OpenVPN Debian 8 Jessy

Hi,

da sich einiges geändert hat bei OpenVPN und Debian 8 Jessy wollte ich mal ein keine neues HowTo dazu schreiben.

Explizit geht es um die Version : OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 26 2017

 

Die Wichtigste änderung von OpenVPN unter Debian 6 & 7 ist das man jetzt ein Tool hat names pkitool mit dem sich alle Zertifikate erstellen lassen und man kann ohne große Umwege neue Keys für User/Clients erstellen OHNE das man die alten löschen muss.

Zu erwähnen ist auch noch das man das pkitool nach installieren muss, damit kommen auch die alten Scripte mit.

Früher waren diese unter den Documents abgelegt was aber NICHT mehr der Fall ist.

 

Installation:

Nach dem wechsel von User auf Root mit su.

Aber wie oben schon erwähnt fehlen alle Scripte und das pkitool!

Das pkitool installieren wir dann noch hinterher:

Im Verzeichnis /usr/share/easy-rsa findet man jetzt die Scripte die man schon von der vorgänger Version sondern auch das pkitool.

Ich kopiere mi diesen Ordner dann immer in den OpenVPN Ordner.

Nun wechselt man in das easy RSA Verzeichnis unter OpenVPN

Und schauen uns erstmal an was wir hier für Dateien haben

Die Datei vars bearbeiten mit einem beliebigen Editor:

Und ändern den Bereich nach seinen Wünschen ab:

Die Datei abspeichern mit strg +o

Man kann jetzt wie im alten HowTo vorgehen und die alten Scripte nutzen oder man nutzt das pkitool.

Um mal eine Überblick zu bekommen kann man das tool mal ausführen und bekommt damit auch gleiche eine Anleitung sowie alle Optionen.

Um es kurz zu machen benötigt man aber nur folgende Reihenfolge durch zu führen:

Da wir die Datei schon angepasst haben kann man erstmal mit

die Variablen festlegen.

Durch clean-all werden eventuell vorhandene Keys gelöscht und MUSS ausgeführt werden aber das musste man vorher schon.

Das nächste Script erstellt uns den DH Key zum Verschlüsseln  Kommunikation

Nun wir das CA Root Zertifikat erstellt

Und als nächstes das Server Zertifikat

Jetzt kann man für seine Clients die Zertifikate erstellen

Ich nutze immer den Hostname des Clients da dies für bestimmte funktionen von nöten ist und ich habe eine klare zuweise. (Laptop, Handy,PC)

Diesen Befehl kann man für alle seine Clients wiederholen, man ändert nur den Namen

Und jetzt die „große“ änderung, da dies vorher leider nur mit eigene  Scripten ging

Man muss source ./vars ausführen und kann danach wieder neue Keys erstellen für neue Clients.


Server Config:

Was es nicht mehr gibt oder nicht mehr geht ist das Login Plugin, die Authentifizierung läuft nur noch über die Keys, also keine Keys kein Zugang.

Die Werte:

Habe ich hinzugefügt und den Paketverlust über den VPN zu verringern , ohne diese hat man leider einen recht hohen Paketverlust.

Unter Win7 sollte man sich auch über die Webseite von OpenVPN den TAP Treiber 9.0 oder jede andere Webseite benutzen und nicht 9.01 der sorgt auch für Packetverluste.

Alles andere kann auch über meine alte Anleitung gefunden werden.

Wer sich fragt warum ich keine Passwort Datei erstellt habe bzw. kein für das Zertifikat habe ?

Nutzt man OpenVPN als Service und die Keychain wird erneuert (alle 30min.) muss man jedesmal das Passwort neu eingeben, beim Service kommt dazu aber keine Abfrage daher geht die VPN Verbindung danach down.

Das gleiche gilt bei der nutzung des Clients nur das hier die abfrage kommt und man muss alle 30 min. das Passwort eingeben.


Damit sind wir auch wieder am ende.

Wie immer bei Fragen oder sonstigem einen Kommentar hinterlassen.

Eurer DocSchneidi

Tagged , , , , , , , , , . Bookmark the permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.