#acl AdminGroup:read,write,delete,revert,admin All:read

<<TableOfContents(3)>>

== VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt ==

=== Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter) ===

In das Git-Verzeichnis {{{itzks-creds/_VPN_/openvpn/keys/itzks-admins}}} wechseln.

Dort dann die Konfigurationsvariablen für EasyRSA einbinden:

{{{
. vars
}}}

und das Zertifikat und die Keys erstellen:

{{{
./build-key itzks-<UID>_vpn-admins
}}}

Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.:
{{{
Country Name (2 letter code) [DE]: 

[Enter]

State or Province Name (full name) [Schleswig-Holstein]:

[Enter]

Locality Name (eg, city) [Kiel]:

<Standort>

[Enter]

Organization Name (eg, company) [IT-Zukunft Schule]:

<Schule>

[Enter]

Organizational Unit Name (eg, section) [System Administration]:

[Enter]

Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]:

[Enter]

Name [IT-Zukunft Schule / ADMINS]:

<UID>

[Enter]

Email Address [hostmaster@it-zukunft-schule.de]:

<mailadresse@admin.domain>

[Enter]
}}}

und die Erstellung des Zertifikates bestätigen.


Die neu erstellten Dateien via {{{git add <geänderte Datei(en)>}}} hinzufügen, via {{{git commit -m'<Beschreibung>'}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} im hochladen.

ZIP-Datei für den neuen Admin erstellen mit 

{{{
zip <openvpn-keys_<UID>.zip> <zu packende Datei(en)>
}}}

Zu packende Dateien sind:

{{{
/itzks-creds/_VPN_/openvpn/keys/itzks-ta.key
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.crt
/itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-<UID>_vpn-admins.key
}}}

Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!)

=== Einpflegen auf dem ITZkS-VPN-Server ===

Einloggen auf {{{vpn.it-zukunft-schule.de}}} und Erstellen von

{{{/etc/openvpn/ccd/itzks-admins/itzks-<UID>_vpn-admins}}}

mit dem Inhalt

{{{
ifconfig-push 172.17.1.<freie IP aus Schul-Admin-Netzsegment> 172.17.1.<freie IP aus Schul-Admin-Netzsegment + 100>
}}}

Bsp. (für Admin im gesamten ITZkS-Projekt):

{{{
ifconfig-push 172.17.1.5 172.17.1.105
}}}

Netzsegmente für Admins im ITZkS-Projekt finden sich [[Technik/Nutzungshinweise/VPN-Segmente|hier]] (nur für Admins einsehbar).

=== Einpflegen in Client-Gerät ===

OpenVPN installieren

{{{
sudo apt-get install openvpn
}}}


In {{{/etc/openvpn/<UID>/keys/}}} entpacken und für die Benutzung mit

{{{
sudo chown <UID>:<UID> <Datei>

sudo chmod 600 <Datei>
}}}
anpassen.

==== Nun eine neue VPN-Verbindung anlegen (via GUI) ====

{{{Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen}}}

Anzupassende allgemeine Einstellungen

|| Gateway || vpn.it-zukunft-schule.de ||
|| Legitimierung || Zertifikate (TLS) ||
|| Zertifikat des Benutzers || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.crt}}} ||
|| Zertifikat der Zertifizierungsstelle || {{{/etc/openvpn/<UID>/key/ca.crt}}} ||
|| Privater Schlüssel || {{{/etc/openvpn/<UID>/keys/itzks-<UID>_vpn-admins.key}}} ||

Anzupassende erweiterte Einstellungen

|| LZO-Komprimierung verwenden || Ja ||
|| Angepasste UDP-Fragmentgröße || 1300 ||
|| Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken || Ja ||
|| Zusätzliche TLS-Legitimerung verwenden || Ja ||
|| Schlüsseldatei || {{{/etc/openvpn/<UID>/keys/itzks-ta.key}}} ||
|| Schlüsselrichtung || 1 ||