TU BRAUNSCHWEIG
| Carl Friedrich Gauß Faculty | Department of Computer Science
Informatikzentrum

OpenVPN für IBR Mitarbeiter und Studenten

AuthorFrank Steinberg
KeywordsOpenVPN Tunnel VPN

Als Lösung für ein "Virual Private Network" können IBR-Mitarbeiter und -Studierende OpenVPN 2.3 (oder neuer?) nutzen. Im Gegensatz zu PPTP und IPsec vereint OpenVPN eine große Flexibilität, halbwegs einfache Konfiguration und Verfügbarkeit für alle wichtigen Plattformen.

Es werden geroutete Tunnels für IPv4 und IPv6 bereitgestellt, Bridging wird nicht angeboten. Clients erhalten private IPv4-Adressen, für die der IBR-Router nach außen NAT einsetzt. IPv6 wird über ein separates öffentliches Subnetz realisiert.

Die bereitgestellten Client-Konfigurationen kennen mehrere OpenVPN-Server-Ports: Neben dem Standard-Port 1194/UDP ist er auch unter 80/TCP erreichbar, um auch aus sehr restriktiv abgeschotteten Netzen heraus einen Tunnel aufbauen zu können.

Es werden derzeit drei Client-Konfigurationen bereitgestellt, die jedoch ggf. den Anforderungen des eigenen Systems angepasst werden müssen. Die bereitgestellten Konfigurationen unterscheiden sich im Umfang des getunnelten Adressraumes (nur IBR, nur TU-Subnetze inkl. einiger Anbieter, die der TU Braunschweig aufgrund des IPv4-Adressraumes zur Verfügung gestellt werden (IEEExplore, Elsevier) bzw. sämtlicher Traffic). Die Beispiele sind getestet mit Mac OS "Tunnelblick" und mit der OpenVPN iOS App. Die Konfigurationen enthalten eingebettet die Serverzertifikatskette.

Die folgenden Client-Profile sind als Beispiele zu verstehen, ggf. sind Anpassungen sinnvoll oder notwendig:

Letzte Änderungen: 2020-03-23

Einrichtung unter Linux

Die Einrichtung unter Linux ist bei Verwendung der oben verlinkten Profile sehr einfach. Zuerst muss das Paket openvpn installiert werden. Danach kann die VPN-Verbindung mit dem Befehl sudo openvpn IBR-TUonly.ovpn (oder mit einem anderen Profil) gestartet werden.

Spezielle Situationen

Seit März 2020 ist es auch möglich, individuelle OpenVPN-Tunnel-Konfigurationen für Mitarbeiter und Projekte bereitzustellen, die zertifikatsbasierte Authentifizierung, statische Client-Adressen, explizite Routen und andere spezifische Anpassungen erlauben.


last changed 2020-03-25, 09:56 by Frank Steinberg
printemailtop