Table of Contents
Transcript
Table of Contents
Table of Contents Configurazione del client OpenVPN.................................................................................................................1 GNU/Linux..............................................................................................................................................1 Istallazione e configurazione del client.............................................................................................1 Start/Stop client.................................................................................................................................2 Microsoft Windows.................................................................................................................................3 Certificati rilasciati dall'INFN Certification Authority.....................................................................3 Istallazione del client OpenVPN.......................................................................................................4 Collegamento alla VPN.....................................................................................................................5 Chiusura del collegamento alla VPN................................................................................................6 Chiusura dell'interfaccia OpenVPN GUI..........................................................................................6 i Configurazione del client OpenVPN GNU/Linux Istallazione e configurazione del client • Quanto segue deve essere eseguito come utente root, quindi aprire una shell ed eseguire il comando su - Debian based distro (Debian, Ubunto, ...) • Istallazione di OpenVPN apt-get update apt-get install openvpn • Per evitare che il client OpenVPN parta automaticamente al boot update-rc.d -f openvpn remove Removing any system startup links for /etc/init.d/openvpn ... /etc/rc0.d/K80openvpn /etc/rc1.d/K80openvpn /etc/rc2.d/S16openvpn /etc/rc3.d/S16openvpn /etc/rc4.d/S16openvpn /etc/rc5.d/S16openvpn /etc/rc6.d/K80openvpn Download del certificato INFNCA • E' necessario scaricare il certificato dell'INFN Certification Authority cd /etc/openvpn wget --no-check-certificate https://security.fi.infn.it/CA/mgt/INFNCA.pem --2008-09-11 15:35:15-- https://security.fi.infn.it/CA/mgt/INFNCA.pem Resolving security.fi.infn.it... 192.84.145.54 Connecting to security.fi.infn.it|192.84.145.54|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 1257 (1.2K) [text/plain] Saving to: `INFNCA.pem' 100%[======================================>] 1,257 --.-K/s in 0s 2008-09-11 15:35:15 (245 MB/s) - `INFNCA.pem' saved [1257/1257] Certificato personale • E' necessario disporre di un certificato personale rilasciato dall'INFN Certification Authority. • Se non si dispone di un certificato personale, per richiederne uno seguire le istruzioni riportate alla pagina . • Il proprio certificato personale deve essere salvato in un file in formato pkcs12. Configurazione del client OpenVPN 1 Se non si dispone del certificato in questo formato, seguire le istruzioni riportate alla pagina per generarlo. • Copiare il proprio certificato personale nella directory /etc/openvpn cp [certificato personale] /etc/openvpn/certificato_personale-INFNCA.p12 dove al posto di [certificato personale] dovra' essere utilizzato il percorso completo al file del certificato personale Configurazione del client • Creare il file client-INFN-FI.conf nella directory /etc/openvpn contenente quanto segue client dev tap proto udp remote ovpn.fi.infn.it 1194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca /etc/ssl/certs/INFNCA.pem pkcs12 /etc/openvpn/certificato_personale-INFNCA.p12 comp-lzo verb 3 Nota riguardo i certificati del client • La chiave pubblica della CA deve stare nel file /etc/openvpn/INFNCA.pem (oppure modificare la riga ca /etc/openvpn/INFNCA.pem nel file di configurazione /etc/openvpn/client-INFN-FI.conf). • Il certificato personale in formato pkcs12 deve stare nel file /etc/openvpn/certificato_personale-INFNCA.p12 (oppure modificare la riga pkcs12 /etc/openvpn/certificato_personale-INFNCA.p12 nel file di configurazione /etc/openvpn/client-INFN-FI.conf). Start/Stop client • Tutto cio' che segue deve essere eseguito come utente root. • Per far partire la connessione alla VPN /etc/init.d/openvpn start client-INFN-FI Starting virtual private network daemon: client-INFN-FI Enter Private Key Password: Inserire la password di protezione del certificato. Istallazione e configurazione del client 2 • Per chiudere la connessione alla VPN /etc/init.d/openvpn stop client-INFN-FI Stopping virtual private network daemon: client-INFN-FI. • Per conoscere il proprio IP nella VPN: ifconfig tap0 • Per verificare la connessione alla VPN: ♦ verificare che il client stia funzionando ps aux | grep vpn nobody 9546 0.0 0.0 5544 2920 ? Ss 11:57 0:00 /usr/sbin/openvpn --writepid /var/run/openvpn.client-INFN-FI.pid --daemon ovpn-client-INFN-FI --status /var/run/openvpn.client-INFN-FI status 10 --cd /etc/openvpn --config /etc/openvpn/client-INFN-FI.conf ♦ visualizzare la tabella di routing con il comando route -n e verificare che compaiano le seguenti linee Kernel IP routing table Destination Gateway 192.84.145.72 [default gw] 193.206.190.0 172.16.0.254 192.84.145.0 172.16.0.254 192.84.146.0 172.16.0.254 172.16.0.0 0.0.0.0 Genmask 255.255.255.255 255.255.255.0 255.255.255.0 255.255.255.0 255.255.0.0 Flags UGH UG UG UG U Metric 0 0 0 0 0 Ref 0 0 0 0 0 Use 0 0 0 0 0 Iface eth0 tap0 tap0 tap0 tap0 dove al posto di [default gw] comparira' l'IP del default gateway della macchina. • Per fare delle prove di funzionamento avviare openvpn con il comando openvpn /etc/openvpn/client-INFN-FI.conf Microsoft Windows • Sono supportate le seguenti versioni di Microsoft Windows: 98, NT, 2000, XP, VISTA. • Per collegarsi alla Virtual Private Network (VPN) di sezione e' necessario disporre di ♦ un certificato personale rilasciato dall'INFN Certification Authority e istallato nel database dei certificati di Microsoft Windows; ♦ il file di istallazione OpenVPN-INFN_FI-Setup-Win.zip che contiene: ◊ il client OpenVPN 2.0.9 con l'interfaccia grafica; ◊ il file di configurazione del client OpenVPN; ◊ il certificato dell'INFN Certification Authority; ◊ gli script per abilitare tun/tap di Microsoft Windows. Certificati rilasciati dall'INFN Certification Authority Start/Stop client 3 Registration Authority della sezione di Firenze Richiesta di un certificato personale all'INFN Certification Authority Backup/Salvataggio/Esportazione del certificato personale Importazione del certificato personale nel database dei certificati di Windows Consultazione del database dei certificati di Windows • Per consultare il database dei certificati di Windows ♦ Premere Start ♦ Premere Runâ↵¦ ♦ Scrivere certmgr.msc e premere invio. • Si apre una finestra divisa in due parti. Nella parte di sinistra c'e' un albero delle categorie in cui sono organizzati i certificati all'interno del database. Accedendo ai vari rami dell'albero, nella parte di destra viene visualizzato l'elenco dei certificati della categoria scelta. • Per visualizzare i certificati personali istallati scegliere nell'albero delle categorie di sinistra: Personal - Certificates. IMPORTANTE! Per accedere alla VPN di sezione e' necessario che nell'elenco sia presente il proprio certificato personale e che questo non sia scaduto. Annotare il valore del proprio certificato personale riportato nella prima colonna dell'elenco dei certificati (campo Issued to) prestando attenzione alle lettere maiuscole/minuscole. Tale valore, che tipicamente questo valore corrisponde al nome e cognome dell'intestatario del certificato, dovra' essere utilizzato durante l'istallazione del Client OpenVPN. Istallazione del client OpenVPN • Scaricare il file di istallazione OpenVPN-INFN_FI-Setup-Win.zip