[Proposta] Server VPN con openVPN, che modalità usare?

Barbo91 · Messaggio da **Barbo91** » venerdì 13 aprile 2012, 9:52

Ciao a tutti!

Sto creando un server VPN su ubuntu 10.04 e ho la necessità di fare in modo che i pc che si collegano alla vpn siano in grado di interfacciarsi con gli altri e che vengano posizionati su una rete 10.1.

tra l'altro all'interno di questa rete devo creare due sottoreti differenti che non si possano vedere l'una con l'altra, e non voglio andare a interferire in nessun modo con la mia LAN dell'ufficio.

Ho già fatto diversi test, il primo ho usato il metodo tun ma ho notato che per ogni client viene creata una rete diversa e quindi nn si vedono
poi ho provato a creare una bridgedVPN (non vi dico il casino xD) ma non so come creare all'interno di questa bridged 2 reti differenti e soprattutto non voglio che venga visualizzata la mia rete interna...

Sono davvero in panico, qualcuno mi può aiutare? Posso anche cambiare software se ne esiste un'altro che fa al caso mio. Grazie in anticipo!

Alien321 · Messaggio da **Alien321** » sabato 14 aprile 2012, 17:29

Barbo91 ha scritto: Ciao a tutti!

Sto creando un server VPN su ubuntu 10.04 e ho la necessità di fare in modo che i pc che si collegano alla vpn siano in grado di interfacciarsi con gli altri e che vengano posizionati su una rete 10.1. tra l'altro all'interno di questa rete devo creare due sottoreti differenti che non si possano vedere l'una con l'altra, e non voglio andare a interferire in nessun modo con la mia LAN dell'ufficio.

Ho già fatto diversi test, il primo ho usato il metodo tun ma ho notato che per ogni client viene creata una rete diversa e quindi nn si vedono
poi ho provato a creare una bridgedVPN (non vi dico il casino xD) ma non so come creare all'interno di questa bridged 2 reti differenti e soprattutto non voglio che venga visualizzata la mia rete interna...

Sono davvero in panico, qualcuno mi può aiutare? Posso anche cambiare software se ne esiste un'altro che fa al caso mio. Grazie in anticipo!

Usa la modalità TAP, questa crea una interfaccia di tipo Ethernet che puoi ruotare e gestire con IPTABLES, puoi anche gestire in modo atomico ogni client con i file ccd, prova a cercare anche nel forum

Barbo91 · Messaggio da **Barbo91** » lunedì 16 aprile 2012, 9:17

Alien321 ha scritto:
Barbo91 ha scritto: Ciao a tutti!

Sto creando un server VPN su ubuntu 10.04 e ho la necessità di fare in modo che i pc che si collegano alla vpn siano in grado di interfacciarsi con gli altri e che vengano posizionati su una rete 10.1. tra l'altro all'interno di questa rete devo creare due sottoreti differenti che non si possano vedere l'una con l'altra, e non voglio andare a interferire in nessun modo con la mia LAN dell'ufficio.

Ho già fatto diversi test, il primo ho usato il metodo tun ma ho notato che per ogni client viene creata una rete diversa e quindi nn si vedono
poi ho provato a creare una bridgedVPN (non vi dico il casino xD) ma non so come creare all'interno di questa bridged 2 reti differenti e soprattutto non voglio che venga visualizzata la mia rete interna...

Sono davvero in panico, qualcuno mi può aiutare? Posso anche cambiare software se ne esiste un'altro che fa al caso mio. Grazie in anticipo!
Usa la modalità TAP, questa crea una interfaccia di tipo Ethernet che puoi ruotare e gestire con IPTABLES, puoi anche gestire in modo atomico ogni client con i file ccd, prova a cercare anche nel forum

Ho cercato ma ho trovato poco di specifico... ad ogni modo mi trovo dietro una rete che ha già un firewall e con iptables forse peggiorerei solo le cose... proverò comunque. i file ccd non so in che modo vengano gestiti e a cosa servano, ora proverò a vedere cosa riesco a fare... Se qualcuno ha dei link utili per favore postateli!

Non capisco cosa vuoi dire con ruotare e gestire... A me interessa solo creare una rete VPN esterna alla mia lan. non deve interferire con le nostre reti interne, è solo una rete di appoggio per assistenza VNC! Per l'assistenza tecnica...

Alien321

È lo stesso motivo per cui la usi io la mia soluzione è, modifica gli ip in accordo con i tuoi dati se hai domande chedi:

abilitare ipforward sul server linux

Codice: Seleziona tutto

/bin/echo "1" > /proc/sys/net/ipv4/ip_forward

la configurazione del server, io uso il tap perché è + flessibile:

Codice: Seleziona tutto

dev tap  #Utilizzo il dispositivo di rete virtuale TAP
proto tcp-server
server 172.16.0.0 255.255.0.0
tls-server
# Percorsi dei certificati
key "/etc/openvpn/keys/[server].key"
dh "/etc/openvpn/keys/dh1024.pem"
cert "/etc/openvpn/keys/[cert].crt"
ca "/etc/openvpn/keys/ca.crt"
verb 3
client-config-dir "/etc/openvpn/ccd"
#Mantiene il tunnel aperto effettuando dei ping a intervalli regolari
push "ping 10"
push "ping-restart 60"
ping 10
ping-restart 120
comp-lzo #attiva la compressione
persist-key
persist-tun
cipher BF-CBC

notare l'uso della direcotry ccd, in questa direcotry io creo un file con lo stesso nome che ho dato al certificato che ho creato per un client. In questo file inserisco dei dati specifici per quel solo client(ip, regole di routing,dns,ecc).

Codice: Seleziona tutto

ifconfig-push [IP statico vpn] 255.255.0.0
push "route [IP] 255.255.255.0"

Quando crei un certificato con il nome pippo01.[key|crt|ecc] dovrai anche creare un file dentro la directory ccd che si chiami pippo01 (senza estensione)
Giusto per avere ordine e sapere chi ha cosa.

il file client è molto semplice alla fine:

Codice: Seleziona tutto

client
remote [IP server]
proto tcp-client
tls-client
dev tap10
key "/etc/openvpn/keys/[keyclient].key"
ca "/etc/openvpn/keys/ca.crt"
cert "/etc/openvpn/keys/[certclient].crt"
verb 3
comp-lzo
cipher BF-CBC
persist-key
persist-tun

Forum Ubuntu-it