no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
— | adminstoriesopenvpn [20120906 15:49] (aktuell) – angelegt Dirk Deimeke | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== OpenVPN ====== | ||
+ | * Urspruenglicher Autor: Ramon Kukla | ||
+ | * Urspruengliches Datum: 30.09.2011 | ||
+ | |||
+ | Heute, liebe Kinder, wollen wir euch erklaeren, wie ihr einen Tunnel baut :) | ||
+ | |||
+ | Eine Einrichtung, | ||
+ | |||
+ | Was ist der Vorteil an solch einem Tunnel? | ||
+ | |||
+ | Wenn wir Daten ueber ein " | ||
+ | |||
+ | OpenVPN an sich bietet viele tolle Dinge, wir wollen uns aber erst mal auf eine einfachen Tunnel im Routing-Modus zwischen Server und Client beschraenken. | ||
+ | |||
+ | Wie so oft schauen wir erst mal, dass die Software auf unser System kommt. Ich, als Nutzer von Debian/ | ||
+ | |||
+ | <code bash> | ||
+ | root@server / | ||
+ | root@server / | ||
+ | Nun editieren wir die Datei '' | ||
+ | |||
+ | < | ||
+ | export KEY_PROVINCE="" | ||
+ | export KEY_CITY="" | ||
+ | export KEY_ORG="" | ||
+ | export KEY_EMAIL=""</ | ||
+ | |||
+ | Wenn alles soweit fertig ist, koennen wir endlich ein Serverzertifikat erstellen. Mit allem drumherum sieht das dann wie folgt aus. | ||
+ | |||
+ | <code bash> | ||
+ | root@server / | ||
+ | root@server / | ||
+ | root@server / | ||
+ | root@server / | ||
+ | Anschliessend erstellen wir noch ein Secret-Key und kopieren dann alles wichtige nach / | ||
+ | |||
+ | <code bash> | ||
+ | root@server / | ||
+ | root@server / | ||
+ | Damit nun alles ordentlich laeuft, muss natuerlich noch die Konfiguration angepasst werden. Eine Standardkonfiguration findet sich in ''/ | ||
+ | |||
+ | < | ||
+ | port 1194 | ||
+ | proto udp | ||
+ | dev tun | ||
+ | ca ca.crt | ||
+ | cert server.crt | ||
+ | key server.key | ||
+ | dh dh1024.pem | ||
+ | server 10.8.0.0 255.255.255.0 | ||
+ | keepalive 10 120 | ||
+ | comp-lzo | ||
+ | user nobody | ||
+ | group nogroup | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | status openvpn-status.log | ||
+ | verb 3</ | ||
+ | |||
+ | Im Grunde also keine Aenderung gegenueber der Standardkonfiguration. Nun kann der OpenVPN-Server auch schon gestartet werden. Fehlt nun noch der Client. Fuer den muessen wir natuerlich auch erst mal ein Zertifikat erstellen. | ||
+ | |||
+ | <code bash> | ||
+ | root@server / | ||
+ | Und nun koennen wir das Zertifikat, und einige weitere benoetigte Dateien, auf den Client bringen. Im Detail brauchen wir folgende Dateien auf dem Client in ''/ | ||
+ | |||
+ | Jetzt kopieren wir uns noch die Default-Konfiguration ''/ | ||
+ | |||
+ | < | ||
+ | user nobody | ||
+ | group nogroup | ||
+ | cert client.crt | ||
+ | key client.key</ | ||
+ | |||
+ | Den Rest koennen wir belassen. Das war es schon und wir koennen unseren Tunnel aufbauen indem wir auf dem Client auch den OpenVPN-Daemon starten. Wenn wir in ''/ | ||
+ | |||
+ | <code bash> | ||
+ | PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data. | ||
+ | 64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=25.5 ms | ||
+ | 64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=25.2 ms | ||
+ | |||
+ | --- 10.8.0.1 ping statistics --- | ||
+ | 2 packets transmitted, | ||
+ | rtt min/ | ||
+ | Was kann noch schief laufen? | ||
+ | |||
+ | Natuerlich ist das hier nur eine einfache Konfiguration und bei wachsenden Anspruchen kann es auch zu fantastischen Fehlern kommen. Zu Anfang passiert es schon mal, dass der Versuch ein Clientzertifikat via '' | ||
+ | |||
+ | Pruefen, ob das Clientzertifikat zum Serverzertifikat passt, kann man uebrigens auf dem Client mit einem beherzten '' | ||
+ | |||
+ | [[adminstoriesartikel|Zurück zur Uebersicht]] |