Differences

This shows you the differences between two versions of the page.

--- hardware:event-vpngw [2020/02/20 00:30] – ike
+++ hardware:event-vpngw [2024/03/31 14:55] (current) – andi
@@ Line 1: / Line 1: @@
 = VPN
+<bootnote critical> Das Access VPN wird grade auf [[intern:wireguard]] umgestellt, dementsprechend sind manche Abschnitte auf dieser Seite nicht mehr aktuell!</bootnote>
 == Allgemein
@@ Line 18: / Line 21: @@
 * ''oscwrt2.lan.c3voc.de'': 10.73.42.0/24
 * ''router-muc.lan.c3voc.de'': 10.73.80.0/24
+* ''router-hacc.lan.c3voc.de'': 10.73.81.0/24
-Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:externalserver:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
+Konfiguriert werden die entsprechenden Subnetzzugehörigkeiten auf [[intern:server:ber.c3voc.de:mng]] ''/etc/openvpn/clients/wrt${i}@mng.ber.c3voc.de'' mit dem ''iroute'' Befehl.
 === Tweaks
@@ Line 37: / Line 41: @@
 ==== Weiteren Traffic durch das VPN routen
-Auf [[intern:externalserver:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
+Auf [[intern:server:ber.c3voc.de:mng]] ist ein NAT für das Subnet ''10.8.0.0/16'' eingerichtet. Damit kann nach Bedarf auch das VPN als Endpunkt für Internet-Traffic genutzt werden.
 __Szenario 1:__
@@ Line 43: / Line 47: @@
 Auphonic IP ist im Event-Netz für ausgehende Verbindungen gesperrt. Um den Auphonic-Traffic mit durch das VPN zu routen, muss auf dem zuständigen WRT folgende Route per Konsole hinzugefügt werden:
-* ''ip route add $auphonic_ip via 10.8.0.1 dev tun0''
+* `ip route add $auphonic_ip via 10.8.0.1 dev tun0`
 oder
-* ''route add $auphonic_ip gw 10.8.0.1 dev tun0''
+* `route add $auphonic_ip gw 10.8.0.1 dev tun0`
 == Neuen VPN Client konfigurieren
@@ Line 53: / Line 57: @@
 ==== neuen Key erstellen
-Der VPN-Server ist aktuell [[intern:externalserver:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
+Der VPN-Server ist aktuell [[intern:server:ber.c3voc.de:mng]]. Sämtliche Keys die für das OpenVPN mit easy-rsa2 verwaltet werden befinden sich in dem [[intern:git|git]]-Repository ''git@git.c3voc.de:openvpn-ca''. Dieses Repository //lokal// auschecken und neuen Key generieren:
 <code>
@@ Line 78: / Line 82: @@
 Anschließend Änderungen commiten (ohne erstellten private key), pushen und das ausgecheckte Repository wieder lokal löschen. Alternativ Permissions anpassen ''chmod 600 keys/*key''.
-Änderungen auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] anwenden:
+Änderungen auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] anwenden:
 <code>
 sudo -E su
@@ Line 85: / Line 89: @@
 chmod 600 keys/*key
 </code>
-Sollte das nach einer Passphrase für Keys von root fragen, lokal Key Forwarding aktivieren:
-<code>
-eval $(ssh-agent)
-ssh-add <key>
-ssh -A mng.ber.c3voc.de
-</code>
 ==== Spezielle Server-Konfiguration für den Client anpassen
@@ Line 174: / Line 170: @@
 == Client Zertifikat widerrufen
-Auf dem [[intern:externalserver:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
+Auf dem [[intern:server:ber.c3voc.de:mng|VPN-Server]] in den Ordner ''/etc/openvpn/easy-rsa2/'' wechseln und das ''revoke-full'' wie folgt aufrufen:
 <code>