HOWTO OpenVPN unter Apple MacOS-X als Client verwenden

Für MacOS-X Clients gibt es die bereits im vorherigen HOWTO (http://simonox.blogspot.com/2007/11/howto-openvpn-unter-apple-macos-x.html) angesprochene Software „Tunnelblick“. Diese Software ist eine grafische Benutzeroberfläche für OpenVPN, die alle notwendigen Treiber gleich mitbringt. Einem Benutzer, der nur einen Client verwenden möchte, ist es i.d.R. nicht zuzumuten, auf der Kommandozeile Pakete zu installieren und einzurichten. „Tunnelblick“ haben wir bereits im letzten Teil des HOWTOs heruntergeladen und auf einem USB-Stick gesichert. Auf dem USB-Stick befinden sich ebenfalls Zertifikate, die auf dem Server erzeugt wurden.

Kurz gesagt muss man nur „Tunnelblick“ in das Application-Verzeichnis kopieren, einen Ordner „~/Library/openvpn“ erstellen und dort die Zertifikate hinkopieren. Anschließend kann man Tunnelblick starten, den Server einrichten und OpenVPN benutzen. Trotzdem an dieser Stelle eine Step-by-Step-Anleitung.

Das Diskimage von Tunnelblick aktivieren wir und ziehen das Tunneblick-Icon in den Programm-Ordner. Anschließend legen wir mit dem Finder unter dem Heimverzeichnis (erkennbar am Haus-Icon) im Library-Unterverzeichnis ein Unterverzeichnis „openvpn“ an (�~/Library/openvpn). In dieses Verzeichnis kopieren wir mit dem Finder die Zertifikate und die Konfiguration vom USB-Stick:

* ca.crt
* iBook-cert.pem
* iBook-key.pem

Nun können wir Tunnelblick starten. Es erscheint in der Menüleiste als Icon, das aussieht wie ein Eisenbahntunnel. Tunnelblick legt automatisch eine openvpn.conf-Datei im gleichen Ordner an, in dem die Zertifikate liegen. Diese Konfigurationsdatei muss man bearbeiten, um sich mit dem eigenen Server zu verbinden. Dazu muss man die richtigen Textstellen finden und durch eigene Konfiguration ersetzten.

Um mit dem Server, der im letzten HOWTO installiert und gestartet wurde, eine Verbindung aufzubauen, sind folgende Stellen in der Konfigurationsdatei zu ersetzen. Die Host-Adresse „myserver.dyndns.org“ ist entsprechend anzupassen:


remote myserver.dyndns.org 443

ca ca.crt
cert iBook-cert.pem
key iBook-key.pem

cipher AES-256-CBC

dev tun

proto udp

port 443

Nun können wir auf das Tunnelblick-Symbol klicken und „Verbinden: openvpn“ wählen. Die Verbindung sollte zustande kommen. Falls die Verbindung zustande kommt, sollte man sich die Konfigurationsdatei unter „~/Library/openvpn“ sichern, um sie als Template für weitere Client-Installationen verwenden zu können.

Nun kann man z.B. ein SMB-Share mounten, einen HTTP-Proxy ansprechen usw. Der OpenVPN-Server selbst ist unter der im Server konfigurierten IP-Adresse 10.8.0.1 zu erreichen. Tunnelblick hat die Option, automatisch eine Verbindung zum OpenVPN-Server aufzubauen. Dies ist praktisch, da diese auch aufgebaut wird, wenn das Client-Notebook einmal abhanden kommen sollte. Dazu muss allerdings eingestellt sein, dass sich ds iBook automatisch mit offenen Netzwerken konnektiert. OpenVPN läuft nämlich natürlich nur dann, wenn auch eine Internet-Verbindung besteht.

