OpenVPN-nano-HOWTO. OpenVPN e un programmino per creare un tunnel fra due macchine che si basa sull utilizzo del cosiddetto TUN/TAP Universal Driver.

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "OpenVPN-nano-HOWTO. OpenVPN e un programmino per creare un tunnel fra due macchine che si basa sull utilizzo del cosiddetto TUN/TAP Universal Driver."

Irene Corona
6 anni fa
Visualizzazioni

1 Come creare una vpn over udp col pacchetto OpenVPN Come creare una vpn over udp col pacchetto OpenVPN Introduzione OpenVPN e un programmino per creare un tunnel fra due macchine che si basa sull utilizzo del cosiddetto TUN/TAP Universal Driver. Perche usare OpenVPN? E opensource 1. Come puoi fidarti di qualcosa che non puoi vedere? E multipiattaforma (Linux, Windows2000/XP, Solaris, MacOsX, *BSD). E l unico software opensource capace di supportare pienamente l utilizzo di una PKI OpenSSL. Negozia la chiave col protocollo TLS (asimmetrico) basato su certificati e vari protocolli per cifrare e autenticare la connessione. Puo usare sia tcp che udp. Ma tcp over tcp e Male(tm) 2. Un programma alternativo a openvpn e vtund, ma usa tcp e non ha tutte le feature di OpenVPN (ad esempio la modalita TSL, il pregio di OpenVPN). Modalita di utilizzo di OpenVPN OpenVPN puo usare piu modalita : puo essere usato semplicemente per creare un tunnel non criptato fra due macchine, puo creare un tunnel con una chiave statica (pre-shared key) e infine puo creare un tunnel usando la modalita TLS, quindi basato su certificati e autenticazione asimmetrica. Iniziamo subito a lavorare con la modalita succulenta, quella basata su certificati X DiffieHellman (scambio di chiavi). In un sistema basato su certificati abbiamo bisogno di una CA (Certification Authority) che firmi i certificati delle macchine coinvolte. In "Da real life" si usano servizi a pagamento (anche se qualcuno e gratuito, tipo thawte.com o keysign; noi invece useremo me :-) ) Il mio host fara da CA. Innanzitutto lo scambio di certificati e una modalita client-server, la mia macchina pubblica (ouz.ath.cx) e il server e voi siete i client; il tunnel, invece, una volta creato e peer2peer. Non avete pero bisogno di contattare on-the-fly la mia macchina per firmarvi i certificati, ma basta che abbiate in locale il certificato della CA, un po come nei vostri browser avete gia inseriti di default i certificati delle CA famose. I prerequisiti a livello di sistema sono il pacchetto OpenVPN 3 e aver compilato nel kernel (o come modulo) la voce TUN/TAP Universal device. 4 Una cosa che puo farte molto comodo (ma serve a poco se avete IP statico) e avere un hostname dinamico (tipo dyndns) e un client che aggiorna il DNS quando cambiate indirizzo. 1

2 Sia il client che il server devono creare una coppia di chiavi/certificati (i cert saranno.csr, che sta per Certificate Signing Request, e che poi, firmati dalla CA, diventeranno.crt). Voi dovrete fare solamente il lavoro della sezione CLIENT qui sotto, che pero richiama alcuni punti della sezione SERVER, visto che sono identici (vedi la creazione delle chiavi e del.csr). Nota: Ogni volta che creerete un.csr (dopo spiego come) dovrete fornire dei dati, tipicamente: 1. Country Name (2 letter code) 2. State or Province Name (full name) 3. Locality Name (eg, city) 4. Organization Name (eg, company) 5. Organizational Unit Name (eg, section) 6. Common Name (eg, fully qualified host name) 7. Address 8. A challenge password 9. An optional company name Qualcuno di questi dati e da dare per forza, se no il sistema si rifiutera di crearvi il csr. Lasciate sempre vuoto "A challenge password" a meno che la vostra CA la richieda (ma la mia non lo richiede). L ultima nota e che nella macchina che fa anche da CA dovrete dare alcune informazioni (non necessariamente tutte) diverse da quelle che nella stessa macchina avete usato per creare il.csr della ca. Non penso che ci sia uno "standard" nel dare le info (potete scrivere it, It o IT; italia oppure Italy...). (PS, questo serve solo se volete fare da CA) Implementazione del tutto (passo-passo) Server 1. Diventare CA Generare la chiave della CA: openssl genrsa -out /etc/ssl/private/ca.key 1024 Generare il.csr della CA: openssl req -new -key /etc/ssl/private/ca.key \ -out /etc/ssl/private/ca.csr Autofirmarsi il.csr, generando il certificato della CA (ca.crt) che ogni host che trusta la CA (quindi tutte le vostre macchine) deve avere openssl x509 -req -days 365 -in /etc/ssl/private/ca.csr \ -signkey /etc/ssl/private/ca.key \ -out /etc/ssl/ca.crt 2

