Diese Anleitung bezieht sich auf die Einrichtung eines Standard-PPtP-Zuganges mit dynamischer IP-Nummernzuweisung unter dem Betriebssystem Windows10^® am Cloud-Core VPN-Konzentrator bei DB0GW-2 im Rechenzentrum der Universität Duisburg-Essen. Zur Nutzung ist die vorherige Autentifizierung und Freischaltung erforderlich.

1.Schritt: Netzwerk und Internet aufrufen

2.Schritt: VPN-Verbindung hinzufügen

3.Schritt: Adapteroptionen für den PPtP-Tunnel ändern

4.Schritt: Mit rechter Maustaste Eigenschaften aktivieren

5.Schritt: IP-Adresse oder Namen des VPN-Servers eingeben

6.Schritt: Keine Softwarekomprimierung oder Mehrfachverbindung aktivieren

7.Schritt: Verbindung ohne Verschlüsselung zulassen und Kennwortverfahren aktivieren

8.Schritt: Auf dem Tunnel nur das IPv4 Protokoll aktivert lassen, alles andere deaktivieren.

9.Schritt: IP-Adresse und DNS-Server automatisch beziehen. WICHTIG: Standardgateway deaktivieren!!!

10.Schritt: Keine lokalen NetBIOS Pakete auf dem Tunnel übertragen!

Diese Seiten werden zur Zeit erstellt. Wir bitten um etwas Geduld...

Inhaltsverzeichnis der Anleitungen

• Anleitung für Windows XP (veraltet)
• Anleitung für Windows 7 (veraltet)
• Anleitung für Windows 10
• Anleitung für Ubuntu
• Anleitung für Android
• Anleitung für IOS
• Anleitung für Raspberry Pi
• Anleitung für Mikrotik Router als VPN-Client
• Anleitung für FritzBox

Die Anleitungen für die Einrichtung eines VPN-Zuganges ins HAMNET beziehen sich auf den Zugang über die VPN-Konzentratoren bei DB0GW-2 im Rechenzentrum der Universität Duisburg-Essen bzw. über den Cloud-Core-Router am HFT-Standort bei DB0GW. Betriebssysteme unterliegen mehr oder weniger häufigen Updates. Dabei können sich auch die  Verfahrenssschritte zur Einrichtung  von VPN-Zugängen jederzeit ändern. Wir haben keinerlei Einfluss auf derartige Änderungen. Daher erfolgen die hier gelisteten Anweisungen und Hinweise ausschließlich ohne Gewähr oder Garantie für ihre hundertprozentige Funktion.

 Wichtige Hinweise: Ein VPN-Zugang ist nur eine von vielen Möglichkeiten, am HAMNET teilzunehmen. Echter Amateurfunk geschieht durch Verwendung von Benutzereinstiegen auf dem Funkweg! Die hier bereitgestellten Internet-Tunnel sind eine freiwillige, jederzeit abschaltbare, völlig ohne Garantie kommende Zusatz-Dienstleistung, welche von uns zur Verfügung gestellt wird. Es handelt sich bei einem Tunnel nicht um Amateurfunk, sondern bietet nur eine Zugangsmöglichkeit dazu. Die Nutzer unterliegen allen einschlägigen Vorschriften und Gesetzen zum Amateurfunk und müssen sich vor Freischaltung vorher bei uns legitimieren. Die Nutzung durch Dritte oder nicht lizensierte Personen ist verboten. Wir möchten den Zugang zum HAMNET explizit per Funk ausbauen und unterstützen. Dazu bieten wir im Distrikt Ruhrgebiet zahlreiche Standorte mit Benutzerzugängen zum HAMNET an und bauen diese ständig weiter aus. Auch ohne VPN ist das HAMNET frei benutzbar, niemand ist gezwungen oder angehalten, unsere Bereitstellung zu benutzen oder von ihr in irgend einer Weise abhängig.

Bei DB0GW und weiteren HAMNET-Standorten im Distrikt Ruhrgebiet werden diverse zentrale Dienste angeboten, die für den unabhängigen Betrieb des HAMNET unverzichtbar sind. Insbesondere zählen dazu Zeitserver (NTP) und Nameserver (DNS), ohne die auch im HAMNET nichts geht. Das Domain Name System (DNS) ist einer der wichtigsten Dienste in vielen IP-basierten Netzwerken. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung. Wir betreiben im Distrikt unter dem Synonym "Hub-West" einen der drei Haupt-DNS-Server für das deutsche HAMNET. Dieser Dienst ist bei allen im Distrikt-L verfügbaren Nameservern in Echtzeit untereinander synchronisiert und immer auf dem neuesten Stand. Alle DNS-Server des Distriktes beantworten Anfragen nach Stationen sowohl aus dem HAMNET als auch aus dem Internet. Für einen möglichst zügigen Betrieb ist es für den Nutzer wichtig, dass er möglichst schnelle Antworten von den DNS-Servern bekommt. Wir empfehlen daher aus Performanzgründen, immer die zum Einstiegs-Standort nächstgelegenen Dienste zu verwenden und bei Standortkonfigurationen einzutragen. Während der Anmeldung an einem der Hf-Zugänge oder bei Nutzung eines Standard-VPN-Zuganges (PPtP) mit dynamischer IP-Adresszuweisung werden während der Anmeldeprozedur immer auch die geeigneten Nameserver und Zeitserver übermittelt. Bei vielen Betriebssystemen werden diese Angaben dann automatisch übernommen. Standard-User, die so am HAMNET teilnehmen, brauchen sich also in der Regel nicht weiter darum kümmern. Bei spezielleren Installationen mit eigenen, größeren Routern oder der Anmeldung eines Servers mit fester IP-Adresse müssen diese Werte jedoch bekannt sein und meist von Hand eingetragen werden.

Es folgt eine Aufstellung der an den Distrikt-Standorten verfügbaren DNS- und NTP-Server:

VPN-Tunnel mit dynamischer IP (Rechenzentrum Lotharstraße)

Für die dynamische Usereinwahl steht ein eigener Router mit dediziertem Port im HamCloud-Datacenter zur Verfügung.

Hinweise:
- Neue VPN-Nutzer werden nur noch auf dem DB0GW-HamCloud Router im Rechenzentrum Lotharstraße eingetragen. .
- iPhone VPN-Nutzer (L2TP) können auf Anfrage problemlos bei DB0GW-HamCloud angeschlossen werden..

Hf-Benutzerzugänge mit dynamischer oder fester IP

Hinweise:
¹ - Neuer Standort im Aufbau
* - Sites stehen geografisch in Nachbardistrikten. Sie sind jedoch aus dem Distrikt-L je nach Lage  gut erreichbar.

Weitere Dienste im Distrikt Ruhrgebiet

• vernetzte YaCy-Suchmaschine für das HAMNET
• vernetzte APRS-IGATE für APRS-Stationen im HAMNET ohne eigenen Internetanschluss
• vernetzte Asterisk VoIP/SIP Telefonie-Server
  mit FreePBX-Benutzeroberfläche, Mailbox, Konferenzräumen, Zeitansagen, Echoservice,
  Abruf DL-Rundspruch zum Anschluss eigener Soft- oder Hardware SIP-Telefone
• de.ampr.org zentrale Website der IP-Koordination DL
• HamCloud Datacenter 2 für den Betrieb der HamCloud mit vielen Diensten und VMs (Rechenzentrum Lotharstraße)
• STUN-Server und TFTP-Server zur Verwendung von NAT bei SIP-Telefonie und zur
  zentralen Konfiguration von Cisco-SIP-Telefonen
• DNS- und Zeitserver zur Nutzung im HAMNET und in der HamCloud
• Mikrotik-Mirror zum Upgraden von Mikrotik-Devices im HAMNET ohne Internetanschluss
• Raspbian-Mirror zum Upgraden von Raspberry Pi im HAMNET ohne Internetanschluss
• Radiomobile-Mirror mit Zugriff auf hochauflösende Geodaten
• WinLink-Mirror zum Download der WinLink-Software im HAMNET ohne Internetanschluss
• HamCloud-Cloud (Nextcloud) Service inkl. persönlichem Terminkalender und Kontaktliste
• Download-Server mit umfangreichen, amateurfunkspezifischen Angeboten an mehreren Standorten
• Web-Server mit lokalen und überregionalen Infos an fast jedem Standort
• Network Operation Center (NOC) für Monitoring und Aufrechterhaltung des Netzbetriebes

