Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:admin-docs:openvpn-client [2015/11/05 22:56] – [Mit dem Network-Manager] jankow@datenkollektiv.net
+++ public:admin-docs:openvpn-client [2023/03/03 12:37] (aktuell) – [Samba-/Windows-Freigaben unter Windows] jankow@datenkollektiv.net
@@ Zeile 2: / Zeile 2: @@
 OpenVPN ist eine Software um virtuelle private Netzwerke aufzubauen - also sichere Netzwerke über unsichere Verbindungen. Auf diese Weise können Computer über das Internet so an ein lokales Netzwerk angebunden werden, als ob diese sich selbst darin befinden würden.
+Voraussetzungen:
+  - Das Programm [[https://openvpn.net/community-downloads/|OpenVPN]]
+  - Eine spezielle Konfigurationsdatei mit einem privaten Schlüssel (diese erhaltet ihr von eurer Organisation bzw. auf Anforderung  beim [[mailto:support@datenkollektiv.net|datenkollekiv.net]]).
 ===== Linux =====
-==== Mit dem Network-Manager ====
-Der Network-Manager ist das Standard-Programm zum Verwalten von Netzwerken und wird in den meisten aktuellen Desktop-Oberflächen wie Gnome, Cinnamon, KDE oder Unity genutzt. Zwar sieht die Oberfläche von Desktop zu Desktop etwas unterschiedlich aus, aber die Funktionalität ist die Selbe.
+Das Programm OpenVPN ist quasi in allen Distributionen enthalten. Ihr installiert es einfach mit eure Paketmanager - und zwar die Pakete:
-Für die Konfiguration werden die drei Dateien benötigt. Diese müssen von dem Betreiber des VPN-Netzwerkes verteilt werden:
+  * openvpn
-  - ca.crt (Wurzelzertifikat der CA)
+  * network-manager-openvpn
-  - client.crt (Zertifikat für den Benuzter)
+  * network-manager-openvpn-gnome
-  - client.key (privater Schlüssel für den Benutzer)
+(die beiden letzten sind zur Konfiguration per Network-Manager notwendig).
-(Namen als Beispiele)
-Diese drei Dateien sollten möglichst in ein Unterverzeichnis des User-Home Verzeichnisses kopiert werden. Z.B. kann das Verzeichnis
+==== Mit dem Network-Manager ====
-  openvpn
+Der Network-Manager ist das Standard-Programm zum Verwalten von Netzwerken und wird in den meisten aktuellen Desktop-Oberflächen wie Gnome, Cinnamon, KDE oder Unity genutzt. Zwar sieht die Oberfläche von Desktop zu Desktop etwas unterschiedlich aus, aber die Funktionalität ist die Selbe.
-dazu erstellt werden.
-Auf das Icon der Netzwerkverbindung in der Taskleiste klicken und dort ''Netzwerkverbindungen'' auswählen.
+=== Import einer vertigen Openvpn-Konfigurations incl. Schlüsseln (empfohlen) ===
-{{ :public:admin-docs:network-manager-vpn_1.png?350 |}}
+Am einfachsten ist es, wenn eine .ovpn Konfigurationsdatei hat, in der bereits alle Schlüssel enthalten sind.
-Hier ''Hinzufügen'' klicken und im nächsten Fenster ''OpenVPN'' wählen.
+=== Konfiguration "per Hand" ===
-{{ :public:admin-docs:network-manager-vpn_2.png?350 |}}
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
-Im nächsten Dialogfenster werden die eigentlichen Einstellungen getätigt. Wichtig ist die Auswahl der zuvor gespeicherten Zertifikatsdateien und des Gateways. Dies kann entweder ein Server-Name oder eine IP-Adresse sein und sollte vom Betreiber des VPN-Netzwerkes mit angegeben worden sein.
+Näheres findet sich unter [[manual-ovpn-config]].
-{{ :public:admin-docs:network-manager-vpn_3.png?350 |}}
-Unter ''Erweitert'' müssen evtl. noch weitere Einstellungen vorgenommen werden. Der VPN-Betreiber sollte ggf. entsprechende Hinweise geben.
-In der Regel müssen keine weiteren Einstellungen mehr getätigt werden. Sollen nur Verbindungen zu dem entfernten VPN Netz durch den VPN getunnelt werden und keine anderen Internetverbindungen (z.B. beim Browsen) muss dies noch im Reiter ''IPv4-Einstellungen'' unter ''Routen'' eingestellt werden:
-{{ :public:admin-docs:network-manager-vpn_4.png?350 |}}
-Diese Einstellung eignet sich, wenn ein entferntes Netz erreicht werden soll, das VPN aber nicht aufgrund von Sicherheit oder Anonymität verwendet werden soll.
