C2G OpenVPN Server installieren und konfigurieren

[h3rb3rn]

Aktualisierte Fassung vom 01.08.2017

OpenVPN Server für den Client to Gateway (C2G) Einsatz

einfach stumpf die Befehle der Reihe nach am Server ausführen

VPN Server
=========

Code: Alles auswählen

sudo bash
apt-get install openvpn easy-rsa

Code: Alles auswählen

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz
cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa2 

Code: Alles auswählen

cd /etc/openvpn/easy-rsa2/
cp openssl-x.x.x.cnf openssl.cnf

Die Datei vars editieren mit

Code: Alles auswählen

vim vars

Inhalt einfügen und mit eigenen Werten anpassen

Code: Alles auswählen

export KEY_COUNTRY="DE"
export KEY_PROVINCE="Nordrein-Westfalen"
export KEY_CITY="Duesseldorf"
export KEY_ORG="Internet Ltd."
export KEY_EMAIL="info@webmaster"
export KEY_EMAIL=info@webmaster
export KEY_CN=changeme
export KEY_NAME=changeme
export KEY_OU=changeme
export PKCS11_MODULE_PATH=changeme
export PKCS11_PIN=1234

Verzeichnis für Keys erzeugen mit

Code: Alles auswählen

sudo mkdir keys

Vorbereitung für Key Generierung

Code: Alles auswählen

source ./vars

Code: Alles auswählen

sudo -E ./clean-all

Server Keys erzeugen

Code: Alles auswählen

sudo -E ./build-ca

Code: Alles auswählen

sudo -E ./build-dh

Code: Alles auswählen

sudo -E ./build-key-server server

Server Konfiguration anlegen mit

Code: Alles auswählen

sudo vim /etc/openvpn/server.conf

Inhalt:

Code: Alles auswählen

port 1194
proto udp
dev tun

ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key  # This file should be kept secret
dh ./easy-rsa2/keys/dh2048.pem

server 10.50.1.0 255.255.255.0

route 192.168.60.0 255.255.254.0
route 192.168.62.0 255.255.254.0

ifconfig-pool-persist ipp.txt

push route "192.168.60.0 255.255.254.0"
push route "192.168.62.0 255.255.254.0"

client-config-dir ccd
client-to-client

keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun

status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn-append.log

verb 3

Client Verzeichnis anlegen

Code: Alles auswählen

mkdir /etc/openvpn/ccd

Client Keys mit Kennwort erzeugen

Code: Alles auswählen

sudo -E ./build-key-pass clientname

Ḱonfiguration übernehmen

Code: Alles auswählen

systemctl daemon-reload

Inhalt der /etc/sysctl.conf erweitern mit

Code: Alles auswählen

net.ipv4.ip_forward=1

VPN Server neustarten!


Firewall einrichten

Code: Alles auswählen

ufw allow 1194/udp
ufw allow in on tun0
ufw allow out on tun0
ufw disable && ufw enable
ufw status

Client Keys komprimieren und an Client-PC verteilen

Code: Alles auswählen

tar -cxf clientname.tar.gz clientname.key clientname.crt ca.crt 

Client PC
=======

Client Konfigurationsdatei erzeugen auf Client-PC

Code: Alles auswählen

vim client.ovpn

Folgenden Inhalt einfügen und die entsprechenden Werte wir Serveradresse und Port anpassen

Code: Alles auswählen

client
tls-client
dev tun
proto udp
remote IP_DES_VPN_SERVERS 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert clientname.crt
key clientname.key
remote-cert-tls server
comp-lzo
verb 3

Die erstellte clientname.tar.gz vom VPN Server in das gleiche Verzeichnis der erstellten client.ovpn entpacken

Verbindung vom Client PC zum VPN Server herstellen mit dem Befehl

Code: Alles auswählen

sudo openvpn client.ovpn

Optional
=======

Route am Ziel PC setzen unter Windows mit

Code: Alles auswählen

route -p add IP_des_Ziel_PCs mask SUBNETMASKE_DES_ZIEL_PCs IP_DES_OpenVPN_Servers metric 1

und unter Linux mit

Code: Alles auswählen

route add -net IP_des_Ziel_PCs netmask SUBNETMASKE_DES_ZIEL_PCs gw IP_DES_OpenVPN_Servers metric 0 dev NETZWERKSCHNITTSTELLE_DES_CLIENT_PCs