VPN-Verbindung zur FH Brandenburg
Aus BraLUG-Wiki
MaD (Diskussion | Beiträge) (erstmal speichern...) |
MaD (Diskussion | Beiträge) (mehr...) |
||
| Zeile 3: | Zeile 3: | ||
==Man benötigt== | ==Man benötigt== | ||
| + | * einen Kernel mit MPPE-Unterstützung (ab 2.6.15 im Vanilla-Kernel) | ||
* den [http://pptpclient.sourceforge.net/ PPTP-Client] für Linux | * den [http://pptpclient.sourceforge.net/ PPTP-Client] für Linux | ||
* einen [[#PPP-Daemon mit EAP/TLS-Unterstützung|PPP-Daemon mit EAP/TLS-Unterstützung]] | * einen [[#PPP-Daemon mit EAP/TLS-Unterstützung|PPP-Daemon mit EAP/TLS-Unterstützung]] | ||
* ein gültiges Zertifikat, dass man als Hochschulmitglied [https://www.fh-brandenburg.de/wlananmeldung/ auch als WLAN-Zertifikat] beantragen kann. Weitere Informationen dazu gibt es in der [http://www.fh-brandenburg.de/vpnanleitung.html VPN-Anleitung] der FHB. | * ein gültiges Zertifikat, dass man als Hochschulmitglied [https://www.fh-brandenburg.de/wlananmeldung/ auch als WLAN-Zertifikat] beantragen kann. Weitere Informationen dazu gibt es in der [http://www.fh-brandenburg.de/vpnanleitung.html VPN-Anleitung] der FHB. | ||
| + | |||
| + | ==Konfiguration== | ||
| + | Diese Konfigurationsanleitung orientiert sich an Debian, explizite ''Debian''ismen sind als solche gekenntzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben. | ||
| + | |||
| + | Die Dateien <code>/etc/ppp/peers/FHB-VPN</code> und /etc/ppp/pptp-options</code> beinhalten beide Optionen für den <code>pppd</code>, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, <code>/etc/ppp/peers/FHB-VPN</code> sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind. | ||
| + | |||
| + | ===<code>/etc/ppp/peers/FHB-VPN</code>=== | ||
| + | '''''$USER''''' bezeichnet in dieser Datei den Benutzernamen auf dem entsprechenden Server, für Wotan-Nutzer ist das also <code>blablubb</code>, für Zeus-Nutzer <code>blablubb@brb-i</code> (nur für Leute, deren Benutzername <code>blablubb</code> lautet). | ||
| + | |||
| + | pty "pptp 195.37.2.65 --nolaunchpppd" | ||
| + | name \\'''''$USER''''' | ||
| + | remotename loki.fh-brandenburg.de | ||
| + | require-eap | ||
| + | file /etc/ppp/pptp-options | ||
| + | ipparam FHB-VPN | ||
| + | |||
| + | ===<code>/etc/ppp/pptp-options</code>=== | ||
| + | Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die [http://pptpclient.sourceforge.net/documentation.phtml PPTP-Linux-Dokumentation] sowie die Handbuchseite des <code>pppd</code> verwiesen. | ||
| + | |||
| + | refuse-pap | ||
| + | refuse-chap | ||
| + | refuse-mschap | ||
| + | require-mppe-128 | ||
| + | require-eap | ||
| + | noauth | ||
| + | nodefaultroute | ||
| + | lock | ||
| + | nobsdcomp | ||
| + | nodeflate | ||
| + | |||
| + | ===<code>/etc/ppp/eaptls-client</code>=== | ||
| + | In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ('''''$USER''''' diesmal ohne optionales <code>@brb-i</code>): | ||
| + | |||
| + | * <code>client.crt</code>: <code>'''''$USER'''''.pem</code> | ||
| + | * <code>ca.crt</code>: <code>rootcacert.pem</code> | ||
| + | * <code>client.key</code>: <code>'''''$USER'''''.key</code> | ||
| + | |||
| + | * loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key | ||
| + | |||
| + | ===Ausprobieren=== | ||
| + | An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando: | ||
| + | |||
| + | pon FHB-VPN | ||
| + | |||
| + | Sollte nach diesem Schritt und etwas Warten noch kein <code>ppp0</code>-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (<code>/var/log/syslog</code>) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen: | ||
| + | |||
| + | pon FHB-VPN debug dump logfd 2 nodetach | ||
| + | |||
| + | ===<code>/etc/network/interfaces</code> (Debian)=== | ||
| + | Um die Verbindung über den Debian-eigenen Weg mit <code>ifup</code>/<code>ifdown</code> steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig: | ||
| + | |||
| + | auto vpn0 | ||
| + | iface vpn0 inet ppp | ||
| + | provider FHB-VPN | ||
| + | |||
| + | Die Bezeichnung <code>vpn0</code> ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes. | ||
==PPP-Daemon mit EAP/TLS-Unterstützung== | ==PPP-Daemon mit EAP/TLS-Unterstützung== | ||
Version vom 16. Juni 2006, 11:19 Uhr
Inhaltsverzeichnis |
Man benötigt
- einen Kernel mit MPPE-Unterstützung (ab 2.6.15 im Vanilla-Kernel)
- den PPTP-Client für Linux
- einen PPP-Daemon mit EAP/TLS-Unterstützung
- ein gültiges Zertifikat, dass man als Hochschulmitglied auch als WLAN-Zertifikat beantragen kann. Weitere Informationen dazu gibt es in der VPN-Anleitung der FHB.
