1.4. Einfache Client-Konfiguration
Es gibt verschiedene OpenVPN-Client-Implementierungen mit und ohne GUIs. Weitere Informationen zu Kunden finden Sie in einem späteren Abschnitt. Im Moment verwenden wir den OpenVPN-Client für Ubuntu, der dieselbe ausführbare Datei wie der Server ist. Sie müssen also das openvpn-Paket erneut auf dem Client-Rechner installieren:
sudo apt installiere openvpn
Kopieren Sie dieses Mal die Beispielkonfigurationsdatei client.conf nach /etc/openvpn/.
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
Kopieren Sie die Client-Schlüssel und das Zertifikat der Zertifizierungsstelle, die Sie im obigen Abschnitt erstellt haben, z. B. nach /etc/openvpn/ und bearbeiten Sie sie /etc/openvpn/client.conf um sicherzustellen, dass die folgenden Zeilen auf diese Dateien verweisen. Wenn Sie die Dateien in /etc/openvpn/ haben, können Sie den Pfad weglassen.
ca ca.crt
Zertifikat client1.crt Schlüssel client1.key
Und Sie müssen mindestens den Namen oder die Adresse des OpenVPN-Servers angeben. Stellen Sie sicher, dass das Schlüsselwort client in der Konfiguration enthalten ist. Dadurch wird der Client-Modus aktiviert.
Auftraggeber
remote vpnserver.example.com 1194
Stellen Sie außerdem sicher, dass Sie die Namen der Schlüsseldateien angeben, die Sie vom Server kopiert haben
ca ca.crt
Zertifikat client1.crt Schlüssel client1.key
Starten Sie nun den OpenVPN-Client:
ubuntu@testopenvpn-client:~$ sudo systemctl start openvpn@client ubuntu@testopenvpn-client:~$ sudo systemctl status openvpn@client
. [E-Mail geschützt] - OpenVPN-Verbindung zum Client
Geladen: geladen (/lib/systemd/system/[E-Mail geschützt] ; deaktiviert; Herstellervoreinstellung: aktiviert)
Aktiv: aktiv (läuft) seit Dienstag, 2016, 04:12:08 UTC; Vor 50 Sekunden Dokumente: man:openvpn(50)
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage https://community.openvpn.net/openvpn/wiki/HOWTO
Prozess: 1677 ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status
10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/%i.conf --writep Haupt-PID: 1679 (openvpn)
Aufgaben: 1 (Limit: 512)
CGroup: /system.slice/system-openvpn.slice/[E-Mail geschützt]
|-1679 /usr/sbin/openvpn --daemon ovpn-client --status /run/openvpn/client.status
10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/client.conf --wr
12. April 08:50:52 testopenvpn-client ovpn-client[1679]: OPTIONEN IMPORT: --ifconfig/up-Optionen geändert
12. April 08:50:52 testopenvpn-client ovpn-client[1679]: OPTIONEN IMPORT: Routenoptionen geändert 12. April 08:50:52 testopenvpn-client ovpn-client[1679]: ROUTE_GATEWAY
192.168.122.1/255.255.255.0 IFACE=eth0 HWADDR=52:54:00:89:ca:89
12. April 08:50:52 testopenvpn-client ovpn-client[1679]: TUN/TAP-Gerät tun0 geöffnet
12. Apr. 08:50:52 testopenvpn-client ovpn-client[1679]: TUN/TAP TX-Warteschlangenlänge auf 100 gesetzt 12. Apr. 08:50:52 testopenvpn-client ovpn-client[1679]: do_ifconfig, tt->ipv6= 0, tt-
>did_ifconfig_ipv6_setup=0
12. Apr. 08:50:52 testopenvpn-client ovpn-client[1679]: /sbin/ip link set dev tun0 up mtu 1500 12. Apr. 08:50:52 testopenvpn-client ovpn-client[1679]: /sbin/ip addr dev tun0 lokal hinzufügen
10.8.0.6 Gegenstück 10.8.0.5
12. April 08:50:52 testopenvpn-client ovpn-client[1679]: /sbin/ip route add 10.8.0.1/32 via 10.8.0.5
12. April 08:50:52 testopenvpn-client ovpn-client[1679]: Initialisierungssequenz abgeschlossen
Überprüfen Sie, ob eine tun0-Schnittstelle erstellt wurde:
root@client:/etc/openvpn# ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT LÄUFT NOARP MULTICAST MTU:1500 Metrisch:1
Überprüfen Sie, ob Sie den OpenVPN-Server anpingen können:
root@client:/etc/openvpn# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56 (84) Datenbytes.
64 Bytes aus 10.8.0.1: icmp_req=1 ttl=64 time=0.920 ms
Der OpenVPN-Server verwendet immer die erste nutzbare IP-Adresse im Client-Netzwerk und nur diese IP ist pingbar. Wenn Sie beispielsweise /24 für die Client-Netzwerkmaske konfiguriert haben, wird die Adresse .1 verwendet. Die P-tP-Adresse, die Sie in der obigen ifconfig-Ausgabe sehen, beantwortet normalerweise keine Ping-Anfragen.
Schauen Sie sich Ihre Routen an:
root@client:/etc/openvpn# netstat -rn Kernel-IP-Routing-Tabelle
Ziel-Gateway-Genmask-Flags MSS-Fenster irtt Iface
10.8.0.5 | 0.0.0.0 | 255.255.255.255 | UH | 0 | 0 | 0 | tun0 |
10.8.0.1 | 10.8.0.5 | 255.255.255.255 | PFUI | 0 | 0 | 0 | tun0 |
192.168.42.0 | 0.0.0.0 | 255.255.255.0 | U | 0 | 0 | 0 | eth0 |
0.0.0.0 | 192.168.42.1 | 0.0.0.0 | UG | 0 | 0 | 0 | eth0 |