HY-VPN – att kontrollera funktionen och felsituationer (Linux)

HY-VPN-tjänsten erbjuder universitetets användare tillgång till de tjänster som är öppna i universitetets perimeternätverk. Alla tjänster som är tillgängliga på universitetet är inte sådana. Till exempel syns licensservrar för en del programvaror inte i perimeternätverket och man kan inte använda de licenstjänster som de erbjuder. För en del programvaror beror detta på det låga antalet licenser, dvs. man har velat säkerställa att det finns tillräckligt med licenser för universitetets interna användare.

Tjänster som skaffats av olika enheter, såsom artikel- och andra databastjänster, är inte nödvändigtvis öppna i perimeternätverket. Om du behöver dessa tjänster, vänligen kontakta den enhet som upprätthåller tjänsten i fråga och fråga dem om möjligheterna att öppna tjänsten i perimeternätverket så att HY-VPN-tjänsten kan nå den.

Tjänsten HY-VPN genomförs med openvpn-programvaran. Den är tillgänglig för alla Linuxdistributioner antingen från distributionens egna paketlager eller genom att hämta programvarupaketet från utvecklarnas sidor och översätta det själv.

Distributionens webbplats http://www.openvpn.net

    Använd din webbläsare för att gå till en tjänst som visar besöksinformation, till exempel https://ipchicken.com/. Se från vilken IP-adress tjänsten säger att du är ansluten.

    Om IP börjar med 128.214 har du universitetets IP-adress som identifierar dig som användare vid universitetet.

    Se bildinstruktioner på fliken Närmare instruktioner.

    Driftkontroll

    Via din arbetsstation

    Kontrollera att det tap-virtuella nätverkskort som används av HY-VPN existerar.
    Med kommandot ifconfig kan du skriva ut på skärmen alla nätverkskort på din dator.
    När HY-VPN-tjänsten fungerar bör listan innehålla den virtuella adaptern tap0 och den ska ha sin IP-adress i universitetets nätverk. Du kan se IP-adressen i listan över tap0-adaptrar på raden som börjar med inet addr:

    kayttaja@testikone:/etc/openvpn#  ifconfig
    tap0      Link encap:Ethernet  HWaddr ea:9f:4f:02:c9:d5 
              inet addr:128.214.182.163  Bcast:128.214.182.255  Mask:255.255.255.128
              inet6 addr: fe80::e89f:4fff:fe02:c9d5/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:13 errors:0 dropped:0 overruns:0 frame:0
              TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:1819 (1.8 KB)  TX bytes:3815 (3.8 KB)
    

    Efter ovanstående inledning ska det finnas en nummerserie som börjar med 128.214. Om serien inte finns eller om tap0-adaptern inte finns i listan, fungerar inte tjänsten.

    Dessutom ska route-inställningarna vara i ordning, dvs. man bör få följande utskrift på skärmen för kommandot route:

    kayttaja@testikone:/etc/openvpn#   route
    Kernel IP routing table
    Destination           Gateway            Genmask            Flags Metric     Ref    Use Iface
    openvpn1.fe.hel       router-151.hels    255.255.255.255    UGH   0          0        0 eth0
    128.214.182.128       *                  255.255.255.128    U     0          0        0 tap0
    128.214.0.0           *                  255.255.0.0        U     1          0        0 eth0
    link-local            *                  255.255.0.0        U     1000       0        0 eth0
    default               hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
    128.0.0.0             hy-ovpn1-1.vpn. 128.0.0.0             UG      0        0        0 tap0
    default               router-151.hels    0.0.0.0
    UG                    0               0        0 eth0

    Utskriften ska innehålla de rutter som behövs för openvpn. De är markerade på bilden ovan. Om du inte hittar dem, kontrollera att konfigurationsfilen /etc/openvpn/openvpn.conf innehåller definitionen ”redirect-gateway def1”. Lägg till den, om den inte finns där.

    Med webbläsare

    Använd din webbläsare för att gå till en tjänst som visar besöksinformation. En av dessa ärhttp://www.ipchicken.com. Se från vilken typ av IP-adress tjänsten säger att du är ansluten.

    Om IP börjar med 128.214 har du universitetets IP-adress som identifierar dig som användare vid universitetet.

    Brandvägg

    Utan att lägga till brandväggsregler kan brandväggen förhindra datatrafik via openvpn och dess funktion.  Datatrafik och vidarebefordran via openvpn bör tillåtas i brandväggen..

    Om du är osäker på brandväggsreglerna kan du testa funktionen i openvpn genom att stänga av brandväggen. Slå sedan på openvpn och se hur den fungerar. Om allt fungerar korrekt, slå på brandväggen utan att stänga av openvpn. Om brandväggsreglerna som tillåter funktionen av openvpn är i ordning bör allt fortsätta som vanligt.

    Följande iptables i brandväggen möjliggör funktionen av openvpn:

    • iptables -A INPUT -p udp --dport 1194 -j ACCEPT
    • iptables -A INPUT -i tap+ -j ACCEPT
    • iptables -A FORWARD -i tap+ -j ACCEPT

    Drifts- och problemstödtjänster

    Om ovanstående instruktioner inte löser problemet, kontakta Helpdesk. Beskriv problemet så noggrant som möjligt och bifoga loggfilen för openvpn samt utskrifter av ifconfig- och route-kommandona. Utan denna information är det svårt att hitta felet och komma med förslag till felhantering.

    Ge respons

    Webbplatsen med anvisningar från IT-Helpdesk vid Helsingfors universitet hjälper dig i dina jobbrelaterade IT-frågor. Berätta för oss hur vi skulle kunna förbättra våra anvisningar. Vi uppskattar verkligen din respons!

    Hur skulle du förbättra denna instruktion?
    Tillbaka upp