VPN

Aus c3RE.de
Wechseln zu: Navigation, Suche
   
VPN-Server

Status: working [box doku]

Description VPN-Zugang zur Hackerhütte
Financing  c3RE e.V.
Location  Hackerhütte


Ansprechpartner: Rogue


Nutzung

Du solltest immer in der Hackerhütte sein.
Aber du kannst nicht immer in der Hackerhütte sein.
Die Lösung: Dein VPN-Tunnel in die Hackerhütte !

Vorbereitung

Bitte melde dich beim NOC. Du bekommst vom NOC die folgenden Dateien für die Konfiguration von OpenVPN zur Verfügung gestellt:

  • ca.cert
  • config.ovpn
  • dh.pem
  • <deinname>.crt
  • <deinname>.key

Installation

GNU/Linux

Commandline

Ordner entpacken

sudo openvpn config.ovpn

DNS-Server 10.2.3.254 oder 10.2.3.2 in /etc/resolv.conf eintragen

GUI

Linux Networkmanager

sudo apt-get install network-manager-openvpn
  • Ordner entpacken
  • VPN-Verbindung / VPN-Verbindung hinzufügen / Gespeicherte VPN-Konfiguration importieren

Networkmanager manuell (englisch)

Du benötigst vom NOC die folgenden drei Dateien: ca.crt, <deinname>.crt, <deinname>.key.

Es werden nur die Änderungen gegenüber den Default-Werten beschrieben.

  • VPN Connections -> Configure VPN ... -> "+" (add)
    • Choose a Connection Type: OpenVPN -> Create
    • Connection Name: <Beliebiger Name>
    • Gateway: huette.c3re.de
    • Type: Certificates (TLS)
    • CA certificate: ca.crt (vom NOC)
    • User certificate: <deinname>.crt (vom NOC)
    • User private key: <deinname>.key (vom NOC)
    • Advanced:
      • General: Use LZO Compression: adaptive
      • General: Set virtual device type: TAP
      • Security: Cipher: AES-256-CBC
      • IPv4 Settings:
        • Routes: Use this connection only for resources on its network: yes

SElinux

Optionale Behandlung von Problemen mit SElinux beim Zugriff auf die Zertifikatsdateien:

Feb 01 08:15:54 <xxx> audit[3963]: AVC avc:  denied  { open } for  pid=3963 comm="openvpn" path="/home/<xxx>/.openvpn/<xxx>/<deinname>.crt" dev="dm-4" ino=124256996 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

Diese Zeile ergänzen:

# grep 'openvpn' /etc/selinux/targeted/contexts/files/file_contexts.homedirs 
/home/[^/]+/\.openvpn(/.*)?		unconfined_u:object_r:openvpn_etc_t:s0

Berechtigungen setzen:

# restorecon -Rv /home/<user>/.openvpn
Relabeled /home/<user>/.openvpn from unconfined_u:object_r:user_home_t:s0 to unconfined_u:object_r:openvpn_etc_t:s0
[...]

Mac OSX

Windows

OpenVPN Client.

Test

Kurzer Test der Funktionalität:

$ ping -c 1 huettenpi
PING huettenpi (10.2.3.2) 56(84) bytes of data.
64 bytes from mqtt.huette.local (10.2.3.2): icmp_seq=1 ttl=64 time=37.7 ms

--- huettenpi ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 37.696/37.696/37.696/0.000 ms