OpenVPN e tante subnet

[jeskos]

Buonasera,

ho un server openvpn su ubuntu e vorrei fare una configurazione abbastanza particolare.

Praticamente vorrei creare una rete per gestire da remoto degli apparecchi montati da vari clienti.

In pratica avevo pensato di creare un certificato per ogni cliente, e abbianare ogni certificato ad una subnet da me creata sul server.
In questo modo garantisco che ogni cliente non può accedere alla rete di un altro. mentre io, utilizzando lo stesso certificato, posso accedervi alla stessa rete e trasferire i dati.

Quindi in teoria avrò tante subnet, non visibili tra loro.

Come posso configurare il tutto per funzionare in questa maniera?

esempio
Certificato1 ---> Rete 10.0.1.0
Certificato2 ---> Rete 10.0.2.0
Certificato3 ---> Rete 10.0.3.0
Certificato4 ---> Rete 10.0.4.0


Grazie

[Pike]

Per quanto conosco, devi creare un processo server OpenVPN per ognuna delle subnet.
E a mio personale parere è un enorme spreco di risorse in termini di CPU, porte, nonchè una enorme complicazione a livello di configurazione di rete.
Potresti tentare piuttosto di non tenere abilitato il client-to-client. In questo modo, per quanto tutti connessi alla stessa subnet, ogni client non saprebbe di avere dei "peer".

[jeskos]

C'è un piccolo problema, penso.
Ogni apparecchio remoto fino ad oggi montato ha lo stesso IP interno.
Ciò significa che se collego tutto nella stessa subnet l'ip reale dell'apparecchiatura rimarrebbe uguale su tutti, causandomi problemi per il trasferimento dei dati.

Esempio
Cliente 1 --> IP 192.168.10.100
Cliente 2 --> IP 192.168.10.100
Cliente 3 --> IP 192.168.10.100

[thece]

Ogni apparecchio remoto fino ad oggi montato ha lo stesso IP interno.

Dipende da come hai configurato il server OpenVPN

[jeskos]

Non l'ho ancora fatto, non saprei come configurare per far funzionare il tutto. Consigli?

[thece]

Consigli su cosa?

[jeskos]

Come dovrei scrivere sul file .conf per farlo funzionare in questa maniera?

[Pike]

C'è un piccolo problema, penso.
Ogni apparecchio remoto fino ad oggi montato ha lo stesso IP interno.

I device remoto deve essere per te client o server? Se è client, "nasce" una scheda/ip in più per OpenVPN...

[thece]

Questo file di configurazione vale per una subnet.

Codice: Seleziona tutto

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/pincopallino_server.crt
key /etc/openvpn/easy-rsa/keys/pincopallino_server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
topology subnet
server 10.0.0.0 255.255.255.0
client-to-client
duplicate-cn
keepalive 10 120
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 3

Per gestire diverse subnet credo che devi mettere in pratica quello che ti ha suggerito Pike. Neanche io so se la stessa istanza di server OpenVPN può gestire contemporaneamente più subnet. E' una funzionalità di cui non ho mai avuto bisogno

[jeskos]

Si, i device remoti sono tutti client.
Mentre in ufficio ho il server.

In che senso "nasce" una scheda in piu? Come dovrei tradurlo nel file . conf?

[thece]

I device remoto deve essere per te client o server? Se è client, "nasce" una scheda/ip in più per OpenVPN...

@jeskos

Devi guardare la cosa da una prospettiva diversa: quale è il "servizio" offerto, chi produce / offre il "servizio", chi consuma / usa il "servizio"

Esempio: se ognuno dei PC presso i tuoi clienti produce / offre dati metereologici, i server sono i PC dei tuoi clienti. Tu sei il client che consuma / usa i dati metereologici

Esempio: se il tuo PC produce / offre una LAN (la VPN), il tuo PC è il server. I client sono i PC dei tuoi clienti che consumano / usano la LAN (VPN)

[thece]

Se è client, "nasce" una scheda/ip in più per OpenVPN...

In che senso "nasce" una scheda in piu?

Quello che ha detto Pike non è completamente esatto: è vero sia per il server OpenVPN, che per i client OpenVPN

Per mettere in comunicazione fra loro il server con i client, OpenVPN attiva dinamicamente su tutti i PC appartenenti alla VPN una scheda di rete Ethernet virtuale uilizzata per la comunicazione fra le parti

[thece]

Sembra che quello che ti occorre si possa realizzare. Prova a dare una letta alla documentazione ufficiale QUI - Configuring client-specific rules and access policies