BE:Squads/Piratech/Projekte/vpn.piratech.de

Aus Piratenwiki
Wechseln zu: Navigation, Suche
vpn.piratech.de
Tecno-rueda.svg

VPN.Piratech.de

Wir betreiben eine VM auf einem Hetzner-Server für VPN-Dienste. Die VPN-Dienste dienen diesen Zwecken:

  • Internet-Zugriff für Veranstaltungen, wie den Landesparteitag. Damit muss die Versammlung nicht unter der IP-Adresse des Veranstaltungsorts segeln und wir können das mit der Zensur selber machen. Für einige Internet-Dienste kann es zudem positiv sein, wenn nicht gleich mehrere 100 Rechner alle über eine einzelne externe IP-Adresse zugreifen (Stichwort: 19"-Schachtel "Röttgen", die mit dem lauten Lüfter).
  • Internet-Zugriff für die Bunde- und Landesgeschäftsstelle P9a. Ursprünglich entstanden, um den E-Mail-Zugiffs-Zähler der Bundes-IT zu überlisten.
  • VPN-Zugriff für Mitarbeiter und Freiwillige zu Diensten und Rechnern, die in der Bundes- und Landesgeschäftsstelle stehen.

Wo erhalte ich Keys?

VPN-Keys gibt es derzeit bei Sven-Ola oder Mario auf Anfrage. Netterweise sendet ihr gleich mit PGP-Unterschrift, dann kann die Schlüsselübergabe verschlüsselt erfolgen.

Policy ist piratig: Wir kennen dich. Oder du kennst jemand der uns kennt. Und du hast eine Aufgabe.

Eine VPN-Verbindung einrichten

Das ist ganz einfach. Tar auspacken, "sudo openvpn --config *-udp.ovpn" eingeben. Augenblick warten. Ein "ping 192.168.255.1" zeigt an, ob der Tunnel funktioniert.

Scherz beiseite: schau in die bebildertern Anleitungen für (hoffentlich) dein Lieblingssystem.

Windows

OpenVPN-Konfiguration nach C:\Programme\OpenVPN\Config auspacken
Die OpenVPN-GUI muss als Administrator ausgeführt werden
Das OpenVPN-Icon im Infobereich der Taskleiste rechts anklicken und eine Verbindung aufbauen
Die Verbindung mit der Eingabeaufforderung prüfen
  1. Du benötigst die OpenVPN-Software. Lade den passenden Windows-Installer von der [OpenVPN-Webseite].
  2. Nach der Installation existiert ein Verzeichnis C:\Programme\Openvpn\Config. Die per E-Mail erhaltene TAR-Archivdatei hierhin auspacken. Leider scheint Windows 8 kein Standardprogramm zum entpacken von TAR-Dateien mitzubringen. Das nebenstehende Bildschirmfoto wurde mit der Software [7-ZIP] erstellt, andere Archivprogramme wie beispielsweise WinZIP sollten TAR-Dateien ebenfalls auspacken können.
  3. Öffne das Windows-Startmenü und navigiere zum Untermenü, welches das Programm OpenVPN-GUI enthält. Unter Windows 8 sollte dazu eine Kachel im Metro-Startbildschirm vorhanden sein (siehe nebenstehendes Bildschirmfoto). Klicke den Menüeintrag bzw. die Kachel mit der rechten Maustaste an. Wähle den Kontextbefehl Als Administrator ausführen.
    Protipp: Unter Windows darf nur ein mit administrativen Rechten ausgeführtes Programm die System-Routen ändern. Ohne diese Berechtigung kannst du nur den Tunnel-Endpunkt, nicht aber die Rechner und Dienste in der P9a erreichen.
  4. Es wird ein kleines rotes OpenVpn-Icon im Infobereich der Taskleiste angezeigt. Klicke dieses Icon mit der rechten Maustaste an. Aktiviere den Eintrag vpn-piratech-*-udp.
    Achtung: der alternative TCP-Eintrag funktioniert in vielen Fällen nicht korrekt.
  5. Starte für einen Test die Windows-Eingabeaufforderung. Gib ein: ping p9a-drucker.piratech.de oder ping p9a-router.piratech.de. Bestätige mit der Eingabetaste. Hier sollten Antwortpakete angezeigt werden.

