 |
| |
 Appunti: OpenVPN |
 Scritto da tombo :
Ci sono diversi e variegati motivi per cui ci si dovrebbe poter connettere in sicurezza e da ovunque alla propria lan.
OpenVPN ci offre queste possibilità e non solo.
Traduzione di rito (d'altronde chi saprebbe esprimere meglio questi concetti se non gli autori dell'applicativo!?) :"OpenVPN è una soluzione completa VPN SSL che può accomodare una gran varietà di configurazioni, incluso l'accesso remoto, VPN da sito-a-sito, sicurezza WiFi, e soluzioni di accesso remoto su scala aziendale con load balancing, failover, e access-controls finemente granulare.
OpenVPN implementa le estensioni di sicurezza OSI layer 2 o 3 usando il protocollo standardizzato SSL/TLS, supporta un flessibile sistema di autenticazione dei client basato su certificati, smart cards, e/o autenticazione a 2-fattori, e permette policies per il controllo accessi utente o specifici per il gruppo usando regole firewall applicate all'interfaccia virtuale VPN. OpenVPN non è un applicazione di tipo proxy e non opera attraverso il browser web."
Il sito web del produttore consente di essere operativi da subito, con un HOW-TO che è una bellezza.
OpenVPN ha clients per tutte le piattaforme ed il sorgente del codice è a disposizione. I files di configurazione, i certificati etc... sono più o meno migrabili fra piattaforme diverse in modo quasi trasparente (nelle versioni win bisogna avere piccole accortezze inerenti i path).
Per fedora si ha a disposizione nel repositorio extras il pacchetto openvpn-0:2.1-0.17.rc2.fc6.i386 che è già provvisto di CA e files di configurazione di esempio.
Il file di configurazione per il server permette di specificare su quale porta ascoltare le richieste VPN. Anche se la porta ufficiale IANA sarebbe la UDP 1194 i clients potrebbero dover passare attraverso proxy http che non permettono traffico su questa specifica porta, per cui si può forzare l'ascolto del server sulla TCP 443 ad esempio (consentito su quasi tutte le configurazioni standard di squid compreso metodo connect).
Il file di configurazione dei clients permette di specificare l'indirizzo del proxy server che ci permetterà di raggiungere il server VPN. Potremmo passare le credenziali di autenticazione al proxy sia mediante opportuno parametro che mediante file esterno, come specificato nell'howto.
Il software prevede opportuni controlli sia dal lato client che dal lato server. E' possibile utilizzare il server (ma sarebbe meglio utilizzare come CA una terza macchina) come "certification autority" per permettere l'emissione e la revoca di opportuni certificati che se distribuiti sui client ne consentono o meno la connessione al circuito VPN.
In soldoni, frai questi controlli vi è l'opportunità per il client di verificare che il certificato del computer a cui si stanno connettendo sia effettivamente quello di un server. Per il server è possibile il controllo opposto ed è possibile anche verificare che non vi siano clients connessi con il medesimo certificato. E possibile forzare il numero massimo di clients connessi contemporaneamente.
Fra le caratteristiche interessanti vi è l'opportunità di abilitare o meno il routing del traffico frai clients. Forzare rotte specifiche e di default, impostare i DNS e tante altre belle cosette... così tante che avrete l'imbarazzo della scelta.
Ecco per finire un esempio minimale di file di configurazione per un client che si autentica in VPN con l'uso di certificazioni, passando per la connessione attraverso un server proxy http che permette il solo traffico https:
client
dev tap
proto tcp-client
remote xxx.xxx.xxx.xxx 443
resolv-retry infinite
nobind
persist-key
persist-tun
http-proxy xxx.xxx.xxx.xxx 3128
ca ca.crt
cert clientXX.crt
key clientXX.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
Esempio di un file di configurazione per un server che è anche CA e che ascolta sulla porta https:
port 443
proto tcp
dev tap
ca ca.crt
cert server.crt
dh dh1024.pem
server xxx.xxx.xxx.xxx 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
max-clients 2
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
crl-verify crl.pem
|
|
|
|
|
| |
 | Links Correlati |  |
| Article Rating | |
Average Score: 5
Voti: 1
 | | | | |
| Opzioni | |
|
Associated Topics
  |
|
| "OpenVPN" | Login/Crea Account | 0 commenti |
|
| | I commenti sono di proprietà dell'inserzionista. Noi non siamo responsabili per il loro contenuto. |
|
|
|
Commenti NON Abilitati per gli Anonimi, registrati |
|
|
|
Post: Ultime 24 ore
Comunità
Immagini
Notizie
Utilità
Fedora Dev
Strumenti
Server Date/Time
Date: 07 Jan 2009
Hits:
Iscritti:
Ultimo: 
Iscritti oggi: 0
Iscritti ieri: 0
Complessivi: 428
Persone Online:
Visitatori: 10
Iscritti: 0
Totale: 10
![[RSS]](images/xml.gif)
![[Valid RSS]](images/valid-rss.png "Validate my RSS feed"){kind=small}
.
