Alapfogalmak

Virtuális magánhálózat (VPN, angolul Virtual Private Network) egy nyilvános hálózaton keresztül kiterjeszti a helyi hálózatot, lehetővé teszi a felhasználók számára, hogy egy megosztott vagy nyilvános hálózaton keresztül úgy küldjenek és fogadjanak adatokat,mintha számítógépeik közvetlenül kapcsolódnának a helyi hálózathoz. A kapcsolat „magán”-jellegét az adja, hogy a VPN-en keresztül menő adatok a titkosítás miatt nem láthatók az eredeti hálózaton. A titkosítás általánosan használt szolgáltatása a VPN-nek, de titkosítás nélkül is használható a különböző adatfolyamok elkülönítésére vagy a hálózat logikai felépítésének egyszerűsítésére. (Forrás: Wikipédia)

Céges hálózat elérése

A VPN egy gyakori alkalmazása, amikor a munkatársak a cég belső hálózatához távolról biztonságosan férhetnek hozzá: az interneten keresztül titkosított csatorna hozható létre a dolgozó számítógépe és a vállalat szervere között.

Internethasználat

Számos cég kínálja nyilvános szolgáltatásként, hogy VPN-szerveren keresztül böngészhetünk a világhálón. Ilyen szolgáltatás igénybevétele esetén a saját gépünk és a VPN-szolgáltató szervere között egy titkosított kapcsolatot építünk ki, és a publikus internetre a szolgáltató szerverének nevében lépünk ki. Előnyei a közvetlen internethasználathoz képest:

• a webhelyek számára az adatforgalom a VPN-szerver országából érkezőnek látszik;
• a saját internetszolgáltató nem látja az adatforgalom részleteit;
• nyilvános hálózat használata esetén nehezíti az adathalászok dolgát.

Hátrányai:

• lassabb internetelérés;
• az adatforgalom részleteit a VPN-szolgáltató látja.

VPN használata a blackPanther OS-ben

Számos VPN szolgáltató létezik már. A gyors kapcsolat fenntartásához fizetős szolgáltatásra lesz szükségünk mert az ingyenes VPN szolgáltatók nem csak túlterheltek, de díjtalanul nem fogják átengedni nekünk a legnagyobb sávszélességüket. A VPN szolgáltatások eléréséhez használhatunk:

• VPN kliensprogramot ami jellemzően harmadik féltől származik, és/vagy nyílt forráskódból. Például: ProtonVPN kliens, vagy akár egy grafikus VPN-kliens a NordVPN szolgáltáshoz , SurfSharkVPN-hez surfshark-vpn (parancssoros) klienst
• A rendszer hálózatkezelő (NetworkManager) szolgáltatásának használatával kapcsolódunk (javasolt)

VPN kapcsolat hozzáadása és beállítása

Amennyiben harmadik féltől származó kliensprogramot akarunk használni, telepítsük a kliensprogramot és kövessük a gyártó/szolgáltató utasításait.

Ebben a példában a blackPanther OS hálózatkezelőjéhez adunk hozzá egy VPN kapcsolatot 

ProtonVPN vagy NordVPN szolgáltatás használatához:

1.) Szükséged lesz egy ProtonVPN vagy NordVPN fiókra…

VPN beállítások importálása

1. Kattints a hálózat ikonra a tálcán és válaszd a „Hálózati kapcsolatok beállítása” ikont a jobb felső sarokban (ez a beállítás elérhető a jobb kattintással a hálózatikonon, vagy a Rendszerbeállítások > Hálózatok > Kapcsolatok menüpontban is).
2. A + szimbólum segítségével tudunk új kapcsolatot hozzáadni a rendszerhez, kattintsunk rá.
3. Görgessünk az „Egyéb” szekcióhoz és válasszuk a „VPN kapcsolat importálása..” lehetőséget
4. Engedélyezd a hitelesítőadatok (certifikáció) átmásolását
   A teljes tartalom csak bejelentkezés után olvasható tovább...

   

   Több VPN kapcsolatot is felvehetünk, és amikor használni akarjuk a VPN szolgáltatást, csak kattintatnunk kell a „Kapcsolódás” gombra a hálózatkezelő tálcaikonon.

   

   SurfSharkVPN szolgáltatás használatához:

   1.) Szükséged lesz egy SurfSharkVPN fiókra..

   A teljes tartalom csak bejelentkezés után olvasható tovább...

   L2TP/IPSec

   Layer 2 Tunneling Protocol (L2TP)

   Az l2tp/IPsec VPN kapcsolat létrehozásához három ipsec háttérprogram is rendelkezésre áll:

   • OpenSwan (libreswan csomag biztosítja!)
   • networkmanager-libreswan
     VAGY (lehet, hogy a két szolgáltatás összeveszik, ezért csak az egyik javasolt!):
   • Strongswan (strongswan és strongswan-libipsec csomagokra van szükség)
   • networkmanager-strongswan
     Mindig kell:
   • networkmanager-l2tp

   Egyes esetekben az xl2tpd szolgáltatás akadályozhatja az L2TP/IPSec VPN kapcsolat létrehozását! Tiltsuk le az xl2tpd háttér szolgáltatást….

