Bearbeiten von „FBIVPN“

Im Informatik-Netz gibt es leider viele Port-Beschränkungen. Daher ist die Verwendung einer [[VPN|VPN-Verbindung]] zu empfehlen. Eine VPN-Verbindung ist auch dann sinnvoll, wenn man von außerhalb des Informatik-Netzes auf Seiten zugreifen möchte, die nur aus dem Informatik-Netz abgerufen werden können.

Vom IRZ gibt es [https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients.html Anleitungen für MacOS, Windows und Ubuntu]. Hier gibt es weitere Anleitungen, wie man die Verbindung unter verschiedenen Linux-Distributionen realisieren kann:

== Kurzanleitungen ==
Hier sind Kurzanleitungen für Ubuntu, Windows XP & 7, Mac OS X und iOS, längere Anleitungen gibt es unten.
Besonders empfehlenswert sind die [[https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients/ubuntu.html|offiziellen Anleitungen des IRZ]].

=== Debian-Testing ===

Unter neueren Debian System kann es vorkommen, dass erst network-manager-pptp-gnome oder pptp-linux installiert werden muss. Danach funktioniert die Anleitung von Ubuntu.

=== Ubuntu (getestet unter 12.04 und 12.10 und Ubuntu 18.04.4 [Juni 2020])===
(über GUI [nm-applet]):

* VPN-Verbindungen->VPN-Konfigurieren
* Hinzufügen
* Erzeugen (PPTP)
* Daten eingeben:
** Verbindungsname: FBI-VPN (ist beliebig)
** Gateway: fbivpn.informatik.uni-hamburg.de
** User name: <Deine Kennung (0musterm)>
** Passwort: <Dein Passwort>
** NT Domain: informatik
* Advanced:
** Use Point-to-Point encryption (MPPE)
** Sicherheit: 128-bit (most secure)
** die nächsten 4 Optionen ankreuzen
*** Anmerkung: Bei mir (Ubuntu 13.10) funktioniert das VPN nur, wenn "Allow stateful encryption" nicht angekreuzt ist. Mach ich was falsch?
*** Anmerkung2: Bei mir (Ubuntu 14.04 neu installiert) gehts auch nur ohne. Also vermutlich bei allen Ubuntus ab 13.10 den einen Haken weglassen.
**** Bei mir (Ubuntu 14.04) gehts wieder nur ''mit''. Einfach beides ausprobieren.
*** Anmerkung3: Bei mir (Ubuntu 15.04 neu installiert) gehts weder mit noch ohne. Funktioniert diese Methode noch bei den alten Ubuntu Versionen?
*** Anmerkung4: Unter (X)Ubuntu 16.04) gehts ohne "Allow stateful encryption". PS: In einer VM (das war das Problem bei mir) müsst ihr in den Settings eine "Netzwekbrücke" einstellen. "NAT" funktioniert nicht.
*** Anmerkung5: MSCHAP ausschalten und nur MSCHAPv2 aktiv lassen hat hier geholfen.
*** Anmerkung6: Auf Ubuntu 18.04.4, Juni 2020, galt bei mir:  "Allow stateful encryption" nicht angekreuzen sowie MSCHAP ausschalten und nur MSCHAPv2 aktiv lassen.
** <OK>
* IPv4-Einstellungen
** Methode: Automatisch (VPN), nur Adressen
** DNS-Server: 134.100.9.61
** Suchdomänen: informatik.uni-hamburg.de
*** Anmerkung: Bei mir waren die IPv4-Einstellungen nicht nötig (Ubuntu 18.04.4, Juni 2020)
* <Speichern>
* <Schließen>
* Zum W-LAN UHH verbinden.
* Fertig

Zum verbinden jetzt:
* VPN-Verbindungen --> FBI-VPN
Du hast jetzt Internet!!!

=== Ubuntu 18.04 ===
Verbindungsart: L2TP
* sudo apt-get update
* sudo apt-get install network-manager-l2tp
* sudo apt-get install network-manager-l2tp-gnome
VPN Hinzufügen und "Layer 2 Tunneling Protocol (L2TP)" auswählen
* Daten eingeben:
** Verbindungsname: FBI-VPN (ist beliebig)
** Gateway: fbivpn.informatik.uni-hamburg.de
** User name: <Deine Kennung (0musterm)>
** Passwort: <Dein Passwort>
** NT Domain: <nicht nötig>
* IPsec:
** Haken setzen bei "Enable IPsec tunnel to L2TP host"
** Gateway ID: <frei lassen>
** Pre-shared key: [[file:irz-vpnpw.png]]
*** advanced:
*** Phase1 Algorithms: 3des-sha1-modp1024
*** Phase2 Algorithms: 3des-sha1
* PPP Settings:
** Use Point-to-Point encryption (MPPE)
** Sicherheit: 128-bit (most secure)
** allow stateful encryption
** die nächsten Optionen zu compression ankreuzen

Debugging mit "tail -f /var/log/syslog"
* Fehler: "Failed to request VPN secrets #3: No agents were available for this request." 
** Lösung: Rechts vom Passwortfeld aufs Fragezeichen klicken und "Passwort für alle Nutzer speichern".

=== Kubuntu 13.04 per KDE Controle Module & Arch Linux (Manjaro), Januar 2016 ===
Verbindungsart: PPTP
* Daten eingeben
** Verbindungsname: FBI-VPN (ist beliebig)
** Gateway: fbivpn.informatik.uni-hamburg.de
** Username: <Deine iRZ-[[Kennung]] (0musterm)>
** Passwort: <Dein Passwort>
** NT Domain: informatik
* Advanced
** Authentication Methods: MSCHAP und MSCHAPv2 (alle anderen deaktivieren)
** Use Point-to-Point encryption (MPPE)
** Sicherheit: 128-bit (most secure)
** stateful encryption
** Compression: BSD, Deflate, TCP header
* DNS Server und Suchdomäne sollten nicht mehr nötig sein.

=== Fedora 21 ===

* Den VPN über die GUI mit den gleichen daten wie bei Ubuntu konfigurieren.
* Da die Firewall ab kernel 3.18 per default mehr block ist es noch nicht möglich eine verbindung aufzubauen.
* Folgende Befehle helfen:
** echo nf_conntrack_pptp | sudo tee /etc/modules-load.d/pptp-firewall.conf
** sudo modprobe nf_conntrack_pptp
** Quelle: https://blog.wedrop.it/fedora-vpn-problems.html


=== Fedora 23 bis 30 ===

* Auch hier scheint es ein firewall Problem zu geben.
* Folgende Befehle haben mir geholfen:
** firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
** firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p gre -j ACCEPT
** firewall-cmd --reload
** Quelle: https://ask.fedoraproject.org/en/question/63759/pptp-connection-fails-after-last-update/

=== Fedora 35 / Fedora Silverblue 35 ===

* Die voherigen Befehle alleine haben nicht ausgereicht. 
* Folgender Befehl hat zum Erfolg geführt:
** sudo sysctl net.netfilter.nf_conntrack_helper=1
* Die Einstellung persistent machen: 
** echo net.netfilter.nf_conntrack_helper=1 | sudo tee /etc/sysctl.d/98-nf_conntrack.conf
* Quelle: https://ask.fedoraproject.org/t/pptp-vpn-blocked-by-firewall/8097

=== Windows XP ===

* Mit dem W-Lan UHH verbinden
* Systemsteuerung --> Netzwerkverbindung
* Neue Verbindung erstellen
** Verbindung mit dem Netzwerk am Arbeitsplatz herstellen
** <Weiter>
* VPN-Verbindung
** <Weiter>
* Daten Eingeben:
** FBI-VPN (beliebig)
** <weiter>
** Hostname: fbivpn.informatik.uni-hamburg.de
** <weiter>
** <weiter>
** <Fertig Stellen>
* Der Verbinden Dialog erscheint, Daten eingeben:
**  Benutzername: <Deine Kennung (0musterm)>
**  Kennwort: <Dein Passwort>
** <Verbinden>
* Du hast Internet!


=== Windows 7 ===

* Mit dem W-Lan UHH verbinden (an der Uni) oder mit Internet verbinden (bspw. zuhause)
* Systemsteuerung --> Netzwerk- und Freigabecenter
* Neue Verbindung oder Netzwerk einrichten
* Verbindung mit dem Arbeitsplatz herstellen
** <weiter>
* Nein, neue Verbindung erstellen
** <weiter>
* Die Internetverbindung (VPN) verwenden
* Daten Eingeben:
** Internetadresse: fbivpn.informatik.uni-hamburg.de
** Zielname: FBI-VPN (beliebig)
** <Weiter>
** Benutzername: <deine Kennung (0musterm)>
** Kennwort: <Dein Passwort>
** <verbinden>
* Fertig!

Wenn Ihr ein Antivirenprogramm mit Firewall verwendet, dann achtet darauf, dass GRE-Pakete beidseitig durchgelassen werden. Das müsstet ihr bei der jeweiligen Firewall konfigurieren können. 

Am Beispiel von Avira AntiVir InternetSecurity hier ein Beispiel:
* Avira AntiVir öffnen (Adminrechte erforderlich)
* Auf den Punkt Firewall klicken
* Auf Konfigurieren klicken
* Unter Adapterregeln eure Internetverbindung auswählen
* Unter eingehende Regeln eine "Eingehende IP-Protokollregel" erstellen
* Als Protokoll GRE auswählen (Nummer 47)
* Unter ausgehende Regeln eine "Ausgehende IP-Protokollregel" erstellen
* Als Protokoll GRE auswählen (Nummer 47)
* Die Änderungen abspeichern.
* Vorsorglich neustarten.
* Fertig.

Diese Schritte waren bei mir nötig, um das Einwählen zu ermöglichen. Bei anderen Betriebssystemen (vornehmlich Windows/Mac) und/oder anderen Antivirenprogrammem mit integrierter Firewall können die Einstellungen anders heißen und andere Schritte nötig sein. Wenn es bei euch ohne diese Schritte klappt, dann müsst ihr auch nichts ändern.

=== Win 8 ===

Die Firewall von Win 8 blockiert den Zugang, sodass nach dem Einrichten (wie bei Win 7) keine Verbindung hergestellt werden kann (ging bei mir auch mit dem Cisco-Client des RRZ nicht).

Wenn man dann aber über Systemsteuerung -> Windows Firewall -> Erweiterte Einstellungen -> Eingehende/Ausgehende Regeln die "Routing und Remotezugriff"-Regeln (sind 3 Stück) mittels Rechtsklick aktiviert, wird die Verbindung erfolgreich aufgebaut. (vgl. http://www.heise.de/ct/hotline/Firewall-Regeln-fuers-VPN-unter-Windows-8-2056705.html)

=== Win 10 ===

In der Programmsuche nach VPN suchen. Dann öffnet sich ein Fenster, in welchem du auf VPN hinzufügen klickst. Die Einstellungen trägst du wie folgt ein: 
* Verbindungsname (optional): FBI-VPN
* Servername oder IP-Adresse: fbivpn.informatik.uni-hamburg.de
* VPN-Typ: L2TP/IPsec mit vorinstalliertem Schlüssel (Anmerkung 14.1.19: Statt L2TP klappt bei mir PPTP)
* Vorinstallierter Schlüssel: [[file:irz-vpnpw.png]]
* Anmeldeinformationstyp: Benutzername und Kennwort
* Benutzername: dein Informatik Nutzername z.B. 0mustermann
* Kennwort: dein Kennwort zum zugehörigen Informatikaccount
Speichern, verbinden und fertig!!

=== Mac OS X ===

Mit dem W-Lan UHH verbinden

System Preferences -> Network
* Neue Verbindung einrichten ("+" Button)
* VPN Auswählen
** VPN Typ: L2TP über IPSec
* Service Name: FBI-VPN
* Konfiguration: Standard
* Sever Address: fbivpn.informatik.uni-hamburg.de
* Account Name: Deine Kennung (0musterm)

* Authentifizierungseinstellungen
** Passwort: Dein Passwort zur Kennung
** Rechner-Authentifizierung:
*** Schlüssel ("Shared Secret"): [[file:irz-vpnpw.png]]

* Weitere Optionen:
** Optionen:
*** [X] Bei Benutzerwechsel abmelden
*** [X] Beim Abmelden des Benutzers die Verbindung trennen
*** [X] Gesamten Verkehr über die VPN-Verbindung senden
*** Bei Verbindungsproblemen: [X] Ausführliches Protokoll
** TCP/IP
*** IPv4 Konfigurieren: PPP
*** IPv6 Konfigurieren: Automatically
** DNS und Proxies nichts vornehmen
* <Verbinden>
* Du hast Internet!

=== iOS ===

* Unter den W-Lan-Netzen bei "UHH" auf den Pfeil nach Rechts tippen
** "Automatisch Anmelden" deaktivieren
* Mit dem W-Lan UHH verbinden
* Unter Einstellungen -> Allgemein -> VPN kannst du eine eigene VPN-Verbindung einrichten. 
* Daten eingeben:
** Typ: L2TP
** Beschreibung: (ist dir überlassen)
** Server: fbivpn.informatik.uni-hamburg.de
** Account: deine Informatik-Kennung (0musterm)
** RSA-SecurID: Aus
** Kennwort: dein Kennwort zur Kennung
** Shared Secret: [[file:irz-vpnpw.png]]
** Gesamten Verkehr senden: An
** Proxy: Aus (sofern du keinen benutzt)
* Unter Einstellungen dann VPN einschalten (natürlich sofern du im UHH Netz bist)
* Du hast Internet!

'''Fehlerbehebung''' 
Solltet ihr euch nicht mit UHH verbinden können, tut folgendes:
* Unter den W-Lan-Netzen bei "UHH" auf den Pfeil nach Rechts tippen
** "Automatisch Anmelden" deaktivieren (nicht in iOS Version 6.0.1 verfügbar).

=== Chrome OS ===
Das PPTP-VPN lässt sich auf einem chromebook nicht einrichten, weil PPTP wegen angeblich mangelnder Sicherheit nicht unterstützt wird.
Stattdessen funktioniert aber die Methode "L2TP/IPSec + vorinstallierter Schlüssel".
Hierfür wird der vorinstallierte Schlüssel (aka Shared Secret) vom iRZ erfragt.
Der Name des Servers ist die URL fbivpn.inf..., der Benutzername und das Passwort wie gewohnt eure Anmeldedaten, das Feld "Gruppenname" bleibt einfach leer.

== GUI ==
Diese Sektion beschreibt die Einrichtung des VPNs mittels dem NetworkManager. Wenn du keine grafische Oberflaeche benutzt, schaue weiter unten für eine Beschreibung mit nur Commandline-Tools.

=== Benötigtes Paket ===
networkmanager-pptp (PPTP-Backend für Network-Manager)

Nach dem installieren des Pakets musste bei mir (Kubunty Hardy) der knetworkmanager neugestartet werden. Vorher waren die VPN-Optionen nicht sichtbar.

=== Einstellungen ===
Network-Manager -> VPN-Verbindungen -> VPN konfigurieren -> Hinzufügen

Im Verbindungsassistent dann folgende Einstellungen vornehmen:

==== Hardy Heron und früher ====
* Verbinden mit: PPTP Tunnel
* Name: FBI VPN (oder nach Gusto)
* Typ: Windows VPN (PPTP)
* Gateway: fbivpn.informatik.uni-hamburg.de

''Tipp'': Wenn du das VPN nur nutzen möchtest, um von zu Hause bestimmte Seiten aus dem Uni-Netz abzurufen, auf die du normalerweise nicht von außen zugreifen dürftest, solltest du die VPN-Verbindung so konfigurieren, dass nur Verbindungen mit dem Uni-Netz über das VPN aufgebaut werden. Das hat den Vorteil, dass andere Dinge, die du im Internet noch so tust, evt. schneller sind, da sie nicht getunnelt werden. Dazu bearbeitest du die bestehende Verbindung über Network-Manager -> VPN-Verbindungen -> VPN konfigurieren -> Bearbeiten (dazu muss natürlich deine Verbindung ausgewählt sein). Auf der Karteikarte ''Routing'' markierst du dann ''VPN-Verbindungen nur für diese Adressen verwenden'' und trägst das Subnetz der Uni (''134.100.0.0/16'') als IP-Adressbereich ein.

Der Knetworkmanager hat unter Hardy einen Bug, so dass keine VPN-Verbindung konfiguriert werden kann. Eine gefixte Version findet sich unter https://launchpad.net/~nytmyn/+archive (siehe auch https://bugs.launchpad.net/ubuntu/+source/knetworkmanager/+bug/151867 )

==== Intrepid Ibex und später ====

* Verbindungstyp: Point-to-Point Tunneling Protocol (PPTP)
* Name: FBI VPN (oder nach Gusto)
* Gateway: fbivpn.informatik.uni-hamburg.de
* User name: Informatik\RZ-Benutzerkennung (RZ-Benutzerkennung ist dabei natürlich deine Kennung!)
* NT Domain: Unbedingt leer lassen, hier nicht Informatik eintragen. Die Domäne muss dem Benutzernamen wie oben beschrieben vorangestellt werden.
* Auf ''Advanced'' klicken:
** Haken vor ''Use Point-To-Point encryption (MPEE)'' aktivieren
** ''Security'' auf ''128bit (most secure)'' setzen

=== Neustarten ===

Nach Einrichtung der Verbindung ist evt. ein Neustart des Network-Manager notwendig, damit die Verbindung dort angezeigt wird. Unter Ubuntu geht das durch Aufrufen folgender Befehle:

* sudo /etc/dbus-1/event.d/25NetworkManager restart
* sudo /etc/dbus-1/event.d/26NetworkManagerDispatcher restart

=== Verbinden ===
Zunächst muss eine Internetverbindung oder eine Verbindung zu einem UHH-Netz (z.B. FBI-WLAN) aufgebaut werden. Eine Gateway-Authentifizierung ist ''nicht'' notwendig.

Networkmanager -> VPN-Verbindungen -> FBI VPN

''Wichtig'': Bei der Authentifizierung am VPN-Gateway muss dem Benutzernamen die Windows-Domäne vorangestellt werden. Der korrekte Benutzername lautet also: ''Informatik\RZ-Benutzerkennung''.

== CLI ==
Dieser Abschnitt beschreibt, wie mensch eine VPN Verbindung ins [[FBI]] mit Commandline-Tools erstellt.

=== Pakete ===
Installiere '''pptp-linux''' (Ubuntu) bzw '''pptpclient''' (Arch Linux) oder ein ähnlich benanntes Paket, das dir einen Client für das Microsoft Point-to-Point Tunneling Protocol (PPTP) bietet.

=== Konfiguration ===

Credentials:
<pre>echo $FBIUSER PPTP $FBIPASS 134.100.5.65 | sudo tee -a /etc/ppp/chap-secrets</pre>

Wobei $FBIUSER und $FBIPASS dein Benutzername (e.g. 0bock) und dein Passwort sind.

Dialup:
<pre>
echo <<EOF
pty "pptp fbivpn.informatik.uni-hamburg.de --nolaunchpppd"
name $FBIUSER
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam stellingen
EOF | sudo tee /etc/ppp/peers/stellingen 
</pre>

Routing:
<pre>
echo <<EOF
#!/bin/sh

[ "$6" != "stellingen" ] && exit 0

ip route add 0.0.0.0/1 dev "$1"
ip route add 128.0.0.0/1 dev "$1"
EOF | sudo tee /etc/ppp/ip-up.d/route-traffic.sh
sudo chmod +x /etc/ppp/ip-up.d/route-traffic.sh
</pre>

Network config:
<pre>
echo <<EOF
iface stellingen inet ppp
    provider stellingen
EOF | sudo tee -a /etc/network/interfaces
</pre>

=== Starten/Stoppen ===
<pre>sudo ifup stellingen</pre>
oder <pre>sudo pon stellingen</pre>
bzw.
<pre>sudo ifdown stellingen</pre>
oder <pre>sudo poff stellingen</pre>

=== VPN automatisch bei Verbindung mit $WLAN ===

Das ganze Verbinden kann man auch automatisch machen, indem man das Netzwerk identifiziert, in dem man sich befindet.
Aus der oberen Anleitung braucht man dann nicht mehr den Punkt "Network config"

/etc/wpa_supplicant/wpa_supplicant.conf
<pre>
network={
	ssid="UHH-WPA"
	key_mgmt=WPA-EAP
	eap=TTLS
	group=TKIP CCMP
	pairwise=TKIP CCMP
	ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
	identity="RRZ_Kennung@uni-hamburg.de"
	password="very_secret_password"
	anonymous_identity="anonymous@uni-hamburg.de"
	phase2="auth=PAP"
	id_str="uni" # wichtig, weil das der interfacename ist
}
ODER
network={
	ssid="UHH"
	key_mgmt=NONE
	id_str="uni"
}
</pre>

/etc/network/interfaces
<pre>
iface wlan0 inet manual
      wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf

iface uni inet dhcp
      #vpn up and down
      up /usr/bin/pon stellingen
      down /usr/bin/poff stellingen
</pre>

Manuell lässt sich immer noch VPN mit ''sudo pon stellingen'' starten. Beendet tut man dies dann mit ''sudo poff stellingen''

== Testen ==

Zum Testen der Verbindung (bei Nutzung von außerhalb des Informatik-Netzes) kann zum Beispiel die Seite [http://www.informatik.uni-hamburg.de/Fachschaft/gprot/ [1]] abgerufen werden. Kann eine Gedaechnissprotokoll geladen werden arbeitet die Verbindung

==Autoconnect Script==
Es gibt unter Linux Möglichkeiten sich bei bestehendem (UHH-) Netz direkt mit dem VPN zu befinden. Dazu sind folgende Änderungen am System notwendig.

(Im folgenden stehen (sofern nicht anders vermekt) $VPN$ für den VPN-namen und $WIFI$ für den WLAN-Namen)

<pre>/etc/NetworkManager/system-connections/$VPN$</pre>

Die Zeile <tt>password-flags</tt> muss von 1 auf 0 gesetzt werden. Falls die nicht existiert, muss sie unter dem Reiter <tt>vpn</tt> angelegt werden.
In der selben Datei muss ein weiterer Reiter nämlich <tt>vpn-secrets</tt> angelegt werden. Unter <tt>vpn-secrets</tt> wird folgender eintrag angelegt.

<pre>password=Your_Password</pre>

Beachte, dass das Passwort hier im Klartext gespeichert wird. Deswegen ist darauf zu achten, dass die Zugriffsrechte für diese Datei auf 0600 zu setzen sind! (Es sei denn, man möchte es der Welt mitteilen)

Dann kommt als nächstes das eigentliche Skript. Dies ist anzulegen unter

<pre>/etc/NetworkManager/dispatcher.d</pre>
Hier muss man eine Datei anlegen nach dem Schema wie sie in dem Ordner vorliegt (\d\d-NAME). Die Zugriffsrechte sind auf 0755 zu setzen.

<pre>
#! /bin/bash

REQUIRED_CONNECTION_NAME="$WIFI$" # namen beachten! Case-sensitive
VPN_CONNECTION_NAME="$VPN$"

sleep 1 #sleep ist nötig, warum? Keine Ahnung ;)

activ_con=$(nmcli con status | grep "${REQUIRED_CONNECTION_NAME}")
activ_vpn=$(nmcli con status | grep "${VPN_CONNECTION_NAME}")
if [ "${activ_con}" -a ! "${activ_vpn}" -a "$2" = "up" ];
then
    nmcli con up id "${VPN_CONNECTION_NAME}"
fi
</pre>

Beim nächsten Verbinden der Netzwerkverbindung sollte sich der PC automatisch mit dem VPN verbinden.

== Weblinks ==

* [https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients.html Offizielle Anleitung des IRZ]
** [https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients/macos.html Für macOS]
** [https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients/ubuntu.html Für Ubuntu]
** [https://www.inf.uni-hamburg.de/inst/irz/it-services/private-devices/vpn-clients/win10.html Für Windows]
* [http://pptpclient.sourceforge.net/howto-diagnosis.phtml#conventions Nützliches Howto zum Debuggen von PPTP Client Syslog-Infos]
* [http://www.cyberciti.biz/tips/howto-configure-ubuntu-fedora-linux-pptp-client.html Howto VPN on Fedora]

== Siehe Auch ==

* [[Verbindungen]]

[[Kategorie:Rechenzentrum]]
@@ Zeile 11: / Zeile 11: @@
 Unter neueren Debian System kann es vorkommen, dass erst network-manager-pptp-gnome oder pptp-linux installiert werden muss. Danach funktioniert die Anleitung von Ubuntu.
-=== Ubuntu (getestet unter 12.04 bis 23.04 [Mai 2023])===
+=== Ubuntu (getestet unter 12.04 und 12.10 und Ubuntu 18.04.4 [Juni 2020])===
 (über GUI [nm-applet]):
@@ Zeile 34: / Zeile 34: @@
 *** Anmerkung5: MSCHAP ausschalten und nur MSCHAPv2 aktiv lassen hat hier geholfen.
 *** Anmerkung6: Auf Ubuntu 18.04.4, Juni 2020, galt bei mir:  "Allow stateful encryption" nicht angekreuzen sowie MSCHAP ausschalten und nur MSCHAPv2 aktiv lassen.
-***Anmerkung7: Auf Ubuntu 21.10 ( April 2022) gilt: "Allow stateful encryption" ankreuzen, MSCHAP aus und MSCHAPv2 aktiv lassen. (Hat bei Ubuntu 23.04 auch funktioniert.)
 ** <OK>
 * IPv4-Einstellungen
@@ Zeile 40: / Zeile 39: @@
 ** DNS-Server: 134.100.9.61
 ** Suchdomänen: informatik.uni-hamburg.de
-*** Anmerkung: Bei mir waren die IPv4-Einstellungen nicht nötig (Ubuntu 18.04.4, Juni 2020 und 23.04, Mai 2023)
+*** Anmerkung: Bei mir waren die IPv4-Einstellungen nicht nötig (Ubuntu 18.04.4, Juni 2020)
 * <Speichern>
 * <Schließen>
@@ Zeile 49: / Zeile 48: @@
 * VPN-Verbindungen --> FBI-VPN
 Du hast jetzt Internet!!!
-==== Troubleshooting ====
-Es kann sein dass etwaige lokale Firewalls, wie Opensnitch (https://github.com/evilsocket/opensnitch) oder UFW (fancy iptables) Probleme bereiten könnten.
-Um herauszufinden ob eine Firewall dazwischenfunkt, könnte man sie entweder temporär ausschalten und danach probieren (nur in geschützten Netzwerken empfohlen) oder in den Logs nach verdächtigen Einträgen suchen.
-So könnten bei UFW Einträge wie <code>kernel: [UFW BLOCK] IN=<interface> OUT= MAC=<mac> SRC=134.100.5.65 DST=192.168.x.x</code> auftauchen.
-Bei Opensnitch schlägt der Aufbau meist durch Timeouts fehl, was auch geloggt wird.
-In der CLI könnte folgender Befehl zum verfolgen der Logs des Netzwerkmanagers hilfreich sein: <code>journalctl -e -f -u NetworkManager</code>.
-Falls pppd in dem Networkmanager Plugin für pptp genutzt wird, kann der Debug Output aktiviert werden, indem "debug" in der Datei /etc/ppp/options auskommentiert/hinzugefügt wird.
-===== Opensnitch =====
-Damit PPTP bei einer aktiven Opensnitch-Instanz funktioniert, muss in der Datei /etc/opensnitchd/system-fw.json eine Regel hinzugefügt werden, sodass es danach so aussehen könnte:
-<pre>
-{
-    "SystemRules": [
-        {
-            "Rule": {
-                "Description": "Allow pptp VPN",
-                "Table": "mangle",
-                "Chain": "OUTPUT",
-                "Parameters": "-p gre",
-                "Target": "ACCEPT",
-                "TargetParameters": ""
-            }
-        }
-}
-</pre>
-Siehe https://github.com/evilsocket/opensnitch/issues/219
-===== UFW =====
-Wenn standardmäßig alle eingehenden Verbindungen geblockt werden, sollte die IP vom Gateway freigeschaltet werden, z.B. Src: 134.100.5.65, Protocol both und alles andere beim default.
-Man könnte es mit einer Iptables Regel noch weiter einschränken, indem Packete vom Protocol "GRE" (oder 47) erlaubt sind: https://askubuntu.com/questions/757228/adding-vpn-exception-allow-protocol-to-ufw-firewall-rules
 === Ubuntu 18.04 ===
@@ Zeile 150: / Zeile 113: @@
 ** Quelle: https://ask.fedoraproject.org/en/question/63759/pptp-connection-fails-after-last-update/
-=== Fedora 35 bis 36 ===
+=== Fedora 35 / Fedora Silverblue 35 ===
