Table of Contents

Table of Contents
Configurazione del client OpenVPN.................................................................................................................1
GNU/Linux..............................................................................................................................................1
Istallazione e configurazione del client.............................................................................................1
Start/Stop client.................................................................................................................................2
Microsoft Windows.................................................................................................................................3
Certificati rilasciati dall'INFN Certification Authority.....................................................................3
Istallazione del client OpenVPN.......................................................................................................4
Collegamento alla VPN.....................................................................................................................5
Chiusura del collegamento alla VPN................................................................................................6
Chiusura dell'interfaccia OpenVPN GUI..........................................................................................6
i
Configurazione del client OpenVPN
GNU/Linux
Istallazione e configurazione del client
• Quanto segue deve essere eseguito come utente root, quindi aprire una shell ed eseguire il comando
su -
Debian based distro (Debian, Ubunto, ...)
• Istallazione di OpenVPN
apt-get update
apt-get install openvpn
• Per evitare che il client OpenVPN parta automaticamente al boot
update-rc.d -f openvpn remove
Removing any system startup links for /etc/init.d/openvpn ...
/etc/rc0.d/K80openvpn
/etc/rc1.d/K80openvpn
/etc/rc2.d/S16openvpn
/etc/rc3.d/S16openvpn
/etc/rc4.d/S16openvpn
/etc/rc5.d/S16openvpn
/etc/rc6.d/K80openvpn
Download del certificato INFNCA
• E' necessario scaricare il certificato dell'INFN Certification Authority
cd /etc/openvpn
wget --no-check-certificate https://security.fi.infn.it/CA/mgt/INFNCA.pem
--2008-09-11 15:35:15-- https://security.fi.infn.it/CA/mgt/INFNCA.pem
Resolving security.fi.infn.it... 192.84.145.54
Connecting to security.fi.infn.it|192.84.145.54|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1257 (1.2K) [text/plain]
Saving to: `INFNCA.pem'
100%[======================================>] 1,257
--.-K/s
in 0s
2008-09-11 15:35:15 (245 MB/s) - `INFNCA.pem' saved [1257/1257]
Certificato personale
• E' necessario disporre di un certificato personale rilasciato dall'INFN Certification Authority.
• Se non si dispone di un certificato personale, per richiederne uno seguire le istruzioni riportate alla
pagina .
• Il proprio certificato personale deve essere salvato in un file in formato pkcs12.
Configurazione del client OpenVPN
1
Se non si dispone del certificato in questo formato, seguire le istruzioni riportate alla pagina per
generarlo.
• Copiare il proprio certificato personale nella directory /etc/openvpn
cp [certificato personale] /etc/openvpn/certificato_personale-INFNCA.p12
dove al posto di [certificato personale] dovra' essere utilizzato il percorso completo al file del
certificato personale
Configurazione del client
• Creare il file client-INFN-FI.conf nella directory /etc/openvpn contenente quanto segue
client
dev tap
proto udp
remote ovpn.fi.infn.it 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/ssl/certs/INFNCA.pem
pkcs12 /etc/openvpn/certificato_personale-INFNCA.p12
comp-lzo
verb 3
Nota riguardo i certificati del client
• La chiave pubblica della CA deve stare nel file /etc/openvpn/INFNCA.pem (oppure modificare la
riga
ca /etc/openvpn/INFNCA.pem
nel file di configurazione /etc/openvpn/client-INFN-FI.conf).
• Il certificato personale in formato pkcs12 deve stare nel file
/etc/openvpn/certificato_personale-INFNCA.p12 (oppure modificare la riga
pkcs12 /etc/openvpn/certificato_personale-INFNCA.p12
nel file di configurazione /etc/openvpn/client-INFN-FI.conf).
Start/Stop client
• Tutto cio' che segue deve essere eseguito come utente root.
• Per far partire la connessione alla VPN
/etc/init.d/openvpn start client-INFN-FI
Starting virtual private network daemon: client-INFN-FI
Enter Private Key Password:
Inserire la password di protezione del certificato.
Istallazione e configurazione del client
2
• Per chiudere la connessione alla VPN
/etc/init.d/openvpn stop client-INFN-FI
Stopping virtual private network daemon: client-INFN-FI.