   

    

   Útmutató

   Automatikus kapcsolódás

   Fejlesztés alatt van, a NetworkManager-be hamarosan bekerül a „kapcsolat automatikus aktiválása” opció.

   Addig is:

   További, de olvasásra szoruló részletekért kattints ide ...

   Shell

   /etc/NetworkManager/dispatcher.d/vpn-up

   0 1 2

   /etc/NetworkManager/dispatcher.d/vpn-up

   A vpn-up legyen futtatható (chmod +x vpn-up), a tartalma:

   Shell

   #!/bin/sh VPN_NAME="a neve a VPN kapcsolatnak ami meg lett adva a NetworkManager-ben" ESSID="Wi-Fi hálózat ESSID (nem a kapcsolat neve)" interface=$1 status=$2 case $status in up|vpn-down) if iwgetid | grep -qs ":\"$ESSID\""; then nmcli connection up id "$VPN_NAME" fi ;; down) if iwgetid | grep -qs ":\"$ESSID\""; then if nmcli connection show --active | grep "$VPN_NAME"; then nmcli connection down id "$VPN_NAME" fi fi ;; esac

   0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

   #!/bin/sh VPN_NAME="a neve a VPN kapcsolatnak ami meg lett adva a NetworkManager-ben" ESSID="Wi-Fi hálózat ESSID (nem a kapcsolat neve)"   interface=$1 status=$2 case $status in   up|vpn-down)     if iwgetid | grep -qs ":\"$ESSID\""; then       nmcli connection up id "$VPN_NAME"     fi     ;;   down)     if iwgetid | grep -qs ":\"$ESSID\""; then       if nmcli connection show --active | grep "$VPN_NAME"; then         nmcli connection down id "$VPN_NAME"       fi     fi     ;; esac

   Vagy amikor jelszót kell megadni a VPN-hez külön! Mentsük el a jelszót egy fájlba:

   Shell

   /útovnala/a/jelszó-fájlnak, amiben ez van: vpn.secrets.password:JELSZAVAD

   0 1 2 3

   /útovnala/a/jelszó-fájlnak, amiben ez van: vpn.secrets.password:JELSZAVAD

   Shell

   #!/bin/sh VPN_NAME="a neve a VPN kapcsolatnak ami meg lett adva a NetworkManager-ben" ESSID="Wi-Fi hálózat ESSID (nem a kapcsolat neve)" interface=$1 status=$2 case $status in up|vpn-down) if iwgetid | grep -qs ":\"$ESSID\""; then nmcli connection up id "$VPN_NAME" passwd-file /útovnala/a/jelszó-fájlnak fi ;; down) if iwgetid | grep -qs ":\"$ESSID\""; then if nmcli connection show --active | grep "$VPN_NAME"; then nmcli connection down id "$VPN_NAME" fi fi ;; esac

   0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

   #!/bin/sh VPN_NAME="a neve a VPN kapcsolatnak ami meg lett adva a NetworkManager-ben" ESSID="Wi-Fi hálózat ESSID (nem a kapcsolat neve)"   interface=$1 status=$2 case $status in   up|vpn-down)     if iwgetid | grep -qs ":\"$ESSID\""; then       nmcli connection up id "$VPN_NAME" passwd-file /útovnala/a/jelszó-fájlnak     fi     ;;   down)     if iwgetid | grep -qs ":\"$ESSID\""; then       if nmcli connection show --active | grep "$VPN_NAME"; then         nmcli connection down id "$VPN_NAME"       fi     fi     ;; esac

   Egy lehetséges megoldás még a jelszó tárolására, közvetlenül a konfigurációs fájlba a következő szakasz hozzáadásával vpn-secrets

   Shell

   [vpn] .... password-flags=0 [vpn-secrets] password=<i>JELSZAVAD</i>

   0 1 2 3 4 5 6 7

   [vpn] .... password-flags=0 [vpn-secrets] password=<i>JELSZAVAD</i>

   Hibakeresés

   • OpenVPN

   Az OpenVPN beállítómappája az '/etc/openvpn' útvonalon található. Amennyiben rendelkezünk beállítófájlokkal, xy_beallitofajl.ovpn néven mentsük ide.

   Nyissuk meg az xy_beallitofajl.ovpn fájlt és két sort módosítsunk:

   További, de olvasásra szoruló részletekért kattints ide ...