Tipp: Möglicherweise funktioniert die DNS-Namensauflösung für die p9a-*.piratech.de-DNS-Namen nicht. Ermittle alternativ eine direkte IP-Adresse, z.B. mit nslookup p9a-router.piratech.de 8.8.8.8. Die ermittelte IP-Adresse anschließend mit ping 192.168.23.254 prüfen.


Apple

Es hat sich leider noch niemand für eine bebilderte Anleitung gefunden. Aus für gewöhnlich gut unterrichteten Kreisen heisst es: die Software "Tunnelblick" installieren (Link: http://code.google.com/p/tunnelblick/wiki/DownloadsEntry?tm=2). Danach ebenfalls das Tar-Archiv auspacken und die im Archiv enthaltene Datei *-udp.ovpn in *.tblk umbenennen. Diese Datei mit Tunnelblick zusammen verwenden. Hier sind noch zwei links mit Bildern die allerdings nur bedingt helfen weil sie Passwort und nicht Key zu authentifizierung verwenden. (Link: http://www.surfbouncer.com/Mac_openvpn_install.htm) und (Link: https://strongvpn.com/setup_macosx_openvpn_tunnelblick.shtml)

Linux Gnome

VPN-Schlüssel im Archivprogramm
Neue VPN-Konfiguration
OpenVPN-Konfiguration bearbeiten
IPv4-Einstellungen bearbeiten
  1. Du hast eine E-Mail mit einem Anhang vpn-piratech_*.tar erhalten. Öffne die Anhangsdatei in einem Archivprogramm. Je nach Archivprogramm evt. noch den Punkt-Eintrag (".") doppelt anklicken. Sollte so aussehen:
  2. Auf den Button Entpacken klicken. Gib ein geeignetes Verzeichnis an, beispielsweise Dokumente/openvpn unterhalb deines Benutzerverzeichnisses.
  3. Öffne die Netzwerkeinstellungen. Das geht über die Systemeinstellungen oder mit einem Klick auf das Netzwerk-Icon im Infobereich der Taskleiste. Der Dialog Netzwerkeinstellungen wird geöffnet. Klicke auf der [+] Icon, um eine neue VPN-Verbindung zu erstellen. Bestätige im nächsten Dialog die Auswahl VPN. Das muss so aussehen, wie auf dem nebenstehenden Bildschirmabbild.
    Protipp: wenn OpenVPN nicht zur Auswahl steht, fehlt das entsprechende Plugin für deinen Rechner. Dazu den Befehl "sudo apt-get install network-manager-openvpn-gnome" oder die entsprechende Prozedur in deiner Software-Verwaltung ausführen.
  4. Bestätige im nächsten Dialog die Auswahl OpenVPN mit dem Button Erzeugen. Der Dialog VPN-Verbindung bearbeiten wird geöffnet.
  5. Jetzt wird es ernst. Du solltest die im nebenstehenden Bildschirmabbild mit roten Pfeilen gekennzeichneten Felder gewissenhaft ausfüllen.
    Verbindungsname: Beispielsweise "VPN Piratech"
    Gateway: vpn.piratech.de
    Zertifikat des Benutzers: Deine vpn-*.crt
    Zertifikat der Zertifizierungstelle: vpn-piratech-ca.crt
    Privater Schlüssel: Deine vpn-*.key
  6. Den Dialog VPN bearbeiten noch nicht schließen, sondern auf den Button Erweitert klicken. Im Dialog Erweiterte OpenVPN-Einstellungen die Option LZO-Komprimierung verwenden aktivieren. Die Einstellung mit OK bestätigen.
  7. Den Dialog VPN bearbeiten immer noch nicht schließen, sondern zum Register IPv4-Einstellungen navigieren. Dort mit dem Button Routen den Dialog IPv4-Routen bearbeiten öffnen. Aktiviere die Option Diese Verbindung nur für Ressourcen dieses Netzwerks verwenden. Diese Option bewirkt, dass dein Internet-Verkehr später nicht über den VPN-Tunnel umgeleitet wird.
  8. Die Einrichtungsdialoge mit den Buttons [OK] und [Speichern] beenden.
  9. Die VPN-Verbindung über das Netzwerk-Icon im Infobereich der Taskleiste aktiveren.

Tipp: Bei aktivem VPN-Tunnel funktioniert dieser Link auf die [Anmeldeseite der Fritzbox].


Admin-Howto

Kurz, aber hoffentlich ausreichend. So erzeugst du einen neuen Schlüssel:

  1. "sudo build-openvpn-key spitzname e@mail.com" eingeben. Dusselige Fragen, wo man normalerweise etwas eingeben müsste werden mit "expect" automatisiert beantwortet. Also nicht nervös werden und Ctrl-C drücken sondern abwarten bis das durchgelaufen ist.
  2. "sudo etckeeper commit" eingeben. Es wird ein Text-Editor gestartet, in dem gibts du eine Nachricht für das Versionskontrollsystem und deine Kollegen auf dem Server ein. In die erste Zeile schreibst du ein Kürzel und die Nachricht, etwa "ichbins: neuer Schlüssel für Stefan Müller auf Anforderung von Susanne Maier". Dann speichern und beenden. Sollte das der Editor "joe" sein: Ctrl-K Ctrl-X. Sollte das der Editor "vi" sein: erst [i] drücken um in den Insert-Mode zu kommen. Dann schreiben. Dann [Esc][:][w][q] um den Insert-Mode zu beenden, das Kommando "Speichern" und das Kommando "beenden" zu geben. Sollte das der Editor "nano" sein: Ctrl-X und die Speichern-Abfrage mit "J" beantworten.
  3. "cp /etc/openvpn/clients/vpn-piratech_spitzname.tar ~" eigeben. Dies kopiert die OpenVPN-Konfiguration in dein Home-Verzeichnis. Hilfreich hier: bei dem Dateinamen ab und zu [Tab] drücken erspart Tipp- und Sucharbeit. Das Kopieren muss sein, weil /etc/openvpn von normalen Benutzern nicht gelesen werden kann. Du willst aber mit SCP die Tar-Datei zu dir übertragen. Das SCP-Programm meldet sich aber als normaler Benutzer an.
  4. Jetzt ein SCP-Programm auf deinem Rechner starten. Die *.tar zu dir übertragen. Anschließend die *.tar aus deinem Home-Verzeichnis löschen.
  5. Nun kommt der komplizierte Teil: Die *.tar-Datei ist nicht weiter geschützt. Wenn du sie jetzt einfach per E-Mail sendest wäre das nicht sehr sicher. Also den PGP-Schlüssel des Addressaten 'raussuchen. Und die Mail mit PGP verschlüsseln. Am besten auch den Anhang, also mach das "PGP/Mime" in deinem Mailprogramm an. Wenn du Pech hast kommt die Antwort: ich habe mein PGP verschlunzt. Oder "kann ich nicht öffnen". Oder "was ist das für eine E-Mail...?" Jetzt wird es möglicherweise ekelig -> greif' dir einen USB-Stick und geh hin, meistens haben solche Adressaten auch andere Probleme, z.B. "wie installiere ich OpenVPN?".

Wenn du anzeigen willst, wer alles einen Schlüssel hat: erst "sudo -s" eingeben. Dann "for i in /etc/openvpn/easy-rsa/keys/*.crt;do openssl-dump ${i}|sed -n '/Subject:/{s,.*CN=,,;p}';done|sort".

Wenn beim Schlüssel erzeugen irgend etwas schief geht: keine Panik. Das Verzeichnis /etc ist mit dem Versionskontrollsystem "git" jederzeit wiederherstellbar. Nehmen wir an, das Erzeugen ist schief gegangen weil mittendrin die Verbindung unterbrochen wurde. "sudo -s", "cd /etc", "git status" eingeben. Da werden allerlei Dateien angezeigt die geändert wurden oder neu erstellt sind. "git reset --hard" geht auf den letzten bekannten Stand zurück. "git status" zeigt anschließend an, ob neue und vorher unbekannte Dateien vorhanden sind. Diese von Hand löschen. Befehl dazu heisst unter Linux "rm -vi bla/blubb/datei" oder "rmdir -v bla/blubb/".