[Wikipedia] Una VPN \u00e9s una tecnologia de xarxa que permet una extensi\u00f3 de xarxa local sobre una xarxa p\u00fablica o no controlada, com per exemple Internet.<\/p>\n
L’exemple m\u00e9s com\u00fa \u00e9s la possibilitat de connectar dos o m\u00e9s sucursals d’una empresa fent servir com a vincle Internet, permetent als membres del equip de suport t\u00e8cnic la connexi\u00f3 des de casa al centre de c\u00f2mputs, o que un usuari pugui accedir al seu equip dom\u00e8stic des de qualsevol equip remot, com per exemple el d’un hotel. Tot aix\u00f2 fent servir la infraestructura d’Internet.[\/Wikipedia]<\/p>\n
OpenVPN \u00e9s un servidor de xarxes privades virtuals amb suport SSL i un munt de caracter\u00edstiques. Es lliure, amb llic\u00e8ncia GNU GPL, i multiplataforma.<\/p>\n
OpenVPN pot muntar la xarxa virtual utilitzant connexions xifrades amb una clau compartida o amb claus asim\u00e8triques, veurem com construir els dos tipus de VPN.
\n<\/p>\n
Les connexions es faran utilitzant una clau compartida per tots els clients. \u00c9s menys segur que utilitzar claus p\u00fabliques\/privades, per\u00f2 \u00e9s m\u00e9s f\u00e0cil de configurar.<\/p>\n
Instal\u00b7lem openvpn (al client i al servidor):<\/p>\n
\r\n aptitude install openvpn\r\n<\/pre>\nDades de la xarxa i del VPN<\/b><\/p>\n
Xarxa: 192.168.3.0\/24
\nIP Servidor: 192.168.3.1
\nIP Client: 192.168.3.2
\nXarxa VPN: 192.168.100.0\/24
\nVPN IP Servidor: 192.168.100.1
\nVPN IP Client: 192.168.100.2<\/p>\nServidor<\/b><\/p>\n
Generem la clau compartida:<\/p>\n
\r\n openvpn --genkey --secret clau\r\n<\/pre>\nAquesta clau l’haur\u00e0 d’utilitzar tot aquell que vulgui connectar amb el VPN. S’haur\u00e0 de traspassar la clau utilitzant un medi segur (e.g. sftp).<\/p>\n
Creem \/etc\/openvpn\/hack.conf:<\/p>\n
\r\n dev tap0\r\n proto udp\r\n up \/etc\/openvpn\/hack.up\r\n secret clau\r\n port 50000\r\n comp-lzo\r\n ping 15\r\n verb 5\r\n<\/pre>\nCreem \/etc\/openvpn\/hack.up:<\/p>\n
\r\n #!\/bin\/bash\r\n \/sbin\/ifconfig tap0 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.100.255\r\n<\/pre>\nEns assegurem que es carrega el m\u00f2dul \u201ctun\u201d al arranc ficant-lo al \/etc\/modules i el carreguem en aquest moment:<\/p>\n
\r\n modprobe tun\r\n<\/pre>\nIniciem el servei:<\/p>\n
\r\n \/etc\/init.d\/openvpn start\r\n<\/pre>\nClient<\/b><\/p>\n
A l’ordinador que connectar\u00e0 amb la VPN creada, copiem a \/etc\/opevpn\/ la clau compartida generada al servidor de logs i creem \/etc\/openvpn\/hack.conf:<\/p>\n
\r\n dev tap0\r\n remote 192.168.3.1\r\n proto udp\r\n up \/etc\/openvpn\/hack.up\r\n secret clau\r\n port 50000\r\n comp-lzo\r\n<\/pre>\nCreem \/etc\/openvpn\/hack.up:<\/p>\n
