Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:admin-docs:openvpn-client [2015/07/09 14:15] – [Download und Installation] jankow@datenkollektiv.net
+++ public:admin-docs:openvpn-client [2023/03/03 12:37] (aktuell) – [Samba-/Windows-Freigaben unter Windows] jankow@datenkollektiv.net
@@ Zeile 1: / Zeile 1: @@
 ====== Openvpn-Client einrichten ======
-<WRAP center round todo 60%>
+OpenVPN ist eine Software um virtuelle private Netzwerke aufzubauen - also sichere Netzwerke über unsichere Verbindungen. Auf diese Weise können Computer über das Internet so an ein lokales Netzwerk angebunden werden, als ob diese sich selbst darin befinden würden.
-In Bearbeitung
-</WRAP>
+Voraussetzungen:
-OpenVPN ist eine Software um virtuelle private Netzwerke aufzubauen - also sichere Netzwerke über unsichere Verbindungen. Auf diese Weise können Computer über das Internet so an ein lokales Netzwerk angebunden werden, als ob diese sich selbst darin befinden würden.
+  - Das Programm [[https://openvpn.net/community-downloads/|OpenVPN]]
+  - Eine spezielle Konfigurationsdatei mit einem privaten Schlüssel (diese erhaltet ihr von eurer Organisation bzw. auf Anforderung  beim [[mailto:support@datenkollektiv.net|datenkollekiv.net]]).
 ===== Linux =====
-Es gibt zwei Möglichkeiten: Entweder wird die Verbindug auf der Kommandozeile in einem Terminal aufgebaut - oder mensch benutzt den Gnome-Network-Manager.
+Das Programm OpenVPN ist quasi in allen Distributionen enthalten. Ihr installiert es einfach mit eure Paketmanager - und zwar die Pakete:
+  * openvpn
+  * network-manager-openvpn
+  * network-manager-openvpn-gnome
+(die beiden letzten sind zur Konfiguration per Network-Manager notwendig).
+==== Mit dem Network-Manager ====
+Der Network-Manager ist das Standard-Programm zum Verwalten von Netzwerken und wird in den meisten aktuellen Desktop-Oberflächen wie Gnome, Cinnamon, KDE oder Unity genutzt. Zwar sieht die Oberfläche von Desktop zu Desktop etwas unterschiedlich aus, aber die Funktionalität ist die Selbe.
+=== Import einer vertigen Openvpn-Konfigurations incl. Schlüsseln (empfohlen) ===
+Am einfachsten ist es, wenn eine .ovpn Konfigurationsdatei hat, in der bereits alle Schlüssel enthalten sind.
+=== Konfiguration "per Hand" ===
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
+Näheres findet sich unter [[manual-ovpn-config]].
+==== Auf der Kommandozeile ====
+Für die Konfiguration auf der Kommandozeile ist folgende Anleitung hilfreich:
+  * https://wiki.ubuntuusers.de/OpenVPN
 ===== Windows =====
@@ Zeile 18: / Zeile 42: @@
 ==== Download und Installation ====
+  * https://openvpn.net/community-downloads/
-  * [[https://swupdate.openvpn.org/community/releases/openvpn-install-2.3.7-I602-i686.exe|Windows 7 (oder später) - 32-Bit, Version 2.3.7]]
+Für Windows eine der beiden Versionen:
-  * [[https://swupdate.openvpn.org/community/releases/openvpn-install-2.3.7-I602-x86_64.exe|Windows 7 (oder später) - 64-Bit, Version 2.3.7]]
+  * Windows 7/8/8.1/Server 2012r2 installer (NSIS)
+  * Windows 10/Server 2016/Server 2019 installer (NSIS)
-Die ".exe"-Datei herunter laden und mit Administratorenrechten installieren.
+herunter laden und mit Administratorenrechten installieren.
-Beim Installieren solltem folgende Komponenten gewählt werden:
+Beim Installieren sollte neben der Standardeinstellung folgende Komponente gewählt werden:
-  * ssl-utils
+  * OpenSsl Utilities
-  * ...
-  * FIXME
-Auch der Aufruf des Programms muss künftig mit Administratorenrechten erfolgen. Am einfachsten geht das, indem in der Verknüpfung zum OpenVPN-Client, die auf dem Desktop liegt, das entsprechende Häkchen gesetzt wird:
+{{:public:admin-docs:win_openvpn-install.jpg?200|}}
-Nach dem Start des Programms, findet sich unten in der Taskleiste ein kleines Symbol. Mit der rechten Maustaste kann, nach der Konfiguration, eine Verbindung hergestellt werden.