• Per conoscere il proprio IP nella VPN:
ifconfig tap0
• Per verificare la connessione alla VPN:
♦ verificare che il client stia funzionando
ps aux | grep vpn
nobody
9546 0.0 0.0
5544 2920 ?
Ss
11:57
0:00
/usr/sbin/openvpn --writepid /var/run/openvpn.client-INFN-FI.pid
--daemon ovpn-client-INFN-FI --status /var/run/openvpn.client-INFN-FI
status 10 --cd /etc/openvpn --config /etc/openvpn/client-INFN-FI.conf
♦ visualizzare la tabella di routing con il comando
route -n
e verificare che compaiano le seguenti linee
Kernel IP routing table
Destination
Gateway
192.84.145.72
[default gw]
193.206.190.0
172.16.0.254
192.84.145.0
172.16.0.254
192.84.146.0
172.16.0.254
172.16.0.0
0.0.0.0
Genmask
255.255.255.255
255.255.255.0
255.255.255.0
255.255.255.0
255.255.0.0
Flags
UGH
UG
UG
UG
U
Metric
0
0
0
0
0
Ref
0
0
0
0
0
Use
0
0
0
0
0
Iface
eth0
tap0
tap0
tap0
tap0
dove al posto di [default gw] comparira' l'IP del default gateway della macchina.
• Per fare delle prove di funzionamento avviare openvpn con il comando
openvpn /etc/openvpn/client-INFN-FI.conf
Microsoft Windows
• Sono supportate le seguenti versioni di Microsoft Windows: 98, NT, 2000, XP, VISTA.
• Per collegarsi alla Virtual Private Network (VPN) di sezione e' necessario disporre di
♦ un certificato personale rilasciato dall'INFN Certification Authority e istallato nel database
dei certificati di Microsoft Windows;
♦ il file di istallazione OpenVPN-INFN_FI-Setup-Win.zip che contiene:
◊ il client OpenVPN 2.0.9 con l'interfaccia grafica;
◊ il file di configurazione del client OpenVPN;
◊ il certificato dell'INFN Certification Authority;
◊ gli script per abilitare tun/tap di Microsoft Windows.
Certificati rilasciati dall'INFN Certification Authority
Start/Stop client
3
Registration Authority della sezione di Firenze
Richiesta di un certificato personale all'INFN Certification Authority
Backup/Salvataggio/Esportazione del certificato personale
Importazione del certificato personale nel database dei certificati di Windows
Consultazione del database dei certificati di Windows
• Per consultare il database dei certificati di Windows
♦ Premere Start
♦ Premere Runâ↵¦
♦ Scrivere
certmgr.msc
e premere invio.
• Si apre una finestra divisa in due parti.
Nella parte di sinistra c'e' un albero delle categorie in cui sono organizzati i certificati all'interno del
database.
Accedendo ai vari rami dell'albero, nella parte di destra viene visualizzato l'elenco dei certificati
della categoria scelta.
• Per visualizzare i certificati personali istallati scegliere nell'albero delle categorie di sinistra:
Personal - Certificates.
IMPORTANTE!
Per accedere alla VPN di sezione e' necessario che nell'elenco sia presente il proprio certificato
personale e che questo non sia scaduto.
Annotare il valore del proprio certificato personale riportato nella prima colonna dell'elenco dei
certificati (campo Issued to) prestando attenzione alle lettere maiuscole/minuscole. Tale valore, che
tipicamente questo valore corrisponde al nome e cognome dell'intestatario del certificato, dovra'
essere utilizzato durante l'istallazione del Client OpenVPN.
Istallazione del client OpenVPN
• Scaricare il file di istallazione OpenVPN-INFN_FI-Setup-Win.zip e salvarlo, per esempio sul
Desktop.
• Scompattare il file scaricato
♦ Click con il pulsante destro sul file scaricato.
♦ Scegliere l'opzione Extract Allâ↵¦.
♦ Premere Next.
♦ Premere Next.
♦ Premere Finish
• E' stata creata la cartella OpenVPN-INFN-Setup ed e' stata aperta automaticamente.
