[RISOLTO] Errore nella realizzazione di una vpn

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 20/07/2019, 20:23

Questa guida è breve ma aggiornata con i comandi di Easy-rsa v3:
http://bashbang.blogspot.com/2016/03/op ... orial.html
non vengono spiegati i passaggi ma sostanzialmente si tratta sempre di creare una coppia di chiavi per
- CA
- Server
- Client
la chiave pubblica viene detta anche "certificato" e questo va firmato dalla CA sia per il server che per il client.
DH serve per creare la cifratura del canale di comunicazione tra client e server.

Riporto i passaggi per configurare il server:
1) Installare "openvpn" e "easyrsa":
Codice: Seleziona tutto
# apt install openvpn easy-rsa


2) Copiare per comodità la directory di easy-rsa in "/etc/openvpn" e spostarsi in essa:
Codice: Seleziona tutto
# cp -R /usr/share/easy-rsa/ /etc/openvpn
# cd /etc/openvpn(easy-rsa


3) Copiare il file "vars.example" in "vars" e modificarlo secondo le proprie esigenze

4) Inizializzare la PKI:
Codice: Seleziona tutto
# ./easy-rsa init-pki


5) Creare la coppia di chiavi per la CA (togliere "nopass" se si vuole cifrare la chiave privata con una password):
Codice: Seleziona tutto
# ./easy-rsa build-ca nopass


6) Creare la coppia di chiavi per il server e farla firmare dalla CA ("mioserver" è un nome identificativo che si può scegliere a proprio piacimento):
Codice: Seleziona tutto
# ./easy-rsa build-server-full mioserver nopass


7) Creare il DH:
Codice: Seleziona tutto
# ./easy-rsa gen-dh


8) Copiare dh.pem e tutte le chiavi create in "/etc/openvpn":
Codice: Seleziona tutto
# cp pki/ca.crt pki/private/ca.key pki/dh.pem pki/issued/mioserver.crt pki/private/mioserver.key /etc/openvpn


9) Creare il file "/etc/openvpn/server.conf" "/etc/openvpn/mioserver.conf"::
Codice: Seleziona tutto
port 54333
proto udp
dev tun
ca ca.crt
cert mioserver.crt
key mioserver.key  # This file should be kept secret
dh dh.pem
server 10.88.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
#status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

(ho preso il tuo modificandolo).

10) Fermare il demone e avviarlo:
Codice: Seleziona tutto
# systemctl stop openvpn.service
# systemctl start openvpn.service


11) status
Codice: Seleziona tutto
#  systemctl status openvpn.service
● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2019-07-20 21:18:17 CEST; 9s ago
  Process: 4661 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 4661 (code=exited, status=0/SUCCESS)

lug 20 21:18:17 s3v3land systemd[1]: Starting OpenVPN service...
lug 20 21:18:17 s3v3land systemd[1]: Started OpenVPN service.
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 21/07/2019, 20:30

ciao,
ho seguito la guida che hai proposto..fin qui tutto bene, ma ho problemi quando continuo dalla guida del link che mi hai riportato.

Genero un file chiamato G7.conf (sarebbe il client.conf) che riporto di seguito:
Codice: Seleziona tutto
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote ############## 54333
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
cat /etc/openvpn/easy-rsa/pki/ca.crt
cat /etc/openvpn/easyrsa/pki/issued/Anarchia.crt >> /etc/openvpn/G7.ovpn
cat /etc/openvpn/easyrsa/pki/private/Anarchia.key


quindi do il comando:
Codice: Seleziona tutto
/etc/openvpn/update-resolv-conf


e mi aspettavo generasse il file G7.ovpn

non so di fatto cosa abbia fatto quel comando perchè non da alcun messaggio di errore...sostanzialmente va a buon fine

cosa sbaglio o cosa mi sfugge?

grazie per l'aiuto..
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 22/07/2019, 10:03

Nei passaggi ho volutamente evitato:
Codice: Seleziona tutto
 Generate Client Private Key:
./easy-rsa build-client-full nails nopass

dove "nails" è il nome del client (come "mioserver" lo era per il server).

Non so questo passaggio lo hai eseguito.

Comunque appena metto mano su un client Debian faccio qualche prova.
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 22/07/2019, 12:28

Ciao..
Io ho seguito i passaggi che mi hai indicato tu, poi ho continuato dalla guida dal punto 7 in poi..
Quindi ho impostato dei parametri e il client.conf
Non so poi perché non abbia generato il .ovpn o se l'abbia posizionato in qualche cartella sperduta..

Faccio presente inoltre, visto che dici di fare una prova su un client, che io faccio tutto su un solo pc, che è il server...qui vorrei generare i vari .ovpn da esportare su diversi client, per ora solo su uno smartphone, successivamente su qualche altro pc..
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 22/07/2019, 13:56

Il file .ovpn devi crearlo tu (nella precedente guida che seguivi lo generava lo script).
Ti servono due file:
- .conf (file di configurazione per il/i client ma che si trova sul server)
- .ovpn (da esportare sul/sui client)

Il primo è simile a "server.conf" ma si chiama "client.conf". Le opzioni non le ho ancora viste ma puoi fare qualche prova da solo senza aspettare me :)
L'importante che al suo interno ci sia:
Codice: Seleziona tutto
ca ca.crt
cert client.crt
key client.key


dove "client.crt" e "client.key" (la chiave pubblica e privata per il client) vengono generate con:
Codice: Seleziona tutto
# ./easy-rsa build-client-full client nopass

praticamente in modo simile a quanto fatto per il server. Il path in cui si trovano penso sia lo stesso di ".crt" e ".key" del server ("pki/issued/" e "pki/private") e vanno copiate anch'esse in "/etc/openvpn" .

Il file "client.ovpn" è uguale a "client.conf", tranne per il fatto che non ci sono:
Codice: Seleziona tutto
ca ca.crt
cert client.crt
key client.key

ma:
Codice: Seleziona tutto
<ca>
 qui devi incollare il contenuto di "ca.crt"
</ca>
<cert>
 qui devi incollare il contenuto di "client.crt"
</cert>
<key>
 qui devi incollare il contenuto di "client.key"
</key>
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 22/07/2019, 18:31

allora, io mi sono generato tutti i file relativi alla parte client, anche il ta.key e ho provato a seguire la procedura riportata su questa pagina:
Codice: Seleziona tutto
https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-9


ho fatto diversi tentativi ma non sono riuscito ad andare a buon fine.

in realtà nella guida che hai postato tu, eseguendo il comando
Codice: Seleziona tutto
/etc/openvpn/easyrsa/update-resolv-conf

o in alternativa
Codice: Seleziona tutto
/etc/openvpn/easyrsa/update-resolv-conf G7


dovrebbe generare il file G7.ovpn perchè quello sarebbe lo script che lo genera. tuttavia questo non va a buon fine.

a questo punto ho solo un dubbio da risolvere sul file client.conf che ho generato io:

s3v ha scritto:
Codice: Seleziona tutto
<ca>
 qui devi incollare il contenuto di "ca.crt"
</ca>
<cert>
 qui devi incollare il contenuto di "client.crt"
</cert>
<key>
 qui devi incollare il contenuto di "client.key"
</key>


li dentro deve starci l'output del comando cat, e quindi tutto il contenuto del file o solo la chiave ovvero tutto quello che sta tra begin certificate ed end certificate?

una volta messo a posto il file e generato il beneamato file .ovpn all'interno del router, abilito il dns dinamico, ma c'è anche qualche altra direttiva da dare?


grazie ancora per l'aiuto...
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 26/07/2019, 19:20

