HY-VPN - Toiminnan tarkistus ja virhetilanteet (Linux)

HY-VPN -palvelu tarjoaa yliopiston käyttäjille pääsyn niihin palveluihin jotka ovat avoinna yliopiston eteisverkkoon. Kaikki yliopistolla saatavissa olevat palvelut eivät ole tällaisia. Esimerkiksi joidenkin ohjelmistojen lisenssipalvelimet eivät näy eteisverkkoon eikä niiden  tarjoamia lisenssipalveluja voi käyttää. Joidenkin ohjelmistojen kohdalla tämä johtuu lisenssien vähyydestä eli on haluttu varmistaa, että yliopiston sisäisille käyttäjille riittää lisenssejä.

Eri yksiköiden hankkimat palvelut, esim. artikkeli- ja muut tietokantapalvelut eivät välttämättä ole avoimia eteisverkkoon. Mikäli kaipaat näitä palveluja, ota yhteys ko. palvelua ylläpitävään yksikköön ja tiedustele heiltä mahdollisuuksia ko. palvelun avaamiseen eteisverkkoon HY-VPN -palvelun ulottuviin.

HY-VPN -palvelu toteutetaan openvpn-ohjelmistolla. Se on saatavissa kaikkiin Linux-jakeluihin joko jakelun omasta pakettivarastosta tai hakemalla ohjelmistopaketti kehittäjien sivuilta ja kääntämällä se itse.

Jakelun kotisivut https://openvpn.net

    Mene selaimellasi palveluun joka näyttää kävijän tietoja, esim. https://ipchicken.com/. Katso, mistä IP-osoitteesta palvelu kertoo sinun olevan yhteydessä.

    Mikäli IP alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.

    Katso tarkka ohje -välilehdeltä kuvallisia ohjeita.

    Toiminnan tarkastus

    Työasemastasi

    Tarkasta, että HY-VPN:n käyttämä tap-virtuaalinen verkkosovitin on olemassa.
    Komennolla ifconfig saat tulostettua näytölle kaikki koneessasi olevat verkkosovittimet.
    HY-VPN-palvelun toimiessa listassa pitäisi olla tap0-virtuaaliadapteri ja sillä IP-osoite ylipiston verkossa. IP-osoitteen näet tap0-sovittimen listauksesta riviltä joka alkaa inet addr:

    kayttaja@testikone:/etc/openvpn#  ifconfig
    tap0      Link encap:Ethernet  HWaddr ea:9f:4f:02:c9:d5 
              inet addr:128.214.182.163  Bcast:128.214.182.255  Mask:255.255.255.128
              inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:13 errors:0 dropped:0 overruns:0 frame:0
              TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:1819 (1.8 KB)  TX bytes:3815 (3.8 KB)
    

    Edellä mainitun alun jälkeen pitäisi olla numerosarja, joka alkaa 128.214. Mikäli tätä ei ole tai tap0 -sovitinta ei löydy listauksesta, ei palvelu toimi.

    Lisäksi route-asetusten pitäisi olla kunnossa eli komennolle route pitäisi saada seuraavanlainen tuloste ruudulle:

    kayttaja@testikone:/etc/openvpn#   route
    Kernel IP routing table
    Destination           Gateway            Genmask            Flags Metric     Ref    Use Iface
    openvpn1.fe.hel       router-151.hels    255.255.255.255    UGH   0          0        0 eth0
    128.214.182.128       *                  255.255.255.128    U     0          0        0 tap0
    128.214.0.0           *                  255.255.0.0        U     1          0        0 eth0
    link-local            *                  255.255.0.0        U     1000       0        0 eth0
    default               hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
    128.0.0.0             hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
    default               router-151.hels    0.0.0.0
    UG                    0               0        0 eth0

    Tulosteesta pitäisi löytyä openvpn:n tarvitsemat reitit. Ne ovat ylläolevassa kuvassa korostettuja. Mikäli niitä ei löydy, tarkasta, että konfiguraatiotiedostossa /etc/openvpn/openvpn.conf on määrittely ”redirect-gateway def1”. Jos tätä ei ole, lisää se.

    Selaimella

    Mene selaimellasi palveluun joka näyttää kävijän tietoja. Eräs tällainen on https://www.ipchicken.com. Katso, minkälaisesta ip-osoitteesta palvelu kertoo sinun olevan yhteydessä.

    Mikäli ip alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.

    Palomuuri

    Ilman palomuurisääntöjen lisäämistä palomuuri saattaa estää openvpn:n liikennöinnin ja toiminnan.  Palomuurista olisi sallittava openvpn:n liikenne ja edelleenlähetys.

    Mikäli olet epävarma palomuurisäännöistä, voi testata openvpn:n toiminnan kytkemällä palomuurin pois päältä. Tämän jälkeen käynnistä openvpn ja totea sen toiminta. Mikäli kaikki toimii oikein, kytke palomuuri päälle sammuttamatta openvpn:ää. Jos openvpn:n toiminnan sallivat palomuurisäännöt ovat kunnossa, pitäisi kaiken jatkua normaalisti.

    Seuraavat iptables-palomuurissa mahdollistavat openvpn:n toiminnan:

    • iptables -A INPUT -p udp --dport 1194 -j ACCEPT
    • iptables -A INPUT -i tap+ -j ACCEPT
    • iptables -A FORWARD -i tap+ -j ACCEPT

    Käytön ja ongelmatilanteiden tukipalvelut

    Mikäli ongelma ei ratkea yllä olevilla ohjeilla, ota yhteyttä Helpdeskiin. Kuvaile ongelma mahdollisimman tarkasti ja liitä mukaan openvpn:n lokitiedosto sekä ifconfig- ja route -komentojen tulosteet. Ilman näitä tietoja on vaikeaa paikantaa vikaa ja antaa korjausehdotuksia.

    Anna palautetta

    Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!

    Kuinka parantaisit ohjeistusta?
    Takaisin ylös