Andrea Beggi

To a man with a hammer, everything looks like a nail.

Configurare OpenVPN per accesso remoto alla rete aziendale

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Configurare OpenVPN per accesso remoto alla rete aziendale.
Modalità non-TLS con static key encryption mode

Requisiti:

Server OpenVPN: WinXP o Win Server 2003
Client: Win 2000 o successivi

rete locale 192.168.30.0 / 24
scheda rete server OpenVPN: 192.168.30.11 / 24

Su server OpnVPN:
1. installare OpenVPN
2. creare una preshared key: openvpn.exe –genkey –secret key la chiave verrà creata nel file key, copiarla dal server al client tramite un mezzo sicuro.
3. rinominare la connessione di rete appena creata dall’installazione: tap
4. lasciare l’indirizzo TCP/IP della connessione OpenVPN in automatico
5. creare un bridge tra la connessione di rete fisica ed il tap, chiamandolo “tap-bridge”
6. assegnare al bridge un indirizzo IP della rete locale (la stessa subnet della connessione fisica) es 192.168.30.15 / 24. Da adesso in poi il server XP OpenVPN avrà sulla rete questo indirizzo
7. testare la rete da e verso il server
8. assicurarsi di avere la preshared key nella cartella config
9. creare il file di configurazione (es: server.ovpn) come segue:

dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10

10. Importante – togliere dalla cartella config tutti gli altri file .ovpn
11a. far partire il file di configurazione con il tasto destro
11b. oppure far partire il servizio OpenVPN. Ricordarsi di metterlo in avvio automatico

Ricordarsi di pubblicare la porta UDP 5000, con PAT verso l’indirizzo privato del
server XP OpenVPN (nel caso: 192.168.30.15)

Su client

1. installare openvpn
2. dare alla scheda OpenVPN un indirizzo che fa parte della rete da raggiungere es: 192.168.30.16 /24
3. assicurarsi di avere la preshared key nella dir config
4. creare il file di configurazione (es: client.ovpn) come segue:

remote myserver.mydomain.com
dev tap
secret key
ping 5
verb 3
mute 10

5. far partire il file di configurazione con il tasto destro.

Tags: , ,

146 Commenti

Marco | #

Ciao, volevo sapere…come faccio a collegare due reti lontane tramite OpenVPN utilizzando il Bridge in entrambe le reti e fare in modo di vedere tutti i PC (Rete A+Rete B) in risorse di rete?

Premetto che la Rete B stà dietro router di cui non conosco la password e non mi permette di aprire la porta 41218.
Pensavo di risolvere il problema utilizzando la Rete A come server (dove posso aprire la porta 41218) e la Rete B come client.

Leggendo i log di entrambi gli OpenVPN sembra che le due reti siano collegate, ma in risorse di rete non c’è nulla.

I file di configurazione sono questi:

Rete A

port 41218
dev tap
dev-node tap
secret key.txt
ping 5
verb 3

Rete B

remote 84.52.xx.xx
port 41218
dev tap
dev-node tap
secret key.txt
ping 5
verb 3

Marco | #

Ciao, vorrei fare in modo che possa collegarmi con una VPN ad un server linux con un indirizzo IP pubblico (ed una sola scheda di rete) ed ottenere un indirizzo IP da un range “come se fossi” nella stessa sottorete del server.

In realtà credo di esserci vicino, riesco a connettermi al server ed ottenere un indirizzo ip nel range prescelto però o due problemi:

– quando attivo il bridging è come se il server “perdesse” l’indirizzo ip, voglio dire che da quel momento posso accedere al server solo dalla vpn

– riesco a vedere il server (e dal server vedo me) ma non riesco a raggiungere gli altri indirizzi della sottorete del server (e viceversa)

Spero di essermi spiegato, allego i vari file che adopero:

script di avvio:
#!/bin/bash
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

