Wirtualne Sieci Prywatne - Część 4: OpenVPN

OpenVPN: Wstęp i charakterystyka

1/40

OpenVPN to standard de facto w świecie protokołów VPN typu Open Source.
Projekt zainicjowany przez Jamesa Yonana w 2001 roku.
W odróżnieniu od IPSec, działa w przestrzeni użytkownika (User Space), co ułatwia jego implementację i przenośność.
Bazując na bibliotece OpenSSL, oferuje niezwykle szerokie możliwości kryptograficzne.
Dostępny na niemal każdą platformę: Windows, Linux, macOS, Android, iOS oraz systemy wbudowane (MikroTik, Ubiquiti, OpenWRT).

Architektura: SSL/TLS VPN

2/40

OpenVPN to pełna implementacja SSL VPN.
Wykorzystuje protokół TLS do bezpiecznej wymiany kluczy i uwierzytelniania.
Unikalna elastyczność: może operować na dowolnym porcie (TCP lub UDP).
Standardowy port: UDP 1194.
Możliwość emulacji ruchu HTTPS (TCP 443) pozwala skutecznie omijać restrykcyjne zapory sieciowe i systemy cenzury.

User Space vs Kernel Space

3/40

Kernel Space (IPSec, WireGuard): Rozwiązania zintegrowane z jądrem systemu. Bardzo wysoka wydajność i minimalne opóźnienia.
User Space (OpenVPN): Działa jako niezależna aplikacja systemowa.
Droga pakietu: Karta sieciowa -> Jądro -> Aplikacja OpenVPN (szyfrowanie) -> Jądro -> Wirtualny interfejs.
To cykliczne przełączanie kontekstu (Context Switching) bywa wąskim gardłem wydajnościowym OpenVPN.
Nowoczesne wersje (DCO - Data Channel Offload) dążą do optymalizacji poprzez przeniesienie szyfrowania danych bezpośrednio do jądra.

Wirtualne interfejsy: TUN vs TAP

4/40

OpenVPN bazuje na wirtualnych sterownikach kart sieciowych.
TUN (Tunnel): Emuluje warstwę sieciową (L3). Przesyła pakiety IP. Optymalny dla klasycznego routingu. Jedyny tryb wspierany natywnie przez urządzenia mobilne (Android/iOS).
TAP (Network Tap): Emuluje warstwę łącza danych (L2). Przesyła pełne ramki Ethernet. Niezbędny do mostkowania (Bridging) sieci oraz obsługi protokołów nie-IP (np. gry LAN, stare standardy). Generuje jednak wyższy narzut ruchu (Broadcast).

Transport: UDP vs TCP

5/40

OpenVPN oferuje wybór protokołu transportowego.
Dlaczego UDP jest zalecane? Unikamy zjawiska "TCP over TCP Meltdown".
W przypadku utraty pakietu w tunelu, mechanizmy retransmisji TCP aplikacji wewnętrznej (np. przeglądarki) kolidowałyby z retransmisjami protokołu VPN, powodując drastyczny wzrost opóźnień.
UDP (Fire-and-Forget) pozwala aplikacji wewnątrz tunelu samodzielnie zarządzać integralnością, co jest kluczowe dla stabilności połączenia.
TCP stosujemy wyłącznie w celach omijania blokad (np. port 443).

Infrastruktura Klucza Publicznego (PKI)

6/40

Fundamentem bezpieczeństwa OpenVPN są certyfikaty X.509.
Główne komponenty systemu:
- CA (Certificate Authority): Urząd certyfikacji sprawujący nadzór nad zaufaniem.
- Server Cert & Key: Unikalna para kluczy poświadczająca tożsamość serwera.
- Client Cert & Key: Para kluczy identyfikująca konkretnego użytkownika.
- Diffie-Hellman (dh.pem): Parametry umożliwiające bezpieczne ustalenie kluczy sesyjnych bez ich przesyłania jawnie przez sieć.

