VPN Dokumentation

Grundsätzliches

Jeder Teilnehmer bekommt ein Class B Subnetz aus dem Bereich 10.0.0.0/8 zugewiesen.
Die Netze 10.0.0.0/16 und 10.255.0.0/16 sind reserviert.
Jeder Teilnehmer muss ein gültiges X509 Zertifikat - ausgestellt auf seinen Hostnamen - besitzen (vorzugsweise von CAcert, da kostenlos).

Aufteilung der jeweiligen Subnetze

Netzaufteilung

10.x.0.0/24: spezielle individuelle Verwendung (z.B. Management, Transfernetz, …)
10.x.1.0 - 10.x.9.0/24: private Netze (Server, Clients, …)
10.x.10.0/24: DMZ Netz
10.x.11.0/24: VPN Netz (Diese Netze sollen nur über VPN erreichbar sein, z.B. für Serverdienste)
10.x.12.0/25: VPN dynamisches Client Netz (Adressen aus diesem Netz koennen zb. Notebooks, welche in das Netz einwaehlen, dynamisch zugewiesen werden)
10.x.12.128/25: VPN festes Client Netz (Adressen aus diesem Netz koennen zb. Notebooks, welche in das Netz einwaehlen, fest zugewiesen werden)
10.x.20.0/24: WLAN Netz
10.x.255.0/24: spezielle individuelle Verwendung (z.B. Management, Transfernetz, …)

Hostaufteilung

10.x.x.1: Gateway
ab 10.x.x.10: Server
ab 10.x.x.50: Clients

Für andere Geräte wurden keine Regeln festgelegt. Diesen können beliebige IP Adressen zugewiesen werden.

OpenVPN Konfiguration

port

Definition

Der auf beiden Seiten des OpenVPN Tunnel zu verwendende OpenVPN Port setzt sich wie folgt zusammen: 88 + kleineresOktett + größeresOktett

Folgendes gilt:

Oktett = Dezimalwert des zweiten Oktetts des Teilnehmers (Beispiel: Netz des Teilnehmers: 10.21.0.0/16 → Oktett: 21)
Sollte der Port den Bereich gültiger Ports übersteigen (> 65536), dann sind am Anfang so lange '8' wegzulassen, bis der Port in einen gültigen Bereich gelangt.
Für zwei dreistellige Oktette wird (wenn es jemals so weit kommt) eine Sonderregelung erlassen.

Beispiel

Netz 1: 10.21.0.0/16
Netz 2: 10.9.0.0/16

Das zweite Oktett von Netz 2 ('9') ist kleiner als das zweite Oktett von Netz 1 ('21'). Da das Ergebnis größer 65536 wäre, wird am Anfang eine 8 weggelassen. Die Formel zum Bau des Ports lautet: 8 + 9 +21. Der zu verwendende Port lautet also: 8921

Ausnahme

Der Port 8800 ist fuer interne VPN Tunnel, sozusagen fuer die Verwendung des Server Client Prinzips in Verbindung mit dem dafuer reservierten Netz 10.x.12.0/24, reserviert.

ifconfig

Definition

Die ifconfig Option definiert die Point-to-Point IP Adressen für das virtuelle tun Interface. Für diese Adressen wird das 10.0.0.0/16 Netz verwendet.

Die IP Adressen bauen sich wie folgt auf: 10.0. <zweites Oktett des lokalen Subnetzes> . <zweites Oktett des remote Subnetzes> Es muss immer zuerst die lokale IP Adresse und anschließend die IP Adresse des Partners angegeben werden. Für die IP Adresse des Partners muss die Betrachtungsweise natürlich umgekehrt werden (oder besser gesagt: es muss aus der Richtung des Partners betrachtet werden).

