notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty Der Artikel für die neueste Version steht hier
notempty Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht
Syntax des CLI-Befehls openvpn
Letzte Anpassung zur Version: 12.0
notemptyDieser Artikel bezieht sich auf eine Beta-Version
- Werden für einen Parameter mehrere Werte übergeben, müssen die Werte in eckige Klammern mit einem Leerzeichen(!) Abstand [ angegeben werden. Beispiel: openvpn push_subnet new openvpn_id "4711" push_subnet [ 192.168.176.0/24 192.168.176.1/24 ]
- Sollen keine Werte für einen Parameter übergeben werden, müssen zwei eckige Klammern verwendet werden. Beispiel openvpn set id "4711" remote [ ]
| Befehl | Parameter | Beschreibung | Beispiel |
|---|---|---|---|
openvpnopenvpn deleteopenvpn delete |
id | Entfernen einer SSL-VPN Verbindung. Der Parameter id ist erforderlich | openvpn delete id "6" |
openvpn getopenvpn get |
- | Auflisten der SSL-VPN Verbindungen | openvpn get |
openvpn newopenvpn new |
Erstellt eine neue SSL-VPN Verbindung | openvpn new name "RW-Verbindung" mode "SERVER" proto "UDP" auth "LOCAL" cert "Server_cert" pool "192.168.250.0/24" mtu "1500" interface "tun0" local_port "1194" reneg "3600" push_subnet "192.168.175.0/24" dh_size "2048" | |
| id | Identifikationsnummer der Verbindung | ||
| name | Name der Verbindung | ||
| mode | Modus Server oder Client | ||
| proto | Genutztes Protokoll für die Verbindung UDP oder TCP | ||
| auth | Authentifizierungsmethode. Keine, Lokal oder Radius | ||
| cert | Server-Zertifikat, dass für diese Verbindung genutzt wird | ||
| dh_size | Größe des Diffie Hellman Schlüssels | ||
| mtu | Größe der Datenpakete | ||
| pool | Transfernetzwerk, dass für diese TUN Verbindung genutzt wird z.B. 192-168.250.0/24 | ||
| flags | DISABLED wenn diese Verbindung nicht genutzt werden soll, MULTIHOME wenn mehrere WAN Anschlüsse vorhanden sind, LZO Kompression, PUSH_DNS für die IP des DNS-Server, PUSH_WINS für die IP des Wins-Server | ||
| local_addr | IP des Interface das für die Verbindung genutzt werden soll | ||
| local_port | Port der für diese Verbindung genutzt wird z.B. 1194 | ||
| remote | Remote Adresse über die der Site to Site Client die Verbindung zum Server aufbauen soll | ||
| max_clients | Maximale Anzahl der Clients in dieser Verbindung | ||
| interface | Das zu nutzende TUN Interface | ||
| push_subnet_id | Identifikationsnummer des zu übertragenen internen Subnetzes der Server Seite | ||
| push_subnet | IP-Adresse des Subnetztes | ||
openvpn setopenvpn set |
id | Verändert eine SSL-VPN Verbindung. Der Parameter id ist erforderlich. Die weiteren Parameter und ihre Syntax sind identisch mit dem Befehl openvpn new | openvpn set id "1" cert "Neues-Server_cert" |
openvpn exportopenvpn export |
user | Exportiert die Benutzerdaten eines Benutzers. | openvpn export user "Benutzername" type "config" |
openvpn statusopenvpn status |
- | Listet den Verbindungsstatus der einzelnen SSL-VPN Instanzen auf | openvpn status |
openvpn disconnectopenvpn disconnect |
Beendet eine SSL-VPN Verbindung zu einem Client | openvpn disconnect name "RW_Test" c_name "vpnuser" | |
| name | Name der betreffenden Verbindung | ||
| c_came | Name des betreffenden Clients | ||
openvpn updateopenvpn update |
- | Aktualisiert alle SSL-VPN Instanzen | openvpn update |
openvpn cipheropenvpn cipher get_availableopenvpn cipher get_available |
|||
openvpn digest_algorithmopenvpn digest_algorithm get_availableopenvpn digest_algorithm get_available |
|||
openvpn push_subnetopenvpn push_subnet newopenvpn push_subnet new |
Erstellt ein neues Subnetz | openvpn push_subnet new openvpn_id "3" push_subnet 192.168.176.0/24 | |
| openvpn_id | Identifikationsnummer der Verbindung | ||
| push_subnet | IP-Adresse des Subnetztes | ||
openvpn push_subnet deleteopenvpn push_subnet delete |
Löscht ein vorhandenen Subnetz-Eintrag | openvpn push_subnet delete openvpn_id "3" push_subnet_id 15 | |
| openvpn_id | Identifikationsnummer der Verbindung | ||
| push_subnet_id | Identifikationsnummer des zu übertragenen internen Subnetzes der Server Seite | ||
openvpn remoteopenvpn remote getopenvpn remote get |
- | Listet die SSL-VPN Remote-Profile auf | openvpn remote get |
openvpn remote newopenvpn remote new |
