OpenVPN - Konfiguracja dla administratora

Witajcie, przez problemy z psem (dziabnął mnie) nie miałem czasu przygotować materiału na dziś, więc wrzucam mój stary materiał nt. OpenVPN. Przepraszam za utrudnienia :(

OpenVPN, to pakiet oprogramowania służący do tworzenia sieci typu punkt - punkt lub strona – strona. Podstawową zaletą tego pakietu jest bezpieczeństwo sieci (pakiety są kompresowane i szyfrowane) i możliwość pracy wewnątrz sieci firmowej. Usługa została zastosowana, by zewnętrzne oddziały firmy mogły w bezpieczny sposób korzystać z zasobów serwera poprzez sieć internetową. Po instalacji programu z repozytorium należy go odpowiednio skonfigurować. Należy się zastanowić nad trybem pracy VPN – TUN lub TAP. W TUN podłączeni klienci pracują za NAT serwera (klient jest ukryty za serwerem przez co nie można sprawdzić do kogo informacje idą), a TAP oznacza pracę w moście (komputer połączony jest widziany jako oddzielna maszyna podłączona bezpośrednio do sieci), dostaje przydzielony adres z puli OpenVPN i jest widziany przez innych użytkowników sieci. W projekcie został wykorzystany tryb TAP. Następnym celem jest wygenerowanie głównego certyfikatu i klucza CA, na podstawie których tworzony jest certyfikat dla serwerów i klientów. Certyfikatów warto używać gdy więcej osób będzie używało VPN (np. jeśli są dwie siedziby) czy istnieje potrzeba większego bezpieczeństwa (można dany klucz unieważnić, gdy np. pracownik zostanie zwolniony). Do wygenerowania kluczy wykorzystane zostaną skrypty easy-rsa. W pliku vars modyfikujemy wartości potrzebne do wygenerowania klucza na dane naszej firmy (takie jak nazwa firmy, miasto, organizacja, email itd.), skrypt build - ca wygeneruje główny certyfikat i klucz CA, build – key - server wygeneruje klucz serwera, build - key klienta, a build - dh wygeneruje dane dla protokołu Dillfiego – Hellmana.

Następnym krokiem jest przekopiowanie odpowiednich kluczy klienta (ca.crt, klient.crt, klient.key). Tryb TAP polega na stworzeniu mostu między fizycznym interfejsem (np. eth1), który zostanie udostępniony, a wirtualnym tap0 – z połączenia tych interfejsów powstaje br0 (ang. bridge – most). Do Firewalla IPTables należy dodać linijki pozwalające na przesył pakietów po interfejsie tap0 i br0, a samo połączenie interfejsów zainicjuje skrypt bridge-start udostępniany przez twórców. Warto się zastanowić nad dodatkowymi opcjami dla VPN'a, takich jak np. kompresja lzo (comp-lzo), utrzymywanie połączenia (keepalive) czy udostępniania DNS (przydatne jeśli chcemy wymusić używanie wewnętrznego serwera DNS).

dev tap0 #Tryb pracy - TAP
port 1194 #Port nasłuchiwania – 1194 (domyślny)
proto udp #Protokół – UDP
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/opa-main.crt
key /etc/openvpn/easy-rsa/keys/opa-main.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server-bridge 172.16.0.1 255.255.0.0 172.16.10.1 172.16.10.255 #Wewnętrzne IP serwera, maska, pula #adresowa dla klientów łączących się po VPN
push "dhcp-option DNS 172.16.0.1 208.67.222.222" #Udostępnione adresy DNS wewnątrz sieci VPN
comp-lzo #Włączona kompresja LZO
keepalive 10 60 #Utrzymywanie połączenia

Konfiguracja serwera OpenVPN

client #Identyfikuje się jako klient
dev tap #Tryb pracy - TAP
proto udp #Protokół - UDP
remote 192.168.1.33 1194 #Adres IP i Port z którym ma się połączyć
ca ca.crt 
cert klient.crt
key klient.key
comp-lzo #Włączona kompresja LZO 
keepalive 10 60 #Utrzymywanie połączenia

Konfiguracja klienta OpenVPN