Martinligabue: /* Accesso dall'esterno */ sottocategoria

2026-04-05T22:43:59Z

Accesso dall'esterno: sottocategoria

Giomba: Spostata documentazione non più manutenuta dalla pagina sulla VPN

2026-03-07T22:48:08Z

Spostata documentazione non più manutenuta dalla pagina sulla VPN

Nuova pagina

{{Note
|type=warning
|text=Questa pagina è un'istantanea della pagina non più mantenuta sulla VPN.
}}

Sul server, installiamo ''openvpn'' e anche ''easy-rsa'' (che ci servirà per generare le chiavi). Su Debian:
apt-get install openvpn easy-rsa

=== Configurazione server ===
Sul server deve essere creata una propria CA (''Certificate Authority''), che deve firmare tutti i certificati che andremo a utilizzare nella VPN. Per fare questo useremo la collezione di utili script ''easy-rsa''. Per semplificarci il lavoro, lavoreremo nella directory ''/etc/openvpn'', e ci copieremo anche gli script ''easy-rsa''.

cp /usr/share/easy-rsa/* /etc/openvpn

Digressione inutile: io avrei messo ''/usr/share/easy-rsa/'' nel PATH, ma quelli di OpenVPN dicono di copiare gli script per evitare problemi di compatibilità (es. oggi creo la mia fantastica VPN con ''easy-rsa'' versione ''$oggi'', domani aggiorno ''easy-rsa'' a versione ''$domani'', e dopodomani voglio aggiungere un nuovo client alla mia VPN ma non posso farlo perché agli script nuovi non piace la vecchia CA). Insomma, agli script non piacciono i certificati, a me non piace questo modo di fare, a tutti non piace qualcosa, poggio e buca fa pari, animo in pace, quindi facciamolo e basta.

==== Variabili d'ambiente ====
Modifichiamo le righe dello script ''vars''.
I valori inseriti qui saranno utilizzati di default per la generazione dei certificati, quindi, quando li genereremo, ci basterà premere ''Invio'' per far prima.

# These are the default values for fields
# which will be placed in the certificate.
export KEY_COUNTRY="IT"
export KEY_PROVINCE="FI"
export KEY_CITY="Empoli"
export KEY_ORG="GOLEM - Gruppo Operativo Linux Empoli"
export KEY_EMAIL="golem@mailinator.com"
export KEY_OU="VPN Task Force"

...

export KEY_SIZE=2048

Popoliamo l'ambiente eseguendo lo script:
# . ./vars

==== Creazione CA ====
# ./clean-all
# ./build-ca

'''ATTENZIONE:''' questi comandi distruggono l'eventuale CA che già abbiamo creato, quindi usiamoli solo la prima volta, a meno che non siamo masochisti e vogliamo ripartire da zero, buttar via tutto e impedire ai client (che già abbiamo) di collegarsi alla VPN. Una catastrofe insomma.

'''Nota:''' ''clean-all'' crea anche una nuova directory ''keys'', dove sono salvate tutte le chiavi che abbiamo generato, e che genereremo da ora in avanti. Ci servirà più avanti.

==== Generazione parametri Diffie-Hellman ====
# ./build-dh

Ci vorrà un po', in base alla KEY_SIZE che abbiamo specificato in ''vars''.
Questo genererà un file ''dh2048.pem'' (o 1024, dipende dalla dimensione) nella directory ''keys''. Ci servirà più avanti.

==== Generazione chiave server ====
# ./build-key-server golem.linux.it
dove ''golem.linux.it'' è l'hostname del nostro server. Non è necessario usare l'hostname vero, ma ci aiuta a tenere le cose ordinate. Possiamo avere tutte le chiavi che vogliamo, ma ce ne basta una (eventualmente anche per più VPN). Ci servirà più avanti.