Il file di configurazione del server si deve chiamare come l'identificativo scelto. Nel mio precedente messaggio era "mioserver" per cui il file deve essere "mioserver.conf"e non "server.conf".
Mi sono accorto dell'errore ora che ho provato.
Codice: Seleziona tutto
# systemctl start openvpn@mioserver.service
# systemctl status openvpn@mioserver.service
● openvpn@mioserver.service - OpenVPN connection to mioserver
   Loaded: loaded (/lib/systemd/system/openvpn@.service; disabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-07-26 20:09:26 CEST; 2s ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
 Main PID: 2727 (openvpn)
   Status: "Initialization Sequence Completed"
    Tasks: 1 (limit: 4628)
   Memory: 1.4M
   CGroup: /system.slice/system-openvpn.slice/openvpn@mioserver.service
           └─2727 /usr/sbin/openvpn --daemon ovpn-mioserver --status /run/openvpn/mioserver.status 10 --cd /etc/openvpn --config /etc/openvpn/mi

lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: Could not determine IPv4/IPv6 protocol. Using AF_INET
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: Socket Buffers: R=[212992->212992] S=[212992->212992]
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: UDPv4 link local (bound): [AF_INET][undef]:54333
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: UDPv4 link remote: [AF_UNSPEC]
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: GID set to nogroup
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: UID set to nobody
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: MULTI: multi_init called, r=256 v=256
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: IFCONFIG POOL: base=10.88.0.4 size=62, ipv6=0
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: IFCONFIG POOL LIST
lug 26 20:09:26 s3v3land ovpn-mioserver[2727]: Initialization Sequence Completed



Le chiavi vanno messe in .ovpn con le righe "BEGIN" e "END".
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 27/07/2019, 15:34

Ciao s3v..
ti ringrazio infinitamente perchè finalmente sono riuscito a stabilire la connessione con successo.
a breve appena mi sarà possibile scrivo una guida che riporto sul forum in modo da chiarire quanto fatto e rendere il tutto faceùilmente replicabile.

tuttavia ho ancora due punti da chiarire, perchè stabilisco la connessione ma non riesco ancora a fare quello che mi è necessario.

premetto innanzitutto che mi collego al pc tramite lo smartphone, ho due necessità:
1 collegarmi al pc per poter accedere ai miei file in archivio
2 avere anche l'accesso alla rete esterna per navigare dunque anche con una maggiore sicurezza

per il punto 2 credo basti semplicemente aggiungere qualche direttiva al server.conf, ho provato a cercare ma non ho avuto successo.

come risolvo?
grazie ancora per l'aiuto...
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 29/07/2019, 18:51

ciao,
allora sono riuscito a risolvere il discorso relativo alla navigazione, ho in sostanza rieditato il server.conf implementando anche un po di parametri che dovrebbero aumentare la sicurezza. riporto di seguito quanto ho modificato.

per la navigazione in internet ho sostituito questi:
Codice: Seleziona tutto
#push "redirect-gateway def1 bypass-dhcp"
#push "dhcp-option DNS 208.67.222.222"
#push "dhcp-option DNS 208.67.220.220"


con

Codice: Seleziona tutto
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1"


per una maggiore sicurezza della vpn ho aggiunto i seguenti parametri:

Codice: Seleziona tutto
cipher AES-256-CBC
auth SHA512
tls-version-min 1.2


a questo punto ho rieditato il client.conf e quindi riavviato il server vpn (systemctl stop e poi systemctl start).

ho ricaricato il client.conf nel mio smartphone e ora la connessione funziona senza problemi..

leggendo in rete pare che posso aumentare la sicurezza della connessione generando il ta.key mediante il seguente comando:

Codice: Seleziona tutto
openvpn --genkey --secret ta.key


aggiungendo quindi nel server.conf i seguenti parametri:

Codice: Seleziona tutto
tls-auth /etc/openvpn/ta.key 0
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA


su questo però ancora devo fare delle prove..

