Benutzer-Werkzeuge

Webseiten-Werkzeuge


vpn

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
vpn [2017/12/16 15:24]
chris [Portfilter]
vpn [2021/07/25 16:35]
gordon OpenVPN Konfig Pfad ergaenzt und Formatierung angepasst
Zeile 13: Zeile 13:
 ## OpenVPN ## OpenVPN
  
-Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]]. Nach der Anfrage bzw. dem Teilnahmeantrag senden wir die Konfiguration als zip-Datei (sie enthält dann die Konfigurations- und Passwortdatei) zu. Alternativ kann man die Konfigurationsdatei auch im [[https://service.in-berlin.de/|Service-Interface]] herunterladen.+Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]].  
 +Nach der Anfrage bzw. dem Teilnahmeantrag kann man sich die Konfiguration im [[https://service.in-berlin.de/|Service-Interface]] herunterladen.
  
-Wer OpenVPN mit dem Networkmanager z.B. unter Debian einrichten möchte, findet hier Screenshots:+Wer OpenVPN mit dem Networkmanager z.B. unter Gnome/xfce4 usw. einrichten möchte, kann dies in der Kommandozeile (Shell) tun - siehe weiter unten oder findet alternativ hier Screenshots:
  
-{{:invpn1.png?200|}} +{{:vpn1.png?400|}} 
-{{:invpn2.png?200|}} +{{:vpn2.png?400|}} 
-{{:invpn3.png?200|}}+{{:vpn3.png?400|}}
  
-Über den Networkmanager kann man nur jeweils einen Remote-Server eintragen, wer hingegen mit der `in-berlin-vpn.conf` arbeitet, hat dort mehrere Server zu stehen, die per Round-Robin in zufälliger Reihenfolgende nacheinander versucht werdenDadurch wird eine Lastverteilung über die VPN-Server erreicht.+In der Shell geht das mit der heruntergeladenen Konfigurationsdatei so: 
 +```sh 
 +nmcli connection import type openvpn file in-berlin-vpn.conf 
 +``` 
 +Dies führe man als der Benutzer ausder die Verbindung benutzen möchte. 
 + 
 +Danach kann man diese wie gewohnt über die grafische Oberfläche oder einen andere Network-Manager Schnittstelle (`nmtui`, `nmcli`) benutzen oder auch anpassen. 
 + 
 +Wichtig: Man muss noch (vor Verbindungsstart) den Benutzernamen - meist _sitename@vpn.in-berlin.de_ -  und das Passwort in der grafischen Oberfläche bei der ersten Verbindungsaufnahme eingeben, 
 + 
 +Vorsicht bei Verbindungen mit gleichem Namen (z.B. nach Update).
  
 ### Linux/BSD ### Linux/BSD
Zeile 53: Zeile 64:
 ### Android ### Android
  
-Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https://f-droid.org) verfügbar) und außerdem lädt man sich die Dateien `startssl-chain.crt` und `in-berlin.tls-auth` von dem Konfigurationspaket, das einem zugeschickt wurde, aufs Handy.+Für Android gibt es die App OpenVPN, die auch ohne root läuft. Diese installiert man sich aus dem Play-Store (sie ist auch von [F-droid](https://f-droid.org/) verfügbar) und außerdem lädt man sich die Dateien `startssl-chain.crt` und `in-berlin.tls-auth` von dem Konfigurationspaket, das einem zugeschickt wurde, aufs Handy.
  
 Nun startet man die App "OpenVPN für Android". Im Profile-Reiter erstellt man ein neues Profil (links unten), als Namen benutzt man z.B. "IN-VPN". Als erstes ist man in den Grundeinstellungen. Dort wählt man folgende Einstellungen: Nun startet man die App "OpenVPN für Android". Im Profile-Reiter erstellt man ein neues Profil (links unten), als Namen benutzt man z.B. "IN-VPN". Als erstes ist man in den Grundeinstellungen. Dort wählt man folgende Einstellungen:
  
- * **Server:** `openvpn1.in-berlin.de`+ * **Server:** `openvpn-1.in-berlin.de`
  * **Server Port:** 1194  * **Server Port:** 1194
  * **LZO-Komprimierung:** Haken  * **LZO-Komprimierung:** Haken
  * **UDP:** Haken  * **UDP:** Haken
  * **Typ:** Benutzername/Passwort  * **Typ:** Benutzername/Passwort
- * **CA Zertifikat:** Hier wählt man sich die vorher heruntergeladene Datei `startssl-chain.crt` aus.+ * **CA Zertifikat:** Hier wählt man sich die vorher heruntergeladene Datei `in-berlin-ca-chain.pem` aus.
  * **Benutzername:** Der von uns mitgeteilte Benutzername  * **Benutzername:** Der von uns mitgeteilte Benutzername
  * **Passwort:** Das von uns mitgeteilte Passwort (hier muss man leider alle 31 Zeichen eingeben).  * **Passwort:** Das von uns mitgeteilte Passwort (hier muss man leider alle 31 Zeichen eingeben).
Zeile 77: Zeile 88:
    * **TLS-Serverzertifikat erwarten:** An    * **TLS-Serverzertifikat erwarten:** An
    * **Zertifikat NAmen überprüfen:** An    * **Zertifikat NAmen überprüfen:** An
-   * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn1 (mit einer eins))+   * **Serverzertifikat Subject:** `rdn: openvpn.in-berlin.de` (wichtig: Das muss man editieren! Sonst steht hier openvpn-1 (mit einer eins))
    * **Benutze TLS-Authentifizierung:** An    * **Benutze TLS-Authentifizierung:** An
-   * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin.tls-auth`+   * **TLS Auth Datei:** Die heruntergeladene Datei `in-berlin-tls-auth.pem`
    * **TLS Richtung:** Unspezifiziert    * **TLS Richtung:** Unspezifiziert
  * **Erweitert:**  * **Erweitert:**
Zeile 86: Zeile 97:
    * **Eigene Optionen:** `remote-cert-ku 00a8` (nur diese eine Zeile, genau so)    * **Eigene Optionen:** `remote-cert-ku 00a8` (nur diese eine Zeile, genau so)
  
-Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung "IN" und das VPN sollte sich aufbauen. +Nachdem man das gespeichert hat, reicht ein Klick auf die Verbindung "IN-VPN" und das VPN sollte sich aufbauen.
  
 ### ddwrt ### ddwrt
Zeile 96: Zeile 107:
 ### pfSense ### pfSense
  
-Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku-vpn_via_pfsense.pdf+Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku_in-vpn_via_pfsense.pdf 
 + 
 +### OPNsense
  
-## PPTP+Bei der Nutzung von OPNsense als OpenVPN Client kann der pfSense Anleitung soweit grundlegend gefolgt werden (Stand 07/2021, OPNsense 21.1.8_1, OpenVPN 2.5.3).\\ 
 +Wichtig ist dabei das wie in der pfSense Anleitung, der tls-auth Key unter "Advanced" als Konfigoption eingetragen wird und nicht mit der GUI-Option "TLS-Authentication" konfiguriert wird.\\ 
 +Dazu muss im Format wie auf Seite 3 der pfSense Anleitung, der TLS-Auth-Key als Datei ins Dateisytem der OPNsense hochgeladen werden, zum Beispiel /conf, und auf diese Datei mit dem tls-auth Konfigparameter verwiesen werden. Die GUI Option muss explizit deaktiviert sein.
  
-Eine (veraltete) Möglichkeit, zum IN-Berlin ein VPN aufzubauenist [[wd>pptp|PPTP]]Allerdings ist dieses VPN nicht mehr sicher und wir raten daher von der Einrichtung abWer es trotzdem lieber als OpenVPN benutzen willwende sich bitte an den [[kontakt|Support]].+Hintergrund ist das beim IN-Berlin aktuell keine key-direction mitgegeben werden darfdiese aber von der OPNsense automatisch auf 1 gesetzt wirdDas ist auch in der Konfigdatei der OPNsense unter: "/var/etc/openvpn/", sichtbarDa steht dann sowas wie "tls-auth FILE KEY-DIRECTION" wenn das einfach ueber die GUI konfiguriert wird.\\ 
 +Bei 1, schickt die OPNsense Daten zum OpenVPN Server und dieser beantwortet keine der Pakete.\\ 
 +Auf Serverseite ist vermutlich sowas wie "TLS Error: incoming packet authentication failed from..." zu sehen.\\  
 +Bei 0 kehrt sich das Problem um und diese Fehler sind auf OPNsense Seite zu sehen.\\ 
 +Nur wenn keine Nummer gesetzt istfunktioniert der Verbindungsaufbau und das laesst sich eben ueber das setzen im Advanced Reiter erreichen.
  
 ## Portfilter ## Portfilter
vpn.txt · Zuletzt geändert: 2021/07/25 16:35 von gordon