Differences

This shows you the differences between two versions of the page.

--- hardware:event-vpngw [2019/03/29 15:40] – Tipp hinzugefuegt eimann
+++ hardware:event-vpngw [2023/11/06 05:44] – [neuen Key erstellen] lukas2511
@@ Line 17: / Line 17: @@
 * ''oscwrt1.lan.c3voc.de'': 10.73.41.0/24
 * ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24
+* ''router-muc.lan.c3voc.de'': 10.73.80.0/24
+* ''router-hacc.lan.c3voc.de'': 10.73.81.0/24
-Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
+Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
 === Tweaks
@@ Line 36: / Line 38: @@
 ==== Weiteren Traffic durch das VPN routen
-Auf [[intern:externalserver:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
+Auf [[intern:server:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
 __Szenario 1:__
@@ Line 42: / Line 44: @@
 Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden:
-* ''ip route add $auphonic_ip via 10.8.0.1 dev tun0''
+* `ip route add $auphonic_ip via 10.8.0.1 dev tun0`
 oder
-* ''route add $auphonic_ip gw 10.8.0.1 dev tun0''
+* `route add $auphonic_ip gw 10.8.0.1 dev tun0`
 == Neuen VPN Client konfigurieren
@@ Line 52: / Line 54: @@
 ==== neuen Key erstellen
-Der VPN-Server ist aktuell [[intern:externalserver:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
+Der VPN-Server ist aktuell [[intern:server:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
 <code>
 source vars
 ./build-key <hostname>
+./sign-csr <hostname>
 # alle Nachfragen müssen mit 'y' bestätigt werden
 </code>
@@ Line 76: / Line 79: @@
 Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''.
-Änderungen auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] anwenden:
+Änderungen auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] anwenden:
 <code>
 sudo -E su
@@ Line 83: / Line 86: @@
 chmod 600 keys/*key
 </code>
-Sollte das nach einer Passphrase für Keys von root fragen, lokal Key Forwarding aktivieren:
-<code>
-eval $(ssh-agent)
-ssh-add <key>
-ssh -A mng.ber.c3voc.de
-</code>
 ==== Spezielle Server-Konfiguration für den Client anpassen
@@ Line 117: / Line 112: @@
 ; connection
-remote 195.54.164.163
+remote 185.106.84.49
 port 1194
 proto udp
@@ Line 172: / Line 167: @@
 == Client Zertifikat widerrufen
-Auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
+Auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
 <code>
@@ Line 186: / Line 181: @@
 OpenVPN-Server neustarten.