Inhaltsverzeichnis

  1. VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt
    1. Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)
    2. Einpflegen auf dem ITZkS-VPN-Server
    3. Einpflegen in Client-Gerät

VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt

Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)

In das Git-Verzeichnis itzks-creds/_VPN_/openvpn/keys/itzks-admins wechseln.

Dort dann die Konfigurationsvariablen für EasyRSA einbinden: 

. vars

und das Zertifikat und die Keys erstellen: 

./build-key itzks-<UID>_vpn-admins

Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.: 

Country Name (2 letter code) [DE]: 

[Enter]

State or Province Name (full name) [Schleswig-Holstein]:

[Enter]

Locality Name (eg, city) [Kiel]:

<Standort>

[Enter]

Organization Name (eg, company) [IT-Zukunft Schule]:

<Schule>

[Enter]

Organizational Unit Name (eg, section) [System Administration]:

[Enter]

Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]:

[Enter]

Name [IT-Zukunft Schule / ADMINS]:

<UID>

[Enter]

Email Address [hostmaster@it-zukunft-schule.de]:

<mailadresse@admin.domain>

[Enter]

und die Erstellung des Zertifikates bestätigen.

Die neu erstellten Dateien via git add <geänderte Datei(en)> hinzufügen, via git commit -m'<Beschreibung>' mit einer passenden Beschreibung versehen, dann via git show die erstellten Dateien prüfen und nach Feststellung der Korrektheit via git push im hochladen.

ZIP-Datei für den neuen Admin erstellen mit 

zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>

Zu packende Dateien sind: 

/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key

Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)

Einpflegen auf dem ITZkS-VPN-Server

Einloggen auf vpn.it-zukunft-schule.de und Erstellen von

/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins

mit dem Inhalt 

ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100>

Bsp. (für Admin im gesamten ITZkS-Projekt): 

ifconfig-push 172.17.1.5 172.17.1.105

Netzsegmente für Admins im ITZkS-Projekt finden sich hier (nur für Admins einsehbar).

Einpflegen in Client-Gerät

OpenVPN installieren 

sudo apt-get install openvpn

In /etc/openvpn/<UID>/keys/ entpacken und für die Benutzung mit 

sudo chown <UID>:<UID> <Datei>

sudo chmod 600 <Datei>

anpassen.

Nun eine neue VPN-Verbindung anlegen (via GUI)

Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen

Anzupassende allgemeine Einstellungen

Gateway

vpn.it-zukunft-schule.de

Legitimierung

Zertifikate (TLS)

Zertifikat des Benutzers

/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt

Zertifikat der Zertifizierungsstelle

/etc/openvpn/<UID>/key/ca.crt

Privater Schlüssel

/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key

Anzupassende erweiterte Einstellungen

LZO-Komprimierung verwenden

Ja

Angepasste UDP-Fragmentgröße

1300

Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken

Ja

Zusätzliche TLS-Legitimerung verwenden

Ja

Schlüsseldatei

/etc/openvpn/<UID>/keys/itzks-ta.key

Schlüsselrichtung

1

IT-Zukunft Schule: Technik/Nutzungshinweise/EinbindungVPN (zuletzt geändert am 2017-10-11 10:31:01 durch MikeGabriel)