OpenVPN: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen
722 Bytes hinzugefügt ,  23. Juli 2006
keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 17: Zeile 17:
* SSL-Zertifikate für alle Beteiligten. Um die kostengünstig (umsonst) und einfach zu erhalten, sei eine Anmeldung bei [http://cacert.org CaCert] empfohlen.
* SSL-Zertifikate für alle Beteiligten. Um die kostengünstig (umsonst) und einfach zu erhalten, sei eine Anmeldung bei [http://cacert.org CaCert] empfohlen.
* Ein Netzwerkplan für das VPN, um folgende Fragen zu klären (''Melle, bitte ergänzen''):
* Ein Netzwerkplan für das VPN, um folgende Fragen zu klären (''Melle, bitte ergänzen''):
** Welche LAN-Adressen (nach RFC 1918) sollen verwendet werden? ''TBD: Ausnahmeregeln für Windoze verstehen und erklären.''  
** Welche LAN-Adressen (nach RFC 1918) sollen für das VPN verwendet werden? ''Todo: Ausnahmeregeln für Windoze verstehen und erklären.''  
** Wer darf mit wem kommunizieren? Welches Routing und welche Firewall-Regeln werden dazu auf dem Server benötigt?
** Wer darf mit wem kommunizieren? Welches Routing und welche Firewall-Regeln werden dazu auf dem Server benötigt?
** Welche Namen haben die VPN-Clients?
** Welche Namen haben die VPN-Clients?
Zeile 31: Zeile 31:


Die CSRs klebt man der Reihe nach in das Eingabefeld bei [http://www.cacert.org/ CaCert] (unter <tt>Server Certificates</tt> &rarr; <tt>New</tt>). Postwendend erhält man ein halbwegs glaubwürdiges Zertifikat. Außerdem braucht man noch das [http://www.cacert.org/certs/root.crt Root-Cert] von CACert.
Die CSRs klebt man der Reihe nach in das Eingabefeld bei [http://www.cacert.org/ CaCert] (unter <tt>Server Certificates</tt> &rarr; <tt>New</tt>). Postwendend erhält man ein halbwegs glaubwürdiges Zertifikat. Außerdem braucht man noch das [http://www.cacert.org/certs/root.crt Root-Cert] von CACert.
Die Gültigkeitsdauer der Zertifikate beträgt 6 Monate bis 2 Jahre, abhängig von den ''Assurance''-Punkten des Antragstellers.


=== Server-Config ===
=== Server-Config ===
''Noch nicht fertig''
''Noch nicht fertig, weil kein VPN-Plan vorhanden''
 
Die Server-Config besteht aus:
* Der globalen Konfiguration <code>/etc/openvpn/server.conf</code>
* Einer Konfigurationsdatei pro Client in <code>/etc/openvpn/ccd</code>
 
Die globale Config in <code>/etc/openvpn/server.conf</code> sieht so aus:
  port 33469
  port 33469
  proto udp
  proto udp
Zeile 64: Zeile 72:
   
   
  status openvpn-status.log
  status openvpn-status.log
In <code>/etc/openvpn/ccd</code> befindet sich eine Konfigurationsdatei pro Client, die exakt so heißen muß wie der CN im Zertifikat des Clients, also z.B. <code>/etc/openvpn/ccd/client001.vpn.freifunk-potsdam.de</code>:
ifconfig-push 10.0.1.2 10.0.1.1
push "route 10.0.0.0 255.255.0.0"


=== Client-Config ===
=== Client-Config ===
Zeile 82: Zeile 94:


=== Routing / Firewall ===
=== Routing / Firewall ===
''Todo''
8

Bearbeitungen

Navigationsmenü