OpenVPN: Unterschied zwischen den Versionen

Aus Freifunk Potsdam | Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
(ungepflegt?)
 
(26 dazwischenliegende Versionen von 9 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
= Betatest =
{{Ungepflegt|Diese Seite ist > 10 Jahre alt und vermutlich nicht mehr aktuell}}
[[Kategorie:Ungepflegt]]


Wir testen gerade OpenVPN. Der Test läuft bis Ende Januar. Danach werden nochmal neue Zertifikate ausgegeben.
Ein  [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN] (virtuelles privates Netzwerk) baut einen verschlüsselter Tunnel von Deinem Rechner zu einer vertrauenswürdigen Gegenstelle im Internet auf. Sämtlicher Datenverkehr von Deinem Rechner wird durch den Tunnel geschickt. Damit ist automatisch '''alles''' verschlüsselt, auf der WLAN-Strecke sind die Daten also sicher.


= Windows =
== Windows ==
 
=== OpenVPN runterladen und installieren ===
== OpenVPN runterladen und installieren ==
* Lade Dir von [http://openvpn.se/ http://openvpn.se/] die [http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe letzte stabile Version der  OpenVPN GUI] herunter.
 
* Den Installer <code>openvpn-2.0.5-gui-1.0.3-install-auto_xp64.exe</code> starten
* Von [http://openvpn.se/ http://openvpn.se/] die letzte stabile Version der [http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe OpenVPN GUI] runterladen und installieren.
:[[Bild:Open vpn gui installation 1.png]]
 
* Lizenzen akzeptieren
== Schlüssel und Zertifikat ==
:[[Bild:Open vpn gui installation 2.png]]
* Alle Optionen anwählen, bis auf "Hide the TAP-Win32 Virtual Ethernet Adapter". '''"My Certificate Wizard" wird unbedingt gebraucht.
:[[Bild:Open vpn gui installation 3.png]]
* Installationsordner auswählen
:[[Bild:Open vpn gui installation 4.png]]
* Ein bisschen warten ...
:[[Bild:Open vpn gui installation 5.png]]
* Der Treiber muss installiert werden, sonst funktioniert OpenVPN nicht...
:[[Bild:Open vpn gui installation 6.png]]
* Fertig :)
:[[Bild:Open vpn gui installation 7.png]]
:[[Bild:Open vpn gui installation 8.png]]


=== Schlüssel und Zertifikat ===
Für die sichere Kommunikation benötigst Du einen privaten Schlüssel und ein [http://de.wikipedia.org/wiki/Digitales_Zertifikat Zertifikat]. Den Schlüssel erzeugst Du Dir auf Deinem Computer, das Zertifikat schicken wir Dir.
Für die sichere Kommunikation benötigst Du einen privaten Schlüssel und ein [http://de.wikipedia.org/wiki/Digitales_Zertifikat Zertifikat]. Den Schlüssel erzeugst Du Dir auf Deinem Computer, das Zertifikat schicken wir Dir.


Starte die Schlüsselerzeugung unter '''Programme -> OpenVPN -> My Certificate Wizard'''. In trage in den Feldern folgendes ein:
Starte die Schlüsselerzeugung unter '''Programme -> OpenVPN -> My Certificate Wizard'''. In trage in den Feldern folgendes ein:
 
:[[Bild:Openvpn certificate wizard 1.png]]
[[Bild:Openvpn certificate wizard 1.png]]


* Common Name (e.g. your name): '''vorname_nachname.vpn.freifunk-potsdam.de'''. Bitte trage Deinen richtigen Namen ein. Lasse unbedingt den Teil <code>vpn.freifunk-potsdam.de</code> intakt. Wenn Du mehrere Computer absichern willst, brauchst Du für jeden einzelnen Computer ein eigenes Zertifikat.
* Common Name (e.g. your name): '''vorname_nachname.vpn.freifunk-potsdam.de'''. Bitte trage Deinen richtigen Namen ein. Lasse unbedingt den Teil <code>vpn.freifunk-potsdam.de</code> intakt. Wenn Du mehrere Computer absichern willst, brauchst Du für jeden einzelnen Computer ein eigenes Zertifikat.
* E-mail Address: '''deine@email-adresse.de'''  
* Mail-Address: '''deine@mail-adresse.de'''  
* Country Name: '''DE'''
* Country Name: '''DE'''
* State or Province: '''Brandenburg'''
* State or Province: '''Brandenburg'''
Zeile 30: Zeile 42:


Jetzt kannst Du mit '''Create Request''' Deinen Schlüssel und einen Zertifikatsrequest erzeugen. Ein neues Fenster enthält den Request.
Jetzt kannst Du mit '''Create Request''' Deinen Schlüssel und einen Zertifikatsrequest erzeugen. Ein neues Fenster enthält den Request.
 
:[[Bild:Openvpn certificate wizard 2.png]]
[[Bild:Openvpn certificate wizard 2.png]]


Wie im Fenster zu lesen ist, findest Du
Wie im Fenster zu lesen ist, findest Du
Zeile 37: Zeile 48:
* Deinen '''Zertifikatsrequest''' unter <code>C:\Programme\OpenVPN\config\vorname_nachname_vpn_freifunk-potsdam_de.req</code>
* Deinen '''Zertifikatsrequest''' unter <code>C:\Programme\OpenVPN\config\vorname_nachname_vpn_freifunk-potsdam_de.req</code>


Kopiere den Request in die Zwischenablage (Knopf '''Copy to clipboard''') und schicke uns diesen per [http://blog.freifunk-potsdam.de/kontakt/ e-Mail]. Du kannst auch direkt die Datei <code>vorname_nachname_vpn_freifunk-potsdam_de.req</code> als Attatchment schicken. '''Schicke uns nicht Deinen privaten Schlüssel (*.key)!!!'''
Kopiere den Request in die Zwischenablage (Knopf '''Copy to clipboard''') und schicke uns diesen per [http://wiki.freifunk-potsdam.de/Kontakt E-Mail]. Du kannst auch direkt die Datei <code>vorname_nachname_vpn_freifunk-potsdam_de.req</code> als Attatchment schicken. '''Schicke uns nicht Deinen privaten Schlüssel (*.key)!!!'''


Du erhältst darauf hin von uns eine Datei <code>vorname_nachname_vpn_freifunk-potsdam_de.cert</code>. Kopiere die in das Verzeichnis <code>C:\Programme\OpenVPN\config\</code>.
'''Komm zu unserem [[Treffen]] und bring Deinen Personalausweis mit.''' Dort erhältst Du von uns eine Datei <code>vorname_nachname_vpn_freifunk-potsdam_de.crt</code>. Kopiere die in das Verzeichnis <code>C:\Programme\OpenVPN\config\</code>.


== Konfiguration ==
=== Konfiguration ===
Erstelle eine Textdatei <code>C:\Programme\OpenVPN\config\'''freifunk-vpn.ovpn'''</code> mit folgendem Inhalt (die Dateiendung muss .'''ovpn''' sein, nicht .'''txt'''!). Achte darauf den korrekten Dateinamen des Zertifikats und des Schlüssels anzugeben.


Erstelle eine Textdatei <code>C:\Programme\OpenVPN\config\'''freifunk-vpn.ovpn'''</code> mit folgendem Inhalt (die Dateiendung muss .'''ovpn''' sein, nicht .'''txt'''!). Achte darauf den korrekten Dateinamen des Zertifikats und des Schlüssels anzugeben.


<pre>client
<pre>client
dev tun
dev tun
proto udp
proto udp
remote vpn.freifunk-potsdam.de 1194
remote vpn.freifunk-potsdam.de 1192
resolv-retry infinite
resolv-retry infinite
nobind
nobind
Zeile 54: Zeile 65:
persist-tun
persist-tun
ca ca.crt
ca ca.crt
cert vorname_nachname_vpn_freifunk-potsdam_de.cert
cert vorname_nachname_vpn_freifunk-potsdam_de.crt
key vorname_nachname_vpn_freifunk-potsdam_de.key
key vorname_nachname_vpn_freifunk-potsdam_de.key
ns-cert-type server
comp-lzo
comp-lzo
verb 3</pre>
verb 3</pre>


* Lade das [https://www.cacert.org/certs/class3.crt class3] und [https://www.cacert.org/certs/root.crt class1] Root-Zertifikat von [http://www.cacert.org/index.php?id=3 cacert.org] herunter. '''Wichtig''': nicht einfach auf die Links klicken, sondern "Ziel speichern unter..." auswählen und die beiden Dateien im Verzeichnis <code>c:\Programme\OpenVPN\config\</code> ablegen.
* Erstelle mit einem Texteditor eine Datei ca.crt und kopiere das CA-Zertifikat unten dort hinein. Die Datei gehört in das Verzeichnis <code>c:\Programme\OpenVPN\config\</code>.


* Kopiere beide Zertifikate '''hintereinander''' in eine Textdatei <code>c:\Programme\OpenVPN\config\ca.crt</code>. Das kannst Du entweder mit einem Texteditor (z.B. Notepad) machen oder auf der Kommandozeile:
Der Inhalt der Datei <code>c:\Programme\OpenVPN\config\ca.crt</code> sollte dieser sein:
<pre>c:\Programme\OpenVPN\config>copy root.cer + class3.cer ca2.crt
root.cer
class3.cer
        1 Datei(en) kopiert.</pre>
 
Du solltest nun eine Datei <code>c:\Programme\OpenVPN\config\ca.crt</code> mit diesem Inhalt haben:


<pre>-----BEGIN CERTIFICATE-----
<pre>-----BEGIN CERTIFICATE-----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czovL3d3dy5jYWNlcnQub3JnL3Jldm9rZS5jcmwwMAYJYIZIAYb4QgEEBCMWIWh0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-----END CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
</pre>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-----END CERTIFICATE-----</pre>
 
== Verbindungsaufbau ==


=== Verbindungsaufbau ===
* Wähle im Kontextmenü der OpenVPN GUI die Option '''connect'''.
* Wähle im Kontextmenü der OpenVPN GUI die Option '''connect'''.
:[[Bild:Openvpn connecting.png]]
* Nach ein paar Sekunden sollte die Farbe des OpenVPN-Icons von gelb nach grün wechseln und das Fenster ausgeblendet werden. Du bist jetzt sicher im Freifunk-Netz unterwegs :-)
:[[Bild:Openvpn connected.png]]


[[Bild:Openvpn connecting.png]]
=== Fehlersuche ===
 
== Fehlersuche ==
 
* Nur das Root-Zertifikat:
* Nur das Root-Zertifikat:
<code>VERIFY ERROR: depth=0, error='''unable to get local issuer certificate''': /CN=vpn.freifunk-potsdam.de</code>
<code>VERIFY ERROR: depth=0, error='''unable to get local issuer certificate''': /CN=vpn.freifunk-potsdam.de</code>
Zeile 159: Zeile 114:
<code>VERIFY ERROR: depth=1, error='''unable to get issuer certificate''': /O=CAcert_Inc./OU=http://www.CAcert.org/CN=CAcert_Class_3_Root</code>
<code>VERIFY ERROR: depth=1, error='''unable to get issuer certificate''': /O=CAcert_Inc./OU=http://www.CAcert.org/CN=CAcert_Class_3_Root</code>


= Linux =
=== Windows ===
* Unbedingt darauf achten, daß alle Config-/Zertifikats-/Text-Dateien "without Byte Order Mark (BOM)" (also am besten als reines UTF-8) im Editor abgespeichert werden, sonst regnet's unplausibel klingende Fehlermeldungen.
 