Narzędzie Easy-RSA

7/40

Samodzielne zarządzanie certyfikatami w czystym OpenSSL jest procesem złożonym.
Narzędzie Easy-RSA (zestaw skryptów powłoki) automatyzuje i upraszcza proces PKI.
Typowy obieg pracy (Workflow):
1. Inicjalizacja środowiska PKI.
2. Utworzenie centrum CA (plik ca.key musi być pilnie strzeżony!).
3. Wygenerowanie i podpisanie certyfikatu serwera.
4. Wygenerowanie i podpisanie certyfikatów dla użytkowników końcowych.
Systemy klasy RouterOS posiadają wbudowane menedżery certyfikatów, co eliminuje potrzebę stosowania Easy-RSA.

Dodatkowa ochrona: TLS-Auth / TLS-Crypt

8/40

Zaawansowany mechanizm obronny przed atakami typu DoS oraz skanowaniem infrastruktury.
Wykorzystuje wspólny klucz statyczny (np. ta.key) do podpisywania pakietów kontrolnych.
Zasada działania: Jeśli pakiet inicjujący nie zawiera poprawnego podpisu HMAC, serwer odrzuca go natychmiast, nie podejmując kosztownej procedury TLS.
Dla niedoszłego atakującego serwer OpenVPN wydaje się być nieaktywny (status "closed" lub "filtered"), co zwiększa poziom dyskrecji.

OpenVPN w RouterOS: Podstawy (1)

9/40

Konfiguracja wymaga wcześniejszego importu certyfikatów do bazy systemowej.

                # 1. Definiowanie puli adresowej dla klientów VPN

                /ip pool add name=ovpn-pool ranges=10.8.0.10-10.8.0.100

                # 2. Konfiguracja profilu PPP (brama lokalna i DNS)

                /ppp profile add name=ovpn-profile local-address=10.8.0.1 remote-address=ovpn-pool dns-server=8.8.8.8

OpenVPN w RouterOS: Uruchomienie usługi (2)

10/40

Aktywacja serwera z wyborem bezpiecznych parametrów:

                /interface ovpn-server server set

                enabled=yes

                certificate=Server-Certificate

                require-client-certificate=yes

                auth=sha256 cipher=aes128,aes256

                default-profile=ovpn-profile

                netmask=24

Uwaga: W RouterOS v7 zyskujemy wsparcie dla zalecanego protokołu UDP!

Uwierzytelnianie: Baza Secrets

11/40

Choć OpenVPN bazuje na certyfikatach, MikroTik domyślnie wymaga również danych z bazy PPP Secrets.
Taka konfiguracja realizuje model Two-Factor Authentication (2FA) – użytkownik musi posiadać fizyczny certyfikat ORAZ znać hasło.
Tworzenie użytkownika:
/ppp secret add name=jan password=SkonplikowaneHaslo123 profile=ovpn-profile
Zwiększa to drastycznie poziom bezpieczeństwa w razie kradzieży urządzenia klienckiego.

Struktura pliku .ovpn

12/40

Każdy klient OpenVPN wymaga pliku konfiguracyjnego z rozszerzeniem .ovpn.
Jest to czysty plik tekstowy zawierający instrukcje dla silnika VPN.
Najbardziej polecanym formatem jest tzw. Unified Config – model, w którym certyfikaty są zaszyte bezpośrednio w pliku, co eliminuje konieczność przesyłania wielu załączników.

Analiza pliku .ovpn: Sekcja nagłówkowa

13/40

                client

                dev tun (Tryb L3)

                proto udp (Preferowany transport)

                remote vpn.firma.pl 1194

                resolv-retry infinite

                nobind

                persist-key

                persist-tun

                auth-user-pass (Wymóg loginu/hasła)

Komendy te definiują podstawowe zachowanie klienta: adres docelowy, typ tunelu oraz metodę nawiązywania połączenia.

Analiza pliku .ovpn: Szyfrowanie i NCP

14/40

                cipher AES-256-GCM

                auth SHA256

                remote-cert-tls server

NCP (Negotiable Crypto Parameters): Nowoczesne wersje OpenVPN potrafią automatycznie wynegocjować najlepszy dla obu stron algorytm szyfrowania (np. AES-GCM dla wydajności sprzętowej).

Krytyczna zasada: Parametry kryptograficzne muszą być zgodne z możliwościami serwera, w przeciwnym razie połączenie zostanie przerwane.

Certyfikaty wewnątrz pliku (Inline)

15/40

Umieszczenie danych PKI wewnątrz pliku konfiguracyjnego zwiększa wygodę i bezpieczeństwo dystrybucji.

                <ca>

                -----BEGIN CERTIFICATE-----

                (Część publiczna CA w formacie Base64)

                -----END CERTIFICATE-----

                </ca>

                <cert>

                (Certyfikat klienta)

                </cert>

                <key>

                (Klucz prywatny klienta - CHRONIĆ!)

                </key>

Oprogramowanie klienckie

16/40

OpenVPN Community GUI: Klasyczne rozwiązanie dla systemu Windows (ikona w zasobniku systemowym). Pozwala na precyzyjny podgląd logów sesji.
OpenVPN Connect: Oficjalna aplikacja od twórców OpenVPN Inc. Oferuje nowoczesny interfejs graficzny, ułatwioną procedurę importu profili oraz optymalizacje pod systemy mobilne.
Import pliku Profilu realizuje system drag-and-drop lub menu "Import Profile".

Mechanizm Push: Zdalne zarządzanie routingiem

17/40

Jedna z najsilniejszych cech OpenVPN: Serwer może "wypchnąć" konfigurację do klienta po nawiązaniu sesji.
Użytkownik nie musi ręcznie dodawać tras do sieci korporacyjnej. Serwer robi to automatycznie.
Przykładowa dyrektywa serwera:
push "route 192.168.10.0 255.255.255.0"
Po połączeniu, system operacyjny klienta wzbogaci swoją tablicę routingu o trasę do docelowej sieci lokalnej firmy.

Pełne tunelowanie (Redirect Gateway)

18/40

Wymuszenie, aby CAŁY ruch internetowy klienta przechodził przez zabezpieczony tunel (np. ochrona w kawiarnianym Wi-Fi).
Komenda serwera: push "redirect-gateway def1".
Parametr def1 inteligentnie chroni dostęp do lokalnej sieci użytkownika, tworząc dwie precyzyjne trasy zastępcze zamiast usuwania domyślnej bramy.

Kompresja danych a bezpieczeństwo (VORACLE)

19/40

Historycznie popularne parametry (np. comp-lzo) są obecnie odradzane.
Podatność VORACLE: Atakujący może wyciągnąć informacje o zaszyfrowanej treści, analizując różnice w stopniu kompresji wstrzykniętych danych.
Zalecenie: Wyłącz kompresję dla zwiększenia bezpieczeństwa kryptograficznego.
Błąd "Bad Compression Stub" świadczy o niezgodności ustawień kompresji między klientem a serwerem.

Zastosowania w środowiskach Cloud

20/40

OpenVPN jest idealny do łączenia infrastruktur chmurowych (AWS, Azure, GCP).
Ponieważ bazuje na standardowym ruchu UDP/TCP, nie napotyka barier na zaporach chmurowych, które często blokują specyficzne protokoły takie jak ESP (IPSec) czy Protocol 47 (GRE).
Wystarczy otwarcie jednego portu w tzw. Security Group dostawcy.

CCD: Personalizacja konfiguracji klienta

21/40

CCD (Client Config Directory): Pozwala na przypisanie unikalnych ustawień (np. konkretnego IP lub tras) dla specyficznego użytkownika.
W folderze CCD tworzymy plik o nazwie identycznej z Common Name (CN) certyfikatu klienta.
Daje to administratorowi pełną kontrolę nad granulacją uprawnień – np. dział HR dostaje dostęp tylko do serwera kadr, a dział IT do całej infrastruktury.

