Swisscom, VPN und jitsi

Aus revampedia

Situation

Alex[1] (im Büro, Linux-Maschine) möchte Manuel [1] (daheim, weit weg, OSX) remote Support bieten. Zum Glück bietet das Open-Source Projekt Jitsi die Möglichkeit, den eigenen Bildschirm frei zu geben und vom Gesprächspartner steuern zu lassen.

Problem

Manuel hat nur eine mobile Internetverbindung. Die restriktiven mobilen Datenpläne der reaktionären Swisscom scheinen die Bildschirmfreigabe von Jitsi irgendwie zu blockieren. Die Swisscom ist dafür bekannt, dass sie z.B. VoIP-Verbindungen blockieren, aus reiner Profitgier. Dies wurde bestätigt nach einem Versuch mit einer mobilen Lycamobile-Verbindung (Smartphone mit WLAN-tethering), die im Gegensatz zu der Swisscom einwandfrei funktionierte.

Mögliche Lösungen

Um diese Blockade zu umgehen, leiten wir die Verbindung über eine VPN auf unserem pfSense-Router. pfSense stellt einen ganz simplen Wizard zur Verfügung, mit dem wir einen externen Zugang zusätzlich zu unserem bestehenden VPN bereitstellen können. Dieser externe Zugang ist beschränkt auf den XMPP-Server auf der quietschente. Alles andere wird durch die Firewall blockiert.

openVPN

Im Menu VPN/OpenVPN, Reiter Client Export im pfSense-Webinterface kann eine .zip-Datei[2][3] mit der Konfiguration und dem nötigen Schlüssel und Zertifikat heruntergeladen werden. Dabei ist zu beachten dass oben revpn-extern ausgewählt ist. Weiter unten beim Teil Client Install Packages/Standard Configurations Archive ist der Link zur .zip-Datei und hilfreiche Links zu OSX openVPN-Clients. Die .zip-Datei wird auf Manuel's Mac entpackt und die .ovpn-Datei in den openVPN-Client importiert.

Im LDAP-Verzeichnis ist die Gruppe "ou=Gaeste" eingerichtet, mit Manuel als bisher einzigem Benutzer. Der externen VPN-Verbindung ist Zugang nur auf den XMPP-Dienst und ins Internet gewährt. Wir vertrauen Manuel, dass er mit der VPN keinen Mist baut, und falls doch, wissen wir wem wir die Schuld zuschieben können (raven@ccc).

Anderen Provider wählen

Wäre vielleicht einfacher. Lycamobile funktioniert ohne VPN, benutzt das eigentlich nicht so schlechte Swisscom-Netz und ist billiger als die Swisscom. Das einzige Problem könnte sein, dass man damit eine britische IP bekommt, was den Zugang du schweizer Seiten, die nur schweizer IPs zulassen, erschweren wird. Tests mit anderen Anbietern stehen mangels anderen mobile-Hotspots noch aus.

  1. 1,0 1,1 Namen geändert
  2. Aus offensichtlichen Sicherheitsgründen wurde diese nicht in das Wiki hochgeladen
  3. Bei einer neuen VPN-Verbindung muss das User-Zertifikat muss zuerst noch erstellt werden, unter System/Cert Manager/Certificates/Create an internal certificate