[Guida] Come ottenere un IP pubblico con qualsiasi connessione 3G/4G

[iaiuarmando]

Ho eseguito più volte questa guida utilizzando delle macchine virtuali pulite con Debian installato, riscontro sempre un problema nella creazione dei certificati in particolare

cp /etc/easyrsa/EasyRSA-3.0.4/pki/issued/server.key /etc/openvpn/


Quando vado a digitare questo comando mi dice che in quella cartella non c'è il file server.key


Ho provato a cercare altrove altre guide ma non sono molto pratico E questa rimane l'unica che io possa seguire.

help

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

Ho eseguito più volte questa guida utilizzando delle macchine virtuali pulite con Debian installato, riscontro sempre un problema nella creazione dei certificati in particolare

cp /etc/easyrsa/EasyRSA-3.0.4/pki/issued/server.key /etc/openvpn/


Quando vado a digitare questo comando mi dice che in quella cartella non c'è il file server.key


Ho provato a cercare altrove altre guide ma non sono molto pratico E questa rimane l'unica che io possa seguire.

help

Errore mio. Il percorso corretto è:

Codice:

cp /etc/easyrsa/EasyRSA-3.0.4/pki/private/server.key /etc/openvpn/

[iaiuarmando]

fatto tutto come descritto
ma quando vado a dare questo comando

ip address show

non mi appare l'interfaccia tun con l'indirizzo ip scritto nel file di configurazione.


Devo sbagliare qualche passaggio.

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

fatto tutto come descritto
ma quando vado a dare questo comando

ip address show

non mi appare l'interfaccia tun con l'indirizzo ip scritto nel file di configurazione.


Devo sbagliare qualche passaggio.

Se hai riavviato il server, c'è un problema con il file di configurazione.
Verifica che nella cartella /etc/openvpn ti abbia creato il file di log, se si, aprilo e vedi che informazioni hai.
Se non c'è il file di log dobbiamo procedere in altro modo.

[iaiuarmando]

Quote:

Originariamente inviato da OUTATIME

Se hai riavviato il server, c'è un problema con il file di configurazione.

Verifica che nella cartella /etc/openvpn ti abbia creato il file di log, se si, aprilo e vedi che informazioni hai.

Se non c'è il file di log dobbiamo procedere in altro modo.

2022-09-13 16:34:04 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-09-13 16:34:04 Cannot pre-load keyfile (/etc/openvpn/ta.key)
2022-09-13 16:34:04 Exiting due to fatal error


questo è il contenuto del file openvpn.log

grazie per il supporto tecnico

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

2022-09-13 16:34:04 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2022-09-13 16:34:04 Cannot pre-load keyfile (/etc/openvpn/ta.key)
2022-09-13 16:34:04 Exiting due to fatal error


questo è il contenuto del file openvpn.log

grazie per il supporto tecnico

Verifica che nella cartella /etc/openvpn sia presente il file ta.key

[iaiuarmando]

Ok ci sono riuscito

Avendo problemi a generare questa chiave, ho messo un commento nel file di configurazione del server Quando cerca ta.key .


Ora mi tocca configurare il client e ti volevo chiedere se è possibile generare dei profili da poterli utilizzare con l'applicazione Android e con il software Windows openvpn.

Il profilo che va importato nell'applicazione ha l'estensione .ovpn

Grazie per il supporto tecnico

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

Ok ci sono riuscito

Avendo problemi a generare questa chiave, ho messo un commento nel file di configurazione del server Quando cerca ta.key .


Ora mi tocca configurare il client e ti volevo chiedere se è possibile generare dei profili da poterli utilizzare con l'applicazione Android e con il software Windows openvpn.

Il profilo che va importato nell'applicazione ha l'estensione .ovpn

Grazie per il supporto tecnico

Certamente. Quindi se ho capito bene NON stai usando il file ta.key, giusto?
Bene. Il file di configurazione deve contenere questi parametri, assumendo che il server è configurato come da mia guida:

Codice:

client
dev tun
proto tcp
remote [indirizzo IP] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
dh dh.pem
remote-cert-tls server
cipher AES-256-GCM
verb 3

Per la configurazione android copia il file ovpn e tutti i file richiesti dentro una cartella, e poi importi il file dell'app OpenVPN.

