{{tag>openvpn wlan laptop usb-stick blauesnetz}} ====== OpenVPN auf Laptops oder portabel auf USB-Stick ====== dazu siehe auch [[blauen_netz|WLAN-Anbindung im Blauen Netz, unverschlüsseltes WLAN, Sicherung mit OVPN]] ===== Problemstellung ===== Manchmal sollen (Schul-) Laptops, die von mehreren Usern genutzt werden, außer im GRÜNEN NETZ auch per unverschlüsseltem WLAN-Zugriff im BLAUEN NETZ genutzt werden. Dabei erfolgt die Sicherung über OpenVPN. Nun ergibt sich das Problem, dass es ein Sicherheitsrisiko und deshalb nicht sinnvoll ist, die privaten OpenVPN-Schlüssel der Nutzer auf so einem "öffentlich" zugänglichen Rechner (WindowsXP und FAT) dauerhaft abzulegen. Sicherlich, der OpenVPN-Key ist passwortgeschützt, aber mit endlichem Aufwand lässt sich so ein Passwort auch knacken. ===== Ziel ===== Auf den Laptops wird nichts installiert, denn die Schüler und Lehrer haben OpenVPN-portable mit allen Daten auf einem privaten Stick. Beim Aufruf von OpenVPN wird der TAP-Adapter on-the-fly installiert und die Verbindung aktiviert. Nach der Passworteingabe wird die Verbindung aufgebaut. Am Ende der Sitzung wird die Verbindung geschlossen und der TAP-Adapter automatisch wieder deinstalliert. ===== Realisierung ===== * Download von OpenVPNportable (Version funktioniert auch mit VISTA): [[http://sourceforge.net/project/downloading.php?group_id=197129&use_mirror=surfnet&filename=OpenVPNPortable_uc_1.5.2.paf.exe&79908823]] * Datei durch Doppelklick entpacken. Dabei wird ein neues Verzeichnis "OpenVPN portable" angelegt. * Im Verzeichnis OpenVPNPortable\other\OpenVPNPortableSource\ befindet sich eine .ini-Datei, die in das Hauptverzeichnis kopiert werden muss. * Inhalt der OpenVPNportable.ini (nach der Änderung) [OpenVPNPortable] OpenVPNDirectory=App\bin DriverDirectory=App\driver ConfigDirectory=Data\config LogDirectory=Data\log ShowSplash=false # Available values: ask, true DriverInstBehaviour=true # Available values: ask, true, false DriverUnInstBehaviour=true # Available values: filename.ovpn, false AutoConnect=false # This INI file is an example only and is not used unless it is placed to same path as OpenVPNPortable.exe * Beim Punkt "AutoConnect" muss später von jedem User sein eigenes "xx-TO-IPCop-BLUE.ovpn"-file eingetragen werden. * Das ganze Verzeichnis mit der angepassten OpenVPN.ini kann dann in ein Tauschverzeichnis auf dem Server kopiert werden, von wo aus sich die User das Verzeichnis so auf den Stick kopieren, die beiden Dateien ins \data\config\-Verzeichnis kopieren und den AutoConnect-Eintrag in dere .ini vervollständigen. * Ideal eignet sich das in Verbindung mit der Digitalen Schultasche, bei der man den Programmaufruf zusätzlich ins Menu einträgt. ===== Realisierung 2 ===== Eine Alternative, die mit dem lokalen OpenVPN arbeitet (eigentlich, um mich mit [[http://www.lazarus.freepascal.org|Lazarus]] zu beschäftigen): Das Programm sucht nach der openvpn.exe und nach den config-Dateien, fragt ggf. nach, wo sie liegen. Man kann über eine ini-Datei die Pfade einstellen (insbesondere interessant, wer sein USB-LW immer auf den [[version3:laufwerksbuchstaben|gleichen Buchstaben]] gelegt hat. Zusätzlich bietet die ini einen Autostart-Mechanismus, mit dem beim Start z.B. automatisch mit rot verbunden wird. ACHTUNG: Die Software ist BETA. Den noch etwas chaotischen Sourcecode stelle ich mit ein, falls jemand Lust hat, es besser zu machen. Vorschläge gerne an mich. * [[http://www.corvinianum.de/download/ovpnstarter-bin.zip|Link]] zu den Binärdateien (ZIP) * [[http://www.corvinianum.de/download/ovpnstarter-src.zip|Link]] zum Quelltext (ZIP) \\ ^ Einträge der Ini-Datei ^^ |''[startup]'' | | |''auto=0'' |0=kein Autoconnect, 1=Autoconnect BLAU, 2=Autoconnect ROT| |''ovpn=C:\Programme\OpenVPN\bin''|Pfad zu openvpn| |''config=y:\openvpn''|Pfad zu den .ovpn-Dateien|