OpenVPN, tunnel per Fastweb

webking · 08-10-2010, 18:13

Salve a tutti,

so bene che l'argomento è stato trattato più volte, ma ho bisogno di un supporto tecnico per risolvere la mia situazione.
Dal momento in cui ho un pc a casa sotto nat di fastweb ed un server pubblico hostato in olanda, ho pensato di creare una piccola VPN che metta in comunicazione 3 computers:

1) Il pc che ho a casa dietro FASTWEB
2) Il pc portatile dal quale mi connetto con chiave usb
3) Il server in olanda.

Per fare ciò ho proceduto all'installazione di OpenVPN su tutti i computers. Sul server in Olanda ho messo la versione Server, mentre sui due pc ho installato la client (non è stato facile, perchè tutti sono stati configurati su linux).
Ora da qualsiasi PC riesco a vedere il server in Olanda semplicemente digitando l'IP 10.0.1.1, ma il mio problema è che non riesco a vedere il PC di casa dal Pc portatile. Credo sia un problema propriamente di Tunnels da impostare o di GW da settare, ma non ho affatto le idee chiare sul come procedere in ambiente linux.

Spero che quale utente più esperto di me sappia aiutarmi, intanto un grazie in anticipo a tutti coloro che mi daranno supporto.

mavelot · 09-10-2010, 10:26

E' semplice.

Di default OpenVPN consente ai client di vedere solo il server, per ovvi motivi di sicurezza.

Se vuoi abilitare la visibilità tra i client, devi modificare il cfg sul server e abilitare il parametro:

client-to-client

Dopodichè riavvii il servizio sul server e il gioco è fatto

webking · 09-10-2010, 12:44

Grazie mille, l'ho visto solo dopo aver creato il post e mi sono dimenticato di dire che avevo risolto. Purtroppo ero convinto di averlo abilitato, ma è stato un maledetto ";" ad essermi sfuggito (perchè non usare i più appariscenti "#"?).

Grazie mille comunque!

Ora ho solo un'ultima domanda. Nel file di configurazione leggo che è possibile creare una sorta di "Static Routing" tra i client, cioè poter assegnare determinati indirizzi IP ad ogni client. Sapresti dirmi in dettaglio come agire? Devo creare delle sottocartelle mi pare di aver capito, ma la questione mi si prensenta ancora come "sfuggente".

Grazie mille,

Alberto.

mavelot · 09-10-2010, 12:54

SI esatto. Sinceramente non l'ho mai usato ma le istruzioni sono chiare:

To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN. This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
# ifconfig-push 10.9.0.1 10.9.0.2

webking · 09-10-2010, 12:58

Dunque, avevo già letto quelle righe.
Il problema è: ammettiamo che io imposti la configurazione "standard" già presente nell'esempio, come fa il server a capire chi è "Thelonious" e assegnare a lui l'indirizzo IP descritto? In altre parole, devo specificare sul lato client se sono Thelonious o no? Come?

mavelot · 09-10-2010, 13:00

no...quel nome è il nome del client, inteso come certificato che hai generato ! Lo riconosce "per forza"...

webking · 09-10-2010, 13:11

Si maledizione non ci ho pensato! E' ovvio, lui ha il database. Quindi mi basta dare il nome nel file cfg del server uguale al certificato che ho generato, giusto?

L'ultimissima cosa, vedo che sei molto esperto e perciò ne approfitto: se un domani dovessi avere la necessità di aggiungere un nuovo utente alla mia VPN, devo creare un nuovo certificato dal server e ricostruire il database, giusto?

In tal caso, a livello di "comandi", non vado a ri-generare di nuovo il certificato server, ma solo un nuovo client, ricostruendo poi il db. In soldoni, io pensavo di fare così:

/etc/openvpn/> . ./vars
/etc/openvpn/> ./build-key nuovo_utente
/etc/openvpn/> ./build-dh

Se eseguo questa procedura (senza fare il ./clean-all) riesco ad "aggiornare solo il db" sul server e generare la nuova Key per il mio client, o devo poi ricreare ogni key tanti quanti sono i client?

grazie mille!

mavelot · 09-10-2010, 14:15

devi generare sempre 1 certificato per client. A meno che tu non voglia abilitare la direttiva che permette di usare lo stesso certificato su più client.

Ovviamente questo fa a pugni con tutto ciò che riguarda IP, route, ecc customizzare per ogni client.

Qui c'è un ottima guida, sia per l'installazione, sia per la gestione di tutto il server vpn

http://howto.landure.fr/gnu-linux/de...ebian-4-0-etch

giuseppe64 · 28-09-2011, 09:35

come si fa a mettere la direttiva x utilizzare un unico certificato su tutti i client? e soprattutto a cosa vado incontro?

webking · 28-09-2011, 13:45

Ciao,
la direttiva la puoi impostare dal file di configurazione del server vpn, config.ovpn.