./bridge_start.sh
openvpn –cd /etc/openvpn/ –daemon –config assegnaip.ovpn
route add -net 0.0.0.0/0 gw

script del bridge:
#!/bin/bash

#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################

# Define Bridge Interface
br=”br0″

# Define list of TAP interfaces to be bridged,
# for example tap=”tap0 tap1 tap2″.
tap=”tap0″

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth=”eth0″
eth_ip=”l’indirizzo ip pubblico del mio server linux es a.b.c.d”
eth_netmask=”255.255.255.0″
eth_broadcast=”a.b.c.255″

for t in $tap; do
openvpn –mktun –dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap; do
brctl addif $br $t
done

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

configurazione server linux:
local indirizzo-ip-pubblico-del server
port 1111
proto udp
dev tap
;dev tun
ca ca.crt
cert miocertificato.crt
key miocertificato.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 255.255.255.0
push “route a.b.2.0 255.255.255.0″ //tentativo per accedere alla sottorete del server, ma non basta
push “route a.b.3.0 255.255.255.0″ //come sopra per accedere ad un altra sottorete locale
push “redirect-gateway”
push “dhcp-option DNS ”
client-to-client
duplicate-cn
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

configurazione del client:
client
dev tap
;dev tun
;dev-node MyTap
;dev-node tap01
;proto tcp
proto udp
remote 1111
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;mute-replay-warnings
ca ca.crt
cert casa.crt
key casa.key
;ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20

ale | #

ciao,
ho installato openvpn (GUI) sul mio server.
clicco connetti dalla GUI di openvpn e mi dice:
Sat Jan 13 16:15:25 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Jan 13 16:15:25 2007 IMPORTANT: OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jan 13 16:15:25 2007 WARNING: –ping should normally be used with –ping-restart or –ping-exit
Sat Jan 13 16:15:25 2007 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Sat Jan 13 16:15:25 2007 Static Encrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Sat Jan 13 16:15:25 2007 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Sat Jan 13 16:15:25 2007 Static Decrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Sat Jan 13 16:15:25 2007 TAP-WIN32 device [tap] opened: \\.\Global\{5FFC42C7-EDC0-4341-99A4-B1BC9BB367FA}.tap
Sat Jan 13 16:15:25 2007 TAP-Win32 Driver Version 8.4
Sat Jan 13 16:15:25 2007 TAP-Win32 MTU=1500
Sat Jan 13 16:15:25 2007 NOTE: could not get adapter index for \DEVICE\TCPIP_{5FFC42C7-EDC0-4341-99A4-B1BC9BB367FA}, status=55 : La risorsa o la periferica di rete specificata non è più disponibile.
Sat Jan 13 16:15:25 2007 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:4 ET:32 EL:0 ]
Sat Jan 13 16:15:25 2007 Local Options hash (VER=V4): ‘8b888ddc’
Sat Jan 13 16:15:25 2007 Expected Remote Options hash (VER=V4): ‘8b888ddc’
Sat Jan 13 16:15:25 2007 UDPv4 link local (bound): [undef]:1194
Sat Jan 13 16:15:25 2007 UDPv4 link remote: [undef]

quindi presuppongo che sul client non funzionerà, se non funziona sul server…
giusto?
grazie

Marco Perrone | #

Ciao a tutti, ho letto attentamente i post e ho installato e configurato OpenVPN come scritto ora però mi trovo nella stessa sistuazione di Videal e Ale che ha scritto prima di me. Sfortunatamente nessuno ha risposto al loro problema c’è qualcuno che mi può aiutare grazie molte

Lucio | #

Ho una situazione particolare:
1 rete wi-fi per la connessione alla LAN e a Internet
1 connessione a internet a banda larga attraverso l’immissione di login e password.
Ho provato a creare il bridge tra la tap32 adapter e la rete wifi e non mi si connette più ad internet. cosa sbaglio?

bujo | #

Ciao Andrea,
complimenti intanto,
sei la mia speranza per cercare di risolvere il problema relativo al bridge di rete:

could not get adapter index for \DEVICE\TCPIP_{seriedinumeriidentificativischeda}, status=55 : La risorsa o la periferica di rete specificata non è più disponibile.