Anlegen eines neuen SSL-VPN Remote-Profils | openvpn remote new name "Client1" common_name "Client_cert" tunnel_addr "192.168.250.10/24" subnets "192.168.176.0/24" | |
| id | Identifikationsnummer der Site to Site Clientverbindung | ||
| openvpn_id | |||
| name | Name der Site to Site Verbindung | ||
| common_name | Client Zertifikat das für diese Verbindung genutzt wird | ||
| tunnel_addr | IP-Adresse der TUN-Schnittstelle auf der Clientseite | ||
| hosts | Öffentliche Adresse unter der der SSL-VPN Server erreichbar ist | ||
| subnets | Internes Netzwerk auf der Clientseite | ||
| push_subnets | Internes Netzwerk auf der Server Seite | ||
openvpn remote setopenvpn remote set |
id | Ändern von SSL-VPN Remote-Profilen. Der Parameter id ist erforderlich. Die weiteren Parameter und ihre Syntax sind identisch mit dem Befehl openvpn remote new | openvpn remote set id "3" tunnel_addr "192.168.250.2/24" |
openvpn remote deleteopenvpn remote delete |
id | Löscht ein vorhandenes SSL-VPN Remote-Profil. Der Parameter id ist erforderlich. | openvpn remote delete id "3" |
openvpn optionopenvpn option getopenvpn option get |
option get | ||
| id | |||
| name | |||
| value | |||
| description |
Neue Verbindung anlegen
TUN-Interface + Zone anlegen
interface new name "tun0" type "TUN" interface zone new name "vpn-openvpn-server_conn" interface tun0}}
Zertifikate anlegen
cert new common_name "myCA" cert new common_name "Server_cert" issuer_id 130 cert new common_name "Client_cert" issuer_id 130 id |common_name|bits|valid_since |valid_till |issuer|flags |status ---+-----------+----+-------------------+-------------------+------+------+------ 130|myCA |1024|2011-08-25-10-41-16|2012-08-24-10-41-16|myCA |KEY,CA|OK 131|Server_cert|1024|2011-08-25-10-41-43|2012-08-24-10-41-43|myCA |KEY |OK 132|Client_cert|1024|2011-08-25-10-42-04|2012-08-24-10-42-04|myCA |KEY |OK
Bei einer Site to Site Verbindung müssen das CA und das Client_cert dann exportiert werden.
cert export x509 id 130 cert export x509 id 132
Openvpn-Remote Profile definieren
Openvpn-Remote Profile definieren (nur bei Site to Site Verbindungen)
- Server Seite
openvpn remote new name "Client1" common_name "Client_cert" tunnel_addr "192.168.250.10" subnets 192.168.176.0/24
- Server Seite
openvpn remote new name "s2s-Server" hosts 192.168.4.143
Openvpn-Verbindung anlegen
Roadwarrior
openvpn new name "RW-Verbindung" mode "SERVER" proto "UDP" auth "LOCAL" cert "Server_cert" pool "192.168.250.0/24" mtu "1500" interface "tun0" local_port "1194" reneg "3600" push_subnet "192.168.175.0/24" dh_size "2048"
Site to Site
- Zertifikate importieren
- Server Seite
openvpn new name "s2s-conn" mode "SERVER" proto "UDP" auth "NONE" cert "Server_cert" dh_size "2048" mtu "1400" pool "192.168.250.0/24" interface tun0
- Client Seite
openvpn new name "s2s-client" mode "CLIENT" proto "UDP" auth "NONE" cert "Client_cert" dh_size "2048" mtu "1400" interface "tun0" remote s2s-Server
notempty
- Es dürfen Pools nicht mehrfach vergeben werden
- Es darf der local_port nicht mehrfach (pro Interface) verwendet werden
- Ein Tun-Interface darf nicht mehrfach verwendet werden
Multiple OpenvpnServer
Es können mehrere Openvpnserver über die Remote-Profile übergeben werden, z.B.:
openvpn remote set id 2 hosts 192.168.4.143,192.168.176.1
firewall.foo.local> openvpn remote get id|name |hosts --+----------------+--------------------------- 2 |remote_sslserver|192.168.4.143,192.168.176.1
Werden keine Ports angegeben, wird der Default-Port 1194 verwendet.
Sollen andere Ports verwendet werden, können diese hinter der IP mit einem vorangestellten Doppelpunkt angegeben werden.
firewall.foo.local> openvpn remote set id 2 hosts 192.168.4.143:1195,192.168.176.1:1196 id|name |hosts --+----------------+---------------------------------- 2 |remote_sslserver|192.168.4.143:1195,192.168.176.1:1196
Es wird zunächst versucht eine Verbindung zur 192.168.4.143 aufzubauen(28 Verbindungsversuche bei UDP / 3 Versuche bei TCP).
Kann zur 192.168.4.143 keine Verbindung aufgebaut werden, wird versucht eine Verbindung zur 192.168.176.1(27 Verbindungsversuche bei UDP / 1 Versuch bei TCP) aufzubauen.
Ist es auch nicht möglich zur 192.168.176.1 eine Verbindung aufzubauen, wird wieder versucht zur 192.168.4.143 eine Verbindung aufzubauen.