HY-VPN - Toiminnan tarkistus ja virhetilanteet (Linux)

HY-VPN -palvelu tarjoaa yliopiston käyttäjille pääsyn niihin palveluihin jotka ovat avoinna yliopiston eteisverkkoon. Kaikki yliopistolla saatavissa olevat palvelut eivät ole tällaisia. Esimerkiksi joidenkin ohjelmistojen lisenssipalvelimet eivät näy eteisverkkoon eikä niiden  tarjoamia lisenssipalveluja voi käyttää. Joidenkin ohjelmistojen kohdalla tämä johtuu lisenssien vähyydestä eli on haluttu varmistaa, että yliopiston sisäisille käyttäjille riittää lisenssejä.

Eri yksiköiden hankkimat palvelut, esim. artikkeli- ja muut tietokantapalvelut eivät välttämättä ole avoimia eteisverkkoon. Mikäli kaipaat näitä palveluja, ota yhteys ko. palvelua ylläpitävään yksikköön ja tiedustele heiltä mahdollisuuksia ko. palvelun avaamiseen eteisverkkoon HY-VPN -palvelun ulottuviin.

HY-VPN -palvelu toteutetaan openvpn-ohjelmistolla. Se on saatavissa kaikkiin Linux-jakeluihin joko jakelun omasta pakettivarastosta tai hakemalla ohjelmistopaketti kehittäjien sivuilta ja kääntämällä se itse.

Jakelun kotisivut https://openvpn.net

Mene selaimellasi palveluun joka näyttää kävijän tietoja, esim. https://ipchicken.com/. Katso, mistä IP-osoitteesta palvelu kertoo sinun olevan yhteydessä.

Mikäli IP alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.

Katso tarkka ohje -välilehdeltä kuvallisia ohjeita

Toiminnan tarkastus

Työasemastasi

Tarkasta, että HY-VPN:n käyttämä tap-virtuaalinen verkkosovitin on olemassa.
Komennolla ifconfig saat tulostettua näytölle kaikki koneessasi olevat verkkosovittimet.
HY-VPN-palvelun toimiessa listassa pitäisi olla tap0-virtuaaliadapteri ja sillä IP-osoite ylipiston verkossa. IP-osoitteen näet tap0-sovittimen listauksesta riviltä joka alkaa inet addr:

kayttaja@testikone:/etc/openvpn#  ifconfig
tap0      Link encap:Ethernet  HWaddr ea:9f:4f:02:c9:d5 
          inet addr:128.214.182.163  Bcast:128.214.182.255  Mask:255.255.255.128
          inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1819 (1.8 KB)  TX bytes:3815 (3.8 KB)

Edellä mainitun alun jälkeen pitäisi olla numerosarja, joka alkaa 128.214. Mikäli tätä ei ole tai tap0 -sovitinta ei löydy listauksesta, ei palvelu toimi.

Lisäksi route-asetusten pitäisi olla kunnossa eli komennolle route pitäisi saada seuraavanlainen tuloste ruudulle:

kayttaja@testikone:/etc/openvpn#   route
Kernel IP routing table
Destination           Gateway            Genmask            Flags Metric     Ref    Use Iface
openvpn1.fe.hel       router-151.hels    255.255.255.255    UGH   0          0        0 eth0
128.214.182.128       *                  255.255.255.128    U     0          0        0 tap0
128.214.0.0           *                  255.255.0.0        U     1          0        0 eth0
link-local            *                  255.255.0.0        U     1000       0        0 eth0
default               hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
128.0.0.0             hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
default               router-151.hels    0.0.0.0
UG                    0               0        0 eth0

Tulosteesta pitäisi löytyä openvpn:n tarvitsemat reitit. Ne ovat ylläolevassa kuvassa korostettuja. Mikäli niitä ei löydy, tarkasta, että konfiguraatiotiedostossa /etc/openvpn/openvpn.conf on määrittely ”redirect-gateway def1”. Jos tätä ei ole, lisää se.

Selaimella

Mene selaimellasi palveluun joka näyttää kävijän tietoja. Eräs tällainen on https://www.ipchicken.com. Katso, minkälaisesta ip-osoitteesta palvelu kertoo sinun olevan yhteydessä.

IP-osoitteen tarkistus ipchicken-sivulta

Mikäli ip alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.

Palomuuri

Ilman palomuurisääntöjen lisäämistä palomuuri saattaa estää openvpn:n liikennöinnin ja toiminnan.  Palomuurista olisi sallittava openvpn:n liikenne ja edelleenlähetys.

Mikäli olet epävarma palomuurisäännöistä, voi testata openvpn:n toiminnan kytkemällä palomuurin pois päältä. Tämän jälkeen käynnistä openvpn ja totea sen toiminta. Mikäli kaikki toimii oikein, kytke palomuuri päälle sammuttamatta openvpn:ää. Jos openvpn:n toiminnan sallivat palomuurisäännöt ovat kunnossa, pitäisi kaiken jatkua normaalisti.

Seuraavat iptables-palomuurissa mahdollistavat openvpn:n toiminnan:

  • iptables -A INPUT -p udp --dport 1194 -j ACCEPT
  • iptables -A INPUT -i tap+ -j ACCEPT
  • iptables -A FORWARD -i tap+ -j ACCEPT

Käytön ja ongelmatilanteiden tukipalvelut

Mikäli ongelma ei ratkea yllä olevilla ohjeilla, ota yhteyttä Helpdeskiin. Kuvaile ongelma mahdollisimman tarkasti ja liitä mukaan openvpn:n lokitiedosto sekä ifconfig- ja route -komentojen tulosteet. Ilman näitä tietoja on vaikeaa paikantaa vikaa ja antaa korjausehdotuksia.

Anna palautetta

Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

Kuinka parantaisit ohjeistusta?
Takaisin ylös