[iaiuarmando]

Quote:

Originariamente inviato da OUTATIME

Certamente. Quindi se ho capito bene NON stai usando il file ta.key, giusto?
Bene. Il file di configurazione deve contenere questi parametri, assumendo che il server è configurato come da mia guida:

Codice:

client
dev tun
proto tcp
remote [indirizzo IP] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
dh dh.pem
remote-cert-tls server
cipher AES-256-GCM
verb 3

Per la configurazione android copia il file ovpn e tutti i file richiesti dentro una cartella, e poi importi il file dell'app OpenVPN.

Ci sono riuscito finalmente.

Ti ringrazio.

Ora che siamo riusciti in questa "impresa" mi sono reso conto che il client collegato alla VPN non va su internet.

L'obiettivo è quello di collegare almeno tre dispositivi alla VPN creata, uno di questi dispositivi è connesso ad una connessione 4G tramite SIM, questo dispositivo deve avere le porte aperte (anche tutte).

Da dove posso iniziare?


ti ringrazio


edit: premetto di avere installato il server openvpn su una macchina virtuale.
Collegando i tre Client alla VPN mi sono reso conto che l'unico client che non naviga su internet è quello dov'è installata la Virtual machine con Debian, dove gira il server openvpn.

Sono molto contento Ora mi resta da capire perché quel client specifico non naviga su internet e poi mi resta da capire come aprire le porte verso un indirizzo IP.


Ti ringrazio tanto ❤

[OUTATIME]

No, allora... andiamo per gradi:

Quote:

Originariamente inviato da iaiuarmando

edit: premetto di avere installato il server openvpn su una macchina virtuale.
Collegando i tre Client alla VPN mi sono reso conto che l'unico client che non naviga su internet è quello dov'è installata la Virtual machine con Debian, dove gira il server openvpn.

Ovviamente questa non può andare in VPN su una VM ospitata al suo interno, poiche la VM usa per navigare la scheda di rete fisica del client. Se fai un redirect del gateway sulla VM, la VM a sua volta non naviga più.

Quote:

Originariamente inviato da iaiuarmando

L'obiettivo è quello di collegare almeno tre dispositivi alla VPN creata, uno di questi dispositivi è connesso ad una connessione 4G tramite SIM, questo dispositivo deve avere le porte aperte (anche tutte).

Da dove posso iniziare?

Dal spiegarmi quello che vuoi fare. Cosa vuoi ottenere collegando questi dispositivi in VPN?

Quote:

Originariamente inviato da iaiuarmando

e poi mi resta da capire come aprire le porte verso un indirizzo IP.

Do per scontato che la configurazione del port forwarding del router sia corretta, quindi mi occuperò solo della configurazione del server OpenVPN.
Devi editare il file /etc/iptables/rules.v4 aggiungendo questa riga per ogni porta da aprire:

Codice:

-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A PREROUTING -i eth0 -p tcp -m tcp --dport XXXX -j DNAT --to-destination 10.8.0.XXX

La stringa di postrouting è unica, mentre quella di prerouting è da aggiungerne una per ogni porta da aprire, sostituendo le X di --dport XXXX con la porta da aprire e --to-destination 10.8.0.XXX con l'IP di destinazione. Ovviamente a eth0 devi sostituire il nome della tua interfaccia.

[iaiuarmando]

Ho provato a spostare la Virtual Machine su un altro computer presente in rete.



Il risultato è sempre lo stesso, cioè dei tre client connessi alla VPN, un solo client non riesce a navigare su internet ma allo stesso tempo Naviga in rete e raggiunge indirizzi IP locali.



L'obiettivo di questa VPN è quello di collegare i tre Client all'interno di un'unica rete.

Su di un client ci sono le telecamere su di un altro client ci sono altri servizi del tipo cartelle condivise Poi c'è l'altro client che sarebbe il mio smartphone.



L'unico intoppo è proprio quello di non avere sul client numero 1 l'accesso ad internet una volta che questo si connette alla VPN.

Gli altri due client funzionano perfettamente.



Tutto ok Per quanto riguarda il port forwarding.





grazie

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

Il risultato è sempre lo stesso, cioè dei tre client connessi alla VPN, un solo client non riesce a navigare su internet ma allo stesso tempo Naviga in rete e raggiunge indirizzi IP locali.
L'obiettivo di questa VPN è quello di collegare i tre Client all'interno di un'unica rete.

