guida rete openvpn 1.2
TRANSCRIPT
-
8/13/2019 Guida Rete Openvpn 1.2
1/17
OPENVPN Creare una rete virtuale privata da zero.
Prima di partire essenziale che la linea ADSL dell' aitazione dove risiede ilserver sia re!istrata con uno dei servizi sul "e !ratuiti #ad esempio""".d$ndns.it% che consentono di associare ad un nome dns costante un ipche suisce continue variazioni da parte del provider. Come una volta le navi dinotte si orientavano se!uendo la stella polare& cos i client nel mare di internetdevono avere un ri(erimento (isso& che appunto il nome dns del server.
Per procedere& per) necessario che *
A+ il provider della linea del server non sia ,a--"e * in tal caso& a di((erenzadi altri provider& ad un ip pulico visiile su internet non corrisponde un solorouter di casa& ma un pool di router #ci) possiile col meccanismo del NA%.
/uesto non vuol dire che tale provider sia in(eriore a!li altri& solo 0uestaparticolarit1 che iniisce la (unzione che ci interessa. /uesto vale SOLO per ilserver. Esiste l' 2P pulico con ,a--"e ma se lo (anno pa!are come servizioa!!iuntivo.
3+ il router aia la voce dns dinamico con(i!uraile. A seconda delmodem4router installato& saranno diverse le videate ed i men5& per cui o!nunodovr1 cercare sul "e la !uida ad hoc& per poter arrivare nella sezione doveinserire le credenziali con cui si re!istrato al servizio d$ndns.
6n altro re0uisito essenziale trovare nel !ruppo ristretto & #ma7 8 o 9 % diutenti che decideranno di realizzare la vpn un computer dotato di una distrolinu7& con installato openvpn ed openssh& per poter con l' aiuto di script!enerare certi(icati e chiavi. #passo :%
-
8/13/2019 Guida Rete Openvpn 1.2
2/17
;% installazione di ip
mount -o bind / PLUGINS/opt /optcopiare il file ipkg_set.tar.gz nella root (ad esempio con filezilla)andare in console sulla root dell' AzBox e decomprimeretar x! ipk"#$et%tar%"editare S!"serScriptscercare la riga=OO>OP?4DAA4us;4sda:4opte cambiarla con il percorso&''(#'P()/PLUGINS/optlanciare
%/on*e%$h
che inserisce tra l' altro uno script che e((ettua il mount di 4opt tutte levolte al riavviolanciare per un aggiornamento lista pacc#etti di ipkg$cl%/ipk"-*+ update%isualizzare lista%/ipk"-*+ +i$tinstallare ipkg%/ipk"-*+ in$ta++ ipk"-opt
ria%%iare.il tool ip
-
8/13/2019 Guida Rete Openvpn 1.2
3/17
@% installazione di Openvpn
2mportante* se dopo il riavvio al comando ip
ipk" updateipk" +i$tipk" in$ta++ openvpn
Dopo 0uesti comandi Openvpn installato. a va con(i!urato.Le!!endo dal sito 6((iciale OpenVpn&http*44openvpn.net4inde7.php4open+source4documentation4ho"to.html possiile se!uire una con(i!urazione minimalista& molto sempliceasata su una chiave simmetrica condivisa su i due host&che consente per) di instaurare una connessione tunnel (ra soli @ punti.
Se si ha iso!no di una con(i!urazione Server + ulti client& allora andr1(atto un lavoro a priori per la !enerazione di chiavi asimmetriche ecerti(icati& con una Certi(icate Authorit$ che emetter1 il tutto.
-
8/13/2019 Guida Rete Openvpn 1.2
4/17
3) Benerazione chiavi & certi(icati e Certi(icate Authorit$
Bli script che consentono di !enerare chiavi e certi(icati si trovano sottoeas$+rsa # non trovata sull' az+o7 ma su di un pc uuntu con i pacchettiopenssl e openvpn installati %2struzioni per lanciare i comandi per la !enerazioni di chiavi e certi(icati.
