Für alle AKCP SecurityProbes gibt es ab der Firmware 405J jetzt das OpenVPN Feature.
Mittels Wizzards lässt sich die OpenVPN-Verbindung nun im Handumdrehen über das Webinterface einrichten. AKCP setzt bei den Standards auf: peer Authentication, digitale Zertifikate und eine starke Verschlüsselung mit 256 Bit.
Für Anwendungsfälle mit eingeschränkter Bandbreite wie Remote-Monitoring über GSM, wird die Tunnelung von UDP unterstützt.
Die SecurityProbe eignet sich von daher als großer Ableger (mehr Sensoren, mehr Sensorports, ggf. Kameras) gegenüber der Geräte HWgroup Ares und Sequioa Argon. Für den Betrieb via GSM benötigen Sie noch das separate Modem.
Die neue Firmware ist ab sofort auf der AKCP-Website erhältlich.
Fragen? Wir helfen gern. Nehmen Sie doch mit uns Kontakt auf, wir helfen Ihnen sehr gern weiter.
NETWAYS Blog
OpenVPN mit Viscosity
Julians Post zum Thema OpenVPN ohne Tunnelblick gehört mit nahezu 2000 Views zu den hochfrequentierten Einträgen unseres Blogs.
Nach einer Bereinigung meines Macs vor einigen Tagen habe ich mir eine Alternative zu dem beschriebenen Szenario genauer angesehen. Viscosity ist eine kleine Cocoa Anwendung welche einem die Konfiguration, vor allem bei mehreren OpenVPN Verbindungen, extrem erleichtert. Nach der Installation ist lediglich die Anlage einer Konfiguration und der Import der entsprechend OpenVPN-Dateien notwendig und sofort kann die Verbindung über die Menüleiste aufgebaut werden. Viscosity-Meldungen werden wie bei vielen anderen Applikationen via Growl an den Benutzer übermittelt. Neben der Konfiguration der Verbindungen, gibt das Tool auch Aufschluss über die aktuelle Verbindung, Traffic, IP und eine Sicht auf das Logfile.
Das Tool ist aktuell für 9$, also 6,34 Euro zu haben, die aus meiner Sicht nicht schlecht angelegt sind.
OpenVPN unter Leopard ohne Tunnelblick
Bernd hat neulich ja schon mal über OpenVPN geschrieben: Wie man damit beispielsweise die Internetzensur in China umgehen könnte. Wir setzten OpenVPN auch intern als VPN Lösung ein und verbinden damit die beiden Rechenzentren mit unserem Büro und ermöglichen den Notebook Usern von unterwegs Zugriff auf alle notwendigen Ressourcen. Der große Vorteil von OpnVPN in diesem Szenario ist, dass es den Client für alle wichtigen Betriebssysteme gibt: Linux, Windows und Mac OS X.
Für den Mac gibt es vor allem das Tunnelblick Projekt, das OpenVPN zusammen mit einer GUI ausliefert. Das Programm ist schnell und einfach zu installieren und erlaubt dem User die VPN Verbindungen selbst zu steuern. Leider ist die Version für Leopard sehr instabil, denn sie ist bei mir immer wieder abgestürzt, so dass ich OpenVPN manuell killen und dann Tunnelblick neustarten musste. Dazu kommt, dass ich die GUI eigentlich gar nicht brauche. Als ich noch ein Windows Notebook hatte, hab ich OpenVPN als Dienst installiert, so dass es, wann immer möglich, automatisch eine VPN Verbindung aufgebaut hat.
Das wollte ich auch unter dem Mac wieder haben: Ein stabiles OpenVPN, keine GUI und das ganze vollkommend automatisch und transparent laufend. Mit MacPorts geht das und hier ist die Anleitung, wie man das ganze unter Leopard installiert und konfiguriert:
- Installation von Mac Ports
- Installieren der Apple Xcode 3.0 Developer Tools von der Apple CD
- Installieren der Apple X11 User und SDK Pakete von der Apple CD
- Herunterladen und Installieren des DMG Archivs von der MacPorts Website
- Installation von OpenVPN unter MacPorts
sudo port selfupdate
sudo port install openvpn2
- Installation des TUN/TUP Treibers für OS X von SourceForge
- Anlegen der Konfigurationsdateien
sudo mkdir /etc/openvpn2
- Nun erstellt man sich eine entsprechende OpenVPN Kopnfiguration oder nimmt eine bestehende und kopiert dies, zusammen mit den Zertifikaten in diesen Ordner
- Als nächstes kann man OpenVPN testweise manuell starten:
sudo /opt/local/sbin/openvpn2 /etc/openvpn2/myconfig.conf
- Wenn man möchte, dass OpenVPN automatisch als Demon startet, legt man sich eine entsprechende Datei an
sudo touch /Library/LaunchDaemons/net.openvpn2.plist
- Danach meldet man den Demon im System an, und er startet automatisch:
sudo launchctl load -w /Library/LaunchDaemons/net.openvpn2.plist
- Ich hatte noch Probleme mit den Namensservern, aber da bei uns alle internen Namen sowieso über einen internen DNS Server aufgelöst werden, kann man /etc/resolver benutzen. Dazu legt man in diesem Verzeichnis pro Domain, für die man einen anderen Namensserver verwenden will, ein File an und schreibt dort seine Namensserver rein. Beispielsweise:
touch /etc/resolver/int.meinefirma.de
mit folgendem Inhalt:
nameserver 192.168.1.10
nameserver 192.168.1.11
Und konfiguriert in der Datei seinen Demon:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>net.openvpn2</string> <key>OnDemand</key> <false/> <key>ProgramArguments</key> <array> <string>/opt/local/sbin/openvpn2</string> <string>--cd</string> <string>/etc/openvpn2</string> <string>--config</string> <string>/etc/openvpn2/netways.conf</string> </array> <key>RunAtLoad</key> <true/> <key>TimeOut</key> <integer>90</integer> <key>WatchPaths</key> <array> <string>/etc/openvpn2</string> </array> <key>WorkingDirectory</key> <string>/etc/openvpn2</string> </dict> </plist>
Das wars. OpenVPN ist damit installiert und läuft im Hintergrund als Demon. Wenn es im Einzelfall Probleme mit OpenVPN gibt, killt man einfach den Demon und Launchd startet ihn dann automatisch wieder neu. OpenVPN baut im Hintergrund, sobald es das Gateway erreichen kann eine VPN Verbindung auf. Wichtig ist, dass man innerhalb von OpenVPN die passenden Routen setzt oder sie vom Server an den Client pushen lässt. Bei uns blockiert die Firewall im Büro das VPN Gateway, so dass es da keine Verbindung aufbauen kann. Es geht nur ausserhalb des Büros.
Bei mir läuft das jetzt mehr als 6 Monate sehr stabil. Immer wenn ich Probleme hatte und dachte es liegt an OpenVPN hat sich nachher herausgestellt, dass es doch etwas anderes war. Tunnelblick vorher, ist mir mindestens zweimal pro Tag abgestürzt.
"Barrierefrei" mit OpenVPN
Das Problem, bestimmte Netzdienste oder ganze IP-Bereiche nicht zu erreichen, ist für Journalisten bei der Olympiade zwar eine bittere Erfahrung, aber in der IT-Welt längst nichts Neues. In jeder größeren Firma verhindern die Firewalls Dienste wie Jabber, RDP, POP oder ähnliches. Dieses Problem lässt sich sehr einfach mit einem VPN-Tunnel auf den eigenen Server und dessen Nutzung für den Zugang in die weite Welt umgehen.
Bei den meisten kommerziellen VPN-Lösungen sind jedoch ebenfalls dedizierte Ports notwendig um eine solche Verbindung zu etablieren. Und damit können sie natürlich auch wieder gefiltert werden. Anders sieht das ganze bei OpenVPN aus. Ohne größere Mühen kann man den Server auf den Port 443 konfigurieren, der aufgrund des notwendigen SSL-Zugriffs meist auf den Firewalls geöffnet ist und somit eine Verbindung zum eigenen VPN-Server aufbauen. Somit ist dann auch die Nutzung entsprechender Dienste und vor allem eine sichere Übertragung möglich.
Neben diesen etwas unorthodoxen Möglichkeiten ist OpenVPN auch eine praktische Lösung, verschiedene Standorte sicher zu vernetzen oder Road Warriors mit Laptops an die Firmenzentrale anzubinden.