rimane ancora per il momento irrisolto il discorso relativo all'accesso ai miei file presenti sul server, e aggiungo che mi piacerebbe anche avere la possibilità di poter controllare da remoto il mio pc che si trova qui a casa..

io intanto provo a fare qualche altro tentativo, ma per il discorso realativo all'accesso ai miei file sono un po a corto di idee..

grazie ancora per l'aiuto..
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 29/07/2019, 19:12

ho fatto delle prove molto veloci aggiungendo ta.key nel server.conf non funziona in nessun caso.. non so cosa sbaglio, tuttavia aggiungendo le voci tls-chiper sia sul client che sul server funziona senza problemi...
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 30/07/2019, 13:43

anarchia ha scritto: rimane ancora per il momento irrisolto il discorso relativo all'accesso ai miei file presenti sul server, e aggiungo che mi piacerebbe anche avere la possibilità di poter controllare da remoto il mio pc che si trova qui a casa

OpenVPN non è adibito a fare quello che ti serve.
Se vuoi accedere ai file devi metter su un server (SSH, FTP, NFS, altro) e poi aprire la porta (le porte) corrispondente (corrispondenti) sull'indirizzo virtuale della VPN di quella macchina. Praticamente creare un client OpenVPN che funge da server per condividere dati.
Non saprei se la stessa macchina può fungere sia da server che da client OpenVPN.
Altra soluzione è usare Samba e condividere file e cartelle (come in una LAN Windows).

Stesso ragionamento per controllare la macchina da remoto: tante soluzioni software da configurare separatamente.

Se non sto dicendo fesserie (prego chiunque di correggermi senza problemi), ti invito ad aprire un thread separato per affrontare l'argomento perché questa discussione si chiama "errore nella realizzazione di una vpn" (titolo già di per sé genericissimo).

A beneficio di chi legge questa discussione, come è fatto il tuo file di configurazione del client?
Come hai impostato il forwarding e le (eventuali) regole del firewall?
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda s3v » 30/07/2019, 14:26

anarchia ha scritto:2 avere anche l'accesso alla rete esterna per navigare dunque anche con una maggiore sicurezza

Questo mi era sfuggito.
Leggi qua: https://openvpn.net/community-resources ... /#redirect.
Avatar utente
s3v
Global Moderator
Global Moderator
 
Messaggi: 5833
Iscritto il: 31/12/2008, 11:54

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 30/07/2019, 18:25

ciao,
allora ieri sera cercando un po di informazioni, sono riuscito a capire che accedendo alla mia vpn è un po come se entrassi in un pc che si trova all'interno della mia lan, quindi per avere la condivisione dei file devo realizzare un server come hai detto tu.. intanto ho iniziato a muovermi in questa direzione cosi da capire come agire di conseguenza.. giustamente come dici tu è argomento di un'altra discussione.. allo stesso modo il discorso per il controllo da remoto del pc (anche questa cosa mi interessa fare).

giustamente come mi dicevi tu dovrei riportare il mio server.conf e client.conf in modo da far capire l'esito di quanto fatto.

in questi termini c'è da dire che in realtà ci sto ancora lavorando, infatti per un maggiore livello di sicurezza volevo implementare anche il ta.key cosa che però non mi è ancora riuscita.

in ogni caso come precedentemente detto posterò appena possibile una guida, che riporta un po in dettaglio tutti i passaggi, completi di file di configurazione su come operare per realizzare una vpn (questo forse andrà un po per le lunghe visto che adesso vado in ferie ;D ;D ;D ).

infine c'è il discorso del firewall.
momentaneamente, oltre ad aver installato e abilitato ufw, e passato le regole prese nella guida che hai postato tu nei post precedenti, non ho fatto altro.