Sul pc linu7 salire come root e di se!uito
per la creazione della *ertificate Aut#ority+editare il file %ars e %erso la fine inserire i %alori corretti o di fantasia pernazione,citt-,organizzazione, mail , etc.
vi var$ric#iamare le %ariabili col comando+% %/var$lanciare clean per fare pulizia della cartella keys
%/*+ean-a++lanciare il build$ca%/bui+d-*a
er creare le c#ia%i per il ser%er%/bui+d-ke-$erver $erverdi seguito l' output del comando, con le %arie ric#ieste, delle uali sono statee%idenziate uelle pi importantirootdes
-
8/13/2019 Guida Rete Openvpn 1.2
5/17
emailAddress *2A8S=2NB*'davide.!olia@;@olimpo.com'Certi(icate is to e certi(ied until Dec ;M ;9*:*F @; B #:98 da$s%Si"n the *erti!i*ate4 /n2
1 out o! 1 *erti!i*ate re5ue$t$ *erti!ied, *ommit4 /n2
Irite out dataase "ith ; ne" entriesData 3ase 6pdated
er creare le c#ia%i per il client0
%/bui+d-ke client0l' output simile a 0uello della !enerazione delle chiavi per il server alladomanda Common name rispondere client0Per il client@ se!uire una procedura analo!a& e cos via per !li altri.Alla (ine avremo nella cartella
-
8/13/2019 Guida Rete Openvpn 1.2
6/17
A3ELLA CON CR2AV2 E CE=2,2CA2
6i+ename Needed 7 Purpo$e Se*ret
ca.crt server G all clients =oot CA certi(icate NO
ca.
-
8/13/2019 Guida Rete Openvpn 1.2
7/17
8% Creazione dei (ile di con(i!urazione per il server e per i clientSul serverSotto 4D2SU@4etc4openvpn creare il (ile server.con( col se!uente contenuto*
Sample OpenVPN @. con(i! (ile (or
multi+client server. his (ile is (or the server side o( a man$+clients W+X one+server OpenVPN con(i!uration. OpenVPN also supports sin!le+machine W+X sin!le+machine con(i!urations #See the E7amples pa!e on the "e site (or more in(o%. his con(i! should "or< on Iindo"s or Linu743SD s$stems. =ememer on Iindo"s to 0uote pathnames and use doule ac
-
8/13/2019 Guida Rete Openvpn 1.2
8/17
and the server must have their o"n cert and
-
8/13/2019 Guida Rete Openvpn 1.2
9/17
push Yroute ;@.;9M.;. @88.@[email protected] Yroute ;@.;9M.@. @88.@[email protected]
o assi!n speci(ic 2P addresses to speci(ic clients or i( a connectin! client has a private sunet ehind it that should also have VPN access& use the sudirector$ YccdY (or client+speci(ic con(i!uration (iles #see man pa!e (or more in(o%.
EAPLE* Suppose the client havin! the certi(icate common name YheloniousY also has a small sunet ehind his connectin! machine& such as ;@.;9M.F.;@M4@88.@88.@88.@FM. ,irst& uncomment out these lines*client+con(i!+dir ccdroute ;@.;9M.F.;@M @88.@88.@88.@FM hen create a (ile ccd4helonious "ith this line* iroute ;@.;9M.F.;@M @88.@88.@88.@FM his "ill allo" helonious' private sunet to access the VPN. his e7ample "ill onl$ "or< i( $ou are routin!& not rid!in!& i.e. $ou are usin! Ydev tunY and YserverY directives.
EAPLE* Suppose $ou "ant to !ive
helonious a (i7ed VPN 2P address o( ;...;. ,irst uncomment out these lines*client+con(i!+dir ccdroute ;... @88.@88.@88.@8@ hen add this line to ccd4helonious* i(con(i!+push ;...; ;...@
Suppose that $ou "ant to enale di((erent (ire"all access policies (or di((erent !roups o( clients. here are t"o methods* #;% =un multiple OpenVPN daemons& one (or each !roup& and (ire"all the 6N4AP inter(ace (or each !roup4daemon appropriatel$. #@% #Advanced% Create a script to d$namicall$ modi($ the (ire"all in response to access
(rom di((erent clients. See man pa!e (or more in(o on learn+address script.learn+address .4script
2( enaled& this directive "ill con(i!ure all clients to redirect their de(ault net"or< !ate"a$ throu!h the VPN& causin! all 2P tra((ic such as "e ro"sin! and and DNS loo
-
8/13/2019 Guida Rete Openvpn 1.2
10/17
mi!ht connect "ith the same certi(icate4
-
8/13/2019 Guida Rete Openvpn 1.2
11/17
on Iindo"s& i( runnin! as a service& the$ "ill !o to the YZPro!ram ,ilesZOpenVPNZlo!Y director$%. 6se lo! or lo!+append to override this de(ault. Ylo!Y "ill truncate the lo! (ile on OpenVPN startup& "hile Ylo!+appendY "ill append to it. 6se one or the other #ut not oth%.lo! openvpn.lo!lo!+append openvpn.lo!
