martedì 19 agosto 2014

Introduzione a OpenVPN

In questa strana estate la nostra voglia di imparare qualche cosa di nuovo non si esaurisce mai.

Questa volta parleremo di VPN, ovvero le Virtual Private Network: il modo più semplice per mettere in comunicazione computer distanti, come se stessero nella stessa rete locale.

Un paio di giovedì fa infatti, Federico ha buttato lì l'idea di raccontarci la sua esperienza con OpenVPN.
Non ci siamo fatti scappare l'occasione di capire un po' meglio come funziona questa soluzione open source, quindi tutti in sala corsi per seguire la sua esposizione:

E' partito alla grande, andando "a braccio", visto che non ha avuto il tempo di preparare una documentazione.

Come spesso capita nelle presentazioni, l'inciampamento è dietro l'angolo. Abbiamo così chiesto a Federico di prepararci una guida, per avere chiari tutti i passaggi e per poter far fronte alle difficoltà, qualora si verificassero.

Ecco quindi il frutto del suo lavoro:

OpenVPN è una VPN open source capace di attraversare firewall e NAT.
Prima di tutto, installiamola con:
# apt-get update
# apt-get install openvpn

Useremo una autenticazione a certificati, ovvero saranno abilitati ad accedere tutti i client con un certificato firmato dalla nostra autorità di certificazione.
Essendo anche il certificato del server, all’atto della connessione, i client certificano l’autenticità del server e viceversa.

Per generare i certificati sono già disponibili degli script per semplificare il processo.
# cd /etc/openvpn
# mkdir easy-rsa
# cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/

Modifichiamo il file /etc/openvpn/easy-rsa/vars con dati più appropriati:
export KEY_COUNTRY="IT" 
export KEY_PROVINCE="PV" 
export KEY_CITY="SanMartinoSiccomario" 
export KEY_ORG="comPVter" export KEY_EMAIL="dino@compvter.it" 
export KEY_EMAIL=dino@compvter.it

Poi eseguiamo:
# cd easy-rsa/ 
# touch keys/index.txt 
# echo 01 > keys/serial 
# . ./vars 
# set environment variables 
# ./clean-all

Generiamo la coppia chiave/certificato dell’Autorità di Certificazione:
# ./build-ca

Generiamo la coppia chiave/certificato del server:
# ./build-key-server server

Generiamo i parametri DIFFIE-HELLMAN:
./build-dh

E una coppia chiave/certificato per ogni client
./build-key client name

E ripetiamo il comando precedente per ogni client che vogliamo far connettere alla nostra rete.
Abbiamo così generato tutti i certificati di cui abbiamo bisogno.

Ora bisogna fare la configurazione del server.

Creiamo il file /etc/openvpn/server.conf come segue:
port 1194 
proto udp 
dev tun

ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys 
cert /etc/openvpn/easy-rsa/keys/server.crt 
key /etc/openvpn/easy-rsa/keys/server.key # keep secret 
dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.9.8.0 255.255.255.0 # internal tun0 connection IP 
ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo # Compression - must be turned on at both end 
persist-key 
persist-tun

verb 3 # verbose mode 
client-to-client

Se riceviamo un bell’OK verde, abbiamo il nostro server funzionante.

A questo punto basta aprire la porta 1194 UDP sul firewall e se siamo nattati dietro modem ADSL, inoltrare la porta al nostro server.

Lato client la configurazione è la seguente:
client 
dev tun 
port 1194 
proto udp

remote VPNSERVER_IP 1194 # VPN server IP : PORT 

nobind

ca ca.crt 
cert clientname.crt 
key clientname.key

comp-lzo 
persist-key

persist-tun


Assieme al file, che funziona su tutte le piattaforme con I relativi client OpenVPN, dobbiamo copiare dalla cartella /etc/openvpn/easy-rsa  i file
Ca.crt
Clientname.crt
Clientname.key

Dove “clientname” è ovviamente il nome del client.
Vanno modificate le relative righe nel file di configurazione.

Ora il nostro client dovrebbe connettersi, ma non avremo accesso alla nostra LAN.

Questo perché al client manca la rotta statica, il server non instrada pacchetti e il nostro router di casa non ha la rotta di ritorno per il segmento della nostra VPN.

Andiamo un passo alla volta.

Apriamo il file /etc/sysctl.conf. Modifichiamo o aggiungiamo la riga:
net.ipv4.ip_forward = 1

Questo avrà effetto solo dal prossimo riavvio. Per accelerare i tempi, eseguiamo
#echo 1 > /proc/sys/net/ipv4/ip_forward

Ora dobbiamo aggiungere una riga sul fondo del file /etc/openvpn/server.conf
push “route 192.168.0.0 255.255.255.0”

Dove 192.168.0.0 è la nostra subnet casalinga. Per alcuni è 192.168.1.0

Riavviamo il server openvpn con
# /etc/init.d/openvpn restart

In ultimo, eseguiamo:
#iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
#iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT 
#iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE

Ora il nostro server OpenVPN dovrebbe funzionare, e dovremmo essere in grado di accedere alla nostra rete di casa da dovunque ci troviamo, su qualunque piattaforma.

Tutto chiaro ? Beh, ora avete un vostro tunnel privato che attraversa internet. Contenti ?

Nessun commento: