IT-Helpdesk
Meny

HY-VPN – att kontrollera funktionen och felsituationer (Linux)

HY-VPN-tjänsten erbjuder universitetets användare tillgång till de tjänster som är öppna i universitetets perimeternätverk. Alla tjänster som är tillgängliga på universitetet är inte sådana. Till exempel syns licensservrar för en del programvaror inte i perimeternätverket och man kan inte använda de licenstjänster som de erbjuder. För en del programvaror beror detta på det låga antalet licenser, dvs. man har velat säkerställa att det finns tillräckligt med licenser för universitetets interna användare.

Tjänster som skaffats av olika enheter, såsom artikel- och andra databastjänster, är inte nödvändigtvis öppna i perimeternätverket. Om du behöver dessa tjänster, vänligen kontakta den enhet som upprätthåller tjänsten i fråga och fråga dem om möjligheterna att öppna tjänsten i perimeternätverket så att HY-VPN-tjänsten kan nå den.

Tjänsten HY-VPN genomförs med openvpn-programvaran. Den är tillgänglig för alla Linuxdistributioner antingen från distributionens egna paketlager eller genom att hämta programvarupaketet från utvecklarnas sidor och översätta det själv.

Distributionens webbplats http://www.openvpn.net

Använd din webbläsare för att gå till en tjänst som visar besöksinformation, till exempel https://ipchicken.com/. Se från vilken IP-adress tjänsten säger att du är ansluten.

Om IP börjar med 128.214 har du universitetets IP-adress som identifierar dig som användare vid universitetet.

Se bildinstruktioner på fliken Närmare instruktioner.

Innehållsförteckning

Driftkontroll

Via din arbetsstation

Kontrollera att det tap-virtuella nätverkskort som används av HY-VPN existerar.
Med kommandot ifconfig kan du skriva ut på skärmen alla nätverkskort på din dator.
När HY-VPN-tjänsten fungerar bör listan innehålla den virtuella adaptern tap0 och den ska ha sin IP-adress i universitetets nätverk. Du kan se IP-adressen i listan över tap0-adaptrar på raden som börjar med inet addr:

kayttaja@testikone:/etc/openvpn#  ifconfig
tap0      Link encap:Ethernet  HWaddr ea:9f:4f:02:c9:d5 
          inet addr:128.214.182.163  Bcast:128.214.182.255  Mask:255.255.255.128
          inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1819 (1.8 KB)  TX bytes:3815 (3.8 KB)

Efter ovanstående inledning ska det finnas en nummerserie som börjar med 128.214. Om serien inte finns eller om tap0-adaptern inte finns i listan, fungerar inte tjänsten.

Dessutom ska route-inställningarna vara i ordning, dvs. man bör få följande utskrift på skärmen för kommandot route:

kayttaja@testikone:/etc/openvpn#   route
Kernel IP routing table
Destination           Gateway            Genmask            Flags Metric     Ref    Use Iface
openvpn1.fe.hel       router-151.hels    255.255.255.255    UGH   0          0        0 eth0
128.214.182.128       *                  255.255.255.128    U     0          0        0 tap0
128.214.0.0           *                  255.255.0.0        U     1          0        0 eth0
link-local            *                  255.255.0.0        U     1000       0        0 eth0
default               hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
128.0.0.0             hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
default               router-151.hels    0.0.0.0
UG                    0               0        0 eth0

Utskriften ska innehålla de rutter som behövs för openvpn. De är markerade på bilden ovan. Om du inte hittar dem, kontrollera att konfigurationsfilen /etc/openvpn/openvpn.conf innehåller definitionen ”redirect-gateway def1”. Lägg till den, om den inte finns där.

Med webbläsare

Använd din webbläsare för att gå till en tjänst som visar besöksinformation. En av dessa ärhttp://www.ipchicken.com. Se från vilken typ av IP-adress tjänsten säger att du är ansluten.

Om IP börjar med 128.214 har du universitetets IP-adress som identifierar dig som användare vid universitetet.

Brandvägg

Utan att lägga till brandväggsregler kan brandväggen förhindra datatrafik via openvpn och dess funktion.  Datatrafik och vidarebefordran via openvpn bör tillåtas i brandväggen..

Om du är osäker på brandväggsreglerna kan du testa funktionen i openvpn genom att stänga av brandväggen. Slå sedan på openvpn och se hur den fungerar. Om allt fungerar korrekt, slå på brandväggen utan att stänga av openvpn. Om brandväggsreglerna som tillåter funktionen av openvpn är i ordning bör allt fortsätta som vanligt.

Följande iptables i brandväggen möjliggör funktionen av openvpn:

  • iptables -A INPUT -p udp --dport 1194 -j ACCEPT
  • iptables -A INPUT -i tap+ -j ACCEPT
  • iptables -A FORWARD -i tap+ -j ACCEPT

Drifts- och problemstödtjänster

Om ovanstående instruktioner inte löser problemet, kontakta Helpdesk. Beskriv problemet så noggrant som möjligt och bifoga loggfilen för openvpn samt utskrifter av ifconfig- och route-kommandona. Utan denna information är det svårt att hitta felet och komma med förslag till felhantering.

Ge respons

Webbplatsen med anvisningar från IT-Helpdesk vid Helsingfors universitet hjälper dig i dina jobbrelaterade IT-frågor. Berätta för oss hur vi skulle kunna förbättra våra anvisningar. Vi uppskattar verkligen din respons!

Hur skulle du förbättra denna instruktion?

Samhörande instruktioner

Fjärråtkomst till hemkatalogen (Z-enhet) från en Windows-dator
OpenVPN på hemdatorer (Windows 10 & 11)
Installation och användning av Tunnelblick-programmet (Mac)
Always on VPN (AoVPN)
Bildande av skyddad förbindelse på universitetet
Tillbaka upp