Archive:Metacore/VPN: Unterschied zwischen den Versionen

aus Metalab, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Wechseln zu: Navigation, Suche
 
K (verschob „Metacore/VPN“ nach „Archive:Metacore/VPN“: kategorie archiv auflösen, nur namespace verwenden)
 
(5 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
  
 
Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.
 
Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.
 +
 +
Und wenn Du im Lab WLAN benutzt, solltest Du Dich schonmal damit abfinden, das auch zu benutzen, da das WLAN Netz bald firewalled werden wird, und interner Zugriff dann nur noch über VPN bzw LAN möglich ist.
  
 
=Wo?=
 
=Wo?=
Zeile 9: Zeile 11:
 
* '''vpn-sil.metalab.at''' - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
 
* '''vpn-sil.metalab.at''' - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
 
* '''vpn-0xff.metalab.at''' - derzeit leider offline, wäre aber im Upload viel schneller.
 
* '''vpn-0xff.metalab.at''' - derzeit leider offline, wäre aber im Upload viel schneller.
 
+
* '''vpn.in.metalab.at''' - für den Zugriff von intern, d.h. über Metalab WLAN oder LAN
 
Mag sich da nicht wer drum kümmern?
 
Mag sich da nicht wer drum kümmern?
  
Zeile 21: Zeile 23:
 
* OpenVPN je nach Betriebssystem konfigurieren:
 
* OpenVPN je nach Betriebssystem konfigurieren:
  
===Linux/BSD/MacOSX(?)===
+
===Linux/BSD===
 
* Config ändern auf:
 
* Config ändern auf:
  
Zeile 45: Zeile 47:
 
* ping -n 10.42.23.200
 
* ping -n 10.42.23.200
  
===Windows===
+
===Windows/OS X===
 
* Config ändern auf:
 
* Config ändern auf:
 
  client
 
  client
Zeile 67: Zeile 69:
  
 
==OpenVPN mit PKI ==
 
==OpenVPN mit PKI ==
 +
* Im [[Metacore/Provisioning|Provisioning]] ein PKI Cert/Schlüsselpaar generieren. Die User ID kann willkürlich gewählt sein, von Vorteil ist es, wenn sie mit dem Rechner zu tun hat für den sie verwendet wird.
 +
* Von https://vpn-sil.metalab.at/afs/metalab.at/service/system/certs/metalab-vpn-ca.crt das VPN Cert holen
 +
* Aus seinem home das vom Provisioning generierte Schluessel/Cert Paar holen:
 +
$ ls pki-key*
 +
pki-key-benutzer-workstation.crt  pki-key-benutzer-workstation.key
 +
* Die drei Dateien ins openvpn config Verzeichnis kopieren
 +
* mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden:
 +
client
 +
dev tun0
 +
proto tcp
 +
remote vpn-sil.metalab.at 61194
 +
resolv-retry infinite
 +
nobind
 +
user nobody
 +
group nogroup
 +
persist-key
 +
persist-tun
 +
ca metalab-vpn-ca.crt
 +
cert pki-key-benutzer-workstation.crt
 +
key pki-key-benutzer-workstation.key
 +
verb 1
 +
tls-client
 +
comp-lzo
 +
ns-cert-type server
 +
* fertig.
  
* TODO ;)
+
OpenVPN 2.1 benötigt wahrscheinlich <code>remote-cert-tls server</code> anstelle von <code>ns-cert-type server</code>. (Kann das jemand ausprobieren?)
  
 
==TCP vs UDP==
 
==TCP vs UDP==

Aktuelle Version vom 8. Mai 2013, 08:52 Uhr

Was?

Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.

Und wenn Du im Lab WLAN benutzt, solltest Du Dich schonmal damit abfinden, das auch zu benutzen, da das WLAN Netz bald firewalled werden wird, und interner Zugriff dann nur noch über VPN bzw LAN möglich ist.

Wo?

Die Hosts die als Endpunkte für das VPN (und auch für den externen Zugriff auf den Datendienst dienen können sind:

  • vpn-sil.metalab.at - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
  • vpn-0xff.metalab.at - derzeit leider offline, wäre aber im Upload viel schneller.
  • vpn.in.metalab.at - für den Zugriff von intern, d.h. über Metalab WLAN oder LAN

Mag sich da nicht wer drum kümmern?

Wie?

OpenVPN mit userpass

  • Entweder Du nimmst Deinen Benutzer (mit LDAP Passwort) der im Provisioning erstellt wurde, oder aber erstellst Dir einen neuen, nur für das VPN. Das kannst Du auch im Provisioning machen, bei Aktion einfach "VPN Benutzer anlegen" auswählen.
  • OpenVPN aufsetzen
  • OpenVPN je nach Betriebssystem konfigurieren:

Linux/BSD

  • Config ändern auf:
client
dev tun
proto tcp
remote vpn-sil.metalab.at 1194
resolv-retry infinite
nobind
persist-tun
ca  /etc/ssl/certs/cacert.org.pem
cipher BF-CBC
comp-lzo
verb 1
mute 20
auth-user-pass /etc/openvpn/userpass
  • in /etc/openvpn in jeweils einer Zeile user und passwort speichern, also etwa:
vpn-philip-workstation1
meinSuperp4ssw0rt

Windows/OS X

  • Config ändern auf:
client
dev tun
proto tcp
remote vpn-sil.metalab.at 1194
resolv-retry infinite
nobind
persist-tun
ca cacert.org.pem
cipher BF-CBC
comp-lzo
verb 1
auth-user-pass

  • Unter Windows ging zumindest in der 2.0.8er Version kein ablegen von Username/Passwort in einem File, die Eingabe muss da interaktiv erfolgen. Deswegen ist da vielleicht die PKI Methode weiter unten sinnvoller, damit das VPN eigenständig bei Startup gestartet werden kann.
  • OpenVPN mit einem Click auf die Config starten
  • ping -n 10.42.23.200

OpenVPN mit PKI

$ ls pki-key*
pki-key-benutzer-workstation.crt  pki-key-benutzer-workstation.key
  • Die drei Dateien ins openvpn config Verzeichnis kopieren
  • mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden:
client
dev tun0
proto tcp
remote vpn-sil.metalab.at 61194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca metalab-vpn-ca.crt
cert pki-key-benutzer-workstation.crt
key pki-key-benutzer-workstation.key
verb 1
tls-client
comp-lzo
ns-cert-type server
  • fertig.

OpenVPN 2.1 benötigt wahrscheinlich remote-cert-tls server anstelle von ns-cert-type server. (Kann das jemand ausprobieren?)

TCP vs UDP

In den Configs steht proto tcp - das kann man versuchen zu ändern auf proto udp - es koennte aber sein dass bestimmte Consumer NAT Gateways damit nicht zurecht kommen. Im Prinzip waer es besser, schneller, schoener UDP zu verwenden, ausprobieren lohnt also!

Anderer Endpunkt

Für einen anderen Endpunkt (z.B. Funkfeuer) einen aus der Liste vom Anfang der Seite bei remote host</code eintragen.