Wenn sich das iBook mit dem OpenVPN-Server konnektiert, kann man in der OpenVPN-Server-Log-Datei wenigstens erkennen, von welcher IP-Adresse aus sich das Notebook einloggt. In der Log-Datei des Servers kann man nämlich die einzelnen Verbindungen erkennen. Diese sehen wie folgt aus:


OpenVPN CLIENT LIST
Updated,Sat Nov 10 23:10:41 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
iBook,XX.XX.XX.XX:60347,13180,13895,Sat Nov 10 22:49:34 2007
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,iBook,XX.XX.XX.XX:60347,Sat Nov 10 22:49:35 2007
GLOBAL STATS
Max bcast/mcast queue length,0
END

Dies bedeutet, dass eine Verbindung vom Rechner, auf dem das iBook-Zertifikat liegt und der die IP-Adresse xx.xx.xx.xx hat, eine Verbindung aufgebaut wurde. Dieser Client-Rechner hat die VPN-IP-Adresse 10.8.9.6 bekommen.

Sollte das Notebook abhanden kommen, sollte man irgendwann natürlich das Zertifikat des Clients zurückziehen. Dies geschieht auf dem Server wie folgt:


sudo openssl ca -revoke /certs/iBook-cert.pem
sudo openssl ca -gencrl -out crl.pem

Das Zurückziehen des Zertifikats muss man dem OpenVPN-Server bekannt machen:


sudo /bin/sh -c "cat ca.crt crl.pem >/etc/openVPN/revoke.pem"

Das Überprüfen der zurückgezogenen Zertifikate muss man in der Konfigurationsdatei des OpenVPN-Servers einstellen:


crl-verify /etc/openvpn/revoke.pem

7 Gedanken zu „HOWTO OpenVPN unter Apple MacOS-X als Client verwenden“

  1. Hallo, bin Spanier und mein Deutsch ist noch nicht so gut, aber ich versuche es. Ich habe Internet Verbindung mit Tunnelblick (in einem MacBook Pro mit OSX 10.4.11)aber vor ein Paar Tage funktioniert nicht mehr. Ich habe nichts in meiner Konfiguration verändert… vielleicht eine Aktualisierung hat etwas in meiner Konfiguration verändert? Ich bin ein ganz normales „plane user“ und ich habe darüber keine Ahnung. Hier ist der Log meines Tunnelblicks:
    Thu 12/13/07 11:54 PM: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Thu 12/13/07 11:54 PM: Re-using SSL/TLS context
    Thu 12/13/07 11:54 PM: LZO compression initialized
    Thu 12/13/07 11:54 PM: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 12/13/07 11:54 PM: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Thu 12/13/07 11:54 PM: Local Options hash (VER=V4): ‚94012f71‘
    Thu 12/13/07 11:54 PM: Expected Remote Options hash (VER=V4): ‚f2dba00b‘
    Thu 12/13/07 11:54 PM: UDPv4 link local: [undef]
    Thu 12/13/07 11:54 PM: UDPv4 link remote: 192.168.100.1:1195
    Thu 12/13/07 11:54 PM: event_wait : Interrupted system call (code=4)
    Thu 12/13/07 11:54 PM: TCP/UDP: Closing socket
    Thu 12/13/07 11:54 PM: process exiting
    Thu 01/01/70 01:00 AM: SUCCESS: pid=4651
    Thu 01/01/70 01:00 AM: SUCCESS: real-time state notification set to ON
    Thu 01/01/70 01:00 AM: SUCCESS: real-time log notification set to ON
    Thu 12/13/07 11:54 PM: OpenVPN 2.1_rc15 i386-apple-darwin9.5.0 [SSL] [LZO2] built on Nov 19 2008
    Thu 01/01/70 01:00 AM: END
    Thu 01/01/70 01:00 AM: SUCCESS: hold release succeeded
    Thu 12/13/07 11:54 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu 12/13/07 11:54 PM: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Thu 12/13/07 11:54 PM: WARNING: file ‚040-gabriel_incertis_jarillo.key‘ is group or others accessible
    Thu 12/13/07 11:54 PM: LZO compression initialized
    Thu 12/13/07 11:54 PM: Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 12/13/07 11:54 PM: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Thu 12/13/07 11:54 PM: Local Options hash (VER=V4): ‚94012f71‘
    Thu 12/13/07 11:54 PM: Expected Remote Options hash (VER=V4): ‚f2dba00b‘
    Thu 12/13/07 11:54 PM: or –up-delay
    Thu 12/13/07 11:54 PM: UDPv4 link local: [undef]
    Thu 12/13/07 11:54 PM: UDPv4 link remote: 192.168.100.1:1195

    Danke (kannst du vielleicht mich an diese addresse antworten: incertis@gmx.de)

  2. [u][b]Xrumer[/b][/u]

    [b]Xrumer SEO Professionals

    As Xrumer experts, we have been using [url=http://www.xrumer-seo.com]Xrumer[/url] quest of a large leisure now and remember how to harness the colossal power of Xrumer and build it into a Cash machine.

