Netzwerk über Internet

port 23138
proto udp

dev tap
tun-mtu 1500
fragment 1200
mssfix
mode server

tls-server

management 127.0.0.1 23170
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.254
ifconfig-pool-persist C:\\Programme\\OpenVPN\\config\\ipp.txt
client-to-client
push "route-gateway 10.0.0.1"  
push "route 192.168.0.0 255.255.255.0"  
ca C:\\Programme\\OpenVPN\\config\\ca.crt
cert C:\\Programme\\OpenVPN\\config\\server.crt
key C:\\Programme\\OpenVPN\\config\\server.key
dh C:\\Programme\\OpenVPN\\config\\dh1024.pem
auth SHA1
cipher AES-256-CBC
ping 10
push "ping 10"  
ping-restart 60
push "ping-restart 60"  

port 23138
proto udp

dev tap
tun-mtu 1500
fragment 1200
mssfix
tls-client
ns-cert-type server

remote meinname-bei.dyndns.org 23138
ca ca.crt
cert deinname.crt
key deinname.key
auth SHA1
cipher AES-256-CBC
pull

Uwe,10.0.0.2
Michael,10.0.0.3
Patrick,10.0.0.4

Zertifikatserstellung


Unter Linux gibt es viele Möglichkeiten Zertifikate zu erstellen.
Ich stelle hier in diesem Howto die manelle und easy-rsa script Möglichkeit vor. Unter Windows ist es ebenfalls möglich Zertifikate zu erstellen und ich möchte dies ebenfalls aufzeigen, wie dies unter Windows funktioniert anhand der easy-rsa Scripte.
Im Anschluß der Zertifikatserstellung folgen Beispiele für die Konfiguration.

Zertifikatserstellung mit easy-rsa

Wir erstellen Zertifikate mit den easy-rsa Scripten aus dem OpenVPN-Paket. Ich werde hier die Vorgehensweise für Linux und Windows darstellen. Die Beschreibung lehnt sich stark an die Original-Dokumentation von OpenVPN an und kann als Übersetzung ins Deutsche verstanden werden, mit Kommentaren und Erweiterungen von mir.

Als erstes kopieren wir das easy-rsa Verzeichnis in unser /etc/openvpn Verzeichnis, was zur besseren Übersicht dient. Wir wechseln danach in das Verzeichnis /etc/openvpn/easy-rsa.
Unter Windows wechseln wir in der Command-Shell (cmd.exe) das Verzeichnis nach c:\Programme\OpenVPN\easy-rsa.

Anmerkung für Windows:
Wir führen init-config.bat aus, dabei werden existierende vars.bat und openssl.cnf Dateien überschrieben.

Anmerkung für Linux:
Eventuell muß die enthaltene OpenSSL Konfigurationsdatei opennssl.cnf entpackt werden, da sonst die Datei nicht gefunden wird.

Code:

init-config.bat

Nun editieren wir die vars.bat (Windows) / vars (Linux) und setzen die Variablen für die Zertifikatserstellung. Die Angaben hinter dem „=“ Zeichen können anders lauten, es muß nicht z.B. =Berlin heißen. Es kann auch eine andere Stadt eingetragen werden, je nach Bedarf. Das gilt ebenfalls für die anderen Variablen.

KEY_COUNTRY=DE
KEY_PROVINCE=Bezirk
KEY_CITY=Berlin
KEY_ORG=IT-Abteilung
KEY_MAIL=holgi@domain.de

Dabei sollte keine dieser Variablen leer bleiben.

Wer Paranoid ist, kann auch den Wert „KEY_SIZE=1024“ höher setzen, z.B. auf 2048 oder 4096.


Wir erstellen nun in dem kommenden Abschnitt die Zertifikate und Schlüssel für die Root-CA, den Server und den oder die Clients.

Wir führen nun folgende Befehle aus:
Code:

Linux
. ./vars
./clean-all
./build-ca

Code:

Windows                                            
vars.bat                                                     
clean-all.bat                                                
build-ca.bat

Nach dem ausführen von build-ca (Linux) oder build-ca.bat (Windows) beginnt die Erstellung des/der Certificate Authority (CA) Zertifikats und des dazu gehörigen Schlüssels.
Nun kann man entsprechende Werte setzen aber da wir die Variablen bereits in der Datei vars (Linux) / vars.bat (Windows) gesetzt haben, brauchen wir nur noch mit der Return-Taste bestätigen.

Achtung: Der einzige Wert den wir explizit setzen müssen ist der „Common Name“. Der Common Name muß einzigartig sein und darf in keinem anderen Zertifikat vorkommen.

Ich habe für das Root-CA Zertifikat „OpenVPN-CA“ gewählt.

Erstellung des Zertifikats und des Schlüssels für den OpenVPN Server

Code:

Linux
./build-key-server server

Code:

Windows
build-key-server.bat server

Wie zuvor können wir die Parameter aus der Datei vars (Linux) / vars.bat (Windows) übernehmen und mit der Return-Taste übernehmen.

Achtung: Auch hier muß ein „Common Name“ per Hand eingetragen werden und wie schon gesagt muß der Name einzigartig sein.

Ich habe als Common Name „Vpn-Server“ gewählt.

Nach Ausführung müssen wir noch 2x mit [y] (Ja) bestätigen.


Erstellung der Zertifikate und Schlüssel für den/die Clients

Code:

Linux
./build-key client1

Code:

Windows
build-key.bat client1

Soll der Client Key Passwort geschützt werden, dann nehmen wir hier eine andere Datei und zwar:

Code:

Linux
./build-key-pass client1

Code:

Windows
build-key-pass.bat client1


Denk daran, dass der „Common Name“ für jedes Zertifikat anders lauten muß.
Ich habe als Common Name „client1“ ausgewählt. Für weitere Clients könnte man das fortführen und als Common Name client2, client3 usw. nutzen.

Wieder bestätigen wir 2x mit [y] (Ja).

Generieren des Diffie Hellman Parameters

Der Diffie Hellman Parameter wird für den OpenVPN Server erstellt und verbleibt auf diesem.

WindowsLinux
build-dh.bat ./build-dh

Die Erstellung von DH kann eine weile dauern. Die Geschwindigkeit ist abhängig von der CPU-Leistung und der gewählten Bitlänge. Je höher die Bitlänge, um so länger dauert die Erstellung.

Zugehörigkeit unser neu erstellten Zertifikate und Schlüssel

http://www.linux-technik.de/downloads/links/zert.png

Der nächste Schritt ist, die erstellten Schlüssel und Zertifikate an den entsprechenden Ort zu kopieren. Auf entfernte PCs sollte man fürs kopieren eine sichere Übertragungsart wählen. Entweder manuell z.B. per Usb-Stick (falls möglich) oder per SSH.