+Als Programmpfad wird die Standardeinstellung gelassen: C:\Programme\OpenVPN\
-==== Konfiguration ====
+{{:public:admin-docs:win_openvpn-install2.jpg?200|}}
-Um eine Verbindung herzustellen, benötigt das Programm eine Konfiguration, die im Programmpfad liegt, bei einer Standardinstallation wird das:
+Und eine entsprechende Nachfrage muss akzeptiert werden:
-  C:\Programme\OpenVPN\config
+{{:public:admin-docs:win_openvpn-install2.jpg?200|}}
-sein.
+Auch der Aufruf des Programms muss künftig mit Administratorenrechten erfolgen. Am einfachsten geht das, indem in der Verknüpfung zum OpenVPN-Client, die auf dem Desktop liegt, das entsprechende Häkchen gesetzt wird.
-Hier müssen nun die Dateien drei Dateien, die sich auf das Zertifikat beziehen (diese sollten von den Administrator_innen verteilt werden) hin kopiert werden:
+-> Rechte Maustaste auf "OpenVPN Gui" auf dem Desktop -> Eigenschaften -> Reiter "Kompatibilität" -> Programm als Administrator ausführen aktivieren.
-  * client.key (Der geheime Key für den Client, kann auch anders heißen - maßgeblich ist die Endung)
+{{:public:admin-docs:win_openvpn-install4.jpg?200|}}
-  * client.crt (Der öffentliche Schlüssel für den Client, kann auch anders heißen - maßgeblich ist die Endung)
-  * ca.crt (das öffentliche Server-Zertifikat)
-und eine Textdatei als Konfiguration angelegt werden. Entweder gibt es diese schon (weil die Administrator_in sie mit verteilt hat) oder sie kann mit einem Text-Editor (Notepad) angelegt werden.
+==== Import einer .ovpn Konfigurationsdatei (empfohlen) ====
-<file
+Wenn eine .ovpn Konfigurationsdatei zur Verfügung steht, in der bereits alle Schlüssel enthalten sind, muss diese nur importiert werden:
+Anschließend die persönliche Konfigurationsdatei auf den Desktop kopieren. Die Openvpn-Gui muss zwingend mit Administratorrechten gestartet werden ("Als Administrator ausführen" wählen):
+{{ vpngui_starten.png?400 |}}
+Dann befindet sich ein kleines Icon in der Taskleiste. Mit der rechten Maustaste stehen Optionen zur Verfügung:
+{{ vpngui_taskleiste.png?400 |}}
+Als erstes muss die Konfiguration importiert werden. Dazu die Option "Datei importieren" wählen: Als Datei die auf den Desktop kopierte Konfigurationsdatei angeben.
+Zum Starten des VPNs wird noch ein Passwort benötigt, das persönlich vergeben wurde. Dieses Passwort muss sicher aufbewahrt oder erinnert werden. Es darf keinesfalls zusammen mit dem Rechner verwahrt werden.
+=== Konfiguration unter Windows "per Hand" ===
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
+Näheres findet sich unter [[manual-ovpn-config#unter_windows]].
+==== OpenVPN starten ====
+OpenVPN muss als Administrator laufen. Dazu mit der rechten Maustaste auf den Programmstarter klicken und "Als Administrator ausführen" wählen. Jetzt muss das Administrator-Passwort eingegeben werden.
+Um nicht jedesmal nach dem Admin-Passwort gefragt zu werden [[http://www.howtogeek.com/124087/how-to-create-a-shortcut-that-lets-a-standard-user-run-an-application-as-administrator/|lässt sich dieses auch speichern]]. Dazu muss eine Verknüpfung auf dem Desktop zur Programmdatei erstellt werden (ist nach der Installation in der Regel schon vorhanden). Mit der rechten Maustaste auf das Symbol klicken und -> "Eigenschaften" wählen. Unter "Ziel:" muss jetzt folgendes eingetragen werden:
+  runas /user:ComputerName\Administrator /savecred "C:\Program Files\OpenVPN\bin\openvpn-gui.exe"
+(ComputerName u. Administrator-Login entsprechend ändern)
+  * [[https://jespermchristensen.wordpress.com/2008/03/27/remove-cached-credentials-in-windows/|Zum Entfernen der gespeicherten Passwörter]]
+Nach dem Start des Programms mit Doppelklick auf die Desktop-Datei, findet sich unten in der Taskleiste ein kleines Symbol. Mit der rechten Maustaste kann, nach der Konfiguration, eine Verbindung hergestellt werden.
