Änderungen von "Technik/Nutzungshinweise/EinbindungVPN"

Unterschiede zwischen den Revisionen 4 und 8 (über 4 Versionen hinweg)

..Hier entsteht eine Dokumentation zur Einbindung eines Admin-Gerätes ins VPN..

VPN-Zugang für neue Admins im ITZkS-Projekt

Anlegen des VPN-Zertifikates

In das Git-Verzeichnis itzks-creds/_VPN_/openvpn/keys/itzks-admins wechseln.

Dort dann die Konfigurationsvariablen für EasyRSA einbinden

. vars

und das Zertifikat und die Keys erstellen

./build-key itzks-<UID>_vpn-admins

Die Abfragen bei der Erstellung entsprechend anpassen

Bsp.:

Country Name (2 letter code) [DE]: 

[Enter]

State or Province Name (full name) [Schleswig-Holstein]:

[Enter]

Locality Name (eg, city) [Kiel]:

<Standort>

[Enter]

Organization Name (eg, company) [IT-Zukunft Schule]:

<Schule>

[Enter]

Organizational Unit Name (eg, section) [System Administration]:

[Enter]

Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]:

[Enter]

Name [IT-Zukunft Schule / ADMINS]:

<UID>

[Enter]

Email Address [hostmaster@it-zukunft-schule.de]:

<mailadresse@admin.domain>

[Enter]

und die Erstellung des Zertifikates bestätigen.

Die neu erstellten Dateien via git add <Geänderte Datei(en) hinzufügen, via git commit -m'<Beschreibung>' mit einer passenden Beschreibung versehen, dann via git show die erstellten Dateien prüfen und nach Feststellung der Korrektheit via git push hochladen.

ZIP-Datei für den neuen Admin erstellen mit

zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>

Zu packende Dateien sind

/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key

Diese ZIP-Datei dann bei dem neuen Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)

Einfplegen in VIDAR

Einloggen auf vidar und Erstellen von

/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins

mit dem Inhalt

ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100>

Bsp. (für Admin im gesamten ITZkS-Projekt):

ifconfig-push 172.17.1.5 172.17.1.105

Netzsegmente für Admins im ITZkS-Projekt finden sich hier (nur für Admins einsehbar).

Einpflegen in Client-Gerät

OpenVPN installieren

sudo apt-get install openvpn

In /etc/openvpn/<UID>/keys/ entpacken und für die Benutzung mit

sudo chown <UID>:<UID> <Datei>

sudo chmod 600 <Datei>

anpassen.

Nun eine neue VPN-Verbindung anlegen (via GUI)

Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen

Anzupassende allgemeine Einstellungen

Gatewy	vpn.it-zukunft-schule.de
Legitimierung	Zertifikate (TLS)
Zertifikat des Benutzers	`/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt`
Zertifikat der Zertifizierungsstelle	`/etc/openvpn/<UID>/key/ca.crt`
Privater Schlüssel	`/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key`

Anzupassende erweiterte Einstellungen

LZO-Komprimierung verwenden	Ja
Angepasste UDP-Fragmentgröße	1300
Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken	Ja
Zusätzliche TLS-Legitimerung verwenden	Ja
Schlüsseldatei	`/etc/openvpn/<UID>/keys/itzks-ta.key`
Schlüsselrichtung	1

IT-Zukunft Schule: Technik/Nutzungshinweise/EinbindungVPN (zuletzt geändert am 2017-10-11 10:31:01 durch MikeGabriel)

