelande i stil med detta:

 

WARNING: file brandväggsnamn-protokoll-port-användarnamn.p12 is group or others accesible.

 

Du ser troligtvis även en liknande varning för filen med ändelsen .key

 

(brandväggsnamn-protokoll-port innebär alltså att det kan stå tex firewall-udp-1194-user1.p12 eller liknande beroende på om du valt TCP eller UDP och vilken port du valt, vilket som är just ditt användarnamn och ditt brandväggsnamn)

 

Denna varning är vanlig i tex Linux-baserade operativsystem och talar om att dina filer är läsbara av obehöriga. Du bör ändra detta och placera dem i en katalog som bara är läsbar av dig (tex root). Chmod 700 är en lämplig ändring av överväga eftersom ingen annan behöver kunna läsa, skriva eller exekvera men du måste läsa och exekvera. Är du extra försiktig så skippar du såklart skrivrättigheter, du behöver aldrig kunna skriva till dessa filer (chmod -w).

 

Lyckas du att upprätta anslutningen så ser du efter de två varningsmeddelandena även denna rad:

 

Control Channel Authentication using (sökväg till din fil med inställningar)

 

UDPv4 link local [din lokala anslutning] (tex undef om den ej är definierad)

UDPv4 link remote AF_INET (samt namn eller IP-adress till din VPN-server)

 

Använder du TCP istället för UDP så står det naturligtvis TCPv4 istället för UDPv4. Likaså om du använder IPv6 så anges detta istället för IPv4.

 

Detta betyder att anslutning kunde upprättas och om du kontrollerar vilka anslutningar du har

 

(ifconfig eller ifconfig -a)

 

..så kan du se den nya lokala IP-adressen på insidan av din VPN-server utöver dina andra anslutningar.

Testa att besök https://www.compartment.se/whoami för att verifiera att du utåt sett ser ut att komma via VPN-tunneln och inte läcker information när du surfar. Skulle fel adress visas är det något som är helt galet med dina VPN-inställningar, riv och börja om från början.

 

 

Skulle du istället inte kunna upprätta anslutningen, tex kanske du inte loggas in pga fel användarnamn eller lösenord? Här kan felsökning vara lite trixig. Börja med att kontrollera just inloggningsuppgifterna. Jämför med sidan i brandväggsinställningarna (på brandväggen) där du skapat kontot. Verifiera lösenord, användarnamn, namn till din brandvägg (eller IP-adress) - kanske kan du inte nå VPN-servern på brandväggen från din klient och måste uppdatera host-filer eller DNS osv? Stämmer allt så fortsätt att gå igenom alla inställningar för port, protokoll samt brandväggsregler på VPN-servern (inkommande trafik på den port vpn-servern använder måste tillåtas från din klient, förslagsvis dock ej från alla andra i hela världen!) och ditt lokala nätverk måste tillåta utgående och återkommande trafik till/från VPN-servern. Kanske görs för många olika steg med NAT, något som kan tappa bort information i IP-paket om tex rätt lokal IP-adress och port).

 

Skulle ingenting annat fungera - utnyttja ert supportavtal hos oss på compartment, vi är experter på den här typen av felsökning och hjälper er gärna att åtgärda eventuella felaktiga inställnigar.

 

 

Att tänka på när du anslutit är:

 

 - Vilka namnservrar använder du? Använder du verkligen våra DNS-resolvrar - i annat fall läcker du information om vilka DNS-uppslag som du gör när du använder din VPN-anslutning.

 

 - Har du gjort testet på https://www.compartment.se/whoami? Säkerställ att du verkligen kommer från din VPN-server när du surfar. Samma test kan du göra för andra protokoll vid behov. Exempelvis traceroute bör ge dig en fingervisning om ifall din trafik går via tunneln eller inte. Justera eventuellt routing-inställningar i din klient vid behov (brukar normalt aldrig behövas)

 

 - Hur stark kryptering använder du?

En fördel med just Nidavellir-brandväggarna är att det är du som bestämmer, du har möjlighet att använda upp till hela 4096-bitars kryptering. Många dåliga VPN-lösningar använder 256 eller till och med så lite som 64-bitars kryptering. Detta är helt förkastligt och inte alls säkert nog. Vi tycker att så länge du inte måste spara batteritid i smarta enheter eller tampas med en klen CPU i en liten netbook eller liknande så skadar det inte att genomgående använda 4096-bitars kryptering på allt. Alltid. Gör du det har du ett bra utgångsläge och grundsäkerhet.

 

Vill du helt slippa konfigurera era VPN-klienter? Läs gärna mer om vår VPN-tjänst.

 

Taggar: bash, linux, openvpn, script vpn, shellscript, sysadm, system administration, tips, unix, vpn, vpn client, vpn-client, vpn-klient, vpnklient
Senast uppdaterad:
2016-09-05 11:01
Av: :
compartment AB
Ny version:
1.0
Resultat av röstning:0 (0 röster)

Du kan inte kommentera den här frågan

Chuck Norris has counted to infinity. Twice.

bannerbyte.eu