3 (forse bisognerebbe anche far puntare la variabile certificate di openssl.cnf a questo crt appena creato. Ma il file openssl.cnf non l ho ancora digerito) 2. Creare chiave e certificato e farli firmare alla CA: openssl genrsa -out /etc/ssl/openvpn/server.key 1024 openssl req -new -key /etc/ssl/openvpn/server.key \ -out /etc/ssl/openvpn/ csr La CA firma un certificato ad un client in questo modo: openssl x509 -req -days 365 -in csr -CA /etc/ssl/ca.crt \ -CAkey /etc/ssl/private/ca.key -CAcreateserial \ -out /etc/ssl/openvpn/ crt dove e l IP del mio peer, ma posso chiamarli con i nomi che voglio. openssl dhparam -out /etc/ssl/openvpn/dh1024.pem 1024 Creare il file.pem (i client non devono farlo): E qui OpenBSD dice: [0430][root@carmela:~/test]# openssl dhparam -out dh1024.pem 1024 Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time Per la cronaca sono passati circa una decina di minuti (ad occhio). 3. Far partire il tunnel lato server: openvpn --remote nomeclient.org --dev tun1 \ --ifconfig tls-server \ --dh /etc/ssl/openvpn/dh1024.pem \ --ca /etc/ssl/ca.crt \ --cert /etc/ssl/openvpn/server.crt \ --key /etc/ssl/openvpn/server.key \ --reneg-sec 60 \ --verb 5 Nota: L opzione --remote e solo una acl per dire da quali macchine accetto connessioni. Per il client e mandatory, invece il server puo anche evitarla, e a quel punto accetterebbe connessioni da qualsiasi host (che pero poi deve autenticare asimmetricamente). 3

4 Client 1. Creare chiave e certificato (seguire il punto 2. del server, solo i primi due comandi, quelli marcati con [*]) 2. Inviare il Certificate signing request alla CA (il file.csr). Basta che me lo mandiate in mail: ouz@people.it 3. Come il server firma il vostro.csr? Non vi riguarda :-), comunque se siete curiosi e la stessa cosa vista in 2 sulla sezione la Sezione Server. 4. La CA vi rimandera il vostro.crt 5. La CA vi mandera anche il suo ca.crt che voi dovete trustare, leggetelo (cat ca.crt) e fidatevi di quello che c e scritto ;-) 6. Ora potete fare partire il tunnel: openvpn --remote nomeserver.org \ --dev tun1 \ --ifconfig tls-client \ --ca ca.crt --cert client.crt --key client.key \ --reneg-sec 60 --verb 5 7. Ora, finalmente, potrete testare la connettivita dalle vostra VPN con un semplice ping Sintassi dei vari comandi degne di nota 1. Creazione della chiave: openssl genrsa -out /etc/ssl/openvpn/server.key 1024 Il nome della chiave puo essere qualsiasi cosa, nemmeno l estensione e importante, ma consiglio di usare il nome standard vostrohost.key 2. Creazione del csr openssl req -new -key /etc/ssl/openvpn/server.key \ -out /etc/ssl/openvpn/ csr La chiave e quella che avete appena generato mentre al solito il nome del.csr non conta. Magari metteteli nella stessa directory, ma NON nella stessa cartella. Le cartelle non esistono :-) 3. Tunnel openvpn ➊ --remote nomeserver.org ➋ --dev tun1 \ ➌ --ifconfig ➍ --tls-client \ ➎ --ca ca.crt \ 4

5 ➊ ➋ ➌ ➎ ➏ ➐ ➏ --cert client.crt \ ➐ --key client.key \ ➑ --reneg-sec 60 \ ➒ --verb 5 --remote e l hostname dell altro peer, se farete un peer con me dovrete mettere ouz.ath.cx --dev e il vostro device di tunnelling, se non state gia usando dei device usate tun0 (potete vederlo proprio come vedete ethx, solo che non ci gira arp :-D ) --ifconfig come avrete gia capito vuole due argomenti: l indirizzo ip del vostro lato del tunnel e l indirizzo del peer remoto --ca e il certificato della CA --cert e il vostro certificato (il.crt) --key e la vostra chiave ➑ --reneg-sec e il numero ehm... non ho sottomano la manpage :-) ➒ --verb e la verbosita dell output, da 1 a 9 in ordine crescente Per le altre opzioni guardate le relative pagine di manuale, anche se quella di openssl non la consiglio ai deboli di cuore :-) Windows (e in generali altri sistemi non *nix). Non so ancora se bisogna oppure no installare anche un pacchetto per openssl oppure se e gia stato incluso nella release di openvpn. Non so come possa funzionare il device tun/tap, magari funziona gia di per se, magari no. Oppena posso cerchero di darci un occhiata io e pubblichero i risultati, nel frattempo se qualch buon anima ci puo dare questi dettagli sarebbe molto gradito, e inseriro il suo contributo nel Nano-HOWTO :-) Suppongo basti leggere la documentazione allegata alla distribuzione per windows. Contatti (Mancano) Note 1. :-) 2. Perche e male tcp-over-tcp: si veda e, in particolare: (sorgenti) (Win32) 4. Nei kernel 2.4: Network device support ---> abilitare Universal TUN/TAP device driver support 5

6 Nei kernel 2.6: Device Drivers ---> Networking support ---> abilitare sia Network device support che Universal TUN/TAP device driver support Per maggiori info su questo device consultate il file Documentation/networking/tuntap.txt nei sorgenti del kernel. 6