Endian Sezione Vpn

Configurazioni dei client

Sono riuscito a configurare il server solo tramite autenticazione con username e password quindi niente autenticazione tramite certificati x509.

Linux

Dopo aver scaricato il certificato del firewall .pem si può lanciare il comando

 openvpn --client --pull --comp-lzo --nobind --dev tap0 --ca firewall7.pem --auth-user-pass --remote 10.0.0.7

ricordando che il servizio di vpn sta in ascolto su tutte le interfacce
Le opzioni si possono anche mettere dentro un file di testo e fare un
openvpn --config client.config

ma rimare il problema che il client deve essere compilato per avere l'autenticazione tramite username e password specificati in un file di testo a parte. (devo mettere più riferimenti)

Ecco un esempio funzionante con gli stessi parametri a linea di comando

client 
pull 
comp-lzo 
nobind 
dev tap 
ca firewall7.pem 
auth-user-pass 
remote 10.0.0.7

Windows

C'è questo link sulla kb di endian, ma alla fine basta mettere un file di autenticazione come in linux l'unica differenza è che deve chiamarsi con estensione ovpn.

The VPN Menu

Endian può creare vpn basate sul protocollo più usato dalla maggior parte di s.o. e apparecchi di rete IPSEC, oppure si può basare sul servizio OpenVPN.
Sfortunatamente usando ipsec si possono avere grossi problemi d'interoperabilità tra dispositivi differenti e apparecchiature di rete. Per questo motivo endian raccomanda l'uso di openvpn. Nella distribuzione è incluso anche un client per windows linux mac os x

  • OpenVPN server: può connettere alla tua green zone attraverso un tunnel vpn
  • OpenVPN client (Gw2Gw): configura il lato client di un Gateway-to-Gateway setup tra due o più endian utm applicances.
  • IPsec: per tunnel basati su ipsec

OpenVPN server

Server configuration

  • C'è la spunta per abilitare il server.
  • Bridge Spunta. Serve per abilitare openvpn in una delle zone esistenti. Se non è bridged bisogna settare le regole del firewall nella vpn firewall, per essere sicuri che i client possano accedere a ogni zona, si potrebbe non volere questa connessione.
  • VPN subnet: disponibile solo se la bridge non è selezionata, permette di specificare che openvpn sia disponibile specificando la subnet.
  • Bridge to o Bridged a: se è in modalità bridged scegliere la zona in cui openvpn dovrebbe essere bridged.
  • Dynamic IP pool start address e Dynamic IP pool end address indirizzo iniziale e finale con cui vengono distribuiti gli ip. Il traffico di questi ip viene filtrato usando vpn firewall, questa è una classe definita dentro la sezione firewall di default.

Accounts

C'è la lista degli account.
Vediamo i campi significativi di aggiungi un account.

Sezione client routing (instradamento del client):
  • Direzionare tutto il traffico client attraverso VPN server, per far passare tutto il traffico del client attraverso la vpn e l'endian server. Questa non è l'opzione predefinita perchè il traffico normale di internet non dovrebbe passare dalla vpn ma dal client normale. Quindi non selezionare quest'opzione.
  • Effettuare Push solo delle opzioni globali su questo client, si capisce meglio in inglese Don’t push any routes to client. Normalmente quando un client si connette le rotte delle reti accessibili via vpn vengono aggiunte alla tabella di routing del client. Checkando questo box le rotte non vengono aggiunte automaticamente e bisognerà farlo manualmente.
  • Forza l'instradamento alla zona Blue/Orange: penso che sia perchè normalmente l'instradamento è verso la zona verde. Non è presente il significato sul manuale.
  • Reti dietro al client o Networks behind client: necessario se vuoi usare questo client come gateway-to-gateway setup. Inserisci nella casella di testo le reti che stanno dietro questo client in modo da inoltrarle agli altri client.
  • Push only these networks o Forza solo queste reti. Inserire una rete per riga con notazione net/cidr (es. 10.10.10.0/24). Questo sovrascriverà tutte le configurazioni di instradamento e forza solo le route di queste reti al client.
Sezione Custom push configuration o
  • Static ip address: normalmente sono dinamici si possono indicare qui gli ip che può avere
  • Push the name server: inserisci nel client la risoluzione di questi nomi.
  • Push the domain: si può forzare la ricerca del dominio.

Tutti gli indirizzi di questa sezione vanno con questa notazione ip/cidr 192.168.0.0/24

Advanced

Impostazioni avanzate

  • Port / Protocol : non conviene cambiare porta protocollo piuttosto se si devono usare porte diverse meglio fare un port forwarding.
  • Block DHCP responses coming from tunnel: per impedire che le risposte dhcp passino dal tunnel creando confusione.
  • Don’t block traffic between clients: il default è impedire la comunicazione tra i client

Opzioni globali di forzatura

  • Forza queste reti: forzare le rotte
  • Push these nameservers: come sopra
  • Push domain: come sopra

Queste opzioni sono come quelle per gli account ma applicate a tutti gli account.

Impostazioni generali di autenticazione

Il metodo di default è PSK (username/password)

OpenVPN client (Gw2Gw)

In questa sezione puoi specificare il lato client del gateway-to-gateway vpn connection Ci sono due possibilità per creare una openvpn client connection. Si può cliccare su "Add Tunnel" configuration per inserire informazioni sul server a cui ci si vuole connettere, non ce ne può essere più di uno. OPPURE se si ha un OpenVPN Access Server si possono importare i settings del client da li cliccando su "Import profile from OpenVPN Access Server" .

non ho completato il resto perchè per adesso non mi server

IPsec

non ho visto questa sezione perchè per adesso non mi serve

Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License