I rischi ai quali vai incontro sono notevoli. Se usassi un solo certificato di accesso su più pc, per esempio un fisso e tre portatili, se ti ruassero uno dei tre portatili potrebbero accedere al server con gli stessi diritti degli altri pc e probabilmente non te ne accorgresti. Se poi te ne accorgessii e decisessi di bloccare l'accesso, dovresti rifare e chiavi e reimpostarle, facendo quindi lo stesso lavoro che avresti potuto fare prima. Il consiglio è di fare una chiave per ogni pc, così se te lo rubano potrai disattivare sul server solo quella chiave corripondente e adirittura potresti risalire alla posizione del portarile rubato.

Spero di averti dato l'idea...

P.s. Se configuri i vaei certificari puoi decidere di assegnare ip statici fissi ai vari nodi del vpn, aumentando la sicurezza dei programmi hostati sul server e differenziando-filrrando gli accessi dei client vpn alle risorse del server.

Scusate gli errori ma sono dal cellulare

giuseppe64 · 28-09-2011, 15:22

ok ma siccome devo gestire dal server un gran numero di pc tipo 60...intanto il carico sarà tanto nel server? e poi per gli ip devo configurarli manualmente se uso un certificato o li da in automatico il server?

08-10-2010, 18:13	#1
webking Senior Member Iscritto dal: Aug 2006 Messaggi: 334	OpenVPN, tunnel per Fastweb Salve a tutti, so bene che l'argomento è stato trattato più volte, ma ho bisogno di un supporto tecnico per risolvere la mia situazione. Dal momento in cui ho un pc a casa sotto nat di fastweb ed un server pubblico hostato in olanda, ho pensato di creare una piccola VPN che metta in comunicazione 3 computers: 1) Il pc che ho a casa dietro FASTWEB 2) Il pc portatile dal quale mi connetto con chiave usb 3) Il server in olanda. Per fare ciò ho proceduto all'installazione di OpenVPN su tutti i computers. Sul server in Olanda ho messo la versione Server, mentre sui due pc ho installato la client (non è stato facile, perchè tutti sono stati configurati su linux). Ora da qualsiasi PC riesco a vedere il server in Olanda semplicemente digitando l'IP 10.0.1.1, ma il mio problema è che non riesco a vedere il PC di casa dal Pc portatile. Credo sia un problema propriamente di Tunnels da impostare o di GW da settare, ma non ho affatto le idee chiare sul come procedere in ambiente linux. Spero che quale utente più esperto di me sappia aiutarmi, intanto un grazie in anticipo a tutti coloro che mi daranno supporto.

28-09-2011, 09:35	#9
giuseppe64 Senior Member Iscritto dal: Jun 2008 Messaggi: 368	come si fa a mettere la direttiva x utilizzare un unico certificato su tutti i client? e soprattutto a cosa vado incontro? Ultima modifica di giuseppe64 : 28-09-2011 alle 09:39.

28-09-2011, 13:45	#10
webking Senior Member Iscritto dal: Aug 2006 Messaggi: 334	Ciao, la direttiva la puoi impostare dal file di configurazione del server vpn, config.ovpn. I rischi ai quali vai incontro sono notevoli. Se usassi un solo certificato di accesso su più pc, per esempio un fisso e tre portatili, se ti ruassero uno dei tre portatili potrebbero accedere al server con gli stessi diritti degli altri pc e probabilmente non te ne accorgresti. Se poi te ne accorgessii e decisessi di bloccare l'accesso, dovresti rifare e chiavi e reimpostarle, facendo quindi lo stesso lavoro che avresti potuto fare prima. Il consiglio è di fare una chiave per ogni pc, così se te lo rubano potrai disattivare sul server solo quella chiave corripondente e adirittura potresti risalire alla posizione del portarile rubato. Spero di averti dato l'idea... P.s. Se configuri i vaei certificari puoi decidere di assegnare ip statici fissi ai vari nodi del vpn, aumentando la sicurezza dei programmi hostati sul server e differenziando-filrrando gli accessi dei client vpn alle risorse del server. Scusate gli errori ma sono dal cellulare Ultima modifica di webking : 28-09-2011 alle 13:51.

