guida rete openvpn 1.2

8/13/2019 Guida Rete Openvpn 1.2

1/17

OPENVPN Creare una rete virtuale privata da zero.

Prima di partire essenziale che la linea ADSL dell' aitazione dove risiede ilserver sia re!istrata con uno dei servizi sul "e !ratuiti #ad esempio""".d$ndns.it% che consentono di associare ad un nome dns costante un ipche suisce continue variazioni da parte del provider. Come una volta le navi dinotte si orientavano se!uendo la stella polare& cos i client nel mare di internetdevono avere un ri(erimento (isso& che appunto il nome dns del server.

Per procedere& per) necessario che *

A+ il provider della linea del server non sia ,a--"e * in tal caso& a di((erenzadi altri provider& ad un ip pulico visiile su internet non corrisponde un solorouter di casa& ma un pool di router #ci) possiile col meccanismo del NA%.

/uesto non vuol dire che tale provider sia in(eriore a!li altri& solo 0uestaparticolarit1 che iniisce la (unzione che ci interessa. /uesto vale SOLO per ilserver. Esiste l' 2P pulico con ,a--"e ma se lo (anno pa!are come servizioa!!iuntivo.

3+ il router aia la voce dns dinamico con(i!uraile. A seconda delmodem4router installato& saranno diverse le videate ed i men5& per cui o!nunodovr1 cercare sul "e la !uida ad hoc& per poter arrivare nella sezione doveinserire le credenziali con cui si re!istrato al servizio d$ndns.

6n altro re0uisito essenziale trovare nel !ruppo ristretto & #ma7 8 o 9 % diutenti che decideranno di realizzare la vpn un computer dotato di una distrolinu7& con installato openvpn ed openssh& per poter con l' aiuto di script!enerare certi(icati e chiavi. #passo :%


2/17

;% installazione di ip

mount -o bind / PLUGINS/opt /optcopiare il file ipkg_set.tar.gz nella root (ad esempio con filezilla)andare in console sulla root dell' AzBox e decomprimeretar x! ipk"#$et%tar%"editare S!"serScriptscercare la riga=OO>OP?4DAA4us;4sda:4opte cambiarla con il percorso&''(#'P()/PLUGINS/optlanciare

%/on*e%$h

che inserisce tra l' altro uno script che e((ettua il mount di 4opt tutte levolte al riavviolanciare per un aggiornamento lista pacc#etti di ipkg$cl%/ipk"-*+ update%isualizzare lista%/ipk"-*+ +i$tinstallare ipkg%/ipk"-*+ in$ta++ ipk"-opt

ria%%iare.il tool ip


3/17

@% installazione di Openvpn

2mportante* se dopo il riavvio al comando ip

ipk" updateipk" +i$tipk" in$ta++ openvpn

Dopo 0uesti comandi Openvpn installato. a va con(i!urato.Le!!endo dal sito 6((iciale OpenVpn&http*44openvpn.net4inde7.php4open+source4documentation4ho"to.html possiile se!uire una con(i!urazione minimalista& molto sempliceasata su una chiave simmetrica condivisa su i due host&che consente per) di instaurare una connessione tunnel (ra soli @ punti.

Se si ha iso!no di una con(i!urazione Server + ulti client& allora andr1(atto un lavoro a priori per la !enerazione di chiavi asimmetriche ecerti(icati& con una Certi(icate Authorit$ che emetter1 il tutto.


4/17

3) Benerazione chiavi & certi(icati e Certi(icate Authorit$

Bli script che consentono di !enerare chiavi e certi(icati si trovano sottoeas$+rsa # non trovata sull' az+o7 ma su di un pc uuntu con i pacchettiopenssl e openvpn installati %2struzioni per lanciare i comandi per la !enerazioni di chiavi e certi(icati.

Sul pc linu7 salire come root e di se!uito

per la creazione della *ertificate Aut#ority+editare il file %ars e %erso la fine inserire i %alori corretti o di fantasia pernazione,citt-,organizzazione, mail , etc.

vi var$ric#iamare le %ariabili col comando+% %/var$lanciare clean per fare pulizia della cartella keys

%/*+ean-a++lanciare il build$ca%/bui+d-*a

er creare le c#ia%i per il ser%er%/bui+d-ke-$erver $erverdi seguito l' output del comando, con le %arie ric#ieste, delle uali sono statee%idenziate uelle pi importantirootdes


5/17

emailAddress *2A8S=2NB*'davide.!olia@;@olimpo.com'Certi(icate is to e certi(ied until Dec ;M ;9*:*F @; B #:98 da$s%Si"n the *erti!i*ate4 /n2

1 out o! 1 *erti!i*ate re5ue$t$ *erti!ied, *ommit4 /n2

Irite out dataase "ith ; ne" entriesData 3ase 6pdated

er creare le c#ia%i per il client0

%/bui+d-ke client0l' output simile a 0uello della !enerazione delle chiavi per il server alladomanda Common name rispondere client0Per il client@ se!uire una procedura analo!a& e cos via per !li altri.Alla (ine avremo nella cartella


6/17

A3ELLA CON CR2AV2 E CE=2,2CA2

6i+ename Needed 7 Purpo$e Se*ret

ca.crt server G all clients =oot CA certi(icate NO

ca.


7/17

8% Creazione dei (ile di con(i!urazione per il server e per i clientSul serverSotto 4D2SU@4etc4openvpn creare il (ile server.con( col se!uente contenuto*

Sample OpenVPN @. con(i! (ile (or

multi+client server. his (ile is (or the server side o( a man$+clients W+X one+server OpenVPN con(i!uration. OpenVPN also supports sin!le+machine W+X sin!le+machine con(i!urations #See the E7amples pa!e on the "e site (or more in(o%. his con(i! should "or< on Iindo"s or Linu743SD s$stems. =ememer on Iindo"s to 0uote pathnames and use doule ac


8/17

and the server must have their o"n cert and


9/17

push Yroute ;@.;9M.;. @88.@[email protected] Yroute ;@.;9M.@. @88.@[email protected]

o assi!n speci(ic 2P addresses to speci(ic clients or i( a connectin! client has a private sunet ehind it that should also have VPN access& use the sudirector$ YccdY (or client+speci(ic con(i!uration (iles #see man pa!e (or more in(o%.

EAPLE* Suppose the client havin! the certi(icate common name YheloniousY also has a small sunet ehind his connectin! machine& such as ;@.;9M.F.;@M4@88.@88.@88.@FM. ,irst& uncomment out these lines*client+con(i!+dir ccdroute ;@.;9M.F.;@M @88.@88.@88.@FM hen create a (ile ccd4helonious "ith this line* iroute ;@.;9M.F.;@M @88.@88.@88.@FM his "ill allo" helonious' private sunet to access the VPN. his e7ample "ill onl$ "or< i( $ou are routin!& not rid!in!& i.e. $ou are usin! Ydev tunY and YserverY directives.

EAPLE* Suppose $ou "ant to !ive

helonious a (i7ed VPN 2P address o( ;...;. ,irst uncomment out these lines*client+con(i!+dir ccdroute ;... @88.@88.@88.@8@ hen add this line to ccd4helonious* i(con(i!+push ;...; ;...@

Suppose that $ou "ant to enale di((erent (ire"all access policies (or di((erent !roups o( clients. here are t"o methods* #;% =un multiple OpenVPN daemons& one (or each !roup& and (ire"all the 6N4AP inter(ace (or each !roup4daemon appropriatel$. #@% #Advanced% Create a script to d$namicall$ modi($ the (ire"all in response to access

(rom di((erent clients. See man pa!e (or more in(o on learn+address script.learn+address .4script

2( enaled& this directive "ill con(i!ure all clients to redirect their de(ault net"or< !ate"a$ throu!h the VPN& causin! all 2P tra((ic such as "e ro"sin! and and DNS loo


10/17

mi!ht connect "ith the same certi(icate4


11/17

on Iindo"s& i( runnin! as a service& the$ "ill !o to the YZPro!ram ,ilesZOpenVPNZlo!Y director$%. 6se lo! or lo!+append to override this de(ault. Ylo!Y "ill truncate the lo! (ile on OpenVPN startup& "hile Ylo!+appendY "ill append to it. 6se one or the other #ut not oth%.lo! openvpn.lo!lo!+append openvpn.lo!

