Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
hardware:event-vpngw [2016/08/22 20:53] – [Auf dem VPN-Server] andi | hardware:event-vpngw [2024/03/31 14:55] (current) – andi | ||
---|---|---|---|
Line 1: | Line 1: | ||
= VPN | = VPN | ||
+ | |||
+ | < | ||
+ | |||
== Allgemein | == Allgemein | ||
Line 14: | Line 17: | ||
* '' | * '' | ||
- | Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver: | + | |
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | |||
+ | |||
+ | Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server: | ||
=== Tweaks | === Tweaks | ||
Line 25: | Line 35: | ||
</ | </ | ||
- | <note warning> | + | <bootnote |
Line 31: | Line 41: | ||
==== Weiteren Traffic durch das VPN routen | ==== Weiteren Traffic durch das VPN routen | ||
- | Auf [[intern:externalserver: | + | Auf [[intern:server: |
__Szenario 1:__ | __Szenario 1:__ | ||
Line 37: | Line 47: | ||
Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden: | Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden: | ||
- | * '' | + | * `ip route add $auphonic_ip via 10.8.0.1 dev tun0` |
oder | oder | ||
- | * '' | + | * `route add $auphonic_ip gw 10.8.0.1 dev tun0` |
== Neuen VPN Client konfigurieren | == Neuen VPN Client konfigurieren | ||
Line 47: | Line 57: | ||
==== neuen Key erstellen | ==== neuen Key erstellen | ||
- | Der VPN-Server ist aktuell [[intern:externalserver: | + | Der VPN-Server ist aktuell [[intern:server: |
< | < | ||
source vars | source vars | ||
./build-key < | ./build-key < | ||
+ | ./sign-csr < | ||
# alle Nachfragen müssen mit ' | # alle Nachfragen müssen mit ' | ||
</ | </ | ||
+ | |||
+ | Beim lokalen auschecken koennte es passieren, dass der Pfad | ||
+ | |||
+ | < | ||
+ | dir = / | ||
+ | </ | ||
+ | |||
+ | in der openssl.cnf nicht passt. Diesen durch den Pfad ersetzen den pwd anzeigt hilft: | ||
+ | |||
+ | < | ||
+ | dir = / | ||
+ | </ | ||
+ | |||
+ | Danach funktioniert das build-key command. | ||
Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen '' | Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen '' | ||
- | Änderungen auf dem [[intern:externalserver: | + | Änderungen auf dem [[intern:server: |
< | < | ||
sudo -E su | sudo -E su | ||
Line 64: | Line 89: | ||
chmod 600 keys/*key | chmod 600 keys/*key | ||
</ | </ | ||
- | |||
==== Spezielle Server-Konfiguration für den Client anpassen | ==== Spezielle Server-Konfiguration für den Client anpassen | ||
Line 72: | Line 96: | ||
cd / | cd / | ||
ln -s default_clients < | ln -s default_clients < | ||
- | /etc/init.de/openvpn restart # Achtung das kickt leider alle Clients :/ | + | /etc/init.d/openvpn restart # Achtung das kickt leider alle Clients :/ |
</ | </ | ||
=== Auf dem Client | === Auf dem Client | ||
+ | |||
[[https:// | [[https:// | ||
Line 90: | Line 115: | ||
; connection | ; connection | ||
- | remote | + | remote |
port 1194 | port 1194 | ||
proto udp | proto udp | ||
Line 124: | Line 149: | ||
Anschließend Permissions anpassen und OpenVPN-Client starten: | Anschließend Permissions anpassen und OpenVPN-Client starten: | ||
+ | |||
+ | wheezy (init v) | ||
< | < | ||
chmod 600 / | chmod 600 / | ||
Line 129: | Line 156: | ||
tail -f / | tail -f / | ||
</ | </ | ||
+ | |||
+ | Ab jessie (systemd): | ||
+ | < | ||
+ | chmod 600 / | ||
+ | systemctl enable openvpn@voc | ||
+ | systemctl start openvpn@voc | ||
+ | tail -f / | ||
+ | </ | ||
+ | |||
+ | |||
+ | < | ||
== Client Zertifikat widerrufen | == Client Zertifikat widerrufen | ||
- | Auf dem [[intern:externalserver: | + | Auf dem [[intern:server: |
< | < | ||
Line 146: | Line 184: | ||
OpenVPN-Server neustarten. | OpenVPN-Server neustarten. | ||
- | |||
- |