Set the appropriate level o( lo! (ile verosit$. is silent& e7cept (or (atal errors F is reasonale (or !eneral usa!e 8 and 9 can help to deu! connection prolems is e7tremel$ verosever
Silence repeatin! messa!es. At most @ se0uential messa!es o( the same messa!e cate!or$ "ill e output to the lo!.mute @
Sul clientSotto 4D2SU@4etc4openvpn creare il (ile client.con( col se!uente contenuto*
Sample client+side OpenVPN @. con(i! (ile (or connectin! to multi+client server. his con(i!uration can e used $ multiple clients& ho"ever each client should have its o"n cert and dns>dinamico ;;F sostituire a nome>dns>dinamico il nome del serverremote m$+server+@ ;;F
-
8/13/2019 Guida Rete Openvpn 1.2
12/17
Choose a random host (rom the remote list (or load+alancin!. Other"ise tr$ hosts in the order speci(ied.remote+random
Ueep tr$in! inde(initel$ to resolve the host name o( the OpenVPN server. Ver$ use(ul on machines "hich are not permanentl$ connected to the internet such as laptops.
resolv+retr$ in(inite
ost clients don't need to ind to a speci(ic local port numer.noind
Do"n!rade privile!es a(ter initialization #non+Iindo"s onl$%user nood$!roup nood$
r$ to preserve some state across restarts.persist+
-
8/13/2019 Guida Rete Openvpn 1.2
13/17
enaled in the server con(i! (ile.comp+lzo
Set lo! (ile verosit$.ver
Silence repeatin! messa!esmute @
N.3 i (ile creati per il server ed i client sono stati realizzati a partire dei (ile diesempio che si trovano in 4opt4etc4openvpn4sample+con(i!+(iles& e poi copiati
nella dir superiore 4opt4etc4openvpn4.
Dopo averli copiati su 4D2SU@4etc4openvpn & anche i (ile di con(i!urazione &client con( per il client e server.con( per il server& come le chiavi private&
devono avere i permessi opportuni* lanciare sull' azo7 client*hmod 9:: *+ient%*on!
e sul server
*hmod 9:: $erver%*on!
Dalla stessa posizione& onde evitare (unzionamenti poco sicuri involontari& ene svuotare la cartella sample+
-
8/13/2019 Guida Rete Openvpn 1.2
14/17
9% Veri(ica del corretto (unzionamento della vpn
per lanciare il server/opt/$bin/openvpn --*on!i" /;IS
-
8/13/2019 Guida Rete Openvpn 1.2
15/17
N.3. La rete pu) essere stailita aritrariamente& nei (ile .con(
ad esempio potrei adottare la rete privata ;.99.QQ.& ed avere il server
;.99.QQ.; ed i client ;.99.QQ.8 & ;.99.QQ.9 & ;.99.QQ.Q etc etc
Q% 2nserimento dei comandi in esecuzione automatica sul clientcreare # con vi o altro editor in un sistema linu7 %il (ile S;openvpnclt e metterci dentro il se!uente testo*
\4in4sh script per l' avvio della VPN @ $ leopet
start#% echo Y???X Startin! module tun...Ycd 4opt4etc4openvpn44sin4insmod +v 4D2SU@4etc4openvpn4tun.
-
8/13/2019 Guida Rete Openvpn 1.2
16/17
e7it ;esac
e7it [
Copiare il (ile S;openvpnclt nella cartella [email protected] del
CL2EN; & CL2EN@ & etc etc.dare *hmod ?@@ SA1openvpn*+t
M% 2nserimento dei comandi in esecuzione automatica sul server
creare # con vi in un sistema linu7 %il (ile S;openvpnsrv e metterci dentro il se!uente testo*
\4in4sh script per l' avvio della VPN @ $ leopet
start#% echo Y???X Startin! module tun...Ycd 4D2SU@4etc4openvpn44sin4insmod +v 4D2SU@4etc4openvpn4tun.
-
8/13/2019 Guida Rete Openvpn 1.2
17/17
echo [Y6sa!e* [ start]stop]restartTYe7it ;esac
e7it [
Copiare il (ile S;openvpnsrv nella cartella [email protected] del SE=VE=
dare *hmod ?@@ SA1openvpn$rv
=iavviare il tutto ed il !ioco (atto. Si pu) procedere adesso con le emu che sipre(eriscono& utilizzando de!li indirizzi privati anzich^ ip ra!!iun!iili dainternet.
N.3. ho notato che i (ile di con(i!urazione & se realizzati per pi!rizia sul pc e poi
tras(eriti con (ilezilla sull' azo7& prendono n automatico il _ (inale* (orzaretras(erimento a inario per evitare l' inconveniente.
DIGITAL KEY SAT
http://digital.mastertopforum.com/index.phphttp://digital.mastertopforum.com/index.php