VPN

Z Centrum Informatiky
Přejít na: navigace, hledání

Přístup do sítě UJEP pomocí VPN

Kdo může přístup získat

VPN přístup je určen pro zaměstnance UJEP. Pokud nejste zaměstnancem UJEP, je bezpředmětné o přístup žádat.
V opodstatněných případech lze zřídit VPN přístup i pro studenty, ale vždy po předchozí žádosti vyučujícího.

K čemu je to dobré

VPN je bezpečným způsobem připojení do sítě UJEP z počítače, který je k internetu připojen mimo LAN UJEP. To přináší uživatelům sítě možnost přístupu i mimo LAN a umožňuje kupříkladu práci s některými informačními systémy z domova.


Příklady použití VPN přístupu do univerzitní sítě

  1. Využití univerzitního proxy serveru pro přístup k neveřejným informačním zdrojům
  2. Přístup k systému FIS
  3. Vzdálená správa stanice připojené v LAN
  4. Přístup k individuálním uživatelským službám, které nejsou propagovány mimo LAN

Protože bylo zprovozněnono ověřování přístupu na proxy server i z míst mimo LAN, stačí pro použití popsané v bodu 1. a 2. pouze přístup přes proxy bez použití VPN, což značně zjednodušuje použití. Detailní návody naleznete na

Nastavení proxy serveru

Přístup k aplikaci iFIS mimo LAN UJEP

Jak to funguje

Princip fungování VPN spočívá ve vytvoření bezpečného (kryptovaného) tunelu mezi klientským počítačem a VPN bránou v síti UJEP. Veškerá komunikace vedena mezi sítí UJEP a klientským počítačem je směrována do tohoto tunelu. Uživatel potom ke zdrojům přistupuje stejně, jako by byl připojen přímo do sítě UJEP.

Co k používání VPN potřebujete

  1. Počítač s operačním systémem Windows XP nebo vyšším. Principiálně je možný přístup i z jiných OS např. z Linuxu (Tento návod však Linux nepopisuje). Naproti tomu provozování VPN není možné na OS Windows 9x nebo Windows Me.
  2. Instalační soubor OpenVPN
    1. Windows Vista/7/8/10 pro 64-bitový OS nebo pro 32-bitový OS
    2. Windows XP pro 64-bitový OS nebo pro 32-bitový OS

K dispozici je nyní již verze 2.4, která přináší drobná vylepšení, ale i změny v konfiguraci a použití. Více najdete na samostatné stránce VPN_2.4.

  1. Konfigurační soubor a certifikáty od správce sítě (postup pro získání certifikátů následuje)
  2. Libovolné připojení k internetu, doporučeno je rychlejší připojení (ADSL, kabel, WiFi)

Postup pro získání certifikátů

  1. Vyplňte formulář. Jako důvod stačí uvést aplikaci či službu, kterou chcete prostřednictvím VPN využívat. Pokud jste domluveni s nějakým IT pracovníkem na instalaci klienta, tak uveďte jeho jméno. Pokud si budete klienta instalovat sám (sama), tak veďte telefon pro zaslání hesla.
  2. Po odeslání formuláře obdržíte na zadaný e-mail potvrzení o registraci Vašeho požadavku. Po vystavení certifikátu Vám budou certifikáty a heslo předány.

Důležité upozornění Uživatel je povinen chránit privátní klíč a heslo k němu před zneužitím. Pokud dojde k situaci, kdy by mohlo dojit k jeho zneužití (ztráta počítače, vyzrazení hesla, podezření, ze privátní klíč mohl být zcizen), je uživatel povinen tuto skutečnost neprodleně nahlásit. Pokud tak neučiní, je plně zodpovědný za případné škody, které případným zneužitím certifikátu mohou vzniknout.

Jak VPN naistalovat na domácím počítači

Následující návody jsou pro OS Windows. Pokud chcete instalovat VPN na počítač MAC, využijte tento odkaz -> Nastavení MAC .

Stručný návod

Instalace

  1. Instalaci spusťte dvojklikem na instalační soubor. Na uvítací obrazovce stiskněte tlačítko Next.
  2. Stiskněte tlačítko I agree k odsouhlasení licenčního ujednání.
  3. Ponechejte přednastavený výběr součástí klienta a stiskněte tlačítko Next.
  4. Jako cílový adresář ponechte přednastavený adresář a stisknete tlačítko Install.
  5. Po zobrazení varování o chybějícím testu kompatibility pokračujte tlačítkem Pokračovat.
  6. Po zobrazení hlášení o úspěšném dokončení instalace pokračujte tlačítkem Next.
  7. Instalaci dokončete stiskem tlačítka Finish.

Konfigurace

Konfigurace klienta spočívá v pouhém nakopírování 4 souborů, které jste dostali od správce sítě do podadresáře config v instalačním adresáři klienta. Standardně tedy do adresáře C:\Program Files\OpenVPN\config (případně C:\Program Files (x86)\OpenVPN\config pokud na 64-bitový systém nainstalujete 32-bitového klienta) . Jedná se o soubory

client.ovpn (vlastní konfigurační soubor klienta)
ca.crt (certifikát certifikační autority)
xxxxx.crt (certifikát klienta)
xxxxx.key (privátní klíč klienta)

Místo xxxxx bude jmeno klienta, tedy např. novak.crt a novak.key.

Podrobný návod (s obrázky)

Instalace

  1. Instalaci spusťte dvojklikem na instalační soubor. Na uvítací obrazovce stiskněte tlačítko Next.
    Vpn pic1.jpg
  2. Stiskněte tlačítko I agree k odsouhlasení licenčního ujednání.
    Vpn pic2.jpg
  3. Ponechejte přednastavený výběr součástí klienta a stiskněte tlačítko Next.
    Vpn pic3.jpg
  4. Jako cílový adresář ponechte přednastavený adresář a stisknete tlačítko Install.
    Vpn pic4.jpg
  5. Po zobrazení varování o chybějícím testu kompatibility pokračujte tlačítkem Pokračovat.
    Vpn pic5.jpg
  6. Po zobrazení hlášení o úspěšném dokončení instalace pokračujte tlačítkem Next.
    Vpn pic6.jpg
  7. Instalaci dokončete stiskem tlačítka Finish.
    Vpn pic7.jpg

Konfigurace

Konfigurace klienta spočívá v pouhém nakopírování 4 souborů, které jste dostali od správce sítě do podadresáře config v instalačním adresáři klienta. Standardně tedy do adresáře C:\Program Files\OpenVPN\config (případně C:\Program Files (x86)\OpenVPN\config u 64-bitových systémů). Jedná se o soubory

client.ovpn (vlastní konfigurační soubor klienta)
ca.crt (certifikát certifikační autority)
xxxxx.crt (certifikát klienta)
xxxxx.key (privátní klíč klienta)

Místo xxxxx bude jmeno klienta, tedy např. novak.crt a novak.key.

Vpn pic8.jpg

Obsah adresáře C:\Program Files\OpenVPN\config by tedy měl vypadat tak, jak ukazuje nasledujicí obrázek.

Vpn pic9.jpg

Na Windows Vista / 7 / 8 / 10 se zapnutým UAC můžete narazit na omezení možnosti zápisu do složky VPN klienta. V tom případě je nutné program pro kopírování (file manager) spustit s právy správce. Případně je možné použít kopírování přes schránku (ctrl+c, ctrl+v), kde se potřebná práva vyžádají.

Jak VPN používat

Stručný návod

Po uspěšné instalaci OpenVPN klienta by se v pravé části lišty měla objevit nová ikona - Open VPN GUI.

Pokud se podaří omylem během práce zavřít , lze ji znovu spustit z nabídky Start - Programy-OpenVPN-OpenVPN GUI.

Dvojklikem na uvedené ikoně se spustí proces přihlašování k VPN bráně. V jeho průběhu je uživatel vyzván k vložení hesla k privátnímu klíči. Po vložení hesla pokračujte tlačítkem OK.

Po úspěšném přihlášení zmizí okno s výpisem průběhu přihlašování a u ikony klienta se objeví "bublina" s hlášením o připojení klienta k VPN bráně (client is now connected) spolu s informací o přidělené IP adrese (Assigned IP: 192.168.233.xxx). Tím je VPN spojení navázáno a lze ho využívat k přístupu do sítě UJEP.

Kontrolu o stavu připojení lze jednoduše provést najetím kurzoru myši na ikonu klienta.

Stisknutím pravého tlačítka na ikoně klienta lze vyvolat kontextové menu, ze kterého lze

  • připojit popř. odpojit (Connect nebo Disconnect)
  • prohlédnout okno s průběhem přihlašování (Show Status)
  • prohlédnout logovací soubor (View Log)
  • změnit konfiguraci klienta (Edit Config) - NEDOPORUČUJE SE !!!
  • změnit heslo k privátnímu klíči (Change Password) - je vyžadováno minimálně 8 znaků
  • nastavení spojení přes proxy server (Proxy Settings) - standardně není potřeba
  • zobrazit informace o grafickém prostředí pro klienta (About)
  • ukončit grafické prostředí pro klienta ( ne vlastního klienta) (Exit)

Podrobný návod (s obrázky)

Po uspěšné instalaci OpenVPN klienta by se v pravé části lišty měla objevit nová ikona - Open VPN GUI.

Vpn pic11.jpg

Pokud je spuštěno více rezidentních programů, tak se jejich ikony do oznamovací části lišty většinou nevejdou a zůstávají skryté. Lze je ale zviditelnit pomocí tlačítka ^, jak je ilustrováno na následujícím screenshotu. Zároveň je na něm zvýrazněna novější ikona VPN klienta.

