Differences

This shows you the differences between two versions of the page.

--- hardware:event-vpngw [2017/05/11 15:46] – Hinweis zu NM als nicht Empfohlener Client ergänzt. dedeibel
+++ hardware:event-vpngw [2023/11/06 05:44] – [neuen Key erstellen] lukas2511
@@ Line 14: / Line 14: @@
 * ''wrt5.lan.c3voc.de'': 10.73.5.0/24
-Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
+* ''oscwrt1.lan.c3voc.de'': 10.73.41.0/24
+* ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24
+* ''router-muc.lan.c3voc.de'': 10.73.80.0/24
+* ''router-hacc.lan.c3voc.de'': 10.73.81.0/24
+Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
 === Tweaks
@@ Line 25: / Line 32: @@
 </code>
-<note warning>Um Konflikte zu vermeiden, sollte darauf geachtet werden, dass die IP-Adresse ''10.73.0.254'' nicht automatisch konfiguriert wird, sondern nur bei Bedarf.</note>
+<bootnote warning>Um Konflikte zu vermeiden, sollte darauf geachtet werden, dass die IP-Adresse ''10.73.0.254'' nicht automatisch konfiguriert wird, sondern nur bei Bedarf.</bootnote>
@@ Line 31: / Line 38: @@
 ==== Weiteren Traffic durch das VPN routen
-Auf [[intern:externalserver:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
+Auf [[intern:server:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
 __Szenario 1:__
@@ Line 37: / Line 44: @@
 Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden:
-* ''ip route add $auphonic_ip via 10.8.0.1 dev tun0''
+* `ip route add $auphonic_ip via 10.8.0.1 dev tun0`
 oder
-* ''route add $auphonic_ip gw 10.8.0.1 dev tun0''
+* `route add $auphonic_ip gw 10.8.0.1 dev tun0`
 == Neuen VPN Client konfigurieren
@@ Line 47: / Line 54: @@
 ==== neuen Key erstellen
-Der VPN-Server ist aktuell [[intern:externalserver:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
+Der VPN-Server ist aktuell [[intern:server:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
 <code>
 source vars
 ./build-key <hostname>
+./sign-csr <hostname>
 # alle Nachfragen müssen mit 'y' bestätigt werden
 </code>
+Beim lokalen auschecken koennte es passieren, dass der Pfad
+<code>
+dir             = /etc/openvpn/easy-rsa2/keys           # Where everything is kept
+</code>
+in der openssl.cnf nicht passt. Diesen durch den Pfad ersetzen den pwd anzeigt hilft:
+<code>
+dir             = /home/eimann/src/openvpn-ca/keys              # Where everything is kept
+</code>
+Danach funktioniert das build-key command.
 Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''.
-Änderungen auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] anwenden:
+Änderungen auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] anwenden:
 <code>
 sudo -E su
@@ Line 64: / Line 86: @@
 chmod 600 keys/*key
 </code>
 ==== Spezielle Server-Konfiguration für den Client anpassen
@@ Line 91: / Line 112: @@
 ; connection
-remote 195.54.164.163
+remote 185.106.84.49
 port 1194
 proto udp
@@ Line 125: / Line 146: @@
 Anschließend Permissions anpassen und OpenVPN-Client starten:
+wheezy (init v)
 <code>
 chmod 600 /etc/openvpn/*.key
@@ Line 131: / Line 154: @@
 </code>
-<note warning>Die Nutzung von Network Manager ist nicht empfohlen. Dieser übernimmt nicht alle Einstellungen aus der Client Config (mtu) ([[https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/364101|vergl.]]). Das Problem macht sich dann spätestens beim Aufbau einer ssh Verbindung bemerkbar.</note>
+Ab jessie (systemd):
+<code>
+chmod 600 /etc/openvpn/*.key
+systemctl enable openvpn@voc
+systemctl start openvpn@voc
+tail -f /var/log/daemon.log
+</code>
+<bootnote warning>Die Nutzung von Network Manager ist nicht empfohlen. Dieser übernimmt nicht alle Einstellungen aus der Client Config (mtu) ([[https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/364101|vergl.]]). Das Problem macht sich dann spätestens beim Aufbau einer ssh Verbindung bemerkbar.</bootnote>
 == Client Zertifikat widerrufen
-Auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
+Auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
 <code>
@@ Line 149: / Line 181: @@
 OpenVPN-Server neustarten.