VPN OpenVPN Testbetrieb LMU und TUM

Hinweis

Der Server läuft im Testbetrieb, d.h. er wird ab und an mal durchgestartet. Das ist für die Nutzer nicht so problematisch, da der Restart signalisiert wird und der Client sich automatisch neu verbindet.

Was benötigt man?

A) OpenVPN Client

Auf der Seite openvpn.net unter Get OpenVPN gibt es den OpenVPN-Client openvpn-connect-v3. Dieser Client ist für die OpenVPN-Appliance und funktioniert nicht mit dem Community-OpenVPN-Server. Die richtige Quelle ist https://openvpn.net/community-downloads/

Folgende Clients können verwendet werden:

Windows: Von der OpenVPN-Website https://community.openvpn.net/ aus den Community-Downloads https://openvpn.net/community-downloads/
- 2.5.0 64-Bit OpenVPN-2.5.0-I601-amd64.msi
- 2.5.0 32-Bit OpenVPN-2.5.0-I601-x86.msi
- openvpn-install-2.4.9-I601-Win10.exe
- openvpn-install-2.4.9-I601-Win7.exe
macOS: Tunnelblick: https://tunnelblick.net/downloads.html Die Beta kann verwendet werden
Linux: aus dem Repository, es gibt auch eine Integration in den Network-Manager
Android: Google
Play Store: https://play.google.com/store/search?q=openvpn&c=apps&hl=de
F-Droid: https://search.f-droid.org/?q=openvpn&lang=en
iOS: über den AppStore nach OpenVPN suchen

B) Konfigurationsdatei

Die Konfigurationsdateien unterscheiden sich für die verschiedenen Institutionen:

Institution	Konfigurationsdatei
LMU	openvpn-lmu-test.srv.lrz.de.ovpn	2020-11-11
TUM	openvpn-tum-test.srv.lrz.de.ovpn	2020-10-22

Neuigkeiten

2020-07-14 Testinstanz für TUM konfiguriert.
2020-10-22 Verlagerung auf eigenen Server
2020-10-23 Testinstanz für LMU konfiguriert
2020-10-27 Authentisierungsserver geändert, nun funktionieren auch Kennungen, die mit u beginnen
2020-11-11 OpenVPN 2.5.0, tun-ipv6 aus LMU-Konfiguration entfernt

Server

Servername: openvpn-tum-test.srv.lrz.de Port 1194 oder openvpn-lmu-test.srv.lrz.de Port 1194

Dort laufen jeweils zwei VPN-Instanzen, eine auf IPv4, eine auf IPv6.

Der Login funktioniert hier aktuell nur mit TUM-verwalteten Kennungen, z.B. ga77erl
Authentisiert wird gegen LDAP simauth.sim.lrz.de eingeschränkt auf TUM.

Der Login funktioniert hier aktuell nur mit LMU-verwalteten Kennungen, z.B ru57ica
Authentisiert wird gegen LDAP simauth.sim.lrz.de eingeschränkt auf LMU.

IP-Adressen, Routing

Institution	IPv4	IPv6
LMU	10.163.164.0/22 (über secomat)	2001:4ca0:4fff:9:0:1::/96 2001:4ca0:4fff:9:0:2::/96
TUM	10.157.52.0/22 (über secomat)	2001:4ca0:2fff:9:0:1::/96 2001:4ca0:2fff:9:0:2::/96

Das Routing ist so eingestellt, daß alle Daten über den Tunnel laufen. Lokal angebundene Netze (LAN) sind weiterhin erreichbar.
Sonderfälle können über Konfigurationsänderungen behandelt werden.

route-nopull
route [network] [netmask] vpn_gateway

Beispiel für ein Split-tunneling:

Institution	Konfigurationsdatei	Datum
LMU	openvpn-lmu-test.srv.lrz.de-split.ovpn	2021-01-05

Accounting

geloggt werden bei der An- und Abmeldung:

Zeitstempel der Anmeldung
Kennung
Client-IPv4 oder IPv6
VPN-IPv4 und VPN-IPv6

Zeitstempel der Abmeldung
Kennung
Client-IPv4 oder IPv6
VPN-IPv4 und VPN-IPv6
ein- und ausgehendes Datenvolumen, Dauer der Verbindung

Page tree