Skrypty Up/Down – Automatyzacja lokalna

22/40

Możliwość automatycznego uruchamiania zadań w systemie po zmianie statusu połączenia.
Scenariusze:
- Automatyczne mapowanie dysków sieciowych po udanym logowaniu.
- Dynamiczne czyszczenie tablic routingu po rozłączeniu.
- Powiadomienia administratora (np. przez e-mail/Slack) o nowej sesji.

Integracja z MFA (Multi-Factor Authentication)

23/40

Wsparcie dla wtyczek (Plugins) umożliwia integrację z systemami OTP (One-Time Password).
Najpopularniejsze: integracja z Google Authenticator lub serwerami RADIUS/AD.
Użytkownik przy logowaniu dopisuje dynamiczny kod z aplikacji mobilnej do swojego stałego hasła.
Gwarantuje to bezpieczeństwo nawet w przypadku kradzieży fizycznego klucza i hasła.

OpenVPN Access Server (Wersja komercyjna)

24/40

Rozwiązanie korporacyjne z gotowym Panelem Administracyjnym (GUI).
Darmowa licencja pozwala na 2 jednoczesne połączenia (idealne do nauki/testów).
Główna zaleta: Intuicyjne zarządzanie certyfikatami i użytkownikami bez konieczności pracy w konsoli Linuxa.
Udostępnia portal Web dla użytkowników, skąd mogą pobrać prekonfigurowane paczki instalacyjne.

Diagnostyka: Błąd "TLS Error"

25/40

Komunikat: TLS key negotiation failed to occur within 60 seconds.
Interpretacja: Pakiety klienta nie uzyskują odpowiedzi od serwera.
Przyczyny:
- Zapora (Firewall) blokuje port UDP 1194.
- Niezgodność protokołów (np. klient próbuje TCP, serwer nasłuchuje na UDP).
- Błędny klucz TLS-Auth (jeśli włączony).

Diagnostyka: Pętle routingu (Routing Loop)

26/40

Błąd logiczny: Próba skierowania ruchu do publicznego adresu serwera przez ten sam tunel, który go tworzy.
OpenVPN zazwyczaj dodaje automatyczny wyjątek (/32) dla IP serwera, ale błędy w statycznym routingu mogą doprowadzić do zawieszenia sesji (tzw. Incepcja pakiety szyfrowanego w szyfrowanym).

Problemy z czasem systemowym (Clock Skew)

27/40

Certyfikaty kryptograficzne posiadają ścisłe ramy ważności czasowej.
Jeśli czas na routerze lub komputerze klienta jest błędny (np. wyczerpana bateria RTC), certyfikat zostanie uznany za nieaktywny.
Komunikat: Certificate is not yet valid lub expired.
Rozwiązanie: Obowiązkowe stosowanie protokołu NTP na wszystkich węzłach VPN.

Analiza logów systemowych

28/40

Parametr verb reguluje szczegółowość dziennika zdarzeń (standardowo 3).
W przypadku problemów zwiększamy poziom do 5 lub 6.
Podgląd w MikroTik: /system logging add topics=ovpn,debug.
Logi są pierwszym miejscem, w którym widać różnice w szyfrach lub błędy autoryzacji.

Charakterystyka wydajnościowa

29/40

OpenVPN jest natywnie jednowątkowy.
Cała obsługa wszystkich klientów wykonuje się na jednym rdzeniu procesora.
Na domowych routerach SOHO ze słabym CPU wydajność często nie przekracza 30 Mbps.
Stąd bierze się popularność protokołu WireGuard, który jest wielowątkowy i lżejszy.

Swoistość implementacji w MikroTik

30/40

Pamiętaj o ograniczeniach starszych wersji (brak UDP w RouterOS v6).
Przy konfiguracji klienta pod router MikroTik, zawsze wyłączaj kompresję LZO w pliku .ovpn (nie jest wspierana).
Wersja 7 wprowadziła długo oczekiwany Hardware Offload dla szyfrowania w niektórych modelach.