==== File di configurazione server.conf ====
Copiamo il modello fornito da OpenVPN:

# zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

Modifichiamolo:

port 7777 # porta su cui è in ascolto OpenVPN
proto udp # usare il protocollo UDP
dev tun # VPN routed
ca /etc/openvpn/keys/ca.crt # certificato CA
cert /etc/openvpn/keys/server.crt # chiave pubblica server
key /etc/openvpn/keys/server.key # chiave privata server
dh /etc/openvpn/keys/dh2048.pem # parametri Diffie-Hellman
server 10.60.73.0 255.255.255.0 # indirizzi IP della rete
;ifconfig-pool-persist ipp.txt # ricorda gli indirizzi IP assegnati ai client?
client-config-dir /etc/openvpn/staticclients # directory configurazioni specifiche dei client
client-to-client # permetti ai client di parlarsi tra loro
user nobody # rilascia i privilegi una volta finito
group nogroup
topology subnet # tutti i client nella sottorete (no point-to-point)
comp-lzo # attiva la compressione lzo

Osservazioni:
* ''proto'': utilizziamo il protocollo UDP, perché TCP su TCP può [http://sites.inka.de/bigred/devel/tcp-tcp.html portare al collasso] della rete
* nella rete ''10.60.73.0/24'', il server prende automaticamente il primo indirizzo disponibile, cioè 10.60.73.1
* ''ifconfig-pool-persist'': abilitato di default, memorizza nel file ''ipp.txt'' le associazioni client/indirizzo. Se dobbiamo poter raggiungere le macchine nella rete, queste dovranno avere un IP fisso, quindi in teoria questa cosa ci piace, ma in pratica no perché vogliamo mettere gli indirizzi a mano secondo una logica sensata, quindi commentiamo questa riga.
* ''client-config-dir'': in questa directory andremo a inserire le configurazioni specifiche dei client (es. l'IP statico)
* ''client-to-client'': lo mettiamo perché vogliamo che i client possano dialogare tra loro direttamente, senza dover ammattire col firewall
* ''user'' e ''group'': OpenVPN gira come ''root'', e quando ha instaurato le connessioni e ha finito di fare il suo lavoro, è bene che rilasci i privilegi e continui a girare come utente semplice.
* ''topology'': indica il tipo di rete. Facciamo '''attenzione''' a aggiungerlo manualmente, perché altrimenti, per ragioni di retrocompatibilità, viene utilizzata la modalità point-to-point

==== Avvio del server ====
Proviamo:
# openvpn server.conf

Per avviare il servizio o abilitarlo permanentemente:
# systemctl [start|stop|restart|reload|enable] openvpn@server.conf

dove ''server.conf'' viene cercato nella directory ''/etc/openvpn''.

Vediamo che adesso abbiamo una nuova interfaccia di rete virtuale denominata ''tun0'' con indirizzo IP ''10.60.73.1''. Questa è la scheda che è attaccata al nostro lungo "filo" immaginario.
# ip addr

=== Aggiungere un client ===
==== Generazione chiave client ====
Sempre '''sul server''':

# ./build-key client-numero-uno

Oss: utilizziamo un nome significativo. Come prima, consiglio di usare l'hostname.

Oss: probabilmente vogliamo utilizzare lo stesso ambiente ''vars'' di prima.

Oss: verrà generata la coppia di chiavi pubblica/privata ''client-numero-uno.cert''/''client-numero-uno.key'' nella directory ''keys''.

Copiamo le chiavi ''client-numero-uno.*'' e anche '''ca.crt''' sul client (es. ''scp'') e mettiamole in ''/etc/openvpn/golem.linux.it/''.

==== Installazione OpenVPN ====
'''Sul client''':

# apt-get install openvpn # Debian
# pacman -S openvpn # Arch

==== File di configurazione client.conf ====
Copiamo il modello del file di configurazione del client in un posto sensato, tipo in ''/etc/openvpn/'' o ''/etc/openvpn/client/''.

Es su Arch Linux:
# cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/

Percorso su Debian:
/usr/share/doc/openvpn/examples/sample-config-files/client.conf

Modifichiamolo. Per brevità ometto cose tipo ''proto udp'', ''tun'' e via discorrendo, che devono ovviamente corrispondere anche lato server.

remote golem.linux.it 7777
user nobody
group nobody
ca /etc/openvpn/golem.linux.it/ca.crt
cert /etc/openvpn/golem.linux.it/client-numero-uno.crt
key /etc/openvpn/golem.linux.it/client-numero-uno.key
keepalive 30 120 # riattiva le connessioni chiuse
comp-lzo

# Nel template Debian si commenta la configurazione di questo certificato (opzionale).
;tls-auth ta.key 1

Osservazioni:
* ''remote'': hostname e porta del server OpenVPN
* ''keepalive X Y'': ogni X secondi, controlla la connessione con il server, e se questa risulta assente per più di Y secondi consecutivi, si riconnette
* ''group'': su Debian deve essere specificato <code>nogroup</code> anziché <code>nobody</code>
'''Attenzione''' alle eventuali modalità di compressione e/o di cifratura (qui è attiva la compressione lzo), che devono corrispondere a quelle sul server. È facile che si abbiano impostazioni leggermente diverse a seconda del sistema che si usa (Debian, Arch, ...)

