Unterschiede zwischen den Revisionen 6 und 7
Revision 6 vom 2017-06-23 13:01:04
Größe: 3408
Autor: BenjaminSchlueter
Kommentar:
Revision 7 vom 2017-06-23 13:01:16
Größe: 3408
Autor: BenjaminSchlueter
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 5: Zeile 5:
Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN-Erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen.

Inhaltsverzeichnis

  1. Erstellen und Einpflegen von neuen VPN-Zertifikaten
    1. Erstellen des neuen Zertifikates
      1. Schlüssel erstellen (easyRSA)
      2. Änderungen am GIT-Verzeichnis hochladen
    2. Einpflegen des neuen Zertifikates
      1. Anpassungen auf <SERVER>.<SCHULE>
      2. Anpassungen auf vidar
    3. Weitere Anpassungen

Erstellen und Einpflegen von neuen VPN-Zertifikaten

Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. Diese Anleitung ist für die Admins des IT-Zukunft-Schule Projektes gedacht.

Erstellen des neuen Zertifikates

Im GIT itzks-creds in _VPN_/openvpn/keys/itzks-<SCHULE> wechseln.

Datei vars sourcen: 

. vars

Schlüssel erstellen (easyRSA)

Erstellung neuer Schlüssel wird entsprechend dem vorhanden Namensschema vorgenommen. 

./build-key itzks-<SERVER>_vpn-<SCHULE>

Eingaben mit Enter bestätigen, bis zwei y/n-Abfragen erscheinen und diese mit y und Enter bestätigen.

Änderungen am GIT-Verzeichnis hochladen

Auflisten der geänderten Dateien 

git status

Hinzufügen der geänderten Dateien zu hochzuladenen Dateien 

git add <entsprechende Dateien>

Passenden Kommentar schreiben 

git commit -m 'VPN-Keys für <SERVER>.<SCHULE> hinzugefügt.'

Hochladen der Änderungen 

git push

Einpflegen des neuen Zertifikates

Anpassungen auf <SERVER>.<SCHULE>

Auf dem entsprechenden Server (via SSH) einloggen und folgende Änderungen vornehmen:

OpenVPN installieren 

sudo apt-get install openvpn

Ins Verzeichnis /etc/openvpn wechseln und dort eine Konfigurationsdatei mit korrekter Namensgebung erstellen 

touch itzks-<SERVER>_vpn-<SCHULE>.conf

und Inhalt aus bestehender itzks-<SERVER>_vpn-<SCHULE>.conf von einem anderen Server (z.B. vom Tjener.<SCHULE> übernehmen und dabei die entsprechenden Inhalte anpassen (Namen der Keys etc).

Dann im gleichen Verzeichnis (/etc/openvpn) 

sudo mkdir keys

und in /etc/openvpn/keys 

sudo touch ca.crt ta.key itzks-<SERVER>_vpn-<SCHULE>.key itzks-<SERVER>_vpn-<SCHULE>.crt

erstellen.

In den Dateien entsprechend den Inhalt aus den Dateiequivalenten in /itzks-creds/_VPN_/openvpn/keys/itzks-<SCHULE>/keys einfügen.

Für ta.key den Inhalt von /itzks-creds/_VPN_/openvpn/keys/itzks-ta.key übernehmen.

Anpassungen auf vidar

In /etc/hosts Einträge für neuen Server ergänzen:

Zu bedenken ist beim Eintragen der IP-Adresse, dass diese angepasst wird.

zB wird aus 172.16.0.99 für den Standort Katharineum 172.17.7.99

Standort

Anpassung (an dritter Stelle der IP)

WDORF

2

EBG

3

HGG

4

DEV

6

KATH

7

Danach wird dnsmasq neu gestartet 

sudo invoke-rc.d dnsmasq restart

In /etc/openvpn/itzks-<SCHULE> eine entsprechend benannte Datei erstellen 

touch itzks-<SERVER>_vpn-<SCHULE>

und dem Schema entsprechend (IP wie in /etc/hosts, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von wifimanager.kath 

ifconfig-push 172.17.7.99 172.17.7.199

Weitere Anpassungen

Per SSH wieder auf den Client verbinden / wieder in das Terminal mit der SSH-Verbindung wechseln und auf dem Client die VPN-Verbindung einpflegen: 

sudo systemctl enable openvpn@itzks-<SERVER>_vpn-<SCHULE>
sudo systemctl start openvpn@itzks-<SERVER>_vpn-<SCHULE>

IT-Zukunft Schule: Technik/Installation/VPN (zuletzt geändert am 2022-01-06 15:27:45 durch MikeGabriel)