Questo errore mi si presenta sia con server windows xp che con server linux, la rete che uso è: 192.168.30.0/24

Es:
server opevpn
green 192.168.30.112
red 192.168.30.214
server-bridge 192.168.30.0 255.255.255.0 192.168.30.85 192.168.30.110
(è il range di indirizzi da passare ai client vpn)

il client bridge road-warrior openvpn è:
192.168.30.22
viene acquisito l’IP 192.168.30.85 (così dice lo status di openvpn-gui) ma non viene associato alla scheda praticamente.
A volte inoltre attivando la vpn cade la connessione reale.
Un grazie immenso in anticipo

Ermanno | #

Ciao, vorrei un aiuto.. Open VPN non funziona con Windows Vista, o meglio , l’applicazione gira regolarmente, ma non accetta le Route che il server mi manda…
ecco l’errore……
——– ROUTE: route addition failed using CreateIpForwardEntry: Uno o più argomenti non validi. [if_index=26] ———

qualcuno mi sa dire se esiste una versione di OpenVpn funzionante con il nuovo OS ?

Grazie Ermanno

belin | #

complimenti per la competenza e per la ricetta delle trenette….passiamo subito al tecnico con la domanda:
il tuo tutorial su openvpn e’ chiaro e comprensibile le stesse regole valgono anche con la vpn creata con zerina ed ipcop ?
mi spiego meglio….il tunnel creato con zerina su ipcop, funziona correttamente ( route ok ping ai client remoti ok )per sfogliare la rete o loggarsi al server remoto ( ovviamente e’ questo il mio problema…)e’ necessario creare un bridge tra le interfacce tun ed eth1 ? ( ipcop supporta le bridge-utils )o sbaglio quache cosa e per loggarsi e sfogliare la rete e’ sufficente il tunnel che ho creato ? purtroppo cercando in rete non ho ancora trovato nessuna risposta precisa ..spero che tu o qualcun altro possa chierirmi questo dubbio ….grassie…
P.S. non sono “fisicamente” sul posto e quindi vorrei avere delle soluzioni da provare quando riusciro’ a spostarmi nelle sedi.

bujo | #

Ciao, da quanto ho letto per poter realizzare un bridge su IpCop bisogna preventivamente installare e compilare le bridge-utils (servono quindi sorgenti del kernel, gcc, gnu m4). Nei file di configurazione client/server al posto di tun bisogna usare tap poi devi abilitare il pool di indirizzi da assegnare ai client. Ti consiglio però di guardare gli howto su openvpn.net alla sezione bridge cmq per tutte le indicazioni specifiche.
Tanto per la cronaca io ci sto lavorando usando smoothwall, troverai i miei post nel rispettivo forum.
Ciao

P.s
Grazie ad Andrea che permette di poter discutere di openvpn sul suo blog, inizio a pensare che un sito in italiano interamente dedicato potrebbe far decisamente comodo ormai.

belin | #

Ok sono d’accordo con te nel ringraziare Andrea che ci concede di parlare di ipcop..anche un sito dedicato non sarebbe male…
Grazie anche per la risposta ma…..gli howto su open vpn gli ho studiati e realizzati compreso i bridge, il mio problema era specifico su ipcop,non sono fisicamente sul posto, quindi non sono riuscito ancora a fare delle prove serie…chi ha provato,cioe’ il cliente………non e’ riuscito a loggarsi al server remoto.
il mio dubbio era quindi: e’ incapace l’utente ( probabile)e quindi la vpn e’ gia funzionante ( i ping funzionano, a livello ip il tunnel funziona) o bisogna comunque creare un bridge?
P.S. anche le tabelle di routing sono corrette (li ho ovviamente controllate da remoto ma le uniche prove che riusco a fare adeeso sono solo a livello ip….)
con smoothwall riesci a sfogliare la rete ? usi la versione free ?

belin | #

Dimenticavo……quando ho configurato la vpn, usando zerina, mi era preclusa la possibilita’ di usare il tap,l’unica opzione selezionabile era il tun….

bujo | #

…non riesco + ad inserire commenti…cmq senza tap non si fa il bridge, con il tun devi abilitare un server wins per “sfogliare la rete”

belin | #

il server wins deve essere lato server o ne serve uno da entrambi i lati del tunnel ??
purtroppo come ho postato prima l’opzione tun non era selezionabile…?? (utilizzo zerina Alpha Relase 0.9.7a13

belin | #

scusate …ho utilizzato il device tun perche’ il tap non era selezionabile…. :-(

bujo | #

lato server ci sarà un wins server, poi tramite
push “dhcp-option WINS ipdelserver” sul file server.conf verrà passato il riferimento ai client.

belin | #

x bujo…ma tu hai realizzato un tunnel funzionante o e’ solo teoria ?…sembra una domanda retorica ma non lo e’.. :-)

belin | #

usando un wins il client si potra’ loggare al domain server ? potrebbe bastare solo il file lmhost ?…grazie per le risposte

bujo | #

Il tunnel è funzionante, il bridge ancora in fase di test.
Il wins server ti serve per sfogliare la rete, se monti una condivisione tramite indirizzo ip e quindi ti viene richiesto: nomeutente/password per loggarti ad un domain server credo non ti serva nemmeno.

belin | #

Ok siamo nella stessa situazione…..tunnel funzionante…
servizi…bho !
ma stamattina sono riuscito ad andare presso il cliente e
fare delle prove piu’ accurate, utilizzando il server wins,
ho settato anche il file hosts per sicurezza,sono riuscito a sfogliare la rete ed a loggare il client al server remoto.
quindi la soluzione e'( come diceva la toria….):
creato un tunnel con ip cop (zerina), per sfogliare la rete,e loggarsi al server, e’ necessario un server wins,da impostare nelle proprieta’ tcp/ip,o compilare il file hosts,per utilizzare tutte le funzioni tipiche di un dominio.
spero che la nostra discussione con relativa soluzione sia di aiuto anche ad altri.
Grassie.
P.S.
Ho letto,ma non ancora verificato,che la soluzione tunnel-wins e’ la piu’ efficente dal punto di vista del trasporto,perche’ il bridge implica un passaggio di broadcast tra le due reti che rischia di saturare la banda…

bujo | #

Bene, son contento di esserti stato di aiuto, se hai tempo e voglia potresti postare i passaggi completi sul forum di ipcop e/o zerina, leggo di molti utenti con problemi.
Io sto facendo lo stesso sul forum di smoothwall.
Ciao

P.s
una delle questioni più problematiche è relativa alle impostazioni delle tabelle di routing

bujo | #

Nuovo problema:
dopo aver lanciato un ping dal client vpn su una macchina dietro il server vpn:

“Unsupported/out-of-order ICMP: ICMP(type:0, code:0)”:

#server side lan machine ip vpn client
192.168.30.222 192.168.10.10 ACCESS BLOCK

ip_forwarding è abilitato,
il fw dovrebbe essere ok,
…qualcuno ha idea di come si possa risolvere questo problema ?

bujo | #

Soluzione trovata

iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE

ora il ping dal client alla subnet lato server funziona.

alato | #

Implementata openVPN con ipcop e zerina, funziona e pingo da remoto sia il lato red che green, non riesco a pingare niente oltre il server linux. Help me. Ciao e grazie.

stefano | #

Ho questo problema:
dalla mia adsl FW mi collego con openVPN alla rete aziendale e lancio un’applicativo che genera una connessione socket tra la mia macchina e un server nella rete aziendale.
Questa connessione ha bisogno di 19 secondi per instaurarsi, io avrei bisogno di stare intorno al secondo.
Non capisco perche’ cio’ accade, tieni presente che la stessa operazione non con FestWeb ma in dial-up con Alice ha bisogno di 1 secondo.
Grazie
Ciao

simone | #

Salve a tutti,
devo creare una VPN fra la mia rete domestica (server = PC con Windows xp) connessa ad internet tramite un connessione ADSL e un mio PC (Windows XP) in modalità ROAD WARRIOR. Vorrei sapere quali sono i file di configurazione per il server e il client, le eventuali modifiche da settare sul router/ firewall ADSL (rotte statiche, regole firewall..) e sulla tabella di routing del server e del client. Premetto che la rete domestica esce su internet tramite NAT (il mio router riceve un indirizzo in DHCP dall’ ISP che fino ad ora ho notato essere sempre lo stesso).
Grazie

bujo | #

Ciao Simone, scusa se ti rispondo in maniera un pochino brutale, ma…hai letto almeno l’inizio di questo post ?
Le risposte ci son già tutte, si tratta solo di leggere…(RTFM dicono i BOFH).

