Configuratie Linux

Op linux kan de software op verschillende manier opgestart worden: als systeemservice en handmatig. We gaan er binnen deze configuratiehandleiding vanuit dat u de software middels de package manager heeft geïnstalleerd. In dat geval is de systeemservice van openvpn meegeïnstalleerd.

 

Configs installeren:

Maak een bestand aan in de map /etc/openvpn/ genaamd ‘vpnvoorsidn.conf‘. Kopieer de inhoud van het configuratiebestand dat u in uw controlepaneel kunt downloaden hierin en verzeker jezelf ervan dat er geen ncp-disable regel in aanwezig is. Is die regel er wel dan verwijder die regel. Linux kan er niet mee overweg. Sla het bestand op.

 

Als systeemservice laten opstarten:

Om de vpn automatisch laten op te starten bij het opstarten van de computer dient het bestand /etc/default/openvpn bewerkt te worden. Dit kan met vi, vim, pico, nano of een andere favoriete editor. Dit is de start van het bestand, en het belangrijkste onderdeel:

# This is the configuration file for /etc/init.d/openvpn
#
# Start only these VPNs automatically via init script.
# Allowed values are "all", "none" or space separated list of
# names of the VPNs. If empty, "all" is assumed.
# The VPN name refers to the VPN configutation file name.
# i.e. "home" would be /etc/openvpn/home.conf
#
# If you're running systemd, changing this variable will
# require running "systemctl daemon-reload" followed by
# a restart of the openvpn service (if you removed entries
# you may have to stop those manually)
#
AUTOSTART="all"
#AUTOSTART="none"
#AUTOSTART="home office"

Door het hekje voor de vetgedrukte regel te verwijderen activeer je de regel. Verzeker je ervan dat ‘systemd’ of een alternatieve services manager geinstalleerd is om dit correct te laten werken. Na een systeemherstart zou de VPN dan opgestart moeten worden. Test de verbinding eerst handmatig (zie onder) alvorens je test of het werkt na een systeemherstart.

Het systeembeheer om het als systeemservice te laten werken leveren is niet inbegrepen in deze dienst. Wel de onderstaande handmatige inschakeling/uitschakeling van de VPN.

 

Handmatig inschakelen:

Om de configuratie simpel te houden werken we binnen deze handleiding met de zogenaamde ‘inline config’, één bestand waarbinnen alle configuraties, de private key en de tls key is opgenomen. Dit bestand krijg je toegestuurd van ons zodra je aangeeft met Linux te werken.

Selecteer de map waar je de configuratie wilt opslaan. Dit kan de homedirectory van de user zijn waar je op dit moment mee ingelogd bent ( /home/*user*/ of /usr/*user*/ ) of kies de globale systeemconfiguratiemap /etc/openvpn/. Maak een bestand aan genaamd ‘vpnvoorsidn.conf‘ en kopieer de inhoud van de van ons verkregen config file hierin, en verzeker jezelf ervan dat er geen ncp-disable regel in aanwezig is. Is die regel er wel dan verwijder die regel. Linux kan er niet mee overweg. Sla het bestand op.

Omdat de VPN de routetabel van je systeem aanpast moet je het opstarten met rootrechten. Dit kan door in te loggen als root, maar dan kun je problemen krijgen in het gebruik van andere software zoals Chromium. Chromium schakelt functionaliteit zoals die van VPN’s uit als je de browser start als root. Daarom raden we aan om als normale gebruiker op je desktop in te loggen, en middels sudo in een ssh terminal de vpn op te starten.

 

Stap 1: controleer de reguliere werking:

tim@debian:~$ wget https://drs.domain-registry.nl
--0000-00-00 00:00:00-- https://drs.domain-registry.nl/
Resolving drs.domain-registry.nl (drs.domain-registry.nl)... 2a00:d78:0:b001:94:198:154:136, 94.198.154.136
Connecting to drs.domain-registry.nl (drs.domain-registry.nl)|2a00:d78:0:b001:94:198:154:136|:443... connected.
HTTP request sent, awaiting response... 403 Forbidden
0000-00-00 00:00:00 ERROR 403: Forbidden.