Vpn pic16.png

Pokud se podaří omylem během práce zavřít , lze ji znovu spustit z nabídky Start - Programy-OpenVPN-OpenVPN GUI.

Vpn pic10.jpg

Dvojklikem na uvedené ikoně se spustí proces přihlašování k VPN bráně. V jeho průběhu je uživatel vyzván k vložení hesla k privátnímu klíči. Po vložení hesla pokračujte tlačítkem OK.

Vpn pic12.jpg

Po úspěšném přihlášení zmizí okno s výpisem průběhu přihlašování a u ikony klienta se objeví "bublina" s hlášením o připojení klienta k VPN bráně (client is now connected) spolu s informací o přidělené IP adrese (Assigned IP: 192.168.233.xxx). Tím je VPN spojení navázáno a lze ho využívat k přístupu do sítě UJEP.

Vpn pic13.jpg

Kontrolu o stavu připojení lze jednoduše provést najetím kurzoru myši na ikonu klienta. Stisknutím pravého tlačítka na ikoně klienta lze vyvolat kontextové menu, ze kterého lze

Vpn pic14.jpg

  • připojit popř. odpojit (Connect nebo Disconnect)
  • prohlédnout okno s průběhem přihlašování (Show Status)
  • prohlédnout logovací soubor (View Log)
  • změnit konfiguraci klienta (Edit Config) - NEDOPORUČUJE SE !!!
  • změnit heslo k privátnímu klíči (Change Password) - je vyžadováno minimálně 8 znaků
  • nastavení spojení přes proxy server (Proxy Settings) - standardně není potřeba
  • zobrazit informace o grafickém prostředí pro klienta (About)
  • ukončit grafické prostředí pro klienta ( ne vlastního klienta) (Exit)

Vpn pic15.jpg


Poznámka pro Windows Vista / Windows 7 / Windows 8 / Windows 10

Ve WV/W7/W8 je nutné klienta VPN spouštět s právy správce (z důvodu nutnosti úpravy routovací tabulky).

Toho nejlépe dosáhnete úpravou vlastností zástupce grafického rozhraní klienta (OpenVPN GUI, který se po instalaci vytvoří na ploše.

Open vpn vista 1.jpg

Open vpn vista 2.jpg


Případné problémy při instalaci nebo používání VPN hlaste na adresu jiri.plachy@ujep.cz.

Ověření správné činnosti VPN

Nejjednodušším způsobem je ověření, že do univerzitní sítě přistupujete prostřednictvím adresy, kterou má Váš VPN klient přiřazenou. Tuto adresu lze jednoduše zjistit na stránce http://pf.ujep.cz/ci/ip Pokud je zobrazená adresa shodná s adresou, kterou zjistíte najetím myši nad ikonu VPN v oznamovací oblasti, tak je Vaše VPN připojení v pořádku. Pokud jsou tyto adresy rozdílné, je většinou problém v tom, že klient VPN nebyl spuštěn s právy správce a proto nemohl upravit routovací tabulku. Proto doporučuji klienta ukončit a spustit znovu s právy správce, znovu se připojit a provést výše popsaný test adresy. (od verze 2.4 již spouštění klienta "jako správce" již není vyžadováno).

Nastaveni VPN na OS Android

Na telefon (tablet) nakopírujte 4 soubory potřebné pro provoz VPN. Jedná se o soubory:

ca.crt 
jmeno.soucast.key
jmeno.soucast.crt
client.ovpn

kde "jmeno" je standardně jméno uživatele a "soucast" je součást univerzity. Tedy např. novak.pf.key a novak.pf.crt.

V obchodu Google Play vyhledejte aplikaci OpenVPN Connect.

OVPN1.jpg

Tuto aplikaci nainstalujte.

OVPN2.jpg

Po spuštění aplikace aktivujte možnost importu ze souboru.

OVPN3.jpg

Následně vyberte složku, ve které máte uložené výše uvedené soubory.
Vyberte konfigurační soubor client.ovpn a stiskněte tlačítko "Importovat"

OVPN4.jpg

Zaškrtněte obě volby a vyplňte heslo k privátnímu klíči. Přidání profilu dokončete volbou ADD.

OVPN5.jpg

Povolte aplikaci připojení.

OVPN6.jpg

Pokud je zadané heslo správné, měl by se klient připojit.

OVPN7.jpg

Aplikaci lze zavřít, klient je stále připojen. To je indikováno v horní lište (klíč napravo) a zároveň oznámením (napravo). Přítomnost oznámení je též indikována i na ikoně aplikace.

OVPN9.jpg

Po novém otevření aplikace lze připojení ukončit.

OVPN8.jpg