Konfiguration
Diese Konfigurationsanleitung orientiert sich an Debian, explizite Debianismen sind als solche gekenntzeichnet, aber auch bei den vermeintlich gemeinsamen Einstellungen kann es kleinere Unterschiede geben.
Die Dateien /etc/ppp/peers/FHB-VPN und /etc/ppp/pptp-options</code> beinhalten beide Optionen für den pppd, die meisten Optionen können daher entweder in der einen oder in der anderen Datei stehen, /etc/ppp/peers/FHB-VPN sollte also nur spezielle Optionen beinhalten, die für andere VPNs nicht gültig sind.
/etc/ppp/peers/FHB-VPN
$USER bezeichnet in dieser Datei den Benutzernamen auf dem entsprechenden Server, für Wotan-Nutzer ist das also blablubb, für Zeus-Nutzer blablubb@brb-i (nur für Leute, deren Benutzername blablubb lautet).
pty "pptp 195.37.2.65 --nolaunchpppd" name \\$USER remotename loki.fh-brandenburg.de require-eap file /etc/ppp/pptp-options ipparam FHB-VPN
/etc/ppp/pptp-options
Kommentare und Leerzeilen wurden großzügig entsorgt. Für weitere Information sei auf die PPTP-Linux-Dokumentation sowie die Handbuchseite des pppd verwiesen.
refuse-pap refuse-chap refuse-mschap require-mppe-128 require-eap noauth nodefaultroute lock nobsdcomp nodeflate
/etc/ppp/eaptls-client
In dieser Datei steht eine Zeile, die einzelnen Felder sind durch ein Tabulator-Zeichen getrennt. Die entsprechenden Zertifikatsnamen wurden aus der Beispieldatei übernommen, die Entsprechungen in der von der FHB bereitgestellten Zip-Datei lauten ($USER diesmal ohne optionales @brb-i):
-
client.crt:$USER.pem -
ca.crt:rootcacert.pem -
client.key:$USER.key
* loki.fh-brandenburg.de /etc/cert/fhb/client.crt - /etc/cert/fhb/ca.crt /etc/cert/fhb/client.key
Ausprobieren
An dieser Stelle sollte die PPTP-Verbindung schon funktionieren, ausprobiert werden kann das mit folgendem Kommando:
pon FHB-VPN
Sollte nach diesem Schritt und etwas Warten noch kein ppp0-Interface zur Verfügung stehen, muss man wohl noch ein paar Fehler beheben. Zuerst sollte in Blick ins Log (/var/log/syslog) geworfen werden, hilft das nichts, empfiehlt sich das Starten des Daemons im Vordergrund mit aktivierten Debugging-Optionen:
pon FHB-VPN debug dump logfd 2 nodetach
/etc/network/interfaces (Debian)
Um die Verbindung über den Debian-eigenen Weg mit ifup/ifdown steuern zu können, bzw. um die das Netzwerkgerät automatisch beim Start des Rechners hochzufahren sind noch ein paar kleine Einträge im Debian-"Zentralregister" für Netzwerkgeräte notwendig:
auto vpn0
iface vpn0 inet ppp
provider FHB-VPN
Die Bezeichnung vpn0 ist hierbei willkürlich und hat keinen Einfluss auf den Namen des eigentlichen Netzwerkgerätes.
PPP-Daemon mit EAP/TLS-Unterstützung
Da momentan der PPP-Daemon standardmäßig noch nicht EAP über TLS beherrscht, benötigt man eine gepatchte Version des pppd:
