Creare una rete VPN con openvpn

Thu, May 1, 2008 · 13,346 views ·  Print This Post ·  Email This Post

Le reti vpn sono un ottimo strumento per connettere reti lan tramite internet in maniera totalmente sicura ed economica inoltre sono estramementi semplici da realizzare, gli scenari che offre una vpn sono molteplici, eccone alcuni:

• Collegare reti lan distanti tra loro
• Connettere un client mobile alla rete aziendale o casalinga
• Creare una lan virtuale con gli amici tramite internet per giocare con l’xbox 360 scavalcando il servizio xbox-live

In questi giorni ho creato una rete vpn sfruttando un server linux con ubuntu e un client con windows xp, ho utilizzato la suite openvpn sia sul client che sul server, la configurazione è stata veramente semplice ed in questo articolo viene spiegato come creare un tunnel vpn in pochi semplici passi e in meno di 30 minuti..

La configurazione di rete nel quale ho creato il server vpn è molto comune e prevede una semplice lan connessa ad internet tramite un router modem adsl.
Partiamo quindi con la preparazione del server vpn,io ho utilizzado ubuntu ma potete utilizzare qualsiasi altra distribuzione, la procedura è analoga e non cambia nulla.

1. Impostate un ip statico alla vostra macchina linux, se utilizzate ubutu fate come segue:
   • Clik sull’icona dei due pc connessi in rete nell’angolo in alto a destra e poi click su “manual configuration”
     
   • Comparirà la finestra Network settings, cliccate poi sul pulsante unlock in basso e inserite la password.
     
   • Selezionate poi Wired Connection con un click del mouse e poi premete il tasto properties
     
   • Comparirà la finestra relative alla impostazione della scheda di rete eth0,selezionate Static Ip address e inserite i parametri relativi alla vostra lan.
     
   • Salvate e chiudete, dopodichè riavviate il pc per rendere effettive le modifiche, per riavviare andate in: system->Quit e poi Reboot.
     
2. In ubuntu e nella maggior parte delle distrubuzioni recenti il file /dev/net/tun esiste e potete saltare al passaggio successivo, se non state utilizzando ubuntu controllate che esista il file /dev/net/tun, se non c’è createlo con il comando:
   mkdir /dev/net/ && mknod /dev/net/tun c 10 200
   Dopodichè caricate il modulo con il comando:
   modprobe tun
   Impostate in seguito il carimento all’avvio con il comando:
   echo “tun” >>/etc/modules
3. Controllate che l’ip_forwarding sia abilitato, se non è abilitato eseguite il comando che segue per abilitarlo:
   echo 1 > /proc/sys/net/ipv4_forward
   Se utilizzate ubuntu per abilitare l’ip_forward seguite questa mia guida che ho scritto in precedenza.
4. Installate openvpn, se utilizzate ubuntu o una distruzione basata su debian eseguite prima un update del sistema e poi installate openvpn, ecco i dettagli per ubuntu:
   • Fate l’update del sistema con il comando:
     sudo apt-get update
     
   • Installate openvpn con il comando:
     sudo apt-get install openvpn
     
     
5. La prima cosa da fare ora è creare una chiave per proteggere la connessione vpn, in questo caso verrà creata un unica chiave simmetrica che dovrà essere condivisa tra client e server, è il metodo meno sicuro ma è anche il più semplice ed il più consigliato per iniziare a smanettare con openvpn.
   Posizionatevi nella directory /etc/openvpn e poi digitate il comando:
   sudo openvpn –genkey –secret nome_chiave.key
   Se non utilizzate ubuntu omettete il prefisso sudo e ovviamente al posto di nome_chiave mettete un nome a vostra scelta.
   Verrà generato un file contenente la chiave che dovrà essere passata al client che si connetterà in futuro. Copiate quindi il file nome_chiave.key da qualche parte,per esempio in una chiavetta usb, per poterlo passare al client in un secondo momento.
   
