VPN-Zugang zum Hamnet

Quelle: Wikipedia

Seit dem 20.10.2011 gibt es einen VPN-Zugang ins Hamnet bei DB0SDA. Dieser ermöglicht Funkamateuren, sich über das Internet in das Hamnet einzuwählen. Bevorzugt wird natürlich der Fall, in dem der Funkamateur sich auf dem Funkweg in das Netz einwählt. Doch nicht allen ist die Möglichkeit dazu gegeben. Hier gibt es nun Anleitungen mit Bildern, die das Einrichten des VPN-Netzwerkes erklären.

Aus aktuellem Anlass: Bitte beachten Sie, dass der VPN-Zugang nur eine von vielen Möglichkeiten ist, am Hamnet teilzunehmen. Echter Amateurfunk geschieht durch Verwendung von Benutzereinstiegen auf dem Funkweg. Dieser Internet-Tunnel ist eine freiwillige, jederzeit abschaltbare, völlig ohne Garantie kommende Zusatz-Dienstleistung, welche von uns zur Verfügung gestellt wird. Es handelt sich bei dem Tunnel nicht um Amateurfunk. Wir möchten explizit den Zugang zum Hamnet per Funk ausbauen und unterstützen. Auch ohne VPN-Zugang ist das Hamnet frei benutzbar, niemand ist gezwungen oder angehalten, unsere Bereitstellung zu benutzen oder von ihr in irgendeiner Weise abhängig.

Ultra-Kurzanleitung

  1. Zugang beantragen und Zertifizierung als Funkamateur einreichen gnome web browser hier klicken. Dabei unbedingt die FAQ beachten.

  2. Deine Dankbarkeit für den kostenlosen Sevice zeigen und eine steuerlich absetzbare Spende überweisen. Warten, bis dein Antrag bearbeitet ist. Dies kann ein paar Tage dauern. Bitte nicht erneut beantragen, wenn du eine Erfolgsmeldung der Registrierung erhalten hast. Sollte nach einer Woche nichts gekommen sein, bitte per Email nachfragen.

  3. Sich freuen und einen PPTP Zugang gemäß den Anleitungen eirichten.

  4. Falls gewünscht seinen Zugang für eine FritzBox freischalten und das Konfig-File herunterladen. ACHTUNG: Unbedingt unsere Konfiguration benutzen, nicht den Assistenten der FritzBox. Anleitung für FritzBox hier.

 

Detail-Informationen

1. Zugang beantragen und Zertifizierung als Funkamateur einreichen

Da man mit einem Zugang Amateurfunk-Aussendungen auslöst, muss eine gültige Zulassung zum Amateurfunkdienst beim Benutzer vorliegen. Zur Legitimation bitte die Zulassung einscannen oder abfotografieren. Es können bis zu 3 Dateien dem Antrag hinzugefügt werden. Als Formate sind JPG, PNG und PDF erlaubt. Nach erfolgreicher Prüfung wird eine Bestätigung über die Freischaltung versendet.

Benutzername: Rufzeichen in Kleinbuchstaben.

Passwort: Bei der Anmeldung selbst vergeben.

Zur Beantragung der Zugangsdaten gnome web browser hier klicken.

Zum Download der Fritz!Box-Konfiguration gnome web browser hier klicken.

 

2. Freiwillige Spende als Beitrag zum Ausbau des Amateurfunks an der RWTH Aachen

Wir haben im letzten Jahr bereits mehr als 100 Funkamateuren einen VPN-Zugang über unsere Anlagen ermöglicht. Diese kommen aus ganz Deutschland. Natürlich möchten wir den Bekanntheitsgrad des Hamnet steigern und Funkamateuren, die keinen Benutzereinstieg in ihrer Nähe haben, die Teilnahme am Hamnet ermöglichen. Dennoch ist allein mit gutem Willen keine Hardware finanziert.

Die Amateurfunkgruppe stellt eine Vielzahl von Diensten kostenlos zur Verfügung:

  • DNS Server für Distrikt Köln-Aachen
  • FTP Server mit europaweiten, sehr genauen Höhendaten für Radio Mobile
  • FTP Server als Linux-Installations- und Updateserver im Hamnet
  • Mumble VoIP Server
  • Download-Server für Folien des Amateurfunkkurses (Teilnahme kostenlos)
  • Überwachung der Datenströme im Hamnet Distrikt Köln-Aachen
  • Zeitzerver über NTP

Alle diese Dienste stellen wir gerne nach dem HamSpirt kostenlos zur Verfügung. Dennoch ist zur Bereitstellung dieser Dienste neben Arbeitsleistung auch zuverlässige (und damit unbenutzte) Hardware. Diese kostet Geld. Bis jetzt haben wir aus Hardware-Spenden gebrauchter Komponenten "gelebt". Problem: Diese haben schon meist eine längere Laufzeit hinter sich und sind daher nicht zuverlässig. Wir haben bereits mehrere Angebote von Funkamateuren erhalten, die gebrauchtes Material uns spenden möchten. Wir danken für diese Hilfsbereitschaft, haben uns aber dafür entschieden, nur noch neues und für 24/7 Betrieb geeignetes Material zu verbauen. Die ständige Flickarbeit kostet Motivation und Kapazitäten, die wir lieber in andere Projekte kanalisieren möchten.

Wir bitten daher pro VPN-Zugang um eine einmalige Spende an den Verein zur Förderung der Hochfrequenztechnik in Aachen e.V. . Bitte als Verwendungszweck "Amateurfunkgruppe", Ihre Anschrift und Ihren Namen angeben. Der Verein ist allgemeinnützig anerkannt und es wird unaufgefordert eine Bescheinigung für das Finanzamt zugeschickt. Dieses kann nur geschehen, wenn die Anschrift bei der Überweisung mitgeteilt wird. Der Verein besteht aus Mitarbeitern und Ehemaligen des Instituts für HF-Technik und wird von uns zur Abwicklung der finanziellen Transaktionen verwendet. Jeder Cent, der unter dem Verwendungszweck "Amateurfunkgruppe eingeht, wird an uns durchgereicht. Er wird von uns zum Nutzen der Allgemeinheit und des Amateurfunks in Aachen und Umgebung verwendet.

Zahlungsempfänger: Verein zur Förderung der Hochfrequenztechnik in Aachen e. V.

IBAN: DE76 3905 0000 1070 9856 25
SWIFT/BIC-Code: AACSDE33

Zeig' uns deine Unterstützung für die Arbeit der Amateurfunkgruppe (auch für den kostenlosen Amateurfunkkurs) noch heute! Bedenkt, dass der Hauptteil der Arbeit von Studenten verrichtet wird.

Hinweis: Der Zugang wird natürlich auch ohne Spende gewährt, dennoch bitten wir eindringlich um eine Kostenbeteiligung.

 

FAQ - Häufig gestellte Fragen und Situationen

Mittlerweile haben wir über 800 aktive Teilnehmer am Hamnet über unseren VPN-Zugang. Bei der Beantragung sind naturgemäß auch Sonderfälle eingetreten, die einer speziellen Behandlung bedurften. Einige häufigsten Missverständnisse und Fragen haben wir hier zusammengefasst, in der Hoffnung, sie im Vorfeld ausräumen zu können.

Warum muss ich meine Lizenzurkunde digital einreichen?

Diese Frage bekommen wir ab und zu lesen. Der Grund ist einfach. Durch den VPN-Zugang erhalten Sie nicht weiter moderierten Zugriff auf Geräte, die Sender im Sinne des Amateurfunkgesetztes sind. Zu deren Betrieb ist der Besitz einer gültigen Teilnahmeberechtigung zum Amateurfunkdienst erforderlich. Daher erwarten wir als Legitimation Ihres Status als Teilnahmeberechtigter eine bildhafte Kopie der Lizenzurkunde. Ohne eine solche Legitimation können wir Sie leider nicht freischalten. Bitte lesen Sie dennoch dies.


Mein Rufzeichen steht in der Datenbank der BNetzA. Reicht das nicht als Legitimierung?

Leider nein. Es ist zwar eine Legitimierung, aber keine Authentifizierung des Antragstellers. Jeder kann sich ohne weiteres als eine Person in einem Text-Formular ausgeben mit einem bei der BNetzA registrierten Rufzeichen. Eine bildhafte Kopie einer behördlichen Genehmigung (Lizenzurkunde) vorsätzlich zu fälschen, ist allerdings eine Strafttat. Durch das Bestehen auf einer bildhaften Version der Authentifizierung erwarten wir, in einem Rechtsstreitfall unseren Schaden minimieren zu können.


Mein Rufzeichen ist bei QRZ.com geführt. Reicht das nicht als Legitimierung?

Leider nein, siehe Mein Rufzeichen steht in der Datenbank der BNetzA. Reicht das nicht als Legitimierung?


Das Ausstellungsdatum meiner Lizenzurkunde liegt vor dem Geburtstag der Mitglieder der Amateurfunkgruppe an der RWTH Aachen. Kann ich mich damit implizit auf eine Sonderbehandlung berufen?

Leider nein. Es gelten die gleichen Regeln für alle, unabhängig von ihrem Alter oder dem Alter der Lizenzurkunde.


