HY-VPN -palvelu tarjoaa yliopiston käyttäjille pääsyn niihin palveluihin jotka ovat avoinna yliopiston eteisverkkoon. Kaikki yliopistolla saatavissa olevat palvelut eivät ole tällaisia. Esimerkiksi joidenkin ohjelmistojen lisenssipalvelimet eivät näy eteisverkkoon eikä niiden tarjoamia lisenssipalveluja voi käyttää. Joidenkin ohjelmistojen kohdalla tämä johtuu lisenssien vähyydestä eli on haluttu varmistaa, että yliopiston sisäisille käyttäjille riittää lisenssejä.
Eri yksiköiden hankkimat palvelut, esim. artikkeli- ja muut tietokantapalvelut eivät välttämättä ole avoimia eteisverkkoon. Mikäli kaipaat näitä palveluja, ota yhteys ko. palvelua ylläpitävään yksikköön ja tiedustele heiltä mahdollisuuksia ko. palvelun avaamiseen eteisverkkoon HY-VPN -palvelun ulottuviin.
HY-VPN -palvelu toteutetaan openvpn-ohjelmistolla. Se on saatavissa kaikkiin Linux-jakeluihin joko jakelun omasta pakettivarastosta tai hakemalla ohjelmistopaketti kehittäjien sivuilta ja kääntämällä se itse.
Jakelun kotisivut https://openvpn.net
Pikaohje
Mene selaimellasi palveluun joka näyttää kävijän tietoja, esim. https://ipchicken.com/. Katso, mistä IP-osoitteesta palvelu kertoo sinun olevan yhteydessä.
Mikäli IP alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.
Katso tarkka ohje -välilehdeltä kuvallisia ohjeita.
Tarkka ohje
Toiminnan tarkastus
Työasemastasi
Tarkasta, että HY-VPN:n käyttämä tap-virtuaalinen verkkosovitin on olemassa.
Komennolla ifconfig saat tulostettua näytölle kaikki koneessasi olevat verkkosovittimet.
HY-VPN-palvelun toimiessa listassa pitäisi olla tap0-virtuaaliadapteri ja sillä IP-osoite ylipiston verkossa. IP-osoitteen näet tap0-sovittimen listauksesta riviltä joka alkaa inet addr:
kayttaja@testikone:/etc/openvpn# ifconfig tap0 Link encap:Ethernet HWaddr ea:9f:4f:02:c9:d5 inet addr:128.214.182.163 Bcast:128.214.182.255 Mask:255.255.255.128 inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:13 errors:0 dropped:0 overruns:0 frame:0 TX packets:24 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1819 (1.8 KB) TX bytes:3815 (3.8 KB)
Edellä mainitun alun jälkeen pitäisi olla numerosarja, joka alkaa 128.214. Mikäli tätä ei ole tai tap0 -sovitinta ei löydy listauksesta, ei palvelu toimi.
Lisäksi route-asetusten pitäisi olla kunnossa eli komennolle route pitäisi saada seuraavanlainen tuloste ruudulle:
kayttaja@testikone:/etc/openvpn# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface openvpn1.fe.hel router-151.hels 255.255.255.255 UGH 0 0 0 eth0 128.214.182.128 * 255.255.255.128 U 0 0 0 tap0 128.214.0.0 * 255.255.0.0 U 1 0 0 eth0 link-local * 255.255.0.0 U 1000 0 0 eth0 default hy-ovpn1-1.vpn. 128.0.0.0 UG 0 0 0 tap0 128.0.0.0 hy-ovpn1-1.vpn. 128.0.0.0 UG 0 0 0 tap0 default router-151.hels 0.0.0.0 UG 0 0 0 eth0
Tulosteesta pitäisi löytyä openvpn:n tarvitsemat reitit. Ne ovat ylläolevassa kuvassa korostettuja. Mikäli niitä ei löydy, tarkasta, että konfiguraatiotiedostossa /etc/openvpn/openvpn.conf on määrittely ”redirect-gateway def1”. Jos tätä ei ole, lisää se.
Selaimella
Mene selaimellasi palveluun joka näyttää kävijän tietoja. Eräs tällainen on https://www.ipchicken.com. Katso, minkälaisesta ip-osoitteesta palvelu kertoo sinun olevan yhteydessä.
Mikäli ip alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.
Palomuuri
Ilman palomuurisääntöjen lisäämistä palomuuri saattaa estää openvpn:n liikennöinnin ja toiminnan. Palomuurista olisi sallittava openvpn:n liikenne ja edelleenlähetys.
Mikäli olet epävarma palomuurisäännöistä, voi testata openvpn:n toiminnan kytkemällä palomuurin pois päältä. Tämän jälkeen käynnistä openvpn ja totea sen toiminta. Mikäli kaikki toimii oikein, kytke palomuuri päälle sammuttamatta openvpn:ää. Jos openvpn:n toiminnan sallivat palomuurisäännöt ovat kunnossa, pitäisi kaiken jatkua normaalisti.
Seuraavat iptables-palomuurissa mahdollistavat openvpn:n toiminnan:
-
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
-
iptables -A INPUT -i tap+ -j ACCEPT
-
iptables -A FORWARD -i tap+ -j ACCEPT
Käytön ja ongelmatilanteiden tukipalvelut
Mikäli ongelma ei ratkea yllä olevilla ohjeilla, ota yhteyttä Helpdeskiin. Kuvaile ongelma mahdollisimman tarkasti ja liitä mukaan openvpn:n lokitiedosto sekä ifconfig- ja route -komentojen tulosteet. Ilman näitä tietoja on vaikeaa paikantaa vikaa ja antaa korjausehdotuksia.
Video-ohje
Anna palautetta
Helsingin yliopiston IT-Helpdeskin ohjesivusto auttaa sinua työhösi liittyvissä IT-aiheisissa kysymyksissä. Kerro meille, miten voisimme parantaa ohjeitamme. Arvostamme suuresti palautettasi!
Kuinka parantaisit ohjeistusta?