ITI VPN Installationshilfe

1. Allgemeine Hinweise

Das WLAN des ITI ist mit OpenVPN gegen unerlaubte Benutzung und Abhoeren gesichert. Um Das ITI WLAN nutzen zu können benötigen Sie ein Zertifikat und einen Benutzeraccount beim ITI. Das ITI WLAN können Sie über die SSID "infvpn" erreichen.

Note: Update 30.01.2023: Der Server akzeptiert jetzt nur noch das neue mitarbeiter-wlan.crt. Um Ihren Client wirklich sicher zu betreiben, tauschen Sie bitte noch das Zertifikat ca.crt durch die aktuelle Datei aus den aktuellen Konfigurationsdateien aus. Falls Sie Probleme mit dem Austausch der Zertifikate in einer bestehenden Konfiguration haben, können Sie diese löschen und wie angegeben mit den aktuellen Dateien neu importieren.

Note: Update 07.12.2022: Um einen sicheren Messagedigest einzuführen, müssen die Zertifikate ausgetauscht werden. Bitte laden Sie die neuen Konfigurationsdateien von dieser Seite herunter und verwenden die dort enthaltenen Zertifikate ca.crt mitarbeiter-wlan.crt und den zugehörigen key mitarbeiter-wlan.key. Falls Sie Probleme mit dem Austausch der Zertifikate in einer bestehenden Konfiguration haben, können Sie diese löschen und wie angegeben mit den aktuellen Dateien neu importieren. Wichtig: Bitte tauschen Sie die Zertifikate bis 29. Januar 10:00h 2023 aus. Danach werden die alten Zertifikate nicht mehr funktionieren.

Note: Update 27.10.2021: Die Option "compress lzo" wurde zum 27.10.2021 13:00h deaktiviert. Bitte deaktivieren Sie diese Option in Ihren Konfigurationen. Oder verwenden Sie die neuen hier hinterlegten Konfigurationsdateien.

Note: Update 16.11.2018: Eine neue Konfiguration mit Verbindung zu Port 443 wurde hinzugefügt. Diese kann dort verwendet werden, wo der Zugriff auf die Ports 1194 und 1196 gesperrt ist. Diese Konfiguration kann nicht bei Verbindungen über die ssid:infvpn verwendet werden.

Note: Update 24.07.2018: Die Konfigurationen wurden aktualisiert

Note: Update 08.03.2016: Neue Zertifikate. Bitte tauschen Sie ihre Zertifikate aus. Die alten Zertifikate können nicht mehr verwendet werden.

Note: Update 25.05.2009: Neue Konfiguration für Linux. Bitte deaktivieren Sie in Ihrer Konfiguration die Einträge "user nobody" und "group nogroup" oder verwenden Sie die aktuellen Konfigurationsdateien, wenn sie Probleme mit setzen der Route beim ändern der Netzwerkverbindung hatten.

Note: Update 20.05.2009: Neue Konfiguration für Tunnelblick. Bitte deaktivieren Sie in Ihrer Konfiguration die Einträge "user nobody" und "group nogroup" oder verwenden Sie die aktuellen Konfigurationsdateien, wenn sie Probleme mit dem Rücksetzen der Route nach Beenden des vpns hatten.

Note: Update 11.02.2008: Der Openvpn Server auf dem Rechner "rax6.informatik.uni-stuttgart.de" ist abgeschaltet. Bitte ändern Sie in Ihren Konfigurationsdateien die Adresse "129.69.183.96" auf "raovpn.informatik.uni-stuttgart.de", um diesen Rechner zu verwenden.

Note: Update 21.01.2008: Tunnelblick GUI für MacOS X Leopard hinzugefügt.

Note: Update 12.12.2007: Der openvpn Server zieht um auf die raovpn.informatik.uni-stuttgart.de (Dieser Rechner). Bitte ändern Sie die Einstellung in Ihren Konfigurationsdateien von "129.69.183.96" auf diese Adresse. Sollten Sie bisher die unveränderten Konfigurationsdateien vom alten Server verwendet haben, können Sie auch die aktuellen Dateien hier herunterladen und verwenden.

Note: Update 12.01.2007: Die SSID itiVPN existiert nicht mehr. Bitte benutzen Sie infvpn.

Note: Update 11.01.2007: Man kann das ITI WLAN jetzt auch mit Pocket PCs und Windows Mobile benutzen.

Note: Update 15.12.2006: Es gibt jetzt eine zweite Konfiguration (TAP) für das ITI VPN, das besseren Zugriff auf Windows Server Dienste, wie z.B. MS Exchange und Windows Daten- und Druckerfreigaben ermöglicht. Sie ist den Mitarbeitern des ITI vorbehalten. Die alte Konfiguration ist aber weiterhin (auch für Studenten des ITI) verfügbar.

Note: Mit den gleichen Einstellungen und Zertifikaten erhalten Sie auch über das Internet Zugriff auf das Uni Netzwerk und div. Online Bibliotheken wie z.B. ACM, IEEE, ...

Note: Bei Fragen rund um das ITI VPN wenden Sie sich bitte an Lothar Hellmeier oder Helmut Häfner.

2. Installation unter Linux

Linux Allgemein

Um OpenVPN zu installieren benötigen Sie:

• OpenVPN 2.x mit SSL Unterstützung
• TUN/TAP Unterstützung im Kernel
• root Rechte

Sofern Sie Ihren Kernel nicht selbst kompiliert haben, ist TUN/TAP Unterstützung höchstwahrscheinlich schon vorhanden. Ob Ihr Kernel TUN/TAP Unterstützung hat, können Sie so überprüfen.

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=y

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=m
# modprobe tun

Ihr Kernel hat keine TUN/TAP Unterstützung, falls Sie folgende Ausgaben bekommen.

# grep CONFIG_TUN /usr/src/linux/.config
# CONFIG_TUN is not set

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=m
# modprobe tun
FATAL: Module tun not found.

Sollte Ihr Kernel keine TUN/TAP Unterstützung haben, können Sie ihn selbst kompilieren.

Warning: Sie sollten den Kernel nur selbst kompilieren, wenn Sie wissen was sie tun! Sie können hier Ihr Linux bis zur Unbootbarkeit zerstören.

# cd /usr/src/linux
# make menuconfig oder
# make xconfig oder
# make gconfig
TUN/TAP finden Sie unter: 
Device drivers
 --> Network device support
    --> <*> Universal TUN/TAP device driver support oder
    --> <M> Universal TUN/TAP device driver support (als Modul kompilieren)

Haben Sie Ihren Kernel konfiguriert müssen Sie ihn noch kompilieren und installieren.

# mount /boot (nur notwendig, wenn /boot eine separate Partition ist)
# make all modules_install install

Linux GUIs

Für den normalen Gebrauch

• OpenVPN 2.x mit SSL Unterstützung
• TUN/TAP Unterstützung im Kernel
• root Rechte

Sofern Sie Ihren Kernel nicht selbst kompiliert haben, ist TUN/TAP Unterstützung höchstwahrscheinlich schon vorhanden. Ob Ihr Kernel TUN/TAP Unterstützung hat, können Sie so überprüfen.

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=y

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=m
# modprobe tun

Ihr Kernel hat keine TUN/TAP Unterstützung, falls Sie folgende Ausgaben bekommen.

# grep CONFIG_TUN /usr/src/linux/.config
# CONFIG_TUN is not set

# grep CONFIG_TUN /usr/src/linux/.config
CONFIG_TUN=m
# modprobe tun
FATAL: Module tun not found.

Sollte Ihr Kernel keine TUN/TAP Unterstützung haben, können Sie ihn selbst kompilieren.

Warning: Sie sollten den Kernel nur selbst kompilieren, wenn Sie wissen was sie tun! Sie können hier Ihr Linux bis zur Unbootbarkeit zerstören.

# cd /usr/src/linux
# make menuconfig oder
# make xconfig oder
# make gconfig
TUN/TAP finden Sie unter: 
Device drivers
 --> Network device support
    --> <*> Universal TUN/TAP device driver support oder
    --> <M> Universal TUN/TAP device driver support (als Modul kompilieren)

Haben Sie Ihren Kernel konfiguriert müssen Sie ihn noch kompilieren und installieren.

# mount /boot (nur notwendig, wenn /boot eine separate Partition ist)
# make all modules_install install

Gentoo Linux

Da OpenVPN bereits in Portage enthalten ist, müssen sie es lediglich mit emerge installieren. Das Quellpaket zu OpenVPN finden Sie hier. Speichern Sie es in /usr/portage/distfiles ab.

(Das passwordsave USE Flag ist nur notwendig, wenn Sie ihren Zugangsdaten dauerhaft speichern wollen)
# USE="ssl passwordsave" emerge -av ">=net-misc/openvpn-2.0.7"

Die zugehoerige Konfigurationsdatei und die Zertifikate bekommen sie hier. Entpacken Sie die Datei linux-20230130.tar.gz nach /etc/openvpn.

# tar -C /etc/openvpn -xvf linux-20230130.tar.gz

Um OpenVPN automatisch bei jedem Bootvorgang zu starten müssen Sie noch einen Link von /etc/init.d/openvpn nach /etc/init.d/openvpn.itivpn erstellen.

# ln -s /etc/init.d/openvpn /etc/init.d/openvpn.itivpn
# rc-update add openvpn.itivpn default

Um OpenVPN manuell zu starten geben Sie als root folgendes ein.

# /etc/init.d/openvpn.itivpn start

Important: Sie werden nach einem Benutzernamen und einem Passwort gefragt. Hier sind die Zugangsdaten Ihres ITI Accounts gefragt, nicht die des Informatik Accounts (GS Pool & Co).

Note: Sie können Ihre Zugangsdaten auch dauerhaft speichern. Dies ist aber ein potentielles Sicherheitsrisiko, da diese Daten unverschlüsselt auf der Festplatte abgelegt werden (Sie sind aber nur von root lesbar). Genauere Hinweise stehen am Ende der Konfigurationsdatei itivpn.conf bzw. itivpn-[tun|tap].ovpn.

Ubuntu Linux

Da OpenVPN bereits im APT Repository enthalten ist, müssen sie es lediglich mit apt-get installieren. Das OpenVPN Paket für Ubuntu finden Sie auf diesem Server:

• Breezy x86, amd64, powerpc
• Dapper x86, amd64, powerpc

# dpkg -i <datei>

Die zugehoerige Konfigurationsdatei und die Zertifikate bekommen sie hier. Entpacken Sie die Datei linux-20230130.tar.gz nach /etc/openvpn.

# tar -C /etc/openvpn -xvzf linux-20230130.tar.gz

Bei Ubuntu wird OpenVPN automatisch bei jedem Bootvorgang gestartet. Um OpenVPN manuell (neu) zu starten geben Sie als root folgendes ein.

# /etc/init.d/openvpn restart

Bei Verwendung des NetworkManagers kann die hier hinterlegte Konfiguration importiert werden. Entpacken Sie dazu die heruntergeladene Datei in ein Verzeichnis ihrer Wahl. Importieren Sie die *.conf Dateien in den NetworkManager über die Gui. Wählen Sie die korrekte Einstellung für den Nutzername und ob das Passwort gespeichert werden soll. Nach dem Import darf das Verzeichnis mit den enthaltenen Zertifikaten nicht gelöscht oder verschoben werden.

Important: Sie werden nach einem Benutzernamen und einem Passwort gefragt. Hier sind die Zugangsdaten Ihres ITI Accounts gefragt, nicht die des Informatik Accounts (GS Pool & Co).

Note: Sie können Ihre Zugangsdaten auch dauerhaft speichern. Dies ist aber ein potentielles Sicherheitsrisiko, da diese Daten unverschlüsselt auf der Festplatte abgelegt werden (Sie sind aber nur von root lesbar). Genauere Hinweise stehen am Ende der Konfigurationsdatei itivpn.conf bzw. itivpn-[tun|tap].ovpn.

3. Installation unter Windows

Für Windows gibt es das OpenVPN GUI Programm, welches OpenVPN gleich mitinstalliert. Sie können es hier herunterladen.

Note: Das OpenVPN GUI gibt es in mehreren Sprachen. Mehr Infos finden Sie auf der Homepage des Programms.

Installieren Sie OpenVPN GUI und entpacken Sie danach die Datei windows-20230130.zip nach C:\Program Files\OpenVPN\config (bzw. an den Ort wo Sie OpenVPN GUI installiert haben). Durch einen Doppelklick auf itivpn-[tun|tap].ovpn startet OpenVPN GUI automatisch und sitzt dann im System Tray. Achten Sie bitte darauf, dass die GUI mit Administratorrechten gestartet wird. Unter Windows Vista/7 kann dies unter Eigenschaften -- Kompatibilitätsmodus eingetragen werden. Falls man unter Windows XP mit einem Benutzeraccount arbeitet, kann dies mit Ausführen als und wählen eines administrativen Accounts erreicht werden.

4. Installation unter MacOS X

Für MacOS X gibt es das Tunnelblick Programm, welches OpenVPN gleich mitinstalliert. Sie können es hier herunterladen. Die neueste Version kann von der Webseite heruntergeladen werden.

Die Konfigurationsdateien für MacOS X bekommen sie hier.

5. Installation unter Windows Mobile für Pocket PC

Windows Mobile wird nicht mehr von uns unterstützt, von daher sind die dazu folgenden Informationen und Konfigurationsdateien veraltet.

Für Windows Mobile gibt es eine Alpha Version von OpenVPN. Sie können sie als CAB Archiv (direkt auf vom PDA aus installierbar) als Deutsche und Englische Version herunterladen.

Die zugehörigen Zertifikate: ca.crt, mitarbeiter-wlan.crt, mitarbeiter-wlan.key, ta.key. Diese müssen Sie nach der Installation von OpenVPN nach \Programme\OpenVPN\config\itivpn\ (Deutsche Version), bzw. \Program Files\OpenVPN\config\itivpn\ (Englische Version) kopieren. Die Konfigurationsdateien sind ebenfalls Sprachabhängig: itivpn-tun.ovpn und itivpn-tap.ovpn (Deutsche Version), bzw. itivpn-tun.ovpn und itivpn-tap.ovpn (Englische Version, nicht getestet).

Hier bekommen Sie Mozilla Minimo für Windows Mobile (direkt vom PDA aus installierbar)

6. Installation unter IOS und Android

7. Troubleshooting/FAQ

• Allgemein: Wenn ich OpenVPN via Internet benutze, dann verbindet es sich und bricht die Verbindung danach sofort wieder ab.
  Ursache: Es ist eine falsche Route gesetzt. Dieses Problem taucht momentan auf, wenn Sie OpenVPN über OpenVPN benutzen (z.B. OpenVPN via WLAN und daruf dann OpenVPN via Internet). An einer Lösung wird gearbeitet.
• Linux: Nach einiger Zeit funktioniert die Internetverbindung nicht mehr, bzw. man landet wieder auf dieser Seite. Mögliche Ursachen dafür sind:
  • Der udhcpc DHCP Client überschreibt die default route von OpenVPN. Loesung: Benutzen Sie dhcpcd.