-Weitere Hinweise finden sich z.B. im [[https://wiki.ubuntuusers.de/NetworkManager/VPN_Plugins|Ubuntu-Wiki]]
 ==== Auf der Kommandozeile ====
@@ Zeile 54: / Zeile 42: @@
 ==== Download und Installation ====
+  * https://openvpn.net/community-downloads/
-  * [[https://swupdate.openvpn.org/community/releases/openvpn-install-2.3.7-I602-i686.exe|Windows 7 (oder später) - 32-Bit, Version 2.3.7]]
+Für Windows eine der beiden Versionen:
-  * [[https://swupdate.openvpn.org/community/releases/openvpn-install-2.3.7-I602-x86_64.exe|Windows 7 (oder später) - 64-Bit, Version 2.3.7]]
+  * Windows 7/8/8.1/Server 2012r2 installer (NSIS)
+  * Windows 10/Server 2016/Server 2019 installer (NSIS)
-Die ".exe"-Datei herunter laden und mit Administratorenrechten installieren.
+herunter laden und mit Administratorenrechten installieren.
 Beim Installieren sollte neben der Standardeinstellung folgende Komponente gewählt werden:
@@ Zeile 80: / Zeile 70: @@
 {{:public:admin-docs:win_openvpn-install4.jpg?200|}}
-==== Konfiguration ====
+==== Import einer .ovpn Konfigurationsdatei (empfohlen) ====
-Um eine Verbindung herzustellen, benötigt das Programm eine Konfiguration, die im Programmpfad liegt, bei einer Standardinstallation wird das:
+Wenn eine .ovpn Konfigurationsdatei zur Verfügung steht, in der bereits alle Schlüssel enthalten sind, muss diese nur importiert werden:
-  C:\Programme\OpenVPN\config
+Anschließend die persönliche Konfigurationsdatei auf den Desktop kopieren. Die Openvpn-Gui muss zwingend mit Administratorrechten gestartet werden ("Als Administrator ausführen" wählen):
-sein.
+{{ vpngui_starten.png?400 |}}
-Hier müssen nun die Dateien drei Dateien, die sich auf das Zertifikat beziehen (diese sollten von den Administrator_innen verteilt werden) hin kopiert werden:
+Dann befindet sich ein kleines Icon in der Taskleiste. Mit der rechten Maustaste stehen Optionen zur Verfügung:
-  * client.key (Der geheime Key für den Client, kann auch anders heißen - maßgeblich ist die Endung)
+{{ vpngui_taskleiste.png?400 |}}
-  * client.crt (Der öffentliche Schlüssel für den Client, kann auch anders heißen - maßgeblich ist die Endung)
-  * ca.crt (das öffentliche Server-Zertifikat)
-und eine Textdatei als Konfiguration angelegt werden. Entweder gibt es diese schon (weil die Administrator_in sie mit verteilt hat) oder sie kann mit einem Text-Editor (Notepad, Editor) angelegt werden. Evlt. lässt sie sich nicht direkt unter C:\Programme\OpenVPN\config speichern. In diesem Fall erst an einem anderen Ort speichern und später dort hin kopieren.
+Als erstes muss die Konfiguration importiert werden. Dazu die Option "Datei importieren" wählen: Als Datei die auf den Desktop kopierte Konfigurationsdatei angeben.
-Diese muss etwa folgendermaßen aussehen:
+Zum Starten des VPNs wird noch ein Passwort benötigt, das persönlich vergeben wurde. Dieses Passwort muss sicher aufbewahrt oder erinnert werden. Es darf keinesfalls zusammen mit dem Rechner verwahrt werden.
-<file text meineverbindung.ovpn>
+=== Konfiguration unter Windows "per Hand" ===
-client
-dev tun
-port 1194
-proto udp
-#remote IP-ADRESSE oder Server-Name
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
-remote 0.0.0.0 1194
-nobind
-pull
-#redirect-gateway def1
+Näheres findet sich unter [[manual-ovpn-config#unter_windows]].
-resolv-retry infinite
-ca ca.crt
+==== OpenVPN starten ====
-cert client.crt
-key client.key
-remote-cert-tls server
+OpenVPN muss als Administrator laufen. Dazu mit der rechten Maustaste auf den Programmstarter klicken und "Als Administrator ausführen" wählen. Jetzt muss das Administrator-Passwort eingegeben werden.
-#comp-lzo
+Um nicht jedesmal nach dem Admin-Passwort gefragt zu werden [[http://www.howtogeek.com/124087/how-to-create-a-shortcut-that-lets-a-standard-user-run-an-application-as-administrator/|lässt sich dieses auch speichern]]. Dazu muss eine Verknüpfung auf dem Desktop zur Programmdatei erstellt werden (ist nach der Installation in der Regel schon vorhanden). Mit der rechten Maustaste auf das Symbol klicken und -> "Eigenschaften" wählen. Unter "Ziel:" muss jetzt folgendes eingetragen werden:
-persist-key
-persist-tun
-verb 3
+  runas /user:ComputerName\Administrator /savecred "C:\Program Files\OpenVPN\bin\openvpn-gui.exe"
-</file>
+(ComputerName u. Administrator-Login entsprechend ändern)
-Angepasst werden muss die IP-Adresse oder der Hostname
+  * [[https://jespermchristensen.wordpress.com/2008/03/27/remove-cached-credentials-in-windows/|Zum Entfernen der gespeicherten Passwörter]]
-  remote 0.0.0.0 1194
-Wobei für 0.0.0.0 etwas sinnvolles eingetragen werden muss: Nämlich die IP-Adresse oder den Hostnamen des VPN-Servers. "1194" bezeichnet den Port - und diese Einstellung kann meistens so bleiben, vorausgesetzt der Server nutzt auch die Standard-Konfiguration.
