Openvpn Server Linux per Client client windows —
Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server/client a cui per comodità creeremo un symlink in /etc/openvpn come precedentemente spiegato scriviamo il server che si occuperà di garantire le connessioni ai client windows
premessa:
Sul bastion host il firewall deve avere questa configurazione:
$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \
-p tcp –dport 1194 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 1194 -j DNAT –to-destination $CHIMERA:1194
$IPT -A FORWARD -i $EXTIF -p tcp –dport 1194 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP
Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn è chimera, il file di configurazione è server_win.conf
server_win.conf
local 192.168.2.kkk
port 1194
la porta su cui OpenVPN ascolta
proto tcp
il protocollo che usa OpenVPN ci siamo accorti che molti provider se vedono passare grosso traffico in UDP “chiudono il rubinetto” per questo motivo abbiamo scelto il più lento TCP
dev tap0
il device che usa OpenVPN
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/chimera.crt
key /etc/openvpn/keys/chimera.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.
il path di chiavi e certificati
server 172.19.170.0 255.255.255.0
la net che OpenVPN userà
client-config-dir ccd_win
la directory che contiene i files di direttiva per ogni client
cipher AES-256-CBC
la scelta del “cifrario crittografico”
auth SHA256
l’hashing necessario
keepalive 10 120
la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s
compress lzo
abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client
persist-key
persist-tun
l’opzione persist cercherà di evitare l’accesso a queste risorse al riavvio che potrebbero non essere più disponibili a causa di un downgrade dei privilegi
log-append /var/log/openvpn/openvpn_win.log
status /var/log/openvpn/openvpn_win-status.log
opzioni di log la dir openvpn va creata sotto /var/log
verb 3
setta il livello di verbosità dei log.
sndbuf 0
rcvbuf 0
tcp-nodelay
opzioni per velocizzare il trasferimento di dati
Categorised as: Linux | Networking | Sistemi operativi | Work
Comments are disabled on this post