Sugli altri due client la navigazione si comporta come vorresti tu? Se la risposta è si, verifica il contenuto dei file di configurazione di openvpn, o ancora meglio, mettili qui. Per quanto riguarda il discorso unica rete, sono già in un'unica rete, la 10.0.8

[iaiuarmando]

EDIT:

TUTTO Risolto.

Ho capito l'errore con il client Windows openvpn 11.30, cioè la versione precedente a l'ultima.

In pratica avendo i dati (file.ovpn...cert...key) su di un hdd remoto, quando andavo a settare il file.ovpn io prelevavo solo quello tralasciando gli altri. Per questo motivo non funzionava a dovere pur collegandosi (fatto strano).

Cmq ora sembra andare tutto molto bene, sono con la versione precedente e non ho problemi..

Ti ringrazio tantissimo, questa guida merita tanto.

CIAOO

[iaiuarmando]

Ieri dopo svariate prove e dopo aver appurato che tutto Funziona correttamente, mi sono reso conto che il traffico internet dei vari client non transita attraverso la VPN.

Come posso fare per dare ai vari client la possibilità di instradare il traffico internet attraverso la VPN e uscire all'esterno con l'IP pubblico principale?

Grazie

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

Ieri dopo svariate prove e dopo aver appurato che tutto Funziona correttamente, mi sono reso conto che il traffico internet dei vari client non transita attraverso la VPN.

Come posso fare per dare ai vari client la possibilità di instradare il traffico internet attraverso la VPN e uscire all'esterno con l'IP pubblico principale?

Grazie

Aggiungi nella configurazione dei client la stringa:

Codice:

 redirect-gateway def1 bypass-dhcp

[iaiuarmando]

Quote:

Originariamente inviato da OUTATIME

Aggiungi nella configurazione dei client la stringa:

Codice:

 redirect-gateway def1 bypass-dhcp

Aggiungendo questa stringa, i client non navigano su internet.

[OUTATIME]

Quote:

Originariamente inviato da iaiuarmando

Aggiungendo questa stringa, i client non navigano su internet.

Posta qui la configurazione del server, client e del file rules.v4

[iaiuarmando]

Quote:

Originariamente inviato da OUTATIME

Posta qui la configurazione del server, client e del file rules.v4

il server:

Quote:

### OpenVPN server.conf ###
port 1194
proto tcp4
dev tun
### Files

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
###

server 10.8.0.0 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 60 120
key-direction 0
cipher AES-256-GCM
auth SHA256
max-clients 6
persist-key
client-to-client
status openvpn-status.log
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
verb 3

il client:

Quote:

client
dev tun
proto tcp
remote xxxxxxxxxxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
dh dh.pem
#remote-cert-tls server
cipher AES-256-GCM
verb 3

rules.v4:

Quote:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
UTPUT ACCEPT [0:0]
-A INPUT -i tun0 -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
UTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8100 -j DNAT --to-destination 10.8.0.13
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7500 -j DNAT --to-destination 10.8.0.11
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5555 -j DNAT --to-destination 10.8.0.12
COMMIT

grazie

[OUTATIME]

Hai abilitato il packet forward tra reti per ipv4?

Quote:

Originariamente inviato da OUTATIME

Per abilitare permanentemente il packet forwarding dobbiamo editare il file /etc/sysctl.conf e togliere il commento dalla riga net.ipv4.ip_forward=1 Quindi:

Codice:

nano /etc/sysctl.conf

Dopo la modifica deve presentarsi cosi:

Codice:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

A questo punto applichiamo le modifiche appena fatte:

Codice:

sysctl -p
sysctl --system

[iaiuarmando]

Quote:

Originariamente inviato da OUTATIME

Hai abilitato il packet forward tra reti per ipv4?

quando ho installato il server openvpn ho eseguito questa modifica, e poi ho salvato.

Ma ora mi da questo errore quando cerco di salvare la configurazione.
bash: sysctl: comando non trovato

forse non si è mai salvata la configurazione anche se andando in nano /etc/sysctl.conf il file è configurato correttamente

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1


grazie