c'è da dire a questo riguardo che vorrei in qualche modo studiare un po il firewall ed abilitarne uno fatto bene , anche perchè debian usa una politica, che a me non piace tantissimo, che è quella di mantenere tutte le porte aperte, mentre io preferirei il contrario. (piccola parentesi, se avete una buona guida da indicarmi su come impostare un buon firewall ne sarei molto felice).

detto ciò continuo ancora un po per la mia strada e riporterò, come già detto, il tutto in forma di guida completa.

per quanto riguarda invece la navigazione attraverso vpn ho risolto aggiungendo le seguenti voci nel server.conf:

Codice: Seleziona tutto
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1"


appena possibile leggerò anche la guida che hai riportato per cultura personale.

mi farò risentire a breve..

grazie ancora per l'aiuto
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 29/08/2019, 16:43

Ciao, come promesso riporto una guida con tutti i passaggi per la realizzazione di una vpn, cosi da renderne più agevole la realizzazione a chiunque.
per prima cosa è necessario installare openvpn ed easyrsa, quindi da terminale daremo il seguente comando:

Codice: Seleziona tutto
apt-get install openvpn easy-rsa


in alternativa è possibile utilizzare una versione più aggiornata di easyrsa scaricandola
con il seguente comando:

Codice: Seleziona tutto
wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz


decomprimere il file scaricato con il seguente comando:

Codice: Seleziona tutto
atr xzvf EasyRSA-3.0.4.tgz


copiare dunque la cartella easyrsa ottenuta dalla decompressione in /etc/openvpn (per comodità),
in alternativa è possibile usare easy-rsa scaricato dai repository, in questo caso copiamo la cartella
sempre in /etc/openvpn con il seguente comando:

Codice: Seleziona tutto
cp -R /usr/share/easy-rsa/ /etc/openvpn


A questo punto si lavora nella directory easyrsa, quindi:

Codice: Seleziona tutto
cd /etc/openvpn/easyrsa


bisogna editare adesso il file vars che troviamo in questa cartella, ma qui è presente una copia dal nome vars.example
quindi lo ricopiamo ed editiamo il file secondo le nostre esigenze:

Codice: Seleziona tutto
cp vars.example vars


per editare il file possiamo usare nano:

Codice: Seleziona tutto
nano vars


i parametri da impostare saranno i seguenti:

Codice: Seleziona tutto
set_var EASYRSA_REQ_COUNTRY    "IT"
set_var EASYRSA_REQ_PROVINCE   "Lazio"
set_var EASYRSA_REQ_CITY       "Roma"
set_var EASYRSA_REQ_ORG        "vpn and company"
set_var EASYRSA_REQ_EMAIL      "miamail@example.net"
set_var EASYRSA_REQ_OU         "My Organizational Unit"
set_var EASYRSA_KEY_SIZE       2048         #può essere aumentata a 4096, indica la lunghezza della chiave cosi facento aumenta la sicurezza
set_var EASYRSA_CRL_DAYS       3650         #indica dopo quanti giorni scade
set_var EASYRSA_DIGEST         "sha256"         #può essere aumentata a "sha512" cosi facendo aumentiamo la sicurezza



terminato con il file vars si procede inizializzando la PKI con il seguente comando:

Codice: Seleziona tutto
./easyrsa init-pki


si crea quindi la coppia di chiavi per la CA con il comando:

.
Codice: Seleziona tutto
/easyrsa buid-ca nopass


si può omettere nopass, in questo caso verrà cifrata la chiave privata
Creare a questo punto il DH (Diffie-Hellman), questa operazione richiede più o meno tempo in funzione delle
dimensioni di KEY_SIZE e delle capacità di calcolo del pc:

Codice: Seleziona tutto
./easyrsa gen-dh


Creare la coppia di chiavi per il server e per il client e farle firmare dalla CA ("mioserver" e "mioclient" sono nomi identificativi che si possono scegliere a proprio piacimento):

