Differences

This shows you the differences between two versions of the page.

--- hardware:event-vpngw [2016/07/02 17:45] – [Tweaks] andi
+++ hardware:event-vpngw [2024/03/31 14:55] (current) – andi
@@ Line 1: / Line 1: @@
 = VPN
+<bootnote critical> Das Access VPN wird grade auf [[intern:wireguard]] umgestellt, dementsprechend sind manche Abschnitte auf dieser Seite nicht mehr aktuell!</bootnote>
 == Allgemein
@@ Line 14: / Line 17: @@
 * ''wrt5.lan.c3voc.de'': 10.73.5.0/24
-Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
+* ''oscwrt1.lan.c3voc.de'': 10.73.41.0/24
+* ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24
+* ''router-muc.lan.c3voc.de'': 10.73.80.0/24
+* ''router-hacc.lan.c3voc.de'': 10.73.81.0/24
+Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
 === Tweaks
@@ Line 25: / Line 35: @@
 </code>
-<note warning>Um Konflikte zu vermeiden, sollte darauf geachtet werden, dass die IP-Adresse ''10.73.0.254'' nicht automatisch konfiguriert wird, sondern nur bei Bedarf.</note>
+<bootnote warning>Um Konflikte zu vermeiden, sollte darauf geachtet werden, dass die IP-Adresse ''10.73.0.254'' nicht automatisch konfiguriert wird, sondern nur bei Bedarf.</bootnote>
@@ Line 31: / Line 41: @@
 ==== Weiteren Traffic durch das VPN routen
-Auf [[intern:externalserver:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
+Auf [[intern:server:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
 __Szenario 1:__
@@ Line 37: / Line 47: @@
 Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden:
-* ''ip route add $auphonic_ip via 10.8.0.1 dev tun0''
+* `ip route add $auphonic_ip via 10.8.0.1 dev tun0`
 oder
-* ''route add $auphonic_ip gw 10.8.0.1 dev tun0''
+* `route add $auphonic_ip gw 10.8.0.1 dev tun0`
 == Neuen VPN Client konfigurieren
@@ Line 47: / Line 57: @@
 ==== neuen Key erstellen
-Der VPN-Server ist aktuell [[intern:externalserver:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@mng.ber.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
+Der VPN-Server ist aktuell [[intern:server:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
 <code>
 source vars
 ./build-key <hostname>
+./sign-csr <hostname>
 # alle Nachfragen müssen mit 'y' bestätigt werden
 </code>
+Beim lokalen auschecken koennte es passieren, dass der Pfad
+<code>
+dir             = /etc/openvpn/easy-rsa2/keys           # Where everything is kept
+</code>
+in der openssl.cnf nicht passt. Diesen durch den Pfad ersetzen den pwd anzeigt hilft:
+<code>
+dir             = /home/eimann/src/openvpn-ca/keys              # Where everything is kept
+</code>
+Danach funktioniert das build-key command.
 Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''.
-Änderungen auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] anwenden:
+Änderungen auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] anwenden:
 <code>
 sudo -E su
@@ Line 64: / Line 89: @@
 chmod 600 keys/*key
 </code>
 ==== Spezielle Server-Konfiguration für den Client anpassen
@@ Line 72: / Line 96: @@
 cd /etc/openvpn/clients
 ln -s default_clients <client>
-/etc/init.de/openvpn restart # Achtung das kickt leider alle Clients :/
+/etc/init.d/openvpn restart # Achtung das kickt leider alle Clients :/
 </code>
 === Auf dem Client
 [[https://openvpn.net/|OpenVPN]] client installieren z.B.:
@@ Line 90: / Line 115: @@
 ; connection
-remote 195.54.164.163
+remote 185.106.84.49
 port 1194
 proto udp
@@ Line 124: / Line 149: @@
 Anschließend Permissions anpassen und OpenVPN-Client starten:
+wheezy (init v)
 <code>
 chmod 600 /etc/openvpn/*.key
@@ Line 129: / Line 156: @@
 tail -f /var/log/daemon.log
 </code>
+Ab jessie (systemd):
+<code>
+chmod 600 /etc/openvpn/*.key
+systemctl enable openvpn@voc
+systemctl start openvpn@voc
+tail -f /var/log/daemon.log
+</code>
+<bootnote warning>Die Nutzung von Network Manager ist nicht empfohlen. Dieser übernimmt nicht alle Einstellungen aus der Client Config (mtu) ([[https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/364101|vergl.]]). Das Problem macht sich dann spätestens beim Aufbau einer ssh Verbindung bemerkbar.</bootnote>
 == Client Zertifikat widerrufen
-Auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
+Auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
 <code>
@@ Line 146: / Line 184: @@
 OpenVPN-Server neustarten.