Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- vpn [2014/03/30 18:25] – chris
+++ vpn [2022/09/03 14:12] (aktuell) – Hinweis zu network-manager-openvpn-gnome ergaenzt gordon
@@ Zeile 3: / Zeile 3: @@
 Der IN-Berlin bietet auch VPN-Verbindungen an. VPNs haben z.B. Vorteile, wenn man
- * in einem unsicheren WLAN ist und der Verbindung nicht traut
+ * in einem unsicheren WLAN oder im Handynetz ist und der Verbindung nicht traut
  * einen sehr günstigen DSL-Anschluss hat, aber gerne im IN-Berlin-Netz rauskommen möchte
  * man eine statische IP im Internet braucht
  * man ungefiltertes Internet haben möchte
- * man ein IPv6-Netz haben möchte
+ * man ein IPv6-Netz haben möchte und der Provider das nicht anbietet.
-VPN-Teilnehmer können mehrere IP-Adressen bekomen. Standardmäßig vergeben wir eine IPv4-Adresse und ein /60-IPv6-Netz. Der Hostname `sitename.in-vpn.de` zeigt auf diese Adresse.
+VPN-Teilnehmer können mehrere IP-Adressen bekomen. Standardmäßig vergeben wir **eine IPv4-Adresse** und ein **/60-IPv6-Netz**. Der Hostname `sitename.in-vpn.de` zeigt auf diese Adresse.
 ## OpenVPN
-Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]]. Nach der Anfrage bzw. dem Teilnahmeantrag senden wir die Konfiguration zu.
+Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]].
+Nach der Anfrage bzw. dem Teilnahmeantrag kann man sich die Konfiguration im [[https://service.in-berlin.de/|Service-Interface]] herunterladen.
+Wer OpenVPN mit dem Networkmanager z.B. unter Gnome/xfce4 usw. einrichten möchte, kann dies in der Kommandozeile (Shell) tun - siehe weiter unten oder findet alternativ hier Screenshots:
+{{:vpn1.png?400|}}
+{{:vpn2.png?400|}}
+{{:vpn3.png?400|}}
+In der Shell geht das mit der heruntergeladenen Konfigurationsdatei so:
+```sh
+nmcli connection import type openvpn file in-berlin-vpn.conf
+```
+Dies führe man als der Benutzer aus, der die Verbindung benutzen möchte.
+Danach kann man diese wie gewohnt über die grafische Oberfläche oder einen andere Network-Manager Schnittstelle (`nmtui`, `nmcli`) benutzen oder auch anpassen.\\
+Bei Nutzung der grafischen Tools, ist zu beachten das evtl. noch das network-manager-openvpn-gnome Paket installiert werden muss, da sonst der VPN Reiter beim bearbeiten der Verbindung fehlt.
+Wichtig: Man muss noch (vor Verbindungsstart) den Benutzernamen - meist _sitename@vpn.in-berlin.de_ -  und das Passwort in der grafischen Oberfläche bei der ersten Verbindungsaufnahme eingeben,
+Vorsicht bei Verbindungen mit gleichem Namen (z.B. nach Update).
 ### Linux/BSD
@@ Zeile 41: / Zeile 61: @@
 ### MacOSX
-Für MacOSX empfehlen wir das Programm [Tunnelblick](http://code.google.com/p/tunnelblick/), in das man die Konfigurationsoptionen aus der Konfiguration von Linux eintragen muss.
+Für MacOSX empfehlen wir das Programm [Tunnelblick](https://www.tunnelblick.net/), in das man die Konfigurationsoptionen aus der Konfiguration von Linux eintragen muss.
 ### Android
-Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https://f-droid.org) verfügbar) und außerdem lädt man sich die Dateien `startssl-chain.crt` und `in-berlin.tls-auth` von dem Konfigurationspaket, das einem zugeschickt wurde, aufs Handy.
+Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https://f-droid.org/) verfügbar) und außerdem lädt man sich die Dateien `startssl-chain.crt` und `in-berlin.tls-auth` von dem Konfigurationspaket, das einem zugeschickt wurde, aufs Handy.
 Nun startet man die App "OpenVPN für Android". Im Profile-Reiter erstellt man ein neues Profil (links unten), als Namen benutzt man z.B. "IN-VPN". Als erstes ist man in den Grundeinstellungen. Dort wählt man folgende Einstellungen:
- * **Server:** `openvpn1.in-berlin.de`
+ * **Server:** `openvpn-1.in-berlin.de`
  * **Server Port:** 1194
  * **LZO-Komprimierung:** Haken
  * **UDP:** Haken
  * **Typ:** Benutzername/Passwort
- * **CA Zertifikat:** Hier wählt man sich die vorher heruntergeladene Datei `startssl-chain.crt` aus.
+ * **CA Zertifikat:** Hier wählt man sich die vorher heruntergeladene Datei `in-berlin-ca-chain.pem` aus.