 

Stap 2: de VPN activeren:

tim@debian:~$ sudo openvpn /*de-door-jou-gekozen-config-map*/vpnvoorsidn.conf
[sudo] password for tim: **********
Mon Jan 15 14:56:56 2018 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 26 2017
Mon Jan 15 14:56:56 2018 library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.08
Enter Auth Username: ***********
Enter Auth Password: ********************
Mon Jan 15 14:57:04 2018 Control Channel Authentication: tls-auth using INLINE static key file
Mon Jan 15 14:57:04 2018 Attempting to establish TCP connection with [AF_INET]212.114.113.25:443 [nonblock]
Mon Jan 15 14:57:05 2018 TCP connection established with [AF_INET]212.114.113.25:443
Mon Jan 15 14:57:05 2018 TCPv4_CLIENT link local: [undef]
Mon Jan 15 14:57:05 2018 TCPv4_CLIENT link remote: [AF_INET]212.114.113.25:443
Mon Jan 15 14:57:05 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jan 15 14:57:06 2018 [VPN_SIDN_server] Peer Connection Initiated with [AF_INET]212.114.113.25:443
Mon Jan 15 14:57:08 2018 TUN/TAP device tun0 opened
Mon Jan 15 14:57:08 2018 do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
Mon Jan 15 14:57:08 2018 /sbin/ip link set dev tun0 up mtu 1500
Mon Jan 15 14:57:08 2018 /sbin/ip addr add dev tun0 213.136.30.83/28 broadcast 213.136.30.95
Mon Jan 15 14:57:08 2018 /sbin/ip -6 addr add 2001:7b8:675::40/124 dev tun0
Mon Jan 15 14:57:08 2018 add_route_ipv6(2a00:d78:0:b001:94:198:154:136/128 -> 2001:7b8:675::1 metric -1) dev tun0
Mon Jan 15 14:57:08 2018 add_route_ipv6(2a00:d78:0:b001:94:198:154:189/128 -> 2001:7b8:675::1 metric -1) dev tun0
Mon Jan 15 14:57:08 2018 Initialization Sequence Completed

Zodra de Initialization completed is, is de VPN-client klaar met laden.

 

Stap 3 (controle):
tim@debian:~$ wget https://drs.domain-registry.nl
--0000-00-00 00:00:00-- https://drs.domain-registry.nl/
Resolving drs.domain-registry.nl (drs.domain-registry.nl)... 2a00:d78:0:b001:94:198:154:136, 94.198.154.136
Connecting to drs.domain-registry.nl (drs.domain-registry.nl)|2a00:d78:0:b001:94:198:154:136|:443... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: https://login.domain-registry.nl:443/openam/SSORedirect/*knip*

Moved Temporarily betekent dat SIDN je toelaat in hun netwerk en je doorstuurt naar hun inlogscherm.

Je bent succesvol verbonden! Je kunt nu op je bureaublad Chromium of een andere browser starten en het webdrs van SIDN openen. Deze zal dan via de VPN routeren.

 

Optioneel:

Bovenstaande handmatige manier van werken vergt dat de SSH-terminal geopend blijft gedurende het gebruik van de VPN. Vind je dat onhandig dan kun je ervoor kiezen het proces als daemon op te starten. Dit is een geavanceerdere configuratie, en kunnen we geen support op leveren. Installeer hiervoor de tool ‘screen’ via de package manager van linux. Het opstarten van de VPN-client gebeurt dan met: $ sudo screen openvpn /*de-door-jou-gekozen-config-map*/vpnvoorsidn.conf . Het proces zal dan starten zoals gewoonlijk. Na het inloggen doe je: CTRL+A gevolgd door CTRL+D om het interactieve proces naar de achtergrond te sturen. Je kunt de SSH-terminal dan sluiten. Zodra je de VPN-verbinding wilt sluiten open je een nieuwe SSH-terminal en type je ‘screen -r’ om het proces te heractiveren en vervolgens typ je CTRL+C om het VPN-proces te beeïndigen.