hier nun der letzte Teil. Weil es ja nun doch vorkommen kann, das zum Beispiel ein Mitarbeiter die Firma wechselt, will man auch in der Lage sein, dessen OpenVPN Zugang zu sperren. Wie das geht zeige ich jetzt.

Wieder geht es zuerst mit der Standard-Prozedur los: dem einlesen der Variablen.

cd /etc/openvpn/easy-rsa
source vars

Anschließend wird das Zertifikat invalidiert.

./revoke-full nutzer1
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 02.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
basv.crt: /C=DE/ST=Saxony/L=Chemnitz/O=Knuddelbunte Welt Organisation/CN=nutzer1/emailAddress=nutzer1@hi.n.de
error 23 at 0 depth lookup:certificate revoked

Der error 23 am Ende ist vollkommen normal und gewollt, denn er sagt aus das OpenVPN das Zertifikat nach dem Löschen überprüft und als ungültig befunden hat.

Jetzt kopieren wir die neue crl.pem an eine für OpenVPN lesbare Stelle.

cp /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/

Und sagen OpenVPN das es alle aktiven Verbindungen trennen soll. Dies sollte vorher angekündigt sein, da wirklich jede VPN Verbindung gekappt wird.

pkill -SIGHUP openvpn

Ich hoffe die Kurzanleitung konnte helfen OpenVPN aufzusetzen und einzurichten. Für Kommentare, Anregungen und Kritik bin ich natürlich dankbar.

Tschau
Sven

kurz vorm Ende: der 4. Teil. Hier geht es um die Einrichtung der Clients – sowohl Linux als auch Windows.

OpenVPN unter Linux kann jeder über seinen Paketmanager installieren. Für Windows empfehle ich die Version “OpenVPN Package 2.0.9, GUI 1.0.3″ oder neuer.

Vom Server benötigen wir jetzt die folgenden Dateien für den Client:

ca.crt
nutzer1.crt
nutzer1.key

Diese werden – je nach Linux oder Windows – in die folgenden Verzeichnisse kopiert:

• Linux: /etc/openvpn
• Windows: C:\Programme\OpenVPN\Config

Anschließend legen wir im jeweiligen Verzeichnis noch die Konfigurationsdatei an.

• Linux: client.conf
• Windows: client.ovpn

Der Inhalt der Datei lautet folgendermaßen.

client
dev tun
proto udp
remote vpn.hi.de 1194
resolv-retry infinite
nobind
; user nobody - Linux only
; group nogroup - Linux only
persist-key
persist-tun
ca ca.crt
cert nutzer1.crt
key nutzer1.key
ns-cert-type server
comp-lzo
verb 3

Nun noch schnell die auf dem Server erstellen Client-Dateien nutzer1.crt und nutzer1.key löschen und…

…das wars. Jetzt kann man das VPN unter Linux als root mit dem Befehl

cd /etc/openvpn
openvpn client.conf

bzw. unter Windows mit einem Klick auf das Symbol neben der Uhr starten.

Im nächsten und letzten Teil gibts dann noch eine Beschreibung wie man das Zertifikat eines Clients ungültig macht.

Für eine etwas ausführlichere Anleitung empfehle ich entweder die OpenVPN Dokumentation oder den sehr guten Wiki Eintrag: Erzeugen einer PKI mit EasyRSA.

Tschau
Sven

heute nun der 3. Teil der OpenVPN Kurzanleitung: das Anlegen eines Clients.

Zuerst müssen wir wieder die Standard-Variablen initialisieren, falls das Terminal von der Servereinrichtung zwischenzeitlich geschlossen wurde.

cd /etc/openvpn/easy-rsa
source vars

Jetzt gibt es 2 Möglichkeiten. Hier beschreibe ich, wie man ein Zertifikat erstellt bei welchem der Client kein extra Passwort braucht, sondern nur das Zertifikat. Will man zusätzlich noch ein Passwort vergeben, dann nimmt man statt dem Befehl ./build-key den Befehl ./build-key-pass.

./build-key nutzer1
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [nutzer1]:
Email Address [nutzer1@hi.n.de]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abcd
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'DE'
stateOrProvinceName RINTABLE:'Saxony'
localityName RINTABLE:'Chemnitz'
organizationName RINTABLE:'Knuddelbunte Welt Organisation'
commonName RINTABLE:'nutzer1'
emailAddress :IA5STRING:'nutzer1@hi.n.de'
Certificate is to be certified until Sep 20 08:18:53 2018 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Tschau
Sven

im Teil 2 beschreibe ich, wie man die Zertifikate und Schlüssel für den Server anlegt.

Ausserdem wird gleich der Grundstein gelegt, damit man später auch bereits vergebene Zertifikate zurückziehen kann.

Damit das Rad nicht doppelt erfunden wird, haben die OpenVPN Entwickler die Tool-Sammlung easy-rsa erstellt. Diese kopiert man sich in sein OpenVPN Verzeichnis:

cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

Anschließend definiert man ein paar Standardwerte in der globalen Konfiguration /etc/openvpn/easy-rsa/vars:

export KEY_COUNTRY="DE"
export KEY_PROVINCE="Saxony"
export KEY_CITY="Chemnitz"
export KEY_ORG="Knuddelbunte Welt Organisation"
export KEY_EMAIL="hier_kommt_die_email@hi.n.de"

Nun lesen wir die Standardwerte ein…

source vars

… und initialisieren die Schlüssel

./clean-all

Jetzt ist es an der Zeit, die Zertifikat Autorität und das Server Zertifikat anzulegen.
Zuerst die Autorität (die vorher festgelegten Standardwerte werden automatisch voreingestellt):

./build-ca
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [Knuddelbunte Welt Organisation CA]:
Email Address [hier_kommt_die_email@hi.n.de]:

Und dann das Server Zertifikat:

./build-key-server server
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [server]:
Email Address [hier_kommt_die_email@hi.n.de]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'DE'
stateOrProvinceName RINTABLE:'Saxony'
localityName RINTABLE:'Chemnitz'
organizationName RINTABLE:'Knuddelbunte Welt Organisation'
commonName RINTABLE:'server'
emailAddress :IA5STRING:'hier_kommt_die_email@hi.n.de'
Certificate is to be certified until Sep 20 08:15:58 2018 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated


Zum Schluß noch schnell die Diffie Hellmann Parameter generieren…

./build-dh

… und die crl.pem-Datei erstellen, mit der es später möglich ist, vergebene Zertifikate ungültig zu machen.

export KEY_CN=
export KEY_OU=
export KEY_NAME=
openssl ca -gencrl -out /etc/openvpn/crl.pem -config /etc/openvpn/easy-rsa/openssl.cnf

Tschau
Sven

Hallo,

da OpenVPN doch einiges an Einarbeitungszeit erfordert und die nicht jeder hat, bzw. auch nicht an Details interessiert sein wird, stelle ich meine Lösung hier mal als Mehrteiler online.

Falls darin Fehler enthalten sind oder Sicherheitsmängel würde ich mich über einen Kommentar dazu freuen. Vielen Dank.

Diese Anleitung wurde mit OpenVPN 2.1_rc9 erstellt.
Als Windows Client eignet sich die Version “OpenVPN Package 2.0.9, GUI 1.0.3″.

Am schnellsten geht dies, wenn man einfach die Beispielkonfiguration übernimmt (ich gehe davon aus das OpenVPN bereits installiert wurde):

cd /etc/openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz .
gunzip server.conf.gz

Dann überprüft man, ob folgende Werte in der Konfiguration (server.conf) gesetzt sind:

port 1194
proto udp
dev tun
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
dh easy-rsa/keys/dh1024.pem
crl-verify crl.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3


OpenVPN verwendet damit den IP-Bereich 10.8.0.0/24 und übergibt dem Client eine Route auf den IP-Bereich 192.168.2.0/24, welcher in diesem Falle das lokale Netz darstellt.

Tschau
Sven