====== VPN-Gateway Klientinstallation unter Ubuntu ======

Diese Anleitung bezieht sich auf die Installation des OpenVPN-Klient unter Ubuntu (Linux) und ist weitestgehend auch auf Debian (Linux) übertragbar. 

Das Tiggerswelt VPN-Gateway verwendet in der Standardklientkonfiguration TAP und verbindet sich auf den Serverport 443/udp. Ist man mit dem OpenVPN- Server verbunden, wird der komplette Verkehr des Klient über das VPN-Gateway getunnelt. Ein manuelles setzten der Route, IP, Gateway oder DNS-Server ist nicht erforderlich, dies übergibt der Server dem Klient automatisch ("push" Funktion). Die nötigen Zertifikate und eine fertige Konfigurationsdatei (client.conf) werden im Kundenmenü zum Download bereitgestellt.


===== Installation =====
OpenVPN //(mit allen erforderlichen Abhängigkeiten)// aus den Ubuntu- Quellen installieren

<code>sudo apt-get update && sudo apt-get install openvpn</code>

Eigenen Unterordner für die Zertifikate anlegen

<code>sudo mkdir -p /etc/openvpn/cert</code>

Die heruntergeladenen Zertifikate aus dem Tiggerswelt-Kundenmenü nach **/etc/openvpn/cert/** kopieren

<code>cd /home/user/_Pfad_zum_Ordner_wo_die_Zertifikate_liegen_/
sudo cp *@vpn-gateway.info*   /etc/openvpn/cert/</code>

Zertifikate nur für **root** lesbar machen

<code>sudo chmod 600 /etc/openvpn/cert/*</code>

Tiggerswelt hat zu den Zertifikaten im heruntergeladenen Achiv auch eine fertige Klientkonfiguration (client.conf) dazu gepackt. Diese wird nun nach **/etc/openvpn/** kopiert

<code>sudo cp /home/user/_Pfad_zum_Ordner_wo_die_Zertifikate_liegen_/client.conf   /etc/openvpn/</code>

Anpassen der Pfade zu den eben kopierten Zertifikaten

<code>nano /etc/openvpn/client.conf</code>

nun die folgenden 3 Zeilen 

<code># SSL-Certificate Locations and options
ca    *******@vpn-gateway.info.ca.crt
cert  *******@vpn-gateway.info.crt
key   *******@vpn-gateway.info.key</code>

wiefolgt ändern //(die Sternchen müssen natürlich dem eigenen Namen angepaßt werden)//

<code># SSL-Certificate Locations and options
ca    /etc/openvpn/cert/*******@vpn-gateway.info.ca.crt
cert  /etc/openvpn/cert/*******@vpn-gateway.info.crt
key   /etc/openvpn/cert/*******@vpn-gateway.info.key</code>

Nun ist die Konfiguation fertig und der Klient kann gestarten werden ((Funktioniert nur, wenn die Autostart-Funktion nicht deaktiviert wurde))

<code>/etc/init.d/openvpn start</code>


===== Starten & Stoppen =====
Der OpenVPN- Klient startet beim booten automatisch. Manuell kann OpenVPN mit folgenden Optionen gesteuert werden

  * OpenVPN starten\\     <code>sudo /etc/init.d/openvpn start</code>
  * OpenVPN stoppen\\    <code>sudo /etc/init.d/openvpn stop</code>
  * OpenVPN neustarten\\     <code>sudo /etc/init.d/openvpn reload</code>


===== Autostart deaktivieren =====
Möchte man den OpenVPN-Klient lieber manuell starten, muß dazu in der Datei **/etc/default/openvpn** die Zeile 

<code>AUTOSTART="all"</code>

in 

<code>AUTOSTART="none"</code>

geändert werden.

Der OpenVPN- Klient startet beim nächsten rebooten nicht mehr automatisch. Manuel wird OpenVPN im Terminal mit
<code>sudo openvpn /etc/openvpn/client.conf</code>
aufgerufen bzw. gestartet.


===== Zusätzliche Sicherheit (optional)=====

==== unprivilegierter Benutzer ====
Standardmäßig wird der OpenVPN Klient als root gestartet und ausgeführt. Wie bei den meisten Diensten, ist es auch hier eine gute Idee, den OpenVPN Klient unter einem unprivilegierten Benutzer laufen zu lassen.

Benutzer "openvpn" anlegen:

<code>sudo adduser --system --disabled-login --no-create-home openvpn</code>

Gruppe "openvpn" anlegen:

<code>sudo addgroup --system --disabled-login --no-create-home openvpn</code>

Die folgenden 2 Zeilen in der OpenVPN- Klientkonfiguration **/etc/openvpn/client.conf** hinzufügen

<code>user openvpn
group openvpn</code>

Beim nächsten Neuaufbau der Verbindung läuft OpenVPN unter dem nicht privilegierten Benutzer "openvpn".

==== chroot ====
OpenVPN bringt schon eine interne chroot Funktion mit. Diese läßt sich ohne großen Aufwand wiefolgt aktivieren.

Einen Ordner anlegen in den OpenVPN "gerootet" wird

<code> sudo mkdir /etc/openvpn/chroot</code>

Folgende Zeile am Ende der Klientkonfiguration **/etc/openvpn/client.conf** hinzufügen

<code>chroot /etc/openvpn/chroot</code>

und OpenVPN neustarten.



==== Apparmor-Profil ====
Zusätzlich kann man unter Ubuntu den OpenVPN- Klient noch per AppArmor((Apparmor ist in allen aktuellen Ubuntu-Versionen standardmäßig schon installiert)) absichern bzw. einsperren. Das folgende AA-Profil wurde unter Ubuntu 9.04 (Jaunty Jackalop) erstellt und sollte mit kleinen Änderungen auch auf anderen Ubuntu-Versionen funktionieren.

In die Datei **/etc/apparmor.d/usr.sbin.openvpn**((Datei "/etc/apparmor.d/usr.sbin.openvpn" ist standardmäßig noch nicht vorhanden und kann mit "sudo touch /etc/apparmor.d/usr.sbin.openvpn" erstellt werden)) den folgenden Code einfügen

<code>
# Last Modified: Sun Jul 26 11:51:25 2009
#include <tunables/global>

/usr/sbin/openvpn {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/python>

  capability net_admin,
  capability setgid,
  capability setuid,
  capability sys_chroot,

  /dev/net/tun rw,
  /etc/openvpn/** r,
  /proc/*/net/ r,
  /proc/*/net/if_inet6 r,
  /proc/*/net/route r,
  /proc/*/net/unix r,
  /sbin/ifconfig rix,
  /sbin/route rix,
  /usr/bin/openssl-vulnkey rix,
  /usr/bin/python2.6 rix,
  /usr/sbin/openvpn rix,
  /usr/share/** r,
}
</code>

Nun noch das neue AppArmor-Profil laden

<code>sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.openvpn</code>

und im Enforce-Mode starten

<code>sudo aa-enforce /etc/apparmor.d/usr.sbin.openvpn</code>


===== Deinstallation =====
Um OpenVPN spurlos vom Rechner zu entfernen, sind folgende Schritte notwendig.

OpenVPN deinstallieren
<code>apt-get remove --purge openvpn openvpn-blacklist</code>

Konfigurationsordner löschen
<code>rm -rf /etc/openvpn/</code>

Apparmor-Profil für OpenVPN löschen
<code>rm /etc/apparmor.d/usr.sbin.openvpn</code>

Apparmor neu laden
<code>/etc/init.d/apparmor reload</code>