e salvarlo, per esempio sul Desktop. • Scompattare il file scaricato ♦ Click con il pulsante destro sul file scaricato. ♦ Scegliere l'opzione Extract Allâ↵¦. ♦ Premere Next. ♦ Premere Next. ♦ Premere Finish • E' stata creata la cartella OpenVPN-INFN-Setup ed e' stata aperta automaticamente. Se cosi' non fosse, spostarsi nella cartella appena creata OpenVPN-INFN-Setup. • Lanciare il programma di istallazione openvpn-2.0.9-gui-1.0.3-install.exe. Avviata l'istallazione premere i pulsanti: Certificati rilasciati dall'INFN Certification Authority 4 ♦ Premere Next. ♦ Premere I Agree. ♦ Compare la finestra Chose Components. Nella lista Select component to install oltre alle opzioni di default spuntare anche la voce Hide the TAP-Win32 Virtual Ethernet Adapter. ♦ Destination Folder: lasciare quella di default che dovrebbe essere C:\Program Files\OpenVPN e premere Install. ♦ Premere Next. ♦ Premere Install. ♦ Premere Next. ♦ Premere Finish. • Finita l'istallazione viene automaticamente lanciata l'interfaccia grafica OpenVPN GUI. Quando questa applicazione e' in esecuzione compare un icona con due terminali e un globo nella Taskbar in basso a destra. Quando non si e' connessi tramite la VPN i terminali sono rossi. Quando si e' connessi tramite la VPN i terminali sono verdi. Si accede all'interfaccia OpenVPN GUI tramite il tasto destro del mouse su tale icona. • Copiare i seguenti file dalla cartella OpenVPN-INFN-Setup alla cartella C:\Program Files\OpenVPN\config ♦ client-INFN-FI.ovpn ♦ client-down.bat ♦ client-pre.bat ♦ INFNCA.pem • Se si e' istallato il client OpenVPN in una cartella diversa, per esempio C:\OpenVPN, i file precedenti (client.ovpn, client-down.bat, client-pre.bat, cacert.pem, key.pem, cert.pem) andranno copiati nella cartella C:\OpenVPN\config. • Configurare il client facendo click con il pulsante destro sull'icona di OpenVPN GUI (i due terminali e con il globo) nella Taskbar e scegliendo Edit Config. Nell'ultima riga del file di configurazione appena aperto sostituire ???-ID del Certificato-??? con il nome del proprio certificato. Per ricavarlo seguire le istruzioni indicate in precedenza nella sezione Consultazione del database dei certificati di Windows). Per esempio se il proprio certificato personale e' intestato a Bruno Rossi, l'ultima riga del file di configurazione dovra' essere cryptoapicert "SUBJ:Bruno Rossi" Salvare la modifica ed uscire con ♦ File ♦ Save ♦ File ♦ Exit Collegamento alla VPN • Alla fine dell'istallazione viene automaticamente lanciata l'interfaccia grafica OpenVPN GUI. • Controllare se l'interfaccia grafica OpenVPN GUI e' in esecuzione: quando questa applicazione e' in esecuzione compare un icona con due terminali e un globo nella Taskbar in basso a destra. • Se l'interfaccia grafica OpenVPN GUI non e' in esecuzione lanciarla tramite: Start â Programs â OpenVPN â OpenVPN GUI • Quando non si e' connessi tramite la VPN i terminali sono rossi. Istallazione del client OpenVPN 5 • Per connettersi fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella Taskbar e scegliere Connect. • Si aprono varie finestre dos: leggere e seguire le istruzioni che vi compaiono, tipo Press any key to continueâ↵¦. • Quando si e' connessi tramite la VPN i terminali sono verdi. Se si sposta il puntatore del mouse sull'icona di OpenVPN GUI nella Taskbar e si attende un'istante compare l'IP che ci e' stato assegnato dalla VPN. Chiusura del collegamento alla VPN • Per disconnettersi fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella Taskbar e scegliere Disonnect. • Compaiono varie finestre dos: leggere e seguire le istruzioni che vi compaiono, tipo Press any key to continueâ↵¦. • Se si fuole chiudere anche l'interfaccia OpenVPN GUI nella Taskbar seguire le istruzioni riportate di seguito. Chiusura dell'interfaccia OpenVPN GUI • Fare click con il pulsante destro del mouse sull'icona di OpenVPN GUI nella Taskbar e scegliere Exit. Collegamento alla VPN 6