Hinweise zur Konfiguration von OpenVPN
Allgemein: Es muss die Version 1.5 oder neuer von OpenVPN installiert werden.
Linux
OpenVPN sollte bei den großen Distributionen enthalten sein.
Für Debian woody gibt es ein Binary bei http://www.backports.org oder einbinden in sources.list, dann apt-get update ; apt-get install openvpn und dann deb http://www.backports.org/debian/ woody openvpn
Hinweise
- Bei der Installation wird unter Umständen gefragt, ob Geräte wie /dev/tun angelegt werden sollen. Unbedingt bejahen.
- Im Kernel muß die Option CONFIG_TUN gesetzt sein (y oder m), die vom Distributor mitgelieferten Kernel sind erfahrungsgemäß richtig vorbereitet.
- Die netfilter-Implementation bei v6 ist sehr lückenhaft. Gegen das ungewollte Anbieten von Diensten im Internet müssen die dæmonen entsprechend konfiguriert sein.
Installation
Für die weitere Installation gibt es vom IN-Ulm einen persönlich angepaßten tarball, der die nötigen Zertifikate und Konfigurationsdateien enthält.
Die nächsten Schritte sind (alle Kommandos als root):
- In das Verzeichnis /etc/openvpn wechseln und den tarball mit "tar -xvf /path/to/client.tar" auspacken. Anschließend muß die Datei /etc/openvpn/server/IN-Ulm/up bearbeitet werden, um das Routing wunschgemäß einzustellen.
- Start des Tunnels mit "openvpn --config /etc/openvpn/IN-Ulm.conf".
- Beenden des Tunnels mit "kill `cat /var/run/openvpn.tun000.pid`", wobei "000" durch die Zahl zu ersetzen ist, die bei "writepid" in der Datei IN-Ulm.conf steht.
weitere Hinweise
- (mindestens für Debian): Der Tunnel wird beim Start des Rechners automatisch mit aufgebaut. Ist das nicht erwünscht, muß die Datei IN-Ulm.conf in ein anderes Verzeichnis verschoben und der Aufruf zum Start entsprechend angepaßt werden.
-
Beim Start findet sich eine Warnung im logfile:
WARNING: potential conflict between --remote address [217.10.9.192] and --ifconfig address pair [217.10.9.xxx, 217.10.9.193] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig endpoints
Sie kann ignoriert werden.
Windows 2000 und XP
Der Client liegt zum Download bereit unter http://openvpn.sourceforge.net/.
Achtung!
Beim IN-Ulm sind, anders als bei manchen Providern, keinerlei Filter installiert. Deshalb sollte, wie auch sonst, der Rechner keine Dienste ungeplant gegen das Internet anbieten. Insbesondere bei einer einer originalen, nicht gepatchten Windows-Installation besteht in kürzester Zeit, Sekunden bis Minuten, ein großes Risiko einer Infektion mit dem RPC-Wurm.
Installation
- openvpn-1.5-install.exe (oder neuer) downloaden und als Administator starten.
- Auf die Komponente "OpenVPN source code" kann verzichtet werden, auf die anderen nur, wenn man weiß, was man tut.
- Der Installer beschwert sich über die fehlende Signatur für den TAP-Win32 Adapter. Installation trotzdem fortsetzen.
- Rebooten (ansonsten soll es sehr merkwürdige Effekte geben).
- Konfigurationsdatei und Zertifikate kommen in einem zipfile, das in C:\Programme\openVPN\config auspacken.
- Anpassungen Routing: "Ab Werk" wird nur das Netz des IN-Ulm über den Tunnel geroutet. Eingestellt wird das in der Zeile route in der Datei C:\Programme\openVPN\config\IN-Ulm.ovpn.
-
Start der Verbindung durch Doppelklick auf
C:\Programme\openVPN\config\IN-Ulm.ovpn
oder: Öffnen einer DOS-Box ("MS-DOS-Eingabeaufforderung") und das Kommando "openvpn --config C:\Programme\openVPN\config\IN-Ulm.ovpn". - Beenden der Verbindung durch die Eingabe von Strg-C im Fenster der Verbindung.
Alle anderen
Falls OpenVPN nicht vom Betriebssystem mitgeliefert wird, die Sourcen zum Selberbauen finden sich unter http://openvpn.sourceforge.net/.Erfahrungen mit NetBSD (nur ein paar Skizzen)
Grundsätzlich ist die Anleitung für Linux übertragbar, Ausnahmen und Fallstricke:
- Die Nummer des Tunnel-Device ist nicht frei einstellbar. Lösung: in der Konfigurationsdatei bei "dev" eine Zahl zwischen 0 und 3 wählen.
- Die Routing-Kommandos in "up" setzen iproute2 voraus und müssen geeignet umgeschrieben werden.
- Das Tunneln von IPv6 setzt eine neuere Version von OpenVPN (1.6?) und eventuell einen Kernelpatch (nicht ausprobiert) voraus.
Weitere Erfahrungsberichte sind sehr willkommen.
