8
Bearbeitungen
OpenVPN: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 17: | Zeile 17: | ||
* SSL-Zertifikate für alle Beteiligten. Um die kostengünstig (umsonst) und einfach zu erhalten, sei eine Anmeldung bei [http://cacert.org CaCert] empfohlen. | * SSL-Zertifikate für alle Beteiligten. Um die kostengünstig (umsonst) und einfach zu erhalten, sei eine Anmeldung bei [http://cacert.org CaCert] empfohlen. | ||
* Ein Netzwerkplan für das VPN, um folgende Fragen zu klären (''Melle, bitte ergänzen''): | * Ein Netzwerkplan für das VPN, um folgende Fragen zu klären (''Melle, bitte ergänzen''): | ||
** Welche LAN-Adressen (nach RFC 1918) sollen verwendet werden? '' | ** Welche LAN-Adressen (nach RFC 1918) sollen für das VPN verwendet werden? ''Todo: Ausnahmeregeln für Windoze verstehen und erklären.'' | ||
** Wer darf mit wem kommunizieren? Welches Routing und welche Firewall-Regeln werden dazu auf dem Server benötigt? | ** Wer darf mit wem kommunizieren? Welches Routing und welche Firewall-Regeln werden dazu auf dem Server benötigt? | ||
** Welche Namen haben die VPN-Clients? | ** Welche Namen haben die VPN-Clients? | ||
| Zeile 31: | Zeile 31: | ||
Die CSRs klebt man der Reihe nach in das Eingabefeld bei [http://www.cacert.org/ CaCert] (unter <tt>Server Certificates</tt> → <tt>New</tt>). Postwendend erhält man ein halbwegs glaubwürdiges Zertifikat. Außerdem braucht man noch das [http://www.cacert.org/certs/root.crt Root-Cert] von CACert. | Die CSRs klebt man der Reihe nach in das Eingabefeld bei [http://www.cacert.org/ CaCert] (unter <tt>Server Certificates</tt> → <tt>New</tt>). Postwendend erhält man ein halbwegs glaubwürdiges Zertifikat. Außerdem braucht man noch das [http://www.cacert.org/certs/root.crt Root-Cert] von CACert. | ||
Die Gültigkeitsdauer der Zertifikate beträgt 6 Monate bis 2 Jahre, abhängig von den ''Assurance''-Punkten des Antragstellers. | |||
=== Server-Config === | === Server-Config === | ||
''Noch nicht fertig'' | ''Noch nicht fertig, weil kein VPN-Plan vorhanden'' | ||
Die Server-Config besteht aus: | |||
* Der globalen Konfiguration <code>/etc/openvpn/server.conf</code> | |||
* Einer Konfigurationsdatei pro Client in <code>/etc/openvpn/ccd</code> | |||
Die globale Config in <code>/etc/openvpn/server.conf</code> sieht so aus: | |||
port 33469 | port 33469 | ||
proto udp | proto udp | ||
| Zeile 64: | Zeile 72: | ||
status openvpn-status.log | status openvpn-status.log | ||
In <code>/etc/openvpn/ccd</code> befindet sich eine Konfigurationsdatei pro Client, die exakt so heißen muß wie der CN im Zertifikat des Clients, also z.B. <code>/etc/openvpn/ccd/client001.vpn.freifunk-potsdam.de</code>: | |||
ifconfig-push 10.0.1.2 10.0.1.1 | |||
push "route 10.0.0.0 255.255.0.0" | |||
=== Client-Config === | === Client-Config === | ||
| Zeile 82: | Zeile 94: | ||
=== Routing / Firewall === | === Routing / Firewall === | ||
''Todo'' | |||