OpenVPN

Die Installation erfolgt unter Debian direkt aus den Paketquellen. Da im späteren Verlauf SSL-Zertifikate erstellt werden, sollte OpenSSL bereits installiert sein.

apt-get install openvpn

Um einen Satz an Zertifikaten anzulegen nutzt man die mit OpenVPN mitgelieferte easy-rsa Scripte. Zu erst werden die Scripte aus dem Beispielordner in ein Arbeitsverzeichnis kopiert.

mkdir /etc/openvpn/easy-rsa
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa

Die Systemvariablen in easy-rsa/vars werden auf die jeweiligen Bedürfnisse angepasst.

export KEY_SIZE=2048
export KEY_COUNTRY="DE"
export KEY_PROVINCE="Baden-Württemberg"
export KEY_CITY="Karlsruhe"
export KEY_ORG="linetz"
export KEY_EMAIL="hosting@linetz.de"

Mit den Scripten werden nun einmalig die Serverzertifikate erstellt

cd /etc/openvpn/easy-rsa
source vars

Der Befehl „source vars“ muss vor jeder Arbeit mit den Zertifikatsscripten geladen werden. Hierdurch werden in der Bash die oben definierten Umgebungsvariablen gesetzt.

Zuerst müssen Diffie-Helman-Parameter berechnet werden.

./build-dh

Als nächster Schritt wird ein CA-Zertifikat erstellt.

./build-ca

Danach ein Serverzeritifikat.

./build-key-server srv.linetz.de

Nun können die benötigten Client-Zertifikate gebaut werden.

./build-key clientname 

Die Zertifikate sind nun für das VPN freigegeben (sofern signiert worden) und können verwendet werden.

Eine Beispielkonfiguration findet man am selben Ort wie die easy-rsa Scripte.

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn
gunzip server.conf.gz

Die Konfiguration gestaltet sich je nach gewünschten Funktionen relativ einfach und kann anhand der Beispiele leicht nachvollzogen werden. Darum soll hier erstmal nicht weiter darauf eingegangen werden.