Installazione OpenVPN su Debian: Difference between revisions

Installare il pacchetto:

apt-get install openvpn

Creare il device di rete:

Debian Configuration

 ???????????????????????????? Configuring openvpn ????????????????????????????
 ?                                                                           ?
 ? If you accept here, the package will make a special device called         ?
 ? /dev/net/tun for openvpn's use. If you refuse, the device won't be made   ?
 ? now. Read README.Debian for details on how to make it. If you are using   ?
 ? devfs refuse here.                                                        ?
 ?                                                                           ?
 ? Would you like a TUN/TAP device to be created?                            ?
 ?                                                                           ?
 ?                    <Yes>                                                  ?
 ?                                                                           ?
 ?????????????????????????????????????????????????????????????????????????????

Rispondere "si"

Debian Configuration

 ???????????????????????????? Configuring openvpn ????????????????????????????
 ?                                                                           ?
 ? In some cases you may be upgrading openvpn in a remote server using a     ?
 ? VPN to do so. The upgrade process stops the running daemon before         ?
 ? installing the new version, in that case you may lose your connection,    ?
 ? the upgrade may be interrupted, and you may not be able to reconnect to   ?
 ? the remote host.                                                          ?
 ?                                                                           ?
 ? Unless you do your upgrades locally, it is advised NOT to stop openvpn    ?
 ? before it gets upgraded. The installation process will restart it once    ?
 ? it's done.                                                                ?
 ?                                                                           ?
 ? This option will take effect in your next upgrade.                        ?
 ?                                                                           ?
 ? Would you like to stop openvpn before it gets upgraded?                   ?
 ?                                                                           ?
 ?                    <Yes>                                                  ?
 ?                                                                           ?
 ?????????????????????????????????????????????????????????????????????????????

Creare il certificato DH:

cd /etc/openvpn
mkdir certs
cd certs
openssl dhparam -out dh1024.pem 1024

Impostare le seguenti variabili per creare il file di configurazione.

Ipotizziamo che il server si in una

export SERVER_LAN=192.168.0.0

che si voglia connettere ad una

export CLIENT_LAN=192.168.21.0

Si userà una rete di trasferimento con indirizzi point-to-point:

export SERVER_VPN_IP=10.0.21.254
export CLIENT_VPN_IP=10.0.21.253

E le interfacce VPN saranno:

export SERVER_VPN_IF=tun21
export CLIENT_VPN_IF=tun0

Le interfaccia che si connettono ad internet hanno indirizzi:

export SERVER_WAN_IP=217.141.88.34
export CLIENT_WAN_IF=192.168.21.129

La VPN utilizzera la seguente porta UDP, che andrà quindi sbloccta sul firewall o port-mappata sui router:

export OVPN_PORT=21000

La vpn verrà chiamata per convenzione

export gsspa

export SERVER_LAN=192.168.0.0
export CLIENT_LAN=192.168.21.0
export SERVER_VPN_IP=10.0.21.254
export CLIENT_VPN_IP=10.0.21.253
export SERVER_VPN_IF=tun21
export CLIENT_VPN_IF=tun0
export SERVER_WAN_IP=217.141.88.34
export CLIENT_WAN_IP=81.117.165.252
export OVPN_PORT=21000
export OVPN_NAME=gsspa

Creare la chiave statica:

cd /etc/openvpn/certs
openvpn --genkey --secret $OVPN_NAME.key

Verificarla:

ls $OVPN_NAME.key
total 12
drwxr-xr-x    2 root     root         4096 Sep  6 16:46 .
drwxr-xr-x   53 root     root         4096 Sep  6 16:35 ..
-rw-------    1 root     root          636 Sep  6 16:46 static.key

cat $OVPN_NAME.key
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
3777eeb99dff2557521c942ebcf58878
6c916f933ad37a43bcfd666f977a07ff
e25a317aef9a33850f3fe52bb9c12160
30784c6bba57054808b6881ec9162750
581de01677e991973470e7c7906e33b3
f1bb36288e2d829600c112ced5278cf0
2b339cc90e2a5383ea1c50457b2657c1
4b1081e6221eadba695529e823cf3eb7
e388986cb96317e70d1b0472a6a38585
4d7535a896a184126460700fb85fbf89
a8c5ea6d98c2fd78dda84f8d9fae6795
a8233df61259278f27fc82b133437097
eb7cdc112b8ea147439230039ebdbba3
b7438d162b6e5db992d97d3f8d1016dd
53f1b59513029de73e85b8eccd930c3d
51fc22c534aef5c6f96b210fdc11dbad
-----END OpenVPN Static key V1-----