-  ⇤ ← Revision 4 vom 2017-10-11 08:52:14 → 
  Größe: 2076
  Autor: BenjaminSchlueter
  Kommentar:
+   ← Revision 8 vom 2017-10-11 09:37:16 → ⇥
  Größe: 3700
  Autor: BenjaminSchlueter
  Kommentar:
-Gelöschter Text ist auf diese Art markiert.
+Hinzugefügter Text ist auf diese Art markiert.
 Zeile 1:
-#acl AdminGroup:read,write,delete,revert,admin
+#acl AdminGroup:read,write,delete,revert,admin ALL:read
 Zeile 9:
-In das Git-Verzeichnis itzks-creds/_VPN_/openvpn/keys/itzks-admins wechseln.
+In das Git-Verzeichnis {{{itzks-creds/_VPN_/openvpn/keys/itzks-admins}}} wechseln.
 Zeile 13:
+{{{
-Zeile 14:
+Zeile 15:
+}}}
-Zeile 17:
+Zeile 19:
+{{{
-Zeile 18:
+Zeile 21:
+}}}
-Zeile 22:
+Zeile 26:
+{{{
-Zeile 25:
+Zeile 29:
-Enter
+[Enter]
-Zeile 29:
+Zeile 33:
-Enter
+[Enter]
-Zeile 35:
+Zeile 39:
-Enter
+[Enter]
-Zeile 41:
+Zeile 45:
-Enter
+[Enter]
-Zeile 45:
+Zeile 49:
-Enter
+[Enter]
-Zeile 49:
+Zeile 53:
-Enter
+[Enter]
-Zeile 55:
+Zeile 59:
-Enter
+[Enter]
-Zeile 61:
+Zeile 65:
-Enter
+[Enter]
}}}
-Zeile 65:
+Zeile 70:
-Die neu erstellten Dateien via git-add hinzufügen, via git-commit -m'<Beschreibung>' mit einer passenden Beschreibung versehen, dann via git-show die erstellten Dateien prüfen und nach Feststellung der Korrektheit via git-push hochladen.
-Zeile 67:
+Zeile 71:
+Die neu erstellten Dateien via {{{git add <Geänderte Datei(en)}}} hinzufügen, via {{{git commit -m'<Beschreibung>'}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} hochladen.

ZIP-Datei für den neuen Admin erstellen mit 

{{{
zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>
}}}

Zu packende Dateien sind

{{{
/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key
}}}

Diese ZIP-Datei dann bei dem neuen Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)
-Zeile 69:
+Zeile 91:
-Einloggen auf vidar und Erstellen von
+Einloggen auf {{{vidar}}} und Erstellen von
-Zeile 71:
+Zeile 93:
-/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins
+{{{/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins}}}
-Zeile 75:
+Zeile 97:
+{{{
-Zeile 76:
+Zeile 99:
+}}}
-Zeile 79:
+Zeile 103:
+{{{
-Zeile 80:
+Zeile 105:
+}}}
-Zeile 81:
+Zeile 107:
-Netzsegmente für Admins im ITZkS-Projekt

vpn-subnet-admins-itzks  172.17.1.0/28
vpn-subnet-admins-kath   172.17.1.16/29
vpn-subnet-admins-hgg    172.17.1.24/29
vpn-subnet-admins-ebg    172.17.1.32/29
vpn-subnet-admins-wdorf  172.17.1.40/29
vpn-subnet-admins-hhs    172.17.1.48/29
+Netzsegmente für Admins im ITZkS-Projekt finden sich [[Technik/Nutzungshinweise/VPN-Segmente|hier]] (nur für Admins einsehbar).
-Zeile 91:
+Zeile 110:
+OpenVPN installieren

{{{
sudo apt-get install openvpn
}}}



In /etc/openvpn/<UID>/keys/ entpacken und für die Benutzung mit

{{{
sudo chown <UID>:<UID> <Datei>

sudo chmod 600 <Datei>
}}}
anpassen.

==== Nun eine neue VPN-Verbindung anlegen (via GUI) ====

{{{Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen}}}

Anzupassende allgemeine Einstellungen

|| Gatewy || vpn.it-zukunft-schule.de ||
|| Legitimierung || Zertifikate (TLS) ||
|| Zertifikat des Benutzers || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt}}} ||
|| Zertifikat der Zertifizierungsstelle || {{{/etc/openvpn/<UID>/key/ca.crt}}} ||
|| Privater Schlüssel || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key}}} ||

Anzupassende erweiterte Einstellungen

|| LZO-Komprimierung verwenden || Ja ||
|| Angepasste UDP-Fragmentgröße || 1300 ||
|| Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken || Ja ||
|| Zusätzliche TLS-Legitimerung verwenden || Ja ||
|| Schlüsseldatei || {{{/etc/openvpn/<UID>/keys/itzks-ta.key}}} ||
|| Schlüsselrichtung || 1 ||

Wiki

Seite

VPN-Zugang für neue Admins im ITZkS-Projekt

Anlegen des VPN-Zertifikates

Einfplegen in VIDAR

Einpflegen in Client-Gerät

Nun eine neue VPN-Verbindung anlegen (via GUI)