Ich habe ein Foto mit einem Amateurfunkgerät in der Hand. Reicht das nicht als Legitimierung?

Leider nein. Es ist wohl einleuchtend, dass so etwas nicht dem Besitz einer gültigen Genehmigung zur Teilnahme am Amateurfunkdienst entspricht.


Was macht ihr mit dem eingesandten Bild-Material und den Formulardaten?

Wenn Sie einen VPN-Zugang beantragen, werden Ihre Daten in eine Tabelle auf unserem Server geschrieben. Es wird dann automatisch eine Email an die Mitglieder der Amateurfunkgruppe versandt, dass ein neuer Antrag zur Bearbeitung vorliegt. Über eine verschlüsselte Verbindung kann dann ein Mitglied den Vorgang öffnen und die in der Lizenzurkunde eingegebenen Daten mit den Formulardaten vergleichen. Ist nach sorgfältiger Prüfung die Person zu dem Schluss gekommen, dass der Antragsteller in Besitz einer gültigen Amateurfunk-Lizenz ist, wird der Zugang freigeschaltet und der Antragsteller per Email darüber informiert. Die Daten bleiben auf dem Server liegen, bis sich entweder die Amateurfunkgruppe auflöst oder der Antragsteller eine Löschung wünscht. Die Daten werden über den Backup-Service der RWTH Aachen gesichert.


Ich habe schon den ???-Contest gewonnen und bin ein sehr bekannter Funkamateur. Reicht das nicht als Legitimierung?

Leider nein. Je bekannter eine natürliche Person ist, desto einfacher ist es, sich in einem Textformular als diese auszugeben. Wir können in keiner Weise überprüfen, ob die hinter der Email-Adresse stehende Person auch wirklich diese ist. Daher ist eine bildhafte Kopie der Lizenzurkunde notwendig.


Wie soll ich mein Rufzeichen im Antragsformular eingeben?

Am Liebsten sind uns Kleinbuchstaben, es können aber Großbuchstaben verwendet werden. Was zur Zeit noch nicht geht, ist das Entfernen von Leerzeichen. Also bitte nicht D L 1 A B C und auch nicht DL 1 ABC eingaben, sondern dl1abc. Bitte ebenfalls keine Sonderzeichen im Passwort verwenden, dies macht Probleme bei unseren Skripten.
 


Kann ich den Antrag auch per Email anreichen?

Nein. Dies haben wir mit den ersten 150 Anträgen gemacht, aber es hat sich zu einem nicht akzeptablen Arbeitsaufwand entwickelt. Daher wurde das Formular geschaffen, welches den Ablauf vereinheitlich und vereinfacht. Daher bitte das Formular verwenden.
 


Wie groß ist die Chance, dass ihr nicht merkt, dass ich statt der Lizenz ein Foto von meiner Katze (o.ä.) hochlade?

0 %. Ausgeschlossen. Die Scans werden alle persönlich in der Freizeit der Mitglieder kontrolliert. Öfter erhalten wir mal solche Uploads, bei denen nicht klar ist, ob es ein Versehen ist oder Absicht. Meist klärt sich die Sache dann im anschließenden Email-Kontakt. Wir bitten aber darum, dies zu vermeiden, da es zusätzlichen unnötigen Aufwand macht.


Kann ich auch ein Foto meines DARC Mitgliedsausweises hochladen?

Nein. Wir brauchen ein hoheitliches Dokument, nicht eine Plastikkarte eines Vereins. Es geht darum, einen rechtsgültigen Nachweis des Besitzes einer gültigen Genehmigung zur Teilnahme am Amateurfunkdienst nachzuweisen. Der DARC Mitgliedsausweis ist das sicher nicht. Insb. da der DARC wohl auch nicht vor Ausstellung dieser Plastikkarte den Besitz einer gültigen Genehmigung zur Teilnahme am Amateurfunkdienst nachprüft. Die letzte Aussage ist jedoch reine Spekulation.


Was macht ihr mit den Spenden?

Wir verwenden sie zeitnah und zweckgebunden im Sinne der Satzung des Vereins zur Förderung der Hochfrequenztechnik in Aachen e. V. für den Ausbau des Hamnet. Beispiele dafür sind unter anderem die Beschaffung von Notstromakkus, der Kauf eines neuen, leistungsstärkeren Routers oder von neuen Festplatten für unserer Server.


PPTP ist doch unsicher. Warum benutzt ihr das? Was ist mit Sicherheit?

