OpenVPN

[SicariO]

ho installato open vpn, riesco ad andare alla prima pagina ma non sò come altro configurare il resto
[img width=800 height=590]http://img708.imageshack.us/img708/165/schermatajh.png[/img]

[newlinuxuser]

Che cos'è quella schermata che hai postato?
Io uso openvpn da anni, ma non capisco cosa sia.

[thece]

Ciao, io ho installato OpenVPN Server sulla mia Kubuntu 10.10, ma ho configurato tutto da riga di comando, non ti so aiutare con la GUI (Web based immagino) della quale ignoravo anche l'esistenza.

Ti posto la traccia dei passi che seguo io

- indirizzi rete Ethernet 192.168.0.0
- indirizzi rete VPN 10.0.0.0
- server VPN 192.168.0.11 / 10.0.0.1

Come utente root

apt-get install openvpn

apt-get install bridge-utils

apt-get install uml-utilities

mkdir -p /etc/openvpn/easy-rsa-2.0

cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa-2.0

vim /etc/openvpn/easy-rsa-2.0/vars

Codice: Seleziona tutto

...

export KEY_SIZE=2048

...

export KEY_COUNTRY="IT"
export KEY_PROVINCE="MI"
export KEY_CITY="Milan"
export KEY_ORG="XXX"
export KEY_EMAIL="pincopallino@daqualcheparte.org"

...

cp ...../server.conf /etc/openvpn/server.conf

vim /etc/openvpn/server.conf

Codice: Seleziona tutto

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa-2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa-2.0/keys/PINCOPALLINO_server.crt
key /etc/openvpn/easy-rsa-2.0/keys/PINCOPALLINO_server.key
dh /etc/openvpn/easy-rsa-2.0/keys/dh2048.pem
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
duplicate-cn
keepalive 10 120
cipher AES-128-CBC
comp-lzo
;max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 3

cd /etc/openvpn/easy-rsa-2.0

source ./vars

./clean-all

Generate the master Certificate Authority (CA) certificate & key
./build-ca

Generate certificate & key for server
./build-key-server PINCOPALLINO_server

Generate certificates & keys for 1 client
./build-key PINCOPALLINO_client

Generate Diffie Hellman parameters
./build-dh

cd /etc/openvpn/easy-rsa-2.0/keys

chmod 600 /etc/openvpn/easy-rsa-2.0/keys/*

mkdir -p /temp/openvpn_keys

cp /etc/openvpn/easy-rsa-2.0/keys/ca.crt /temp/openvpn_keys/ca.crt

cp /etc/openvpn/easy-rsa-2.0/keys/PINCOPALLINO_client.crt /temp/openvpn_keys/PINCOPALLINO_client.crt

cp /etc/openvpn/easy-rsa-2.0/keys/PINCOPALLINO_client.key /temp/openvpn_keys/PINCOPALLINO_client.key

cd /etc/openvpn/

/etc/init.d/openvpn start

cd /temp/

cp ...../client.ovpn /temp/client.ovpn

vim /temp/client.ovpn

Codice: Seleziona tutto

client
dev tun
proto tcp

; Per collegarsi dalla rete 192.168.0.0
; remote 192.168.0.11
; port 1194

; Per collegarsi da un'altra rete
; remote PINCOPALLINO.org
; port 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert PINCOPALLINO_client.crt
key PINCOPALLINO_client.key
cipher AES-128-CBC
comp-lzo
verb 3

chown -R PINCOPALLINO:PINCOPALLINO /temp/openvpn_keys

chmod 400 /temp/openvpn_keys/*

zip -ju /temp/vpn_client_key\ [YYYY.MM.DD].zip /temp/openvpn_keys/*

chown PINCOPALLINO:PINCOPALLINO /temp/vpn_client_key\ [YYYY.MM.DD].zip

chmod 400 /temp/vpn_client_key\ [YYYY.MM.DD].zip

rm -r /temp/openvpn_keys

A questo punto i file che trovi in /temp li devi usare per configurare il client OpenVPN (io uso OpenVPN GUI su Windows).
I certificati per il client li ho compressi in uno zip per comodità

[SicariO]

Che cos'è quella schermata che hai postato?
Io uso openvpn da anni, ma non capisco cosa sia.

è quello ke mi appare dopo essermi loggato su https://mioip:943
vorrei capire come creare tutto il resto

[thece]

Come hai installato il server OpenVPN? Quali pacchetti?

Ciao

[SicariO]

ok ho capito come entrare nella admin della open vpn, ora per permessi, eventuali accessi?poi lato client cosa c'è da fare?

[thece]

... per permessi, eventuali accessi?

Tutti i client che hanno il file client.ovpn e certificati "validi" riescono a stabilire una connessione VPN. Poi cosa riescono a fare una volta stabilita la connessione VPN dipende da che servizi sono esposti sul server

Ad esempio: io sul server VPN ho esposto anche Samba, SSH e NX

... poi lato client cosa c'è da fare?

Io come client ho sempre usato OpenVPN GUI su Windows. Ti scarichi il pacchetto, lo installi, e copi nella directory config il file client.ovpn e certificati di cui sopra ... poi ti connetti ... immagino che per il client Linux sia una cosa del tutto analoga

Ciao

[SicariO]

ma se io voglio accedere a una cartella condivisa sul mio server da un client tramite ssh come faccio?

[thece]

Con SSH non puoi strettamente accedere alle cartelle condivise sul tuo server. Stai mescolando le mele (SSH) con le pere (Samba - cartelle condivise).

Con SSH puoi trasferire i tuoi file, da locale sul file system remoto, usando un client SCP (Secure Copy). Vedi tutto il filesystem remoto e puoi scrivere in tutte le zone permesse al tuo utente con cui ti sei autenticato

Con Samba puoi trasferire i tuoi file, da locale alle sole cartelle condivise (remote), usando un client Samba. Ovviamente se condividi tutto un filesystem ...

VPN è in più. VPN potrebbe non servirti per SSH o Samba. VPN è un tunnel nel quale puoi far passare quello che vuoi: SSH piuttosto che Samba, piuttosto che Pincopallino Protocol

Spero di essermi spiegato, in poche righe è difficile chiarire un argomento che è piuttosto vasto. Ti consiglierei di fare un giro su Wikipedia e dare una letta agli argomenti VPN, SSH, SCP e Samba

Ciao

[SicariO]

no no chiaro grazie
ieri ci stavo smanettando leggendo un pò di guide ma nn riesco a creare (lato server) gli utenti con i permessi e avere la porta ssh aperte per accedere dal esterno

[thece]

SSH è una shell sul tuo server SSH, gli utenti sono quelli del tuo server.

"Accedere dall'esterno" ma da dove? dalla tua LAN? Da un client connesso tramite internet? Devi fornire qualche dettaglio in più sulla tua rete e su come vuoi connetterti

Ciao

[SicariO]

intanto vorrei fare solo qualcosa nella LAN, poi cercheremo di fare con in mezzo internet

[newlinuxuser]

Sulla lan penso sia sufficiente un bel sudo apt-get install ssh-server, lo lasci cosi com'è ed accedi con nome utente e password.
la sintassi per collegarti è: ssh nomeutente@indirizzoipdelserver.
Sulla lan il firewall puoi lasciarlo disabilitato.

[SicariO]

mi dice che non ha i candidati da installare ma con open vpn non imposto anke lo ssh?

[newlinuxuser]

Ho sbagliato io.
sudo apt-get install openssh-server

[SicariO]

ah ok poi per creare utenti e le loro varie condivisioni?
eventuali log sulla porta?

[SicariO]

c'è una piccola gui da lasciare in tryicon?

[newlinuxuser]

Se lo lasci com'è possono entrare tutti gli utenti del computer, quindi per aggiungerne uno, lo puoi fare tranquillamente da sistema, amministrazione, utenti e gruppi...se hai la versione server sudo adduser, eccetera.
I log li trovi in /var/log/auth.log.

[SicariO]

ma quindi i nomi dentro la sezione gruppi sono papabili per intrufolarsi? O_O se volessi che neanche root acceda al ssh ma solo un utente...è possibile?

[fortAlamo]

ma se io voglio accedere a una cartella condivisa sul mio server da un client tramite ssh come faccio?

se ti serve *solo* accedere ad una directory,  dai un occhio anche a sshfs.