OpenVPN

Aus Ethersex_Wiki
Version vom 4. April 2009, 12:47 Uhr von Stesie (Diskussion | Beiträge) (Die Seite wurde neu angelegt: Die Ethersex-Firmware unterstützt inzwischen [http://openvpn.net OpenVPN]. Das heißt man kann einen verschlüsselten und authentifizierten Tunnel hin zum Ethersex ei...)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Die Ethersex-Firmware unterstützt inzwischen OpenVPN. Das heißt man kann einen verschlüsselten und authentifizierten Tunnel hin zum Ethersex einrichten und so auf sichere Art und Weise kommunizieren. Sichere Verschlüsselung wird durch den Cast5-Algorithmus im CBC-Modus erreicht. Die Authentifizierung erfolgt mittels MD5-basierter HMAC.

Dieses Feature benötigt selbstverständlich zusätzlichen Flash-Speicher, aber vielleicht gar nicht mal so viel, wie man erwarten möchte. Mit allem Drum und Dran sind es kaum mehr als 20 kB, wobei der Cast5-Algorithmus den meisten Speicher verbrät.

Konfiguration des lokalen Rechners

Nachdem es die Schlüsselerzeugung erheblich vereinfacht, sollte mit der Client-Seite, das heißt dem normalen Rechner, begonnen werden.

Eine Beispielkonfiguration könnte in etwa so aussehen:

cipher cast5-cbc
auth md5

dev tun1
port 1194
proto udp

link-mtu 400
disable-occ
remote 192.168.7.244

up /etc/openvpn/esex-up.sh
secret /etc/openvpn/esex.key

Die Zeile dev tun1 sowie die IP-Adresse der Gegenstelle (sprich die der Ethersex-Hardware) muss natürlich angepasst werden (:mrgreen:)

Darüber hinaus benötigst du ein Up-Script, oben als /etc/openvpn/esex-up.sh bezeichnen. Hier ein Beispiel:

#! /bin/sh
INTERFACE=$1; shift;
ip link set ${INTERFACE} up
ip -4 addr add 192.168.23.1 dev ${INTERFACE}
ip -4 route add 192.168.23.0/24 dev ${INTERFACE}

Die Datei muss selbstverändlich als ausführbar gekennzeichnet werden. Das Skript markiert zunächst die Schnittstelle (tun1) als UP und weist dann die IP-Adresse 192.168.23.1 als lokale IP-Adresse zu. Zuletzt wird das Subnetz 192.168.23.0/24 an das Ethersex-Modul rausgeroutet.

Um jetzt den Schlüssel zu erzeugen, reicht ein einfaches

openvpn --config /etc/openvpn/esex.conf --genkey

Konfiguration des Ethersex

Zunächst OpenVPN als Protokoll aktivieren.

Als OpenVPN key in der Konfiguration die erste Zeile von Hexadezimalstellen aus der Schlüsseldatei einfügen. Als OpenVPN HMAC key die fünfte Zeile dieser Zahlenfolgen einfügen.

Als OpenVPN IP address sollte z.B. 192.168.23.5 erfasst werden (wenn die Konfiguration von oben übernommen wird).