  * **Benutzername:** Der von uns mitgeteilte Benutzername
  * **Passwort:** Das von uns mitgeteilte Passwort (hier muss man leider alle 31 Zeichen eingeben).
@@ Zeile 69: / Zeile 89: @@
    * **TLS-Serverzertifikat erwarten:** An
    * **Zertifikat NAmen überprüfen:** An
-   * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn1 (mit einer eins))
+   * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn-1 (mit einer eins))
    * **Benutze TLS-Authentifizierung:** An
-   * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin.tls-auth`
+   * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin-tls-auth.pem`
    * **TLS Richtung:** Unspezifiziert
  * **Erweitert:**
@@ Zeile 78: / Zeile 98: @@
    * **Eigene Optionen:** `remote-cert-ku 00a8` (nur diese eine Zeile, genau so)
-Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung "IN" und das VPN sollte sich aufbauen.
+Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung "IN-VPN" und das VPN sollte sich aufbauen.
-## PPTP
+### ddwrt
-Eine (veraltete) Möglichkeit, zum IN-Berlin ein VPN aufzubauen, ist [[wd>pptp|PPTP]]. Allerdings ist dieses VPN nicht mehr sicher und wir raten daher von der Einrichtung ab. Wer es trotzdem lieber als OpenVPN benutzen will, wende sich bitte an den [[kontakt|Support]].
+ddwrt ist eine beliebte freie firmware für Router. Zwar bietet diese einen OpenVPN-Client an, dieser ist aber aus diversen Gründen nicht trivial mit in-berlin einzurichten. Hier ist ein Screenshot wie es geht: https://wiki.in-berlin.de/_media/ddwrt_inbev_vpn.png
-## Portfilter
+Die zu ändernden Felder sind rot markiert. Insbesondere ist zu beachten, dass der TLS Schlüssel nicht in dem dafür vorgesehenen Feld eingetragen wird, sondern "inline" in dem Feld für extra Konfig-Zeilen.
-Wir blockieren standardmäßig Ports, die bekanntermaßen gerne von Zombierechnern benutzt werden, um Schaden im Internet anzurichten (NetBIOS, SMTP, MSSQL, Finger, Telnet, Zebra, Amanda, SNMP). Wer diese Ports trotzdem benutzen möchte, reicht eine Mail an den [[kontakt|Support]] bzw. ein Kommentar bei der Anmeldung, um den jeweiligen Port freizuschalten.
+### pfSense
+Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku_in-vpn_via_pfsense.pdf
+### OPNsense
+Bei der Nutzung von OPNsense als OpenVPN Client kann der pfSense Anleitung soweit grundlegend gefolgt werden (Stand 07/2021, OPNsense 21.1.8_1, OpenVPN 2.5.3).\\
+Wichtig ist dabei das wie in der pfSense Anleitung, der tls-auth Key unter "Advanced" als Konfigoption eingetragen wird und nicht mit der GUI-Option "TLS-Authentication" konfiguriert wird.\\
+Dazu muss im Format wie auf Seite 3 der pfSense Anleitung, der TLS-Auth-Key als Datei ins Dateisytem der OPNsense hochgeladen werden, zum Beispiel /conf, und auf diese Datei mit dem tls-auth Konfigparameter verwiesen werden. Die GUI Option muss explizit deaktiviert sein.
+Hintergrund ist das beim IN-Berlin aktuell keine key-direction mitgegeben werden darf, diese aber von der OPNsense automatisch auf 1 gesetzt wird. Das ist auch in der Konfigdatei der OPNsense unter: "/var/etc/openvpn/", sichtbar. Da steht dann sowas wie "tls-auth FILE KEY-DIRECTION" wenn das einfach ueber die GUI konfiguriert wird.\\
+Bei 1, schickt die OPNsense Daten zum OpenVPN Server und dieser beantwortet keine der Pakete.\\
+Auf Serverseite ist vermutlich sowas wie "TLS Error: incoming packet authentication failed from..." zu sehen.\\
+Bei 0 kehrt sich das Problem um und diese Fehler sind auf OPNsense Seite zu sehen.\\
+Nur wenn keine Nummer gesetzt ist, funktioniert der Verbindungsaufbau und das laesst sich eben ueber das setzen im Advanced Reiter erreichen.
+## Portfilter
-Abgesehen davon werden keine Ports oder Routen blockiert oder in der Geschwindigkeit begrenzt (siehe auch [[wd>Netzneutralität|Netzneutralität]]).
+Wir sperren derzeit standardmäßig keine Ports oder Routen oder begrenzen künstlich die Geschwindigkeit (siehe auch [[wd>Netzneutralität|Netzneutralität]]). Falls wir Portsperren einrichten, geschieht dies lediglich aus Sicherheitsgründen und man kann sich dann auch explizit wieder freischalten lassen.
 ## Mehrere IPs, größere Netze
 Natürlich kann man auch mehrere IPs bzw. kleinere Subnetze bekommen. Hierfür bitte den [[kontakt|Support]] kontaktieren.