Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
hardware:event-vpngw [2019/09/28 19:20] – meise | hardware:event-vpngw [2024/03/31 14:55] (current) – andi | ||
---|---|---|---|
Line 1: | Line 1: | ||
= VPN | = VPN | ||
+ | |||
+ | < | ||
+ | |||
== Allgemein | == Allgemein | ||
Line 18: | Line 21: | ||
* '' | * '' | ||
* '' | * '' | ||
+ | * '' | ||
- | Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver: | + | Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server: |
=== Tweaks | === Tweaks | ||
Line 37: | Line 41: | ||
==== Weiteren Traffic durch das VPN routen | ==== Weiteren Traffic durch das VPN routen | ||
- | Auf [[intern:externalserver: | + | Auf [[intern:server: |
__Szenario 1:__ | __Szenario 1:__ | ||
Line 43: | Line 47: | ||
Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden: | Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden: | ||
- | * '' | + | * `ip route add $auphonic_ip via 10.8.0.1 dev tun0` |
oder | oder | ||
- | * '' | + | * `route add $auphonic_ip gw 10.8.0.1 dev tun0` |
== Neuen VPN Client konfigurieren | == Neuen VPN Client konfigurieren | ||
Line 53: | Line 57: | ||
==== neuen Key erstellen | ==== neuen Key erstellen | ||
- | Der VPN-Server ist aktuell [[intern:externalserver: | + | Der VPN-Server ist aktuell [[intern:server: |
< | < | ||
source vars | source vars | ||
./build-key < | ./build-key < | ||
+ | ./sign-csr < | ||
# alle Nachfragen müssen mit ' | # alle Nachfragen müssen mit ' | ||
</ | </ | ||
Line 77: | Line 82: | ||
Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen '' | Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen '' | ||
- | Änderungen auf dem [[intern:externalserver: | + | Änderungen auf dem [[intern:server: |
< | < | ||
sudo -E su | sudo -E su | ||
Line 84: | Line 89: | ||
chmod 600 keys/*key | chmod 600 keys/*key | ||
</ | </ | ||
- | |||
- | Sollte das nach einer Passphrase für Keys von root fragen, lokal Key Forwarding aktivieren: | ||
- | < | ||
- | eval $(ssh-agent) | ||
- | ssh-add <key> | ||
- | ssh -A mng.ber.c3voc.de | ||
- | </ | ||
- | |||
==== Spezielle Server-Konfiguration für den Client anpassen | ==== Spezielle Server-Konfiguration für den Client anpassen | ||
Line 173: | Line 170: | ||
== Client Zertifikat widerrufen | == Client Zertifikat widerrufen | ||
- | Auf dem [[intern:externalserver: | + | Auf dem [[intern:server: |
< | < |