VPN Server im USC

Constan · July 24, 2009, 8:26pm

Ich würde mir ein integrierten VPN Server im USC wünschen in dem man dann ganz einfach die Einstellungen vornehmen kann oder Bernutzer in die VPN Gruppe nehmen kann.

OpenVPN würde ja schon reichen.

Das leben wäre doch so schön.

Gruß

Meybohm · July 27, 2009, 1:02pm

Hallo,

ich habe bzgl. der OpenVPN Integration in die Management Tools einen Feature Request in unserem Bug-Tracking System angelegt. Vielen Dank für die Anregung.

Pakete für OpenVPN unter UCS (ohne die Möglichkeit einer automatischen Konfiguration) können Sie aus unserem Online-Repository (apt.univention.de) beziehen.

Mit freundlichen Grüßen
Janis Meybohm

lcx · July 28, 2009, 5:23pm

das wuerde mich auch sehr interessieren

Constan · July 29, 2009, 8:37pm

Danke für die Aufnahme “vorfreude ;-)”, jedoch ohne automatischen Konfiguration kann ich dies leider nicht so einsetzen. Nutze daher noch den OpenVPN AS.

Würde nur ne Menge Lizenzkosten sparen wenn eine Art OpenVPN AS der auch so leicht zu konfigurieren ist dabei wäre.

Gruß

ahrnke · September 21, 2010, 8:43am

Da ich den erwähnten Featurerequest im Bugzilla nicht gefunden habe, nehme ich an, dass er noch nicht freigeschaltet wurde.
Wie ist hier der Stand der Dinge?

Meybohm · September 21, 2010, 3:11pm

Hallo,

das ist korrekt, ich habe den Eintrag hetzt Freigeschaltet: forge.univention.org/bugzilla/s … i?id=15202

Eine Planung gibt es diesbezüglich noch nicht.

Mit freundlichen Grüßen
Janis Meybohm

SirTux · July 18, 2011, 8:44am

Hallo,

wurde da inzwischen eigentlich mal etwas geplant?

Meybohm · July 18, 2011, 2:10pm

Hallo,

hier gibt es bisher keine weiteren Planungen. Um über eventuelle Entwicklungen auf dem laufenden gehalten zu werden, können Sie sich an [bug]15202[/bug] in die “CC list” eintragen.

Mit freundlichen Grüßen
Janis Meybohm

Kuranis · July 30, 2013, 2:57pm

Hallo!

Auch mich würde für einen Kunden und im Grundsatz die Integration eines VPN-Servers interessieren.
Der Kunde selber möchte seinen Mitarbeitern gesicherte VPN-Verbindungen zum UCS erlauben und natürlich auch kontrollieren. Daher wäre eine Integration in die Oberfläche pflegeleichter.
Ist hierzu inzwischen etwas erfolgt?

ahrnke · July 31, 2013, 8:06am

[quote=“Kuranis”]Hallo!

Auch mich würde für einen Kunden und im Grundsatz die Integration eines VPN-Servers interessieren.
Der Kunde selber möchte seinen Mitarbeitern gesicherte VPN-Verbindungen zum UCS erlauben und natürlich auch kontrollieren. Daher wäre eine Integration in die Oberfläche pflegeleichter.
Ist hierzu inzwischen etwas erfolgt?[/quote]

Ich habe den Verweis zu Ihrer Anfrage mal in [bug]15202[/bug] eingetragen.

ahrnke · July 31, 2013, 11:59am

Alternativ könnte man den VPN Server auch als App realisieren.
Vote for App!

Teydin · September 14, 2015, 7:25am

Ich habe das nur im Apple Store.

gier_do · February 21, 2016, 7:11pm

Ich habe openvpn mit dem openvpn-auth-ldap Modul am laufen.
So muss es nur einmal konfiguriert werden, ab da können berechtigte Nutzer über die UCS Nutzerverwaltung verwaltet werden.
Läuft völlig problemlos.

Bei Bedarf würde ich die Konfiguration hier posten.

gier_do · February 22, 2016, 10:37am

Hier ist die server.conf:

port 1194
mode server
proto udp

dev tun
script-security 2


ca ca.crt
cert server.crt
key server.key 

dh dh2048.pem

server 10.65.75.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 192.168.2.4 255.255.255.255"
push "route 192.168.2.5 255.255.255.255"
push "route 192.168.2.6 255.255.255.255"

topology subnet


push "dhcp-option DNS 192.168.2.4"
push "dhcp-option DOMAIN domain.de"
push "dhcp-option WINS 192.168.2.4"
keepalive 10 120

comp-lzo
max-clients 15

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

log-append  /var/log/openvpn.log
verb 3

mute 20

plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/auth-ldap.conf
client-cert-not-required

Hier ist die auth/auth-ldap.conf
Member der Gruppe “vpn” dürfen sich verbinden.

<LDAP>
	# LDAP server URL
	URL		ldaps://my.domain.de:7636

	# Bind DN (If your LDAP server doesn't support anonymous binds)
	BindDN		uid=ldapqueryuser,cn=users,dc=domain,dc=de

	# Bind Password
	# Password	SecretPassword
	Password	ldapqueryuserpasswort

	# Network timeout (in seconds)
	Timeout		15

	# Enable Start TLS
	# TLSEnable	yes

	# Follow LDAP Referrals (anonymously)
	FollowReferrals yes

	# TLS CA Certificate File
	#TLSCACertFile	/usr/local/etc/ssl/ca.pem

	# TLS CA Certificate Directory
	#TLSCACertDir	/etc/ssl/certs

	# Client Certificate and key
	# If TLS client authentication is required
	#TLSCertFile	/usr/local/etc/ssl/client-cert.pem
	#TLSKeyFile	/usr/local/etc/ssl/client-key.pem

	# Cipher Suite
	# The defaults are usually fine here
	# TLSCipherSuite	ALL:!ADH:@STRENGTH
</LDAP>

<Authorization>
	# Base DN
	BaseDN		"CN=users,DC=domain,DC=de"

	# User Search Filter
	SearchFilter	"(&(uid=%u))"
		
	# Require Group Membership
	RequireGroup	true

	# Add non-group members to a PF table (disabled)
	#PFTable	ips_vpn_users

	<Group>
		BaseDN		"cn=groups,dc=domain,dc=de"
		SearchFilter	"(cn=vpn)"
		MemberAttribute	uniqueMember
		# Add group members to a PF table (disabled)
		#PFTable	ips_vpn_eng
	</Group>
</Authorization>

Hier die ucs-vpn.ovpn

client
dev tun

proto udp

remote my.domain.de 1194

resolv-retry infinite
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nogroup

persist-key
persist-tun

ca ca.crt
auth-user-pass

ns-cert-type server

comp-lzo

verb 3