2017. július 22., szombat English version
Az Egyetemről  --  Szervezeti felépítés  --  Központi szolgáltató egységek  --  Központi szolgáltatások  --  VPN

VPN szolgáltatás

Utolsó módosítás: 2013. március 12.


A Szegedi Tudományegyetem Egyetemi Számítóközpontja VPN szolgáltatást indít be távoli munkavégzés céljára. A szolgáltatás fő jellemzője, hogy az Internet bármely pontjáról, egy titkosított kapcsolaton keresztül lehet csatlakozni az Egyetem hálózatához, s azon keresztül az Internethez - egyetemi IP címmel.

VPN ügymenet
Letöltések
Jelszóváltás
Jelszó ellenőrzése
Igénylőlap
Üzemeltetési információk

Az alábbiakban részletesen ismertetjük a szolgáltatást.

I.
Bevezetés
II.
VPN
III.
SZTE VPN
IV.
A VPN szolgáltatás jellemzői
V.
Felhasználói segédletek (pdf)
VI.
Gyakran feltett kérdések
VII.
Információ
VIII.
Hibabejelentés

 

I. Bevezetés

A Szegedi Tudományegyetem Egyetemi Számítóközpontja (továbbiakban ESZK) a szolgáltatókkal együttműködve 2003 óta nyújt szélessávú Internet szolgáltatást az egyetemi dolgozóknak. Az elmúlt évek tapasztalatai - az előnyök és hátrányok vonatkozásában - a következőképpen foglalhatók össze:

Előnyök:

  • Egyetemi IP cím.
  • Egyedi rendszer, független a külső hálózattól.

Hátrányok:

  • Előfizetési helyhez kötött.
  • Egyedi rendszer, a menedzselés mind műszaki, mind ügyintézési szempontból egyedi kezelést igényel.
  • A keretszerződés nem vagy csak igen lassan követi a piaci ár/sávszélesség arányokat.

A fentiek miatt a KTV felhasználók száma a 2006-os csúcs után folyamatosan csökken, míg az ADSL felhasználók száma stagnál.

Ezért 2009 nyarán az ESZK a VPN szolgáltatás bevezetése mellett döntött.

II. VPN

A VPN a virtual private network, magyarul virtuális magánhálózat rövidítése.

A fogalom megértéséhez ismertetjük az egyik tipikusnak nevezhető VPN szcenáriót.

Adott egy intézmény egy saját hálózattal, azon belül olyan szolgáltatásokkal, melyeket biztonsági okokból a külső hálózatból nem vagy csak korlátozottan lehet elérni. Egy ilyen rendszert szokás intranetnek is hívni. Az intézmény dolgozói (továbbiakban kliensek) az intranetet nemcsak "belülről" szeretnék használni, hanem "kívülről" is, azaz otthonról vagy bármilyen, az intranettől fizikailag távol levő helyről - biztonságosan. A külső elérésre biztonságosnak tekinthető megoldás az (optikai vagy réz) bérelt vonal, de ez drága és nem mobilis. Egy "közönséges" kereskedelmi Internet hozzáférés kedvezőbb árú, most már létezik mobil változat is, viszont nem biztonságos, mert a kliens és az intranet közötti forgalom a publikus internet hálózaton zajlik, kitéve mindenféle támadásnak (lehallgatás, hamisítás stb.).

A VPN alapgondolata az, hogy - a kliens megfelelő azonosítása után - építsünk ki az Interneten a kliens és az intranet (pontosabban egy, az intranetben működő szerver) között egy titkosított csatornát (tunnelt), melynek forgalmát csak a kapcsolat két végén levő számítógépek tudják értelmezni. A csatornán belüli forgalmazás az intranethez tartozó privát vagy publikus IP címmel történik, amit a szerver oszt ki a kliensnek. Ehhez kell egy eljárás (protokoll), egy kliens (szoftver és hardver), egy szerver (szoftver és hardver), valamint a rendszer része egy vagy több kliens/felhasználó azonosítási módszer, és a hozzá tartozó adatbázis.

A szakirodalom ezt a szcenáriót remote access VPN-nek (távoli elérést biztosító virtuális magánhálózatnak) nevezi. (Lásd az ábrát.)
Másik példa: A két intranetet hasonló elven összekötő megoldást site-to-site VPN-nek hívják.

