hardware:event-vpngw

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
Last revisionBoth sides next revision
hardware:event-vpngw [2019/01/13 21:25] hhelenavhardware:event-vpngw [2023/11/06 05:44] – [neuen Key erstellen] lukas2511
Line 17: Line 17:
 * ''oscwrt1.lan.c3voc.de'': 10.73.41.0/24 * ''oscwrt1.lan.c3voc.de'': 10.73.41.0/24
 * ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24 * ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24
 +* ''router-muc.lan.c3voc.de'': 10.73.80.0/24
 +* ''router-hacc.lan.c3voc.de'': 10.73.81.0/24
  
  
-Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.+Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
  
 === Tweaks === Tweaks
Line 36: Line 38:
 ==== Weiteren Traffic durch das VPN routen ==== Weiteren Traffic durch das VPN routen
  
-Auf [[intern:externalserver:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.+Auf [[intern:server:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
  
 __Szenario 1:__ __Szenario 1:__
Line 42: Line 44:
 Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden: Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden:
  
-''ip route add $auphonic_ip via 10.8.0.1 dev tun0''+`ip route add $auphonic_ip via 10.8.0.1 dev tun0`
 oder oder
-''route add $auphonic_ip gw 10.8.0.1 dev tun0''+`route add $auphonic_ip gw 10.8.0.1 dev tun0`
  
 == Neuen VPN Client konfigurieren == Neuen VPN Client konfigurieren
Line 52: Line 54:
 ==== neuen Key erstellen ==== neuen Key erstellen
  
-Der VPN-Server ist aktuell [[intern:externalserver:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:+Der VPN-Server ist aktuell [[intern:server:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
  
 <code> <code>
 source vars source vars
 ./build-key <hostname> ./build-key <hostname>
 +./sign-csr <hostname>
 # alle Nachfragen müssen mit 'y' bestätigt werden # alle Nachfragen müssen mit 'y' bestätigt werden
 </code> </code>
 +
 +Beim lokalen auschecken koennte es passieren, dass der Pfad
 +
 +<code>
 +dir             = /etc/openvpn/easy-rsa2/keys           # Where everything is kept
 +</code>
 +
 +in der openssl.cnf nicht passt. Diesen durch den Pfad ersetzen den pwd anzeigt hilft:
 +
 +<code>
 +dir             = /home/eimann/src/openvpn-ca/keys              # Where everything is kept                                                                                                                    
 +</code>
 +
 +Danach funktioniert das build-key command.
  
 Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''. Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''.
  
-Änderungen auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] anwenden:+Änderungen auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] anwenden:
 <code> <code>
 sudo -E su sudo -E su
Line 69: Line 86:
 chmod 600 keys/*key chmod 600 keys/*key
 </code> </code>
- 
-Sollte das nach einer Passphrase für Keys von root fragen, lokal Key Forwarding aktivieren: 
-<code> 
-eval $(ssh-agent) 
-ssh-add <key> 
-ssh -A mng.ber.c3voc.de 
-</code> 
- 
 ==== Spezielle Server-Konfiguration für den Client anpassen ==== Spezielle Server-Konfiguration für den Client anpassen
  
Line 103: Line 112:
  
 ; connection ; connection
-remote 195.54.164.163+remote 185.106.84.49
 port 1194 port 1194
 proto udp proto udp
Line 158: Line 167:
 == Client Zertifikat widerrufen == Client Zertifikat widerrufen
  
-Auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:+Auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
  
 <code> <code>
Line 172: Line 181:
  
 OpenVPN-Server neustarten. OpenVPN-Server neustarten.
- 
  • hardware/event-vpngw.txt
  • Last modified: 2024/03/31 14:55
  • by andi