 * Die voherigen Befehle alleine haben nicht ausgereicht.
@@ Zeile 158: / Zeile 121: @@
 ** echo net.netfilter.nf_conntrack_helper=1 | sudo tee /etc/sysctl.d/98-nf_conntrack.conf
 * Quelle: https://ask.fedoraproject.org/t/pptp-vpn-blocked-by-firewall/8097
-* Seit Kernel-Version 6.0 gibt es net.netfilter.nf_conntrack_helper nicht mehr. Stattdessen kann in der Firewall gre freigeschaltet werden.
-** Quelle: https://ask.fedoraproject.org/t/nf-conntrack-helper-is-missing-from-kernel-6-0-5/28210/2
-=== Qubes OS (getestet unter Qubes 4.2.1, April 2024) ===
-Es werden neben einer Network-VM (standardmäßig gibt es sys-net und sys-firewall, Anleitung nutzt sys-firewall) zwei weitere VMs (ein Template, ein Proxy) benötigt, damit gezielt nur eine Auswahl an Qubes und auch nur auf Wunsch das VPN verwenden, und nicht zwangsläufig das gesamte System.
-==== sys-net ====
-In sys-net muss eingestellt werden, dass eingehender pptp Traffic erlaubt wird und überhaupt verarbeitet werden kann:
-* sudo vim /rw/config/rc.local
-* modprobe ip_conntrack_pptp
-* modprobe ip_nat_pptp
-* iptables -I FORWARD -p 47 -s fbivpn.informatik.uni-hamburg.de -j ACCEPT
-* iptables -Z
-==== Proxy Template ====
-Qube Manager -> New Qube
-* Label: sys-vpn-template (Beispiel)
-* Type: TemplateVM
-* Template: Default (im Folgenden von fedora-39-xfce ausgehend)
-* Network: None
-Anschließend den Template-Qube starten und ein Terminal öffnen
-* sudo dnf remove libreswan
-* sudo dnf install strongswan (sofern nicht bereits installiert)
-* Begründung: libreswan enthält den notwendigen Phase 1 Encryption Algorithmus 3des-sha1-modp1024 nicht mehr
-==== VPN Proxy-VM ====
-Qube Manager -> New Qube
-* Label: sys-vpn (Beispiel)
-* Type: AppVM
-* Template: sys-vpn-template
-* Networking: "sys-firewall" (oder "sys-net", discouraged)
-* Advanced: Provides network access to other qubes
-Qube Einstellungen (Qube Manger -> sys-vpn -> Settings)
-* Zum Services-Reiter wechseln
-* network-manager Service auswählen
-Terminal in sys-vpn öffnen
-* sudo vim /rw/config/rc.local
-* iptables -I INPUT -p 47 -s fbivpn.informatik.uni-hamburg.de -j ACCEPT
-* modprobe l2tp_ppp
-==== VPN einrichten ====
-* Zunächst alle obigen Qubes (neu)starten
-* Netzwork Manager Icon der Proxy-VM im Tray anklicken
-* VPN Connections -> Configure VPN... -> +
-* Point-to-Point Tunneling Protocol (PPTP)
-** Gateway: fbivpn.informatik.uni-hamburg.de
-** User-name: FBI Kennung
-** Password: FBI Password
-** IPsec Settings...
-*** Enable IPsec tunnel to L2TP host
-*** Pre-shared key: fbivpn
-*** (Advanced) Phase1 Algorithms: 3des-sha1-modp1024
-*** (Advanced) Phase2 Algorithms: 3des-sha1
-** PPP Settings...
-*** Alles unter "Security and Compression" auswählen
-*** Security: 128-bit (most secure)
-*** Unter "Authentication" nur "MSCHAP" und "MSCHAPv2"
-Fertig! Jetzt müsste eine Verbindung über das gleiche Tray-Icon funktionieren! Soll ein Qube das FBI VPN verwenden, kannst du einfach dessen Network-VM auf "sys-vpn" stellen und das VPN aktivieren. Möchtest du, dass die Qubes bei deaktiviertem VPN trotzdem Internet haben, kannst du im gleichen Menü einfach den "VM uplink eth0" anstelle des VPNs aktivieren. Dann wird stattdessen einfach die Verbindung von sys-firewall direkt verwendet.
 === Windows XP ===
@@ Zeile 330: / Zeile 226: @@
 *** IPv4 Konfigurieren: PPP
 *** IPv6 Konfigurieren: Automatically
-** DNS: "informatik.uni-hamburg.de" als Such-Domain hinzufügen
+** DNS und Proxies nichts vornehmen
-** Proxies: nichts vornehmen
 * <Verbinden>
 * Du hast Internet!