Die Anleitung sieht kompliziert aus, ist in Wirklichkeit aber einfach nur lang.\u00a0Es wurde Wert darauf gelegt dass man die Kommandoschnipsel\u00a0einfach copy-pasten kann, es sollte also niemand den Verstand verlieren dabei.<\/p>\n
Der trickreichste Part ist der mit den Zertifikaten, aber das bedeutet irgendwie\u00a0bei jeder Software Pain in the Ass – unsere\u00a0Cryptosysteme sind einfach\u00a0unsch\u00f6n\u00a0zu handhaben.<\/p>\n
WIe gesagt, copy-paste sollte<\/em>\u00a0in den meisten Umgebungen klappen \ud83d\ude42<\/p>\n Los geht’s:<\/p>\n Die Installation von OpenVPN\u00a0geschieht unter Debian\/Ubuntu mittels\u00a0apt-get install openvpn, unter RHEL\/CentOS bewirkt man gleiches mit yum install openvpn.<\/p>\n Wir besorgen uns nun easyrsa3 und erstellen Schl\u00fcssel und Zertifikate, das ist\u00a0unbedingt notwendig:<\/p>\n Client-Zertifikat:<\/p>\n mkdir $HOME\/clientside Server-Zertifikat:<\/p>\n mkdir $HOME\/serverside Alles in die richtigen Verzeichnisse kopieren:<\/p>\n sudo cp $HOME\/serverside\/easy-rsa\/easyrsa3\/pki\/ca.crt \/etc\/openvpn\/ Client Script (bei der IP-Adresse muss die IP stehen, zu der der Client sp\u00e4ter verbinden soll – also die des OpenVPN-Servers):<\/p>\n nano $HOME\/clientside\/client.ovpn<\/p>\n client Jetzt f\u00fcgen\u00a0wir Keys und Zertifikat mit dem\u00a0Client-Script zusammen, sodass wir nur eine „.ovpn“ Datei haben, die wir an die Clients verteilen m\u00fcssen:<\/p>\n cd $HOME\/clientside\/<\/p><\/blockquote>\n
\ncd $HOME\/clientside
\ngit clone git:\/\/github.com\/OpenVPN\/easy-rsa
\ncd easy-rsa\/easyrsa3
\n.\/easyrsa init-pki
\n.\/easyrsa gen-req client1 nopass<\/p><\/blockquote>\n
\ncd $HOME\/serverside
\ngit clone git:\/\/github.com\/OpenVPN\/easy-rsa
\ncd easy-rsa\/easyrsa3
\n.\/easyrsa init-pki
\n.\/easyrsa build-ca
\n.\/easyrsa gen-req server nopass
\n.\/easyrsa sign-req server server
\nopenssl dhparam -out dh2048.pem 2048
\n\/usr\/sbin\/openvpn –genkey –secret ta.key
\n.\/easyrsa import-req $HOME\/clientside\/easy-rsa\/easyrsa3\/pki\/reqs\/client1.req client1
\n.\/easyrsa sign-req client client1<\/p><\/blockquote>\n
\nsudo cp $HOME\/serverside\/easy-rsa\/easyrsa3\/pki\/issued\/server.crt \/etc\/openvpn\/
\nsudo cp $HOME\/serverside\/easy-rsa\/easyrsa3\/dh2048.pem \/etc\/openvpn\/
\nsudo cp $HOME\/serverside\/easy-rsa\/easyrsa3\/pki\/private\/server.key \/etc\/openvpn\/
\nsudo cp $HOME\/serverside\/easy-rsa\/easyrsa3\/ta.key \/etc\/openvpn\/
\ncp $HOME\/serverside\/easy-rsa\/easyrsa3\/ta.key $HOME\/clientside\/
\ncp $HOME\/serverside\/easy-rsa\/easyrsa3\/pki\/issued\/client1.crt $HOME\/clientside\/
\ncp $HOME\/serverside\/easy-rsa\/easyrsa3\/pki\/ca.crt $HOME\/clientside\/
\ncp $HOME\/clientside\/easy-rsa\/easyrsa3\/pki\/private\/client1.key $HOME\/clientside\/<\/p><\/blockquote>\n
\ndev tun
\nproto udp
\nremote change_this_to_server_IP_address 34557
\nresolv-retry infinite
\nnobind
\npersist-key
\npersist-tun
\nca ca.crt
\ncert client1.crt
\nkey client1.key
\ntls-auth ta.key 1
\nremote-cert-tls server
\ncipher AES-256-CBC
\ncomp-lzo
\nverb 3<\/p><\/blockquote>\n