OPENVPN with User-Authentication: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Schaubild=
+
= Schaubild =
 
{{#drawio:OPENVPN with User-Authentication}}
 
{{#drawio:OPENVPN with User-Authentication}}
  
=Install=
+
= Install =
*sudo apt install openvpn
+
* '''apt install openvpn'''
=Server=
 
==Create DH Key==
 
*cd /etc/openvpn
 
*openssl dhparam -out dh2048.pem 2048
 
==Selbstsigniertes Zertifikat==
 
*[[Selbstsigniertes Zertifikat]]
 
*Zertifikat der Zertifizierungsstelle
 
/etc/openvpn/ca.crt
 
*Zertifikat des Servers
 
/etc/openvpn/public.crt
 
*Privater Schlüssel des Servers
 
/etc/openvpn/private.key
 
  
==Server Config==
+
= Server =
*vi /etc/openvpn/server.conf
+
 
  <span style="color:#000FFF">#Router Modus</span>
+
== DH-Key erstellen ==
 +
* '''cd /etc/openvpn'''
 +
* '''openssl dhparam -out dh2048.pem 2048'''
 +
 
 +
== Selbstsigniertes Zertifikat ==
 +
* [[Selbstsigniertes Zertifikat]]
 +
 
 +
Folgende Dateien werden benötigt:
 +
{| class="wikitable"
 +
! Datei !! Pfad
 +
|-
 +
| Zertifikat der Zertifizierungsstelle || /etc/openvpn/ca.crt
 +
|-
 +
| Zertifikat des Servers || /etc/openvpn/public.crt
 +
|-
 +
| Privater Schlüssel des Servers || /etc/openvpn/private.key
 +
|}
 +
 
 +
== Umbenennen ==
 +
* '''mv fw.*.crt public.crt'''
 +
* '''mv fw.*.key private.key'''
 +
 
 +
== Server Config ==
 +
* '''vim /etc/openvpn/server/server.conf'''
 +
  <span style="color:#000FFF"># Router Modus</span>
 
  dev tun
 
  dev tun
  <span style="color:#000FFF">#Starten als Server und lauscht auf dem untenangegebenen Port</span>
+
<span style="color:#000FFF"># Protokoll</span>
 +
proto udp
 +
<span style="color:#000FFF"># Port</span>
 +
port 1194
 +
  <span style="color:#000FFF"># Starten als Server</span>
 
  mode server
 
  mode server
 
  tls-server
 
  tls-server
  <span style="color:#000FFF">#Subnet und kein Punkt zu Punkt Netz</span>
+
  <span style="color:#000FFF"># Subnet und kein Punkt-zu-Punkt-Netz</span>
 
  topology subnet
 
  topology subnet
  <span style="color:#000FFF">#Transit Netz</span>
+
  <span style="color:#000FFF"># Transit-Netz</span>
  server 172.31.2.0 255.255.255.0
+
  server 172.20.2XX.0 255.255.255.0
  <span style="color:#000FFF">#Pushs an die Clients</span>
+
  <span style="color:#000FFF"># Pushs an die Clients</span>
  push "route 192.168.201.0 255.255.255.0"
+
  push "route 172.26.2XX.0 255.255.255.0"
  push "dhcp-option DOMAIN xx.de"
+
push "route 10.88.2XX.0 255.255.255.0"
  push "dhcp-option DNS 8.8.8.8"
+
push "route 10.2XX.1.0 255.255.255.0"
  <span style="color:#000FFF">#Symetrisches Protokoll</span>
+
  push "dhcp-option DOMAIN it2XX.int"
  cipher AES-256-CBC
+
  push "dhcp-option DNS 10.88.2XX.21"
  <span style="color:#000FFF">#maximale Transmit Unit der Verbindung</span>
+
  <span style="color:#000FFF"># Symmetrische Verschlüsselung</span>
 +
  data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
 +
  <span style="color:#000FFF"># Maximale Transmit Unit</span>
 
  link-mtu 1542
 
  link-mtu 1542
  <span style="color:#000FFF">#Die Clients können sich untereinander erreichen</span>
+
  <span style="color:#000FFF"># Keepalive - erkennt getrennte Clients</span>
 +
keepalive 10 120
 +
<span style="color:#000FFF"># Clients können sich untereinander erreichen</span>
 
  client-to-client
 
  client-to-client
  <span style="color:#000FFF">#maximale Anzahl</span>
+
  <span style="color:#000FFF"># Maximale Anzahl Clients</span>
 
  max-clients 150
 
  max-clients 150
  <span style="color:#000FFF">#Log Level</span>
+
  <span style="color:#000FFF"># Log Level</span>
 
  verb 3
 
  verb 3
  <span style="color:#000FFF">#Diffie Hellman Key</span>
+
  <span style="color:#000FFF"># Diffie-Hellman Parameter</span>
 
  dh /etc/openvpn/dh2048.pem
 
  dh /etc/openvpn/dh2048.pem
  <span style="color:#000FFF">#Zertifikat der Zertifizierungsstelle</span>
+
  <span style="color:#000FFF"># Zertifikat der Zertifizierungsstelle</span>
 
  ca /etc/openvpn/ca.crt
 
  ca /etc/openvpn/ca.crt
  <span style="color:#000FFF">#Zertifikat des Servers</span>
+
  <span style="color:#000FFF"># Zertifikat des Servers</span>
 
  cert /etc/openvpn/public.crt
 
  cert /etc/openvpn/public.crt
  <span style="color:#000FFF">#Privater Schlüssel des Servers</span>
+
  <span style="color:#000FFF"># Privater Schlüssel des Servers</span>
 
  key /etc/openvpn/private.key
 
  key /etc/openvpn/private.key
  <span style="color:#000FFF">#Die Clienst haben kein Zertifikat</span>
+
  <span style="color:#000FFF"># Clients haben kein Zertifikat - Authentifizierung via PAM</span>
 
  verify-client-cert none
 
  verify-client-cert none
 
  username-as-common-name
 
  username-as-common-name
  <span style="color:#000FFF">#Er wird gegen die Plguable Authentication Module authentifiziert</span>
+
  <span style="color:#000FFF"># Authentifizierung gegen PAM</span>
 
  plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login
 
  plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login
  
=Manueller Start=
+
= Manueller Start =
*openvpn --config server.conf
+
* '''openvpn --config /etc/openvpn/server/server.conf'''
2022-09-07 09:21:01 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256- GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to - - data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
+
 
2022-09-07 09:21:01 WARNING: POTENTIALLY DANGEROUS OPTION --verify-client-cert none|optional may accept
+
; Erfolgreich gestartet wenn folgende Zeile erscheint:
  clients which do not present a certificate
+
  <span style="color:#FF0000">Initialization Sequence Completed</span>
2022-09-07 09:21:01 OpenVPN 2.5.1 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11]
+
 
[MH/PKTINFO] [AEAD] built on May 14 2021
+
= Automatischer Start =
2022-09-07 09:21:01 library versions: OpenSSL 1.1.1n  15 Mar 2022, LZO 2.10
+
; nftables startet normalerweise vor openvpn — das tun0-Interface existiert dann noch nicht.
2022-09-07 09:21:01 net_route_v4_best_gw query: dst 0.0.0.0
+
 
2022-09-07 09:21:01 net_route_v4_best_gw result: via XX.59.156.161 dev eth0
+
== nftables durch openvpn starten lassen ==
2022-09-07 09:21:01 PLUGIN AUTH-PAM: initialization succeeded (fg)
+
* '''systemctl edit openvpn-server@server.service'''
2022-09-07 09:21:01 PLUGIN_INIT: POST /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so
+
  [Service]
  '[/usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so] [/etc/pam.d/login]'
+
  ExecStartPost=/usr/sbin/nft -f /etc/nftables.conf
  intercepted=PLUGIN_AUTH_USER_PASS_VERIFY
+
 
2022-09-07 09:21:01 Diffie-Hellman initialized with 2048 bit key
+
* '''systemctl daemon-reload'''
2022-09-07 09:21:01 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu
+
* '''systemctl enable openvpn-server@server.service --now'''
1500 (currently it is 1420)
 
2022-09-07 09:21:01 TUN/TAP device tun0 opened
 
2022-09-07 09:21:01 PLUGIN AUTH-PAM: BACKGROUND: initialization succeeded
 
2022-09-07 09:21:01 net_iface_mtu_set: mtu 1420 for tun0
 
2022-09-07 09:21:01 net_iface_up: set tun0 up
 
2022-09-07 09:21:01 net_addr_v4_add: 172.31.2.1/24 dev tun0
 
2022-09-07 09:21:01 Could not determine IPv4/IPv6 protocol. Using AF_INET
 
2022-09-07 09:21:01 Socket Buffers: R=[212992->212992] S=[212992->212992]
 
