TU BRAUNSCHWEIG
| Carl Friedrich Gauß Faculty | Department of Computer Science
Informatikzentrum

OpenVPN für IBR Mitarbeiter und Studenten

AuthorFrank Steinberg
KeywordsOpenVPN Tunnel VPN

Als Lösung für ein "Virual Private Network" können IBR-Mitarbeiter und -Studierende OpenVPN 2.3 (oder neuer?) nutzen. Im Gegensatz zu PPTP und IPsec vereint OpenVPN eine große Flexibilität, halbwegs einfache Konfiguration und Verfügbarkeit für alle wichtigen Plattformen.

Es werden geroutete Tunnels für IPv4 und IPv6 bereitgestellt, Bridging wird nicht angeboten. Clients erhalten private IPv4-Adressen, für die der IBR-Router nach außen NAT einsetzt. IPv6 wird über ein separates öffentliches Subnetz realisiert.

Die bereitgestellten Client-Konfigurationen kennen mehrere OpenVPN-Server-Ports: Neben dem Standard-Port 1194/UDP ist er auch unter 80/TCP erreichbar, um auch aus sehr restriktiv abgeschotteten Netzen heraus einen Tunnel aufbauen zu können.

Es werden derzeit drei Client-Konfigurationen bereitgestellt, die jedoch ggf. den Anforderungen des eigenen Systems angepasst werden müssen. Die bereitgestellten Konfigurationen unterscheiden sich im Umfang des getunnelten Adressraumes (nur IBR, nur TU-Subnetze inkl. einiger Anbieter, die der TU Braunschweig aufgrund des IPv4-Adressraumes zur Verfügung gestellt werden (IEEExplore, Elsevier) bzw. sämtlicher Traffic). Die Beispiele sind getestet mit Mac OS "Tunnelblick" und mit der OpenVPN iOS App. Die Konfigurationen enthalten eingebettet die Serverzertifikatskette.

Die folgenden Client-Profile sind als Beispiele zu verstehen, ggf. sind Anpassungen sinnvoll oder notwendig:

Letzte Änderungen: 2020-03-23

Einrichtung unter Linux

Die Einrichtung unter Linux ist bei Verwendung der oben verlinkten Profile sehr einfach. Zuerst muss das Paket openvpn installiert werden. Danach kann die VPN-Verbindung mit dem Befehl sudo openvpn IBR-TUonly.ovpn (oder mit einem anderen Profil) gestartet werden.

Integration in Gnome

Die Integration von OpenVPN in Gnome über die Netzwerkeinstellungen gestaltet sich recht schwierig, funktioniert aber nach einigen Anpassungen über die Importfunktion des NetworkManager CLI.

  1. Notwendigen Pakete:
    • Arch Linux: networkmanager openvpn networkmanager-openvpn
    • Ubuntu: network-manager network-manager-gnome network-manager-openvpn network-manager-openvpn-gnome
  2. Konfiguration anpassen:
    1. Client-Profile für OpenVPN runterladen (s.o.)
    2. Zwei der drei Connections auskommentieren/entfernen
    3. <connection>-Tags der verbleibenden Connection auskommentieren/entfernen
    4. Speichern
  3. Importieren des Profiles:

    nmcli connection import type openvpn file <profile.ovpn>
    Die Routeneinträge des importierten Profils werden durch die Gnome Settings als invalid erkannt (da dasGateway fehlt). Weitere Änderungen in den Settings können desshalb nicht gespeichert werden und müssen daher durch "nmcli" vorgenommen werden.
  4. Setzten des Benutzernamens:

    nmcli connection edit <configname>
    set vpn.user-name <username>
    save
    quit
  5. Done. Zum Debuggen könnt ihr euch den Output von OpenVPN mit sudo journalctl -f ansehen.

Spezielle Situationen

Seit März 2020 ist es auch möglich, individuelle OpenVPN-Tunnel-Konfigurationen für Mitarbeiter und Projekte bereitzustellen, die zertifikatsbasierte Authentifizierung, statische Client-Adressen, explizite Routen und andere spezifische Anpassungen erlauben.



last changed 2020-11-05, 11:14 by Frank Steinberg
printemailtop