-Heißen die Zertifikatsdateien nicht ''client.crt'' oder ''client.key'', müssen auch diese Namen angepasst werden.
-Der Dateiname ist frei wählbar und sollte einen Hinweis auf das jeweilige VPN enthalten. Wichtig ist, dass die Endung ''.ovpn'' lautet.
-==== OpenVPN starten ====
 Nach dem Start des Programms mit Doppelklick auf die Desktop-Datei, findet sich unten in der Taskleiste ein kleines Symbol. Mit der rechten Maustaste kann, nach der Konfiguration, eine Verbindung hergestellt werden.
@@ Zeile 152: / Zeile 121: @@
-*  Dokumentation unter: https://tunnelblick.net/cInstall.html
+  *  Dokumentation unter: https://tunnelblick.net/cInstall.html
 Die Installation funktioniert einfach per Installer. Bei der Installation wird eine Beispielkonfiguration in einem Verzeichnis auf dem Desktop angelegt.
@@ Zeile 158: / Zeile 127: @@
 ==== Konfiguration ====
+  * Dokumentation unter https://tunnelblick.net/cConfigT.html
-*  Dokumentation unter https://tunnelblick.net/cConfigT.html
+Grundsätzlich erwartet Tunnelblick seine Konfigurationsdateien zusammen mit Schlüssel und Serverzertifikat in einem Verzeichnis - z.B. auf dem Schreibtisch. Dieses wird anschließend als Tunnelblick-Konfiguration dadurch "gekennzeichnet", dass es einen Verzeichnisnamen bekommt, der mit ''.tblk'' endet. Z.B. "meineconfig.tblk".
-Grundsätzlich erwartet Tunnelblick seine Konfigurationsdateien zusammen mit Schlüssel und Serverzertifikat in einem Verzeichnis - z.B. auf dem Schreibtisch. Dieses wird anschließend als Tunnelblick-Konfiguration dadurch "gekennzeichnet", dass es einen Verzeichnisnamen bekommt, der mit ''.tblk'' endet. Z.B. "meineconfig.tblk".
+Die Konfigurationen können auch unter ''/Library/Application Support/Tunnelblick/...'' gespeichert sein.
 Einmal umbenannt bekommt das Verzeichnis ein Tunnelblick-Icon - und anschließend kann durch Doppelklick diese Konfiguration installiert werden. Das Administratorpasswort ist nötig und anschließend steht die Konfiguration zur Verfügung.
@@ Zeile 172: / Zeile 142: @@
   * Nach Abschluss der Änderungen das Verzeichnis wiederum umbenennen - jetzt mit der Endung ''.tblk''
   * Doppelklick und Bestätigung der Frage, ob die Konfiguration ersetzt werden soll.
+===== Zugriff auf Netzerklaufwerke über VPN =====
+Um bei einem aufgebauten VPN auf Netzwerklaufwerke (Samba-/Windows-Freigaben) zugreifen zu können, muss nun der Name des internen Fileservers bzw. dessen IP-Adresse bekannt sein.
+Mit dem VPN haben wir nun einen Tunnel in das interne Netz aufgebaut. Auf die Dateifreigaben kann dort prinzipiell wie gewohnt zugegriffen werden.
+Allerdings ist es möglich, dass die Freigaben nicht automatisch erkannt werden. Dann muss in die Adresszeile des Dateimanager manuell die Adresse eingetragen werden.
+==== Samba-/Windows-Freigaben unter Windows ====
+Unter Windows klickt man hierzu auf die Adresszeile des Dateibrowsers (oben, dort, wo der aktuelle Ort angezeigt wird. Nach dem Mausklick kann dort per Hand eine Adresse eingegeben werden. Für Samba-/Windows-Freigaben ist die Notation folgende:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  \\192.168.1.14\NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  \\Name_des_Servers\NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.
+Achung: die Zeichen ''\\'' sind sog. Backslahs - also umgekehrte Schrägstriche, übl. mit der Alt-Gr. Taste + dem ''ß'' zu generieren.
+==== Samba-/Windows-Freigaben unter Linux ====
+Unter Linux funktioniert das ähnlich: In den meisten Dateimanagern von den Desktop-Umgebungen (Mate/Gnome/XFCE/KDE) kann auch die Adresszeile eines Dateibrowsers (Caja/Nautilus/Thunar/Dolphin, etc.) per Mausklick per Hand eingegeben werden. Die Adressen lauten hier:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  smb://192.168.1.14/NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  smb://Name_des_Servers/NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.