Codice: Seleziona tutto
./easyrsa build-server-full mioserver nopass
./easyrsa build-client-full mioclient nopass


si pouò anche creare il certificato per la revoca dei delle chiavi inviate ad un client (in questa guida non è riportato tale passo nel server.conf,
successivamente provvederò ad aggiornare la guida):

Codice: Seleziona tutto
./easyrsa gen-crl


a questo punto possiamo copiare tutte le chiavi e i certificati generati in /etc/openvpn, quindi:

Codice: Seleziona tutto
cp pki/ca.crt pki/private/ca.key pki/dh.pem pki/issued/mioserver.crt pki/private/mioserver.key /etc/openvpn/easy-rsa/pki/crl.pem pki/issued/mioclient.crt pki/private/mioclient.key /etc/openvpn


generare a questo punto il server.conf, quindi da terminale daremo:

Codice: Seleziona tutto
nano /etc/openvpn/nomeserver.conf


e mettere al suo interno le seguenti righe:

Codice: Seleziona tutto
port 1194                                       #è possibile usare anche delle porte differenti
proto udp
dev tun
ca ca.crt
cert mioserver.crt
key mioserver.key  # This file should be kept secret
dh dh.pem
server 10.88.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "route 192.168.1.0 255.255.255.0"                  #le righe push qui inserite permettono la navigazione in internet
push "redirect-gateway def1"                        #attraverso la vpn, se non si desidera questo parametro commentare
push "dhcp-option DNS 10.88.0.1"                     #le voci push e decommetare le tre voci push sosùttostanti
#push "redirect-gateway def1 bypass-dhcp"
#push "dhcp-option DNS 208.67.222.222"
#push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
#status /var/log/openvpn/openvpn-status.log
cipher AES-256-CBC
auth SHA256
tls-version-min 1.2
verb 3
explicit-exit-notify 1


creato il server.conf possiamo avviare la vpn con il seguente comando:

Codice: Seleziona tutto
systemctl start openvpn@nomeserver.service


se per qualche motivo andremo a fare delle modifiche al server.conf bisogna riavviare il demone, quindi:

Codice: Seleziona tutto
systemctl stop openvpn@nomeserver.service
systemctl start openvpn@nomeserver.service
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Re: errore nella realizzazione di una vpn

Messaggioda anarchia » 29/08/2019, 16:44

NOTA, ho dovuto dividere la guida perchè in un unico post non ci entrava

generato il server.conf bisogna generare il file client.ovpn che verrà inviato al client permettendogli la connessione, quindi da terminale daremo:

Codice: Seleziona tutto
nano /etc/openvpn/client.ovpn


e metteremo al suo interno le seguenti righe:

Codice: Seleziona tutto
client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote ipstatico(del router) 1194      #se non si dispone di un ip statico utilizzare un ddns
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo adaptive
cipher AES-256-CBC
auth SHA256
tls-version-min 1.2
verb 3
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
 <ca>
    cat /etc/openvpn/easyrsa/pki/ca.crt               #inserire solo il contenuto da --begin-- fino --end--
</ca>

<cert>
cat /etc/openvpn/easyrsa/pki/issued/mioclient.crt      #inserire solo il contenuto da --begin-- fino --end--
</cert>

<key>
cat /etc/openvpn/easyrsa/pki/private/mioclient.key      #inserire solo il contenuto da --begin-- fino --end--
</key>



per terminare, bisogna dare i permessi al firewall, quindi da terminale diamo i seguenti comandi:

Codice: Seleziona tutto
sed -i 's|#net.ipv4.ip_forward=1|net.ipv4.ip_forward=1|' /etc/sysctl.conf
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 10.88.0.0/24 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.88.0.0/24 -j SNAT --to your.local.server.ip



E' tutto pronto per la connessione, inviando il client.ovpn al client si potrà stabilire la connessione .
anarchia
Newbie
Newbie
 
Messaggi: 19
Iscritto il: 09/07/2019, 19:41

Precedente

Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti