masterthesis/CLNT-DOC-Master.tex
2018-09-24 11:44:17 +02:00

75 lines
4.4 KiB
TeX

\documentclass[DIV=21,10pt,a4paper,oneside,onecolumn,notitlepage,parskip=half-]{scrreprt} %headinclude weggelassen
\input{COMMON-Config.tex}
%\input{COMMON-Style.tex}
% This is needed to provide proper \textbackslash
% (Otherwise it is printed using a different font)
\usepackage[T1]{fontenc}
\author{Jan Philipp Timme}
\title{IPv6-VPN Benutzeranleitung}
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Beginn des Dokuments (Titelseite und der ganze Krempel)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
\begin{document}
\thispagestyle{empty}
%\maketitle
\section*{Benutzeranleitung für das IPv6-VPN der Abteilung Informatik}
Diese Anleitung enthält Informationen zur schnellen Einrichtung des IPv6-VPN-Clients mit OpenVPN ab Version 2.4.0.
Die Anweisungen in dieser Anleitung sind für Debian 9 konzipiert und müssen je nach verwendetem Betriebsystem angepasst werden.
OpenVPN oder eine kompatible Alternative stehen für viele gängige Betriebsysteme zur Verfügung.
Für \textbf{Linux/Unix} und \textbf{Windows} finden sich unter \url{https://community.openvpn.net/openvpn#GettingOpenVPN} weiterführende Links.
Zusätzlich kann unter \textbf{Windows} die Software \enquote{OpenVPN-GUI} die Bedienung erleichtern: \url{https://community.openvpn.net/openvpn/wiki/OpenVPN-GUI-New}.
Für \textbf{Mac OS} sei auf die Software Tunnelblick (\url{https://tunnelblick.net/downloads.html}) verwiesen.
\subsection*{Benutzerzertifikat beantragen}
\textbf{Hinweis}: Details zu diesem Vorgang können in Kapitel 3 des Dokuments \enquote{Dokumentation der Zertifizierungsstelle für den IPv6-VPN-Dienst} nachgelesen werden.
Um ein Benutzerzertifikat zu beantragen, muss zunächst das von der VPN-CA gestellte EasyRSA-Paket heruntergeladen, entpackt und initialisiert werden.
\begin{lstlisting}
wget http://vpnca.inform.hs-hannover.de/VPN-EasyRSA.zip; unzip VPN-EasyRSA.zip
cd EasyRSA-3.0.5; ./easyrsa init-pki
\end{lstlisting}
Im Anschluss wird der private Schlüssel und der dazugehörige Zertifikatsantrag erzeugt. Der Platzhalter \texttt{entityName} muss durch Ihre Hochschul-E-Mail-Adresse ersetzt werden.
\begin{lstlisting}
./easyrsa gen-req entityName [nopass]
\end{lstlisting}
Der Parameter \texttt{nopass} ist optional und kann angegeben werden, um auf den Passwortschutz für den erzeugten privaten Schlüssel zu verzichten.
In diesem Rahmen geben Sie bei der Abfrage des \texttt{Common Name} Ihren \textbf{vollen Namen} an.
Bei der Abfrage der \texttt{Email Address} geben Sie Ihre \textbf{Hochschul-E-Mail-Adresse} an.
Für alle weiteren Abfragen werden die Vorgaben unverändert übernommen.
Der erzeugte Zertifikatsantrag wird dann per E-Mail an das IT-Team (\texttt{F4-I-IT-Team@hs-hannover.de}) verschickt.
Hat alles geklappt, erhalten Sie Ihr neues Benutzerzertifikat vom IT-Team.
\subsection*{OpenVPN-Client einrichten}
In diesem Schritt wird die OpenVPN-Clientkonfiguration und das Wurzelzertifikat der CA benötigt.
\begin{lstlisting}
wget http://vpnca.inform.hs-hannover.de/client.conf
wget http://vpnca.inform.hs-hannover.de/ca.crt
\end{lstlisting}
Die bereitgestellte Konfigurationsdatei \texttt{client.conf} enthält bereits das vorgefertigtes Gerüst und wird zusammen mit dem Wurzelzertifikat, Ihrem privaten Schlüssel und Ihrem Benutzerzertifikat in \texttt{/etc/openvpn/client/} platziert.
Die Parameter \texttt{ca}, \texttt{cert} und \texttt{key} in der \texttt{client.conf} müssen entsprechend angepasst werden. Die Dateipfade können relativ oder absolut angegeben werden.
Ist der private Schlüssel mit einem Passwort geschützt kann die Option \texttt{auth-nocache} eingefügt werden, um das Vorhalten dieses Passworts im Arbeitsspeicher zu verhindern.
Details dazu können in der Manpage\footnote{\url{https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage}} von OpenVPN nachgelesen werden.
\textbf{Achtung}: Auch unter \textbf{Windows} müssen Schrägstriche \texttt{/} anstelle von Gegenschrägstrichen \texttt{\textbackslash} verwendet werden.
Unter Debian kann der OpenVPN-Client als Systemdienst aktiviert und gestartet werden:
\begin{lstlisting}
systemctl enable openvpn-client@client.service; systemctl start openvpn-client@client.service
\end{lstlisting}
Alternativ kann OpenVPN unter Angabe der Konfigurationsdatei direkt gestartet werden:
\begin{lstlisting}
openvpn --config /path/to/client.conf
\end{lstlisting}
\end{document}