Benutzer-Werkzeuge

Webseiten-Werkzeuge


vpn

IN-VPN

Der IN-Berlin bietet auch VPN-Verbindungen an. VPNs haben z.B. Vorteile, wenn man

  • in einem unsicheren WLAN oder im Handynetz ist und der Verbindung nicht traut
  • einen sehr günstigen DSL-Anschluss hat, aber gerne im IN-Berlin-Netz rauskommen möchte
  • man eine statische IP im Internet braucht
  • man ungefiltertes Internet haben möchte
  • man ein IPv6-Netz haben möchte und der Provider das nicht anbietet.

VPN-Teilnehmer können mehrere IP-Adressen bekomen. Standardmäßig vergeben wir eine IPv4-Adresse und ein /60-IPv6-Netz. Der Hostname sitename.in-vpn.de zeigt auf diese Adresse.

OpenVPN

Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit OpenVPN. Nach der Anfrage bzw. dem Teilnahmeantrag senden wir die Konfiguration als zip-Datei (sie enthält dann auch die Key- und Zertifikat-Dateien) zu.

Wer openvpn mit dem Networkmanager z.B. unter Debian einrichten möchte, findet hier Screenshots:

Über den Networkmaneger kann man nur jeweils einen Remote-Server eintragen, wer hingegen mit der in-berlin-vpn.conf arbeitet, hat dort drei Server zu stehen, die im Falle eines Ausfalls nacheinander versucht werden.

Linux/BSD

Zur Einrichtung muss OpenVPN auf dem eigenen Rechner installiert sein. Wie man das genau installiert, hängt von der verwendeten Distribution ab. Bei Debian tut man das z.B. mit apt-get install openvpn). Du bekommst dafür von uns die Konfigurationsdatei in-berlin-vpn.tgz und entpackst sie (meist nach /etc/openvpn oder /usr/local/etc/openvpn).

Falls man seine Dateien nicht in /etc/openvpn entpackt hat, muss man noch in der Datei in-berlin-vpn/in-berlin-vpn.conf die Pfade zu den Dateien ändern.

Um z.B. bei Debian das OpenVPN automatisch zu starten, wenn das Interface eth1 hochkommt, muss man noch die Zeile openvpn in-berlin-vpn zu dem entsprechenden Interface in seiner /etc/network/interfaces hinzufügen.

Eine komplette /etc/network/interfaces sieht z.B. so aus:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
auto eth1
iface eth1 inet dhcp
        openvpn in-berlin-vpn

MacOSX

Für MacOSX empfehlen wir das Programm Tunnelblick, in das man die Konfigurationsoptionen aus der Konfiguration von Linux eintragen muss.

Android

Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von F-droid verfügbar) und außerdem lädt man sich die Dateien startssl-chain.crt und in-berlin.tls-auth von dem Konfigurationspaket, das einem zugeschickt wurde, aufs Handy.

Nun startet man die App „OpenVPN für Android“. Im Profile-Reiter erstellt man ein neues Profil (links unten), als Namen benutzt man z.B. „IN-VPN“. Als erstes ist man in den Grundeinstellungen. Dort wählt man folgende Einstellungen:

  • Server: openvpn1.in-berlin.de
  • Server Port: 1194
  • LZO-Komprimierung: Haken
  • UDP: Haken
  • Typ: Benutzername/Passwort
  • CA Zertifikat: Hier wählt man sich die vorher heruntergeladene Datei startssl-chain.crt aus.
  • Benutzername: Der von uns mitgeteilte Benutzername
  • Passwort: Das von uns mitgeteilte Passwort (hier muss man leider alle 31 Zeichen eingeben).

In den anderen Einstellungsoptionen:

  • IP und DNS
    • Pull Settings: An
    • Alles andere aus
  • Routing:
    • Ignoriere gepushte Routen: Aus
    • Alles andere nach Vorlieben, im Zweifelsfall nicht anfassen, bei IPv4 und IPv6 Default-Routen benutzen
  • Authentifizierung/Verschlüsselung:
    • TLS-Serverzertifikat erwarten: An
    • Zertifikat NAmen überprüfen: An
    • Serverzertifikat Subject: rdn: openvpn.in-berlin.de (wichtig: Das muss man editieren! Sonst steht hier openvpn1 (mit einer eins))
    • Benutze TLS-Authentifizierung: An
    • TLS Auth Datei: Die heruntergeladene Datei in-berlin.tls-auth
    • TLS Richtung: Unspezifiziert
  • Erweitert:
    • Kein Häkchen, außer unten:
    • Eigene Konfigurationsoptionen: Aktiviert
    • Eigene Optionen: remote-cert-ku 00a8 (nur diese eine Zeile, genau so)

Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung „IN“ und das VPN sollte sich aufbauen.

ddwrt

ddwrt ist eine beliebte freie firmware für Router. Zwar bietet diese einen OpenVPN-Client an, dieser ist aber aus diversen Gründen nicht trivial mit in-berlin einzurichten. Hier ist ein Screenshot wie es geht: https://wiki.in-berlin.de/_media/ddwrt_inbev_vpn.png

Die zu ändernden Felder sind rot markiert. Insbesondere ist zu beachten, dass der TLS Schlüssel nicht in dem dafür vorgesehenen Feld eingetragen wird, sondern „inline“ in dem Feld für extra Konfig-Zeilen.

pfSense

Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku-vpn_via_pfsense.pdf

PPTP

Eine (veraltete) Möglichkeit, zum IN-Berlin ein VPN aufzubauen, ist PPTP. Allerdings ist dieses VPN nicht mehr sicher und wir raten daher von der Einrichtung ab. Wer es trotzdem lieber als OpenVPN benutzen will, wende sich bitte an den Support.

Portfilter

Wir blockieren standardmäßig Ports, die bekanntermaßen gerne von Zombierechnern benutzt werden, um Schaden im Internet anzurichten (NetBIOS, SMTP, MSSQL, Finger, Telnet, Zebra, Amanda, SNMP). Wer diese Ports trotzdem benutzen möchte, reicht eine Mail an den Support bzw. ein Kommentar bei der Anmeldung, um den jeweiligen Port freizuschalten.

Abgesehen davon werden keine Ports oder Routen blockiert oder in der Geschwindigkeit begrenzt (siehe auch Netzneutralität).

Mehrere IPs, größere Netze

Natürlich kann man auch mehrere IPs bzw. kleinere Subnetze bekommen. Hierfür bitte den Support kontaktieren.

vpn.txt · Zuletzt geändert: 2016/04/17 01:33 von julian