6. Rimanete in /etc/openvpn/ e create un file di nome server.conf con il comando:
   sudo touch server.conf
   
7. Aprite un editor di testo e modificatelo come segue,se utilizzate ubuntu digitate:
   sudo gedit
   e poi aprite il file server.conf contenuto in /etc/openvpn.
   Inserite queste stringhe all’interno del file server.conf:dev tap
   proto tcp-server
   local 192.168.1.9
   lport 5000
   ifconfig 10.10.10.1 255.255.255.0
   secret /etc/openvpn/nome_chiave.key
   verb 3
   push “192.168.1.0 255.255.255.0 10.10.10.1″

   
   Ovviamente al posto di 192.168.1.9 dovete inserire il vostro indirizzo ip statico inserito prima e al posto di nome_chiave.key il nome della chiave generata prima. Nell’immagine potete leggere le spiegazioni relative ad ogni voce, in ogni caso più giù le commenterò per bene.

8. Controllate poi che nel server non siano presenti regole di iptables particolari che impediscano il passaggio dei pacchetti. La situazione ideale è quella in cui vengono accettati tutti i pacchetti sia in entrata che in uscita che in forwarding.
   Controllate lo stato di iptables con il seguente comando:
   sudo iptables -L
   Se è tutto aperto allora non ci sono problemi, l’output deve essere come quello in figura:
   
   Nel caso ci fossero delle restrizioni dovrete aggiungere delle regole per accettare le connessioni in ingresso,digitate in sequenza questi comandi:
   • sudo iptables -A INPUT -p tcp -dport 5000 -s 10.10.10.0/24 -m state -state NEW,ESTABLISHED,RELATED, -j ACCEPT
   • sudo iptables -A INPUT -s 10.10.10.0/24 -j ACCEPT
   • sudo iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT
9. Ora bisogna creare una regola sul modem router per indicare che tutte le connessioni in ingresso sulla porta 5000 dell’ip pubblico devono essere reindirizzate sul server openvpn interno della rete lan. Ogni modem router ha una configurazione differente quindi qui dovete vedervela voi, in linea di massima si tratta sempre di specificare la porta in ascolto sull’ip pubblico,l’ip della macchina interna e la porta.
10. Infine sempre sul modem router dovete aggiungere una nuova regola di routing statica dove indicate che tutto il traffico diretto verso la rete 10.10.10.0 deve essere rediretto verso l’ip statico del server openvpn.
11. E’ tutto pronto per avviare openvpn, se utilizzate ubuntu riavviate semplicemente la macchina e al riavvio verrà caricata la configurazione contenuta in /etc/openvpn/server.conf
    Dopo il riavvio per verificare che tutto sia andato per il verso giusto digitate:
    sudo ps -ale | grep openvpn
    E vedrete il processo girare:
    

    Poi potete digitare anche il comando:
    ifconfig
    per vedere l’interfaccia tun0 che è stata caricata da openvpn
    

    Se invece non utilizzate ubuntu eseguite questi comandi per far partire openvpn:

    • cd /etc/init.d/
    • ./openvpn stop
    • openvpn –config /etc/openvpn/server.conf

    Sempre se non utilizzate ubuntu e volete impostare l’avvio automatico di openvpn eseguite questo comando:

    • update-rc.d openvpn defaults

    Per rimuoverlo dal boot:

    • update-rc.d -f openvpn remove

Bene direi che con la parte server è tutto, passiamo ora alle spiegazioni ma prima un piccolo riassunto di tutta la procedura:

1. Impostare un ip statico sul server.
2. Controllare la presenza dell’interfaccia /dev/net/tun
   • se non esiste crearla con il comando: mknod /dev/net/tun && mknod /dev/net/tun c 10 200
   • impostare il suo caricamento all’avvio con il comando: echo “tun” >>/etc/modules
3. Abilitare l’ip_forwarding: echo 1 > /proc/sys/net/ipv4/ip_forward
4. Installare openvpn sul server:
   • apt-get update
   • apt-get install openvpn
5. Generare la chiave simmetrica in /etc/openvpn/: openvpn –genkey –secret nome_chiave.key
6. Creare il file di configurazione in /etc/openvpn/: touch server.conf
7. Il contenuto di server.conf deve essere analogo a questo:
   dev tap
   proto tcp-server
   local 192.168.1.9
   lport 5000
   ifconfig 10.10.10.1 255.255.255.0
   secret /etc/openvpn/nome_chiave.key
   verb 3
   push “192.168.1.0 255.255.255.0 10.10.10.1″

