Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Openvpn Server Linux per Client linux/android/apple —

Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server/client a cui per comodità creeremo un symlink in /etc/openvpn come precedentemente spiegato scriviamo il server che si occuperà di garantire le connessioni ai client linux/android/apple
premessa:
Sul bastion host il firewall deve avere questa configurazione:
$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \
-p tcp –dport 775 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 775 -j DNAT –to-destination $CHIMERA:775
$IPT -A FORWARD -i $EXTIF -p tcp –dport 775 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP

Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn è chimera.

chimera.conf

port 775

la porta su cui OpenVPN ascolta

proto tcp

il protocollo che usa OpenVPN

dev tun

il device che usa OpenVPN

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/chimera.crt
key /etc/openvpn/keys/chimera.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.

il path di chiavi e certificati

server 172.27.1.0 255.255.255.0

la net che OpenVPN userà

client-config-dir ccd
la directory che contiene i files di direttiva per ogni client

cipher AES-128-CBC ### 256 è meglio ma rallenta in modo pauroso le operazioni di copia durante i backups remoti

la scelta del “cifrario crittografico”

auth SHA256

l’hashing necessario

keepalive 10 120

la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s

compress lz4-v2
push “compress lz4-v2”

abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client

persist-key
persist-tun

l’opzione persist cercherà di evitare l’accesso a queste risorse al riavvio che potrebbero non essere più disponibili a causa di un downgrade dei privilegi

log-append /var/log/openvpn/serveropenvpn.log
status /var/log/openvpn/serveropenvpn-status.log

opzioni di log  la dir openvpn va creata sotto /var/log

verb 3

setta il livello di verbosità dei log.

sndbuf 0
rcvbuf 0
tcp-nodelay

opzioni per velocizzare il trasferimento di dati particolarmente utili sui backup remoti

 

 


Categorised as: Linux | Sistemi operativi | Work

Comments are disabled on this post


Comments are closed.