VPN-Verbindung zur FH Brandenburg

Aus BraLUG-Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(hin und her... - Routing)
K (Prompt - Ausprobieren)
Zeile 65: Zeile 65:
 
An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:
 
An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:
  
  pon FHB-VPN
+
  # pon FHB-VPN
  
 
Sollte nach diesem Schritt und etwas Warten noch kein <code>ppp0</code>-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (<code>/var/log/syslog</code>) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:
 
Sollte nach diesem Schritt und etwas Warten noch kein <code>ppp0</code>-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (<code>/var/log/syslog</code>) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:
  
  pon FHB-VPN debug dump logfd 2 nodetach
+
  # pon FHB-VPN debug dump logfd 2 nodetach
  
 
===<code>/etc/network/interfaces</code> (Debian)===
 
===<code>/etc/network/interfaces</code> (Debian)===

Version vom 23. Juni 2006, 14:41 Uhr


Inhaltsverzeichnis

Man benötigt

Konfiguration

Diese Konfigurationsanleitung orientiert sich an Debian, explizite Debianismen sind als solche gekennzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben.

Die Dateien /etc/ppp/peers/FHB-VPN und /etc/ppp/pptp-options beinhalten beide Optionen für den pppd, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, /etc/ppp/peers/FHB-VPN sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind.

Kernel-Treiber

Die VPN-Verbindung stellt auch ein paar Anforderungen an den Linux-Kernel. Folgende Optionen müssen im Kernel aktiviert sein, entweder als Modul oder fest eingebaut:

  • Point-to-Point Protocol (PPP) support, CONFIG_PPP, Modulname ppp_generic
  • Microsoft Point-to-Point Encryption (MPPE) support, CONFIG_PPP_MPPE, Modulname ppp_mppe, dieser Treiber steht im Standardkernel erst seit Version 2.6.15 zur Verfügung

PPP- und PPTP-Dienstprogramme

to be done

PPP-Daemon mit EAP/TLS-Unterstützung

Da momentan der PPP-Daemon standardmäßig noch nicht EAP über TLS beherrscht, benötigt man eine gepatchte Version des pppd:

/etc/ppp/peers/FHB-VPN

pty "pptp 195.37.2.65 --nolaunchpppd"
remotename loki.fh-brandenburg.de
require-eap
file /etc/ppp/pptp-options
ipparam FHB-VPN

/etc/ppp/pptp-options

Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die PPTP-Linux-Dokumentation sowie die Handbuchseite des pppd verwiesen.

refuse-pap 
refuse-chap
refuse-mschap
require-mppe-128
require-eap
noauth
nodefaultroute
lock
nobsdcomp
nodeflate 

/etc/ppp/eaptls-client

In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ($USER bezeichnet den Benutzernamen auf Zeus oder Wotan):

  • client.crt: $USER.pem
  • ca.crt: rootcacert.pem
  • client.key: $USER.key
* loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key

Ausprobieren

An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:

# pon FHB-VPN

Sollte nach diesem Schritt und etwas Warten noch kein ppp0-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (/var/log/syslog) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:

# pon FHB-VPN debug dump logfd 2 nodetach

/etc/network/interfaces (Debian)

Um die Verbindung über den Debian-eigenen Weg mit ifup/ifdown steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig:

auto vpn0
iface vpn0 inet ppp
    provider FHB-VPN

Die Bezeichnung vpn0 ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes. Wenn statt ppp0 ein anderer Name (z.B. vpn0) gewünscht wird, dann siehe PPP-Gerätenamen ändern.

Routing

Wenn die Verbindung aufgebaut wurde, kann man einzelne IP-Adressen oder ganze IP-Bereiche über dieses virtuelle Netzwerkgerät routen. Dabei sollte man aufpassen, dass nur Adressen, die wirklich im FHB-Netz liegen, über das VPN geleitet werden und dass es keine Probleme mit dem lokalen Netz gibt (das lokale Netz, z.B. 192.168.1.0/24, sollte nicht durch das VPN geschickt werden). Folgende Routen dienen auch nur als Beispiel, an dieser Stelle sollte man die Rechner und Netze eintragen, die man wirklich zu nutzen gedenkt:

route add -net 195.37.0.0 netmask 255.255.255.0 gw 172.16.64.1
route add -net 192.168.3.0 netmask 255.255.255.0 gw 172.16.64.1
route add -host 192.168.35.34 gw 172.16.64.1

TODO: wo eintragen?

Wäre die nodefaultroute-Option für den pppd nicht gesetzt, würde auch automatisch ein Standard-Gateway eingetragen werden. Da das unter Umständen aber Konflikte mit dem lokalen Netzwerk bedeutet, ist diese Option hier standardmäßig deaktiviert.

'Persönliche Werkzeuge