Krok 1: Budowa własnego CA (Warsztat)

31/40

Użycie Easy-RSA w środowisku Linux/WSL:

                git clone https://github.com/OpenVPN/easy-rsa.git

                cd easy-rsa/easyrsa3

                ./easyrsa init-pki

                ./easyrsa build-ca nopass

Otrzymujemy: ca.crt (certyfikat publiczny) oraz ca.key (klucz główny - tajny).

Krok 2: Certyfikacja Serwera

32/40

./easyrsa build-server-full server1 nopass

Opcja 'nopass' jest powszechnie stosowana dla usług serwerowych, aby umożliwić ich automatyczny start po restarcie jednostki centralnej bez dozoru administratora.

Krok 3: Przygotowanie tożsamości klienta

33/40

./easyrsa build-client-full mobilny_user nopass

Dystrybucja plików (Zasada ograniczonego zaufania):

Serwer: ca.crt, server1.crt, server1.key.
Klient: ca.crt, mobilny_user.crt, mobilny_user.key.

Fragment pliku server.conf (Linux)

34/40

                port 1194

                proto udp

                dev tun

                ca ca.crt

                cert server1.crt

                key server1.key

                dh dh.pem

                server 10.8.0.0 255.255.255.0

                keepalive 10 120

Firewall i IP Forwarding (Linux)

35/40

Sam tunel to za mało – dane muszą przepływać dalej.
Włącz Forwarding: sysctl net.ipv4.ip_forward=1.
Konfiguracja NAT: Dodaj regułę maskarady w iptables dla interfejsu tun0.
Bez maskarady pakiety "nie będą wiedziały" jak wrócić z Internetu do wirtualnej sieci VPN.

Hardening: Uszczelnianie usługi

36/40

Zmniejszenie uprawnień procesu: user nobody / group nogroup.
Obligatoryjne użycie TLS-Crypt zamiast starszego TLS-Auth.
Stosowanie nowoczesnych szyfrów z grupy AEAD (np. AES-256-GCM).
Dbałość o aktualność bibliotek OpenSSL (pamiętaj o historycznych lukach typu Heartbleed).

OpenVPN vs WireGuard (Perspektywy)

37/40

WireGuard wygrywa prostotą (4000 linii kodu) i szybkością.
OpenVPN pozostaje liderem w sytuacjach:
- Konieczności omijania cenzury poprzez ruch TCP.
- Złożonych struktur korporacyjnych wymagających certyfikatów z okresem ważności.
- Wsparcia dla systemów starszej generacji.

Podsumowanie części 4

38/40

OpenVPN to najbardziej uniwersalny i elastyczny standard VPN.
Bazuje na sprawdzonych fundamentach SSL/TLS.
Wymaga świadomego zarządzania infrastrukturą PKI.
Oferuje zaawansowane mechanizmy sterowania ruchem (Push, CCD).
Jest odporny na trudne warunki sieciowe i restrykcyjne firewalle.

Zadania do samodzielnej analizy

39/40

1. Przeanalizuj logi połączenia OpenVPN i zidentyfikuj moment wymiany kluczy TLS.
2. Przygotuj plik .ovpn i przetestuj go na urządzeniu mobilnym przy wykorzystaniu sieci LTE.
3. Wykonaj test prędkości w trybie TCP oraz UDP – zaobserwuj różnice w opóźnieniach (Ping).
4. Spróbuj skonfigurować usługę na niestandardowym porcie (np. TCP 443).

Zapowiedź: Część 5 – Routing i topologie

40/40

W kolejnej części zmierzymy się z wyzwaniami dotyczącymi przepływu danych:

Sztuka routingu w tunelach

Routing statyczny vs OSPF przez VPN.
Split Tunneling w zastosowaniach profesjonalnych.
Hub-and-Spoke: Architektura gwiazdy w VPN.