vpn
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige ÜberarbeitungNächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
vpn [2014/03/30 18:25] – chris | vpn [2021/07/19 19:00] – Hinzufuegen OPNsense gordon | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Der IN-Berlin bietet auch VPN-Verbindungen an. VPNs haben z.B. Vorteile, wenn man | Der IN-Berlin bietet auch VPN-Verbindungen an. VPNs haben z.B. Vorteile, wenn man | ||
- | * in einem unsicheren WLAN ist und der Verbindung nicht traut | + | * in einem unsicheren WLAN oder im Handynetz |
* einen sehr günstigen DSL-Anschluss hat, aber gerne im IN-Berlin-Netz rauskommen möchte | * einen sehr günstigen DSL-Anschluss hat, aber gerne im IN-Berlin-Netz rauskommen möchte | ||
* man eine statische IP im Internet braucht | * man eine statische IP im Internet braucht | ||
* man ungefiltertes Internet haben möchte | * man ungefiltertes Internet haben möchte | ||
- | * man ein IPv6-Netz haben möchte | + | * man ein IPv6-Netz haben möchte |
- | VPN-Teilnehmer können mehrere IP-Adressen bekomen. Standardmäßig vergeben wir eine IPv4-Adresse und ein / | + | VPN-Teilnehmer können mehrere IP-Adressen bekomen. Standardmäßig vergeben wir **eine IPv4-Adresse** und ein **/ |
## OpenVPN | ## OpenVPN | ||
- | Die einfachste Möglichkeit, | + | Die einfachste Möglichkeit, |
+ | Nach der Anfrage bzw. dem Teilnahmeantrag | ||
+ | |||
+ | Wer OpenVPN mit dem Networkmanager z.B. unter Gnome/xfce4 usw. einrichten möchte, kann dies in der Kommandozeile (Shell) tun - siehe weiter unten oder findet alternativ hier Screenshots: | ||
+ | |||
+ | {{: | ||
+ | {{: | ||
+ | {{: | ||
+ | |||
+ | In der Shell geht das mit der heruntergeladenen Konfigurationsdatei so: | ||
+ | ```sh | ||
+ | nmcli connection import type openvpn file in-berlin-vpn.conf | ||
+ | ``` | ||
+ | Dies führe man als der Benutzer aus, der die Verbindung benutzen möchte. | ||
+ | |||
+ | Danach kann man diese wie gewohnt über die grafische Oberfläche oder einen andere Network-Manager Schnittstelle (`nmtui`, `nmcli`) benutzen oder auch anpassen. | ||
+ | |||
+ | Wichtig: Man muss noch (vor Verbindungsstart) den Benutzernamen - meist _sitename@vpn.in-berlin.de_ - und das Passwort in der grafischen Oberfläche bei der ersten Verbindungsaufnahme eingeben, | ||
+ | |||
+ | Vorsicht bei Verbindungen mit gleichem Namen (z.B. nach Update). | ||
### Linux/BSD | ### Linux/BSD | ||
Zeile 41: | Zeile 60: | ||
### MacOSX | ### MacOSX | ||
- | Für MacOSX empfehlen wir das Programm [Tunnelblick](http://code.google.com/ | + | Für MacOSX empfehlen wir das Programm [Tunnelblick](https://www.tunnelblick.net/), in das man die Konfigurationsoptionen aus der Konfiguration von Linux eintragen muss. |
### Android | ### Android | ||
- | Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https:// | + | Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https:// |
Nun startet man die App " | Nun startet man die App " | ||
- | * **Server:** `openvpn1.in-berlin.de` | + | * **Server:** `openvpn-1.in-berlin.de` |
* **Server Port:** 1194 | * **Server Port:** 1194 | ||
* **LZO-Komprimierung: | * **LZO-Komprimierung: | ||
* **UDP:** Haken | * **UDP:** Haken | ||
* **Typ:** Benutzername/ | * **Typ:** Benutzername/ | ||
- | * **CA Zertifikat: | + | * **CA Zertifikat: |
* **Benutzername: | * **Benutzername: | ||
* **Passwort: | * **Passwort: | ||
Zeile 69: | Zeile 88: | ||
* **TLS-Serverzertifikat erwarten:** An | * **TLS-Serverzertifikat erwarten:** An | ||
* **Zertifikat NAmen überprüfen: | * **Zertifikat NAmen überprüfen: | ||
- | * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn1 | + | * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn-1 |
* **Benutze TLS-Authentifizierung: | * **Benutze TLS-Authentifizierung: | ||
- | * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin.tls-auth` | + | * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin-tls-auth.pem` |
* **TLS Richtung:** Unspezifiziert | * **TLS Richtung:** Unspezifiziert | ||
* **Erweitert: | * **Erweitert: | ||
Zeile 78: | Zeile 97: | ||
* **Eigene Optionen:** `remote-cert-ku 00a8` (nur diese eine Zeile, genau so) | * **Eigene Optionen:** `remote-cert-ku 00a8` (nur diese eine Zeile, genau so) | ||
- | Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung " | + | Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung "IN-VPN" und das VPN sollte sich aufbauen. |
- | ## PPTP | + | ### ddwrt |
- | Eine (veraltete) Möglichkeit, | + | ddwrt ist eine beliebte freie firmware für Router. Zwar bietet diese einen OpenVPN-Client an, dieser |
- | ## Portfilter | + | Die zu ändernden Felder sind rot markiert. Insbesondere ist zu beachten, dass der TLS Schlüssel nicht in dem dafür vorgesehenen Feld eingetragen wird, sondern " |
- | Wir blockieren standardmäßig Ports, die bekanntermaßen gerne von Zombierechnern benutzt | + | ### pfSense |
+ | |||
+ | Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https:// | ||
+ | |||
+ | ### OPNsense | ||
+ | |||
+ | Bei der Nutzung | ||
+ | Wichtig ist dabei das wie in der pfSense Anleitung, der tls-auth Key unter " | ||
+ | Dazu muss im Format wie auf Seite 3 der pfSense Anleitung, der TLS-Auth-Key als Datei ins Dateisytem der OPNsense hochgeladen werden, zum Beispiel /conf, und auf diese Datei mit dem tls-auth Konfigparameter verwiesen werden. Die GUI Option muss explizit deaktiviert sein. | ||
+ | |||
+ | Hintergrund ist das beim IN-Berlin aktuell keine key-direction mitgegeben werden darf, diese aber von der OPNsense automatisch auf 1 gesetzt wird. Das ist auch in der Konfigdatei der OPNsense unter: TBA, sichtbar. Da steht dann sowas wie " | ||
+ | Bei 1, schickt die OPNsense Daten zum OpenVPN Server und dieser beantwortet keine der Pakete. | ||
+ | Auf Serverseite ist vermutlich sowas wie "TLS Error: incoming packet authentication failed from..." | ||
+ | Nur wenn keine Nummer gesetzt ist, funktioniert der Verbindungsaufbau und das laesst sich eben ueber das setzen im Advanced Reiter erreichen. | ||
+ | |||
+ | ## Portfilter | ||
- | Abgesehen davon werden | + | Wir sperren derzeit standardmäßig |
## Mehrere IPs, größere Netze | ## Mehrere IPs, größere Netze | ||
Natürlich kann man auch mehrere IPs bzw. kleinere Subnetze bekommen. Hierfür bitte den [[kontakt|Support]] kontaktieren. | Natürlich kann man auch mehrere IPs bzw. kleinere Subnetze bekommen. Hierfür bitte den [[kontakt|Support]] kontaktieren. |
vpn.txt · Zuletzt geändert: 2022/09/03 14:12 von gordon