Openvpn Server Linux per Client linux/android/apple —
Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server/client a cui per comodità creeremo un symlink in /etc/openvpn come precedentemente spiegato scriviamo il server che si occuperà di garantire le connessioni ai client linux/android/apple
premessa:
Sul bastion host il firewall deve avere questa configurazione:
$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \
-p tcp –dport 775 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 775 -j DNAT –to-destination $CHIMERA:775
$IPT -A FORWARD -i $EXTIF -p tcp –dport 775 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP
Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn è chimera.
chimera.conf
port 775
la porta su cui OpenVPN ascolta
proto tcp
il protocollo che usa OpenVPN
dev tun
il device che usa OpenVPN
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/chimera.crt
key /etc/openvpn/keys/chimera.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.
il path di chiavi e certificati
server 172.27.1.0 255.255.255.0
la net che OpenVPN userà
client-config-dir ccd
la directory che contiene i files di direttiva per ogni client
cipher AES-128-CBC ### 256 è meglio ma rallenta in modo pauroso le operazioni di copia durante i backups remoti
la scelta del “cifrario crittografico”
auth SHA256
l’hashing necessario
keepalive 10 120
la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s
compress lz4-v2
push “compress lz4-v2”
abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client
persist-key
persist-tun
l’opzione persist cercherà di evitare l’accesso a queste risorse al riavvio che potrebbero non essere più disponibili a causa di un downgrade dei privilegi
log-append /var/log/openvpn/serveropenvpn.log
status /var/log/openvpn/serveropenvpn-status.log
opzioni di log la dir openvpn va creata sotto /var/log
verb 3
setta il livello di verbosità dei log.
sndbuf 0
rcvbuf 0
tcp-nodelay
opzioni per velocizzare il trasferimento di dati particolarmente utili sui backup remoti
Categorised as: Linux | Sistemi operativi | Work
Comments are disabled on this post