From dbe365c87cc1e6391fd454a9ee397c03cb99e1dc Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Thu, 20 Sep 2018 11:36:25 +0200 Subject: [PATCH] Show server config in SRV-DOC --- SRV-DOC-Inhalt.tex | 22 +++++++++++++--------- 1 file changed, 13 insertions(+), 9 deletions(-) diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex index 0556f47..547bfac 100644 --- a/SRV-DOC-Inhalt.tex +++ b/SRV-DOC-Inhalt.tex @@ -195,7 +195,7 @@ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT \end{lstlisting} -Für IPv4-Verkehr aus dem VPN soll NAT durchgeführt werden. +Für IPv4-Verkehr aus dem VPN soll NAT auf die \texttt{141.71.38.7} durchgeführt werden. \begin{lstlisting} iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -j SNAT --to 141.71.38.7 \end{lstlisting} @@ -229,10 +229,6 @@ iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 \end{lstlisting} -\paragraph{Einstellungen für Routing} -\todo{Hier gibt es noch zu tun.} -Viel ist es nicht - \paragraph{Zertifikate} \todo{Hier gibt es noch zu tun.} Beschaffung eines Serverzertifikats und des CA-Wurzelzertifikats @@ -240,27 +236,35 @@ Erzeugung der DH-Parameter Regelmäßige Beschaffung der CRL \paragraph{OpenVPN} -\todo{Hier gibt es noch zu tun.} Nun wird OpenVPN installiert und konfiguriert. \begin{lstlisting} # apt-get install openvpn \end{lstlisting} +\todo{Zertifikate beantragen und lokal ablegen} -Zertifikate beantragen und -Konfiguration einspielen +Die folgende Serverkonfiguration wird als Datei unter \texttt{/etc/openvpn/server/inform.conf} abgelegt. +\lstinputlisting[]{./openvpn-config/vpnserver.conf} CRL beschaffen +\begin{lstlisting} curl http://vmvpnca.inform.hs-hannover.de/crl.pem > /etc/openvpn/vpnserver/crl.pem +\end{lstlisting} Cronjob via \texttt{crontab -e} erzeugen: \begin{lstlisting} 15 2 * * * bash -c 'curl http://vmvpnca.inform.hs-hannover.de/crl.pem > /etc/openvpn/vpnserver/crl.pem; systemctl restart openvpn@vpnserver.service' \end{lstlisting} -Ein reload ist aufgrund der Abgabe von Berechtigungen nach dem Start nicht möglich. +Ein \texttt{systemctl reload} ist aufgrund der Abgabe von Berechtigungen nach dem Start nicht möglich. +Deshalb muss auf \texttt{systemctl restart} zurückgegriffen werden. Nun wird der OpenVPN-Dienst aktiviert und gestartet. \begin{lstlisting} # systemctl enable openvpn@vpnserver.service # systemctl start openvpn@vpnserver.service \end{lstlisting} + + +\chapter{Administrative Aufgaben} +Die IP-Adressen des Diensts aktivieren oder deaktivieren +Den Dienst starten/stoppen/neustarten