HY-VPN - Toiminnan tarkistus ja virhetilanteet (Linux)

Tabs

Tarkka ohje

Yleistä HY-VPN -palvelun toimivuudesta ja rajoituksista

HY-VPN -palvelu tarjoaa yliopiston käyttäjille pääsyn niihin palveluihin jotka ovat avoinna yliopiston eteisverkkoon. Kaikki yliopistolla saatavissa olevat palvelut eivät ole tällaisia. Esimerkiksi joidenkin ohjelmistojen lisenssipalvelimet eivät näy eteisverkkoon eikä niiden  tarjoamia lisenssipalveluja voi käyttää. Joidenkin ohjelmistojen kohdalla tämä johtuu lisenssien vähyydestä eli on haluttu varmistaa, että yliopiston sisäisille käyttäjille riittää lisenssejä.

Eri yksiköiden hankkimat palvelut, esim. artikkeli- ja muut tietokantapalvelut eivät välttämättä ole avoimia eteisverkkoon. Mikäli kaipaat näitä palveluja, ota yhteys ko. palvelua ylläpitävään yksikköön ja tiedustele heiltä mahdollisuuksia ko. palvelun avaamiseen eteisverkkoon HY-VPN -palvelun ulottuviin.

HY-VPN -palvelu toteutetaan openvpn-ohjelmistolla. Se on saatavissa kaikkiin Linux -jakeluihin joko jakelun omasta pakettivasastosta tai hakemalla ohjelmistopaketti kehittäjien sivuilta ja kääntämällä se itse.

Jakelun kotisivut http://www.openvpn.net

Asennusohjeet:

Toiminnan tarkastus

Työasemastasi

Tarkasta, että HY-VPN:n käyttämä tap-virtuaalinen verkkosovitin on olemassa.
Komennolla ifconfig saat tulostettua näytölle kaikki koneessasi olevat verkkosovittimet.
HY-VPN -palvelun toimiessa listassa pitäisi olla tap0 -virtuaaliadapteri ja sillä ip- osoite ylipiston verkossa. Ip-osoitteen näet tap0 -sovittimen listauksesta riviltä joka alkaa inet addr:

kayttaja@testikone:/etc/openvpn#  ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1c:23:9f:46:c6 
          inet addr:128.214.151.17  Bcast:128.214.255.255  Mask:255.255.0.0
          inet6 addr: 2001:708:110:21:21c:23ff:fe9f:46c6/64 Scope:Global
          inet6 addr: fe80::21c:23ff:fe9f:46c6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:74675 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3733 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6711256 (6.7 MB)  TX bytes:674691 (674.6 KB)
          Interrupt:17

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1952 (1.9 KB)  TX bytes:1952 (1.9 KB)

tap0      Link encap:Ethernet  HWaddr ea:9f:4f:02:c9:d5 
          inet addr:128.214.182.163  Bcast:128.214.182.255  Mask:255.255.255.128

          inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1819 (1.8 KB)  TX bytes:3815 (3.8 KB)

wlan0     Link encap:Ethernet  HWaddr 00:1d:e0:22:49:a7 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:9612 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10825 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7826889 (7.8 MB)  TX bytes:1798500 (1.7 MB)

Edellä mainitun alun jälkeen pitäisi olla numerosarja joka alkaa 128.214. Mikäli tätä ei ole tai tap0 -sovitinta ei löydy listauksesta, ei palvelu toimi.

Lisäksi route-asetusten pitäis olla kunnossa eli komennolle route pitäisi saada seuraavanlainen tuloste ruudulle:

kayttaja@testikone:/etc/openvpn#   route
Kernel IP routing table
Destination                      Gateway                     Genmask              Flags    Metric     Ref    Use Iface
openvpn1.fe.hel       router-151.hels    255.255.255.255    UGH   0               0        0 eth0
128.214.182.128       *                          255.255.255.128     U        0               0        0 tap0
128.214.0.0                      *                          255.255.0.0             U        1               0        0 eth0
link-local                       *                         255.255.0.0             U        1000         0        0 eth0
default                          hy-ovpn1-1.vpn. 128.0.0.0                 UG      0               0        0 tap0
128.0.0.0                        hy-ovpn1-1.vpn. 128.0.0.0                 UG      0               0        0 tap0

default                        router-151.hels    0.0.0.0
UG       0               0        0 eth0

Tulosteesta pitäisi löytyä openvpn:n tarvitsemat reitit. Ne ovat ylläolevassa kuvassa korostettuja. Mikäli niitä ei löydy, tarkasta, että konfiguraatiotiedostossa /etc/openvpn/openvpn.conf on määrittely ”redirect-gateway def1”. Jos tätä ei ole, lisää se.

Selaimella

Mene selaimellasi palveluun joka näyttää kävijän tietoja. Eräs tällainen on http://www.ipchicken.com. Katso, minkälaisesta ip-osoitteesta palvelu kertoo sinun olevan yhteydessä.

IP-osoitteen tarkistus ipchicken-sivulta

Mikäli ip alkaa 128.214 on sinulla käytössäsi yliopiston ip-osoite, jolla tunnistaudutaan yliopiston käyttäjäksi.

Palomuuri

Ilman palomuurisääntöjen lisäämistä palomuuri saattaa estää openvpn:n liikennöinin ja toiminnan.  Palomuurista olisi sallittava openvpn:n liikenne ja edelleenlähetys.

Mikäli olet epävarma palomuurisäännöistä, voi testata openvpn:n toiminnan kytkemällä palomuurin pois päältä. Tämän jälkeen käynnistä openvpn ja totea sen toiminta. Mikäli kaikki toimii oikein, kytke palomuuri päälle sammuttamatta openvpn:ää. Jos openvpn:n toiminnan sallivat palomuurisäännöt ovat kunnossa, pitäisi kaiken jatkua normaalisti.

Seuraavat iptables-palomuurissa mahdollistavat openvpn:n toiminnan:

  • iptables -A INPUT -p udp --dport 1194 -j ACCEPT
  • iptables -A INPUT -i tap+ -j ACCEPT
  • iptables -A FORWARD -i tap+ -j ACCEPT

Käytön ja ongelmatilanteiden tukipalvelut

Mikäli ongelma ei ratkea yllä olevilla ohjeilla, ota yhteyttä Helpdeskiin. Kuvaile ongelma mahdollisimman tarkasti ja liitä mukaan openvpn:n lokitiedosto sekä ifconfig- ja route -komentojen tulosteet. Ilman näitä tietoja on vaikeaa paikantaa vikaa ja antaa korjausehdotuksia.