Unterschiede zwischen den Revisionen 11 und 13 (über 2 Versionen hinweg)
Revision 11 vom 2017-10-11 09:44:52
Größe: 3648
Autor: BenjaminSchlueter
Kommentar:
Revision 13 vom 2017-10-11 10:31:01
Größe: 3733
Autor: MikeGabriel
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 5: Zeile 5:
== VPN-Zugang für neue Admins im ITZkS-Projekt == == VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt ==
Zeile 7: Zeile 7:
=== Anlegen des VPN-Zertifikates === === Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter) ===
Zeile 11: Zeile 11:
Dort dann die Konfigurationsvariablen für EasyRSA einbinden Dort dann die Konfigurationsvariablen für EasyRSA einbinden:
Zeile 17: Zeile 17:
und das Zertifikat und die Keys erstellen und das Zertifikat und die Keys erstellen:
Zeile 23: Zeile 23:
Die Abfragen bei der Erstellung entsprechend anpassen

Bsp.:		 Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.:
Zeile 71: Zeile 69:
Die neu erstellten Dateien via {{{git add <Geänderte Datei(en)}}} hinzufügen, via {{{git commit -m'<Beschreibung>'}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} hochladen. Die neu erstellten Dateien via {{{git add <geänderte Datei(en)>}}} hinzufügen, via {{{git commit -m'<Beschreibung>'}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} im hochladen.
Zeile 79: Zeile 77:
Zu packende Dateien sind Zu packende Dateien sind:
Zeile 88: Zeile 86:
Diese ZIP-Datei dann bei dem neuen Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!) Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)
Zeile 90: Zeile 88:
=== Einpflegen in VIDAR === === Einpflegen auf dem ITZkS-VPN-Server ===
Zeile 92: Zeile 90:
Einloggen auf {{{vidar}}} und Erstellen von Einloggen auf {{{vpn.it-zukunft-schule.de}}} und Erstellen von
Zeile 134: Zeile 132:
|| Gatewy || vpn.it-zukunft-schule.de || || Gateway || vpn.it-zukunft-schule.de ||

Inhaltsverzeichnis

  1. VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt
    1. Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)
    2. Einpflegen auf dem ITZkS-VPN-Server
    3. Einpflegen in Client-Gerät

VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt

Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter)

In das Git-Verzeichnis itzks-creds/_VPN_/openvpn/keys/itzks-admins wechseln.

Dort dann die Konfigurationsvariablen für EasyRSA einbinden: 

. vars

und das Zertifikat und die Keys erstellen: 

./build-key itzks-<UID>_vpn-admins

Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.: 

Country Name (2 letter code) [DE]: 

[Enter]

State or Province Name (full name) [Schleswig-Holstein]:

[Enter]

Locality Name (eg, city) [Kiel]:

<Standort>

[Enter]

Organization Name (eg, company) [IT-Zukunft Schule]:

<Schule>

[Enter]

Organizational Unit Name (eg, section) [System Administration]:

[Enter]

Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]:

[Enter]

Name [IT-Zukunft Schule / ADMINS]:

<UID>

[Enter]

Email Address [hostmaster@it-zukunft-schule.de]:

<mailadresse@admin.domain>

[Enter]

und die Erstellung des Zertifikates bestätigen.

Die neu erstellten Dateien via git add <geänderte Datei(en)> hinzufügen, via git commit -m'<Beschreibung>' mit einer passenden Beschreibung versehen, dann via git show die erstellten Dateien prüfen und nach Feststellung der Korrektheit via git push im hochladen.

ZIP-Datei für den neuen Admin erstellen mit 

zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>

Zu packende Dateien sind: 

/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key

Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)

Einpflegen auf dem ITZkS-VPN-Server

Einloggen auf vpn.it-zukunft-schule.de und Erstellen von

/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins

mit dem Inhalt 

ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100>

Bsp. (für Admin im gesamten ITZkS-Projekt): 

ifconfig-push 172.17.1.5 172.17.1.105

Netzsegmente für Admins im ITZkS-Projekt finden sich hier (nur für Admins einsehbar).

Einpflegen in Client-Gerät

OpenVPN installieren 

sudo apt-get install openvpn

In /etc/openvpn/<UID>/keys/ entpacken und für die Benutzung mit 

sudo chown <UID>:<UID> <Datei>

sudo chmod 600 <Datei>

anpassen.

Nun eine neue VPN-Verbindung anlegen (via GUI)

Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen

Anzupassende allgemeine Einstellungen

Gateway

vpn.it-zukunft-schule.de

Legitimierung

Zertifikate (TLS)

Zertifikat des Benutzers

/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt

Zertifikat der Zertifizierungsstelle

/etc/openvpn/<UID>/key/ca.crt

Privater Schlüssel

/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key

Anzupassende erweiterte Einstellungen

LZO-Komprimierung verwenden

Ja

Angepasste UDP-Fragmentgröße

1300

Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken

Ja

Zusätzliche TLS-Legitimerung verwenden

Ja

Schlüsseldatei

/etc/openvpn/<UID>/keys/itzks-ta.key

Schlüsselrichtung

1

IT-Zukunft Schule: Technik/Nutzungshinweise/EinbindungVPN (zuletzt geändert am 2017-10-11 10:31:01 durch MikeGabriel)