Wichtiger Hinweis:
Wir empfehlen allen Usern aus der Region, sich an diese Dienste anzuschließen und identische Angebote in entfernten Regionen des HAMNET nicht zu nutzen! Das garantiert für alle HAMNET-Nutzer maximale Performanz und vermeidet Latenzen und unnötigen Traffic über die Backbonestrecken quer durch DL.

Es gibt noch eine große Anzahl an Funkamateuren, die gerne am HAMNET teilnehmen möchten, aber leider wegen ihrer Wohnlage keinen Hf-Einstiegsknoten in ihrer Nähe erreichen können. Einstiegslizenzen ist die Benutzung der für die Userzugänge verwendeten Frequenzen im 2,3GHz- und 5,6GHz-Band leider aus gesetzlichen Gründen noch verwehrt (RTA hat in 2015 einen Vorstoß bei der BNetzA unternommen). Um diesen Funkamateuren einen ortsnahen und gleichermaßen zentralen Zugriff auf das HAMNET zu ermöglichen, wurde im Februar 2016 bei DB0GW im Rechenzentrum Lotharstraße ein zweiter Router installiert, der ausschließlich als VPN-Router für Userzugänge ins HAMNET zur Verfügung steht. Da sich hier auch ein wichtiger Knotenpunkt für das gesamte deutsche HAMNET befindet, lässt sich über einen VPN-Tunnel von dort aus praktisch jede Ecke des HAMNET sehr gut erreichen. Ein VPN-Tunnel lässt sich unter verschiedenen Szenarien sinnvoll nutzen. Selbst wenn man zuhause über Hf ins HAMNET einsteigt, kann ein VPN-Tunnel auf Reisen, im Urlaub oder für das Smartphone nützlich sein. Er steht überall dort zur Verfügung, wo es Zugang zum Internet gibt. Er kann jedoch immer nur einmal und nicht gleichzeitig mehrfach aktiviert werden.

Hinweis: Ein VPN-Zugang ist nur eine von vielen Möglichkeiten, am HAMNET teilzunehmen. Echter Amateurfunk geschieht durch Verwendung von Benutzereinstiegen auf dem Funkweg. Dieser Internet-Tunnel ist eine freiwillige, jederzeit abschaltbare, völlig ohne Garantie kommende Zusatz-Dienstleistung, welche von uns zur Verfügung gestellt wird. Es handelt sich bei dem Tunnel nicht um Amateurfunk. Er ermöglicht lediglich die Teilnahme daran. Wir möchten explizit den Zugang zum Hamnet per Funk ausbauen und unterstützen. Auch ohne VPN-Zugang ist das Hamnet frei benutzbar, niemand ist gezwungen oder angehalten, unsere Bereitstellung zu benutzen oder von ihr in irgendeiner Weise abhängig.

Vorgehensweise

1. Zugang beantragen und Zertifizierung einreichen

Achtung: Wegen der derzeitigen Lage werden bis auf Weiteres keine neuen Anträge auf VPN-Zugang mehr angenommen und bearbeitet.

Per Amateurfunkgesetz dürfen nur lizensierte Funkamateure Zugang zum HAMNET erhalten. Da man mit einem VPN-Zugang Amateurfunk-Aussendungen auslöst, muss eine gültige Zulassung zum Amateurfunkdienst beim Benutzer vorliegen. Um Missbrauch vorzubeugen, müssen sich interessierte Funkamateure zuvor auf einem speziellen Online-Formular anmelden und authentifizieren (Kopie der Zulassungsurkunde hochladen). Dabei bitte unbedingt die FAQ beachten. Zur Legitimation bitte die Zulassung einscannen oder abfotografieren. Es können bis zu 3 Dateien dem Online-Antrag hinzugefügt werden. Als Formate sind JPG, PNG und PDF erlaubt. Erst nach Überprüfung der übermittelten Daten werden der Zugang eingerichtet und die Zugangsdaten für die Einrichtung eines VPN-Tunnels per Email verschickt.

