Unterschiede zwischen den Revisionen 8 und 11 (über 3 Versionen hinweg)
Revision 8 vom 2018-07-06 10:09:02
Größe: 3467
Autor: BenjaminSchlueter
Kommentar:
Revision 11 vom 2022-01-06 15:27:45
Größe: 3426
Autor: MikeGabriel
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
#acl AdminGroup:read,write,delete,revert,admin All:read
Zeile 100: Zeile 98:
zB wird aus {{{172.16.0.99}}} für den Standort Katharineum {{{172.17.7.99}}} z.B. wird aus {{{172.16.0.99}}} für den Standort DEV {{{172.17.6.99}}}
Zeile 103: Zeile 101:
|| WDORF || 2 ||
|| EBG || 3 ||
|| HGG || 4 ||
Zeile 108: Zeile 103:
|| FWSECK || 10 ||
|| OvG || 12 ||
|| SGM || 13 ||
Zeile 115: Zeile 113:
In {{{/etc/openvpn/itzks-<SCHULE>}}} eine entsprechend benannte Datei erstellen In {{{/etc/openvpn-client/itzks-<SCHULE>}}} eine entsprechend benannte Datei erstellen
Zeile 121: Zeile 119:
und dem Schema entsprechend (IP wie in {{{/etc/hosts}}}, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von {{{wifimanager.kath}}} und dem Schema entsprechend (IP wie in {{{/etc/hosts}}}, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von {{{wifimanager.dev}}}
Zeile 124: Zeile 122:
ifconfig-push 172.17.7.99 172.17.7.199 ifconfig-push 172.17.6.99 172.17.6.199
Zeile 132: Zeile 130:
sudo systemctl enable openvpn@itzks-<SERVER>_vpn-<SCHULE>
sudo systemctl start openvpn@itzks-<SERVER>_vpn-<SCHULE>		 sudo systemctl enable openvpn-client@itzks-<SERVER>_vpn-<SCHULE>
sudo systemctl start openvpn-client@itzks-<SERVER>_vpn-<SCHULE>

Inhaltsverzeichnis

  1. Erstellen und Einpflegen von neuen VPN-Zertifikaten
    1. Erstellen des neuen Zertifikates
      1. Schlüssel erstellen (easyRSA)
      2. Änderungen am GIT-Verzeichnis hochladen
    2. Einpflegen des neuen Zertifikates
      1. Anpassungen auf <SERVER>.<SCHULE>
      2. Anpassungen auf vidar
    3. Weitere Anpassungen

Erstellen und Einpflegen von neuen VPN-Zertifikaten

Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen. Diese Anleitung ist für die Admins des IT-Zukunft-Schule Projektes gedacht.

Erstellen des neuen Zertifikates

Im GIT itzks-creds in _VPN_/openvpn/keys/itzks-<SCHULE> wechseln.

Datei vars sourcen: 

. vars

Schlüssel erstellen (easyRSA)

Erstellung neuer Schlüssel wird entsprechend dem vorhanden Namensschema vorgenommen. 

./build-key itzks-<SERVER>_vpn-<SCHULE>

Eingaben mit Enter bestätigen, bis zwei y/n-Abfragen erscheinen und diese mit y und Enter bestätigen.

Änderungen am GIT-Verzeichnis hochladen

Auflisten der geänderten Dateien 

git status

Hinzufügen der geänderten Dateien zu hochzuladenen Dateien 

git add <entsprechende Dateien>

Passenden Kommentar schreiben 

git commit -m 'VPN-Keys für <SERVER>.<SCHULE> hinzugefügt.'

Hochladen der Änderungen 

git push

Einpflegen des neuen Zertifikates

Anpassungen auf <SERVER>.<SCHULE>

Auf dem entsprechenden Server (via SSH) einloggen und folgende Änderungen vornehmen:

OpenVPN installieren 

sudo apt-get install openvpn

Ins Verzeichnis /etc/openvpn wechseln und dort eine Konfigurationsdatei mit korrekter Namensgebung erstellen 

touch itzks-<SERVER>_vpn-<SCHULE>.conf

und Inhalt aus bestehender itzks-<SERVER>_vpn-<SCHULE>.conf von einem anderen Server (z.B. vom Tjener.<SCHULE> übernehmen und dabei die entsprechenden Inhalte anpassen (Namen der Keys etc).

Dann im gleichen Verzeichnis (/etc/openvpn) 

sudo mkdir keys

und in /etc/openvpn/keys 

sudo touch ca.crt ta.key itzks-<SERVER>_vpn-<SCHULE>.key itzks-<SERVER>_vpn-<SCHULE>.crt

erstellen.

In den Dateien entsprechend den Inhalt aus den Dateiequivalenten in /itzks-creds/_VPN_/openvpn/keys/itzks-<SCHULE>/keys einfügen.

Für ta.key den Inhalt von /itzks-creds/_VPN_/openvpn/keys/itzks-ta.key übernehmen.

Anpassungen auf vidar

In /etc/hosts Einträge für neuen Server ergänzen:

Zu bedenken ist beim Eintragen der IP-Adresse, dass diese angepasst wird.

z.B. wird aus 172.16.0.99 für den Standort DEV 172.17.6.99

Standort

Anpassung (an dritter Stelle der IP)

DEV

6

KATH

7

FWSECK

10

OvG

12

SGM

13

Danach wird dnsmasq neu gestartet 

sudo invoke-rc.d dnsmasq restart

In /etc/openvpn-client/itzks-<SCHULE> eine entsprechend benannte Datei erstellen 

touch itzks-<SERVER>_vpn-<SCHULE>

und dem Schema entsprechend (IP wie in /etc/hosts, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von wifimanager.dev 

ifconfig-push 172.17.6.99 172.17.6.199

Weitere Anpassungen

Per SSH wieder auf den Client verbinden / wieder in das Terminal mit der SSH-Verbindung wechseln und auf dem Client die VPN-Verbindung einpflegen: 

sudo systemctl enable openvpn-client@itzks-<SERVER>_vpn-<SCHULE>
sudo systemctl start openvpn-client@itzks-<SERVER>_vpn-<SCHULE>

IT-Zukunft Schule: Technik/Installation/VPN (zuletzt geändert am 2022-01-06 15:27:45 durch MikeGabriel)