Se cosi' non fosse, spostarsi nella cartella appena creata OpenVPN-INFN-Setup.
• Lanciare il programma di istallazione openvpn-2.0.9-gui-1.0.3-install.exe. Avviata l'istallazione
premere i pulsanti:
Certificati rilasciati dall'INFN Certification Authority
4
♦ Premere Next.
♦ Premere I Agree.
♦ Compare la finestra Chose Components. Nella lista Select component to install oltre alle
opzioni di default spuntare anche la voce Hide the TAP-Win32 Virtual Ethernet Adapter.
♦ Destination Folder: lasciare quella di default che dovrebbe essere C:\Program
Files\OpenVPN e premere Install.
♦ Premere Next.
♦ Premere Install.
♦ Premere Next.
♦ Premere Finish.
• Finita l'istallazione viene automaticamente lanciata l'interfaccia grafica OpenVPN GUI.
Quando questa applicazione e' in esecuzione compare un icona con due terminali e un globo nella
Taskbar in basso a destra.
Quando non si e' connessi tramite la VPN i terminali sono rossi.
Quando si e' connessi tramite la VPN i terminali sono verdi.
Si accede all'interfaccia OpenVPN GUI tramite il tasto destro del mouse su tale icona.
• Copiare i seguenti file dalla cartella OpenVPN-INFN-Setup alla cartella C:\Program
Files\OpenVPN\config
♦ client-INFN-FI.ovpn
♦ client-down.bat
♦ client-pre.bat
♦ INFNCA.pem
• Se si e' istallato il client OpenVPN in una cartella diversa, per esempio C:\OpenVPN, i file
precedenti (client.ovpn, client-down.bat, client-pre.bat, cacert.pem, key.pem, cert.pem) andranno
copiati nella cartella C:\OpenVPN\config.
• Configurare il client facendo click con il pulsante destro sull'icona di OpenVPN GUI (i due terminali
e con il globo) nella Taskbar e scegliendo Edit Config.
Nell'ultima riga del file di configurazione appena aperto sostituire ???-ID del Certificato-??? con il
nome del proprio certificato.
Per ricavarlo seguire le istruzioni indicate in precedenza nella sezione Consultazione del database dei
certificati di Windows).
Per esempio se il proprio certificato personale e' intestato a Bruno Rossi, l'ultima riga del file di
configurazione dovra' essere
cryptoapicert "SUBJ:Bruno Rossi"
Salvare la modifica ed uscire con
♦ File
♦ Save
♦ File
♦ Exit
Collegamento alla VPN
• Alla fine dell'istallazione viene automaticamente lanciata l'interfaccia grafica OpenVPN GUI.
• Controllare se l'interfaccia grafica OpenVPN GUI e' in esecuzione: quando questa applicazione e' in
esecuzione compare un icona con due terminali e un globo nella Taskbar in basso a destra.
• Se l'interfaccia grafica OpenVPN GUI non e' in esecuzione lanciarla tramite:
Start â Programs â OpenVPN â OpenVPN GUI
• Quando non si e' connessi tramite la VPN i terminali sono rossi.
Istallazione del client OpenVPN
5
• Per connettersi fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella Taskbar
e scegliere Connect.
• Si aprono varie finestre dos: leggere e seguire le istruzioni che vi compaiono, tipo Press any key to
continueâ↵¦.
• Quando si e' connessi tramite la VPN i terminali sono verdi. Se si sposta il puntatore del mouse
sull'icona di OpenVPN GUI nella Taskbar e si attende un'istante compare l'IP che ci e' stato
assegnato dalla VPN.
Chiusura del collegamento alla VPN
• Per disconnettersi fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella
Taskbar e scegliere Disonnect.
• Compaiono varie finestre dos: leggere e seguire le istruzioni che vi compaiono, tipo Press any key to
continueâ↵¦.
• Se si fuole chiudere anche l'interfaccia OpenVPN GUI nella Taskbar seguire le istruzioni riportate
di seguito.
Chiusura dell'interfaccia OpenVPN GUI
• Fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella Taskbar e scegliere
Exit.
Collegamento alla VPN
6