2925
Kommentar: faxe-spezifische Dinge entfernt
|
2925
converted to 1.6 markup
|
Es wurden keine Änderungen gefunden! |
vpn mit amrita
Was ist das?
VPN (virtual private network) ist der Oberbegriff aller Implementationen, die verschlüsselten Netzwerk-Verkehr zwischen den beteiligten Peers ermöglichen.
Amrita ist eine Umsetzung im userspace, also ohne spezielle Kernelmodule (abgesehen vom tun-Modul im Standardkernel). Es verwendet ein Client-Server-Modell, also mindestens einer der Beteiligten muss eine öffentliche IP besitzen (ansonsten ist eine [PortForwardingHowto Port-Weiterleitung] nötig).
In der Linux-Kernel-Serie 2.6 ist ipsec inzwischen integriert. Es ist für größere Netze auf jeden Fall vorzuziehen.
Installation
Quellen von sourceforge holen: http://cesnet.dl.sourceforge.net/sourceforge/amvpn/amvpn-0.99.tar.gz
eventuell libssl-dev installieren
amrita installieren
./configure make make install
wenn du magst, kannst du jetzt deine zukünftige Schlüssellänge optimieren (z.B.: 2048 statt 1024 Bits), indem du die /sbin/amvpn-keytool anpasst
Konfiguration
/etc/amvpn.conf anpassen:
server-ip 139.30.131.251 -> die Beispiel-IP eines Servers
tunnel-ip 192.168.42.XX -> die tunnel-ip eines Clients
port 120XX -> ein Client-Port auf dem Server
- route-ip 192.168.42.0
unter run-as-user folgende Zeile einfuegen:
run-as-group amvpn
Gruppe amvpn anlegen (etc/group)
in der /etc/passwd die Gruppe fuer den Nutzer amvpn einstellen und sein Home-Verzeichnis auf /usr/share/amvpn setzen
Schlüssel erzeugen
für den Server: {{{amvpn-keytool genca amvpn-keytool genkey amvpn-keytool gencert}}}
Client-Schlüssel:
erstmal erzeugen:
amvpn-keytool genkey
- dann signieren
entweder vom Client aus:
amvpn-keytool -r root@example.net:/usr/share/amvpn -c gencert
- oder vom Server aus:
amvpn-keytool -r root@CLIENT:/usr/share/amvpn gencert
nix Passwort!
WICHTIG: nach dem Schlüssel-Erzeugen musst du unbedingt auf dem Server rm /usr/share/amvpn/remote* ausfuehren - ansonsten erhält der Nächste folgende Meldung:
Couldn't get handle: Permission denied Killed by signal 2.
falls er nicht root ist
Schlüssel fixieren
amvpn-keytool secure amvpn
(das setzt wohl die Zugriffsrechte des Schluessel-Verzeichnisses: erst ausführen, wenn alle Clients ihre Schlüssel erzeugt haben)
tun-Device
das Modul "tun" unter Network-Devices -> "Universal TUN/TAP-Driver..." ist nötig
falls es kein Gerät /dev/net/tun gibt, dann:
cd /dev; MAKEDEV tun
Benutzung
das Start-Skript (/etc/init.d/amvpn) ist nicht brauchbar, also per Hand: amvpn -d
Notizen
logs in /var/log/syslog und /var/log/daemon.log
- tun-Modul installieren
- tun-Device erstellen
- Schlüssel erzeugen
/usr/share/amvpn muss amvpn gehören