Drift/OpenVPN

From Programvareverkstedet
Revision as of 01:21, 16 November 2014 by Simongli (talk | contribs) (Milestone - konfigurasjon av sertifikater dekket)

Dette er en kort guide til hvordan sette opp en OpenVPN server.

Hvis man har lyst på en enklere tilværelse og et sunt sinn anbefales det at man bruker pfSense (https://www.pfsense.org/). Det er en FreeBSD basert distro som fokuserer på administrering av nettverk.

Installasjon

Last ned din imaget du foretrekker (64-bits live og install usb-versjonen har som regel noe for seg?). (Under windows anbefales det at man bruker USB Image Tool (http://www.alexpage.de/usb-image-tool/), da vanlige linuxminnepinneopprettingsprogrammer kan slite med BSD.)

Boot fra mediet du nettopp lagde, bruk standardinnstillingene og trykk neste til du blir bedt om å koble til web-interfacet på en ip for å konfigurere adminbrukeren.

Koble til ip-en i en nettleser og logg inn med brukernavnet og passordet som står sammen med ip-en (sist vi prøvde virket brukernavnet "admin" med passord "pfsense"). Endre så adminpassordet til noe fornuftig som ikke er defaultpassordet.

Konfigurering av VPN

Hvis man skal konfigurere en fersk installasjon

Koble til webgrensesnittet som en bruker med admin-rettigheter.

I menyen langs toppen av siden under VPN velg OpenVPN.

I kontrollpanelet som dukker opp velg fanen "Wizards". Standard-wizzarden for å opprette en OpenVPN server vil da starte.

Først blir du bedt om å velge hvordan serveren skal håndtere brukere. Da vi for tiden ikke bruker LDAP eller radius, la defaulten Local User Access bli stående og gå videre (brukere håndteres da direkte av serveren).

Videre blir du bedt om å lage en Certificate Authority (CA).

  • Velg et passende navn, som f.eks. "PVV Nett - CA".
  • 2048 bit er en krei key length.
  • Under lifetime vær klar over at utløpsdatoen ikke kan være etter 2038 fordi problemer med unix-time (standarden på 10 år/3650 dager er det helt greit å la stå)
  • Skjemaet takler ikke særnorske bokstaver, så finn en kreativ løsning for ø-ene i Sør-Trønderlag i "State or Province"-feltet.

Deretter blir du bedt om å lage et nytt Server Certificate. Husk å gi den et annet navn enn CA-en, ellers gjelder de samme begrensningene som for opprettingen av CA-en.