Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:benutzerrechner:wlan:ovpn_laptop]] 

OpenVPN auf Laptops oder portabel auf USB-Stick

Problemstellung

Manchmal sollen (Schul-) Laptops, die von mehreren Usern genutzt werden, außer im GRÜNEN NETZ auch per unverschlüsseltem WLAN-Zugriff im BLAUEN NETZ genutzt werden. Dabei erfolgt die Sicherung über OpenVPN. Nun ergibt sich das Problem, dass es ein Sicherheitsrisiko und deshalb nicht sinnvoll ist, die privaten OpenVPN-Schlüssel der Nutzer auf so einem „öffentlich“ zugänglichen Rechner (WindowsXP und FAT) dauerhaft abzulegen. Sicherlich, der OpenVPN-Key ist passwortgeschützt, aber mit endlichem Aufwand lässt sich so ein Passwort auch knacken.

Ziel

Auf den Laptops wird nichts installiert, denn die Schüler und Lehrer haben OpenVPN-portable mit allen Daten auf einem privaten Stick. Beim Aufruf von OpenVPN wird der TAP-Adapter on-the-fly installiert und die Verbindung aktiviert. Nach der Passworteingabe wird die Verbindung aufgebaut. Am Ende der Sitzung wird die Verbindung geschlossen und der TAP-Adapter automatisch wieder deinstalliert.

Realisierung

  • Download von OpenVPNportable (Version funktioniert auch mit VISTA):

http://sourceforge.net/project/downloading.php?group_id=197129&use_mirror=surfnet&filename=OpenVPNPortable_uc_1.5.2.paf.exe&79908823

  • Datei durch Doppelklick entpacken. Dabei wird ein neues Verzeichnis „OpenVPN portable“ angelegt.
  • Im Verzeichnis OpenVPNPortable\other\OpenVPNPortableSource\ befindet sich eine .ini-Datei, die in das Hauptverzeichnis kopiert werden muss.
  • Inhalt der OpenVPNportable.ini (nach der Änderung)
    [OpenVPNPortable]
    OpenVPNDirectory=App\bin
    DriverDirectory=App\driver
    ConfigDirectory=Data\config
    LogDirectory=Data\log
    ShowSplash=false
    # Available values: ask, true
    DriverInstBehaviour=true
    # Available values: ask, true, false
    DriverUnInstBehaviour=true
    # Available values: filename.ovpn, false
    AutoConnect=false
    # This INI file is an example only and is not used unless it is placed to same path as OpenVPNPortable.exe
  • Beim Punkt „AutoConnect“ muss später von jedem User sein eigenes „xx-TO-IPCop-BLUE.ovpn“-file eingetragen werden.
  • Das ganze Verzeichnis mit der angepassten OpenVPN.ini kann dann in ein Tauschverzeichnis auf dem Server kopiert werden, von wo aus sich die User das Verzeichnis so auf den Stick kopieren, die beiden Dateien ins \data\config\-Verzeichnis kopieren und den AutoConnect-Eintrag in dere .ini vervollständigen.
  • Ideal eignet sich das in Verbindung mit der Digitalen Schultasche, bei der man den Programmaufruf zusätzlich ins Menu einträgt.

Realisierung 2

Eine Alternative, die mit dem lokalen OpenVPN arbeitet (eigentlich, um mich mit Lazarus zu beschäftigen):

Das Programm sucht nach der openvpn.exe und nach den config-Dateien, fragt ggf. nach, wo sie liegen. Man kann über eine ini-Datei die Pfade einstellen (insbesondere interessant, wer sein USB-LW immer auf den gleichen Buchstaben gelegt hat. Zusätzlich bietet die ini einen Autostart-Mechanismus, mit dem beim Start z.B. automatisch mit rot verbunden wird.

ACHTUNG: Die Software ist BETA. Den noch etwas chaotischen Sourcecode stelle ich mit ein, falls jemand Lust hat, es besser zu machen. Vorschläge gerne an mich.

  • Link zu den Binärdateien (ZIP)
  • Link zum Quelltext (ZIP)


Einträge der Ini-Datei
[startup]
auto=0 0=kein Autoconnect, 1=Autoconnect BLAU, 2=Autoconnect ROT
ovpn=C:\Programme\OpenVPN\binPfad zu openvpn
config=y:\openvpnPfad zu den .ovpn-Dateien
 [[anwenderwiki:benutzerrechner:wlan:ovpn_laptop]] anwenderwiki/benutzerrechner/wlan/ovpn_laptop.txt · Zuletzt geändert: 2013/01/03 13:35 von 127.0.0.1