#acl AdminGroup:read,write,delete,revert,admin All:read <> == VPN-Zugang für neue (Schul-)Admins im ITZkS-Projekt == === Anlegen des VPN-Zertifikates (durch ITZkS-Mitarbeiter) === In das Git-Verzeichnis {{{itzks-creds/_VPN_/openvpn/keys/itzks-admins}}} wechseln. Dort dann die Konfigurationsvariablen für EasyRSA einbinden: {{{ . vars }}} und das Zertifikat und die Keys erstellen: {{{ ./build-key itzks-_vpn-admins }}} Die Abfragen bei der Erstellung entsprechend anpassen, z.Bsp.: {{{ Country Name (2 letter code) [DE]: [Enter] State or Province Name (full name) [Schleswig-Holstein]: [Enter] Locality Name (eg, city) [Kiel]: [Enter] Organization Name (eg, company) [IT-Zukunft Schule]: [Enter] Organizational Unit Name (eg, section) [System Administration]: [Enter] Common Name (eg, your name or your server's hostname) [itzks-test_vpn-admins]: [Enter] Name [IT-Zukunft Schule / ADMINS]: [Enter] Email Address [hostmaster@it-zukunft-schule.de]: [Enter] }}} und die Erstellung des Zertifikates bestätigen. Die neu erstellten Dateien via {{{git add }}} hinzufügen, via {{{git commit -m''}}} mit einer passenden Beschreibung versehen, dann via {{{git show}}} die erstellten Dateien prüfen und nach Feststellung der Korrektheit via {{{git push}}} im hochladen. ZIP-Datei für den neuen Admin erstellen mit {{{ zip .zip> }}} Zu packende Dateien sind: {{{ /itzks-creds/_VPN_/openvpn/keys/itzks-ta.key /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/ca.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-_vpn-admins.crt /itzks-creds/_VPN/openvpn/keys/itzks-admins/keys/itzks-_vpn-admins.key }}} Diese ZIP-Datei dann bei dem neuen (Schul-)Admin im Home-Verzeichnis ablegen (nur zum Zugriff für diesen Benutzer!) === Einpflegen auf dem ITZkS-VPN-Server === Einloggen auf {{{vpn.it-zukunft-schule.de}}} und Erstellen von {{{/etc/openvpn/ccd/itzks-admins/itzks-_vpn-admins}}} mit dem Inhalt {{{ ifconfig-push 172.17.1. 172.17.1. }}} Bsp. (für Admin im gesamten ITZkS-Projekt): {{{ ifconfig-push 172.17.1.5 172.17.1.105 }}} Netzsegmente für Admins im ITZkS-Projekt finden sich [[Technik/Nutzungshinweise/VPN-Segmente|hier]] (nur für Admins einsehbar). === Einpflegen in Client-Gerät === OpenVPN installieren {{{ sudo apt-get install openvpn }}} In {{{/etc/openvpn//keys/}}} entpacken und für die Benutzung mit {{{ sudo chown : sudo chmod 600 }}} anpassen. ==== Nun eine neue VPN-Verbindung anlegen (via GUI) ==== {{{Netzwerkverbindungen > VPN > Hinzufügen > Verbindungstyp auswählen "OpenVPN" > Erzeugen}}} Anzupassende allgemeine Einstellungen || Gateway || vpn.it-zukunft-schule.de || || Legitimierung || Zertifikate (TLS) || || Zertifikat des Benutzers || {{{/etc/openvpn//keys/itzks-_vpn-admins.crt}}} || || Zertifikat der Zertifizierungsstelle || {{{/etc/openvpn//key/ca.crt}}} || || Privater Schlüssel || {{{/etc/openvpn//keys/itzks-_vpn-admins.key}}} || Anzupassende erweiterte Einstellungen || LZO-Komprimierung verwenden || Ja || || Angepasste UDP-Fragmentgröße || 1300 || || Maximale TCP-Segmentgröße (MSS) des Tunnels beschränken || Ja || || Zusätzliche TLS-Legitimerung verwenden || Ja || || Schlüsseldatei || {{{/etc/openvpn//keys/itzks-ta.key}}} || || Schlüsselrichtung || 1 ||