2. Erhalt der Zugangsdaten abwarten
Die Bearbeitung der Anträge wird von Administratoren in ihrer Freizeit erledigt. Dies kann ein paar Tage dauern. Sollte nach mehr als einer Woche nichts gekommen sein, bitte per Email nachfragen.

3. VPN-Zugang einrichten und nutzen
Eine genaue Beschreibung des Verfahrens und weitere Hilfen zur Einrichtung für verschiedene PC-Betriebssysteme oder Router sind bei DB0GW erhältlich.

FAQ - Häufig gestellte Fragen und Situationen

Bei der Beantragung können naturgemäß auch Sonderfälle eintreten, die einer speziellen Behandlung bedürfen. Einige der häufigsten Missverständnisse und Fragen haben wir hier zusammengefasst, in der Hoffnung, sie im Vorfeld ausräumen zu können.

Warum muss ich meine Lizenzurkunde digital einreichen?

Diese Frage bekommen wir ab und zu gestellt. Der Grund ist einfach. Durch den VPN-Zugang erhalten Sie nicht weiter moderierten Zugriff auf Geräte, die Sender im Sinne des Amateurfunkgesetztes sind. Zu deren Betrieb ist der Besitz einer gültigen Teilnahmeberechtigung zum Amateurfunkdienst erforderlich. Daher erwarten wir als Legitimation Ihres Status als Teilnahmeberechtigter eine bildhafte Kopie der Lizenzurkunde. Ohne eine solche Legitimation können wir Sie leider nicht freischalten.

Mein Rufzeichen steht in der Datenbank der BNetzA. Warum reicht das nicht als Legitimierung?

Es ist zwar eine Legitimierung, aber keine Authentifizierung des Antragstellers. Jeder kann sich ohne weiteres als eine Person in einem Text-Formular ausgeben mit einem bei der BNetzA registrierten Rufzeichen. Eine bildhafte Kopie einer behördlichen Genehmigung (Lizenzurkunde) vorsetzlich zu fälschen, ist allerdings eine Strafttat. Durch das Bestehen auf einer bildhaften Version der Authentifizierung erwarten wir, in einem Rechtsstreitfall unseren Schaden minimieren zu können.

Mein Rufzeichen ist bei QRZ.com geführt. Reicht das nicht als Legitimierung?

Leider nein, siehe auch "Mein Rufzeichen steht in der Datenbank der BNetzA. Reicht das nicht als Legitimierung?"

Das Ausstellungsdatum meiner Lizenzurkunde liegt vor dem Geburtstag der meisten OMs, die das HAMNET betreiben. Kann ich mich damit implizit auf eine Sonderbehandlung berufen?

Leider nein. Es gelten die gleichen Regeln für alle, unabhängig von ihrem Alter oder dem Alter der Lizenzurkunde.

Ich habe ein Foto mit einem Amateurfunkgerät in der Hand. Reicht das nicht als Legitimierung?

Leider nein. Es ist wohl einleuchtend, dass so etwas nicht den Besitz einer gültigen Genehmigung zur Teilnahme am Amateurfunkdienst entspricht.

Was macht ihr mit dem eingesandten Bild-Material und den Formulardaten?

Wenn Sie einen VPN-Zugang beantragen, werden Ihre Daten in eine Tabelle auf unserem Server geschrieben. Es wird dann automatisch eine Email an die zuständigen Administratoren versandt, dass ein neuer Antrag zur Bearbeitung vorliegt. Über eine verschlüsselte Verbindung kann dann ein Admin den Vorgang öffnen und die in der Lizenzurkunde eingegebenen Daten mit den Formulardaten vergleichen. Ist nach sorgfältiger Prüfung die Person zu dem Schluss gekommen, dass der Antragsteller in Besitz einer gültigen Amateurfunk-Lizenz ist, wird der Zugang freigeschaltet und der Antragsteller per Email darüber informiert. Die Daten werden anschließend auf dem Formularserver gelöscht.

Ich habe schon den ???-Contest gewonnen und bin ein sehr bekannter Funkamateur. Reicht das nicht als Legitimierung?

Leider nein. Je bekannter eine natürliche Person ist, desto einfacher ist es, sich in einem Textformular als diese auszugeben. Wir können in keiner Weise überprüfen, ob die hinter der Email-Adresse stehende Person auch wirklich diese ist. Daher ist eine bildhafte Kopie der Lizenzurkunde notwendig.

Wie soll ich mein Rufzeichen im Antragsformular eingeben?

Am liebsten sind uns Kleinbuchstaben, es können aber Großbuchstaben verwendet werden. Was zur Zeit noch nicht geht, ist das Entfernen von Leerzeichen. Also bitte nicht D L 1 A B C und auch nicht DL 1 ABC eingaben, sondern dl1abc. Bitte ebenfalls keine Sonderzeichen im Passwort verwenden, dies macht Probleme bei unseren Skripten.

Kann ich den Antrag auch per Email einreichen?

Nein. Dies haben wir mit den ersten Anträgen so gemacht, aber es hat sich zu einem nicht akzeptablen Arbeitsaufwand entwickelt. Daher wurde das Formular geschaffen, welches den Ablauf vereinheitlich und vereinfacht. Daher bitte nur das Online-Formular verwenden.

Wie groß ist die Chance, dass ihr nicht merkt, dass ich statt der Lizenz ein Foto von meiner Katze (o.ä.) hochlade?

0 %. Ausgeschlossen. Die Scans werden alle persönlich in der Freizeit der zuständigen Admins kontrolliert. Öfter erhalten wir mal solche Uploads, bei denen nicht klar ist, ob es ein Versehen ist oder Absicht. Meist klärt sich die Sache dann im anschließenden Email-Kontakt. Wir bitten aber darum, dies zu vermeiden, da es zusätzlichen, unnötigen Aufwand macht und den ganzen Vorgang verzögert.

PPTP ist doch unsicher. Warum benutzt ihr das? Was ist mit Sicherheit?

Zunächst zum Inhalt der Daten, die über den Tunnel verschickt werden. Da die Daten spätestens nach Verlassen des Rechenzentrums der Universität Duisburg-Essen über Amateurfunk-Richtfunkstrecken versendet werden, ist ihr Inhalt sowieso offene Sprache und kann von jedem mitgehört werden. Zugegeben, man muss dazu schon einen gewissen technischen Aufwand treiben, aber es ist prinzipiell möglich. Es gibt die gesetzliche Vorgabe, dass im Amateurfunkdienst keine verschlüsselten Aussendungen gemacht werden dürfen. Zum Thema Missbrauch der Benutzeridentifikation: Dies ist natürlich eine Schwachstelle gegenüber anderen VPN-Methoden mit Zertifikaten oder ähnlichem. Der Vorteil von Username/Passwort und PPTP ist aber, dass es auf vielen Betriebssystemen und Geräten standardmäßig vorhanden und einfach einzurichten ist. Es erzeugt zudem auch keinen großen Overhead. Wir sehen auch keine große Motivation in der Welt, sich unter den Zugangsdaten von jemand anderem bei uns ins VPN einzuwählen.

Gibt es neben PPTP auch noch andere VPN-Tunnel?

Im Prinzip Ja. Standardmäßig werden jedoch aus obigen Gründen PPTP-Tunnel eingerichtet, in denen jeder einzelne User eine eindeutige IP aus dem HAMNET automatisch zugewiesen bekommt. Für spezielle Anwendungen, etwa die Vernetzung von automatischen Stationen werden noch L2TP, IPIP, EoIP oder GRE-Tunnel eingesetzt.