== Mac OS X ==
... bitte die Doku für Mac OS ergänzen :)
 
* [http://www.tunnelblick.net/ Tunnelblick] ist der Client der Wahl unter Mac OS X


== Linux ==
=== Konfiguration ===
=== Konfiguration ===
*Erzeuge Dir einen privaten Schlüssel
* Erzeuge Dir einen privaten Schlüssel
  $ openssl genrsa -out vorname_nachname.key 2048
  $ openssl genrsa -out vorname_nachname.key 2048
*Erzeuge Dir einen Certificate Request
* Erzeuge Dir einen Certificate Request
  $ openssl req -new -key vorname_nachname.key -out vorname_nachname.csr
  $ openssl req -new -key vorname_nachname.key -out vorname_nachname.req
*Die Konfiguration liegt unter <code>/etc/openvpn/'''client.ovpn'''</code>  
* Die Konfiguration liegt unter <code>/etc/openvpn/'''client.ovpn'''</code>  
*kopiere die Dateien <code>vorname_nachname.cert</code> und <code>vorname_nachname.key</code> in dieses Verzeichnis  
* kopiere die Dateien <code>vorname_nachname.cert</code> und <code>vorname_nachname.key</code> in dieses Verzeichnis  
* Lade das [https://www.cacert.org/certs/class3.crt class3] und [https://www.cacert.org/certs/root.crt class1] Root-Zertifikat von [http://www.cacert.org/index.php?id=3 cacert.org] herunter:
* Lade das [https://www.cacert.org/certs/class3.crt class3] und [https://www.cacert.org/certs/root.crt class1] Root-Zertifikat von [http://www.cacert.org/index.php?id=3 cacert.org] herunter:
  $ wget http://www.cacert.org/certs/root.crt
  $ wget http://www.cacert.org/certs/root.crt
Zeile 186: Zeile 148:
  route add default tun0
  route add default tun0
* Wenn man wie in meinem Fall durch Einwählen über das Handy im VPN des Netzbetreibers seid, dann ist dessen DNS natürlich nicht mehr erreichbar. Damit der Rechner weiterhin Domains auflösen kann gibt man ein:
* Wenn man wie in meinem Fall durch Einwählen über das Handy im VPN des Netzbetreibers seid, dann ist dessen DNS natürlich nicht mehr erreichbar. Damit der Rechner weiterhin Domains auflösen kann gibt man ein:
  echo "nameserver 141.1.1.1" >> /etc/resolv.conf
  echo "nameserver 141.1.1.1" > /etc/resolv.conf
Nun sollte es funktionieren. Bei Problemen meldet euch bei uns - am Besten bei einem [[Treffen]] oder auf der [[Kontakt#Mailingliste|Mailingliste]]
Nun sollte es funktionieren. Bei Problemen meldet euch bei uns - am Besten bei einem [[Treffen]] oder auf der [[Kontakt#Mailingliste|Mailingliste]]
== Eigener Server ==
Das Funktionsprinzip und einige Hinweise zum Aufsetzen eines eigenen Servers erfahrt ihr unter [[OpenVPN-Server]]
[[Kategorie:Technik]]
[[Kategorie:Technik]]

Aktuelle Version vom 7. Februar 2021, 23:19 Uhr

Achtung, diese Seite ist als „ungepflegt“ markiert. Das heißt, dass die Inhalte dieser Seite nicht mehr vollständig aktuell erscheinen und daher mit Vorsicht behandelt werden sollten

Es tut uns leid, dass nicht immer alles aktuell ist, prinzipiell wissen wir ja um den Mehrwert guter Dokumentation. Bitte hilf mit, die Seite aktuell zu halten, indem du sie bearbeitest oder uns per Mail oder auf einem Treffen darauf hinweist.

Diese Seite ist > 10 Jahre alt und vermutlich nicht mehr aktuell

Ein VPN (virtuelles privates Netzwerk) baut einen verschlüsselter Tunnel von Deinem Rechner zu einer vertrauenswürdigen Gegenstelle im Internet auf. Sämtlicher Datenverkehr von Deinem Rechner wird durch den Tunnel geschickt. Damit ist automatisch alles verschlüsselt, auf der WLAN-Strecke sind die Daten also sicher.

Windows

OpenVPN runterladen und installieren

Open vpn gui installation 1.png
  • Lizenzen akzeptieren
Open vpn gui installation 2.png
  • Alle Optionen anwählen, bis auf "Hide the TAP-Win32 Virtual Ethernet Adapter". "My Certificate Wizard" wird unbedingt gebraucht.
Open vpn gui installation 3.png
  • Installationsordner auswählen
Open vpn gui installation 4.png
  • Ein bisschen warten ...
Open vpn gui installation 5.png
  • Der Treiber muss installiert werden, sonst funktioniert OpenVPN nicht...
Open vpn gui installation 6.png
  • Fertig :)
Open vpn gui installation 7.png
Open vpn gui installation 8.png

Schlüssel und Zertifikat

Für die sichere Kommunikation benötigst Du einen privaten Schlüssel und ein Zertifikat. Den Schlüssel erzeugst Du Dir auf Deinem Computer, das Zertifikat schicken wir Dir.

Starte die Schlüsselerzeugung unter Programme -> OpenVPN -> My Certificate Wizard. In trage in den Feldern folgendes ein:

Openvpn certificate wizard 1.png
  • Common Name (e.g. your name): vorname_nachname.vpn.freifunk-potsdam.de. Bitte trage Deinen richtigen Namen ein. Lasse unbedingt den Teil vpn.freifunk-potsdam.de intakt. Wenn Du mehrere Computer absichern willst, brauchst Du für jeden einzelnen Computer ein eigenes Zertifikat.
  • Mail-Address: deine@mail-adresse.de
  • Country Name: DE
  • State or Province: Brandenburg
  • Locality Name: Potsdam
  • Organisation Name: Freifunk Potsdam e.V.
  • Organisational Unit Name: VPN
  • Im Feld Passphrase musst Du ein Passwort für Deinen Schlüssel angeben. Damit wird der Schlüssel vor dem Zugriff anderer geschützt. Nur mit dem Passwort kannst Du Deinen Schlüssel benutzen.
  • Gib als Output Folder das Config-Verzeichnis von OpenVPN an, das ist i.d.R. C:\Programme\OpenVPN\config.

Jetzt kannst Du mit Create Request Deinen Schlüssel und einen Zertifikatsrequest erzeugen. Ein neues Fenster enthält den Request.

Openvpn certificate wizard 2.png

Wie im Fenster zu lesen ist, findest Du

  • Deinen privaten Schlüssel unter C:\Programme\OpenVPN\config\vorname_nachname_vpn_freifunk-potsdam_de.key
  • Deinen Zertifikatsrequest unter C:\Programme\OpenVPN\config\vorname_nachname_vpn_freifunk-potsdam_de.req

Kopiere den Request in die Zwischenablage (Knopf Copy to clipboard) und schicke uns diesen per E-Mail. Du kannst auch direkt die Datei vorname_nachname_vpn_freifunk-potsdam_de.req als Attatchment schicken. Schicke uns nicht Deinen privaten Schlüssel (*.key)!!!

Komm zu unserem Treffen und bring Deinen Personalausweis mit. Dort erhältst Du von uns eine Datei vorname_nachname_vpn_freifunk-potsdam_de.crt. Kopiere die in das Verzeichnis C:\Programme\OpenVPN\config\.

