Archive:Metacore/VPN

aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springen

Was?

Mit dem Metacore-VPN kannst Du Deinen Rechner daheim/in der Arbeit/sonstwo ins Metalab Netz bringen und damit alle internen Dienste benutzen.

Und wenn Du im Lab WLAN benutzt, solltest Du Dich schonmal damit abfinden, das auch zu benutzen, da das WLAN Netz bald firewalled werden wird, und interner Zugriff dann nur noch über VPN bzw LAN möglich ist.

Wo?

Die Hosts die als Endpunkte für das VPN (und auch für den externen Zugriff auf den Datendienst dienen können sind:

  • vpn-sil.metalab.at - 8 Mbit/s Metalab incoming, 1 Mbit/s Metalab outgoing (kann sich aber noch nach oben ändern)
  • vpn-0xff.metalab.at - derzeit leider offline, wäre aber im Upload viel schneller.
  • vpn.in.metalab.at - für den Zugriff von intern, d.h. über Metalab WLAN oder LAN

Mag sich da nicht wer drum kümmern?

Wie?

OpenVPN mit userpass

  • Entweder Du nimmst Deinen Benutzer (mit LDAP Passwort) der im Provisioning erstellt wurde, oder aber erstellst Dir einen neuen, nur für das VPN. Das kannst Du auch im Provisioning machen, bei Aktion einfach "VPN Benutzer anlegen" auswählen.
  • OpenVPN aufsetzen
  • OpenVPN je nach Betriebssystem konfigurieren:

Linux/BSD

  • Config ändern auf:
client
dev tun
proto tcp
remote vpn-sil.metalab.at 1194
resolv-retry infinite
nobind
persist-tun
ca  /etc/ssl/certs/cacert.org.pem
cipher BF-CBC
comp-lzo
verb 1
mute 20
auth-user-pass /etc/openvpn/userpass
  • in /etc/openvpn in jeweils einer Zeile user und passwort speichern, also etwa:
vpn-philip-workstation1
meinSuperp4ssw0rt

Windows/OS X

  • Config ändern auf:
client
dev tun
proto tcp
remote vpn-sil.metalab.at 1194
resolv-retry infinite
nobind
persist-tun
ca cacert.org.pem
cipher BF-CBC
comp-lzo
verb 1
auth-user-pass

  • Unter Windows ging zumindest in der 2.0.8er Version kein ablegen von Username/Passwort in einem File, die Eingabe muss da interaktiv erfolgen. Deswegen ist da vielleicht die PKI Methode weiter unten sinnvoller, damit das VPN eigenständig bei Startup gestartet werden kann.
  • OpenVPN mit einem Click auf die Config starten
  • ping -n 10.42.23.200

OpenVPN mit PKI

$ ls pki-key*
pki-key-benutzer-workstation.crt  pki-key-benutzer-workstation.key
  • Die drei Dateien ins openvpn config Verzeichnis kopieren
  • mit folgendem Abschnitt die openvpn.conf ersetzen, dabei natürlich die richtigen Dateinamen verwenden:
client
dev tun0
proto tcp
remote vpn-sil.metalab.at 61194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca metalab-vpn-ca.crt
cert pki-key-benutzer-workstation.crt
key pki-key-benutzer-workstation.key
verb 1
tls-client
comp-lzo
ns-cert-type server
  • fertig.

OpenVPN 2.1 benötigt wahrscheinlich remote-cert-tls server anstelle von ns-cert-type server. (Kann das jemand ausprobieren?)

TCP vs UDP

In den Configs steht proto tcp - das kann man versuchen zu ändern auf proto udp - es koennte aber sein dass bestimmte Consumer NAT Gateways damit nicht zurecht kommen. Im Prinzip waer es besser, schneller, schoener UDP zu verwenden, ausprobieren lohnt also!

Anderer Endpunkt

Für einen anderen Endpunkt (z.B. Funkfeuer) einen aus der Liste vom Anfang der Seite bei remote host</code eintragen.