Egy remote access VPN-nel kiépített internetkapcsolat lényeges jellemzője, hogy a célállomás forráscímként nem a kliens eredeti IP címét, hanem a VPN szerver által a kliensnek (dinamikusan) kiosztott IP címet látja. Ugyanis a kapcsolat két részre bontható:

  • A kliens és a VPN szerver közötti titkosított kapcsolat, ahol a tunnelt megvalósító IP csomagokban "külső" IP címként a kliens eredeti és a VPN szerver IP címe szerepel.
  • A VPN szerver és a célállomás közötti titkosítás nélküli kapcsolat, ahol az IP csomagokban IP címként a VPN szerver által a kliensnek (dinamikusan) kiosztott IP cím és a célállomás IP címe szerepel.

Tehát egy VPN-nel kiépített kapcsolat nagyjából annyira tekinthető biztonságosnak, amennyire egy intranetből kezdeményezett kapcsolat az. A biztonság szintje például úgy növelhető, ha a második részt is védetté tesszük valamilyen módon. Ezenkívül létrehozhatók további, speciális célú VPN szerverek is, melyek segítségével nem a teljes internetet, hanem csak egy meghatározott alhálózatot vagy csak egyetlen szolgáltatást lehet elérni.

Megjegyzés:

A VPN fogalom a fentieknél jóval általánosabban is értelmezhető. Mivel azonban az internet feletti remote access VPN az egyik legelterjedtebb használati mód, ezért a VPN-t gyakran ezzel azonosítják. A VPN-nek ugyanis léteznek nem Internet feletti és nem titkosított változatai is. Az elsőre jó példa az (egyetemi) ADSL, amely L2TP felett teszi lehetővé az IP forgalmazást, míg a másodikra az egyetemi KTV-rendszer, amely a T-Home szegedi hálózatán belül működik önálló, zárt hálózatként.

Az ESZK a különböző remote access VPN megoldások közül az OpenVPN (szabad) szoftvert választotta - SSL/TLS-alapú csatorna titkosítással. (Tényszerű összehasonlítást a Cisco IPSec-alapú EasyVPN rendszerével végeztünk.)

A felhasználói (kliens) azonosítási módok közül a hagyományosnak tekinthető azonosító/jelszó alapján történő azonosítást választottuk, FreeRADIUS-szal. (A megvizsgált alternatíva az ún. self-signed digitális tanúsítvány volt.)

A VPN megoldások használatával összefüggésben érdemes megjegyezni a következőket:

  • A tunnelek működtetése plusz hardver és szoftver erőforrásokat, valamint időt igényel. Például, a TCP feletti SSL protokoll a hozzá tartozó fejléc információkkal önmagában is növeli az átvitt adatok mennyiségét, csökkentve ezzel a hasznos adatok (az ún. payload) arányát. Ezenkívül az adó tömöríti és kódolja az IP csomagok adatrészét, míg a vevő dekódolja és kibontja.
  • A "tunnel a tunnelben" megoldások működése kétséges és nem is támogatott. Ha a kliens úgy csatlakozik már magára az internetre is, hogy VPN-t használ (például nyitott WiFi, IPSec-alapú autentikációval és titkosítással), akkor már nem fog tudni csatlakozni az intranetes VPN-hez.

III. SZTE VPN

Az SZTE VPN egy SSL/TLS-alapon működő OpenVPN rendszer.

Az OpenVPN szoftver az OpenVPN Technologies terméke, amely egy nyílt forráskódú, GPL licencű programcsomag. Az installáláskor lehet megadni, hogy a programot szerver vagy kliens üzemmódban kívánjuk használni. A Windows-os telepítő csomaghoz hozzátartozik egy GUI (grafikus felhasználói interfész) is. A teljes rendszer fő komponensei:

  • OpenVPN szerver.
  • OpenVPN kliens.
  • RADIUS autentikációs/autorizációs szerver.

Az itt ismertetésre kerülő OpenVPN rendszer speciálisnak tekinthető abban az értelemben, hogy bizonyos installálási opcióknak és paramétereknek konkrét értéket adtunk. Ezek közül a fontosabbak a következők:

  • A csatornák titkosítása TCP protokollon, SSL/TLS-sel történik.
  • Az SZTE VPN szerver a tcp/1194 vagy a tcp/80 porton érhető el. Amennyiben a kliens számítógép tűzfal mögött van, akkor annak meg kell engednie, hogy a számítógép kapcsolatot kezdeményezzen e portok felé és válaszokat kapjon TCP protokollon.
  • A kliensek azonosítása a ca.crt és ta.key fájlokkal, a felhasználók azonosítása egy azonosító/jelszó pár megadásával történik.
  • Az SSL/TLS titkosított csatorna kódolására a rendszer 2048 bites szimmetrikus kulcsokat használ. A kezdeti kulcs az installációkor kerül fel a kliensre (a ca.crt fájlban) és természetesen megegyezik a szerveren levő kulccsal. Utána a rendszer meghatározott időközönként lecseréli a kulcsokat.
  • A TCP-be csomagolt (titkosított) Ethernet csatorna a kliens és a szerver TAP interfészeinek (virtuális hálózati kártyáinak) segítségével jön létre.
    • A kliens TAP interfészének az OpenVPN szerver oszt ki (dinamikusan) egy IP címet.
    • A konfiguráció nem teszi lehetővé a "split tunnelinget", azaz ha a kliens csatlakozott az OpenVPN szerverhez, akkor a kapcsolat lebontásáig a kliens összes Internet forgalma a csatornán keresztül zajlik, a fenti IP címmel.

A jelen honlapról letölthető kliens üzemmódú programcsomag-változat prekonfigurált, azaz bizonyos opciókat és paramétereket előre beállítottunk.

IV. A VPN szolgáltatás jellemzői

1. A szolgáltatás igénybevételéhez szükséges egy internet hozzáférés. Amennyiben a számítógép tűzfal mögött van, akkor annak meg kell engednie, hogy a számítógép kapcsolatot kezdeményezzen a tcp/1194 vagy a tcp/80 port felé és válaszokat kapjon TCP protokollon.

2. Az SZTE VPN rendszer a felhasználó számítógépe számára egyetemi IP címmel történő internet elérést biztosít. Az IP címek kiosztása dinamikus, azaz nem fix.

3. A 2. pontban leírt internetelérés kiépülését megelőzően a rendszer a felhasználót egyedi azonosító/jelszó párral azonosítja. Az azonosító alakja: felhasznalonev@vpn.u-szeged.hu (kisbetűvel).
A rendszer harmadik fő komponense a felhasználók autentikációját és autorizációját ellátó RADIUS szerver.
Az autentikáció lényegében azt jelenti, hogy az OpenVPN szerver a RADIUS szerver segítségével ellenőrzi a felhasznalonev@vpn.u-szeged.hu alakú azonosító érvényességét, valamint a megadott jelszó helyességét. Jelenleg az a konvenció van érvényben, hogy az ADSL, KTV és VPN szolgáltatásoknál egy személy esetén a felhasznalonev és a jelszó azonos.
Az autorizáció során az OpenVPN szerver a RADIUS szerver segítségével ellenőrzi, hogy a (már sikeresen autentikált) felhasználó jogosult a szolgáltatás igénybevételére, valamint ekkor állíthatók be bizonyos paraméterek (pl. IP cím).
Tehát, ha egy felhasználónak van már azonosítója egy szolgáltatáshoz a fentebb említett három közül, és szeretne egy másikhoz is hozzáférni, akkor azt külön kell igényelni. Új felhasználónevet és jelszót azonban már nem kap hozzá, csak az azonosítóban a suffixet (RADIUS terminológiával realm-ot) kell lecserélni például az "szte.adsl"-ről "vpn.u-szeged.hu"-ra.

4. Az otthoni internetezésre ugyanazok a szabályok vonatkoznak, mint a munkahelyire (Számítógépes Infrastruktúra Szabályzat, Informatikai Biztonsági Szabályzat, Az NIIF Felhasználói Szabályzata), kiegészítve néhány hálózatbiztonságot növelő megszorítással. Az alapértelmezések a következők: UDP protokollon csak egyetemi címeket lehet elérni, TCP és ICMP protokollon bármilyen címet, forgalmazást csak a felhasználó tud kezdeményezni.

5. A felhasználói számítógépre vonatkozó követelmények:

  1. Hardver
    1. Pentium III 633MHz vagy annál nagyobb teljesítményű processzor
    2. Legalább 256 MB RAM (ajánlott 512 MB)
    3. Merevlemez, az operációs rendszer mellett legalább 10 MB szabad terület
    4. A hálózati csatlakozáshoz szükséges (Ethernet, WiFi, GPRS stb.) interfész kártya vagy modem

  2. Szoftver
    1. Windows XP, Windows Vista vagy Windows 7 operációs rendszer
    2. OpenVPN kliens-szoftver

Más operációs rendszerek vagy hardver platformok is használhatók, amennyiben azokhoz a felhasználó maga letölti, telepíti és beállítja a szükséges telepítő csomagot az OpenVPN projekt honlapjáról. (Lásd ajánlott linkek.)

