{"id":1727,"date":"2020-04-01T10:47:26","date_gmt":"2020-04-01T08:47:26","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1727"},"modified":"2020-04-01T10:47:26","modified_gmt":"2020-04-01T08:47:26","slug":"openvpn-server-2-2","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1727","title":{"rendered":"Openvpn Server Linux per Client client windows"},"content":{"rendered":"

Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server\/client a cui per comodit\u00e0 creeremo un symlink in \/etc\/openvpn come precedentemente spiegato scriviamo il server che si occuper\u00e0 di garantire le connessioni ai client windows
\npremessa:
\nSul bastion host il firewall deve avere questa configurazione:
\n$IPT -A INPUT -i $EXTIF -m state –state NEW,ESTABLISHED,RELATED \\
\n-p tcp –dport 1194 -j ACCEPT
\n$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP –dport 1194 -j DNAT –to-destination $CHIMERA:1194
\n$IPT -A FORWARD -i $EXTIF -p tcp –dport 1194 -o $INTIF -j ACCEPT
\n$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT –to $INTIP<\/p>\n

Il nome del server che si occupa di fornire tra le altre cose il servizio Openvpn \u00e8 chimera, il file di configurazione \u00e8 server_win.conf<\/pre>\n
server_win.conf
\nlocal 192.168.2.kkk<\/p>\n
port 1194<\/p>\n
la porta su cui OpenVPN ascolta<\/p>\n
proto tcp<\/p>\n
il protocollo che usa OpenVPN ci siamo accorti che molti provider se vedono passare grosso traffico in UDP “chiudono il rubinetto” per questo motivo abbiamo scelto il pi\u00f9 lento TCP<\/p>\n
dev tap0<\/p>\n
il device che usa OpenVPN<\/p>\n
ca \/etc\/openvpn\/keys\/ca.crt
\ncert \/etc\/openvpn\/keys\/chimera.crt
\nkey \/etc\/openvpn\/keys\/chimera.key
\ndh \/etc\/openvpn\/keys\/dh2048.pem
\ntls-auth \/etc\/openvpn\/keys\/ta.key 0
\ncrl-verify \/etc\/openvpn\/easy-rsa\/keys\/crl.pem ### serve per impedire che i client a cui sono stati revocati i certificati possano comunque collegarsi.<\/p>\n
il path di chiavi e certificati<\/p>\n
server 172.19.170.0 255.255.255.0<\/p>\n
la net che OpenVPN user\u00e0<\/p>\n
client-config-dir ccd_win
\nla directory che contiene i files di direttiva per ogni client<\/p>\n
cipher AES-256-CBC<\/p>\n
la scelta del “cifrario crittografico”<\/p>\n
auth SHA256<\/p>\n
l’hashing necessario<\/p>\n
keepalive 10 120<\/p>\n
la direttiva keepalive genera dei messagi similping per verificare la presenza o meno del client nello specifico manda un ping ogni 10 s e assume che l’HOST remoto sia down se non risponde entro 120 s<\/p>\n
compress lzo<\/p>\n
abilita la compressione sul link (tun) VPN se si abilita sul server deve essere abilitata anche sul client<\/p>\n
persist-key
\npersist-tun<\/p>\n
l’opzione persist cercher\u00e0 di evitare l’accesso a queste risorse al riavvio che potrebbero non essere pi\u00f9 disponibili a causa di un downgrade dei privilegi<\/p>\n
log-append \/var\/log\/openvpn\/openvpn_win.log
\nstatus \/var\/log\/openvpn\/openvpn_win-status.log<\/p>\n
opzioni di log\u00a0 la dir openvpn va creata sotto \/var\/log<\/p>\n
verb 3<\/p>\n
setta il livello di verbosit\u00e0 dei log.<\/p>\n
sndbuf 0
\nrcvbuf 0
\ntcp-nodelay<\/p>\n
opzioni per velocizzare il trasferimento di dati<\/p>\n
 <\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Una volta installato openvpn con il solito apt-get install e generate i certificati e le chiavi server\/client a cui per comodit\u00e0 creeremo un symlink in \/etc\/openvpn come precedentemente spiegato scriviamo il server che si occuper\u00e0 di garantire le connessioni ai client windows premessa: Sul bastion host il firewall deve avere questa configurazione: $IPT -A INPUT […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,14,7,6],"tags":[78,174,26],"class_list":["post-1727","post","type-post","status-publish","format-standard","hentry","category-linux","category-networking","category-sistemi-operativi","category-work","tag-openvpn","tag-server","tag-windows-2"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1727"}],"version-history":[{"count":1,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1727\/revisions"}],"predecessor-version":[{"id":1728,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1727\/revisions\/1728"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1727"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}