BACKUP - backup.db0sda.ampr.org

Unter dieser Adresse läuft der Backup-Client der RWTH Aachen. Diese VM hat 2 TB als ZFS Mirror als lokalen Cache-Speicher. Von ausgewählten Stationen im Umkreis von Aachen werden per cron und rsync täglich die wichtigsten Dateien abgeholt und dort zwischengespeichert. Ebenfalls alle unsere VMs als Snapshot.

SAMBA und FTP - fileserver.db0sda.ampr.org

Der Samba Server für die internen Daten der RWTH-AFU-Gruppe ist auf diese VM umgezogen. Die Anmeldedaten bleiben gleich. Ebenfalls ist der öffentliche FTP-Server mit den Höhendaten für Radiomobile und den Installation- und Update-Quellen für Linux-Distributionen nun unter dieser Adresse erreichbar.

Internet-Proxy für ausgewählte Webseiten inetproxy.db0sda.ampr.org

Der Proxy-Service für ausgewählte Webseiten mit Amateurfunkgezug ist auf inetproxy.db0sda.ampr.org:3128 umgezogen. Es wird weiterhin ein SQUID3 Server ohne lokales Caching verwendet. Entsprechende Benutzer passen bitte die URL an.

AX.25 Legacy Unterstützung mit IGATE-Anbindung

Alle ax.25 Dienste wie das TNN, der DAPNET-Proxy für alte Sender-Hardwaren und ein AXIP Link nach DB0ACH sind auf der VM packetradio.db0sda.ampr.org installiert. Da Debian 10 keine Pseudo-TTYs mehr im Kernel kompiliert hat, musste ein Ubunto 18.04 verwendet werden.

RADIUS Master Server für VPN AAA radiusmaster.db0sda.ampr.org

Es gibt für die Authentifizierung von VPN-Usern zum Hamnet nun eine VM, die einen mariadb- und einen freeradius-Server enthält. Die mariadb arbeitet dem dem Formular auf dieser Homepage zusammen und speichert alle Benutzerdaten. Ebenfalls stellt sie die Datenbasis für das Backend zur Freischaltung von Anträgen da. Der freeradius-Server greift auf diese mariadb zu und antwortet den VPN-Routern.

RADIUS Slave Server für VPN AAA radiusslave1.db0sda.ampr.org

Als mariadb Replication Slave ist eine weitere VM auf einem anderen Host eingerichtet, welche im Zweifel die Funktion von radiusmaster.db0sda.ampr.org übernimmt. Die mariadb ist readonly und damit immer eine Kopie der Master-Datenbank.

Root CA RWTH AFU rwthafuca.db0sda.ampr.org

Die Root-CA der Amateurfunkgruppe ist auf eine eigene VM umgezogen. So kann noch besserer Schutz des Private Keys vorgenommen werden.

Monitoring mit MUNIN munin.db0sda.ampr.org

Der Munin-Server ist auf eine eigene VM umgezogen. Er kann aber weiterhin unter der alten URL http://db0sda.ampr.org/munin erreicht werden.

 

 

icons8

Freiwilliges Einverständnis zur Verwendung von personenbezogenen Daten

HAMNET-VPN

Vorwort

Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) regelt unter anderem die Verwendung, Speicherung und Verarbeitung von personenbezogenen Daten. Für einen Zugang zum Amateurfunk-Netzwerk HAMNET ist es nach unserem Rechtsverständnis notwendig, dass der entsprechende Nutzer im Besitz einer gültigen Genehmigung zur Teilnahme am Amateurfunkdienst ist, da er mit seinen Aktionen Aussendungen im Sinne des Amateurfunkgesetzes auslösen kann, bzw. dies zum bestimmungsgemäßen Betrieb notwendig ist. Dazu fragen wir auf freiwilliger Basis personenbezogene Daten sowie einen geeigneten Nachweis des Besitzes obengenannter Genehmigung an.

Ablauf der Speicherung und Verarbeitung Ihrer personenbezogenen Daten

Wenn Sie einen VPN-Zugang beantragen, werden Ihre Daten in eine Tabelle auf unserem Server geschrieben. Es wird dann automatisch eine Email an die Mitglieder der Amateurfunkgruppe versandt, dass ein neuer Antrag zur Bearbeitung vorliegt. Über eine verschlüsselte Verbindung kann dann ein Mitglied den Vorgang öffnen und die in der Lizenzurkunde eingegebenen Daten mit den Formulardaten vergleichen. Ist nach sorgfältiger Prüfung die Person zu dem Schluss gekommen, dass der Antragsteller in Besitz einer gültigen Amateurfunk-Lizenz ist, wird der Zugang freigeschaltet und der Antragsteller per Email darüber informiert. Die Daten bleiben auf dem Server liegen, bis sich entweder die Amateurfunkgruppe auflöst oder der Antragsteller eine Löschung wünscht. Ebenfalls kann der Eingetragene eine Korrektur seiner Daten verlangen. Die Daten werden über den Backup-Service der RWTH Aachen gesichert.

Darüber hinaus speichern wir bei jedem Login in den VPN-Service unter anderem Ihre IP, die Zeitpunkte der Einwahl und der Auflösung der Verbindung sowie die Ihnen zugewiesene IP-Adresse im HAMNET. Die Zuordnung von HAMNET-IP und Ihrem Rufzeichen kann durch Dienste Dritter in Einzelfällen weiterverarbeitet werden.

 

Telefonie im HAMNET

Wenn Sie über die Server der Amateurfunkgruppe an der RWTH Aachen im Telefonie-Dienst im HAMNET über den Asterisk-Server DB0WA teilnehmen möchten, müssen wir zwangsläufig personenbezogene Daten speichern, verarbeiten und Austauschen. Dies betrifft insb. die von Ihnen freiwillige bereitgestellten Daten Vorname, Amateurfunk-Rufzeichen, Email-Adresse und Ihr Passwort. Diese werden auf einem Server gespeichert und für die Anmeldung am Telefonie-Server und zur Kontakt-Aufnahme in begründeten Einzelfällen verwendet. Darüber hinaus werden im Rahmen des Verfahrens DUNDi auch Ihre Einwahl im netzweiten Verbund verteilt. Dies ist ein bestimmungsgemäßer Betrieb, da Sie sonst nicht von anderen Servern aus angerufen werden können. Darüber hinaus wir die Benutzer-Datenbank mit den vorgenannten Einhalten auch mit dem Telefonie-Server db0kpg.ampr.org syncronisiert.

Wenn Sie an der Telefonie im HAMNET teilnehmen möchten, erklären Sie sich vollumfänglich freiwillig mit oben genannten Regeln einverstanden.

 

Stand: 28.4.2018

Einführung

Neben PPTP, L2TP und IPSec gibt es zumindest für die Besitzer von festen HAMNET-IPs auch eine OpenVPN-Einwahl-Möglichkeit. Eine Erweiterung auch für die User mit dynamischen IPs ist in Arbeit.

Installation

Es wird ein Debian oder ähnliches System vorrausgesetzt. Bitte alles als root ausführen.

apt-get install openvpn

Besorgen von Zugangsdaten

Die Kombination aus Username/Password ist die gleiche wie bei allen anderen VPN-Geschmacksrichtungen. Es werden aber Zertifikate benötigt. Diese sind per Email bei uns zu erfragen.

Konfiguration

1. Download der allgemeinen Konfigurationsdatei für OpenVPN

cd /etc/openvpn
wget https://www.afu.rwth-aachen.de/openvpn/hamnetdb0sda.conf

2. Download des CA Zertifikats

mkdir /etc/openvpn/servers
cd /etc/openvpn/servers
wget https://www.afu.rwth-aachen.de/openvpn/rwthafuca.crt

3. Erstellen der auth-Datei

nano /etc/openvpn/servers/auth.cfg

Inhalt:

1. Zeile Benutzername, z.B. db0abcfix
2. Zeile Passwort: z.B. 12345test

4. Erhalten des Zertifikates und des private Keys

Als Antwort auf die Email Anfrage bekommt man 2 Dateien. Eine db0abc.crt und eine db0abc.key. Beide Dateien nach /etc/openvpn/servers bewegen.

5. Anpassen der Config

Da die unter 4. genannten Dateien unterschiedliche Dateinamen haben (nämlich das Rufzeichen), muss die Datei hamnetdb0sda.conf angepasst werden. Die folgenden Zeilen entsprechend ändern und speichern.

cert servers/YOURCERT.crt
key servers/YOURKEY.key

6. Testen

openvpn hamnetdb0sda.conf

ausführen und in einem weiteren Terminal mit ifconfig und route -n schauen, ob es ein tun0 Netzwerk-Gerät gibt und eine Route für 44.0.0.0/8 nach 44.225.166.1.

 7. Als Systemd Service starten und dauerhaft aktivieren

systemctl start openvpn@hamnetdb0sda
systemctl enable openvpn@hamnetdb0sda

 

 

 

 

This description describes how to setup a Linux running computer for permanent HAMNET VPN connection via PPTP.

1. Install PPTP Client

sudo apt-get install pptp-linux

2. Create config file

sudo nano /etc/ppp/peers/hamnetdb0sda

### HAMNET VPN Server
pty "pptp vpn.afu.rwth-aachen.de --nolaunchpppd --nobuffer --timeout 10"
### FOR SPECIAL FIXED IP accounts use hamnet.afu.rwth-aachen.de instead of vpn.afu.rwth-aachen.de
### PPTP - Loginname
name YOURLOGINNAME
### Restart after loosing the connection
persist
### MTU has to be smaller than 1500, as PPTP is increasing the TCP packet
mtu 1400
# Terminate after n consecutive failed connection attempts.
# A value of 0 means no limit. The default value is 10.
maxfail 0
### Misc.
remotename PPTP
lock
noauth
refuse-eap
nobsdcomp
nodeflate
#end

3. Make or edit the password storage file

sudo nano /etc/ppp/chap-secrets

Add a line like

# Secrets for authentication using CHAP
# client server secret IP addresses
YOURPPTPNAME PPTP THISISYOURPW *

Then make sure only root can read your password:

chmod 600 /etc/ppp/chap-secrets

4. Try the VPN-Tunnel

Start with: sudo pon hamnetdb0sda

You should see a ppp0 device in sudo ifconfig now.

ping 44.148.186.1 should also work. For SPECIAL FIXED IP account the IP is 44.225.166.1 .

Stop the tunnel with: sudo poff hamnetdb0sda

5. Make scripts to add the route to 44.0.0.0/8 via the VPN tunnel

Add a skript to /etc/ppp/ip-up.d named hamnetdb0sda . It's important you keep this filename, so the pptp programm can identify it to run it with your configuration.

sudo nano /etc/ppp/ip-up.d/hamnetdb0sda

#!/bin/bash
#
# Help - Text:
# ---------------------------------------------------------------
# This script is called with the following arguments:
# Arg Name Example
# $1 Interface name ppp0
# $2 The tty ttyS1
# $3 The link speed 38400
# $4 Local IP number 12.34.56.78
# $5 Peer IP number 12.34.56.99
# $6 Optional ''ipparam'' value foo
# ---------------------------------------------------------------

# don't bother to restart postfix when lo is configured.
if [ "$1" = "lo" ]; then
exit 0
fi

if [ "$1" = "ppp0" ]; then
#if [ "$6" = "hamnetdb0sda" ]; then

echo "'date +%b" "%e" "%H":"%M":"%S' HAMNET VPN: PPTP - ipparam: $6 Interface goeas up ($1). "\
"Now adding routing..." >> /var/log/messages
route add -net 44.0.0.0/8 gw 44.148.186.1 $1
#FOR SPECIAL FIXED IP ACCOUNTS USE route add -net 44.0.0.0/8 gw 44.225.166.1 $1
fi

exit 0

Add a skript to /etc/ppp/ip-down.d named hamnetdb0sda . It's important you keep this filename, so the pptp programm can identify it to run it with your configuration.

sudo nano /etc/ppp/ip-down.d/hamnetdb0sda

#!/bin/bash
#
# Help - Text:
# ---------------------------------------------------------------
# This script is called with the following arguments:
# Arg Name Example
# $1 Interface name ppp0
# $2 The tty ttyS1
# $3 The link speed 38400
# $4 Local IP number 12.34.56.78
# $5 Peer IP number 12.34.56.99
# $6 Optional ''ipparam'' value foo
# ---------------------------------------------------------------

# don't bother to restart postfix when lo is configured.
if [ "$1" = "lo" ]; then
exit 0
fi

if [ "$1" = "ppp0" ]; then
#if [ "$6" = "hamnetdb0sda" ]; then

echo "'date +%b" "%e" "%H":"%M":"%S' HAMNET VPN: PPTP - ipparam: $6 Interface goes down ($1). "\
"Now removing routing..." >> /var/log/messages
route del -net 44.0.0.0/8 gw 44.148.186.1 $1
#FOR SPECIAL FIXED IP ACCOUNTS USE route del -net 44.0.0.0/8 gw 44.225.166.1 $1
fi

exit 0

 

Make both scruipts executable:

sudo chmod 750 /etc/ppp/ip-up.d/hamnetdb0sda
sudo chmod 750 /etc/ppp/ip-down.d/hamnetdb0sda

6. Try the tunnel with activated routing

Start with: sudo pon hamnetdb0sda

Type sudo route -n and check that there is a route for 44.0.0.0 with subnet mask 255.0.0.0 to 44.148.186.1 on device ppp0.

#FOR SPECIAL FIXED IP ACCOUNTS the Gateway is 44.225.166.1.

Stop the tunnel with: sudo poff hamnetdb0sda

 

7. Make the systemd service files to enable easy job controlling and auto-start on boot

sudo nano /etc/systemd/system/hamnetvpn.service

[Unit]
Description=PPTP HAMNET link to DB0SDA
Requires=multi-user.target
After=network-online.target

[Service]
Type=forking
ExecStart=/usr/bin/pon hamnetdb0sda
ExecStop=/usr/bin/poff hamnetdb0sda
ExecReload=/usr/bin/poff -r hamnetdb0sda

[Install]
WantedBy=network-online.target

 

Reload the systemd environment with sudo systemctl daemon-reload .

Now you can use

sudo systemctl status hamnetvpn.service to check the status,

sudo systemctl start hamnetvpn.service to start the tunnel,

sudo systemctl stop hamnetvpn.service to stop the tunnel,

sudo systemctl enable hamnetvpn.service to start the tunnel automatically at boot time,

sudo systemctl disable hamnetvpn.service to not start the tunnel automatically at boot time.

8. Reboot and feel happy

 

Aktuelle Seite: Home Projekte Hamnet Infos für Betreiber Relais-Anbindung über Hamnet static-content
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.