V. Felhasználói segédletek (pdf)

VI. Gyakran feltett kérdések

1. Működik-e NAT-tal együtt a VPN szolgáltatás?

Igen, feltéve, hogy a NAT-olást végző eszköz tűzfal szabályai ezt lehetővé teszik.

2. A VPN kapcsolat kiépítése után nem működik megfelelően a szolgáltatás Windows Vista/7/8 operációs rendszerek alatt. Mit tegyek?

Azt javasoljuk, hogy a Felhasználói segédlet 6-os, 7-es pontját olvassa el.

3. Ugyanazzal az azonosítóval bejelentkezhetek-e egyidőben több számítógépről?

Nem. Egy VPN azonosító egyidőben csak egy számítógépről használható.

4. Az OpenVPN kliens nem tud csatlakozni a szerverhez és a következő hibát jelzi:

"All TAP-Windows adapters on this system are currently in use."
Ez a hiba az OpenVPN által telepített virtuális hálózati adapter problémáját jelzi.
A megoldáshoz javasolt az adapter letiltása és újra engedélyezése vagy ha ez nem segít, a driver újra telepítése.

  1. megoldás: az adapter letiltása/engedélyezése

Nyissa meg a Vezérlőpult > Hálózat és Internet > Hálózati és megosztási központ > Adapterbeállítások módosítása
Keresse meg a TAP-Windows Adaptert.
Klikkeljen a jobb gombbal a TAP adapter ikonjára > Letiltás
Újra klikkeljen a jobb gombbal a TAP adapter ikonjára > Engedélyezés

  2. megoldás: telepítse újra a TAP adapter driverét

A következő lépéseket csak saját felelősségére végezze el. Amennyiben bármilyen kérdése merülne fel, javasoljuk hogy forduljon egy szakértő rendszergazdához.
Ellenőrizze hogy telepítve van-e a TAP adapter, megnyitva a Vezérlőpulton keresztül a Windows Eszközkezelőt.
A Hálózati kártyák alatt keresse meg a TAP-Win adaptert és jobb klikk után válassza az eltávolítás opciót.
Ezek után töltse le és telepítse az OpenVPN honlapjáról a TAP drivert.
Rendszergazda jogokra lesz szüksége a telepítéshez.
Ha az előző két megoldás nem vezetett sikerre, javasoljuk az OpenVPN kliens újra telepítését.

VII. Információ

Általános információ:
E-mail: homeworking@cc.u-szeged.hu
Tel.: 544-227 (SZTE ESZK Help Desk)

Adminisztratív ügyekben (pl. szolgáltatás hozzáférési jogosultság):
Dr. Borús András
Tel.: 544-346

Levelezési lista (technikai és üzemeltetési információk):
vpn-l@cc.u-szeged.hu
A levelezési lista zárt, azaz csak a listatagok írhatnak a listára levelet, és csak egyetemi, azaz u-szeged.hu végű e-mail címmel lehet a listára feliratkozni.

A fel- és leiratkozás módjai:

a. A https://www.staff.u-szeged.hu/mailman/listinfo/vpn-l URL útján.

b. Levelet lehet küldeni a vpn-l-request@cc.u-szeged.hu címre, Subject: subscribe/unsubscribe, a levél szövege közömbös.

VIII. Hibabejelentés

A rendszerrel kapcsolatos problémákkal az Egyetemi Számítóközpont hibabejelentő telefonszámait lehet felhívni:
hétköznap munkaidőben: 544-227 (Help Desk)
hétköznap munkaidőn kívül: 544-226 (géptermi operátor)
hétvégén: 545-863 (műszaki ügyelet)

vagy elektronikus levelet lehet írni a
homeworking@cc.u-szeged.hu címre.

Dr. Borús András
SZTE ESZK
Tel.: 544-346

 

 

DSC_3290_230x154.png

Elérhetőségek

Elérhetőségek

Postacím: 6701 Szeged, Pf.: 652
Utcai cím: 6720 Szeged,
Árpád tér 2.
Tel./fax: +36-62-420227
E-mail: szkiroda@cc.u-szeged.hu 

Fontosabb telefonszámok

Fontosabb telefonszámok

Help Desk
Gépterem
Hálózati hibabejelentés
munkanapokon
szabad- és ünnepnapokon
Titkárság
Porta
54-4227
54-4226
 
54-4226
54-5863
54-4224
54-4222
Bezár