09-10-2010, 10:26	#2
mavelot Senior Member Iscritto dal: Aug 2006 Città: Napoli Messaggi: 10498	E' semplice. Di default OpenVPN consente ai client di vedere solo il server, per ovvi motivi di sicurezza. Se vuoi abilitare la visibilità tra i client, devi modificare il cfg sul server e abilitare il parametro: client-to-client Dopodichè riavvii il servizio sul server e il gioco è fatto

09-10-2010, 12:44	#3
webking Senior Member Iscritto dal: Aug 2006 Messaggi: 334	Grazie mille, l'ho visto solo dopo aver creato il post e mi sono dimenticato di dire che avevo risolto. Purtroppo ero convinto di averlo abilitato, ma è stato un maledetto ";" ad essermi sfuggito (perchè non usare i più appariscenti "#"?). Grazie mille comunque! Ora ho solo un'ultima domanda. Nel file di configurazione leggo che è possibile creare una sorta di "Static Routing" tra i client, cioè poter assegnare determinati indirizzi IP ad ogni client. Sapresti dirmi in dettaglio come agire? Devo creare delle sottocartelle mi pare di aver capito, ma la questione mi si prensenta ancora come "sfuggente". Grazie mille, Alberto.

09-10-2010, 12:54	#4
mavelot Senior Member Iscritto dal: Aug 2006 Città: Napoli Messaggi: 10498	SI esatto. Sinceramente non l'ho mai usato ma le istruzioni sono chiare: To assign specific IP addresses to specific # clients or if a connecting client has a private # subnet behind it that should also have VPN access, # use the subdirectory "ccd" for client-specific # configuration files (see man page for more info). # EXAMPLE: Suppose the client # having the certificate common name "Thelonious" # also has a small subnet behind his connecting # machine, such as 192.168.40.128/255.255.255.248. # First, uncomment out these lines: ;client-config-dir ccd ;route 192.168.40.128 255.255.255.248 # Then create a file ccd/Thelonious with this line: # iroute 192.168.40.128 255.255.255.248 # This will allow Thelonious' private subnet to # access the VPN. This example will only work # if you are routing, not bridging, i.e. you are # using "dev tun" and "server" directives. # EXAMPLE: Suppose you want to give # Thelonious a fixed VPN IP address of 10.9.0.1. # First uncomment out these lines: ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 # Then add this line to ccd/Thelonious: # ifconfig-push 10.9.0.1 10.9.0.2

09-10-2010, 12:58	#5
webking Senior Member Iscritto dal: Aug 2006 Messaggi: 334	Dunque, avevo già letto quelle righe. Il problema è: ammettiamo che io imposti la configurazione "standard" già presente nell'esempio, come fa il server a capire chi è "Thelonious" e assegnare a lui l'indirizzo IP descritto? In altre parole, devo specificare sul lato client se sono Thelonious o no? Come?

09-10-2010, 13:00	#6
mavelot Senior Member Iscritto dal: Aug 2006 Città: Napoli Messaggi: 10498	no...quel nome è il nome del client, inteso come certificato che hai generato ! Lo riconosce "per forza"...

09-10-2010, 13:11	#7
webking Senior Member Iscritto dal: Aug 2006 Messaggi: 334	Si maledizione non ci ho pensato! E' ovvio, lui ha il database. Quindi mi basta dare il nome nel file cfg del server uguale al certificato che ho generato, giusto? L'ultimissima cosa, vedo che sei molto esperto e perciò ne approfitto: se un domani dovessi avere la necessità di aggiungere un nuovo utente alla mia VPN, devo creare un nuovo certificato dal server e ricostruire il database, giusto? In tal caso, a livello di "comandi", non vado a ri-generare di nuovo il certificato server, ma solo un nuovo client, ricostruendo poi il db. In soldoni, io pensavo di fare così: /etc/openvpn/> . ./vars /etc/openvpn/> ./build-key nuovo_utente /etc/openvpn/> ./build-dh Se eseguo questa procedura (senza fare il ./clean-all) riesco ad "aggiornare solo il db" sul server e generare la nuova Key per il mio client, o devo poi ricreare ogni key tanti quanti sono i client? grazie mille!

09-10-2010, 14:15	#8
mavelot Senior Member Iscritto dal: Aug 2006 Città: Napoli Messaggi: 10498	devi generare sempre 1 certificato per client. A meno che tu non voglia abilitare la direttiva che permette di usare lo stesso certificato su più client. Ovviamente questo fa a pugni con tutto ciò che riguarda IP, route, ecc customizzare per ogni client. Qui c'è un ottima guida, sia per l'installazione, sia per la gestione di tutto il server vpn http://howto.landure.fr/gnu-linux/de...ebian-4-0-etch

28-09-2011, 15:22	#11
giuseppe64 Senior Member Iscritto dal: Jun 2008 Messaggi: 368	ok ma siccome devo gestire dal server un gran numero di pc tipo 60...intanto il carico sarà tanto nel server? e poi per gli ip devo configurarli manualmente se uso un certificato o li da in automatico il server?

Strumenti
Mostra una versione stampabile Invia questa pagina per email