DS9/Setup: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(OpenVPN-Konfiguration) |
(→OpenVPN: Uplink-Konfiguration) |
||
Zeile 57: | Zeile 57: | ||
# Teile den Clients mit, ihren Traffic über uns zu routen | # Teile den Clients mit, ihren Traffic über uns zu routen | ||
push "redirect-gateway def1" | push "redirect-gateway def1" | ||
Für den Uplink über eine weitere VPN-Verbindung habe ich folgende Konfiguration in <tt>/etc/openvpn/vpntunnel.conf</rr> verwendet: | |||
; Gehe in den Client-Modus | |||
client | |||
; Erzeuge Tunnel-Interface | |||
dev tunse | |||
; Hole keine Routen vom Server | |||
route-nopull | |||
; Verwende UDP-Protokoll | |||
proto udp | |||
; Setze Vorgaben des Providers | |||
float | |||
nobind | |||
; Finde Zertifikate | |||
ca /etc/openvpn/vpntunnel.crt | |||
ns-cert-type server | |||
cipher BF-CBC | |||
; Verbinde zu einem zufällig gewählten Server | |||
remote-random | |||
remote anna.vpntunnel.se 10010 | |||
remote anna.vpntunnel.se 10020 | |||
remote anna.vpntunnel.se 1194 | |||
; Versuche unendlich lang dich zu verbinden | |||
resolv-retry infinite | |||
; Lies Benutzernamen und Passwort aus Datei | |||
auth-user-pass /etc/openvpn/vpntunnel.txt | |||
; Behalte Schlüssel im Speicher | |||
persist-key | |||
; Halte Tunnel-Interface offen | |||
persist-tun | |||
; Setze Kompression voraus | |||
comp-lzo |
Version vom 7. Januar 2013, 19:45 Uhr
Installation DS9: Gedächtnisprotokoll von nomaster.
Basissystem
Hetzner stellt keine vServer mit vorinstalliertem Arch Linux zur Verfügung. Die Installation klappte jedoch über einen Umweg.
- Rescue System booten
- Festplatte partitionieren
- Das Arch-Linux-ISO auf eine Partition kopieren
- GRUB installieren und für das Booten des ISO konfigurieren
- Von der Festplatte neu starten
- Installation vornehmen
- GRUB neu konfigurieren, um das Zielsystem zu starten
OpenVPN
Das Paket openvpn installieren, Zertifikate einrichten und zwei Konfigurationen anlegen: eine für Verbindungen durch Queens und eine für den Uplink zu einem Anonymisierungsdienst.
Die Zertifikate habe ich per easy-rsa erzeugt.
Im folgenden die Inhalte der Datei /etc/openvpn/ds9.conf
# Authentifiziere per PAM plugin /usr/lib/openvpn/openvpn-auth-pam.so system-auth username-as-common-name # Erzeuge Tunnel-Interface dev tunff # Finde Zertifikate und Schlüssel ca /etc/openvpn/ds9.ca cert /etc/openvpn/ds9.crt client-cert-not-required dh /etc/openvpn/dh1024.pem key /etc/openvpn/ds9.key duplicate-cn tls-server # Setze Kompression per LZO voraus comp-lzo # Erhalte Verbindung aufrecht keepalive 10 120 # Behalte Schlüssel im Speicher persist-key # Halte Tunnel-Interface offen persist-tun # Passe Paketgrößen automatisch an mssfix # Verteile IP-Adressen aus unserem Subnetz server 172.22.133.0 255.255.255.0 # Teile den Clients mit, ihren Traffic über uns zu routen push "redirect-gateway def1"
Für den Uplink über eine weitere VPN-Verbindung habe ich folgende Konfiguration in /etc/openvpn/vpntunnel.conf</rr> verwendet:
; Gehe in den Client-Modus client ; Erzeuge Tunnel-Interface dev tunse ; Hole keine Routen vom Server route-nopull ; Verwende UDP-Protokoll proto udp ; Setze Vorgaben des Providers float nobind ; Finde Zertifikate ca /etc/openvpn/vpntunnel.crt ns-cert-type server cipher BF-CBC ; Verbinde zu einem zufällig gewählten Server remote-random remote anna.vpntunnel.se 10010 remote anna.vpntunnel.se 10020 remote anna.vpntunnel.se 1194 ; Versuche unendlich lang dich zu verbinden resolv-retry infinite ; Lies Benutzernamen und Passwort aus Datei auth-user-pass /etc/openvpn/vpntunnel.txt ; Behalte Schlüssel im Speicher persist-key ; Halte Tunnel-Interface offen persist-tun ; Setze Kompression voraus comp-lzo