-
Notifications
You must be signed in to change notification settings - Fork 1
/
Copy pathhu-berlin.ovpn
114 lines (96 loc) · 4 KB
/
hu-berlin.ovpn
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
# kommentare müssen in einer eigenen zeile stehen, da inline-kommentare den import dieser datei in linux' network-manager verhindern.
# entspricht den Direktiven: tls-client und pull
client
# Serverzertifikatstyp prüfen
remote-cert-eku "TLS Web Server Authentication"
# OpenVPN Gateway
remote openvpn.cms.hu-berlin.de 1194
# Protokoll UDP
proto udp
dev tun0
# Workaround for mtu issues
;mssfix 1300
# don't bind to specific port
nobind
# daemon mode
daemon
# Verbindungsdaten für Server
# Wir verwenden Passwort-Authentifizierung statt Clientzertifikaten
<ca>
subject= /C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
-----BEGIN CERTIFICATE-----
MIIDwzCCAqugAwIBAgIBATANBgkqhkiG9w0BAQsFADCBgjELMAkGA1UEBhMCREUx
KzApBgNVBAoMIlQtU3lzdGVtcyBFbnRlcnByaXNlIFNlcnZpY2VzIEdtYkgxHzAd
BgNVBAsMFlQtU3lzdGVtcyBUcnVzdCBDZW50ZXIxJTAjBgNVBAMMHFQtVGVsZVNl
YyBHbG9iYWxSb290IENsYXNzIDIwHhcNMDgxMDAxMTA0MDE0WhcNMzMxMDAxMjM1
OTU5WjCBgjELMAkGA1UEBhMCREUxKzApBgNVBAoMIlQtU3lzdGVtcyBFbnRlcnBy
aXNlIFNlcnZpY2VzIEdtYkgxHzAdBgNVBAsMFlQtU3lzdGVtcyBUcnVzdCBDZW50
ZXIxJTAjBgNVBAMMHFQtVGVsZVNlYyBHbG9iYWxSb290IENsYXNzIDIwggEiMA0G
CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCqX9obX+hzkeXaXPSi5kfl82hVYAUd
AqSzm1nzHoqvNK38DcLZSBnuaY/JIPwhqgcZ7bBcrGXHX+0CfHt8LRvWurmAwhiC
FoT6ZrAIxlQjgeTNuUk/9k9uN0goOA/FvudocP05l03Sx5iRUKrERLMjfTlH6VJi
1hKTXrcxlkIF+3anHqP1wvzpesVsqXFP6st4vGCvx9702cu+fjOlbpSD8DT6Iavq
jnKgP6TeMFvvhk1qlVtDRKgQFRzlAVfFmPHmBiiRqiDFt1MmUUOyCxGVWOHAD3bZ
wI18gfNycJ5v/hqO2V81xrJvNHy+SE/iWjnX2J14np+GPgNeGYtEotXHAgMBAAGj
QjBAMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQDAgEGMB0GA1UdDgQWBBS/
WSA2AHmgoCJrjNXyYdK4LMuCSjANBgkqhkiG9w0BAQsFAAOCAQEAMQOiYQsfdOhy
NsZt+U2e+iKo4YFWz827n+qrkRk4r6p8FU3ztqONpfSO9kSpp+ghla0+AGIWiPAC
uvxhI+YzmzB6azZie60EI4RYZeLbK4rnJVM3YlNfvNoBYimipidx5joifsFvHZVw
IEoHNN/q/xWA5brXethbdXwFeilHfkCoMRN3zUA7tFFHei4R40cR3p1m0IvVVGb6
g1XqfMIpiRvpb7PO4gWEyS8+eIVibslfwXhjdFjASBgMmTnrpMwatXlajRWc2BQN
9noHV8cigwUtPJslJj0Ys6lDfMjIq2SPDqO/nBudMNva0Bkuqjzx+zOAduTNrRlP
BSeOE6Fuwg==
-----END CERTIFICATE-----
</ca>
# Serverzertifikat prüfen
verify-x509-name "C=DE, ST=Berlin, L=Berlin, O=Humboldt-Universitaet zu Berlin, OU=Computer- und Medienservice, CN=openvpn.cms.hu-berlin.de"
auth-user-pass
# verhindert Speicherung der Passwörter im Speicher - Passwörter müssen dann regelmäßig neu eingegeben werden
#auth-nocache
# tls-auth gegen DoS Attacken
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
7c2b19d0100fd3434c6a6d6e4ff52abe
f74517a36cf9cc6eb488cd807982ac72
1771f1e0a229785fedb8a20abbdbc165
a973bb0f08724eb296a4f30a7433de11
0beb3a814d7c9e36b6a1bed3c838e768
7901c56622034d2d48eecc7163cf1cdf
983f57ba90c1660f6139b2f7ccb45a48
cca4e871065ffae1b079ebcddd224cd7
5cfc98591b6cb6336ef62f3ec510a8d3
5b85c6737c744ea22636a8d58453ab1a
3ebd4fd22b9d71df6d19c02016aa6174
ae824fddf366da55e3ec93d66f6cf881
e3cd810dcddb347a0890111e7a735c01
47850929f0b201ff0ffe3451d963d29c
99eee05fbe97f169348046e28a116d58
8c70caab78b31be6c31dcfe39f4839f2
-----END OpenVPN Static key V1-----
</tls-auth>
# HMAC-Algorithmus (Control-Channel) auf guten default für OpenVPN 2.3 festlegen
# Unter OpenVPN >= 2.4 wird er, unter Verwendung einer GCM-TLS-Cipher, ignoriert
auth SHA256
# Für OpenVPN 2.3 und zur Vermeidung Irreführender Warnmeldungen
# unter OpenVPN >= 2.4 (dort wird cipher ausgehandelt mit Server)
cipher AES-256-CBC
# statt dem gesamten Netzverkehr nur Anfragen an HU-Netz durch VPN tunneln
#route-nopull
#route 141.20.0.0 255.255.0.0
#route 141.20.7.185 255.255.255.255 net_gateway
# Logging
#log openvpn.log
# Zum Debugging erhöhen
verb 3
# Zum Debugging auskommentieren
mute 50
# DNS-Einstellungsübernahme
# ab OpenVPN 2.1 notwendig
#script-security 2
# SuSE (übernommen vom OpenVPN der HU-Informatik)
#up "/sbin/modify_resolvconf modify -s openvpn -p /usr/sbin/openvpn -t 'Name Server modified by OpenVPN' -l 'wlan.hu-berlin.de' -n '141.20.1.3 141.20.2.3'; echo > /dev/null"
#down "/sbin/modify_resolvconf restore -s openvpn; echo > /dev/null"
# Ubuntu
#up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf