Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Openvpn Server Linux per Client client windows —

Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server/client a cui per comodità creeremo un symlink in /etc/openvpn come precedentemente spiegato scriviamo il server che si occuperà di garantire le connessioni ai client windows
premessa:
Sul bastion host il firewall deve avere questa configurazione:
$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \
-p tcp –dport 1194 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 1194 -j DNAT –to-destination $CHIMERA:1194
$IPT -A FORWARD -i $EXTIF -p tcp –dport 1194 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP

Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn è chimera, il file di configurazione è server_win.conf

server_win.conf
local 192.168.2.kkk

port 1194

la porta su cui OpenVPN ascolta

proto tcp

il protocollo che usa OpenVPN ci siamo accorti che molti provider se vedono passare grosso traffico in UDP “chiudono il rubinetto” per questo motivo abbiamo scelto il più lento TCP

dev tap0

il device che usa OpenVPN

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/chimera.crt
key /etc/openvpn/keys/chimera.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.

il path di chiavi e certificati

server 172.19.170.0 255.255.255.0

la net che OpenVPN userà

client-config-dir ccd_win
la directory che contiene i files di direttiva per ogni client

cipher AES-256-CBC

la scelta del “cifrario crittografico”

auth SHA256

l’hashing necessario

keepalive 10 120

la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s

compress lzo

abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client

persist-key
persist-tun

l’opzione persist cercherà di evitare l’accesso a queste risorse al riavvio che potrebbero non essere più disponibili a causa di un downgrade dei privilegi

log-append /var/log/openvpn/openvpn_win.log
status /var/log/openvpn/openvpn_win-status.log

opzioni di log  la dir openvpn va creata sotto /var/log

verb 3

setta il livello di verbosità dei log.

sndbuf 0
rcvbuf 0
tcp-nodelay

opzioni per velocizzare il trasferimento di dati

 

 


Categorised as: Linux | Networking | Sistemi operativi | Work

Comments are disabled on this post


Comments are closed.