▼ Zielgruppen ▼

Humboldt-Universität zu Berlin - Computer- und Medienservice

OpenVPN


Feedback zum OpenVPN-Cluster an vpn(AT)cms.hu-berlin.de ist willkommen.

Aktuelle Hinweise

 

Sicherheitsupdate:
Nutzer der OpenVPN-Versionen 2.3-rc2-I001 bis 2.3.2-I003 (unsere Versionen 2.3.1 und 2.3.2) sollten aufgrund der aktuell entdeckten OpenSSL-Sicherheitslücke "Heartbleed" schnellstmöglich auf OpenVPN 2.3.3 oder 2.3.2-I004 aktualisieren.
Wenn Sie unseren Installer nutzen, nehmen Sie Version 2.3.3.

Die Serverseite unseres OpenVPN-Cluster verwendet keine verwundbare OpenSSL-Version und ist deshalb nicht betroffen.

Voraussetzungen


 
Voraussetzung für die Nutzung von OpenVPN ist ein Account. Dieser muss gültig und an einer der nachfolgend genannten Einrichtungen registriert sein. Zu beachten ist, dass bei der Anmeldung die Zugehörigkeit zur Einrichtung anzugeben ist, sofern es sich nicht um einen CMS-Account handelt. Die Kennzeichnung muss in der Form account@einrichtung erfolgen:
 

 Einrichtung    Kennzeichnung  
Computer- & Medienservice  
Informatik @informatik
Mathematik @mathematik
Physik @physik

Beispiel:Der Account meier, welcher vom Institut für Informatik ausgestellt wurde, muß bei der Anmeldung am OpenVPN-Server in der Form meier@informatik angegeben werden.
 


 

Benötigte Dateien


 

Um OpenVPN nutzen zu können, benötigen Sie die folgenden Dateien:


Datei Beschreibung
hu-berlin.conf Konfigurationsdatei für Linux/Unix & MacOS X
hu-berlin.ovpn Konfigurationsdatei für Windows
hu-ta.key Schlüsseldatei für DoS-Schutz
hu-ca.crt Zertifikatsdatei der CA für Serverauthentifizierung

 
Die OpenVPN-Clientsoftware gibt es u.a. unter der URL http://www.openvpn.net/index.php/open-source/downloads.html. Für Windows haben wir einen angepassten Installer (32, 64 Bit) erstellt.
Derzeit laufen die Server mit Version 2.1.3. Als Client wird eine Version >=2.1.3 empfohlen. Bei Verwendung einer Version <2.1.2 unter Windows, muss die "--register-dns"-Zeile auskommentiert werden. Ansonsten sollte die Verwendung älterer 2.1er Versionen problemlos möglich sein.
Die Clientsoftware für MacOS heißt Tunnelblick und ist unter www.tunnelblick.net zu finden.

Konfigurationsanleitungen:

 

Linux

Linux allgemein
OpenVPN unter Ubuntu 10.04 / 12.04 (Gnome Networkmanager)
OpenVPN unter Ubuntu 9.04 (Gnome Networkmanager)
OpenVPN mittels KVpnc


Windows

OpenVPN unter Windows 8
OpenVPN unter Windows 7
OpenVPN unter Windows XP/Vista



MacOS X

Siehe Hinweis in der FAQ
OpenVPN unter MacOS X 10.9
OpenVPN unter MacOS X 10.8
OpenVPN unter MacOS X 10.7
OpenVPN unter MacOS X 10.6

 

OpenVPN-Tagebuch

 

An dieser Stelle erscheinen während der Testphase verschiedene Hinweise, die Aufschluß über Änderungen und Störungen geben sollen:

09.04.14
- Sicherheitsupdate: Installer für Windows auf Version 2.3.3 (32, 64 Bit) aktualisiert.
- Aufgrund der aktuell entdeckten OpenSSL-Sicherheitslücke "Heartbleed" sollten alle Nutzer, die OpenVPN 2.3-rc2-I001 bis 2.3.2-I003 (unsere Versionen 2.3.1 und 2.3.2) auf OpenVPN 2.3.3 oder 2.3.2-I004 aktualisieren. Wenn Sie unseren Installer nehmen, müssen Sie Version 2.3.3 nehmen.

29.08.13
- Installer für Windows auf Version 2.3.2 (32, 64 Bit) aktualisiert.
- Aufgrund eines abgelaufenen Zertifikats des verwendeten Treibers lassen sich ältere OpenVPN-Versionen häufig nicht mehr installieren.

16.05.13
- Installer für Windows auf Version 2.3.1 aktualisiert. Aufgrund von Änderungen seitens des OpenVPN-Installationsprozesses gibt es nun getrennte Varianten für 32 und 64 Bit
- Die zur Konfiguration benötigten Dateien ta.key und ca.crt haben den Präfix "hu-" bekommen, um die Unterstützung paralleler VPN-Konfigurationen zu verbessern.

22.03.13
- Installer für Windows in der Version 2.2.2 aktualisiert.
- Der Installer enthielt eine alte Version der Konfigurationsdatei (Die Einstellung "register-dns" fehlte). Dies wurde nun korrigiert.

17.02.12
- Installer für Windows aktualisiert auf 2.2.2.
- Der OpenVPN-Cluster läuft schon einige Zeit stabil nach einer einmonatigen Testphase nach Umstellung auf den neuen Cluster ist der Testbetrieb beendet.

18.01.12
- neuer OpenVPN-Cluster wurde in Betrieb genommen.


07.09.10
- Installer für Windows aktualisiert auf 2.1.3.
- die problematische 2.1.2er Version ist von der OpenVPN-Seite verschwunden. Deshalb habe ich den entsprechenden Warnhinweis oben wieder entfernt.

25.08.10
- Windows-Anleitungen an neuen Installer angepasst.
- der Windows-Client Version 2.1.2 von der OpenVPN-Seite hat Probleme mit dem mitgelieferten Treiber (Version 9.0.0.7). Unsere eigene Version ist davon nicht betroffen, da noch Treiberversion 9.0.0.6 zum Einsatz kommt.

20.08.10
- Installer für Windows aktualisiert auf 2.1.2.
- ab 2.1.2 neu eingeführte Option --register-dns in hu-berlin.ovpn übernommen


22.01.10
- Angepassten Installer für Windows online gestellt. Dieser bringt die aktuellen Konfigurationsdateien gleich mit. Die Anleitungen wurden entsprechend angepasst.


25.11.09
- Serverversionen von OpenVPN auf 2.1_rc21 umgestellt.


15.10.09
- Konfigurationsdateien von client.conf und client.ovpn in hu-berlin.conf und hu-berlin.ovpn umbenannt, weil dies die Benutzbarkeit vor allem bei Nutzung mehrerer OpenVPN-Profile verbessert.
- Die Anleitungen wurden und werden angepasst.


15.07.09
- Eintrag vom 02.07.09 angepaßt.


03.07.09 (Update 06.07.09)
- Serverseitig wird jetzt die Regel "redirect-route def1" an die Clients verteilt, wodurch statt der Ersetzung der default-Route 2 kleinere Routen (jeweils das "halbe Internet") gesetzt werden. Dadurch sollten Probleme mit dem Setzen und späteren Wiederherstellen der Default-Route wegfallen aber die gleiche Funktionalität erhalten bleiben.
Mit Version 2.1 rc18 unter Windows VISTA (32 + 64 Bit) erfolgreich getestet.

02.07.09 (Update 15.07.09)
- Bei der Verwendung von OpenVPN unter Windows VISTA muss die Benutzerkontensteuerung deaktiviert werden, damit das Setzen der Routen funktioniert. Dazu unter Start -> Systemsteuerung -> (klassische Ansicht ->) Benutzerkonten die Steuerung deaktivieren.
Alternativ kann das Ausführen des GUIs mit Administrator-Rechten veranlaßt werden (auch wenn der User bereits Admin-Rechte hat...). Siehe dazu die Hinweise in der Windows-Installationsanleitung im Punkt Installation .

22.06.09
- Eintrag vom 10.06. editiert.

19.06.09
- Die CA-Zertifikatsdatei wurde von ca.pem in ca.crt umbenannt, um Probleme beim Download zu umgehen, wodurch die Datei manchmal fälschlicherweise als ca.pem.txt gespeichert und demzufolge von OpenVPN nicht gefunden wurde. Die Konfigurationsdateien und Anleitungen wurden entsprechend angepasst.

10.06.09 (Update 06.07.09)
- Problem durch serverseitige Veränderungen gelöst (siehe Eintrag vom 03.07.09). Folgendes ist damit obsolet und steht nur aus historischen Gründen weiter auf dieser Seite:
Die OpenVPN-Version 2.1 (ab rc17) unter Windows VISTA und XP scheint Probleme mit dem Routing zu haben. Die Default-Route wird u.U. nicht richtig gesetzt (DOS-Fenster: netstat -rn). Für diesem Fall gibt es vier Lösungen:

  1. Split-Tunneling: Nur IP-Verbindungen ins HU-Netz (141.20.0.0/16) werden durch den VPN-Tunnel geschickt. Verbindungen zu Zielen außerhalb der HU laufen nicht durch den Tunnel. Dazu müssen die auskommentierten Optionen route-nopull und route 141.20.0.0 255.255.0.0 in der hu-berlin.ovpn aktiviert werden.
    Dieser Workaround ist nur für Nutzer interessant, die bereits über einen voll funktionsfähigen Internet-Zugang verfügen. Für Benutzer, die sich z.B. mit OpenVPN am WLAN HU-VPN authentifizieren, ist diese Methode ungeeignet.
  2. In der unveränderten Datei hu-berlin.ovpn wird die Option redirect-gateway def1 eingetragen. Diese Option setzt statt einer weiteren Defaultroute zwei Routen (0.0.0.0/1 und 128.0.0.0/1). Da diese Routingeinträge aufgrund der kleineren Netzmaske vor der Defaultroute Anwendung finden, spielt diese und deren Metrik keine Rolle.
  3. In der Version 2.0.9 der OpenVPN-Clientsoftware ist der Fehler unter Windows VISTA/XP nicht enthalten. Daher kann diese Version eingesetzt werden. Vor der Verwendung muss die Option remote-cert-eku in der hu-berlin.ovpn auskommentiert werden.
  4. Da der Fehler ab Release Candidate 17 auftritt, kann Version 2.1 rc16 eingesetzt werden. Diese ist unter http://www.openvpn.org/release/ zu finden.

 

02.06.09
- Aufgrund technischer Probleme war der Cluster seit mindestens Montag Abend nicht mehr erreichbar. Diese sollten seit 15 Uhr behoben sein.
- Wegen Wartungsarbeiten kann wird es zwischen 16:00 und 17 Uhr vorraussichtlich zu weiteren kurzen Ausfällen kommen.

 

26.05.09
- Wie angekündigt wurde der alte OpenVPN-Server heute außer Betrieb genommen. Bitte stellen Sie Ihre Konfiguration auf den Cluster um.
- Die neuen Konfigurationsdateien enthalten den Parameter "remote-cert-eku", welcher nicht zu OpenVPN 2.0.9 kompatibel ist. Es muss also entweder OpenVPN 2.1x eingesetzt oder die betreffende Zeile auskommentiert (# an Anfang der Zeile) werden, was problemlos möglich ist.

 


18.05.09 - Als Workaround für fehlerhaftes Einlesen der Konfigurationsdatei durch das OpenVPN-Plugin (0.7.1) für den Gnome NetworkManager wurde die Konfigurationsdatei (hu-berlin.conf) "umsortiert". - Keine inhaltlichen Änderungen.

 

15.05.09
- Wie bereits per E-Mail angekündigt, wird der OpenVPN-Testserver am 22.05. abgeschaltet. Das Gerät wird durch den OpenVPN-Cluster ersetzt, der natürlich auch im Testbetrieb läuft.

 

11.05.09
- Durch einen Bug im Gnome-Networkmanager erscheint der OpenVPN-Tunnel unter Ubuntu 8.04 unbenutzbar, da die Default-Route falsch gesetzt wird. Dieses Phänomen tritt unregelmässig auf.
Es gibt aber einen Workaround. Siehe Ubuntu-Anleitung.

 

05.05.09
- Konfigurationsdateien wurden aktualisiert. Die IP des Clusters wurde durch den DNS-Namen ersetzt und die Konfigurationsanpassungen für die Einschränkung des Tunnels auf den Netzwerkverkehr an HU-Adressen wurden in auskommentierter Form aufgenommen.

 

01-04.05.09
- Von den Störungen im Backbone war auch der OpenVPN-Cluster betroffen. Er war zw. dem 03. und 04. Mai nicht erreichbar.
 
24.04.09
- Umgestellt auf Clusterbetrieb. Die Konfigurationsdateien wurden entsprechend angepasst und müssen auf Client-Seite aktualisiert werden.

 

11.07.08
- Serverzertifikat ausgetauscht. Es kann und sollte jetzt auf die Zertifikatserweiterung nsCertType Server geprüft werden. Die Konfigurationsdateien und die Anleitung wurden entsprechend angepasst. Im Gnome Networkmanager muss dazu unter "Optional" der Haken bei "Allow server certificate without server extension" entfernt werden.
- Der OpenVPN-Konsolenclient prüft mit der neuen Konfigurationsdatei auch den CommonName des Zertifikats. Beim OpenVPN-Plugin des Networkmanagers ist dies im Moment leider noch nicht möglich. Kvpnc unterstützt die Prüfung. Allerdings funktioniert Kvpnc erst ab der Version 0.9 mit unserem OpenVPN-Server.