Set the appropriate level o( lo! (ile verosit$. is silent& e7cept (or (atal errors F is reasonale (or !eneral usa!e 8 and 9 can help to deu! connection prolems is e7tremel$ verosever

Silence repeatin! messa!es. At most @ se0uential messa!es o( the same messa!e cate!or$ "ill e output to the lo!.mute @

Sul clientSotto 4D2SU@4etc4openvpn creare il (ile client.con( col se!uente contenuto*

Sample client+side OpenVPN @. con(i! (ile (or connectin! to multi+client server. his con(i!uration can e used $ multiple clients& ho"ever each client should have its o"n cert and dns>dinamico ;;F sostituire a nome>dns>dinamico il nome del serverremote m$+server+@ ;;F


12/17

Choose a random host (rom the remote list (or load+alancin!. Other"ise tr$ hosts in the order speci(ied.remote+random

Ueep tr$in! inde(initel$ to resolve the host name o( the OpenVPN server. Ver$ use(ul on machines "hich are not permanentl$ connected to the internet such as laptops.

resolv+retr$ in(inite

ost clients don't need to ind to a speci(ic local port numer.noind

Do"n!rade privile!es a(ter initialization #non+Iindo"s onl$%user nood$!roup nood$

r$ to preserve some state across restarts.persist+


13/17

enaled in the server con(i! (ile.comp+lzo

Set lo! (ile verosit$.ver

Silence repeatin! messa!esmute @

N.3 i (ile creati per il server ed i client sono stati realizzati a partire dei (ile diesempio che si trovano in 4opt4etc4openvpn4sample+con(i!+(iles& e poi copiati

nella dir superiore 4opt4etc4openvpn4.

Dopo averli copiati su 4D2SU@4etc4openvpn & anche i (ile di con(i!urazione &client con( per il client e server.con( per il server& come le chiavi private&

devono avere i permessi opportuni* lanciare sull' azo7 client*hmod 9:: *+ient%*on!

e sul server

*hmod 9:: $erver%*on!

Dalla stessa posizione& onde evitare (unzionamenti poco sicuri involontari& ene svuotare la cartella sample+


14/17

9% Veri(ica del corretto (unzionamento della vpn

per lanciare il server/opt/$bin/openvpn --*on!i" /;IS


15/17

N.3. La rete pu) essere stailita aritrariamente& nei (ile .con(

ad esempio potrei adottare la rete privata ;.99.QQ.& ed avere il server

;.99.QQ.; ed i client ;.99.QQ.8 & ;.99.QQ.9 & ;.99.QQ.Q etc etc

Q% 2nserimento dei comandi in esecuzione automatica sul clientcreare # con vi o altro editor in un sistema linu7 %il (ile S;openvpnclt e metterci dentro il se!uente testo*

\4in4sh script per l' avvio della VPN @ $ leopet

start#% echo Y???X Startin! module tun...Ycd 4opt4etc4openvpn44sin4insmod +v 4D2SU@4etc4openvpn4tun.


16/17

e7it ;esac

e7it [

Copiare il (ile S;openvpnclt nella cartella [email protected] del

CL2EN; & CL2EN@ & etc etc.dare *hmod ?@@ SA1openvpn*+t

M% 2nserimento dei comandi in esecuzione automatica sul server

creare # con vi in un sistema linu7 %il (ile S;openvpnsrv e metterci dentro il se!uente testo*

\4in4sh script per l' avvio della VPN @ $ leopet

start#% echo Y???X Startin! module tun...Ycd 4D2SU@4etc4openvpn44sin4insmod +v 4D2SU@4etc4openvpn4tun.


17/17

echo [Y6sa!e* [ start]stop]restartTYe7it ;esac

e7it [

Copiare il (ile S;openvpnsrv nella cartella [email protected] del SE=VE=

dare *hmod ?@@ SA1openvpn$rv

=iavviare il tutto ed il !ioco (atto. Si pu) procedere adesso con le emu che sipre(eriscono& utilizzando de!li indirizzi privati anzich^ ip ra!!iun!iili dainternet.

N.3. ho notato che i (ile di con(i!urazione & se realizzati per pi!rizia sul pc e poi

tras(eriti con (ilezilla sull' azo7& prendono n automatico il _ (inale* (orzaretras(erimento a inario per evitare l' inconveniente.

DIGITAL KEY SAT
http://digital.mastertopforum.com/index.phphttp://digital.mastertopforum.com/index.php

guida rete openvpn 1.2

Documents