Creare il seguente file di configurazione:

cat > /etc/openvpn/$OVPN_NAME.conf <<EOFile

dev $SERVER_VPN_IF
#usa il tun device

ifconfig $SERVER_VPN_IP $CLIENT_VPN_IP
# ifconfig virtual_local_ip virtual_remote_ip

route $CLIENT_LAN 255.255.255.0 $SERVER_VPN_IP

port $OVPN_PORT
# porta udp usata

verb 3
#livello di logging 1-9, per il debug, consigliato 5

local $SERVER_VPN_IF_IP
# real_local_ip dell'interfaccia su cui ascolta openvpn. L'ip della Ethernet
# collegata la nat router che forwarda la porta udp, o l'eventuale ip pubblico

remote $CLIENT_WAN_IP

#user nobody
# for enhanced security
#group nogroup
# for enhanced security

secret /etc/openvpn/certs/$OVPN_NAME.key
#la chiave statica creata

tun-mtu 1500
#opzione di compatibilità con v 2.x
#tun-mtu-extra 32
#eventualmente aggiungere anche questa
#ATTENZIONE: devono coincidere su client e server.

daemon
#forka in background

# logging
status /var/log/openvpn/$OVPN_NAME-status.log
log-append  /var/log/openvpn/$OVPN_NAME.log
EOFile

Far partire la VPN:

/etc/init.d/openvpn start $OVPN_NAME

Verificare la corretta configurazione dell'interfaccia tun:

ifconfig | grep -A1 $SERVER_VPN_IF
tun21     Link encap:UNSPEC  HWaddr 00-00-FF-FF-FF-FF-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.21.254  P-t-P:10.0.21.253  Mask:255.255.255.255
          inet addr:192.168.5.6  P-t-P:192.168.5.5  Mask:255.255.255.255

e del routing:

route -n | grep  $SERVER_VPN_IF
10.0.21.253     0.0.0.0         255.255.255.255 UH    0      0        0 tun21
192.168.21.0    10.0.21.254     255.255.255.0   UG    0      0        0 tun21

Aggiungere nel file di configurazione /etc/default/openvpn il nome $OVPN_NAME nella riga AUTOSTART:

AUTOSTART="roadwarriors como elma gsspa"

In questo modo verranno avviate solo le vpn specificate.

Procedere con l'installazione e l'esportazione delle variabili come dai punti precedenti.

export SERVER_LAN=192.168.0.0
export CLIENT_LAN=192.168.21.0
export SERVER_VPN_IP=10.0.21.254
export CLIENT_VPN_IP=10.0.21.253
export SERVER_VPN_IF=tun21
export CLIENT_VPN_IF=tun0
export SERVER_WAN_IP=217.141.88.34
export CLIENT_WAN_IP=81.117.165.252
export OVPN_PORT=21000
export OVPN_NAME=gsspa

Copiare la chiave precedentemente generata sul server

cd /etc/openvpn
mkdir certs
cd certs
scp root@$SERVER_WAN_IP:/etc/openvpn/certs/$OVPN_NAME.key .

Creare il file di configurazione:

Creare il seguente file di configurazione:

cat > /etc/openvpn/$OVPN_NAME.conf <<EOFile

dev $CLIENT_VPN_IF
#usa il tun device

ifconfig $CLIENT_VPN_IP $SERVER_VPN_IP
# ifconfig virtual_local_ip virtual_remote_ip

route $SERVER_LAN 255.255.255.0 $CLIENT_VPN_IP

port $OVPN_PORT
# porta udp usata

verb 3
#livello di logging 1-9, per il debug, consigliato 5

local $CLIENT_WAN_IP
# real_local_ip dell'interfaccia su cui ascolta openvpn. L'ip della Ethernet
# collegata la nat router che forwarda la porta udp, o l'eventuale ip pubblico

remote $SERVER_WAN_IP
# Indirizzi IP pubblico del server

#user nobody
# for enhanced security
#group nogroup
# for enhanced security

secret /etc/openvpn/certs/$OVPN_NAME.key
#la chiave statica creata

tun-mtu 1500
#opzione di compatibilità con v 2.x
#tun-mtu-extra 32
#eventualmente aggiungere anche questa
#ATTENZIONE: devono coincidere su client e server.

daemon
#forka in background

# logging
status /var/log/openvpn/$OVPN_NAME-status.log
log-append  /var/log/openvpn/$OVPN_NAME.log
EOFile

Scaricare il client windows da http://www.nilings.se/openvpn/download.html

Installarlo

Copiare /etc/openvpn/static.key in C:\Programmi\OpenVPN\config

Creare il file di configiraione C:\Programmi\OpenVPN\config\nome_vpn.ovpn:

dev tun0
#uguale al server

ifconfig 192.168.5.5 192.168.5.6
# ifconfig virtual_local_ip virtual_remote_ip

route 192.168.1.0 255.255.255.0 192.168.5.6
# setta automaticamente la route alla connessione:
# route net_destination netmask gateway

port 12345
#stessa udp port del server

ip-win32 dynamic
# metodo di settaggio dell'ip
# se lo si vuole mettere in "manual", occorre settare la scheda di rete Tap come
# "always connected" e mettergli un ip statico

verb 1
# livello di debug

remote fire.mannesmann.it
# ip del server remoto

secret static.key
# chiave

tun-mtu 1500
# uguale a quella del server

ping 30
#tiene attivala connessione con un ping ogni 30 secondi

A questo punto lanciare Start/OpenVPN/OpenVPN GUI Nella Tray icon, fare tasto destro/Connetti nome_vpn, ed attendere il messaggio "Coonection established to nome_vpn"

Verificare lo stato tcp/ip con "ipconfig" e "route print".

---

Creare i certificati con Xca, e copiarli nella stessa directory.

fire.leman.it.crt
fire.leman.it.pem
ca.fire.leman.it.crl
ca.fire.leman.it.crt

customizzare i seguenti valori e settarli in una shell:

export LOCAL_NET=192.168.150
export LOCAL_IP=$LOCAL_NET.100
export NAMESERVER=$LOCAL_NET.100
export VPN_NET=10.0.150
export VPN_IP=$VPN_NET.254
export SERVERNAME=fire.leman.it
export PORT=40000
export DEVICE=tap0

Creare il file di configurazione dalla stessa shell precedente:

cd /etc/openvpn
cat > /etc/openvpn/roadwarriors.conf <<EOFile
# local networking settings
dev $DEVICE
port $PORT
local $LOCAL_IP

# vpn networking settings
mode server
client-to-client        #permette a due client vpn di vedersi
ifconfig $VPN_IP 255.255.255.0
ifconfig-pool $VPN_NET.1 $VPN_NET.253 255.255.255.0
push "route-gateway $VPN_NET.254"
push "route $LOCAL_NET.0 255.255.255.0"
push "dhcp-option DNS $NAMESERVER"
push "dhcp-option WINS $NAMESERVER"

# logging
status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log
ifconfig-pool-persist /var/log/openvpn-ip.log
mute 3

# tewaks
comp-lzo
tun-mtu 1500
keepalive 10 120

#authentications
tls-server
dh /etc/openvpn/certs/dh1024.pem
ca /etc/openvpn/certs/ca.$SERVERNAME.crt
cert /etc/openvpn/certs/$SERVERNAME.crt
key /etc/openvpn/certs/$SERVERNAME.pem
crl-verify /etc/openvpn/certs/ca.$SERVERNAME.crl
EOFile

Verificare che parta openvpn:

/etc/init.d/openvpn start
Stopping virtual private network daemon:.
Starting virtual private network daemon: roadwarriors.

netstat -anp | grep openvpn
udp        0      0 192.168.150.100:40000   0.0.0.0:*                          3719/openvpn

Se non dovesse funzionare, vedere il log /var/log/openvpn.log

Installare OpenVPN Gui

Creare il file di configurazione come da template e copiare file e cartella coi certificati sul client.

Se il server VPN NON è il default gateway della LAN, occorre impostare la route statica verso la netwok vpn sul router defualt gateway.

Nel caso di Eicon DIVA 2440:

-->LAN
LAN>ADD IP ROUTE 10.0.150.0 255.255.255.0 192.168.150.100
LAN>SAVE
LAN>EXIT

Controllare anche che l'IP Forwarding sia attivato sul server vpn Attivazione_ip_forward