{"id":1697,"date":"2020-02-17T10:40:44","date_gmt":"2020-02-17T09:40:44","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1697"},"modified":"2020-04-01T10:01:37","modified_gmt":"2020-04-01T08:01:37","slug":"openvpn-server-2","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1697","title":{"rendered":"Openvpn Server Linux per Client linux\/android\/apple"},"content":{"rendered":"

Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server\/client a cui per comodit\u00e0 creeremo un symlink in \/etc\/openvpn come precedentemente spiegato scriviamo il server che si occuper\u00e0 di garantire le connessioni ai client linux\/android\/apple
\npremessa:
\nSul bastion host il firewall deve avere questa configurazione:
\n$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \\
\n-p tcp –dport 775 -j ACCEPT
\n$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 775 -j DNAT –to-destination $CHIMERA:775
\n$IPT -A FORWARD -i $EXTIF -p tcp –dport 775 -o $INTIF -j ACCEPT
\n$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP<\/p>\n

Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn \u00e8 chimera.<\/pre>\n
chimera.conf<\/p>\n
port 775<\/p>\n
la porta su cui OpenVPN ascolta<\/p>\n
proto tcp<\/p>\n
il protocollo che usa OpenVPN<\/p>\n
dev tun<\/p>\n
il device che usa OpenVPN<\/p>\n
ca \/etc\/openvpn\/keys\/ca.crt
\ncert \/etc\/openvpn\/keys\/chimera.crt
\nkey \/etc\/openvpn\/keys\/chimera.key
\ndh \/etc\/openvpn\/keys\/dh2048.pem
\ntls-auth \/etc\/openvpn\/keys\/ta.key 0
\ncrl-verify \/etc\/openvpn\/easy-rsa\/keys\/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.<\/p>\n
il path di chiavi e certificati<\/p>\n
server 172.27.1.0 255.255.255.0<\/p>\n
la net che OpenVPN user\u00e0<\/p>\n
client-config-dir ccd
\nla directory che contiene i files di direttiva per ogni client<\/p>\n
cipher AES-128-CBC ### 256 \u00e8 meglio ma rallenta in modo pauroso le operazioni di copia durante i backups remoti<\/p>\n
la scelta del “cifrario crittografico”<\/p>\n
auth SHA256<\/p>\n
l’hashing necessario<\/p>\n
keepalive 10 120<\/p>\n
la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s<\/p>\n
compress lz4-v2
\npush “compress lz4-v2”<\/p>\n
abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client<\/p>\n
persist-key
\npersist-tun<\/p>\n
l’opzione persist cercher\u00e0 di evitare l’accesso a queste risorse al riavvio che potrebbero non essere pi\u00f9 disponibili a causa di un downgrade dei privilegi<\/p>\n
log-append \/var\/log\/openvpn\/serveropenvpn.log
\nstatus \/var\/log\/openvpn\/serveropenvpn-status.log<\/p>\n
opzioni di log\u00a0 la dir openvpn va creata sotto \/var\/log<\/p>\n
verb 3<\/p>\n
setta il livello di verbosit\u00e0 dei log.<\/p>\n
sndbuf 0
\nrcvbuf 0
\ntcp-nodelay<\/p>\n
opzioni per velocizzare il trasferimento di dati particolarmente utili sui backup remoti<\/p>\n
 <\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server\/client a cui per comodit\u00e0 creeremo un symlink in \/etc\/openvpn come precedentemente spiegato scriviamo il server che si occuper\u00e0 di garantire le connessioni ai client linux\/android\/apple premessa: Sul bastion host il firewall deve avere questa configurazione: $IPT -A INPUT […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,7,6],"tags":[],"class_list":["post-1697","post","type-post","status-publish","format-standard","hentry","category-linux","category-sistemi-operativi","category-work"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1697"}],"version-history":[{"count":6,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1697\/revisions"}],"predecessor-version":[{"id":1725,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1697\/revisions\/1725"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1697"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}