==== Assegnare IP fisso al client ====
Torniamo '''sul server''' e nella directory ''/etc/openvpn/staticclients'' (scelta prima nel ''server.conf'') aggiungiamo un file per ogni client a cui si vuole assegnare un indirizzo statico.
Il file deve chiamarsi come l'hostname del client (l'hostname che avete dichiarato nel certificato! Se è diverso dall'hostname vero, siete masochisti, e poi non dite che non avevo avvertito).
All'interno inserire una direttiva ''ifconfig-push''.

Esempio, file ''/etc/openvpn/staticclients/client-numero-uno'':
ifconfig-push 10.60.73.77 255.255.255.0

dove ''10.60.73.184.77'' è l'IP che vogliamo assegnare al client che si presenta col certificato di ''client-numero-uno'' e ''255.255.255.0'' è la sua maschera di rete.

==== Avvio del client ====
Proviamo (uguale al server):
# openvpn client.conf

Per avviare il servizio o abilitarlo permanentemente:

* su Debian
# systemctl [start|stop|restart|reload|enable] openvpn@client.conf

dove ''client.conf'' viene cercato nella directory ''/etc/openvpn''

* su Arch
# systemctl [start|stop|restart|reload|enable] openvpn-client@client.conf

dove ''client.conf'' viene cercato nella directory ''/etc/openvpn/client''

=== Revoca di un certificato ===
Per revocare l'accesso a un client, è sufficiente revocare la sua chiave attraverso il comando:
# ./revoke-full client-numero-1

'''Nota bene''': questo comando termina con ''Errore 23''; secondo la [https://openvpn.net/index.php/open-source/documentation/howto.html#revoke documentazione ufficiale di OpenVPN], è tutto normale, in quanto, dopo aver revocato il certificato, lo script ricontrolla la sua firma, che a questo punto risulta non più valida.

Un altro modo per vedere se il certificato è stato revocato consiste nel listare il contenuto del file ''keys/index.txt'' e controllare che appaia una ''R'' (e un nuovo timestamp) accanto al certificato che si intendeva revocare.

=== Verifiche finali ===
Controlliamo di avere una nuova interfaccia di rete virtuale ''tun0'' con l'indirizzo IP desiderato:
# ip addr

Proviamo il ping:
# ping 10.60.73.1

== Accesso dall'esterno ==
Può essere interessante accedere ai servizi offerti da uno degli host interni alla VPN, ma senza accedere alla VPN. Ad esempio collegarsi ad un sistema di monitoraggio webcam remoto utilizzando la rete 3G del cellulare.

Per fare questo si può sfruttare l'IP pubblico del server VPN: impartendo alcune istruzioni iptables si va a monitorare una determinata porta (ad esempio 1234) e si indirizzano le richieste verso l'host interno alla VPN (che, per esempio, ha IP 10.60.73.12)

iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 10.60.73.12:1234
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl net.ipv4.ip_forward=1

L'opzione <code>dport</code> può essere variata a piacere se si vuole reindirizzare richieste da una porta verso un'altra:

iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 10.60.73.12:12

In questo modo si varia anche la porta. Può essere utile per evitare conflitti con server già presenti sulla macchina che si va ad interrogare.

[[Category:Howto]]

← Versione meno recente		Versione delle 22:43, 5 apr 2026
Riga 202:		Riga 202:
	In questo modo si varia anche la porta. Può essere utile per evitare conflitti con server già presenti sulla macchina che si va ad interrogare.		In questo modo si varia anche la porta. Può essere utile per evitare conflitti con server già presenti sulla macchina che si va ad interrogare.

−	[[~~Category~~:~~Howto~~]]	+	[[Categoria:Networking]]

Appunti OpenVPN - Cronologia

Martinligabue: /* Accesso dall'esterno */ sottocategoria

Giomba: Spostata documentazione non più manutenuta dalla pagina sulla VPN