Dopo tanti anni e con il cambiamento a Devuan come Distro di riferimento \u00e8 arrivato il momento di riscrivere due note su OpenVPN.
\nNon \u00e8 cambiato moltissimo ad onor del vero ma qualcosa si, e quindi come promemoria riscrivo il procedimento.
\nL’installazione segue il solito metodo con apt-get install che si tira dietro tutte le dipendenze necessarie.
\nCreo un symlink a easy-rsa nella directory \/etc\/openvpn con ln -s \/usr\/share\/easy-rsa\/
\nEntrato in easy-rsa edito il vars e lo modifico in questo modo:<\/p>\n
export KEY_COUNTRY=”IT”
\nexport KEY_PROVINCE=”MI”
\nexport KEY_CITY=”Milano”
\nexport KEY_ORG=”tipistrani”
\nexport KEY_EMAIL=”lamia@email”
\nexport KEY_OU=”System and Networking”<\/p>\n
In questo modo mi evito di scriverli ogni volta che genero un certificato.
\n. .\/vars<\/p>\n
**************************************************************
\nNo \/etc\/openvpn\/easy-rsa\/openssl.cnf file could be found
\nFurther invocations will fail
\n**************************************************************<\/p>\n
Primo problema, rapida ricerca in rete e la soluzione \u00e8 pi\u00f9 banale di quanto mi aspettassi, vale a dire un altro symlink ln<\/span> –<\/span>s<\/span> openssl<\/span>–<\/span>1.0.0.cnf<\/span> openssl<\/span>.cnf<\/p>\n ATTENZIONE NOTA INSERITA DOPO AVERCI PESTATO IL MUSO ED ESSERMI FATTO MOLTO MALE editare il file openssl.cnf e modificare queste due voci <\/p>\n host:\/etc\/openvpn\/easy-rsa# . .\/vars .\/build-key-server server (qui ci metto il nome della macchina che far\u00e0 da server) Please enter the following ‘extra’ attributes 1 out of 1 certificate requests certified, commit? [y\/n]y \/etc\/openvpn\/easy-rsa# .\/build-key pc0 Please enter the following ‘extra’ attributes 1 out of 1 certificate requests certified, commit? [y\/n]y Da ultimo genero la chiave per l’auth tls con<\/p>\n :\/etc\/openvpn\/keys\/ openvpn –genkey –secret ta.key<\/p>\n La tabella sopra riportata \u00e8 copiata pari pari dal sito di openvpn e spiega benissimo a cosa servono e dove vanno i files che sono stati generati. Di seguito le configurazioni per i vari casi sia server che client, aggiungo che abbiamo inserito il Diffie Hellman anche in azienda cosa che prima non usavamo.<\/p>\n Server linux per client linux\/android\/apple<\/a><\/p>\n Server linux per client Windows<\/a><\/p>\n Client per linux<\/a><\/p>\n Client per windows<\/a><\/p>\n Client per android<\/a><\/p>\n Client per apple<\/a><\/p>\n
\n<\/span><\/p>\n
\ndefault_days = 3650 # how long to certify for
\ndefault_crl_days= 3650 # how long before next CRL
\nsoprattutto la seconda che ha valore di default 30 e che se non modificata dopo 30 giorni blocca di fatto la connessione.<\/p>\n
\nNOTE: If you run .\/clean-all, I will be doing a rm -rf on \/etc\/openvpn\/easy-rsa\/keys
\nnoi:\/etc\/openvpn\/easy-rsa# .\/clean-all
\nnoi:\/etc\/openvpn\/easy-rsa# .\/build-ca
\nGenerating a RSA private key
\n.+++++
\n………………………………………………………………..+++++
\nwriting new private key to ‘ca.key’
\n—–
\nYou are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‘.’, the field will be left blank.
\n—–
\nCountry Name (2 letter code) [IT]:
\nState or Province Name (full name) [MI]:
\nLocality Name (eg, city) [Milano]:
\nOrganization Name (eg, company) [tipistrani]:
\nOrganizational Unit Name (eg, section) [System and Networking]:
\nCommon Name (eg, your name or your server’s hostname) [tipistrani CA]:
\nName [EasyRSA]:
\nEmail Address [lamia@email]:
\nSi genera la directory keys come al solito che contiene per ora ca.crt ca.key index.txt serial
\nDato che l’esperienza mi ha insegnato che le macchine vanno a $escort e di solito nel momento meno opportuno o che pi\u00f9 banalmente si rifanno con una versione differente di SO e che la memoria umana da per scontate troppe cose ad esempio che in \/etc\/openvpn non ci sono le chiavi e i certificati ma un link a un’altra directory che le contiene e che quando si rif\u00e0\/recupera una macchina la dir \/etc e’ la prima che si salva io muovo le chiavi in \/etc\/openvpn con un mv keys\/ \/etc\/openvpn\u00a0 e creo all’interno di \/usr\/share\/easy-rsa\/ un symlink alla directory mossa con ln -s \/etc\/openvpn\/keys e proseguo nella generazione del necessario.<\/p>\n
\nGenerating a RSA private key
\n…………………………………………………………………………………+++++
\n…….+++++
\nwriting new private key to ‘server.key’
\n—–
\nYou are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‘.’, the field will be left blank.
