FBIVPN: Unterschied zwischen den Versionen

Aus Fachschaft_Informatik
Zur Navigation springen Zur Suche springen
(formatting)
K (Das Shared Secret gibt's im im iRZ, nicht RRZ.)
Zeile 152: Zeile 152:
** Passwort: Dein Passwort zur Kennung
** Passwort: Dein Passwort zur Kennung
** Rechner-Authentifizierung:
** Rechner-Authentifizierung:
*** Schlüssel ("Shared Secret"): Dieses muss beim RRZ erfagt werden
*** Schlüssel ("Shared Secret"): Dieses muss beim iRZ erfagt werden


* Weitere Optionen:
* Weitere Optionen:
Zeile 188: Zeile 188:
** RSA-SecurID: Aus
** RSA-SecurID: Aus
** Kennwort: dein Kennwort zur Kennung
** Kennwort: dein Kennwort zur Kennung
** Shared Secret: Muss beim RRZ erfragt werden
** Shared Secret: Muss beim iRZ erfragt werden
** Gesamten Verkehr senden: An
** Gesamten Verkehr senden: An
** Proxy: Aus (sofern du keinen benutzt)
** Proxy: Aus (sofern du keinen benutzt)

Version vom 12. Oktober 2016, 22:48 Uhr

Im Informatik-Netz gibt es leider viele Port-Beschränkungen. Daher ist die Verwendung einer VPN-Verbindung zu empfehlen. Eine VPN-Verbindung ist auch dann sinnvoll, wenn man von außerhalb des Informatik-Netzes auf Seiten zugreifen möchte, die nur aus dem Informatik-Netz abgerufen werden können.

Vom RZ gibt es eine Anleitung für Windows und OS X. Hier gibt es eine kurze Anleitung, wie man dies unter Linux (speziell Debian/Ubuntu) mit dem Network-Manager realisieren kann:

Kurzanleitungen

Hier sind Kurzanleitungen für Ubuntu, Windows XP & 7, Mac OS X und iOS, längere Anleitungen gibt es unten, oder auf den Seiten des RZ

Debian-Testing

Unter neueren Debian System kann es vorkommen, dass erst network-manager-pptp-gnome oder pptp-linux installiert werden muss. Danach funktioniert die Anleitung von Ubuntu.

Ubuntu (getestet unter 12.04 und 12.10)

(über GUI [nm-applet]):

  • VPN-Verbindungen->VPN-Konfigurieren
  • Hinzufügen
  • Erzeugen (PPTP)
  • Daten eingeben:
    • Verbindungsname: FBI-VPN (ist beliebig)
    • Gateway: fbivpn.informatik.uni-hamburg.de
    • User name: <Deine Kennung (0musterm)>
    • Passwort: <Dein Passwort>
    • NT Domain: informatik
  • Advanced:
    • Use Point-to-Point encryption (MPPE)
    • Sicherheit: 128-bit (most secure)
    • die nächsten 4 Optionen ankreuzen
      • Anmerkung: Bei mir (Ubuntu 13.10) funktioniert das VPN nur, wenn "Allow stateful encryption" nicht angekreuzt ist. Mach ich was falsch?
      • Anmerkung2: Bei mir (Ubuntu 14.04 neu installiert) gehts auch nur ohne. Also vermutlich bei allen Ubuntus ab 13.10 den einen Haken weglassen.
        • Bei mir (Ubuntu 14.04) gehts wieder nur mit. Einfach beides ausprobieren.
      • Anmerkung3: Bei mir (Ubuntu 15.04 neu installiert) gehts weder mit noch ohne. Funktioniert diese Methode noch bei den alten Ubuntu Versionen?
      • Anmerkung4: Unter (X)Ubuntu 16.04) gehts ohne "Allow stateful encryption". PS: In einer VM (das war das Problem bei mir) müsst ihr in den Settings eine "Netzwekbrücke" einstellen. "NAT" funktioniert nicht.
    • <OK>
  • IPv4-Einstellungen
    • Methode: Automatisch (VPN), nur Adressen
    • DNS-Server: 134.100.9.61
    • Suchdomänen: informatik.uni-hamburg.de
  • <Speichern>
  • <Schließen>
  • Zum W-LAN UHH verbinden.
  • Fertig

Zum verbinden jetzt:

  • VPN-Verbindungen --> FBI-VPN

Du hast jetzt Internet!!!

Kubuntu 13.04 per KDE Controle Module

Verbindungsart: PPTP

  • Daten eingeben
    • Verbindungsname: FBI-VPN (ist beliebig)
    • Gateway: fbivpn.informatik.uni-hamburg.de
    • Username: <Deine iRZ-Kennung (0musterm)>
    • Passwort: <Dein Passwort>
    • NT Domain: informatik
  • Advanced
    • Authentication Methods: MSCHAP und MSCHAPv2 (alle anderen deaktivieren)
    • Use Point-to-Point encryption (MPPE)
    • Sicherheit: 128-bit (most secure)
    • stateful encryption
    • Compression: BSD, Deflate, TCP header
  • DNS Server und Suchdomäne sollten nicht mehr nötig sein.

Fedora 21

  • Den VPN über die GUI mit den gleichen daten wie bei Ubuntu konfigurieren.
  • Da die Firewall ab kernel 3.18 per default mehr block ist es noch nicht möglich eine verbindung aufzubauen.
  • Folgende Befehle helfen:


Windows XP

  • Mit dem W-Lan UHH verbinden
  • Systemsteuerung --> Netzwerkverbindung
  • Neue Verbindung erstellen
    • Verbindung mit dem Netzwerk am Arbeitsplatz herstellen
    • <Weiter>
  • VPN-Verbindung
    • <Weiter>
  • Daten Eingeben:
    • FBI-VPN (beliebig)
    • <weiter>
    • Hostname: fbivpn.informatik.uni-hamburg.de
    • <weiter>
    • <weiter>
    • <Fertig Stellen>
  • Der Verbinden Dialog erscheint, Daten eingeben:
    • Benutzername: <Deine Kennung (0musterm)>
    • Kennwort: <Dein Passwort>
    • <Verbinden>
  • Du hast Internet!


Windows 7

  • Mit dem W-Lan UHH verbinden (an der Uni) oder mit Internet verbinden (bspw. zuhause)
  • Systemsteuerung --> Netzwerk- und Freigabecenter
  • Neue Verbindung oder Netzwerk einrichten
  • Verbindung mit dem Arbeitsplatz herstellen
    • <weiter>
  • Nein, neue Verbindung erstellen
    • <weiter>
  • Die Internetverbindung (VPN) verwenden
  • Daten Eingeben:
    • Internetadresse: fbivpn.informatik.uni-hamburg.de
    • Zielname: FBI-VPN (beliebig)
    • <Weiter>
    • Benutzername: <deine Kennung (0musterm)>
    • Kennwort: <Dein Passwort>
    • <verbinden>
  • Fertig!

Wenn Ihr ein Antivirenprogramm mit Firewall verwendet, dann achtet darauf, dass GRE-Pakete beidseitig durchgelassen werden. Das müsstet ihr bei der jeweiligen Firewall konfigurieren können.

Am Beispiel von Avira AntiVir InternetSecurity hier ein Beispiel:

  • Avira AntiVir öffnen (Adminrechte erforderlich)
  • Auf den Punkt Firewall klicken
  • Auf Konfigurieren klicken
  • Unter Adapterregeln eure Internetverbindung auswählen
  • Unter eingehende Regeln eine "Eingehende IP-Protokollregel" erstellen
  • Als Protokoll GRE auswählen (Nummer 47)
  • Unter ausgehende Regeln eine "Ausgehende IP-Protokollregel" erstellen
  • Als Protokoll GRE auswählen (Nummer 47)
  • Die Änderungen abspeichern.
  • Vorsorglich neustarten.
  • Fertig.

Diese Schritte waren bei mir nötig, um das Einwählen zu ermöglichen. Bei anderen Betriebssystemen (vornehmlich Windows/Mac) und/oder anderen Antivirenprogrammem mit integrierter Firewall können die Einstellungen anders heißen und andere Schritte nötig sein. Wenn es bei euch ohne diese Schritte klappt, dann müsst ihr auch nichts ändern.

Win 8

Die Firewall von Win 8 blockiert den Zugang, sodass nach dem Einrichten (wie bei Win 7) keine Verbindung hergestellt werden kann (ging bei mir auch mit dem Cisco-Client des RRZ nicht).

Wenn man dann aber über Systemsteuerung -> Windows Firewall -> Erweiterte Einstellungen -> Eingehende/Ausgehende Regeln die "Routing und Remotezugriff"-Regeln (sind 3 Stück) mittels Rechtsklick aktiviert, wird die Verbindung erfolgreich aufgebaut. (vgl. http://www.heise.de/ct/hotline/Firewall-Regeln-fuers-VPN-unter-Windows-8-2056705.html)

Mac OS X

Mit dem W-Lan UHH verbinden

System Preferences -> Network

  • Neue Verbindung einrichten ("+" Button)
  • VPN Auswählen
    • VPN Typ: L2TP über IPSec
  • Service Name: FBI-VPN
  • Konfiguration: Standard
  • Sever Address: fbivpn.informatik.uni-hamburg.de
  • Account Name: Deine Kennung (0musterm)
  • Authentifizierungseinstellungen
    • Passwort: Dein Passwort zur Kennung
    • Rechner-Authentifizierung:
      • Schlüssel ("Shared Secret"): Dieses muss beim iRZ erfagt werden
  • Weitere Optionen:
    • Optionen:
      • [X] Bei Benutzerwechsel abmelden
      • [X] Beim Abmelden des Benutzers die Verbindung trennen
      • [X] Gesamten Verkehr über die VPN-Verbindung senden
    • TCP/IP
      • IPv4 Konfigurieren: PPP
      • IPv6 Konfigurieren: Automatically
    • DNS und Proxies nichts vornehmen
  • <Verbinden>
  • Du hast Internet!

Zusätzlich:

Seit MacOSX 10.7 gibt es das nervige PopUp-Feld welches einen zum Einloggen auffordert, dieses wird durch den "Captive Network Assistant" ausgelöst.

Um dieses "Feature" abzustellen muss folgendes getan werden:

  • zu folgendem Ordner navigieren: /System/Library/CoreServices/
  • "Captive Network Assistant.app" umbenennen. z.B. zu: "_Captive Network Assistant.app"
  • fertig

iOS

  • Unter den W-Lan-Netzen bei "UHH" auf den Pfeil nach Rechts tippen
    • "Automatisch Anmelden" deaktivieren
  • Mit dem W-Lan UHH verbinden
  • Unter Einstellungen -> Allgemein -> VPN kannst du eine eigene VPN-Verbindung einrichten.
  • Daten eingeben:
    • Typ: L2TP
    • Beschreibung: (ist dir überlassen)
    • Server: fbivpn.informatik.uni-hamburg.de
    • Account: deine Informatik-Kennung (0musterm)
    • RSA-SecurID: Aus
    • Kennwort: dein Kennwort zur Kennung
    • Shared Secret: Muss beim iRZ erfragt werden
    • Gesamten Verkehr senden: An
    • Proxy: Aus (sofern du keinen benutzt)
  • Unter Einstellungen dann VPN einschalten (natürlich sofern du im UHH Netz bist)
  • Du hast Internet!

Fehlerbehebung Solltet ihr euch nicht mit UHH verbinden können, tut folgendes:

  • Unter den W-Lan-Netzen bei "UHH" auf den Pfeil nach Rechts tippen
    • "Automatisch Anmelden" deaktivieren (nicht in iOS Version 6.0.1 verfügbar).

chromebook

Das VPN lässt sich auf einem chromebook nicht einrichten, weil PPTP wegen angeblich mangelnder Sicherheit nicht unterstützt wird.

GUI

Diese Sektion beschreibt die Einrichtung des VPNs mittels dem NetworkManager. Wenn du keine grafische Oberflaeche benutzt, schaue weiter unten für eine Beschreibung mit nur Commandline-Tools.

Benötigtes Paket

network-manager-pptp (PPTP-Backend für Network-Manager)

Nach dem installieren des Pakets musste bei mir (Kubunty Hardy) der knetworkmanager neugestartet werden. Vorher waren die VPN-Optionen nicht sichtbar.

Einstellungen

Network-Manager -> VPN-Verbindungen -> VPN konfigurieren -> Hinzufügen

Im Verbindungsassistent dann folgende Einstellungen vornehmen:

Hardy Heron und früher

  • Verbinden mit: PPTP Tunnel
  • Name: FBI VPN (oder nach Gusto)
  • Typ: Windows VPN (PPTP)
  • Gateway: fbivpn.informatik.uni-hamburg.de

Tipp: Wenn du das VPN nur nutzen möchtest, um von zu Hause bestimmte Seiten aus dem Uni-Netz abzurufen, auf die du normalerweise nicht von außen zugreifen dürftest, solltest du die VPN-Verbindung so konfigurieren, dass nur Verbindungen mit dem Uni-Netz über das VPN aufgebaut werden. Das hat den Vorteil, dass andere Dinge, die du im Internet noch so tust, evt. schneller sind, da sie nicht getunnelt werden. Dazu bearbeitest du die bestehende Verbindung über Network-Manager -> VPN-Verbindungen -> VPN konfigurieren -> Bearbeiten (dazu muss natürlich deine Verbindung ausgewählt sein). Auf der Karteikarte Routing markierst du dann VPN-Verbindungen nur für diese Adressen verwenden und trägst das Subnetz der Uni (134.100.0.0/16) als IP-Adressbereich ein.

Der Knetworkmanager hat unter Hardy einen Bug, so dass keine VPN-Verbindung konfiguriert werden kann. Eine gefixte Version findet sich unter https://launchpad.net/~nytmyn/+archive (siehe auch https://bugs.launchpad.net/ubuntu/+source/knetworkmanager/+bug/151867 )

Intrepid Ibex und später

  • Verbindungstyp: Point-to-Point Tunneling Protocol (PPTP)
  • Name: FBI VPN (oder nach Gusto)
  • Gateway: fbivpn.informatik.uni-hamburg.de
  • User name: Informatik\RZ-Benutzerkennung (RZ-Benutzerkennung ist dabei natürlich deine Kennung!)
  • NT Domain: Unbedingt leer lassen, hier nicht Informatik eintragen. Die Domäne muss dem Benutzernamen wie oben beschrieben vorangestellt werden.
  • Auf Advanced klicken:
    • Haken vor Use Point-To-Point encryption (MPEE) aktivieren
    • Security auf 128bit (most secure) setzen

Neustarten

Nach Einrichtung der Verbindung ist evt. ein Neustart des Network-Manager notwendig, damit die Verbindung dort angezeigt wird. Unter Ubuntu geht das durch Aufrufen folgender Befehle:

  • sudo /etc/dbus-1/event.d/25NetworkManager restart
  • sudo /etc/dbus-1/event.d/26NetworkManagerDispatcher restart

Verbinden

Zunächst muss eine Internetverbindung oder eine Verbindung zu einem UHH-Netz (z.B. FBI-WLAN) aufgebaut werden. Eine Gateway-Authentifizierung ist nicht notwendig.

Networkmanager -> VPN-Verbindungen -> FBI VPN

Wichtig: Bei der Authentifizierung am VPN-Gateway muss dem Benutzernamen die Windows-Domäne vorangestellt werden. Der korrekte Benutzername lautet also: Informatik\RZ-Benutzerkennung.

CLI

Dieser Abschnitt beschreibt, wie mensch eine VPN Verbindung ins FBI mit Commandline-Tools erstellt.

Pakete

Installiere pptp-linux (Ubuntu) bzw pptpclient (Arch Linux) oder ein ähnlich benanntes Paket, das dir einen Client für das Microsoft Point-to-Point Tunneling Protocol (PPTP) bietet.

Konfiguration

Credentials:

echo $FBIUSER PPTP $FBIPASS 134.100.5.65 | sudo tee -a /etc/ppp/chap-secrets

Wobei $FBIUSER und $FBIPASS dein Benutzername (e.g. 0bock) und dein Passwort sind.