   Ovviamente al posto di nome_chiave.key mettete la vostra chiave e al posto di 192.168.1.9 l’ip statisco scelto prima e anche al posto di 192.168.1.0 l’indirizzo della vostra rete se è differente.

8. Controllate che sul server non siano presenti restrizioni in ingresso e in uscita con il comando: iptables -L
   Nel caso ci fossero restrizione eseguite i seguenti comandi:
   • iptables -A INPUT -p tcp -dport 5000 -s 10.10.10.0/24 -m state -state NEW,ESTABLISHED,RELATED, -j ACCEPT
   • iptables -A INPUT -s 10.10.10.0/24 -j ACCEPT
   • iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT
9. Create una regola sul modem router per reindirizzare tutto il traffico diretto sull’ip pubblico sulla porta 5000 verso il server vpn interno.
10. Sempre sul router create una nuova regola di routing statico per reindirizzare tutto il traffico diretto verso la rete 10.10.10.0 sul server vpn interno.
11. Se utilizzate ubuntu riavviate altrimenti:
    avviate openvpn caricando il file di configurazione:
    • cd /etc/init.d/
    • ./openvpn stop
    • openvpn –config /etc/openvpn/server.conf

    Impostate l’avvio automatico di openvpn con il comando:

    • update-rc.d openvpn defaults

Ovviamente se utilizzate ubuntu tutti comandi devono essere preceduti dal prefisso sudo e alcuni possono essere omessi. Ed ecco le spietazioni:

• dev tap: questo parametro non và modificato, indica che utilizziamo l’interfaccia tap.
• proto tcp-server: indica che siamo il server in ascolto sul protocollo tcp.
• local 192.168.1.9: è l’indirizzo vero e reale del server vpn quello statico impostato prima.
• lport 5000: indica la porta in ascolto del server vpn
• ifconfig 10.10.10.1 255.255.255.0: è la configurazione del dispositivo virtuale tap0 utilizzato da openvpn, è importante scegliere un indirizzo di rete non troppo comune se no si rischiano casini.
• secret /etc/openvpn/nome_chiave.key: indica la posizione della chiave segreta.
• verb 3: indica il livello di logging, può essere aumentato fino a 9.
• push “192.168.1.0 255.255.255.0 10.10.10.1″: questa regola indica al client
  che per raggiungere la rete 192.168.1.0 deve passare per il servervpn, è quindi un parametro fondamentale per il client perchè gli permette di esplorare la lan nel quale si trova il servervpn..

Con il server abbiamo finito, se avete seguito le istruzioni ora vi troverete con un servervpn in ascolto.
Passiamo al client.
Per la macchina client io ho utilizzato windows xp e la configurazione è veramente semplice, vediamola nel dettaglio:

1. Scaricate ed installate l’ultima versione di openvpn a questo indirizzo:
   http://openvpn.net/release/openvpn-2.0.9-install.exe
   Confermate la crezione della nuova interfaccia virtuale tap0 in fase di installazione.
2. Andate in: Start->Connetti a->Mostra tutte le connesioni. Ci sarà una nuova connessione Tap-win32 Adapter V8
3. Rinominate per comodità la nuova connessione di rete in VPN,poi fate tasto destro e cliccate su proprietà
   
4. Selezionate “protocollo internet tcp/ip” e poi cliccate dinuovo su proprietà
   
5. Cliccate su “utilizza il seguente indirizzo ip” e poi impostate i campi come segue:
   • Indirizzo ip: 10.10.10.2
   • Subnet mask: 255.255.255.0

   

6. Salvate ed uscite, per evitare casini disabilitate il firewall di windows e ogni altro firewall presente sulla macchina. Magari in un secondo momento potrete creare delle regole apposite per la vpn, per ora è meglio disabilitare ogni firewall per evitare ogni tipo di casino.
   
7. Procuratevi la chiave generata dal servervpn e posizionatela all’interno di una directory, poi create nella stessa directory un file di nome client.ovpn ed apritelo con editor di testo, tipo wordpad.
8. All’interno del file client.ovpn dovranno essere presenti le seguenti righe:remote indirizzo_remoto_del_server
   dev tap
   proto tcp-client
   port 5000
   ifconfig 10.10.10.2 255.255.255.0
   route 192.168.1.0 255.255.255.0 10.10.10.1
   secret nome_chiave_segreta.key
   verb 3
9. Salvate e chiudete il file, dopodichè collegatevi ad internet e selezionate con il tasto destro client.ovpn e cliccate sulla voce: “Start open vpn on this config file”
10. Si aprirà una finestra dos con tutta una serie di scritte e se alla fine vedete
    “Initialization sequence completed” vuol dire che tutto è andato per il verso giusto e che siete connessi con il server vpn è che la vpn è stata create correttamente.
    

Potete verificare che tutto è a posto pingando il server vpn all’indirizzo 10.10.10.1 e il suo indirizzo reale statico 192.168.1.9 (questo è quello che ho usato io) oppure potete provare a collegarvi direttamente a qualche altro pc dell’altra rete.
Come prima ecco le spiegazioni del file client.ovpn:

• remote indirizzo_server: indica a quale server dobbiamo collegarci, potete inserire un indirizzo ip oppure un nome.
• dev tap: l’interfaccia virtuale utilizzata
• proto tcp-client: indica che siamo il client e che utilizziamo il protocollo tcp
• port 5000: la porta utilizzata per connessione
• ifconfig 10.10.10.2 255.255.255.0: questa è la configurazione dell’interfaccia virtuale tap0 per il client
• route 192.168.1.0 255.255.255.0 10.10.10.1: indica che per raggiungere la rete 192.168.1.0 dobbiamo passare per il servervpn di indirizzo 10.10.10.1
• secret nome_chiave_segreta.key: inidica la chiave segreta necessaria per connettersi
• verb 3: è il livello di logging.

Per verificare che tutto è andato a buon fine una volta che il client si è connesso dal server potete provare a pingare il client, se tutto è ok riceverete una risposta.

Se tutto è ok e la rete vpn è stata create correttamente vi ritroverete come se le due macchine fosse fisicamente attacate tra di loro per mezzo di un cavo di rete. Ovviamente la velocità di connesione dipende dalla banda disponibile su entrambe le macchine.. non vi aspettate grandi prestazioni con adsl inferiori a 1 o 2mb.. da entrambi i lati conta molto la banda in upload più che quella in download..
Volevo specificare che in questa configurazione ho utilizzato il livello di sicurezza più basso,domani sicuramente configuro tutto con SSL/TLS e forse passo a debian.. ho utilizzato ubuntu perchè molto probabilmete questa macchina sarà maneggiata da altra gente e per facilitare la vita a chi mi seguirà ho deciso di optare per una distribuzione conosciuta e facile da utilizzare..
Qui sotto c’è una galleria di immagini che ho scattato durante le mie prove, si vede il futuro server vpn nuovo di pacca e la postazione dal quale ho effettuato i test. Come client ho utilizato un portatile collegandolo o con il 56k o con una scheda umts della vodafone…
Ho anche preso una scheda di retei in più nel caso la macchina dovesse diventare il gateway principale… Bhe direi che con questo è veramente tutto.

Ecco i link di riferimento che mi hanno aiutato nella creazione della vpn.

• Andrea Beggi
• Andrea Fortuna
• Guide Debianizzati
• Pluto

Vota l’articolo
(1 votes, average: 5.00 out of 5)
 Loading ...