[HELP] OpenVPN

[desperados]

qualcuno lo sa usare?

[marzir]

oddio.. l'avevo installato tempo fa nella sua versione winzozz per raggiungere casa ma non ci ho smanettato più di tanto... poi son passato a SSH

so che zaphod ci aveva smanettato un bel pochetto

che ti serve?

[Zaphod]

Si, io ho fatto un' installazione peer to peer a casa ed una "seria" da un cliente con tanto di autorità di certificazione e simili.
Cosa devi fare?
La punto punto è semplicissima, bastano una decina di opzioni di configurazione, quella coi certificati credo giri solo in linux(come server, i client possono essere win o mac).
 

[desperados]

ho un paio di lan da connettere, che dici, se ti spiego ben bene mi dai qualche dritta?

[Zaphod]

spara

[desperados]

allora, ho varie realtà, ma questa mi sembra la più complicata, fatta questa il resto dovrebbe venire per induzione o intuizione

Sede A: 1 pc  (A1) con modem e abbonamento alice home, con ip dinamico
Sede B: 3 pc (B1, B2, BServer) con router pirelli (ma dovrei riuscire ad aprire la porta 1194) e ip statico
Sede C: 1 pc (C1) con ruoter pirelli e ip statico
Sede D: 3 pc (D1, D2, D3) con router e ip dinamico

Vorrei che tutti potessero accedere almeno a BServer, anche se l'ideale sarebbe da D1 poter accedere a tutte le macchine delle sedi A,B,C.

1) è possibile?
2) da dove comincio?

[keiske]

1) Sì
2) Far vedere a tutti BServer -> accetti da A,C e D richieste in ingresso girate a BServer -> poi decidi in che modo mettere BServer a disposizione -> filesystem, ftp, virtual desktop, etc, etc

2 bis) Far vedere a tutti tutti -> crei una VPN tra tutti i pc. Strutturalmente è un pelo più complesso ma poi hai un'unica LAN di 8 PC come se fossero nella stessa stanza.

[Fumetto]

...mmm... la sparo li... Hamachi?

[marzir]

imo la cosa più semplice che potresti fare è mettere nella sede B (se vuoi risparmiare su BServer, se vuoi qualcosa di più robusto su una macchina che faccia da VPN server dedicato, che chiamiamo Bvpn).

- installi openVPN (server) su Bvpn e apri le porte necessarie (non mi ricordo quali siano le indispenzabili.. se usi IPSEC mi pare sia 1 porta più un protocollo per scambio di chiavi.. l'ho fatto 1 pò di tempo fa ) dal router per far passare il tunnel dalle altre sedi

- sulle altre macchine installi openVPN (client) e fai in modo che openVPN assegni degli indirizzi IP statici nella rete virtuale (oppure metti su anche un piccolo dns server... che è pure più semplice ). Se vuoi che le altre macchine siano sempre raggiungibili da D1, fai in modo che facciano partire la VPN in partenza del sistema in automatico e che la ricreino in caso di caduta di connessione (sono tutte opzioni che mi pare ci siano sul client). In questo modo, come dice kei, è come fossero tutte in rete locale.

OCIO, però, che in questo modo puoi avere 2 problemi

1. sicurezza: tutte le macchine è come fossero in rete locale, quindi il server è pienamente raggiungibile.. esattamente come se fosse nella stessa rete dei PC.. non so se questo per te possa rappresentare un problema, ma è meglio saperlo

2. un pc che instaura una VPN assegna all'interfaccia virtuale il default gateway... ovvero TUTTO il traffico generato viene diretto attraverso l'interfaccia virtuale... in pratica se C1 è connesso via VPN alla sede B e apre il browser, il traffico HTTP esce attraverso la connessione della sede B secondo questo percorso C1 -> Bvpn -> Brouter.. quindi ocio a non saturare la banda.

Se non vuoi questo devi un pò smadonnare con il ROUTE dei singoli PC, facendo in modo che solo il traffico diretto verso la classe IP della VPN transiti per la VPN stessa, mentre come default gateway deve rimanere il router della specifica sede. Allo stesso tempo a livello di VPN server devi (forse) consentire ai client di generare traffico locale (non so OpenVPN, ma il concentrator di CISCO di default non te lo fa fare...) altrimenti per quante rotte setti sui client sempre per la VPN transiti. Attenzione perchè consentire il traffico locale significa comunque preoccuparsi delle intrusioni dall'esterno in tutte le sedi.. se imposti il FW solo nella sede B, infatti, puoi avere penetrazione dalle sedi periferiche se la connessione a internet non è protetta

in ogni caso... se il problema è solo raggiungere dei servizi che Bserver deve esporre potresti anche pensare di creare un'infrastruttura attraverso tunnel SSH invece che con VPN.. molto più semplice da mettere in piedi, anche se meno flessibile, ugualmente sicura

:bye:

[Zaphod]

Openvpn funziona in modo un po' diverso dalla classica IPSEC, per cui ho qualche cosetta da aggiungere (non lo uso da un po' ma non dovrebbe essere cambiato molto):
1) Puoi fare collegamenti punto-punto utilizzando una chiave nota ad entrambi, oppure un collegamento client-server basato su una CA openssl (sul server) ed un certificato x ogni client.
  La prima opzione è + semplice ma richiede un' istanza openvpn (e quindi una porta distinta) x ogni collegamento, la seconda è un filo più difficile da implementare ma + flessibile ed il lato server NON FUNZIONA SU WINDOWS!!! Resta consigliabile se hai macchine linux.

2) OpenVpn funziona sia su TCP che su UDP: UDP è più performante ed è straconsigliato x la situazione sopra.
Un TCP messo sulla porta dell' HTTPS (443) può essere raggiunto anche da dietro un proxy http con tanto di password: una manna per chi gira col portatile nei posti più strani.

3)

2. un pc che instaura una VPN assegna all'interfaccia virtuale il default gateway... ovvero TUTTO il traffico generato viene diretto attraverso l'interfaccia virtuale... in pratica se C1 è connesso via VPN alla sede B e apre il browser, il traffico HTTP esce attraverso la connessione della sede B secondo questo percorso C1 -> Bvpn -> Brouter.. quindi ocio a non saturare la banda.

Con openvpn non è vero, a meno che lo forzi tu

Oltre a queste considerazioni specifiche di openvpn, aggiungo che la configurazione 'a stella' consigliata da marz ha due potenziali problemi:
1) prestazioni: ogni comunicazione transita da B. Specialmente se la connessione è una classica ADSL, in upload può essere un problema serio.
2) se il server monta una versione sfigata di windows potrebbe rifiutarsi di inoltrare i pacchetti tra le varie interfacce.

Aggiungo la configurazione (peer to peer base) di casa mia.
server.conf

Codice:

dev tun
proto tcp-server
port 443
ifconfig 10.8.0.1 10.8.0.2
secret static.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
verb 3

client.ovpn (bozza, quello corretto non l'ho sotto mano)

Codice:

remote xxxx.dnsalias.org
proto tcp-client
port 443
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
route 192.168.0.0 255.255.255.0
verb 3
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

static.key

Codice:

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
censura
-----END OpenVPN Static key V1-----

Come vedi si configura con pochissimo sforzo.
Se ti serve ho in giro pure una configurazione client-server con openssl

[waykiky]

Visto che ne sapete così tanto di OpenVPN mi intrometto nella discussione per farvi qualche domanda.
Io vorrei creare una LAN virtuale tra più PC (o Lan) che montano WInzozz XP, e vorrei farla utilizzando OpenVPN, è possibile?

Lo so che potrei usare Hamachi ma vorrei farla io per 2 motivi:
1) Presuppongo che hamachi faccia passare tutto il traffico attraverso i suoi server e quindi comunque apre buchi di sicurezza sul pc.

2) Imparo a configurare una VPN ed essendo io un povero informatico potrebbe prima o poi sevirmi anche per lavoro.
 

[Zaphod]

Non conosco hamachi, ma non credo faccia passare traffico dai suoi server o apra buchi significativamente maggiori.
X il resto vale quanto detto sopra; credo che il maggior problema per configurare vpn lan to lan in xp sia convincerlo ad inoltrare i pacchetti.
In XP l' unica configurazione che puoi fare è la punto-punto, simile a quella postata sopra, per cui se hai più di due sedi fisiche da collegare almeno su una devi mettere molte istanze di openvpn (non è complicato, bastano n file .opvpn pressochè uguali, ma è scomodo da gestire).

P.S. dimenticavo: openvpn genera un' interfaccia di rete x ogni istanza

[Fumetto]

Hamachi crea una lan virtuale tipo-VPN utilizzando i suoi server solo come "indirizzario"... poi si usa un protocollo P2P mi pare...

[desperados]

mi par di capire che per mettere tutti i pc assieme come fossero su una LAN devo fare connessioni punto-punto tra ogni nodo (D1-B1, D1-B2, D1-BS, D2-B1, D2-B2, ecc.)?

[th1]

Scusate ma non riesco a capire cosa non funzioni del server OpenVPN. Uso OpenVPN 2.0.7 da mesi e ho una versione server su un pc con win2K e una client su un altro win2k. Ho creato la key del server, quella del client, ho certificato la chiave del client con quella del server e funziona perfettamente in modalita' openssl.

Quindi ho un server che accetta connessioni da qualunque numero di client, basta certificare la chiave dei clients ammessi. Se voglio usare il server/client come gateway per una lan, se non sbaglio, basta andare sulle proprieta' di rete e condividere la scheda di rete "virtuale" creata per OpenVPN e configurare i routes degli altri pc sulla lan. Questo non mi serviva farlo e quindi non l'ho provato. Sarebbe quest'ultima cosa che non funziona?

--TH1
 

[marzir]

mi par di capire che per mettere tutti i pc assieme come fossero su una LAN devo fare connessioni punto-punto tra ogni nodo (D1-B1, D1-B2, D1-BS, D2-B1, D2-B2, ecc.)?

a meno di non fare una configurazione a "stella" come ti scrivevo nel post... tenendo conto delle considerazioni, correttissime, di Zaphod su banda utilizzata in sede B e sul fatto che Bvpn forse dovrebbe essere un serverino linux

[Zaphod]

Scusate ma non riesco a capire cosa non funzioni del server OpenVPN. Uso OpenVPN 2.0.7 da mesi e ho una versione server su un pc con win2K e una client su un altro win2k. Ho creato la key del server, quella del client, ho certificato la chiave del client con quella del server e funziona perfettamente in modalita' openssl.

Quindi ho un server che accetta connessioni da qualunque numero di client, basta certificare la chiave dei clients ammessi. Se voglio usare il server/client come gateway per una lan, se non sbaglio, basta andare sulle proprieta' di rete e condividere la scheda di rete "virtuale" creata per OpenVPN e configurare i routes degli altri pc sulla lan. Questo non mi serviva farlo e quindi non l'ho provato. Sarebbe quest'ultima cosa che non funziona?

--TH1

Grazie della correzione!
Non ho avuto il tempo di verificare, mi pare solo che quando ho iniziato ad usarla, quasi due anni fa non funzionasse.

  mi par di capire che per mettere tutti i pc assieme come fossero su una LAN devo fare connessioni punto-punto tra ogni nodo (D1-B1, D1-B2, D1-BS, D2-B1, D2-B2, ecc.)?

No, è sufficiente una connessione "a stella" tipo (A1-B1,D1-B1) oppure "a triangolo" (A1-B1,D1-B1,A1-D1, consigliata solo se hai prioblemi di prestazioni o vuoi garantire un livello di servizio migliore) ed impostare le regole di routing per le varie subnet dei default gateway.
Questa configurazione però richiede che A1,B1 e D1 siano in grado di inoltrare pacchetti verso altri host, e mi pare che alcune versioni di windows (XP home?) si rifiutino di farlo. Sicuramente se hai un OS server o linux funziona.