\documentclass[DIV=21,10pt,a4paper,oneside,onecolumn,notitlepage,parskip=half-]{scrreprt} %headinclude weggelassen \input{COMMON-Config.tex} %\input{COMMON-Style.tex} % This is needed to provide proper \textbackslash % (Otherwise it is printed using a different font) \usepackage[T1]{fontenc} \author{Jan Philipp Timme} \title{IPv6-VPN Benutzeranleitung} %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% % Beginn des Dokuments (Titelseite und der ganze Krempel) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% \begin{document} \thispagestyle{empty} %\maketitle \section*{Benutzeranleitung für das IPv6-VPN der Abteilung Informatik} Diese Anleitung enthält Informationen zur schnellen Einrichtung des IPv6-VPN-Clients mit OpenVPN ab Version 2.4.0. Die Anweisungen in dieser Anleitung sind für Debian 9 konzipiert und müssen je nach verwendetem Betriebsystem angepasst werden. OpenVPN oder eine kompatible Alternative stehen für viele gängige Betriebsysteme zur Verfügung. Für \textbf{Linux/Unix} und \textbf{Windows} finden sich unter \url{https://community.openvpn.net/openvpn#GettingOpenVPN} weiterführende Links. Zusätzlich kann unter \textbf{Windows} die Software \enquote{OpenVPN-GUI} die Bedienung erleichtern: \url{https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI-New}. Für \textbf{Mac OS} sei auf die Software Tunnelblick (\url{https://tunnelblick.net/downloads.html}) verwiesen. \subsection*{Benutzerzertifikat beantragen} \textbf{Hinweis}: Details zu diesem Vorgang können in Kapitel 3 des Dokuments \enquote{Dokumentation der Zertifizierungsstelle für den IPv6-VPN-Dienst} nachgelesen werden. Um ein Benutzerzertifikat zu beantragen, muss zunächst das von der VPN-CA gestellte EasyRSA-Paket heruntergeladen, entpackt und initialisiert werden. \begin{lstlisting} wget http://vpnca.inform.hs-hannover.de/VPN-EasyRSA.zip; unzip VPN-EasyRSA.zip cd EasyRSA-3.0.5; ./easyrsa init-pki \end{lstlisting} Im Anschluss wird der private Schlüssel und der dazugehörige Zertifikatsantrag erzeugt. Der Platzhalter \texttt{entityName} muss durch Ihre Hochschul-E-Mail-Adresse ersetzt werden. \begin{lstlisting} ./easyrsa gen-req entityName [nopass] \end{lstlisting} Der Parameter \texttt{nopass} ist optional und kann angegeben werden, um auf den Passwortschutz für den erzeugten privaten Schlüssel zu verzichten. In diesem Rahmen geben Sie bei der Abfrage des \texttt{Common Name} Ihren \textbf{vollen Namen} an. Bei der Abfrage der \texttt{Email Address} geben Sie Ihre \textbf{Hochschul-E-Mail-Adresse} an. Für alle weiteren Abfragen werden die Vorgaben unverändert übernommen. Der erzeugte Zertifikatsantrag wird dann per E-Mail an das IT-Team (\texttt{F4-I-IT-Team@hs-hannover.de}) verschickt. Hat alles geklappt, erhalten Sie Ihr neues Benutzerzertifikat vom IT-Team. \subsection*{OpenVPN-Client einrichten} In diesem Schritt wird die OpenVPN-Clientkonfiguration und das Wurzelzertifikat der CA benötigt. \begin{lstlisting} wget http://vpnca.inform.hs-hannover.de/client.conf wget http://vpnca.inform.hs-hannover.de/ca.crt \end{lstlisting} Die bereitgestellte Konfigurationsdatei \texttt{client.conf} enthält bereits das vorgefertigtes Gerüst und wird zusammen mit dem Wurzelzertifikat, Ihrem privaten Schlüssel und Ihrem Benutzerzertifikat in \texttt{/etc/openvpn/client/} platziert. Die Parameter \texttt{ca}, \texttt{cert} und \texttt{key} in der \texttt{client.conf} müssen entsprechend angepasst werden. Die Dateipfade können relativ oder absolut angegeben werden. Ist der private Schlüssel mit einem Passwort geschützt kann die Option \texttt{auth-nocache} eingefügt werden, um das Vorhalten dieses Passworts im Arbeitsspeicher zu verhindern. Details dazu können in der Manpage\footnote{\url{https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage}} von OpenVPN nachgelesen werden. \textbf{Achtung}: Auch unter \textbf{Windows} müssen Schrägstriche \texttt{/} anstelle von Gegenschrägstrichen \texttt{\textbackslash} verwendet werden. Unter Debian kann der OpenVPN-Client als Systemdienst aktiviert und gestartet werden: \begin{lstlisting} systemctl enable openvpn-client@client.service; systemctl start openvpn-client@client.service \end{lstlisting} Alternativ kann OpenVPN unter Angabe der Konfigurationsdatei direkt gestartet werden: \begin{lstlisting} openvpn --config /path/to/client.conf \end{lstlisting} \end{document}