VPN-Verbindung zur FH Brandenburg

Aus BraLUG-Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(erstmal speichern...)
 
(mehr...)
Zeile 3: Zeile 3:
  
 
==Man benötigt==
 
==Man benötigt==
 +
* einen Kernel mit MPPE-Unterstützung (ab 2.6.15 im Vanilla-Kernel)
 
* den [http://pptpclient.sourceforge.net/ PPTP-Client] für Linux
 
* den [http://pptpclient.sourceforge.net/ PPTP-Client] für Linux
 
* einen [[#PPP-Daemon mit EAP/TLS-Unterstützung|PPP-Daemon mit EAP/TLS-Unterstützung]]
 
* einen [[#PPP-Daemon mit EAP/TLS-Unterstützung|PPP-Daemon mit EAP/TLS-Unterstützung]]
 
* ein gültiges Zertifikat, dass man als Hochschulmitglied [https://www.fh-brandenburg.de/wlananmeldung/ auch als WLAN-Zertifikat] beantragen kann. Weitere Informationen dazu gibt es in der [http://www.fh-brandenburg.de/vpnanleitung.html VPN-Anleitung] der FHB.
 
* ein gültiges Zertifikat, dass man als Hochschulmitglied [https://www.fh-brandenburg.de/wlananmeldung/ auch als WLAN-Zertifikat] beantragen kann. Weitere Informationen dazu gibt es in der [http://www.fh-brandenburg.de/vpnanleitung.html VPN-Anleitung] der FHB.
 +
 +
==Konfiguration==
 +
Diese Konfigurationsanleitung orientiert sich an Debian, explizite ''Debian''ismen sind als solche gekenntzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben.
 +
 +
Die Dateien <code>/etc/ppp/peers/FHB-VPN</code> und /etc/ppp/pptp-options</code> beinhalten beide Optionen für den <code>pppd</code>, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, <code>/etc/ppp/peers/FHB-VPN</code> sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind.
 +
 +
===<code>/etc/ppp/peers/FHB-VPN</code>===
 +
'''''$USER''''' bezeichnet in dieser Datei den Benutzernamen auf dem entsprechenden Server, für Wotan-Nutzer ist das also <code>blablubb</code>, für Zeus-Nutzer <code>blablubb@brb-i</code> (nur für Leute, deren Benutzername <code>blablubb</code> lautet).
 +
 +
pty "pptp 195.37.2.65 --nolaunchpppd"
 +
name \\'''''$USER'''''
 +
remotename loki.fh-brandenburg.de
 +
require-eap
 +
file /etc/ppp/pptp-options
 +
ipparam FHB-VPN
 +
 +
===<code>/etc/ppp/pptp-options</code>===
 +
Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die [http://pptpclient.sourceforge.net/documentation.phtml PPTP-Linux-Dokumentation] sowie die Handbuchseite des <code>pppd</code> verwiesen.
 +
 +
refuse-pap
 +
refuse-chap
 +
refuse-mschap
 +
require-mppe-128
 +
require-eap
 +
noauth
 +
nodefaultroute
 +
lock
 +
nobsdcomp
 +
nodeflate
 +
 +
===<code>/etc/ppp/eaptls-client</code>===
 +
In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ('''''$USER''''' diesmal ohne optionales <code>@brb-i</code>):
 +
 +
* <code>client.crt</code>: <code>'''''$USER'''''.pem</code>
 +
* <code>ca.crt</code>: <code>rootcacert.pem</code>
 +
* <code>client.key</code>: <code>'''''$USER'''''.key</code>
 +
 +
* loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key
 +
 +
===Ausprobieren===
 +
An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:
 +
 +
pon FHB-VPN
 +
 +
Sollte nach diesem Schritt und etwas Warten noch kein <code>ppp0</code>-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (<code>/var/log/syslog</code>) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:
 +
 +
pon FHB-VPN debug dump logfd 2 nodetach
 +
 +
===<code>/etc/network/interfaces</code> (Debian)===
 +
Um die Verbindung über den Debian-eigenen Weg mit <code>ifup</code>/<code>ifdown</code> steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig:
 +
 +
auto vpn0
 +
iface vpn0 inet ppp
 +
    provider FHB-VPN
 +
 +
Die Bezeichnung <code>vpn0</code> ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes.
  
 
==PPP-Daemon mit EAP/TLS-Unterstützung==
 
==PPP-Daemon mit EAP/TLS-Unterstützung==

Version vom 16. Juni 2006, 11:19 Uhr


Inhaltsverzeichnis

Man benötigt

Konfiguration

Diese Konfigurationsanleitung orientiert sich an Debian, explizite Debianismen sind als solche gekenntzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben.

Die Dateien /etc/ppp/peers/FHB-VPN und /etc/ppp/pptp-options</code> beinhalten beide Optionen für den pppd, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, /etc/ppp/peers/FHB-VPN sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind.

/etc/ppp/peers/FHB-VPN

$USER bezeichnet in dieser Datei den Benutzernamen auf dem entsprechenden Server, für Wotan-Nutzer ist das also blablubb, für Zeus-Nutzer blablubb@brb-i (nur für Leute, deren Benutzername blablubb lautet).

pty "pptp 195.37.2.65 --nolaunchpppd"
name \\$USER
remotename loki.fh-brandenburg.de
require-eap
file /etc/ppp/pptp-options
ipparam FHB-VPN

/etc/ppp/pptp-options

Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die PPTP-Linux-Dokumentation sowie die Handbuchseite des pppd verwiesen.

refuse-pap 
refuse-chap
refuse-mschap
require-mppe-128
require-eap
noauth
nodefaultroute
lock
nobsdcomp
nodeflate 

/etc/ppp/eaptls-client

In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ($USER diesmal ohne optionales @brb-i):

  • client.crt: $USER.pem
  • ca.crt: rootcacert.pem
  • client.key: $USER.key
* loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key

Ausprobieren

An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:

pon FHB-VPN

Sollte nach diesem Schritt und etwas Warten noch kein ppp0-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (/var/log/syslog) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:

pon FHB-VPN debug dump logfd 2 nodetach

/etc/network/interfaces (Debian)

Um die Verbindung über den Debian-eigenen Weg mit ifup/ifdown steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig:

auto vpn0
iface vpn0 inet ppp
    provider FHB-VPN

Die Bezeichnung vpn0 ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes.

PPP-Daemon mit EAP/TLS-Unterstützung

Da momentan der PPP-Daemon standardmäßig noch nicht EAP über TLS beherrscht, benötigt man eine gepatchte Version des pppd:

'Persönliche Werkzeuge