|
Größe: 1469
Kommentar:
|
← Revision 11 vom 2022-01-06 15:27:45 ⇥
Größe: 3426
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| = under maintenance = | <<TableOfContents(4)>> |
| Zeile 5: | Zeile 5: |
| Nach einrichten eines neuen Servers ist es wichtig, dass dieser auch per VPN-Erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. | Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. |
| Zeile 56: | Zeile 56: |
| ==== Anpassungen auf <SERVER>.<SCHULE> ==== |
|
| Zeile 64: | Zeile 66: |
| Ins Verzeichnis {{{/etc/openvpn}}} wechseln und dort | Ins Verzeichnis {{{/etc/openvpn}}} wechseln und dort eine Konfigurationsdatei mit korrekter Namensgebung erstellen |
| Zeile 66: | Zeile 68: |
| {{{ touch itzks-<SERVER>_vpn-<SCHULE>.conf }}} und Inhalt aus bestehender itzks-<SERVER>_vpn-<SCHULE>.conf von einem anderen Server (z.B. vom Tjener.<SCHULE> übernehmen und dabei die entsprechenden Inhalte anpassen (Namen der Keys etc). Dann im gleichen Verzeichnis ({{{/etc/openvpn}}}) {{{ sudo mkdir keys }}} und in {{{/etc/openvpn/keys}}} {{{ sudo touch ca.crt ta.key itzks-<SERVER>_vpn-<SCHULE>.key itzks-<SERVER>_vpn-<SCHULE>.crt }}} erstellen. In den Dateien entsprechend den Inhalt aus den Dateiequivalenten in {{{/itzks-creds/_VPN_/openvpn/keys/itzks-<SCHULE>/keys}}} einfügen. Für {{{ta.key}}} den Inhalt von {{{/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key}}} übernehmen. ==== Anpassungen auf vidar ==== In {{{/etc/hosts}}} Einträge für neuen Server ergänzen: Zu bedenken ist beim Eintragen der IP-Adresse, dass diese angepasst wird. z.B. wird aus {{{172.16.0.99}}} für den Standort DEV {{{172.17.6.99}}} || Standort || Anpassung (an dritter Stelle der IP) || || DEV || 6 || || KATH || 7 || || FWSECK || 10 || || OvG || 12 || || SGM || 13 || Danach wird dnsmasq neu gestartet {{{ sudo invoke-rc.d dnsmasq restart }}} In {{{/etc/openvpn-client/itzks-<SCHULE>}}} eine entsprechend benannte Datei erstellen {{{ touch itzks-<SERVER>_vpn-<SCHULE> }}} und dem Schema entsprechend (IP wie in {{{/etc/hosts}}}, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von {{{wifimanager.dev}}} {{{ ifconfig-push 172.17.6.99 172.17.6.199 }}} |
|
| Zeile 68: | Zeile 126: |
Per SSH wieder auf den Client verbinden / wieder in das Terminal mit der SSH-Verbindung wechseln und auf dem Client die VPN-Verbindung einpflegen: {{{ sudo systemctl enable openvpn-client@itzks-<SERVER>_vpn-<SCHULE> sudo systemctl start openvpn-client@itzks-<SERVER>_vpn-<SCHULE> }}} |
Inhaltsverzeichnis
Erstellen und Einpflegen von neuen VPN-Zertifikaten
Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. Diese Anleitung ist für die Admins des IT-Zukunft-Schule Projektes gedacht.
Erstellen des neuen Zertifikates
Im GIT itzks-creds in _VPN_/openvpn/keys/itzks-<SCHULE> wechseln.
Datei vars sourcen:
. vars
Schlüssel erstellen (easyRSA)
Erstellung neuer Schlüssel wird entsprechend dem vorhanden Namensschema vorgenommen.
./build-key itzks-<SERVER>_vpn-<SCHULE>
Eingaben mit Enter bestätigen, bis zwei y/n-Abfragen erscheinen und diese mit y und Enter bestätigen.
Änderungen am GIT-Verzeichnis hochladen
Auflisten der geänderten Dateien
git status
Hinzufügen der geänderten Dateien zu hochzuladenen Dateien
git add <entsprechende Dateien>
Passenden Kommentar schreiben
git commit -m 'VPN-Keys für <SERVER>.<SCHULE> hinzugefügt.'
Hochladen der Änderungen
git push
Einpflegen des neuen Zertifikates
Anpassungen auf <SERVER>.<SCHULE>
Auf dem entsprechenden Server (via SSH) einloggen und folgende Änderungen vornehmen:
OpenVPN installieren
sudo apt-get install openvpn
Ins Verzeichnis /etc/openvpn wechseln und dort eine Konfigurationsdatei mit korrekter Namensgebung erstellen
touch itzks-<SERVER>_vpn-<SCHULE>.conf
und Inhalt aus bestehender itzks-<SERVER>_vpn-<SCHULE>.conf von einem anderen Server (z.B. vom Tjener.<SCHULE> übernehmen und dabei die entsprechenden Inhalte anpassen (Namen der Keys etc).
Dann im gleichen Verzeichnis (/etc/openvpn)
sudo mkdir keys
und in /etc/openvpn/keys
sudo touch ca.crt ta.key itzks-<SERVER>_vpn-<SCHULE>.key itzks-<SERVER>_vpn-<SCHULE>.crt
erstellen.
In den Dateien entsprechend den Inhalt aus den Dateiequivalenten in /itzks-creds/_VPN_/openvpn/keys/itzks-<SCHULE>/keys einfügen.
Für ta.key den Inhalt von /itzks-creds/_VPN_/openvpn/keys/itzks-ta.key übernehmen.
Anpassungen auf vidar
In /etc/hosts Einträge für neuen Server ergänzen:
Zu bedenken ist beim Eintragen der IP-Adresse, dass diese angepasst wird.
z.B. wird aus 172.16.0.99 für den Standort DEV 172.17.6.99
Standort |
Anpassung (an dritter Stelle der IP) |
DEV |
6 |
KATH |
7 |
FWSECK |
10 |
OvG |
12 |
SGM |
13 |
Danach wird dnsmasq neu gestartet
sudo invoke-rc.d dnsmasq restart
In /etc/openvpn-client/itzks-<SCHULE> eine entsprechend benannte Datei erstellen
touch itzks-<SERVER>_vpn-<SCHULE>
und dem Schema entsprechend (IP wie in /etc/hosts, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von wifimanager.dev
ifconfig-push 172.17.6.99 172.17.6.199
Weitere Anpassungen
Per SSH wieder auf den Client verbinden / wieder in das Terminal mit der SSH-Verbindung wechseln und auf dem Client die VPN-Verbindung einpflegen:
sudo systemctl enable openvpn-client@itzks-<SERVER>_vpn-<SCHULE> sudo systemctl start openvpn-client@itzks-<SERVER>_vpn-<SCHULE>