OpenVPN: interne router

Ik ben bezig met een OpenVPN-beheernetwerk. U zal dus regelmatig VPN-gerelateerd materiaal zien voorbijkomen.

Om systemen in OpenVPN-VPN met elkaar te laten praten, moet je twee dingen doen: de firewall(s) aanpassen (op de VPN server en op beide hosts); maar ook de route 10.8.0.0/24 naar de clients doorsturen. Anders hebben ze enkel een route voor 10.8.0.1 (de VPN-server), maar niet voor bv. 10.8.0.10.

Een extra route (technisch: het VPN-subnet 10.8.0.0/24 beschikbaar maken voor alle clients) doe je in /etc/openvpn/server.conf:

push “route 10.8.0.0 255.255.255.0”

Hiermee kunnen de clients elkaar in principe zien, maar enkel wanneer je dat op de VPN-sever toelaat in de firewall (tabel FORWARD). En natuurlijk moet de firewall op de client verbindingen via de OpenVPN-interface (of het subnet) toelaten.

OpenVPN op een server

Het internet staat vol met tutorials om een OpenVPN-server op te zetten, maar hoe je dan een andere server (zonder GUI dus) verbindt met die OpenVPN, dat is dan weer moeilijk te vinden.

Het moet zo:

  1. Kopieer uw client.ovpn (met alle nodige certificaten) naar /etc/openvpn op de andere server.
  2. Hernoem client.ovpn naar iets met een duidelijke naam (bv. mijn.vpn.netwerk.conf), maar zorg ervoor dat de bestandsextensie .conf is (en niet .ovpn).
  3. service openvpn start

Blijkbaar pikt OpenVPN automatisch alle configuratiebestanden in /etc/openvpn op (client en server), maar moeten ze de extensie .conf hebben.

Vanaf Ubuntu 16.04/systemd moet het zo:

  1. service openvpn@mijn.vpn.netwerk start

Dit spaart u weer wat tijd en zoekwerk …

[GANDI] Expiration of the certificate SSL Standard (post.helptux.be) in 29 days

Het is weer de tijd van het jaar …

Bijna al mijn certificaten gebruiken Let’s Encrypt, maar voor de e-mailserver (sommige mensen draaien dat nog) gebruik ik een betaald certificaat. Ik zou het waarschijnlijk kunnen omzetten, maar voor e-mailservers ben ik nogal conservatief. Zonder e-mail zal ik niet ver lopen.

Alleen spijtig dat ik er (nog) niet ben toe gekomen om Postfix achter Puppet te steken. Dat wordt dus manueel certificaten vervangen …

Een nieuwe blog

Jawel. Eindelijk! Het is waarschijnlijk al de derde of vierde, maar er is weer één. En deze keer zonder verwachtingen, dus misschien hou ik het nu langer vol.

Natuurlijk, als een self-declared geek een blog opstart, kan dat niet zonder slag of stoot. Er is dus zorgvuldig nagedacht over de software (plain old WordPress) en een domeinnaam (geregistreerd in 2012!). Voor de installatie moest natuurlijk een (compleet onnodige) refactor gebeuren van de Puppetcode die de server rechthoudt en natuurlijk ook nog enkele features geactiveerd worden die ik niet ga gebruiken en die ~1 uur gekost hebben om te configureren. Men is een geek of men is het niet.

Desondanks. Welkom!