Sysop:OpenVPN

Aus immerda
Zur Navigation springen Zur Suche springen

some notes

  • place all stuff on encrypted hd
  • per client 1 cert
  • use tan keys etc.

keys generieren

cd $easy-rsa
. ./vars
./build-key $user

bridge modus

server

bridge modus, heisst das netz wird mit einem anderen (internen, hier 192.168.0.*) geteilt.

server.conf

port 1194
proto udp
dev-type tap
dev tun0
ca ca.crt
cert server.crt
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.0.1 255.255.255.0 192.168.0.190 192.168.0.200
client-config-dir clients
push "redirect-gateway local def1"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /foo/openvpn/openvpn-status.log
log         openvpn.log
verb 3
chroot /foo/openvpn/

client configs aufm server

client-config-dir clients

ermöglicht, das in /foo/openvpn/clients jeweils configs pro client angelegt werden können. um z.B. für den client1 die IP 192.168.0.190 fix zu vergeben, muss folgendes in der datei /foo/openvpn/clients/client1 stehen: 

ifconfig-push 192.168.0.190 255.255.255.0 192.168.0.1

server interfaces

damit das netzt geteilt werden kann, brauchts ein sogenanntes bridge interface, welche mit dem internen netz gekoppelt ist. Auf sysop:OpenBSD kann dies z.B. so eingerichtet werden: 

$more /etc/hostname.tun0 
link0 up
$ more /etc/bridgename.bridge0 
add sis0
add tun0
up

client

Linux

client
comp-lzo
dev tap
remote x.y.z.a 1194
ca /etc/openvpn/ca.crt
key /etc/openvpn/client1.key
cert /etc/openvpn/client1.crt
cipher AES-256-CBC
tls-auth /etc/openvpn/ta.key 1

howtos

Abgerufen von „https://wiki.immerda.ch/index.php?title=Sysop:OpenVPN&oldid=7891