Fakultní VPN

Motivace

bezpečnostních důvodů poskytujeme některé fakultní služby jenom pro stroje v sítí MU, případně jenom v síti FI. Také můžete narazit na to, že některé elektronické zdroje dostupné pro univerzitu jsou přístupné jenom z její sítě. Někdy se vám také může hodit mít zabezpečené spojení, které odstíní riziko odposlechu či modifikace vašeho spojení v nedůvěryhodné lokální síti. Pro tyto případy můžete využít fakultní VPN založenou na OpenVPN.

Jak se připojit

Konfiguraci pro připojení naleznete ve Fakultní administrativě:

Stáhnout konfiguraci VPN

Přihlašujte se fakultními přihlašovacími údaji.

Nezapomeňte, že po připojení se na vás vztahují pravidla používaní počítačové sítě FI MU.

Windows

Využijte klienta OpenVPN. Při připojování je potřeba v upozornění centra zabezpečení umožnit programu přístup do vnitřní i vnější sítě.

Linux

Pro konfiguraci doporučujeme použít NetworkManager. Budete potřebovat nainstalovaný balíček openvpn a podporu VPN v NetworkManageru přes balíček network-manager-openvpn-gnome nebo obdobný dle vašeho desktopového prostředí.

Staženou konfiguraci VPN importujte přes Network Manager. V dialogu vyplňte alespoň přihlašovací jméno, zadejte váš fakultní login (jinak by se použil název vašeho lokálního účtu). V případě problémů pod KDE viz FAQ.

Pro zkušené uživatele může být vhodná možnost připojit se ručně příkazem openvpn VPN_FI_MU.ovpn (jsou potřeba superuživatelská práva). Upozorňujeme ale, že v takovém případě pravděpodobně nedojde k automatickému nastavení DNS serverů, tudíž vaše DNS dotazy nebudou chráněny VPN.

Android

Využijte klienta OpenVPN for Android. Pozor, aplikaci OpenVPN Connect pro tyto účely nelze použít. Po stažení konfigurace ji importujte přes ikonku se šipkou v pravém horním rohu aplikace. Následně klikněte na název nově vytvořeného profilu a připojte se.

macOS

Využijte klienta Tunnelblick.

iOS

Využijte aplikaci OpenVPN Connect. Staženou konfiguraci pro připojení k VPN pak přes sdílení zkopírujte do aplikace OpenVPN Connect.

Ověření funkčnosti

Po připojení dostanete vnitřní adresy z rozsahů 172.27.0.0/20 a 2001:718:801:207::/64.

Vnější adresa bude 147.251.58.69 a 2001:718:801:23a::45. Můžete si to ověřit například naší stránkou https://wifi.fi.muni.cz/ nebo externí službou https://www.whatismyip.com/.

FAQ

  • Nefunguje mi přihlašování
    Na rozdíl od univerzitního VPN se používají fakultní přihlašovací údaje, t.j. fakultní login a fakultní heslo. Umíte se jimi přihlásit k jiné službě FI?
  • Používám linuxovou distribuci (Debian/Ubuntu/...) a nefunguje mi DNS
    Vaše metoda připojení k VPN zřejmě nenastavuje DNS zasílané VPN serverem (např. při přímém použití openvpn) a zároveň váš poskytovatel Internetu neumožňuje použití jeho DNS serverů z vně jeho sítě (např. u UPC/Vodafone). Také to samozřejmě značí, že vaše DNS dotazy putují mimo VPN. Můžete zkusit upravit ovpn konfiguraci dle návodů.
  • Přestalo mi fungovat odesílání pošty z klienta
    V síti FI, potažmo MU, je nutné pro zamezení šíření nevyžádané pošty používat v poštovním klientovi SMTP server buď fakultní (relay.fi.muni.cz) nebo univerzitní (relay.muni.cz).
  • Split tunneling mi pro některé služby na FI/MU nefunguje
    Konfigurace pro split tunneling musí obsahovat výpis všech sítí FI, resp. MU. V horizontu let se tento seznam může měnit a může se tedy stát, že vaše konfigurace přestane být aktuální. Zkuste použít plnou VPN a pokud vám přístup z ní k službě funguje, aktualizujte split tunneling konfiguraci stažením nové verze.
  • VPN mě vždy po dni odpojí nebo zobrazí vyrušující zprávu o znovupřipojení
    Pravděpodobně nemáte v klientovi uložené heslo. Každých 24 hodin dochází k obnově TLS klíčů, která vyžaduje reautentizaci. Řešením je tedy buď uložit si heslo do vašeho klienta, nebo můžete do svého konfiguračního souboru VPN přidat (nebo upravit existující) řádek reneg-sec N, kde N je dostatečně dlouhá doba ve vteřinách, po které dojde k obnově TLS klíčů.
  • Nefunguje mi připojení pod KDE
    KDE bohužel nepoužívá standardní implementaci pro práci s VPN soubory, ale vlastní. Řešením je importovat konfiguraci přímo přes nástroj nmcli pod svým účtem (ne pod rootem): nmcli connection import type openvpn file /path/to/file.ovpn Následně lze přihlašovací jméno a heslo doplnit už v grafickém rozhraní.
  • VPN se neuplatňuje na (video)hovory
    Jde o známy problém daný tím, že videohovory v prohlížečích využívají WebRTC, které se pomocí ICE (vidícího všechny síťová rozhraní v systému) a STUN snaží najít nejvhodnější způsob komunikace protistranou. Díky tomu proto může dojít k explicitnímu výběru (ne-VPN) rozhraní, pomocí kterého se obejde směrovací tabulka, na kterou právě VPN spoléhá a upravuje ji tak, aby zabezpečila strhnutí všeho provozu stroje na sebe. Pokud byste si chtěli být jisti, že vás tento problém nepostihne, je nutné WebRTC v prohlížeči zakázat.

Něco zde schází? Napište nám.

Alternativy

Vzhledem k tomu, že VPN zásadním způsobem mění vaše připojení do Internetu, můžete také zvážit alternativní způsoby, jak vystupovat pro naše fakultní nebo univerzitní či jiné externí služby, jako byste přistupovali ze sítě FI.

Lze také využít univerzitní VPN, ač vám nemusí zpřístupnit některé služby (dostupné jenom ze sítě FI).

Nebo viz také heslo na Wikipédii.