• AmritaVPN

vpn mit amrita

Was ist das?

VPN (virtual private network) ist der Oberbegriff aller Implementationen, die verschlüsselten Netzwerk-Verkehr zwischen den beteiligten Peers ermöglichen.

Amrita ist eine Umsetzung im userspace, also ohne spezielle Kernelmodule (abgesehen vom tun-Modul im Standardkernel). Es verwendet ein Client-Server-Modell, also mindestens einer der Beteiligten muss eine öffentliche IP besitzen (ansonsten ist eine [PortForwardingHowto Port-Weiterleitung] nötig).

In der Linux-Kernel-Serie 2.6 ist ipsec inzwischen integriert. Es ist für größere Netze auf jeden Fall vorzuziehen.

Installation

• Quellen von sourceforge holen: http://cesnet.dl.sourceforge.net/sourceforge/amvpn/amvpn-0.99.tar.gz

• eventuell libssl-dev installieren

• amrita installieren

  ./configure
  make
  make install

• wenn du magst, kannst du jetzt deine zukünftige Schlüssellänge optimieren (z.B.: 2048 statt 1024 Bits), indem du die /sbin/amvpn-keytool anpasst

Konfiguration

/etc/amvpn.conf anpassen:

• server-ip 139.30.131.251 -> die Beispiel-IP eines Servers

• tunnel-ip 192.168.42.XX -> die tunnel-ip eines Clients

• port 120XX -> ein Client-Port auf dem Server

• route-ip 192.168.42.0

• unter run-as-user folgende Zeile einfuegen:

  run-as-group amvpn

• Gruppe amvpn anlegen (etc/group)

• in der /etc/passwd die Gruppe fuer den Nutzer amvpn einstellen und sein Home-Verzeichnis auf /usr/share/amvpn setzen

Schlüssel erzeugen

für den Server: {{{amvpn-keytool genca amvpn-keytool genkey amvpn-keytool gencert}}}

Client-Schlüssel:

• erstmal erzeugen:

  amvpn-keytool genkey

• dann signieren

  • entweder vom Client aus:

    amvpn-keytool -r root@example.net:/usr/share/amvpn -c gencert

  • oder vom Server aus:

amvpn-keytool -r root@CLIENT:/usr/share/amvpn gencert

nix Passwort!

WICHTIG: nach dem Schlüssel-Erzeugen musst du unbedingt auf dem Server rm /usr/share/amvpn/remote* ausfuehren - ansonsten erhält der Nächste folgende Meldung:

Couldn't get handle: Permission denied
Killed by signal 2.

falls er nicht root ist

Schlüssel fixieren

amvpn-keytool secure amvpn

(das setzt wohl die Zugriffsrechte des Schluessel-Verzeichnisses: erst ausführen, wenn alle Clients ihre Schlüssel erzeugt haben)

tun-Device

1. das Modul "tun" unter Network-Devices -> "Universal TUN/TAP-Driver..." ist nötig

2. falls es kein Gerät /dev/net/tun gibt, dann:

cd /dev; MAKEDEV tun

Benutzung

das Start-Skript (/etc/init.d/amvpn) ist nicht brauchbar, also per Hand: amvpn -d

Notizen

• logs in /var/log/syslog und /var/log/daemon.log

• tun-Modul installieren
• tun-Device erstellen
• Schlüssel erzeugen

• /usr/share/amvpn muss amvpn gehören