From 254469fdc761ec4759eae1afc82afee4e369ebbd Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Sun, 23 Sep 2018 15:58:55 +0200 Subject: [PATCH] Add more stuff into CLNT-DOC --- CLNT-DOC-Master.tex | 51 +++++++++++++++++++++++++++++---------------- 1 file changed, 33 insertions(+), 18 deletions(-) diff --git a/CLNT-DOC-Master.tex b/CLNT-DOC-Master.tex index fda22b3..0767f93 100644 --- a/CLNT-DOC-Master.tex +++ b/CLNT-DOC-Master.tex @@ -10,22 +10,29 @@ %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% \begin{document} %\maketitle -\section*{Benutzeranleitung IPv6-VPN} +\section*{Benutzeranleitung für das IPv6-VPN der Abteilung Informatik} Diese Anleitung enthält Informationen zur schnellen Einrichtung des IPv6-VPN-Clients mit OpenVPN ab Version 2.4.0. +Die Anweisungen in dieser Anleitung sind für Debian 9 konzipiert und müssen je nach verwendetem Betriebsystem angepasst werden. + +OpenVPN oder eine kompatible Alternative stehen für viele gängige Betriebsysteme zur Verfügung. +Für \textbf{Linux/Unix} und \textbf{Windows} finden sich unter \url{https://community.openvpn.net/openvpn#GettingOpenVPN} weiterführende Links. + +Zusätzlich kann unter \textbf{Windows} die Software \enquote{OpenVPN-GUI} die Bedienung erleichtern: \url{https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI-New}. + +Für \textbf{Mac OS} sei auf die Software Tunnelblick (\url{https://tunnelblick.net/downloads.html}) verwiesen. -\section*{Benutzerzertifikat} -Um ein Benutzerzertifikat zu beantragen, muss zunächst das von der VPN-CA zur Verfügung gestellte EasyRSA-Paket heruntergeladen und entpackt werden. +\subsection*{Benutzerzertifikat beantragen} +\textbf{Hinweis}: Details zu diesem Vorgang können in Kapitel 3 des Dokuments \enquote{Dokumentation der Zertifizierungsstelle für den IPv6-VPN-Dienst} nachgelesen werden. + +Um ein Benutzerzertifikat zu beantragen, muss zunächst das von der VPN-CA gestellte EasyRSA-Paket heruntergeladen, entpackt und initialisiert werden. \begin{lstlisting} wget http://vpnca.inform.hs-hannover.de/VPN-EasyRSA.zip unzip VPN-EasyRSA.zip -\end{lstlisting} -Anschließend kann in das enthaltene EasyRSA-Verzeichnis gewechselt werden. -Zunächst wird die Verzeichnisstruktur erzeugt. -\begin{lstlisting} +cd EasyRSA-3.0.5 ./easyrsa init-pki \end{lstlisting} -Im Anschluss wird der private Schlüssel und der Zertifikatsantrag erzeugt, wobei \texttt{entityName} durch Ihre Hochschul-E-Mail-Adresse ersetzt wird. +Im Anschluss wird der private Schlüssel und der dazugehörige Zertifikatsantrag erzeugt. Der Platzhalter \texttt{entityName} muss durch Ihre Hochschul-E-Mail-Adresse ersetzt werden. \begin{lstlisting} ./easyrsa gen-req entityName [nopass] \end{lstlisting} @@ -34,22 +41,30 @@ In diesem Rahmen geben Sie bei der Abfrage des \texttt{Common Name} Ihren \textb Bei der Abfrage der \texttt{Email Address} geben Sie Ihre \textbf{Hochschul-E-Mail-Adresse} an. Für alle weiteren Abfragen können die Vorgaben unverändert übernommen werden. -Der erzeugte Zertifikatsantrag wird dann zur Ausstellung des Zertifikats per E-Mail an das IT-Team verschickt. +Der erzeugte Zertifikatsantrag wird dann per E-Mail an das IT-Team (\texttt{F4-I-IT-Team@hs-hannover.de}) verschickt. +Hat alles geklappt, erhalten Sie Ihr neues Benutzerzertifikat vom IT-Team. -\section*{OpenVPN} -Zusätzlich zum Benutzerzertifikat wird noch die OpenVPN-Clientkonfiguration und das Wurzelzertifikat der CA benötigt. +\subsection*{OpenVPN-Client einrichten} +Als nächstes wird die OpenVPN-Clientkonfiguration und das Wurzelzertifikat der CA benötigt. \begin{lstlisting} wget http://vpnca.inform.hs-hannover.de/client.conf wget http://vpnca.inform.hs-hannover.de/ca.crt \end{lstlisting} -Die bereitgestellte Konfigurationsdatei \texttt{client.conf} enthält bereits ein vorgefertigtes Grundgerüst. -Die Parameter \texttt{ca}, \texttt{cert} und \texttt{key} müssen entsprechend der lokalen Umstände angepasst werden. -Anschließend kann OpenVPN unter Angabe der Konfigurationsdatei gestartet werden. -Dieser Vorgang kann je nach Plattform unterschiedlich ablaufen. +Die bereitgestellte Konfigurationsdatei \texttt{client.conf} enthält bereits ein vorgefertigtes Grundgerüst und wird zusammen mit dem Wurzelzertifikat, Ihrem privaten Schlüssel und Ihrem Benutzerzertifikat unter \texttt{/etc/openvpn/client/} platziert. +Die Parameter \texttt{ca}, \texttt{cert} und \texttt{key} in der \texttt{client.conf} müssen entsprechend angepasst werden. Die Pfade können relativ oder absolut angegeben werden. Unter \textbf{Windows} müssen Schrägstriche \texttt{/} anstelle von Gegenschrägstrichen \texttt{\textbackslash} verwendet werden. -\paragraph{Windows} -\paragraph{Linux} -\paragraph{Mac OS} +Unter Debian kann der OpenVPN-Client als Systemdienst aktiviert und gestartet werden: +\begin{lstlisting} +systemctl enable openvpn@client.service +systemctl start openvpn@client.service +\end{lstlisting} + +Alternativ kann OpenVPN unter Angabe der Konfigurationsdatei direkt gestartet werden: +\begin{lstlisting} +openvpn --config /path/to/client.conf +\end{lstlisting} + +Je nach Betriebsystem und verwendeter Zusatzsoftware kann dieser Vorgang anders aussehen. \end{document}