VPN-Verbindung zur FH Brandenburg
Aus BraLUG-Wiki
MaD (Diskussion | Beiträge) K (weniger Verwirrung... - →<code>/etc/ppp/eaptls-client</code>) |
MaD (Diskussion | Beiträge) K (ppp0 -> vpn0 - →<code>/etc/network/interfaces</code> (Debian)) |
||
Zeile 73: | Zeile 73: | ||
provider FHB-VPN | provider FHB-VPN | ||
− | Die Bezeichnung <code>vpn0</code> ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes. | + | Die Bezeichnung <code>vpn0</code> ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes. Wenn statt <code>ppp0</code> ein anderer Name (z.B. <code>vpn0</code>) gewünscht wird, dann siehe [[PPP-Gerätenamen ändern]]. |
===Routing=== | ===Routing=== | ||
''to be done'' | ''to be done'' |
Version vom 20. Juni 2006, 13:41 Uhr
Inhaltsverzeichnis |
Man benötigt
- einen Kernel mit MPPE-Unterstützung (ab 2.6.15 im Vanilla-Kernel)
- den PPTP-Client für Linux
- einen PPP-Daemon mit EAP/TLS-Unterstützung
- ein gültiges Zertifikat, dass man als Hochschulmitglied auch als WLAN-Zertifikat beantragen kann. Weitere Informationen dazu gibt es in der VPN-Anleitung der FHB.
Konfiguration
Diese Konfigurationsanleitung orientiert sich an Debian, explizite Debianismen sind als solche gekennzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben.
Die Dateien /etc/ppp/peers/FHB-VPN
und /etc/ppp/pptp-options
beinhalten beide Optionen für den pppd
, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, /etc/ppp/peers/FHB-VPN
sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind.
Kernel-Treiber
to be done
PPP- und PPTP-Dienstprogramme
to be done
PPP-Daemon mit EAP/TLS-Unterstützung
Da momentan der PPP-Daemon standardmäßig noch nicht EAP über TLS beherrscht, benötigt man eine gepatchte Version des pppd
:
- Debian
/etc/ppp/peers/FHB-VPN
pty "pptp 195.37.2.65 --nolaunchpppd" remotename loki.fh-brandenburg.de require-eap file /etc/ppp/pptp-options ipparam FHB-VPN
/etc/ppp/pptp-options
Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die PPTP-Linux-Dokumentation sowie die Handbuchseite des pppd
verwiesen.
refuse-pap refuse-chap refuse-mschap require-mppe-128 require-eap noauth nodefaultroute lock nobsdcomp nodeflate
/etc/ppp/eaptls-client
In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ($USER bezeichnet den Benutzernamen auf Zeus oder Wotan):
-
client.crt
:$USER.pem
-
ca.crt
:rootcacert.pem
-
client.key
:$USER.key
* loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key
Ausprobieren
An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:
pon FHB-VPN
Sollte nach diesem Schritt und etwas Warten noch kein ppp0
-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (/var/log/syslog
) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:
pon FHB-VPN debug dump logfd 2 nodetach
/etc/network/interfaces
(Debian)
Um die Verbindung über den Debian-eigenen Weg mit ifup
/ifdown
steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig:
auto vpn0 iface vpn0 inet ppp provider FHB-VPN
Die Bezeichnung vpn0
ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes. Wenn statt ppp0
ein anderer Name (z.B. vpn0
) gewünscht wird, dann siehe PPP-Gerätenamen ändern.
Routing
to be done