   Shell

   # auth-user-pass -t módsítsuk erre: auth-user-pass /etc/openvpn/tesztlogin.txt

   0 1 2 3

   # auth-user-pass -t módsítsuk erre: auth-user-pass /etc/openvpn/tesztlogin.txt

   És még módosítsuk a verb sort

   Shell

   # verb 3-at módosítsuk legalább 5-re hibakereséshez verb 5

   0 1 2 3

   # verb 3-at módosítsuk legalább 5-re hibakereséshez verb 5

   Most hozzunk létre egy /etc/openvpn/tesztlogin.txt fájlt és adjuk meg a hitelesítő adatokat így:

   Shell

   #/etc/openvpn/tesztlogin.txt felhasználónevem jelszavam

   0 1 2 3 4

   #/etc/openvpn/tesztlogin.txt felhasználónevem jelszavam

   A kapcsolat tesztelése

   Shell

   cd /etc/openvpn openvpn xy_beallitofajl.ovpn #enter

   0 1 2 3

   cd /etc/openvpn openvpn xy_beallitofajl.ovpn #enter

   Valami ilyet kell látnunk:

   Shell

   Sat Mar  6 09:36:49 2021 WARNING: file '/etc/openvpn/tesztlogin.txt' is group or others accessible Sat Mar  6 09:36:49 2021 OpenVPN 2.4.6 x86_64-blackPanther-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Sep 17 2018 Sat Mar  6 09:36:49 2021 library versions: OpenSSL 1.1.1e  17 Mar 2020, LZO 2.10 Sat Mar  6 09:36:49 2021 WARNING: --ping should normally be used with --ping-restart or --ping-exit Sat Mar  6 09:36:49 2021 NOTE: --fast-io is disabled since we are not using UDP Sat Mar  6 09:36:49 2021 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Sat Mar  6 09:36:49 2021 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Sat Mar  6 09:36:50 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:50 2021 Socket Buffers: R=[131072-&gt;131072] S=[16384-&gt;16384] Sat Mar  6 09:36:50 2021 Attempting to establish TCP connection with [AF_INET]185.108.106.74:1443 [nonblock] Sat Mar  6 09:36:51 2021 TCP connection established with [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:51 2021 TCP_CLIENT link local: (not bound) Sat Mar  6 09:36:51 2021 TCP_CLIENT link remote: [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:51 2021 TLS: Initial packet from [AF_INET]185.108.106.74:1443, sid=3e35b708 41cd1e1a Sat Mar  6 09:36:51 2021 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this Sat Mar  6 09:36:51 2021 VERIFY OK: depth=2, C=VG, O=Surfshark, CN=Surfshark Root CA Sat Mar  6 09:36:51 2021 VERIFY OK: depth=1, C=VG, O=Surfshark, CN=Surfshark Intermediate CA Sat Mar  6 09:36:51 2021 VERIFY KU OK Sat Mar  6 09:36:51 2021 Validating certificate extended key usage Sat Mar  6 09:36:51 2021 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication Sat Mar  6 09:36:51 2021 VERIFY EKU OK Sat Mar  6 09:36:51 2021 VERIFY OK: depth=0, CN=fr...........com Sat Mar  6 09:36:51 2021 [fr-bod-v024.prod.surfshark.com] Peer Connection Initiated with [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:52 2021 SENT CONTROL [fr-bod-v024.prod.surfshark.com]: 'PUSH_REQUEST' (status=1) Sat Mar  6 09:36:52 2021 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 162.252.172.57,dhcp-option DNS 149.154.159.92,redirect-gateway def1,sndbuf 524288,rcvbu f 524288,explicit-exit-notify,block-outside-dns,route-gateway 10.7.7.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.7.7.5 255.255.255.0,peer-id 0,cipher AES-256-GCM ' Sat Mar  6 09:36:52 2021 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:7: block-outside-dns (2.4.6) Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: timers and/or timeouts modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --explicit-exit-notify can only be used with --proto udp Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified Sat Mar  6 09:36:52 2021 Socket Buffers: R=[131072-&gt;425984] S=[87040-&gt;425984] Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --ifconfig/up options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: route options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: route-related options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: peer-id set Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: adjusting link_mtu to 1658 Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: data channel crypto options modified Sat Mar  6 09:36:52 2021 Data Channel: using negotiated cipher 'AES-256-GCM' Sat Mar  6 09:36:52 2021 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sat Mar  6 09:36:52 2021 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sat Mar  6 09:36:52 2021 ROUTE_GATEWAY 192.168.1.254/255.255.255.0 IFACE=enp3s0f1 HWADDR=74:e6:e2:26:4b:82 Sat Mar  6 09:36:52 2021 TUN/TAP device tun0 opened Sat Mar  6 09:36:52 2021 TUN/TAP TX queue length set to 100 Sat Mar  6 09:36:52 2021 do_ifconfig, tt-&gt;did_ifconfig_ipv6_setup=0 Sat Mar  6 09:36:52 2021 /usr/sbin/ifconfig tun0 10.7.7.5 netmask 255.255.255.0 mtu 1500 broadcast 10.7.7.255 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 185.108.106.74 netmask 255.255.255.255 gw 192.168.1.254 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.7.7.1 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.7.7.1 Sat Mar  6 09:36:52 2021 Initialization Sequence Completed

