Archive:Metacore/VPN: Unterschied zwischen den Versionen
aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springenPhilip (Diskussion | Beiträge) |
Philip (Diskussion | Beiträge) (OpenVPN mit PKI geht) |
||
| Zeile 67: | Zeile 67: | ||
==OpenVPN mit PKI == | ==OpenVPN mit PKI == | ||
| − | + | * Im [[Metacore/Provisioning|Provisioning]] ein PKI Cert/Schlüsselpaar generieren. Die User ID kann willkürlich gewählt sein, von Vorteil ist es, wenn sie mit dem Rechner zu tun hat für den sie verwendet wird. | |
| − | * | + | * Von https://vpn-sil.metalab.at/afs/metalab.at/service/system/certs/metalab-vpn-ca.crt das VPN Cert holen |
| + | * Aus seinem home das vom Provisioning generierte Schluessel/Cert Paar holen: | ||
| + | $ ls pki-key* | ||
| + | pki-key-benutzer-workstation.crt pki-key-benutzer-workstation.key | ||
| + | * Die drei Dateien ins openvpn config Verzeichnis kopieren | ||
| + | * mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden: | ||
| + | client | ||
| + | dev tun0 | ||
| + | proto tcp | ||
| + | remote vpn-sil.metalab.at 61194 | ||
| + | resolv-retry infinite | ||
| + | nobind | ||
| + | user nobody | ||
| + | group nogroup | ||
| + | persist-key | ||
| + | persist-tun | ||
| + | ca metalab-vpn-ca.crt | ||
| + | cert pki-key-benutzer-workstation.crt | ||
| + | key pki-key-benutzer-workstation.key | ||
| + | verb 1 | ||
| + | tls-client | ||
| + | comp-lzo | ||
| + | * fertig. | ||
==TCP vs UDP== | ==TCP vs UDP== | ||
Version vom 6. Oktober 2006, 22:42 Uhr
Was?
Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.
Wo?
Die Hosts die als Endpunkte für das VPN (und auch für den externen Zugriff auf den Datendienst dienen können sind:
- vpn-sil.metalab.at - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
- vpn-0xff.metalab.at - derzeit leider offline, wäre aber im Upload viel schneller.
Mag sich da nicht wer drum kümmern?
Wie?
- OpenVPN für dein Betriebssystem installieren: http://www.openvpn.org
OpenVPN mit userpass
- Entweder Du nimmst Deinen Benutzer (mit LDAP Passwort) der im Provisioning erstellt wurde, oder aber erstellst Dir einen neuen, nur für das VPN. Das kannst Du auch im Provisioning machen, bei Aktion einfach "VPN Benutzer anlegen" auswählen.
- OpenVPN aufsetzen
- OpenVPN je nach Betriebssystem konfigurieren:
Linux/BSD/MacOSX(?)
- Config ändern auf:
client dev tun proto tcp remote vpn-sil.metalab.at 1194 resolv-retry infinite nobind persist-tun ca /etc/ssl/certs/cacert.org.pem cipher BF-CBC comp-lzo verb 1 mute 20 auth-user-pass /etc/openvpn/userpass
- in /etc/openvpn in jeweils einer Zeile user und passwort speichern, also etwa:
vpn-philip-workstation1 meinSuperp4ssw0rt
- falls Du das Paket mit den SSL Certs nicht installieren willst, hier nur das cacert.org.pem: https://vpn-sil.metalab.at/afs/metalab.at/service/system/configs/windows/openvpn/cacert.org.pem
- /etc/init.d/openvpn restart (oder wie auch immer)
- ping -n 10.42.23.200
Windows
- Config ändern auf:
client dev tun proto tcp remote vpn-sil.metalab.at 1194 resolv-retry infinite nobind persist-tun ca cacert.org.pem cipher BF-CBC comp-lzo verb 1 auth-user-pass
- https://vpn-sil.metalab.at/afs/metalab.at/service/system/configs/windows/openvpn/cacert.org.pem holen und im Verzeichnis mit der Config ablegen
- Unter Windows ging zumindest in der 2.0.8er Version kein ablegen von Username/Passwort in einem File, die Eingabe muss da interaktiv erfolgen. Deswegen ist da vielleicht die PKI Methode weiter unten sinnvoller, damit das VPN eigenständig bei Startup gestartet werden kann.
- OpenVPN mit einem Click auf die Config starten
- ping -n 10.42.23.200
OpenVPN mit PKI
- Im Provisioning ein PKI Cert/Schlüsselpaar generieren. Die User ID kann willkürlich gewählt sein, von Vorteil ist es, wenn sie mit dem Rechner zu tun hat für den sie verwendet wird.
- Von https://vpn-sil.metalab.at/afs/metalab.at/service/system/certs/metalab-vpn-ca.crt das VPN Cert holen
- Aus seinem home das vom Provisioning generierte Schluessel/Cert Paar holen:
$ ls pki-key* pki-key-benutzer-workstation.crt pki-key-benutzer-workstation.key
- Die drei Dateien ins openvpn config Verzeichnis kopieren
- mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden:
client dev tun0 proto tcp remote vpn-sil.metalab.at 61194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca metalab-vpn-ca.crt cert pki-key-benutzer-workstation.crt key pki-key-benutzer-workstation.key verb 1 tls-client comp-lzo
- fertig.
TCP vs UDP
In den Configs steht proto tcp - das kann man versuchen zu ändern auf proto udp - es koennte aber sein dass bestimmte Consumer NAT Gateways damit nicht zurecht kommen. Im Prinzip waer es besser, schneller, schoener UDP zu verwenden, ausprobieren lohnt also!
Anderer Endpunkt
Für einen anderen Endpunkt (z.B. Funkfeuer) einen aus der Liste vom Anfang der Seite bei remote host</code eintragen.
