venerdì 15 febbraio 2013

Creare una VPN Site to Site con OpenVPN

Qualche mese fa abbiamo visto come creare una vpn site to site IPSec, oggi vedremo com'è possibile configurare una vpn site to site utilizzando OpenVPN.

Nella configurazione di una vpn site to site con OpenVPN, una delle sedi deve fare da server mentre l'altra da client. Quest'aspetto ci consente di creare delle vpn site to site avendo una sola sede con indirizzo IP pubblico.

Nel nostro esempio utilizzeremo come metodo di autenticazione una chiave condivisa (shared key).

Nel nostro esempio consideriamo due sedi: A e B
La sede A farà da server mentre la sede B farà da client

Impostazione del Server


Accediamo al menù VPN > OpenVPN
Clicchiamo su Add Server

Server Mode:  Peer to Peer (Shared Key)
Protocol: TCP
Device Mode: tun
Interface: WAN
Local Port: 1194
Description: Descrizione


Shared Key: YES
Encription algorithm: AES-128-CBC (128 bit)*
Hardware Crypto: No hardware Crypto Acceleration*

* Per sapere cosa scegliere per questi due campi vi consiglio di leggere l'articolo Qual'è l'algoritmo crittografico migliore per le VPN? in cui ho trattato la scelta dell'aloritmo più idonea alla nostra macchina.


Tunnel Network: 192.168.254.0/24 (scegliamo un asottorete non in uso dai due siti)
Local Network: 192.168.0.0/24 (inseriamo la classe ip della lan della sede A)
Remote Network: 192.168.5.0/24 (inseriamo la classe ip della lan della sede B)


Compression: se non è strettamente necessario, vi sconsiglio di attivare la compressione perchè aggiunge inutile overhead.
Type-of-Service: quest'impostazione serve a marcare i pacchetti in modo che possano essere correttamente gestiti dal traffic shaper ma, qeusta marcatura li espone a potenziali rischi di sicurezza.

Clicchiamo su Save

Selezioniamo Firewall > Rules > Wan

Clicciamo su Add New Rule
Aggiungiamo una regola per permettere il traffico TCP in entrata sulla porta WAN e diretto alla porta 1194


Clicchiamo su Save

LA configurazione della sede A è completata, ora passiamo alla configurazione della sede B.

Impostazione del Client


Selezioniamo VPN > OpenVPN > Clients
Clicchiamo su Add Client

Server Mode: Peer to Peer (Shared Key)
Protocol: TCP
Device mode: tun
Interface: WAN
Server Host or address: Indirizzo Ip Pubblico dle server
Server port: 1194
Description: Descrizione

 
Shared Key: Copiamo e Incolliamo qui la Chiave generata dal server
Encryption algorithm: AES-128-CBC (128 bit)
Hardware Crypto: No Hardware Crypto Acceleration


Tunnel Network: 192.168.254.0/24
Remote Network: 192.168.0.0/24 (inseriamo la classe ip della lan della sede A)


Compression: se non è strettamente necessario, vi sconsiglio di attivare la compressione perchè aggiunge inutile overhead.
Type-of-Service: quest'impostazione serve a marcare i pacchetti in modo che possano essere correttamente gestiti dal traffic shaper ma, qeusta marcatura li espone a potenziali rischi di sicurezza.

Clicchiamo su Save

A questo punto se non abbiamo dimenticato nulla la connessione VPN verrà stabilita in automatico. Per conoscere lo stato della VPN ad ogni accesso al firewall, possiamo aggiungere il widget OpenVPN alla nostra Dashboard.
Posta un commento