Thomas.will: Die Seite wurde neu angelegt: „* Hier kann man alleine weitermachen * Diffie-Hellman Parameter erzeugen (kann eine Weile dauern) *'''openssl dhparam -out /etc/openvpn/ssl/dh2048.pem 2048'''…“

2025-04-12T14:47:53Z

Die Seite wurde neu angelegt: „* Hier kann man alleine weitermachen * Diffie-Hellman Parameter erzeugen (kann eine Weile dauern) *'''openssl dhparam -out /etc/openvpn/ssl/dh2048.pem 2048'''…“

Neue Seite

* Hier kann man alleine weitermachen
* Diffie-Hellman Parameter erzeugen (kann eine Weile dauern)
*'''openssl dhparam -out /etc/openvpn/ssl/dh2048.pem 2048'''
* '''vim /etc/openvpn/user-auth-server.conf'''

dev tun
mode server
tls-server
topology subnet
server 172.24.24.0 255.255.255.0
route-gateway 172.24.24.1
push 'route 172.16.1''xx''.0 255.255.255.0'
cipher AES-256-CBC
link-mtu 1543
keepalive 10 30
client-to-client
dh ssl/dh2048.pem
ca ssl/ca.crt
cert ssl/fw1''xx''.crt
key ssl/fw1''xx''.key
verify-client-cert none
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so /etc/pam.d/login

* Diese Konfiguration starten
* '''systemctl daemon-reload'''
* '''systemctl start openvpn@user-auth-server'''
* Nun geht es auf dem LAN Host weiter
* Das Zertifikat der Zertifizierungsstelle holen und in die OpenVPN Konfigurationsdatei einbinden
*'''scp root@fw:/etc/openvpn/ssl/ca.crt .'''
* Distributionsabhängig OpenVPN installieren
*'''apt install openvpn'''
*'''pacman -S openvpn'''
* Client-Konfiguration erstellen mit dem Inhalt der ''ca.crt''
* '''vim lab1''xx''.ovpn'''

dev tun0
remote 192.168.3.1''xx''
tls-client
cipher AES-256-CBC
pull
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
MIIFAzCCAuugAwIBAgIUL5Pyu5Rlwi/noznd1CWK3r4IZiEwDQYJKoZIhvcNAQEL
BQAwETEPMA0GA1UEAwwGdnBuLWNhMB4XDTIzMDgwNjA3NDY1N1oXDTI0MDgwNTA3
NDY1N1owETEPMA0GA1UEAwwGdnBuLWNhMIICIjANBgkqhkiG9w0BAQEFAAOCAg8A
MIICCgKCAgEAuYYi369+gKR0RC4vdRvpB0bL6EuUEiwDaPD7XDE5i21gyC/Z5wOr
bv8UTZ1JO4UoTabUZaCDjNOjG4dJA/dr4LKwmnugS2ODO+Bk9fmPpeRVVVFi5kZR
zX6iqNkXXydmIYwxJcTzHq+Dro0jSMUsOChhGhuI+DqU2jbiLm4LsQ//EzMwt54l
igLNynA8k6cg20sDekaSiZm3STQh4SOwBGVWzH0MX0l7PvOpFs22rdnWGGCkdQlo
6yG+oLGwd8G8zJFBNfwQTWKYRkAlJi3gGC+tXMsbQflyImqATVsMOAH0dGCetlfV
izrzApTz0ntPxdp4cF2dE6VWvip+GBMZuned4fKXNzkl+Vf4IhmUxxPrBxUViSgM
UCftojAecB9+6fgETJ2NcZejqSv7QHZN86MBb2sB2IftEqGk0VCS+MeXZglf8AwY
SK5iV9oc97GHbrPdXDlJOwI5MrqCNv+T5BzwuVJ4sRXORSZsDVrz7MpAPaZj86lr
V3KB3RQWDQrxMJyG4K7gBMbJBW7YUIdmviVUFB9k6zv53pvfedM2vHbrCbFATtrj
dXNTy4dl3dLTV9NGjYXPa66JpsFIR4UgWGugSoEsGn7m7zqZ43IGrRPOn7spEqCR
r1gGGM1mVeVKB0cdG++jK/3FNjrWuVPT2K7IyzxMep4A1fKhl56mJR8CAwEAAaNT
MFEwHQYDVR0OBBYEFOrV2doki3JZ0qs9IvnJ2PK1t3azMB8GA1UdIwQYMBaAFOrV
2doki3JZ0qs9IvnJ2PK1t3azMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZIhvcNAQEL
BQADggIBALhBLzogYcNrMghWu4JBD9+gY8+7BwvZW8oFa4yO2Cb+VQ56oyOeq2IW
QoNQgQpTKFPPMw/gfe8bTfbFP1qG/nfxoHBrzn5Gt6hkTQ3dhvNkkOiQDYlXhJ0v
pNs+UVxkDhQxPBwvlE5BQIvElGKcEfrgXqQE6zdWWP5b6yrt8eTI+TBP32+hS3gc
I6pvKEv2mxd/SchXlbNEKqUYdYldxc4GXwuYKfgjzo+aAbaw2FCbiVtwg8f7a3ky
GtYUP41eEl24FyRWI4L/wLPha8k7YjZqiTB8NKj5L7sB+mKbMXsEwqlKh8BmjPXN
WAGVpfcetV0UkJS/diKZyqTa1MFb4TIexpNa9GLxEGGg8zsgVypL2TG5sCiecoSF
gGbm7yE9Yb4IF0v4X57gbULAZFMzaUkk65Y2f2VJ5RoJCBl51SWOWm5gMXz5vmwk
GihwB+oLvcjoZIBc3MrB9ZHdZ60qCzOtTGiSlhqfJETrzaRgAx5Z4PWY9F9iwucC
OW9eOMXpOPqW80CO/Y0srX9C9LpmM/s9SXzgey+MV+iH5VPE3eMVDj7axQsPbgqb
lXoRa2ENyOltSPzejlh33DHoYreov464JtrMMjQ6I2YlcXlUJycL2gPysA0Ad/zd
I2p2luSylfNI7DdfmuZrhhdlPg1kMS2QzyQr2quf9YZSJwSgdbhr
-----END CERTIFICATE-----
</ca>

* Nun die Maschine ausschalten, klonen und "außerhalb" des Labors hängen (NAT Adapter bzw. Netzwerkbrücke)
* '''openvpn --config lab1''xx''.ovpn'''

OpnVPN Linux - Security und Firewall Labor - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „* Hier kann man alleine weitermachen * Diffie-Hellman Parameter erzeugen (kann eine Weile dauern) *'''openssl dhparam -out /etc/openvpn/ssl/dh2048.pem 2048'''…“