Dialup:

echo <<EOF
pty "pptp fbivpn.informatik.uni-hamburg.de --nolaunchpppd"
name $FBIUSER
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam stellingen
EOF | sudo tee /etc/ppp/peers/stellingen 

Routing:

echo <<EOF
#!/bin/sh

[ "$6" != "stellingen" ] && exit 0

ip route add 0.0.0.0/1 dev "$1"
ip route add 128.0.0.0/1 dev "$1"
EOF | sudo tee /etc/ppp/ip-up.d/route-traffic
sudo chmod +x /etc/ppp/ip-up.d/route-traffic 

Network config:

echo <<EOF
iface stellingen inet ppp
    provider stellingen
EOF | sudo tee -a /etc/network/interfaces


Starten/Stoppen

sudo ifup stellingen

oder

sudo pon stellingen

bzw.

sudo ifdown stellingen

oder

sudo poff stellingen

VPN automatisch bei Verbindung mit $WLAN

Das ganze Verbinden kann man auch automatisch machen, indem man das Netzwerk identifiziert, in dem man sich befindet. Aus der oberen Anleitung braucht man dann nicht mehr den Punkt "Network config"

/etc/wpa_supplicant/wpa_supplicant.conf

network={
	ssid="UHH-WPA"
	key_mgmt=WPA-EAP
	eap=TTLS
	group=TKIP CCMP
	pairwise=TKIP CCMP
	ca_cert="/etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem"
	identity="RRZ_Kennung@uni-hamburg.de"
	password="very_secret_password"
	anonymous_identity="anonymous@uni-hamburg.de"
	phase2="auth=PAP"
	id_str="uni" # wichtig, weil das der interfacename ist
}
ODER
network={
	ssid="UHH"
	key_mgmt=NONE
	id_str="uni"
}

/etc/network/interfaces

iface wlan0 inet manual
      wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf

iface uni inet dhcp
      #vpn up and down
      up /usr/bin/pon stellingen
      down /usr/bin/poff stellingen

Manuell lässt sich immer noch VPN mit sudo pon stellingen starten. Beendet tut man dies dann mit sudo poff stellingen

Testen

Zum Testen der Verbindung (bei Nutzung von außerhalb des Informatik-Netzes) kann zum Beispiel die Seite [1] abgerufen werden. Kann eine Gedaechnissprotokoll geladen werden arbeitet die Verbindung

Autoconnect Script

Es gibt unter Linux Möglichkeiten sich bei bestehendem (UHH-) Netz direkt mit dem VPN zu befinden. Dazu sind folgende Änderungen am System notwendig.

(Im folgenden stehen (sofern nicht anders vermekt) $VPN$ für den VPN-namen und $WIFI$ für den WLAN-Namen)

/etc/NetworkManager/system-connections/$VPN$

Die Zeile password-flags muss von 1 auf 0 gesetzt werden. Falls die nicht existiert, muss sie unter dem Reiter vpn angelegt werden. In der selben Datei muss ein weiterer Reiter nämlich vpn-secrets angelegt werden. Unter vpn-secrets wird folgender eintrag angelegt.

password=Your_Password

Beachte, dass das Passwort hier im Klartext gespeichert wird. Deswegen ist darauf zu achten, dass die Zugriffsrechte für diese Datei auf 0600 zu setzen sind! (Es sei denn, man möchte es der Welt mitteilen)

Dann kommt als nächstes das eigentliche Skript. Dies ist anzulegen unter

/etc/NetworkManager/dispatcher.d

Hier muss man eine Datei anlegen nach dem Schema wie sie in dem Ordner vorliegt (\d\d-NAME). Die Zugriffsrechte sind auf 0755 zu setzen.

#! /bin/bash

REQUIRED_CONNECTION_NAME="$WIFI$" # namen beachten! Case-sensitive
VPN_CONNECTION_NAME="$VPN$"

sleep 1 #sleep ist nötig, warum? Keine Ahnung ;)

activ_con=$(nmcli con status | grep "${REQUIRED_CONNECTION_NAME}")
activ_vpn=$(nmcli con status | grep "${VPN_CONNECTION_NAME}")
if [ "${activ_con}" -a ! "${activ_vpn}" -a "$2" = "up" ];
then
    nmcli con up id "${VPN_CONNECTION_NAME}"
fi

Beim nächsten Verbinden der Netzwerkverbindung sollte sich der PC automatisch mit dem VPN verbinden.

Weblinks

Siehe Auch