\n—–
\nCountry Name (2 letter code) [IT]:
\nState or Province Name (full name) [MI]:
\nLocality Name (eg, city) [Milano]:
\nOrganization Name (eg, company) [tipistrani]:
\nOrganizational Unit Name (eg, section) [System and Networking]:
\nCommon Name (eg, your name or your server’s hostname) [noi]:
\nName [EasyRSA]:
\nEmail Address [lamia@email]:<\/p>\n
\nto be sent with your certificate request
\nA challenge password []:
\nAn optional company name []:
\nUsing configuration from \/etc\/openvpn\/easy-rsa\/openssl.cnf
\nCan’t open \/etc\/openvpn\/easy-rsa\/keys\/index.txt.attr for reading, No such file or directory
\n139743276810304:error:02001002:system library:fopen:No such file or directory:..\/crypto\/bio\/bss_file.c:74:fopen(‘\/etc\/openvpn\/easy-rsa\/keys\/index.txt.attr’,’r’)
\n139743276810304:error:2006D080:BIO routines:BIO_new_file:no such file:..\/crypto\/bio\/bss_file.c:81:
\nCheck that the request matches the signature
\nSignature ok
\nThe Subject’s Distinguished Name is as follows
\ncountryName :PRINTABLE:’IT’
\nstateOrProvinceName :PRINTABLE:’MI’
\nlocalityName :PRINTABLE:’Milano’
\norganizationName :PRINTABLE:’tipistrani’
\norganizationalUnitName:PRINTABLE:’System and Networking’
\ncommonName :PRINTABLE:’server’
\nname :PRINTABLE:’EasyRSA’
\nemailAddress :IA5STRING:’lamia@email’
\nCertificate is to be certified until Jan 12 10:25:07 2030 GMT (3650 days)
\nSign the certificate? [y\/n]:y<\/p>\n
\nWrite out database with 1 new entries
\nData Base Updated
\nSi pu\u00f2 cominciare a generare i certificati e le chiavi per i client<\/p>\n
\nGenerating a RSA private key
\n……………………………………………………………….+++++
\n………………………+++++
\nwriting new private key to ‘pc0.key’
\n—–
\nYou are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‘.’, the field will be left blank.
\n—–
\nCountry Name (2 letter code) [IT]:
\nState or Province Name (full name) [MI]:
\nLocality Name (eg, city) [Milano]:
\nOrganization Name (eg, company) [tipistrani]:
\nOrganizational Unit Name (eg, section) [System and Networking]:
\nCommon Name (eg, your name or your server’s hostname) [pc0]:
\nName [EasyRSA]:
\nEmail Address [lamia@email]:<\/p>\n
\nto be sent with your certificate request
\nA challenge password []:
\nAn optional company name []:
\nUsing configuration from \/etc\/openvpn\/easy-rsa\/openssl.cnf
\nCheck that the request matches the signature
\nSignature ok
\nThe Subject’s Distinguished Name is as follows
\ncountryName :PRINTABLE:’IT’
\nstateOrProvinceName :PRINTABLE:’MI’
\nlocalityName :PRINTABLE:’Milano’
\norganizationName :PRINTABLE:’tipistrani’
\norganizationalUnitName:PRINTABLE:’System and Networking’
\ncommonName :PRINTABLE:’pc0′
\nname :PRINTABLE:’EasyRSA’
\nemailAddress :IA5STRING:’lamia@email’
\nCertificate is to be certified until Jan 12 10:49:08 2030 GMT (3650 days)
\nSign the certificate? [y\/n]:y<\/p>\n
\nWrite out database with 1 new entries
\nData Base Updated
\nE a seguire per tutti i client necessari.
\nGenero i parametri Diffie Hellman
\n.\/build-dh<\/p>\n\n\n
\n Nome file<\/td>\n Serve su<\/td>\n Scopo<\/td>\n Segreto<\/td>\n<\/tr>\n \n ca.crt<\/td>\n Server e tutti i client<\/td>\n Certificato principale CA certifica tutti i seguenti<\/td>\n No<\/td>\n<\/tr>\n \n ca.key<\/td>\n Solo la macchina che firma i certificati<\/td>\n Chiave principale CA cripta tutit i seguenti<\/td>\n S\u00ec<\/td>\n<\/tr>\n \n dh2048.pem<\/td>\n Solo sul server<\/td>\n Parametro Diffie Hellman aumenta la crittografia<\/td>\n No<\/td>\n<\/tr>\n \n {n}.pem<\/td>\n Solo sul server<\/td>\n Parametro Diffie Hellman univoco del client aumenta la crittografia<\/td>\n <\/td>\n<\/tr>\n \n server.crt<\/td>\n Solo sul server<\/td>\n Certificato del server<\/td>\n No<\/td>\n<\/tr>\n \n server.key<\/td>\n Solo sul server<\/td>\n Chiave del server<\/td>\n S\u00ec<\/td>\n<\/tr>\n \n pc0.crt<\/td>\n Solo PC0<\/td>\n Certificato del client<\/td>\n No<\/td>\n<\/tr>\n \n pc0.key<\/td>\n Solo PC0<\/td>\n Chiave del client<\/td>\n S\u00ec<\/td>\n<\/tr>\n \n client{n}.crt<\/td>\n Solo client{n}<\/td>\n Certificato univoco del client<\/td>\n No<\/td>\n<\/tr>\n \n client{n}.key<\/td>\n Solo client{n}<\/td>\n Chiave univoca del client<\/td>\n S\u00ec<\/td>\n<\/tr>\n \n ta.key<\/td>\n Server e tutti client<\/td>\n auth-tls<\/td>\n S\u00ec<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\nI server come in precedenza devono essere due, uno per i client linux\/android\/apple e uno per i client windows, a questo proposito ci siamo accorti col tempo che i client windows quando erano in giro per il mondo usando le wifi che potevano collegandosi\u00a0 con il protocollo UDP avevano un bel po di problemini e abbiamo deciso di provare a passare a TCP anche con loro, infatti se i client linux possono usare senza problemi sia tcp che udp e i device tun o tap indifferentemente, i device android e apple usano solo tcp e il device tun.<\/p>\n