<<TableOfContents(4)>>

== Erstellen und Einpflegen von neuen VPN-Zertifikaten ==

Nach Einrichtung eines neuen Servers ist es wichtig, dass dieser auch per VPN erreichbar ist, um Fernwartung, Monitoring etc zu ermöglichen.
Diese Anleitung ist für die Admins des IT-Zukunft-Schule Projektes gedacht.

=== Erstellen des neuen Zertifikates ===

Im GIT {{{itzks-creds}}} in {{{_VPN_/openvpn/keys/itzks-<SCHULE>}}} wechseln.

Datei {{{vars}}} sourcen:

{{{
. vars
}}}

==== Schlüssel erstellen (easyRSA) ====

Erstellung neuer Schlüssel wird entsprechend dem vorhanden Namensschema vorgenommen.

{{{
./build-key itzks-<SERVER>_vpn-<SCHULE>
}}}

Eingaben mit {{{Enter}}} bestätigen, bis zwei {{{y/n}}}-Abfragen erscheinen und diese mit {{{y}}} und {{{Enter}}} bestätigen.

==== Änderungen am GIT-Verzeichnis hochladen ====

Auflisten der geänderten Dateien

{{{
git status
}}}

Hinzufügen der geänderten Dateien zu hochzuladenen Dateien

{{{
git add <entsprechende Dateien>
}}}

Passenden Kommentar schreiben

{{{
git commit -m 'VPN-Keys für <SERVER>.<SCHULE> hinzugefügt.'
}}}

Hochladen der Änderungen

{{{
git push
}}}

=== Einpflegen des neuen Zertifikates ===

==== Anpassungen auf <SERVER>.<SCHULE> ====

Auf dem entsprechenden Server (via SSH) einloggen und folgende Änderungen vornehmen:

OpenVPN installieren

{{{
sudo apt-get install openvpn
}}}

Ins Verzeichnis {{{/etc/openvpn}}} wechseln und dort eine Konfigurationsdatei mit korrekter Namensgebung erstellen

{{{
touch itzks-<SERVER>_vpn-<SCHULE>.conf
}}}

und Inhalt aus bestehender itzks-<SERVER>_vpn-<SCHULE>.conf von einem anderen Server (z.B. vom Tjener.<SCHULE> übernehmen und dabei die entsprechenden Inhalte anpassen (Namen der Keys etc).

Dann im gleichen Verzeichnis ({{{/etc/openvpn}}})

{{{
sudo mkdir keys
}}}

und in {{{/etc/openvpn/keys}}}

{{{
sudo touch ca.crt ta.key itzks-<SERVER>_vpn-<SCHULE>.key itzks-<SERVER>_vpn-<SCHULE>.crt
}}}

erstellen.

In den Dateien entsprechend den Inhalt aus den Dateiequivalenten in {{{/itzks-creds/_VPN_/openvpn/keys/itzks-<SCHULE>/keys}}} einfügen.

Für {{{ta.key}}} den Inhalt von {{{/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key}}} übernehmen.

==== Anpassungen auf vidar ====

In {{{/etc/hosts}}} Einträge für neuen Server ergänzen:

Zu bedenken ist beim Eintragen der IP-Adresse, dass diese angepasst wird.

z.B. wird aus {{{172.16.0.99}}} für den Standort DEV {{{172.17.6.99}}}

|| Standort || Anpassung (an dritter Stelle der IP) ||
|| DEV || 6 ||
|| KATH || 7 ||
|| FWSECK || 10 ||
|| OvG || 12 ||
|| SGM || 13 ||

Danach wird dnsmasq neu gestartet

{{{
sudo invoke-rc.d dnsmasq restart
}}}

In {{{/etc/openvpn-client/itzks-<SCHULE>}}} eine entsprechend benannte Datei erstellen

{{{
touch itzks-<SERVER>_vpn-<SCHULE>
}}}

und dem Schema entsprechend (IP wie in {{{/etc/hosts}}}, aber die letzte Zahl der IP um 100 erhöhen) einen Eintrag tätigen (Beispiel anhand von {{{wifimanager.dev}}}

{{{
ifconfig-push 172.17.6.99 172.17.6.199
}}}

=== Weitere Anpassungen ===

Per SSH wieder auf den Client verbinden / wieder in das Terminal mit der SSH-Verbindung wechseln und auf dem Client die VPN-Verbindung einpflegen:

{{{
sudo systemctl enable openvpn-client@itzks-<SERVER>_vpn-<SCHULE>
sudo systemctl start openvpn-client@itzks-<SERVER>_vpn-<SCHULE>
}}}