    We also provide the cheapest prices on the market. Many competitors will expect 2x or square 3x and a lot of the continuously 5x what we charge you. But we have faith in providing gigantic service at a small affordable rate. The whole something of purchasing Xrumer blasts is because it is a cheaper surrogate to buying Xrumer. So we train to abide by that contemplating in recollection and outfit you with the cheapest grade possible.

    Not just do we be suffering with the best prices but our turnaround in the good old days b simultaneously after your Xrumer posting is wonderful fast. We intention secure your posting done in the forefront you certain it.

    We also produce you with a full log of affluent posts on manifold forums. So that you can get the idea for yourself the power of Xrumer and how we get harnessed it to help your site.[/b]

    [b]Search Engine Optimization

    Using Xrumer you can expect to see thousands upon thousands of backlinks over the extent of your site. Myriad of the forums that your Location you will be posted on oblige acute PageRank. Having your association on these sites can truly mitigate build up some top quality help links and uncommonly riding-boot your Alexa Rating and Google PageRank rating via the roof.

    This is making your site more and more popular. And with this inflate in regard as well as PageRank you can think to lead your site definitely downright high-pitched in those Search Motor Results.
    Conveyance

    The amount of transportation that can be obtained nearby harnessing the power of Xrumer is enormous. You are publishing your plat to tens of thousands of forums. With our higher packages you may still be publishing your locality to HUNDREDS of THOUSANDS of forums. Ponder 1 post on a stylish forum disposition usually cotton on to a leave 1000 or so views, with communicate 100 of those people visiting your site. Now assume tens of thousands of posts on popular forums all getting 1000 views each. Your freight will withdraw at the end of one's tether with the roof.

    These are all targeted visitors that are interested or bizarre nearly your site. Deem how divers sales or leads you can achieve with this colossal figure up of targeted visitors. You are line for line stumbling upon a goldmine bright to be picked and profited from.

    Keep in mind, Above is Money.
    [/b]

    TRAVERSE B RECOVER YOUR CHEAP ERUPTION TODAY:

    http://www.xrumer-seo.com

  3. Jibe Our Contemptible Prices at http://www.Pharmashack.com, The Unmixed [b][url=http://www.pharmashack.com]Online Apothecary's [/url][/b] To [url=http://www.pharmashack.com]Buy Viagra[/url] Online ! You Can also Details to Greater Deals When You [url=http://www.pharmashack.com/en/item/cialis.html]Buy Cialis[/url] and When You You [url=http://www.pharmashack.com/en/item/levitra.html]Buy Levitra[/url] Online. We Also Be subjected to a Gloomy Generic [url=http://www.pharmashack.com/en/item/phentermine.html]Phentermine[/url] In impaired of Your Nutriment ! We Unfold away Socking dram marque [url=http://www.pharmashack.com/en/item/viagra.html]Viagra[/url] and Also [url=http://www.pharmashack.com/en/item/generic_viagra.html]Generic Viagra[/url] !

  4. Subvention to pass the zoological with two backs casinos? ruminate on this stylish [url=http://www.realcazinoz.com]casino[/url] advisor and wing it denigrate online casino games like slots, blackjack, roulette, baccarat and more at http://www.realcazinoz.com .
    you can also go into our redesigned [url=http://freecasinogames2010.webs.com]casino[/url] go by along as a consequence at http://freecasinogames2010.webs.com and wave the overcharge the suggestion special apportionment !
    another suppletive [url=http://www.ttittancasino.com]casino spiele[/url] confine of events is http://www.ttittancasino.com , as opposed to of german gamblers, pressurize manumitted online casino bonus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.