<Precedenti | Contenuti | Succ.>
1.6.1. Configurazione avanzata della VPN instradata sul server
Quella sopra è una VPN funzionante molto semplice. Il client può accedere ai servizi sulla macchina server VPN attraverso un tunnel crittografato. Se vuoi raggiungere più server o qualsiasi cosa in altre reti, invia alcuni percorsi ai client. Ad esempio, se la rete della tua azienda può essere riassunta nella rete 192.168.0.0/16, puoi inviare questa route ai client. Ma dovrai anche cambiare il routing per la via del ritorno: i tuoi server devono conoscere un percorso verso la rete client VPN.
Oppure potresti inviare un gateway predefinito a tutti i client per inviare tutto il loro traffico Internet prima al gateway VPN e da lì tramite il firewall aziendale in Internet. Questa sezione mostra alcune possibili opzioni.
Invia le route al client per consentirgli di raggiungere altre sottoreti private dietro il server. Ricorda che queste sottoreti private dovranno anche sapere per reindirizzare il pool di indirizzi client OpenVPN (10.8.0.0/24) al server OpenVPN.
premere "percorso 10.0.0.0 255.0.0.0"
Se abilitata, questa direttiva configurerà tutti i client per reindirizzare il loro gateway di rete predefinito attraverso la VPN, facendo sì che tutto il traffico IP, come la navigazione web e le ricerche DNS, passi attraverso la VPN (il computer del server OpenVPN o il firewall centrale potrebbe aver bisogno di NAT il TUN /TAP a Internet affinché funzioni correttamente).
premi "redirect-gateway def1 bypass-dhcp"
Configura la modalità server e fornisci una sottorete VPN per OpenVPN da cui attingere gli indirizzi dei client. Il server prenderà da solo 10.8.0.1, il resto sarà messo a disposizione dei client. Ogni cliente potrà raggiungere il server su
10.8.0.1. Commenta questa riga se stai facendo un bridging ethernet.
server 10.8.0.0 255.255.255.0
Conserva un record delle associazioni di indirizzi IP tra client e virtuali in questo file. Se OpenVPN si interrompe o viene riavviato, ai client in riconnessione può essere assegnato lo stesso indirizzo IP virtuale dal pool assegnato in precedenza.
ifconfig-pool-persist ipp.txt
Invia i server DNS al client.
push "dhcp-option DNS 10.0.0.2" push "dhcp-option DNS 10.1.0.2"
Consentire la comunicazione tra client e client.
client-to-client
Abilita la compressione sul collegamento VPN.
comp-lzo
. keepalive La direttiva fa sì che i messaggi di tipo ping vengano inviati avanti e indietro sul collegamento in modo che ciascuna parte sappia quando l'altra parte è stata interrotta. Eseguire il ping ogni 1 secondo, supponendo che il peer remoto sia inattivo se non viene ricevuto alcun ping durante un periodo di 3 secondi.
keepalive 1 3
È una buona idea ridurre i privilegi del demone OpenVPN dopo l'inizializzazione.
utente nessuno gruppo nessungruppo
OpenVPN 2.0 include una funzionalità che consente al server OpenVPN di ottenere in modo sicuro un nome utente e una password da un client che si connette e di utilizzare tali informazioni come base per l'autenticazione del client. Per utilizzare questo metodo di autenticazione, aggiungere prima la direttiva auth-user-pass alla configurazione del client. Indirizzerà al client OpenVPN di interrogare l'utente per un nome utente/password, trasmettendolo al server tramite il canale TLS sicuro.
# configurazione del cliente! auth-user-pass
Questo dirà al server OpenVPN di convalidare il nome utente/password immessi dai client utilizzando il modulo PAM di accesso. Utile se hai un'autenticazione centralizzata con ad esempio Kerberos.
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so accedi
Si prega di leggere la guida alla sicurezza dell'hardening di OpenVPN1 per ulteriori consigli sulla sicurezza.