+{{:public:admin-docs:openvpn-verbinden.jpg?200|}}
+==== Passwort ändern ====
+Ebenfalls mit Hilfe der OpenVPN GUI lässt sich das Passwort ändern. Auch dazu auf das kleine Symbol in der Taskleiste mit der rechten Maustaste klicken und "Passwort ändern" wählen.
 ===== Mac OS =====
@@ Zeile 57: / Zeile 115: @@
 Für Mac-OS steht das Programm "Tunnelblick" zur Verfügung, das auch weitgehend per hand konfiguriert werden muss.
-  * Der Download steht unter https://code.google.com/p/tunnelblick/ zur Verfügung
+  * Der Download steht unter https://tunnelblick.net/ zur Verfügung
+  * Die Dokumentation findet sich unter: https://tunnelblick.net/documents.html
+==== Installation ====
+  *  Dokumentation unter: https://tunnelblick.net/cInstall.html
+Die Installation funktioniert einfach per Installer. Bei der Installation wird eine Beispielkonfiguration in einem Verzeichnis auf dem Desktop angelegt.
+==== Konfiguration ====
+  * Dokumentation unter https://tunnelblick.net/cConfigT.html
+Grundsätzlich erwartet Tunnelblick seine Konfigurationsdateien zusammen mit Schlüssel und Serverzertifikat in einem Verzeichnis - z.B. auf dem Schreibtisch. Dieses wird anschließend als Tunnelblick-Konfiguration dadurch "gekennzeichnet", dass es einen Verzeichnisnamen bekommt, der mit ''.tblk'' endet. Z.B. "meineconfig.tblk".
+Die Konfigurationen können auch unter ''/Library/Application Support/Tunnelblick/...'' gespeichert sein.
+Einmal umbenannt bekommt das Verzeichnis ein Tunnelblick-Icon - und anschließend kann durch Doppelklick diese Konfiguration installiert werden. Das Administratorpasswort ist nötig und anschließend steht die Konfiguration zur Verfügung.
+Soll eine Konfiguration geändert werden, kann folgenden Schritten gefolgt werden:
+  * Verzeichnis ''meineconfig.tblk'' umbenennen in ''meineconfig'' - ohne die Endung
+  * dadurch kann wieder per Doppelklick in das Verzeichnis gewechselt werden (nur nötig, wenn die Änderungen in der grafischen Oberfläche erfolgen sollen. Auf der Kommandozeile funktioniert es ohne Umbenennung).
+  * Jetzt kann die Konfigurationsdatei geändert werden - oder Zertifikate können ersetzt werden etc.
+  * Nach Abschluss der Änderungen das Verzeichnis wiederum umbenennen - jetzt mit der Endung ''.tblk''
+  * Doppelklick und Bestätigung der Frage, ob die Konfiguration ersetzt werden soll.
+===== Zugriff auf Netzerklaufwerke über VPN =====
+Um bei einem aufgebauten VPN auf Netzwerklaufwerke (Samba-/Windows-Freigaben) zugreifen zu können, muss nun der Name des internen Fileservers bzw. dessen IP-Adresse bekannt sein.
+Mit dem VPN haben wir nun einen Tunnel in das interne Netz aufgebaut. Auf die Dateifreigaben kann dort prinzipiell wie gewohnt zugegriffen werden.
+Allerdings ist es möglich, dass die Freigaben nicht automatisch erkannt werden. Dann muss in die Adresszeile des Dateimanager manuell die Adresse eingetragen werden.
+==== Samba-/Windows-Freigaben unter Windows ====
+Unter Windows klickt man hierzu auf die Adresszeile des Dateibrowsers (oben, dort, wo der aktuelle Ort angezeigt wird. Nach dem Mausklick kann dort per Hand eine Adresse eingegeben werden. Für Samba-/Windows-Freigaben ist die Notation folgende:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  \\192.168.1.14\NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  \\Name_des_Servers\NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.
+Achung: die Zeichen ''\\'' sind sog. Backslahs - also umgekehrte Schrägstriche, übl. mit der Alt-Gr. Taste + dem ''ß'' zu generieren.
+==== Samba-/Windows-Freigaben unter Linux ====
+Unter Linux funktioniert das ähnlich: In den meisten Dateimanagern von den Desktop-Umgebungen (Mate/Gnome/XFCE/KDE) kann auch die Adresszeile eines Dateibrowsers (Caja/Nautilus/Thunar/Dolphin, etc.) per Mausklick per Hand eingegeben werden. Die Adressen lauten hier:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  smb://192.168.1.14/NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  smb://Name_des_Servers/NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.