WereDoku

User Tools

Site Tools

Trace:
networking:openvpn_howto

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
networking:openvpn_howto [2017/04/05 15:49]
ww 		networking:openvpn_howto [2022/03/16 09:39] (current)
Line 3: Line 3:
 ===== 1. Generování klíčů (Linux) ===== ===== 1. Generování klíčů (Linux) =====
  
-==== 1.1. Příprava PKI ===== +==== 1.1. PKI - příprava ===== 
-  - Zkopírovat nástroje z adresáře ''/usr/share/easy-rsa''+  - Stáhnout Easy-RSA ([[https://github.com/OpenVPN/easy-rsa/releases|odkaz]])
-  - Upravit soubor ''vars.example''+  - Zkopírovat soubor ''vars.example'' do souboru ''vars'' a upravit
-      - Volitelně eliptické křivky: ''set_var EASYRSA_ALGO ec''.+      - Volitelně eliptické křivky: 
 +          - ''set_var EASYRSA_ALGO ec'' 
 +          - ''set_var EASYRSA_CURVE secp384r1''
  
   # ./easyrsa init-pki   # ./easyrsa init-pki
Line 14: Line 16:
   # ./easyrsa gen-dh   # ./easyrsa gen-dh
  
-==== 1.2. Umístění souborů ====+==== 1.2. PKI - umístění souborů ====
   - server:   - server:
     - ''pki/ca.crt''     - ''pki/ca.crt''
Line 24: Line 26:
     - ''pki/private/<jmenoklienta>.key''     - ''pki/private/<jmenoklienta>.key''
     - ''pki/issued/<jmenoklienta>.crt''     - ''pki/issued/<jmenoklienta>.crt''
 +
 +==== 1.3. TLS auth ====
 +  openvpn --genkey secret ta.key
  
 ===== 2. Nastavení serveru (Linux) ===== ===== 2. Nastavení serveru (Linux) =====
Line 44: Line 49:
   cipher AES-256-GCM   cipher AES-256-GCM
      
-  client-to-client+  #client-to-client 
 +  #push "route 192.168.X.0 255.255.255.0 172.17.Y.Z"
      
   # ifconfig-pool-persist ipp.txt   # ifconfig-pool-persist ipp.txt
      
   keepalive 10 120   keepalive 10 120
-  compress lz4 
      
   log /var/log/openvpn/<mujserver>.log   log /var/log/openvpn/<mujserver>.log
Line 55: Line 60:
   mute 10   mute 10
      
-  ca    [inline] +  ca       [inline] 
-  cert  [inline] +  cert     [inline] 
-  key   [inline] +  key      [inline] 
-  dh    [inline]+  dh       [inline] 
 +  tls-auth [inline]
   key-direction 0   key-direction 0
      
Line 107: Line 113:
   persist-key   persist-key
   persist-tun   persist-tun
 +  auth-nocache
      
   remote-cert-tls server   remote-cert-tls server
-  cipher AES-256-GSM +  cipher AES-256-GCM
-   +
-  compress lz4+
      
   log "..\\log\\<firma>-<username>log"   log "..\\log\\<firma>-<username>log"
Line 117: Line 122:
   mute 10   mute 10
      
-  ca    [inline] +  ca       [inline] 
-  cert  [inline] +  cert     [inline] 
-  key   [inline]+  key      [inline] 
 +  tls-auth [inline]
   key-direction 1   key-direction 1
      
Line 145: Line 151:
   -----END OpenVPN Static key V1-----   -----END OpenVPN Static key V1-----
   </tls-auth>   </tls-auth>
 +
 +===== 4. Výpis zneplatněných certifikátů =====
 +  grep "^R" /etc/openvpn/<nazevfirmy>/pki/index.txt
 +
 +===== 5. Zneplatnění certifikátu =====
 +  ./easyrsa revoke <jmenoklienta>
 +  EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl
 +
 ++ přidat do konfiguráku serveru:
 +  crl-verify /etc/openvpn/<nazevfirmy>/pki/crl.pem
 +
 +Po zneplatnění je potřeba restartovat OpenVPN server:
 +  systemctl restart openvpn@<mujserver>.service
networking/openvpn_howto.1491400181.txt.gz · Last modified: 2022/03/16 09:38 (external edit)

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki