Le seguenti 353 parole non sono state trovate nel dizionario di 1275 termini (includendo 1275 LocalSpellingWords) e sono evidenziate qui sotto:
abbiamo   Adesso   Akey   alla   allora   Ammettiamo   ancora   andare   andate   andiamo   anno   apposto   apt   arriva   ascoltare   attraversa   attualmente   Authority   avanti   aver   avete   basta   Bella   bit   boot   buon   ca   cambiare   capi   capire   cavate   cercare   cert   certificate   certificati   Certification   certificato   chgrp   chiave   chiavi   chmod   chown   client   codice   collega   collegamenti   collegare   collegarsi   collegato   commenti   computers   conf   connettersi   conoscano   conosce   contattate   Contents   copiamoci   copiare   cosa   cose   cosi   creando   Creare   creare   creata   crt   daemons   dare   date   days   Debian   default   demoni   dentro   depth   dev   devo   dietro   dinamico   dire   dispositivo   distribuzioni   dobbiamo   documentazione   documento   Dopo   dove   dovete   dovrebbe   dovrà   ecco   ed   Editiamo   endpoints   esegue   esempio   esiste   estensione   etc   eth0   fa   Facciamo   facciamo   far   fare   Fare   farlo   fermarlo   file   files   finisce   Finito   firmare   firmware   fondo   forma   fornisce   funziona   funzionano   funzionare   gateway   genkey   genrsa   Gentoo   Gestione   gestisce   get   gia   giorno   Gnu   grossolano   hanno   ho   howto   identica   ieri   ifconfig   impara   implementazione   importanza   impossibili   incompleta   indipendente   Indirizzi   init   inizializzazione   iniziare   insegna   installato   Installiamo   installiamo   intende   interno   io   ip   Italiano   Jan   key   lanciando   lanciare   Lasciamo   lavorare   leggiamo   li   ln   lo   lport   macchina   macchine   maggior   mai   meglio   mese   metteranno   mettere   mettete   minuti   modem   modo   modprobe   molte   molti   mostrati   mute   nei   network   new   nomefantasia   nomefantasia2   Norimberga   nostri   nostro   nota   Nota   note   Note   nuovopeer   occhio   od   ogni   openssl   openvpn   Ora   ora   orologio   ottenuto   out   Ovviamente   pagina   paginette   paio   partire   passare   passiamo   peer   pem   perché   perduto   permessi   ping   Poi   porta   posizionarla   posizionata   possiamo   possibilità   praticamente   precedentemente   prego   prenotare   primi   privata   private   Proto   protocollo   pubblica   pubblico   quagga   quaggavty   quei   quelli   Questi   qui   rapida   rc   realizzare   realtà   relativa   remote   req   restart   reti   riavviarlo   ricevuto   richiesta   riga   righe   Rilanciamo   rimettere   rip   ripd   rotte   router   rport   sa   Sat   Saverio   scambiare   scambiarsi   scritto   scrivere   scriviamo   secret   segreta   seguente   semplice   senza   sequenza   serial   serve   servers   servono   set   sezione   sf   shared   siano   smanettare   solito   spazi   stati   stato   steps   stop   subito   successivamente   sui   symlinks   Table   tanto   tap   tap0   teoria   tinc   Tinc   tipo   tls   touch   tun   tunnel   ubuntu   udp   unica   update   usa   Usa   usando   userete   usiamo   uso   utile   utilizzano   utilizzati   vada   valid   ve   Vedi   vedi   Vediamo   vedremo   venga   verb   vi   vim   vogliamo   volte   vostri   vpn   Vpn   vpn1   vpn2   vuol   vuoto   wireless   x509   xx   yes   yet   zebra   Zio   zioproto   zpslackca  

Nascondi questo messaggio

Italiano English
Modifica History Actions

OpenVPN

Le sedi di Ninux sono:

a Roma presso il FusoLab

  • Fusolab

a Pisa all'EigenLab

  • Eingelab

a Cosenza presso la sede dell'Hacklab Cosenza

  • HLCS

a Catanzaro presso la sede dell'Hacklab Catanzaro

  • HLCZ

a Firenze presso l'exfila

  • exfila

a Bologna presso il makerspace di RaspiBO

  • NinuxBO

Ninux.org partecipa al World IPv6 day

  • WorldIpv6Day

OpenVPN (anche con RIP)

/!\ Attenzione: attualmente le VPN di ninux.org utilizzano tinc come client e non OpenVpn. Fare riferimento alla pagina TincVPNItaliano /!\

Indice

  1. OpenVPN (anche con RIP)
    1. OpenVPN shared key: link punto punto tra 2 reti e scambiarsi le rotte con RIP
    2. Note su Gentoo Linux
    3. OpenVPN con uso dei certificati
    4. OpenVPN tramite server Norimberga
    5. Problemi Comuni

Questo documento intende dare una rapida spiegazione a chi gia conosce la teoria dietro le VPN ed il protocollo RIP per implementare praticamente con 2 servers linux un tunnel che attraversa una rete pubblica e collega 2 reti private. In questo howto vedremo come collegare 2 reti creando un link punto punto in vpn tra le due reti usando l’implementazione openvpn, e come successivamente scambiare in modo dinamico le rotte delle due reti usando il protocollo RIP. In questo HOWTO sono stati utilizzati 2 servers ai capi del tunnel VPN con sistema operativo Linux UBUNTU (Debian).

Per prima cosa installiamo OpenVPN 


apt-get install openvpn

(Per altre distribuzioni Gnu/Linux cercare la documentazione relativa)

Dopo aver installato il software, dobbiamo creare prima di tutto la chiave privata per l' inizializzazione del tunnel.

openvpn --genkey --secret key.txt


Una volta creata la chiave segreta e posizionata dentro  /etc/openvpn, (occhio la dobbiamo mettere in entrambe le macchine la chiave privata) dobbiamo creare il file di configurazione per il server (  /etc/openvpn/nomefantasia.conf  ).

dev tap
secret /etc/openvpn/key.txt
ping 10
verb 1
mute 10
ifconfig 10.0.1.1 255.255.255.252
lport 5002


La configurazione del gateway VPN (client) è identica a quella vista precedentemente. Ovviamente dobbiamo copiare la chiave segreta e posizionarla nella directory  /etc/openvpn e creare il file di configurazione (  /etc/openvpn/nomefantasia2.conf ), che deve essere di questo tipo:

remote ip.pubblico.del.server
rport 5002
dev tap
ifconfig 10.0.1.2 255.255.255.252
secret /etc/openvpn/key.txt
ping 10
verb 1
mute 10


Non ha nessuna importanza chi fa il client e chi fa il server.
Ovviamente nel caso che solo una delle 2 macchine dispone di IP pubblico sarà quella che deve fare il server. La macchina server deve ascoltare sulla porta 5002 UDP, od un'altra porta udp che basta cambiare nei files di configurazione che sono stati mostrati prima. A questo punto il tunnel gia funziona, ed ubuntu vi fornisce gia anche lo script
 /etc/init.d/openvpn  per farlo partire, fermarlo, o riavviarlo.

Ora esiste il tunnel, ma per far si che sia utile ai computers in rete dobbiamo far si che si conoscano le rotte. Ammettiamo che i nostri endpoints del tunnel siano anche i GW delle 2 reti che abbiamo collegato (se non è cosi dovete attivare RIP anche sui GW, molti router modem ADSL hanno questa possibilità!)

Installiamo il software quagga

apt-get install quagga

(Per altre distribuzioni linux cercare la documentazione relativa)

Adesso andiamo in  /etc/quagga }che è l’unica directory dove dobbiamo lavorare per far funzionare tutto. Editiamo il file daemons e passiamo da “no” a “yes” i demoni zebra e ripd Poi dobbiamo creare in  /etc/quagga  i files zebra.conf e ripd.conf e dare i permessi proprio come scritto nei commenti all’interno del file daemons, ecco la sequenza di cose da fare:

touch zebra.conf
touch ripd.conf
chown quagga zebra.conf
chown quagga ripd.conf
chgrp quaggavty zebra.conf
chgrp quaggavty ripd.conf
chmod 660 zebra.conf
chmod 660 ripd.conf


Lasciamo il file zebra.conf vuoto, mentre dentro a ripd.conf scriviamo:

router rip
network eth0
network tap0


dove dobbiamo aggiungere una riganetwork” per ogni interfaccia di rete del nostro serve dove vogliamo che venga utilizzato il protocollo rip.
Con questa semplice configurazione il server impara tutto quello che arriva, e insegna tutto quello che sa! Per iniziare il tutto su entrambe le macchine facciamo  /etc/init.d/quagga restart .


Questo documento è ancora molto grossolano perché il tutto è stato fatto ieri e ci sono molte cose che devo capire meglio a fondo anche io. A tutti quelli che si metteranno a smanettare su queste cose, li prego tanto di scrivere un paio di paginette come ho fatto io in modo che il lavoro non vada perduto !!!! Bella! Saverio

Note su Gentoo Linux

Gli script di init.d per OpenVPN di Gentoo funzionano cosi: mettete i vostri files di configurazione dentro

/etc/openvpn (sono i files con estensione .conf)

quindi ad esempio vpn1.conf e vpn2.conf ora dovete creare dei symlinks di

/etc/init.d/openvpn nel seguente modo: 

ln -sf /etc/init.d/openvpn /etc/init.d/openvpn.vpn1
ln -sf /etc/init.d/openvpn /etc/init.d/openvpn.vpn2

In realtà quindi/etc/init.d/openvpn non lo userete mai, ma avete uno script di start stop indipendente per ogni VPN configurata sulla macchina.

Per lanciare al boot le vpn quindi: 

rc-update add openvpn.vpn1 default
rc-update add openvpn.vpn2 default

OpenVPN con uso dei certificati

Questa sezione è ancora incompleta, per ora contiene solo delle note Per prima cosa generare la coppia pubblica/privata di chiavi RSA a 2048 bit del nuovo peer

(Questi primi tre steps di solito li esegue chi gestisce il server, contattate ZioProto per collegarsi in VPN con Ninux.org) 

openssl genrsa -out nuovopeer.key 2048

Creare ora una richiesta di certificato (CRS) da far firmware alla Certification Authority (CA) 

openssl req -new -key nuovopeer.key -out nuovopeer.req

Facciamo firmare alla Certification Authority la CRS In questo comando dobbiamo passare il file del certificato della CA ed il file con la chiave privata della CA che usiamo per firmare. 

openssl x509 -req -in nuovopeer.req -CA zpslackca.pem -CAkey zpslackca.key
-set_serial xx -out nuovopeer.crt -days 365

(da qui andate avanti una volta che avete ricevuto i files da ZioProto)

Finito di generare chiavi e certificati ecco la configurazione di OpenVPN per il nuovo peer 

tls-client
dev tap
ca zpslackca.crt
cert nuovopeer.crt
key nuovopeer.key
remote zioproto.ninux.org
ping 10
verb 1
mute 10
ifconfig IL_TUO_IP 255.255.255.0 #Vedi nota subito sotto
rport 5002

Nota: usa la paginaGestioneIndirizzi per prenotare un IP

quindi sul nuovo peer servono 3 files: certificato della CA, proprio certificato + chiave

La configurazione del client finisce qui :)

OpenVPN tramite server Norimberga

Vediamo come connettersi al server VPN di Ninux per quei collegamenti impossibili da realizzare tramite wireless punto-punto. Una volta che abbiamo ottenuto i certificati da ZioProto passiamo alla configurazione del client VPN: 

vim /etc/openvpn/ninux.vpn

e copiamoci queste righe di codice 

tls-client
dev tap
ca zpslackca.crt
cert nuovopeer.crt
key nuovopeer.key
remote zioproto.ninux.org
ping 10
verb 1
mute 10
ifconfig IL_TUO_IP 255.255.255.0 #Per indirizzo IP vedi nota subito sotto
rport 5002

Nota: INDIRIZZO IP: Usa la pagina GestioneIndirizzi per prenotare un IP. (dovrà essere nella forma 10.0.1.X) ora possiamo lanciare la vpn facendo

openvpn /etc/openvpn/ninux.vpn

se lanciando il comando leggiamo tra le righe: 

Sat Jan  1 00:02:14 2000 VERIFY ERROR: depth=1, error=certificate is not yet valid

allora vuol dire che dobbiamo rimettere apposto l'orologio del client esempio: 

date mese giorno ora minuti anno

senza spazi!! Rilanciamo il comando 

openvpn /etc/openvpn/ninux.vpn

dovrebbe andare tutto a buon fine

Problemi Comuni

Se avete problemi con il dispositivotun la maggior parte delle volte ve la cavate con 

modprobe tun
l'ultima modifica è del 2011-11-23 12:34:10, fatta da ClauzClauz