Zunächst zum Inhalt der Daten, die über den Tunnel verschickt werden. Da die Daten spätestens ab Aachen über Amateurfunk-Richtfunkstrecken versendet werden, ist ihr Inhalt sowieso offene Sprache und kann von jedem mitgehört werden. Zugegeben, man muss einen gewissen technischen Aufwand treiben, aber es ist prinzipiell möglich, da keine Verschlüsselung verwendet wird bzw. verwendet werden darf. Zum Thema Missbrauch der Benutzeridentifikation: Dies ist natürlich einen Schwachstelle gegenüber anderen VPN-Methoden mit Zertifikaten oder ähnlichem. Der Vorteil von Username/Passwort und PPTP ist aber, dass es auf vielen Betriebssystemen und Geräten einfach einzurichten ist und keinen großen Overhead erzeugt. Wir sehen nicht eine große Motivation in der Welt, sich unter den Zugangsdaten von jemand anderem bei uns ins VPN einzuwählen. Wenn man dies wirklich vorhaben sollte, sind andere Wege durchaus einfacher und effektiver (natürlich verraten wir diese hier nicht ;-) )


Können durch den VPN-Tunnel, den ich auf meiner FritzBox einrichte, Hamnet-Benutzer in mein privates LAN eindringen?

Grundsätzlich nein. Eine Garantie können wir natürlich nicht geben, aber die Konfiguration ist in ihrer Art so erstellt, dass sie dies ausschließt. Es mag sein, dass man selbst Port-Weiterleitungen aus dem Hamnet auf seine lokalen Geräte einrichten kann, aber dies ist nicht getestet. Grundsätzlich werden aber nur 44.0.0.0/8 Adressen auf dem VPN-Tunnel geroutet. D.h. selbst wenn jemand eine lokale IP (z..B. 192.168.178.20) aus dem Hamnet aufrufen würde, würde dieses nicht durch den Tunnel auf der entsprechenden FritzBox landen.


Kann ich eine feste IP bekommen?

Wir haben Stand 29. März 2016 eine Anzahl von 707 registrierten und von Hand geprüften VPN-Zugängen. Da wir nicht so viele IPs dauerhaft vorrätig halten wollen/können, werden die IPs im Normalfall dynamisch vergeben. Sollte dennoch jemand einen Server oder eine andere Anwendung dauerhaft über VPN betreiben wollen, dann bitten wir um eine kurze Mail mit der entsprechenden Begründung. Wir werden dann eine feste IP einstellen und auf Wunsch auch den Eintrag mit CALL.ampr.org verknüpfen.


Ich habe aus Packet-Radio-Zeiten noch eine feste IP. Kann ich diese hier nutzen?

Nein. Auf Grund der neuen Struktur besteht weder die Möglichkeit noch die Notwendigkeit dazu. Über Funk eingewählt oder über VPN wird automatisch eine passende IP vergeben.


Ich habe keine Spendenquittung erhalten und meine Adresse bei der Überweisung nicht angegeben.

In diesem Fall bitte freundlich (!) unter Angabe seiner Anschrift nachfragen.


 

Inhaltsverzeichnis der Anleitungen

3. Anleitung für Windows XP

4. Anleitung für Windows 7

Auf Grund von hoher Nachfrage haben wir auch Screenshots für Windows 7 erstellt. Die meisten Einstellungen ähneln sich, wenngleich das Aussehen doch stark verändert wurde.

vpn hamnet win7 1

vpn hamnet win7 2

vpn hamnet win7 3

vpn hamnet win7 4

vpn hamnet win7 5

vpn hamnet win7 6

vpn hamnet win7 7

vpn hamnet win7 8

vpn hamnet win7 9

vpn hamnet win7 10

vpn hamnet win7 11

vpn hamnet win7 12

vpn hamnet win7 13

vpn hamnet win7 14

vpn hamnet win7 15

vpn hamnet win7 16

vpn hamnet win7 18

vpn hamnet win7 19

vpn hamnet win7 20

 

 

5. Anleitung für Ubuntu

Für das Linux-Betriebssystem Ubuntu wurde von Horst Stöcker, DO1KHS, freundlicherweise eine Anleitung erstellt, die wir gerne hier zum Download anbieten.

6. Anleitung für Android

Für das Linux-Betriebssystem Android wurde von Jochen Lubig, DL4ZK, freundlicherweise eine Anleitung erstellt, auf die wir gerne verlinken.

7. Anleitung für iOS

Für das Betriebssystem des IPad wurde von Werner Hiester, DF4WA freundlicherweise eine Anleitung erstellt, die wir gerne hier zum Download anbieten.

Für das neue Betriebsystem iOS10 gibt es nun auch die Möglichkeit der Einwahl per L2TP. Michael DJ5KP und Ralf DH3WR haben dies möglich gemacht.

Account: Ihr Rufzeichen wie bei PPTP

Passwort: Ihr Passwort wie bei PPTP

Shared Secret   hamnetaachen

 

L2TP Phone iOS 10

8. Anleitung für Mac

Für das Betriebssystem des Mac wurde von Werner Hiester, DF4WA freundlicherweise eine Anleitung erstellt, die wir gerne hier zum Download anbieten. Werner hat ebenfalls eine Anleitung für L2TP erstellt, die es hier zum Download gibt.

 

  9. Anleitung für Raspberry Pi oder andere Linux OS

Für Raspberry Pi und andere Konsolen Linux OS gibt es hier eine Anleitung auf Englisch.

 

10. Anleitung für Mikrotik-Router als VPN-Client

Wer in einem Heimnetz einen Mikrotik-Router als VPN-Client und -Verteiler nutzen möchte, kann dies einfach einrichten. Wir gehen von folgendem Szenario aus:

Hamnet at home RB750

Die FritzBox ist hier das DSL-Modem sowie der zentrale Router im LAN. Der Mikrotik-Router wird per LAN-Kabel angeschlossen und hat die FritzBox als default-Gateway sowie eine IP aus dem LAN. Zunächst richten wir den PPTP-Client ein.

01 pptpclient

 02 pptpname

03 pptpuserdaten

Anschließend setzen wir eine Route, die alle Hamnet-IPs über den VPN-Tunnel schickt. Dabei ist 44.225.166.1 die statische Adresse des Tunnel-Endpunkts in Aachen.

04 pptproute

Damit alle Geräte diese Hamnet-Verbindung unter der einen Ihnen zugewiesenen Hamnet-IP nutzen können, muss noch eine NAT-Regel angelegt werden. Achtung: Da Hamnet-Verkehr Amateurfunk ist, muss der Betreiber natürlich sicherstellen, das nur berechtigte Personen mit gültiger Zulassung zur Teilnahme am Amateurfunkdienst diesen Netzwerkzugriff nutzen.

05 pptpnat

06 pptpnat

Damit ist die Konfiguration des Routers angeschlossen. Nun muss noch der FritzBox beigebracht werden, dass sie alle Hamnet-IPs an den Mikrotik-Router senden soll. Denn die FritzBox ist für die lokalen Endgeräte das Default-Gateway, nicht der Mikrotik-Router.

07 pptpfritz

08 pptpfritz

In diesem Beispiel ist 192.168.178.5 die IP des Mikrotik-Routers. Hier muss man natürlich Anpassungen vornehmen und die tatsächliche IP eintragen.

10. Anleitung für FritzBox IPSec

Seit Sommer 2015 besteht auch die Möglichkeit, sich mit einer Fritzbox direkt ins Hamnet einzuwählen. Dazu wird der Fritzbox-eigene VPN Client mit dem Protokoll IPSec verwendet. Eine studentische Arbeit von Benedikt Wulf hat dies möglich gemacht. Die Fritz!Box baut den Tunnel mit IPSec einmal auf und verteilt ihn dann im gesamten Heimnetz. Natürlich dürfen nur lizensierte Personen diesen Zugang benutzen. Generell wird zunächst nur der Zugang für PPTP freigeschaltet. Die passende Konfig-Datei und damit auch automatisch die Freischaltung für IPSec gibt es hier.

Eine Anleitung mit Bildern wurde freundlicherweise von Rolf DJ7TH erstellt.

Ein Beispiel für die Konfigurationsdatei ist:

meta { encoding = "utf-8"; }vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_out;
                name = "Hamnet DB0SDA";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 137.226.79.99;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        key_id = "DA1ABC";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "HamnetDB0SDAIPSec";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = yes;
                xauth {
                    valid = yes;
                    username = "da1abc";
                    passwd = "PASSWORT";
                }
                use_cfgmode = no;
                phase2remoteid {
                    ipnet {
                        ipaddr = 44.0.0.0;
                        mask = 255.0.0.0;
                    }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 44.0.0.0 255.0.0.0",
                     "permit ip any 192.168.188.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Die Werte DA1ABC, da1abc, PASSWORT und 192.168.188.0 plus ggf. 255.255.255.0 müssen an die eigenen Daten angepasst werden. Statt 192.168.188.0 muss das eigene LAN-IP-Subnetz verwendet werden. Also wenn die Fritzbox die IP 192.168.123.1 hat, dann ist hier 192.168.123.0 einzutragen.

 

Aktuelle Seite: Home Projekte Hamnet Anwendungen VPN-Zugang