UPS !
das ist mir absolut nicht aufgefallen, sry 4 that.
LINK A
LINK B
Öhrm ja .. ich denke Routing Mode .. da er selbstsändig adressen verteilt
aber hier zur Sicherheit mal meine Server conf (Linux SYS)
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
local 89.238.XXX.XXX
# Port
port XXXXX
# TCP oder UDP?
proto tcp-server
#proto udp
mode server
tls-server
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap
#Our Server IP
ifconfig 10.0.0.1 255.255.255.0
#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254
#Die pakete werden auf dieser größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix
#plugin /etc/openvpn/openvpn-auth-pam.so service-type
#auth_user_pass_file /etc/openvpn/.users.cnf
#Paths to the certs
ca /usr/lib/ssl/certs/ca_cert_vpn.pem
cert /usr/lib/ssl/certs/server_cert_vpn.pem
key /usr/lib/ssl/certs/server_key_vpn.pem
#Clients können miteinander kommunizieren
client-to-client
#Diffie-Hellmann Parameters
dh /usr/lib/ssl/certs/dh2048.pem
#Same Ip in the next session
ifconfig-pool-persist ipp.txt
#Routes the packages to the intern network, you should use iptables instead of this
#push "route 192.168.0.0 255.255.255.0"
#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120
#Authenication
auth SHA1
#Our encryption algorithm
;cipher none
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
cipher DES-EDE3-CBC # Triple-DES
#openvpn --show-ciphers for testing
#auth-user-pass-verify /etc/openvpn/auth-pam.pl via-file
#comp
comp-lzo
#Sets new rights after the connection
user nobody
group nogroup
#We need this because of user nobody/group nobody.
persist-key
persist-tun
#Logging 0, (testing:5)
verb 0
|
Hier muss für jeden vpn nutzer ein SSL Cert erstellt werden ..
Ein zugriff via USER/PASSWORT soll auch machbar sein , habe ich allerdings nicht auf die reihe bekommen.
Finde die ssl lösung zwar umständlicher , aber weitaus sicherer
Es gibt ein Unix script welches einmal ein Servercert erstellt (nur einmalig benötigt) und eins das die usercerts erstellt
WiCHTIG ! Jedes usercert welches erstellt wird , muss ein einzigartiges [COMMON NAME] tragen (man wird bei der erstellung einige dinge gefragt)
hab die beiden scripts mal angehangen.
das man natürlich das challengepw sowie das pw für das servercert nicht vergessen sollte ist klar
Viel Glück & Erfolg
So long
Hurrycane