Changes between Version 53 and Version 54 of WikiStart

Timestamp:

May 9, 2013, 2:23:52 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -782 +782 @@
 }}}
 
-Continue setting up openvpn. Remember that the openvpn server needs:'openvpn.conf'(setting), 'up.sh' (script that will initiate the isc-dhcp-server as soon as the openvpn tap0 interface is available) and offcourse server-certificate files(created in part 3.1 of this howto)!
+Continue setting up openvpn. Remember that the openvpn server needs:'openvpn.conf', 'up.sh' (script that will initiate the isc-dhcp-server as soon as the openvpn tap0 interface is available) and offcourse server-certificate files (created in part 3.1 of this howto)!
 
 #example code# /etc/openvpn/openvpn.conf
@@ -808 +808 @@
 #example code# /etc/openvpn/up.sh
 {{{
-TODO
+#!/bin/sh
+ifup tap0 >/dev/null 2>&1 #allow-hotplug takes care of this?
+#/sbin/ifconfig $1 192.168.4.1/24 up | exit 0
+/bin/sleep 7
+service isc-dhcp-server restart >/dev/null 2>&1
+#/sbin/ifconfig bridge0 addm $1 | exit 0
 }}}
 
@@ -830 +835 @@
 /sbin/iptables -A FORWARD -i tap0 -o eth0 -j ACCEPT
 }}}
-#*Na reboot moet de firewall nog aan!Q&D
+#*Na reboot moet de firewall nog aan!Q&D in rc.local
+Lokaal netwerk nog afschermen!!! zodat eduroam alleen internet op kan en niet netwerk van anywi/katzy
+
+Setup syslog-ng it still needs to customize some conf files to filter and sort all incoming logs!
+
+#example code# /etc/syslog-ng/syslog-ng.conf
+{{{
+DEFAULT / no need to edit?
+}}}
+
+#example code# /etc/syslog-ng/conf.d/00load-remote.conf
+{{{
+source s_net { udp(); };
+destination df_remote { file("/var/log/remote.log"); };
+log { source(s_net); destination(df_remote); };
+}}}
 
 === 3 "Certnode" ===
 Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" eenmalig een blijvende opzet te maken met een openvpn "server" certificate voor de "radius-server/proxy", waarvan weer afgeleide client certificaten voor de verschillende accesspoints gemaakt kan worden. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven. Het tweede gebeurt iedere keer wanneer er een "eduroam" AP bij komt aan het WirelessLeiden netwerk. Het generieke server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst moeten worden. De unieke client certificaten en config moeten voor ieder nieuwe/extra "eduroam" AP apart op de certnode aangemaakt worden en eenmalig per uniek AP geconfigureerd! Hierdoor zijn de eduroam AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen. Het opzetten van de certnode word bij stap 3.1 behandeld, het aanmaken van client certifcaten bij 3.2. Let op, leden van Wireless Leiden kunnen de eerste twee stappen overslaan aangezien zij de certnode "sunfire" moeten gebruiken (mits deze geconfigureerd is) en kunnen direct naar stap 3.3. 
 
-==== 3.1 install openvpn easy-rsa ====
+==== 3.1 setup certnode ====
 Op een ubuntu 12.04LTS installatie of livecd moet je het easy-rsa pakket dat met "openvpn" komt installeren. Opmerking, houd er rekening mee dat wanneer dit op een livecd gedraait word natuurlijk het permanente karakter verloren gaat! De inhoud van de /etc/openvpn map moet dan natuurlijk bewaard worden anders zal er per livecd sessie, opnieuw server certificaten gegenereerd moeten worden waardoor de afgeleide client certificaten en key's met de server certifcaten uit eerdere/oudere livecd sessie natuurlijk incompatible zijn! TODO Wellicht komt er een aanpassing van dit script zodat die direct voor verschillende users op sunfire zelf functioneert!
 
@@ -966 +986 @@
 }}}
 
-==== 3.3 certnode sunfire ====
+==== 3.3 certnode client@sunfire ====
 Wireless Leiden leden die toegang hebben tot certnode "sunfire" kunnen daar inloggen en met sudo rechten het commando "eduroam-ap-openvpn-client" uitvoeren. Dat zal in een ~/. home folder een *.tar bestand genereren dat certificaten/keys/config voor het op te zetten AP bevat.
 {{{