Archive:Metacore/VPN
Was?
Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.
Und wenn Du im Lab WLAN benutzt, solltest Du Dich schonmal damit abfinden, das auch zu benutzen, da das WLAN Netz bald firewalled werden wird, und interner Zugriff dann nur noch über VPN bzw LAN möglich ist.
Wo?
Die Hosts die als Endpunkte für das VPN (und auch für den externen Zugriff auf den Datendienst dienen können sind:
- vpn-sil.metalab.at - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
- vpn-0xff.metalab.at - derzeit leider offline, wäre aber im Upload viel schneller.
- vpn.in.metalab.at - für den Zugriff von intern, d.h. über Metalab WLAN oder LAN
Mag sich da nicht wer drum kümmern?
Wie?
- OpenVPN für dein Betriebssystem installieren: http://www.openvpn.org
OpenVPN mit userpass
- Entweder Du nimmst Deinen Benutzer (mit LDAP Passwort) der im Provisioning erstellt wurde, oder aber erstellst Dir einen neuen, nur für das VPN. Das kannst Du auch im Provisioning machen, bei Aktion einfach "VPN Benutzer anlegen" auswählen.
- OpenVPN aufsetzen
- OpenVPN je nach Betriebssystem konfigurieren:
Linux/BSD
- Config ändern auf:
client dev tun proto tcp remote vpn-sil.metalab.at 1194 resolv-retry infinite nobind persist-tun ca /etc/ssl/certs/cacert.org.pem cipher BF-CBC comp-lzo verb 1 mute 20 auth-user-pass /etc/openvpn/userpass
- in /etc/openvpn in jeweils einer Zeile user und passwort speichern, also etwa:
vpn-philip-workstation1 meinSuperp4ssw0rt
- falls Du das Paket mit den SSL Certs nicht installieren willst, hier nur das cacert.org.pem: https://vpn-sil.metalab.at/afs/metalab.at/service/system/configs/windows/openvpn/cacert.org.pem
- /etc/init.d/openvpn restart (oder wie auch immer)
- ping -n 10.42.23.200
Windows/OS X
- Config ändern auf:
client dev tun proto tcp remote vpn-sil.metalab.at 1194 resolv-retry infinite nobind persist-tun ca cacert.org.pem cipher BF-CBC comp-lzo verb 1 auth-user-pass
- https://vpn-sil.metalab.at/afs/metalab.at/service/system/configs/windows/openvpn/cacert.org.pem holen und im Verzeichnis mit der Config ablegen
- Unter Windows ging zumindest in der 2.0.8er Version kein ablegen von Username/Passwort in einem File, die Eingabe muss da interaktiv erfolgen. Deswegen ist da vielleicht die PKI Methode weiter unten sinnvoller, damit das VPN eigenständig bei Startup gestartet werden kann.
- OpenVPN mit einem Click auf die Config starten
- ping -n 10.42.23.200
OpenVPN mit PKI
- Im Provisioning ein PKI Cert/Schlüsselpaar generieren. Die User ID kann willkürlich gewählt sein, von Vorteil ist es, wenn sie mit dem Rechner zu tun hat für den sie verwendet wird.
- Von https://vpn-sil.metalab.at/afs/metalab.at/service/system/certs/metalab-vpn-ca.crt das VPN Cert holen
- Aus seinem home das vom Provisioning generierte Schluessel/Cert Paar holen:
$ ls pki-key* pki-key-benutzer-workstation.crt pki-key-benutzer-workstation.key
- Die drei Dateien ins openvpn config Verzeichnis kopieren
- mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden:
client dev tun0 proto tcp remote vpn-sil.metalab.at 61194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca metalab-vpn-ca.crt cert pki-key-benutzer-workstation.crt key pki-key-benutzer-workstation.key verb 1 tls-client comp-lzo ns-cert-type server
- fertig.
OpenVPN 2.1 benötigt wahrscheinlich remote-cert-tls server anstelle von ns-cert-type server. (Kann das jemand ausprobieren?)
TCP vs UDP
In den Configs steht proto tcp - das kann man versuchen zu ändern auf proto udp - es koennte aber sein dass bestimmte Consumer NAT Gateways damit nicht zurecht kommen. Im Prinzip waer es besser, schneller, schoener UDP zu verwenden, ausprobieren lohnt also!
Anderer Endpunkt
Für einen anderen Endpunkt (z.B. Funkfeuer) einen aus der Liste vom Anfang der Seite bei remote host</code eintragen.