\r\n #!\/bin\/bash\r\n \/sbin\/ifconfig tap0 192.168.100.2 netmask 255.255.255.0 broadcast 192.168.100.255\r\n<\/pre>\nEns assegurem que es carrega el m\u00f2dul \u201ctun\u201d al arranc ficant-lo al \/etc\/modules i el carreguem en aquest moment:<\/p>\n
\r\n modprobe tun\r\n<\/pre>\nEstablim la connexi\u00f3 amb la VPN:<\/p>\n
\r\n \/etc\/init.d\/openvpn start\r\n<\/pre>\nOpenVPN amb TLS<\/h2>\n
Les connexions es faran utilitzant claus privades\/p\u00fabliques i cada client tindr\u00e0 una diferent. M\u00e9s segur que utilitzar una clau compartida, per\u00f2 requereix m\u00e9s configuraci\u00f3.<\/p>\n
Instal\u00b7lem openvpn (al client i al servidor):<\/p>\n
\r\n aptitude install openvpn\r\n<\/pre>\nDades de la xarxa i del VPN<\/b><\/p>\n
Xarxa: 192.168.3.0\/24
\nIP Servidor: 192.168.2.1
\nIP Client: 192.168.2.2
\nXarxa VPN: 192.168.200.0\/24
\nVPN IP Servidor: 192.168.200.1
\nVPN IP Client: 192.168.200.2<\/p>\nServidor<\/b><\/p>\n
Per crear els certificats, primer s’ha de crear una entitat certificadora fict\u00edcia. Editem \/
\netc\/ssl\/openssl.cnf:<\/p>\n\r\n [ ca ]\r\n default_ca = CA_default\r\n [ CA_default ]\r\n dir = \/etc\/ssl\/xarxaCA # Where everything is kept\r\n certs = $dir\/certs # Where the issued certs are kept\r\n crl_dir = $dir\/crl # Where the issued crl are kept\r\n database = $dir\/index.txt # database index file.\r\n new_certs_dir = $dir\/newcerts # default place for new certs\r\n certificate = $dir\/xarxaCa.crt # The CA certificate\r\n serial = $dir\/serial # The current serial number\r\n crl = $dir\/crl.pem # The current CR\r\n private_key = $dir\/private\/xarxaCa.key # The private key\r\n<\/pre>\nExecutem:<\/p>\n
\r\n mkdir \/etc\/ssl\/xarxaCA\/\r\n mkdir \/etc\/ssl\/xarxaCA\/certs\r\n mkdir \/etc\/ssl\/xarxaCA\/private\r\n mkdir \/etc\/ssl\/xarxaCA\/newcerts\r\n mkdir \/etc\/ssl\/xarxaCA\/crl\r\n echo \"01\" > \/etc\/ssl\/xarxaCA\/serial\r\n touch \/etc\/ssl\/xarxaCA\/index.txt\r\n cd \/etc\/ssl\/xarxaCA\/\r\n openssl req -nodes -new -x509 -keyout private\/xarxaCa.key -out xarxaCa.crt -days 365\r\n<\/pre>\nAra ja disposem de l’entitat i anem a generar les claus privades, sol\u00b7licituds de certificat i certificats signats tant pel servidor VPN com per un client VPN:<\/p>\n
\r\n openssl req -nodes -new -keyout privateNet.key -out privateNet.csr\r\n openssl ca -out privateNet.crt -in privateNet.csr\r\n openssl req -nodes -new -keyout publicNet.key -out publicNet.csr\r\n openssl ca -out publicNet.crt -in publicNet.csr\r\n openssl dhparam -out dh1024.pem 1024\r\n<\/pre>\nLa clau i certificat \u201cpublicNet\u201d nom\u00e9s es per un client, s’ha de fer una clau per a cada nou client que es vulgui connectar. El trasp\u00e0s de la clau cap al client s’ha de fer mitjan\u00e7ant un medi segur (e.g. sftp).<\/p>\n
Creem el directori \/etc\/openvpn\/xarxa i fiquem dintre els arxius: dh1024.pem, xarxaCert.pem, privateNet.crt i privateNet.key. Creem el fitxer \/etc\/openvpn\/xarxa.conf:<\/p>\n
\r\n dev tap0\r\n proto udp\r\n up \/etc\/openvpn\/xarxa.up\r\n tls-server\r\n dh \/etc\/openvpn\/xarxa\/dh1024.pem\r\n ca \/etc\/openvpn\/xarxa\/xarxaCert.pem\r\n cert \/etc\/openvpn\/xarxa\/privateNet.crt\r\n key \/etc\/openvpn\/xarxa\/privateNet.key\r\n<\/pre>\nCreem el fitxer \/etc\/openvpn\/xarxa.up:<\/p>\n
\r\n #!\/bin\/bash\r\n ifconfig tap0 down\r\n ifconfig tap0 192.168.200.1 up\r\n<\/pre>\nEns assegurem que es carrega el m\u00f2dul \u201ctun\u201d al arranc ficant-lo al \/etc\/modules i el carreguem en aquest moment:<\/p>\n
modprobe tun<\/p>\n
Ja tenim preparat el servei:<\/p>\n
\r\n \/etc\/init.d\/openvpn start\r\n<\/pre>\nLa interf\u00edcie virtual per on rebrem les dades del VPN ser\u00e0 \u201ctap0\u201d:<\/p>\n
\r\ntap0 Link encap:Ethernet HWaddr 00:FF:26:3D:47:F1\r\n inet addr:192.168.200.1 Bcast:192.168.200.255 Mask:255.255.255.0\r\n inet6 addr: fe80::2ff:26ff:fe3d:47f1\/64 Scope:Link\r\n UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1\r\n RX packets:0 errors:0 dropped:0 overruns:0 frame:0\r\n TX packets:3 errors:0 dropped:0 overruns:0 carrier:0\r\n collisions:0 txqueuelen:1000\r\n RX bytes:0 (0.0 b) TX bytes:238 (238.0 b)\r\n<\/pre>\nClient<\/b><\/p>\n
Al ordinador client que volem connectar a la VPN creada, creem el directori \/etc\/openvpn\/xarxa i fiquem dintre els arxius: dh1024.pem, xarxaCert.pem, publicNet.crt i publicNet.key. Creem el fitxer \/etc\/openvpn\/xarxa.conf:<\/p>\n
\r\n dev tap0\r\n remote 192.168.2.1\r\n proto udp\r\n up \/etc\/openvpn\/vpn2\/xarxa.up\r\n tls-client\r\n dh \/etc\/openvpn\/xarxa\/dh1024.pem\r\n ca \/etc\/openvpn\/xarxa\/xarxaCert.pem\r\n cert \/etc\/openvpn\/xarxa\/publicNet.crt\r\n key \/etc\/openvpn\/xarxa\/publicNet.key\r\n port 50000\r\n comp-lzo\r\n ping 15\r\n verb 5\r\n<\/pre>\nCreem el fitxer \/etc\/openvpn\/xarxa.up:<\/p>\n
\r\n #!\/bin\/bash\r\n ifconfig tap0 down\r\n ifconfig tap0 192.168.200.2 up\r\n<\/pre>\nEns assegurem que es carrega el m\u00f2dul \u201ctun\u201d al arranc ficant-lo al \/etc\/modules i el carreguem en aquest moment:<\/p>\n
\r\n modprobe tun\r\n<\/pre>\nConnectem el VPN:<\/p>\n
\r\n \/etc\/init.d\/openvpn start\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"[Wikipedia] Una VPN \u00e9s una tecnologia de xarxa que permet una extensi\u00f3 de xarxa local sobre una xarxa p\u00fablica o no controlada, com per exemple Internet. L’exemple m\u00e9s com\u00fa \u00e9s la possibilitat de connectar dos o m\u00e9s sucursals d’una empresa fent servir com a vincle Internet, permetent als membres del equip de suport t\u00e8cnic la … Continue reading Configuraci\u00f3 OpenVPN a Ubuntu<\/span>