Auf dieser Seite beschreibe ich, wie der Zugang zum VPN auf valeria.ip.lc eingerichtet wird und was man damit machen kann. Zunächst ein paar Infos zu den technischen Grundlagen für alle die es interessiert. Das VPN wird mit OpenVPN betrieben. Erstens weil es OpenSource und kostenlos ist und zweitens weil, anders als bei vielen anderen VPN Techniken, die Software selbst für so gut wie alle Betriebssysteme verfügbar und deshalb überall gleich ist. Das heißt ich muss nur einen Satz Konfigurationen erstellen und dieser wird so gut wie überall funktionieren. Für die Verschlüsselung und Überprüfung der Benutzer wird SSL/TLS benutzt, also die gleiche Technik die auch benutzt wird um Webseiten sicher zu übertragen (oder unsicher je nachdem wen man fragt). Deshalb gibt es hier auch keine Benutzernamen und Passwörter sondern private Schlüssel und Zertifikate. Und weil sowieso nur Leute rein dürfen, die persönlich bei mir anfragen, betreibe ich die Zertifizierungsstelle auch gleich selbst.
Wie oben schon erwähnt läuft das hier alles mit OpenVPN, also sollte man zunächst das installieren.
Installer für Windows kann man hier herunterladen. Damit das VPN ordentlich funktioniert müssen bei der Installation folgende Punkte aktiviert werden: OpenVPN User-Space Components, TAP Virtual Ethernet Adapter, OpenVPN GUI und alles unter Dependencies (Advanced).
Unter Linux sollte OpenVPN in der Softwareverwaltung zu finden sein, egal welche Geschmacksrichtung von Linux man gerade installiert hat.
Als nächstes werden Schlüssel und Zertifikatsanfrage erstellt.
Für Windows habe ich ein Skript gebaut, welches das ganze automatisiert. Das Skript findet ihr in der Datei VPNvaleria.7z. Darin befindet sich im Ordner PKI die PKIhelfer.bat die durch den gesamten Prozess führt.
Anleitung oder Tool für Linux gibt’s vielleicht später.
Wenn ich die Zertifikatsanfrage erhalten habe, werde ich sie signieren und dann das fertige Zertifikat zurücksenden. Falls euch nicht klar sein sollte, wie ihr mich erreichen könnt um mir die Anfrage zu schicken, dann dürft ihr hier sowieso nicht rein ;).
Zum Schluss wird das OpenVPN eingerichtet und die Konfigurationsdateien, Schlüssel und Zertifikate da abgelegt wo sie hingehören. Die Konfigurationsdateien befinden sich ebenfalls in der Datei VPNvaleria.7z im Unterordner Config.
Unter Windows werden die Daten einfach in den Konfigurationsordner von OpenVPN gelegt. In der Regel ist der unter C:\Programme\OpenVPN\Config zu finden. Dort werden alle Dateien aus VPNvaleria.7z/Config, der private Schlüssel (userkey.pem) und das fertige Zertifikat (usercert.pem) abgelegt. Wenn alles am richtigen Platz liegt, sollten im OpenVPN GUI Menü die verschiedenen Verbindungsmodi aufgelistet werden. Abschließend noch der Hinweis, dass unter Windows das OpenVPN GUI mit Administratorrechten gestartet werden muss, da sonst das VPN nicht vollständig eingerichtet werden kann. Man kann dazu in der OpenVPN GUI Verknüpfung einstellen, das Programm immer mit geänderten Berechtigungen starten zu lassen.
Hinweise für Linux vielleicht später.
Es gibt drei unterschiedliche Modi um sich mit dem VPN zu verbinden. Alle drei stellen eine verschlüsselte Verbindung zum VPN her, aber unterscheiden sich darin, was alles durch das VPN geleitet wird.
„VPN valeria“ leitet nur Verbindungen zu Computern im VPN oder Computern in meinem Heimnetzwerk durch das VPN. Der restliche Internetverkehr, zum Beispiel zu youtube.com, läuft unverändert über die normale Internetleitung. Diese Konfiguration bietet sich also an, wenn man über das Internet nur auf das VPN zugreifen möchte.
„VPN valeria und Internet“ leitet zusätzlich sämtlichen Internetverkehr, egal ob Computer im VPN oder youtube.com, über den VPN-Server um. Wenn man sich außerhalb meines Heimnetzwerks mit diesem Modus verbindet, läuft also das Internet den Umweg über meine private Internetverbindung und wird dann vermutlich langsamer werden.
„VPN valeria paranoid“ funktioniert wie der vorherige Modus, blockiert aber noch zusätzlich den Zugriff auf das lokale Netzwerk, in dem man sich gerade befindet. Nur noch Verbindungen ins oder durch das VPN sind möglich.
Alle Computer die in das VPN eingewählt sind, sind untereinander genauso verbunden, als würden sie sich in einem lokalen Netzwerk befinden. Das heißt selbst Programme, die von selbst nicht über das Internet verbinden können, könnt ihr mithilfe des VPN über das Internet benutzen.
Mein Dateiserver \\librorum. ist ebenfalls über das VPN erreichbar. Vielleicht gebe ich später noch andere Dienste frei. Druckerserver? =D
Mit dem paranoiden Modus wird sämtlicher Netzwerkverkehr durch eine verschlüsselte Verbindung geleitet. Das heißt wenn ihr gerade an einem Netzwerk hängt, das noch weniger vertrauenswürdig ist als meins, könnt ihr euch damit vor Zuschauern schützen. Vorausgesetzt Geschwindigkeit ist nicht so wichtig.
Das VPN ist auch für IPv6 konfiguriert und verteilt global gültige IPv6-Adressen. Das heißt wenn ihr selbst kein IPv6 bekommt, es aber mal braucht oder testen wollt, könnt ihr dafür auch dieses VPN benutzen.
Stand: 31.07.14