Konfiguration

Erstelle eine Textdatei C:\Programme\OpenVPN\config\freifunk-vpn.ovpn mit folgendem Inhalt (die Dateiendung muss .ovpn sein, nicht .txt!). Achte darauf den korrekten Dateinamen des Zertifikats und des Schlüssels anzugeben.


client
dev tun
proto udp
remote vpn.freifunk-potsdam.de 1192
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vorname_nachname_vpn_freifunk-potsdam_de.crt
key vorname_nachname_vpn_freifunk-potsdam_de.key
ns-cert-type server
comp-lzo
verb 3
  • Erstelle mit einem Texteditor eine Datei ca.crt und kopiere das CA-Zertifikat unten dort hinein. Die Datei gehört in das Verzeichnis c:\Programme\OpenVPN\config\.

Der Inhalt der Datei c:\Programme\OpenVPN\config\ca.crt sollte dieser sein:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Verbindungsaufbau

  • Wähle im Kontextmenü der OpenVPN GUI die Option connect.
Openvpn connecting.png
  • Nach ein paar Sekunden sollte die Farbe des OpenVPN-Icons von gelb nach grün wechseln und das Fenster ausgeblendet werden. Du bist jetzt sicher im Freifunk-Netz unterwegs :-)
Openvpn connected.png

Fehlersuche

  • Nur das Root-Zertifikat:

VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /CN=vpn.freifunk-potsdam.de

  • Nur das class3-Zertifikat

VERIFY ERROR: depth=1, error=unable to get issuer certificate: /O=CAcert_Inc./OU=http://www.CAcert.org/CN=CAcert_Class_3_Root

Windows

  • Unbedingt darauf achten, daß alle Config-/Zertifikats-/Text-Dateien "without Byte Order Mark (BOM)" (also am besten als reines UTF-8) im Editor abgespeichert werden, sonst regnet's unplausibel klingende Fehlermeldungen.

Mac OS X

... bitte die Doku für Mac OS ergänzen :)

Linux

Konfiguration

  • Erzeuge Dir einen privaten Schlüssel
$ openssl genrsa -out vorname_nachname.key 2048
  • Erzeuge Dir einen Certificate Request
$ openssl req -new -key vorname_nachname.key -out vorname_nachname.req
  • Die Konfiguration liegt unter /etc/openvpn/client.ovpn
  • kopiere die Dateien vorname_nachname.cert und vorname_nachname.key in dieses Verzeichnis
  • Lade das class3 und class1 Root-Zertifikat von cacert.org herunter:
$ wget http://www.cacert.org/certs/root.crt
$ wget https://www.cacert.org/certs/class3.crt
  • Kopiere beide Zertifikate in eine Textdatei:
$ cat root.crt class3.crt > ca.crt

Routing

  • wenn du unter Linux den Konsolen OpenVPN Client nutzt, kann es sein, dass er die Routen nicht automatisch setzen kann. Falls das so ist, ändere die Konfigurationszeile remote vpn.freifunk-potsdam.de 1194 durch remote 78.47.210.100 1194 (halt die IP von iggy) und gebe folgendes in die Shell ein:
  • lösche alte default Route (in dem Beispiel ppp0, was eine Modemschnittstelle ist). wenn ihr nicht wisst was eure default Route ist schaut mit 'route -n' nach
route del default ppp0 
  • Den Weg zu iggy (VPN Server) weisen:
route add -host 78.47.210.100 dev ppp0 
  • Nun das VPN starten (yourConfig ist eure Konfigurationsdatei):
openvpn --config [yourConfig].ovpn  
  • Default Route für alle INet Anfragen auf den VPN Tunnel zeigen lassen:
route add default tun0
  • Wenn man wie in meinem Fall durch Einwählen über das Handy im VPN des Netzbetreibers seid, dann ist dessen DNS natürlich nicht mehr erreichbar. Damit der Rechner weiterhin Domains auflösen kann gibt man ein:
echo "nameserver 141.1.1.1" > /etc/resolv.conf

Nun sollte es funktionieren. Bei Problemen meldet euch bei uns - am Besten bei einem Treffen oder auf der Mailingliste

Eigener Server

Das Funktionsprinzip und einige Hinweise zum Aufsetzen eines eigenen Servers erfahrt ihr unter OpenVPN-Server