|
Größe: 82
Kommentar:
|
Größe: 3732
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| ..Hier entsteht eine Dokumentation zur Einbindung eines Admin-Gerätes ins VPN.. | #acl AdminGroup:read,write,delete,revert,admin All:read <<TableOfContents(3)>> == VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt == === Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)=== In das Git-Verzeichnis {{{itzks-creds/_VPN_/openvpn/keys/itzks-admins}}} wechseln. Dort dann die Konfigurationsvariablen für EasyRSA einbinden: {{{ . vars }}} und das Zertifikat und die Keys erstellen: {{{ ./build-key itzks-<UID>_vpn-admins }}} Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.: {{{ Country Name (2 letter code) [DE]: [Enter] State or Province Name (full name) [Schleswig-Holstein]: [Enter] Locality Name (eg, city) [Kiel]: <Standort> [Enter] Organization Name (eg, company) [IT-Zukunft Schule]: <Schule> [Enter] Organizational Unit Name (eg, section) [System Administration]: [Enter] Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]: [Enter] Name [IT-Zukunft Schule / ADMINS]: <UID> [Enter] Email Address [hostmaster@it-zukunft-schule.de]: <mailadresse@admin.domain> [Enter] }}} und die Erstellung des Zertifikates bestätigen. Die neu erstellten Dateien via {{{git add <geänderte Datei(en)>}}} hinzufügen, via {{{git commit -m'<Beschreibung>'}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} im hochladen. ZIP-Datei für den neuen Admin erstellen mit {{{ zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)> }}} Zu packende Dateien sind: {{{ /itzks-creds/_VPN_/openvpn/keys/itzks-ta.key /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key }}} Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!) === Einpflegen auf dem ITZkS-VPN-Server === Einloggen auf {{{vpn.it-zukunft-schule.de}}} und Erstellen von {{{/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins}}} mit dem Inhalt {{{ ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100> }}} Bsp. (für Admin im gesamten ITZkS-Projekt): {{{ ifconfig-push 172.17.1.5 172.17.1.105 }}} Netzsegmente für Admins im ITZkS-Projekt finden sich [[Technik/Nutzungshinweise/VPN-Segmente|hier]] (nur für Admins einsehbar). === Einpflegen in Client-Gerät === OpenVPN installieren {{{ sudo apt-get install openvpn }}} In {{{/etc/openvpn/<UID>/keys/}}} entpacken und für die Benutzung mit {{{ sudo chown <UID>:<UID> <Datei> sudo chmod 600 <Datei> }}} anpassen. ==== Nun eine neue VPN-Verbindung anlegen (via GUI) ==== {{{Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen}}} Anzupassende allgemeine Einstellungen || Gateway || vpn.it-zukunft-schule.de || || Legitimierung || Zertifikate (TLS) || || Zertifikat des Benutzers || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt}}} || || Zertifikat der Zertifizierungsstelle || {{{/etc/openvpn/<UID>/key/ca.crt}}} || || Privater Schlüssel || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key}}} || Anzupassende erweiterte Einstellungen || LZO-Komprimierung verwenden || Ja || || Angepasste UDP-Fragmentgröße || 1300 || || Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken || Ja || || Zusätzliche TLS-Legitimerung verwenden || Ja || || Schlüsseldatei || {{{/etc/openvpn/<UID>/keys/itzks-ta.key}}} || || Schlüsselrichtung || 1 || |
Inhaltsverzeichnis
VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt
=== Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)===
In das Git-Verzeichnis itzks-creds/_VPN_/openvpn/keys/itzks-admins wechseln.
Dort dann die Konfigurationsvariablen für EasyRSA einbinden:
. vars
und das Zertifikat und die Keys erstellen:
./build-key itzks-<UID>_vpn-admins
Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.:
Country Name (2 letter code) [DE]: [Enter] State or Province Name (full name) [Schleswig-Holstein]: [Enter] Locality Name (eg, city) [Kiel]: <Standort> [Enter] Organization Name (eg, company) [IT-Zukunft Schule]: <Schule> [Enter] Organizational Unit Name (eg, section) [System Administration]: [Enter] Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]: [Enter] Name [IT-Zukunft Schule / ADMINS]: <UID> [Enter] Email Address [hostmaster@it-zukunft-schule.de]: <mailadresse@admin.domain> [Enter]
und die Erstellung des Zertifikates bestätigen.
Die neu erstellten Dateien via git add <geänderte Datei(en)> hinzufügen, via git commit -m'<Beschreibung>' mit einer passenden Beschreibung versehen, dann via git show die erstellten Dateien prüfen und nach Feststellung der Korrektheit via git push im hochladen.
ZIP-Datei für den neuen Admin erstellen mit
zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>
Zu packende Dateien sind:
/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key
Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)
Einpflegen auf dem ITZkS-VPN-Server
Einloggen auf vpn.it-zukunft-schule.de und Erstellen von
/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins
mit dem Inhalt
ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100>
Bsp. (für Admin im gesamten ITZkS-Projekt):
ifconfig-push 172.17.1.5 172.17.1.105
Netzsegmente für Admins im ITZkS-Projekt finden sich hier (nur für Admins einsehbar).
Einpflegen in Client-Gerät
OpenVPN installieren
sudo apt-get install openvpn
In /etc/openvpn/<UID>/keys/ entpacken und für die Benutzung mit
sudo chown <UID>:<UID> <Datei> sudo chmod 600 <Datei>
anpassen.
Nun eine neue VPN-Verbindung anlegen (via GUI)
Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen
Anzupassende allgemeine Einstellungen
Gateway |
vpn.it-zukunft-schule.de |
Legitimierung |
Zertifikate (TLS) |
Zertifikat des Benutzers |
/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt |
Zertifikat der Zertifizierungsstelle |
/etc/openvpn/<UID>/key/ca.crt |
Privater Schlüssel |
/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key |
Anzupassende erweiterte Einstellungen
LZO-Komprimierung verwenden |
Ja |
Angepasste UDP-Fragmentgröße |
1300 |
Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken |
Ja |
Zusätzliche TLS-Legitimerung verwenden |
Ja |
Schlüsseldatei |
/etc/openvpn/<UID>/keys/itzks-ta.key |
Schlüsselrichtung |
1 |