2022-09-07 09:21:01 UDPv4 link local (bound): [AF_INET][undef]:5000
 
2022-09-07 09:21:01 UDPv4 link remote: [AF_UNSPEC]
 
2022-09-07 09:21:01 MULTI: multi_init called, r=256 v=256
 
2022-09-07 09:21:01 IFCONFIG POOL IPv4: base=172.31.2.2 size=252
 
2022-09-07 09:21:01 <span style="color:#FF0000"> Initialization Sequence Completed  </span>
 
=Automatischer Start=
 
*systemctl enable openvpn --now
 
  
==Client Config==
+
== Kontrolle ==
<pre>
+
* '''ss -lnup | grep 1194'''
port 1194
 
dev tun0
 
remote 10.81.31.102
 
tls-client
 
cipher AES-256-CBC
 
link-mtu 1542
 
mssfix 1450
 
pull
 
verb 3
 
auth-user-pass
 
setenv CLIENT_CERT 0
 
<ca>
 
-----BEGIN CERTIFICATE-----
 
place your cacert here
 
-----END CERTIFICATE-----
 
</ca>
 
</pre>
 
  
=openvpn und iptables=
+
= OpenVPN und Firewall =
*[[iptables und openvpn]]
+
* [[iptables und openvpn]]
 +
* [[nftables und openvpn]]

Aktuelle Version vom 30. April 2026, 07:10 Uhr

Schaubild

Install

  • apt install openvpn

Server

DH-Key erstellen

  • cd /etc/openvpn
  • openssl dhparam -out dh2048.pem 2048

Selbstsigniertes Zertifikat

Folgende Dateien werden benötigt:

Datei Pfad
Zertifikat der Zertifizierungsstelle /etc/openvpn/ca.crt
Zertifikat des Servers /etc/openvpn/public.crt
Privater Schlüssel des Servers /etc/openvpn/private.key

Umbenennen

  • mv fw.*.crt public.crt
  • mv fw.*.key private.key

Server Config

  • vim /etc/openvpn/server/server.conf
# Router Modus
dev tun
# Protokoll
proto udp
# Port
port 1194
# Starten als Server
mode server
tls-server
# Subnet und kein Punkt-zu-Punkt-Netz
topology subnet
# Transit-Netz
server 172.20.2XX.0 255.255.255.0
# Pushs an die Clients
push "route 172.26.2XX.0 255.255.255.0"
push "route 10.88.2XX.0 255.255.255.0"
push "route 10.2XX.1.0 255.255.255.0"
push "dhcp-option DOMAIN it2XX.int"
push "dhcp-option DNS 10.88.2XX.21"
# Symmetrische Verschlüsselung
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
# Maximale Transmit Unit
link-mtu 1542
# Keepalive - erkennt getrennte Clients
keepalive 10 120
# Clients können sich untereinander erreichen
client-to-client
# Maximale Anzahl Clients
max-clients 150
# Log Level
verb 3
# Diffie-Hellman Parameter
dh /etc/openvpn/dh2048.pem
# Zertifikat der Zertifizierungsstelle
ca /etc/openvpn/ca.crt
# Zertifikat des Servers
cert /etc/openvpn/public.crt
# Privater Schlüssel des Servers
key /etc/openvpn/private.key
# Clients haben kein Zertifikat - Authentifizierung via PAM
verify-client-cert none
username-as-common-name
# Authentifizierung gegen PAM
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login

Manueller Start

  • openvpn --config /etc/openvpn/server/server.conf
Erfolgreich gestartet wenn folgende Zeile erscheint
Initialization Sequence Completed

Automatischer Start

nftables startet normalerweise vor openvpn — das tun0-Interface existiert dann noch nicht.

nftables durch openvpn starten lassen

  • systemctl edit openvpn-server@server.service
[Service]
ExecStartPost=/usr/sbin/nft -f /etc/nftables.conf
  • systemctl daemon-reload
  • systemctl enable openvpn-server@server.service --now

Kontrolle

  • ss -lnup | grep 1194

OpenVPN und Firewall

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPENVPN_with_User-Authentication&oldid=69231