openvpn configurazione avanzata

vpn

Nell'articolo precedente abbiamo visto come configurare OpenVPN per creare una VPN (Virtual Private Network). Questa volta vediamo come modificare alcuni parametri di OpenVPN per ottenere una sicurezza ancora maggiore (a livello paranoico) e come utilizzare il server con OpenVPN come gateway/router per l'accesso ad Internet.

Aumentare la dimensione della chiave Diffie-Hellman

Inizialmente abbiamo creato una chiave Diffie-Hellman di 1024 bit. Se vogliamo una sicurezza aggiuntiva possiamo utilizzare una chiave di 2048 bit. Se dobbiamo ancora configurare OpenVPN, possiamo modificare direttamente il file /etc/openvpn/easy-rsa/vars mettendo 2048 al parametro KEY_SIZE:

E poi procedere con la creazione dei certificati come visto nell'articolo precedente su OpenVPN.
Se invece abbiamo già attivato OpenVPN e non vogliamo rigenerare tutti i certificati possiamo limitarci a ricreare solamente la chiave con il comando:

La nuova chiave si chiamerà dh2048.pem e dovrà essere copiata in /etc/openvpn. Allo stesso modo dovrà essere modificato il file server.conf con la riga:

Aumentare la dimensione della chiave AES

Sempre per una sicurezza a livello paranoico, possiamo dire a OpenVPN di utilizzare chiavi a 256 bit invece di quelle a 128. In questo caso la configurazione va effettuata sul server e sui client. La riga da modificare sui file server.conf e client.conf è quella relativa a cipher che deve diventare:

Utilizzo di tls-auth key

Ultimo accorgimento per aumentare la sicurezza è quello di utilizzare una chiave aggiuntiva nella fase di autenticazione. In questo caso l'utilizzo di una tls-auth key serve anche a proteggere il server OpenVPN da attacchi DoS (Denial of Service) tipo udp flood.
La chiave ta.key l'avevamo già generata con il comando:

ma poi non l'avevamo utilizzata. Per utilizzarla bisogna mettere nel file server.conf la riga:

e nel file client.conf la riga:

Nota. è importante che il server abbia un numero (0) e i tutti i client abbiano l'altro numero (1). Per default si utilizza 0 sul server e 1 per i client, ma è possibile invertire la configurazione.

Utilizzo protocollo tcp

l'utilizzo del protocollo tcp al posto del udp non rende OpenVPN più sicuro, ma fornisce una connessione più stabile. L'utilizzo del tcp rende la connessione leggermente più lenta, ma più stabile di fronte alla perdita di qualche pacchetto. Se si desidera attivarla, occorre modificare i file server.conf e client.conf cambiando le righe:

openvpn come gateway

Se si desidera utilizzare il server con OpenVPN come gateway per l'accesso ad internet, occorre specificarlo nel file server.conf. E' anche possibile fare in modo che vengano inviate alcune informazioni come i DNS da utilizzare (ad esempio di DNS di opendns.com). Le righe da aggiungere sono:

configurazione file di OpenVPN

Mettendo insieme tutte le modifiche da effettuare sul file server.conf per la nostra configurazione di OpenVPN:

Mentre il file client.conf dovrà avere le seguenti modifiche:

OpenVPN consente tantissime altre personalizzazioni come per esempio l'utilizzo del bridging, con un tunnel ethernet al posto del tunnel IP fino ad ora utilizzato. Per maggiori informazioni consiglio di leggere la documentazione.

Tags: , , , , ,

About the Author

Post a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Top