Hallo alle,
Aufgabe: Aufbau VPN-Tunnel zwischen einem RZ (nicht unter meiner Kontrolle) und meinem Ubuntu Server (auf AWS-EC2-Instanz).
Ausgangslage: Ich habe OVPN auf dem Server laufen und bin auch in der Lage mich als Client gegen z.B. Watchdog-aufgebaute VPNs zu verbinden nach dieser Anleitung (http://jochen.kirstaetter.name/blog/linux/connecting-linux-to-watchguard-firebox-ssl.html). Mein RZ-Admin hat mir nun folgende Angaben gegeben: - Gateway IP x.x.x.62 - VPN Subnet x.x.x.142 - Key Management: IKE (andere ist nicht möglich) - IKE Mode: Main mode (andere ist nicht möglich) - Key Exchange Encryption Algorithm: AES256 - Data Integrity - Hash Algorithm: SHA-256 - Authentication Method - Pre-Shared Secret - Diffie Hellman: Group 2 (1024 bit), Lifetime: 28800 seconds
- Protocol - Encapsulation: ESP (andere ist nicht möglich) - Encryption Algorithm: AES256 - Data Integrity - Authentication Algorithm: SHA-256 - Compression: None (andere ist nicht möglich) - Perfect Forward Secrecy (PFS): DH Group 2 - Lifetime: 3600 seconds
Key habe ich erstellt und mit ihm ausgetauscht.
Problem: Wie komme ich nun zu meiner vollständigen .ovpn-File inklusive <ca>- und <cert>-Part? Von Watchdog war ich es gewohnt, dass ich mir alles serverseitig ziehen konnte. Der RZ-seitige Admin meinte, dass er sich mit openvpn nicht auskennt und für gewöhnlich beide Seiten die configs selber bauen können. Für mich stellen sich aber einige Fragen. Und bevor ich ihm diese alle stelle, wollte ich erstmal herausfinden, für welche Parts ich verantwortlich bin, woher ich diese bekomme und was er mir liefern muss. Spezifisch offen sind für mich, abgeleitet aus einer anderen config-file: - ca-Part - cert-Part - Zielport - Server TCP oder UDP - redirect-gateway def1: ja/nein - verb 3 - remote-cert-eku "TLS Web Server Authentication" vs. tsl-auth ta.key 1 vs. cipher AES-256-CBC vs. auth SHA1
Kann mir jemand von euch hier Guidance geben? Danke im Voraus!
VG Martin