Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- vpn [2017/12/17 07:49] – [OpenVPN] sma
+++ vpn [2022/09/03 14:12] (aktuell) – Hinweis zu network-manager-openvpn-gnome ergaenzt gordon
@@ Zeile 13: / Zeile 13: @@
 ## OpenVPN
-Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]]. Nach der Anfrage bzw. dem Teilnahmeantrag senden wir die Konfiguration als zip-Datei (sie enthält dann die Konfigurations- und Passwortdatei) zu. Alternativ kann man die Konfigurationsdatei auch im [[https://service.in-berlin.de/|Service-Interface]] herunterladen.
+Die einfachste Möglichkeit, ein VPN beim IN-Berlin zu bekommen, geht mit [[wd>OpenVPN]].
+Nach der Anfrage bzw. dem Teilnahmeantrag kann man sich die Konfiguration im [[https://service.in-berlin.de/|Service-Interface]] herunterladen.
-Wer OpenVPN mit dem Networkmanager z.B. unter Gnpme/xfce4 einrichten möchte, findet hier Screenshots:
+Wer OpenVPN mit dem Networkmanager z.B. unter Gnome/xfce4 usw. einrichten möchte, kann dies in der Kommandozeile (Shell) tun - siehe weiter unten oder findet alternativ hier Screenshots:
 {{:vpn1.png?400|}}
@@ Zeile 21: / Zeile 22: @@
 {{:vpn3.png?400|}}
+In der Shell geht das mit der heruntergeladenen Konfigurationsdatei so:
+```sh
+nmcli connection import type openvpn file in-berlin-vpn.conf
+```
+Dies führe man als der Benutzer aus, der die Verbindung benutzen möchte.
+Danach kann man diese wie gewohnt über die grafische Oberfläche oder einen andere Network-Manager Schnittstelle (`nmtui`, `nmcli`) benutzen oder auch anpassen.\\
+Bei Nutzung der grafischen Tools, ist zu beachten das evtl. noch das network-manager-openvpn-gnome Paket installiert werden muss, da sonst der VPN Reiter beim bearbeiten der Verbindung fehlt.
+Wichtig: Man muss noch (vor Verbindungsstart) den Benutzernamen - meist _sitename@vpn.in-berlin.de_ -  und das Passwort in der grafischen Oberfläche bei der ersten Verbindungsaufnahme eingeben,
+Vorsicht bei Verbindungen mit gleichem Namen (z.B. nach Update).
 ### Linux/BSD
@@ Zeile 95: / Zeile 108: @@
 ### pfSense
-Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku-vpn_via_pfsense.pdf
+Hier eine vom Teilnehmer übermittelte Anleitung für pfSense: https://wiki.in-berlin.de/_media/doku_in-vpn_via_pfsense.pdf
+### OPNsense
-## PPTP
+Bei der Nutzung von OPNsense als OpenVPN Client kann der pfSense Anleitung soweit grundlegend gefolgt werden (Stand 07/2021, OPNsense 21.1.8_1, OpenVPN 2.5.3).\\
+Wichtig ist dabei das wie in der pfSense Anleitung, der tls-auth Key unter "Advanced" als Konfigoption eingetragen wird und nicht mit der GUI-Option "TLS-Authentication" konfiguriert wird.\\
+Dazu muss im Format wie auf Seite 3 der pfSense Anleitung, der TLS-Auth-Key als Datei ins Dateisytem der OPNsense hochgeladen werden, zum Beispiel /conf, und auf diese Datei mit dem tls-auth Konfigparameter verwiesen werden. Die GUI Option muss explizit deaktiviert sein.
-Eine (veraltete) Möglichkeit, zum IN-Berlin ein VPN aufzubauen, ist [[wd>pptp|PPTP]]. Allerdings ist dieses VPN nicht mehr sicher und wir raten daher von der Einrichtung ab. Wer es trotzdem lieber als OpenVPN benutzen will, wende sich bitte an den [[kontakt|Support]].
+Hintergrund ist das beim IN-Berlin aktuell keine key-direction mitgegeben werden darf, diese aber von der OPNsense automatisch auf 1 gesetzt wird. Das ist auch in der Konfigdatei der OPNsense unter: "/var/etc/openvpn/", sichtbar. Da steht dann sowas wie "tls-auth FILE KEY-DIRECTION" wenn das einfach ueber die GUI konfiguriert wird.\\
+Bei 1, schickt die OPNsense Daten zum OpenVPN Server und dieser beantwortet keine der Pakete.\\
+Auf Serverseite ist vermutlich sowas wie "TLS Error: incoming packet authentication failed from..." zu sehen.\\
+Bei 0 kehrt sich das Problem um und diese Fehler sind auf OPNsense Seite zu sehen.\\
+Nur wenn keine Nummer gesetzt ist, funktioniert der Verbindungsaufbau und das laesst sich eben ueber das setzen im Advanced Reiter erreichen.
 ## Portfilter