Beispiel

Netz 1: 10.21.0.0/16
Netz 2: 10.9.0.0/16

Der Konfigurationseintrag sollte in Netz 1 wie folgt aussehen:

ifconfig 10.0.21.9 10.0.9.21

Der Konfigurationseintrag sollte in Netz 2 wie folgt aussehen:

ifconfig 10.0.9.21 10.0.21.9

tls-server/tls-client

Definition

Eine der beiden Seiten muss der tls-server sein, die andere Seite der tls-client. Es ist völlig irrelevant, welche Seite welche Rolle übernimmt. Das in tls-auth benannte keyfile sollte für jeden Tunnel einzigartig sein und vom tls-server erzeugt werden (mittels openvpn –genkey).

Vergebene IP Subnetze

Subnetz	Vergeben an	externe Hostadresse	DNS Domain(s)	Nameserver	Admin E-Mail	Kommentare
10.1.0.0/16	Markus Schuster	g84.dyndns.org	cash-zone.local 1.10.in-addr.arpa	10.1.1.1	markus@cash-zone.local
10.2.0.0/16	Florian Zavatzki	sol.homelinux.org	blue-network.local 2.10.in-addr.arpa	10.2.1.11	bc@blue-network.local
10.3.0.0/16	Roland Weber	94060rj-weber2006.dyndns.org	rj-weber.local 0.3.10.in-addr.arpa 1.3.10.in-addr.arpa 10.3.10.in-addr.arpa 11.3.10.in-addr.arpa 20.3.10.in-addr.arpa 25.3.10.in-addr.arpa	10.3.1.1	administrator@rj-weber.de
10.4.0.0/16	Andreas Schiermeier	vpn-itpa-as.procolli.de	schiermi.local (18.06.07) pixelinfarkt.de (18.06.07) 4.10.in-addr.arpa { 0.4.10.in-addr.arpa (18.06.07) 1.4.10.in-addr.arpa (18.06.07) 10.4.10.in-addr.arpa (18.06.07) }	10.4.1.2	schiermi@schiermi.local	schneller als Roland ;)
10.255.0.0/16	Global	hell.local			belzebub@hell.local	Endpoint WAN Tunnel - Testphase

kritische IP-Adressen

10.6.6.6: virtuelle PtP-IP vieler Mobiltelefone bei der GPRS/UMTS-Einwahl
10.64.64.64: virtuelle Fallback PtP-IP des PPPD wenn im PPP-Dialog keine andere mitgeteilt wurde (z.B. UMTS-Karten)

Beispiel OpenVPN Konfiguration

Diese Beispielkonfiguration verbindet die beiden Netze 10.1.0.0/16 und 10.2.0.0/16.

WICHTIG: server.dyndns.org-tlsauth.key und client.dyndns.org-tlsauth.key besitzen den gleichen Inhalt und sind nur zur leichteren lokalen Handhabung unterschiedlich benannt.

tls-server (10.1.0.0/16)

openvpn-server.conf

remote client.dyndns.org
proto udp
dev tun2
persist-tun
persist-key
ifconfig 10.0.1.2 10.0.2.1
port 8812

comp-lzo

float
keepalive 10 60

daemon
management localhost 8812

keysize 256

tls-server
tls-auth client.dyndns.org-tlsauth.key
tls-remote client.dyndns.org
ca x509.crt/cacert.crt
cert x509.crt/server.dyndns.org.crt
key x509.key/server.dyndns.org.key

route 10.2.0.0 255.255.0.0

user nobody
group nogroup

tls-client (10.2.0.0/16)

openvpn-client.conf

remote server.dyndns.org
proto udp
dev tun1
persist-tun
persist-key
ifconfig 10.0.2.1 10.0.1.2
port 8812

comp-lzo

float
keepalive 10 60

daemon
management localhost 8812

keysize 256

tls-client
tls-auth server.dyndns.org-tlsauth.key
tls-remote server.dyndns.org
ca x509.crt/cacert.crt
cert x509.crt/client.dyndns.org.crt
key x509.key/client.dyndns.org.key

route 10.1.0.0 255.255.0.0

user nobody
group nogroup