   0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52

   Sat Mar  6 09:36:49 2021 WARNING: file '/etc/openvpn/tesztlogin.txt' is group or others accessible Sat Mar  6 09:36:49 2021 OpenVPN 2.4.6 x86_64-blackPanther-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Sep 17 2018 Sat Mar  6 09:36:49 2021 library versions: OpenSSL 1.1.1e  17 Mar 2020, LZO 2.10 Sat Mar  6 09:36:49 2021 WARNING: --ping should normally be used with --ping-restart or --ping-exit Sat Mar  6 09:36:49 2021 NOTE: --fast-io is disabled since we are not using UDP Sat Mar  6 09:36:49 2021 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Sat Mar  6 09:36:49 2021 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication Sat Mar  6 09:36:50 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:50 2021 Socket Buffers: R=[131072->131072] S=[16384->16384] Sat Mar  6 09:36:50 2021 Attempting to establish TCP connection with [AF_INET]185.108.106.74:1443 [nonblock] Sat Mar  6 09:36:51 2021 TCP connection established with [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:51 2021 TCP_CLIENT link local: (not bound) Sat Mar  6 09:36:51 2021 TCP_CLIENT link remote: [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:51 2021 TLS: Initial packet from [AF_INET]185.108.106.74:1443, sid=3e35b708 41cd1e1a Sat Mar  6 09:36:51 2021 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this Sat Mar  6 09:36:51 2021 VERIFY OK: depth=2, C=VG, O=Surfshark, CN=Surfshark Root CA Sat Mar  6 09:36:51 2021 VERIFY OK: depth=1, C=VG, O=Surfshark, CN=Surfshark Intermediate CA Sat Mar  6 09:36:51 2021 VERIFY KU OK Sat Mar  6 09:36:51 2021 Validating certificate extended key usage Sat Mar  6 09:36:51 2021 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication Sat Mar  6 09:36:51 2021 VERIFY EKU OK Sat Mar  6 09:36:51 2021 VERIFY OK: depth=0, CN=fr...........com Sat Mar  6 09:36:51 2021 [fr-bod-v024.prod.surfshark.com] Peer Connection Initiated with [AF_INET]185.108.106.74:1443 Sat Mar  6 09:36:52 2021 SENT CONTROL [fr-bod-v024.prod.surfshark.com]: 'PUSH_REQUEST' (status=1) Sat Mar  6 09:36:52 2021 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 162.252.172.57,dhcp-option DNS 149.154.159.92,redirect-gateway def1,sndbuf 524288,rcvbu f 524288,explicit-exit-notify,block-outside-dns,route-gateway 10.7.7.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.7.7.5 255.255.255.0,peer-id 0,cipher AES-256-GCM ' Sat Mar  6 09:36:52 2021 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:7: block-outside-dns (2.4.6) Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: timers and/or timeouts modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --explicit-exit-notify can only be used with --proto udp Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified Sat Mar  6 09:36:52 2021 Socket Buffers: R=[131072->425984] S=[87040->425984] Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --ifconfig/up options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: route options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: route-related options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: peer-id set Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: adjusting link_mtu to 1658 Sat Mar  6 09:36:52 2021 OPTIONS IMPORT: data channel crypto options modified Sat Mar  6 09:36:52 2021 Data Channel: using negotiated cipher 'AES-256-GCM' Sat Mar  6 09:36:52 2021 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sat Mar  6 09:36:52 2021 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Sat Mar  6 09:36:52 2021 ROUTE_GATEWAY 192.168.1.254/255.255.255.0 IFACE=enp3s0f1 HWADDR=74:e6:e2:26:4b:82 Sat Mar  6 09:36:52 2021 TUN/TAP device tun0 opened Sat Mar  6 09:36:52 2021 TUN/TAP TX queue length set to 100 Sat Mar  6 09:36:52 2021 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Sat Mar  6 09:36:52 2021 /usr/sbin/ifconfig tun0 10.7.7.5 netmask 255.255.255.0 mtu 1500 broadcast 10.7.7.255 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 185.108.106.74 netmask 255.255.255.255 gw 192.168.1.254 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.7.7.1 Sat Mar  6 09:36:52 2021 /usr/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.7.7.1 Sat Mar  6 09:36:52 2021 Initialization Sequence Completed

   Amennyiben a kapcsolat konzolból felépül de a rendszer kapcsolatkezelőjével nem, a kapcsolatkezelő beállításai hibásak!