Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:admin-docs:openvpn-client [2020/03/16 12:39] – jankow@datenkollektiv.net
+++ public:admin-docs:openvpn-client [2023/03/03 12:37] (aktuell) – [Samba-/Windows-Freigaben unter Windows] jankow@datenkollektiv.net
@@ Zeile 22: / Zeile 22: @@
 === Import einer vertigen Openvpn-Konfigurations incl. Schlüsseln (empfohlen) ===
-Am einfachsten ist es, wenn eine *.ovpn Konfigurationsdatei hat, in der bereits alle Schlüssel enthalten sind.
+Am einfachsten ist es, wenn eine .ovpn Konfigurationsdatei hat, in der bereits alle Schlüssel enthalten sind.
 === Konfiguration "per Hand" ===
-Für die Konfiguration werden die drei Dateien benötigt. Diese müssen von dem Betreiber des VPN-Netzwerkes verteilt werden:
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
-  - ca.crt (Wurzelzertifikat der CA)
-  - client.crt (Zertifikat für den Benuzter)
-  - client.key (privater Schlüssel für den Benutzer)
-(Namen als Beispiele)
-Diese drei Dateien sollten möglichst in ein Unterverzeichnis des User-Home Verzeichnisses kopiert werden. Z.B. kann das Verzeichnis
+Näheres findet sich unter [[manual-ovpn-config]].
-  openvpn
-dazu erstellt werden.
-Auf das Icon der Netzwerkverbindung in der Taskleiste klicken und dort ''Netzwerkverbindungen'' auswählen.
-{{ :public:admin-docs:network-manager-vpn_1.png?350 |}}
-Hier ''Hinzufügen'' klicken und im nächsten Fenster ''OpenVPN'' wählen. Sollte das dort nicht zur Verfügung stehen, müssen noch weitere Pakete installiert werden (z.B. "network-manager-openvpn-gnome" oder ein entsprechendes Paket für eine andere Desktop-Oberfläche. Diese finden sich leicht über den Paket-Manager der Distribution.
-{{ :public:admin-docs:network-manager-vpn_2.png?350 |}}
-Im nächsten Dialogfenster werden die eigentlichen Einstellungen getätigt. Wichtig ist die Auswahl der zuvor gespeicherten Zertifikatsdateien und des Gateways. Dies kann entweder ein Server-Name oder eine IP-Adresse sein und sollte vom Betreiber des VPN-Netzwerkes mit angegeben worden sein.
-{{ :public:admin-docs:network-manager-vpn_3.png?350 |}}
-Unter ''Erweitert'' müssen evtl. noch weitere Einstellungen vorgenommen werden. Der VPN-Betreiber sollte ggf. entsprechende Hinweise geben.
-In der Regel müssen keine weiteren Einstellungen mehr getätigt werden. Sollen nur Verbindungen zu dem entfernten VPN Netz durch den VPN getunnelt werden und keine anderen Internetverbindungen (z.B. beim Browsen) muss dies noch im Reiter ''IPv4-Einstellungen'' unter ''Routen'' eingestellt werden:
-{{ :public:admin-docs:network-manager-vpn_4.png?350 |}}
-Diese Einstellung eignet sich, wenn ein entferntes Netz erreicht werden soll, das VPN aber nicht aufgrund von Sicherheit oder Anonymität verwendet werden soll.
-Nach dem Speichern der Konfiguration sollte nun im Netzwerk-Manager die VPN-Verbindung auszuwählen sein.
-Weitere Hinweise finden sich z.B. im [[https://wiki.ubuntuusers.de/NetworkManager/VPN_Plugins|Ubuntu-Wiki]]
 ==== Auf der Kommandozeile ====
@@ Zeile 118: / Zeile 86: @@
 Zum Starten des VPNs wird noch ein Passwort benötigt, das persönlich vergeben wurde. Dieses Passwort muss sicher aufbewahrt oder erinnert werden. Es darf keinesfalls zusammen mit dem Rechner verwahrt werden.
-==== Konfiguration per Hand ====
+=== Konfiguration unter Windows "per Hand" ===
-Um eine Verbindung herzustellen, benötigt das Programm eine Konfiguration, die im Programmpfad liegt, bei einer Standardinstallation wird das:
+Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.
-  C:\Programme\OpenVPN\config
+Näheres findet sich unter [[manual-ovpn-config#unter_windows]].
-sein.
-Hier müssen nun die Dateien drei Dateien, die sich auf das Zertifikat beziehen (diese sollten von den Administrator_innen verteilt werden) hin kopiert werden:
-  * client.key (Der geheime Key für den Client, kann auch anders heißen - maßgeblich ist die Endung)
-  * client.crt (Der öffentliche Schlüssel für den Client, kann auch anders heißen - maßgeblich ist die Endung)
-  * ca.crt (das öffentliche Server-Zertifikat)
-und eine Textdatei als Konfiguration angelegt werden. Entweder gibt es diese schon (weil die Administrator_in sie mit verteilt hat) oder sie kann mit einem Text-Editor (Notepad, Editor) angelegt werden. Evlt. lässt sie sich nicht direkt unter C:\Programme\OpenVPN\config speichern. In diesem Fall erst an einem anderen Ort speichern und später dort hin kopieren.
-Diese muss etwa folgendermaßen aussehen:
-<file text meineverbindung.ovpn>
-client
-dev tun
-port 1194
-proto udp
-#remote IP-ADRESSE oder Server-Name
-remote 0.0.0.0 1194
-nobind
-pull
-#redirect-gateway def1
-resolv-retry infinite
-ca ca.crt
-cert client.crt
-key client.key
-remote-cert-tls server
-#comp-lzo
-persist-key
-persist-tun
-verb 3
-</file>
-Angepasst werden muss die IP-Adresse oder der Hostname
-  remote 0.0.0.0 1194
-Wobei für 0.0.0.0 etwas sinnvolles eingetragen werden muss: Nämlich die IP-Adresse oder den Hostnamen des VPN-Servers. "1194" bezeichnet den Port - und diese Einstellung kann meistens so bleiben, vorausgesetzt der Server nutzt auch die Standard-Konfiguration.
-Heißen die Zertifikatsdateien nicht ''client.crt'' oder ''client.key'', müssen auch diese Namen angepasst werden.
-Der Dateiname ist frei wählbar und sollte einen Hinweis auf das jeweilige VPN enthalten. Wichtig ist, dass die Endung ''.ovpn'' lautet.
 ==== OpenVPN starten ====
@@ Zeile 221: / Zeile 142: @@
   * Nach Abschluss der Änderungen das Verzeichnis wiederum umbenennen - jetzt mit der Endung ''.tblk''
   * Doppelklick und Bestätigung der Frage, ob die Konfiguration ersetzt werden soll.
+===== Zugriff auf Netzerklaufwerke über VPN =====
+Um bei einem aufgebauten VPN auf Netzwerklaufwerke (Samba-/Windows-Freigaben) zugreifen zu können, muss nun der Name des internen Fileservers bzw. dessen IP-Adresse bekannt sein.
+Mit dem VPN haben wir nun einen Tunnel in das interne Netz aufgebaut. Auf die Dateifreigaben kann dort prinzipiell wie gewohnt zugegriffen werden.
+Allerdings ist es möglich, dass die Freigaben nicht automatisch erkannt werden. Dann muss in die Adresszeile des Dateimanager manuell die Adresse eingetragen werden.
+==== Samba-/Windows-Freigaben unter Windows ====
+Unter Windows klickt man hierzu auf die Adresszeile des Dateibrowsers (oben, dort, wo der aktuelle Ort angezeigt wird. Nach dem Mausklick kann dort per Hand eine Adresse eingegeben werden. Für Samba-/Windows-Freigaben ist die Notation folgende:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  \\192.168.1.14\NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  \\Name_des_Servers\NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.
+Achung: die Zeichen ''\\'' sind sog. Backslahs - also umgekehrte Schrägstriche, übl. mit der Alt-Gr. Taste + dem ''ß'' zu generieren.
+==== Samba-/Windows-Freigaben unter Linux ====
+Unter Linux funktioniert das ähnlich: In den meisten Dateimanagern von den Desktop-Umgebungen (Mate/Gnome/XFCE/KDE) kann auch die Adresszeile eines Dateibrowsers (Caja/Nautilus/Thunar/Dolphin, etc.) per Mausklick per Hand eingegeben werden. Die Adressen lauten hier:
+Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):
+  smb://192.168.1.14/NAME_DES_SHARES
+ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.
+Oder per Name:
+  smb://Name_des_Servers/NAME_DES_SHARES
+Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.