P.s
Scusa Andrea se mi permetto di rispondere in questo modo nel tuo blog

Pablo | #

Ciao
Ho una rete con server a 192.168.1.100 e router a 192.168.1.1
Dopo aver fatto il bridge (con il tap messo a 192.168.1.200) ho dovuto cambiare i dns in ogni pc della rete con 192.168.1.200 altrimenti la navigazione non andava

Sul router ho aperto la 5000, la 1194 e 1723 su 192.168.1.200…

Quando lancio il server.ovpn mi dice tap not found

alex | #

Salve a tutti. Ho questo scenario: server con ip pubblico con router adsl (ip semi-dinamico, nel senso che se cade il router qualche volta cambia ip.)
Client dentro man fastweb.
Dovrei poter connetermi dal client al server per usare un software gestionale. Avevo pensato a openvpn su entrambi per creare la rete e poi utilizzare remote desktop. La cosa è fattibile? Riesco se seguo questa guida?

andrea bottari | #

per risolvere il problema della disconnessione del client ( windows ) inserire nel file di configurazione la seguente riga…

keepalive 10 48000

Bujo | #

Ciao Andrea, torno sul tuo blog in questa sezione perchè dopo mesi che tutto funziona con openvpn ora mi trovo con un dilemma…e mi farebbe piacere un tuo parere.
Mi ritrovo con una vpn sempre attiva e dei client autorizzati(con la loro chiave etc…) vorrei però avere un avviso (mail o altro) di quando entrano in vpn realmente.
La mia openvpn gira su un server smoothwall modificato per cui non ho molto spazio di manovra per quanto riguarda le installazioni di programmi aggiuntivi.
Grazie in anticipo per qualsiasi aiuto.
Ciao

Ivan De Tomasi | #

Buongiorno a tutti..
spero possiate darmi una mano:
ho installato openvpn su win 2003 server (SBS). Ho scoperto poi che con questa versione non è possibile creare connessioni con bridging. Open vpn funziona ma il client vede solo il server. Sapreste dirmi come configurare il server openvpn usando dev tun in modalità routed? La rete lan è in classe C, server openvpn con indirizzo 10.8.0.1 proposto di defaut. Grazie in anticipo!

Luka | #

Buongiorno a tutti.
Dopo aver letto per intero il post, ho ancora qualche problema irrisolto nella configurazione della VPN.
In fase di connessione del server ottengo la “spiacevole” indicazione:
could not get adapter index for \DEVICE\TCPIP_{46
CE181B-DA4B-4117-B964-492C0FD9BE76}, status=55
che non ho risolto con l’idicazione fornita di numeri “associati” di IP. La cosa però non pregiudica apparentemente la connessione del server stesso. Ripeto apparentemente.
In secondo luogo, nonostante riesca tranquillamente a pingare i client e viceversa, e riesca nell’intento (frivolo se vogliamo) di giocare con gli amici online, di punto in bianco ogni circa 5 minuti il ping della connessione sale a dismisura (999) bloccandomi le connessioni che, talvolta si risistemano da sole mentre altre mandano in blocco il client.
Noto anche che la periferica virtuale rimane in modalità “sconnessa” anche durante la connessione.
I valori sono quelli standar con porta UDP 1194 reindirizzata e tutti i firewall disinseriti.
Ho provato ad abilitare il Log ad un livello maggiore e noto innumerevoli sequenze RwrWr ecc.ecc, avete idea di che si tratta?
Qualora abbiate qualche suggerimento, vi ringrazio in anticipo

Davide | #

Buongiorno
Volevo fare i miei complimenti ai redatori di questa pagina soprattutto per il tempo e la pazzienza che dedicano a rispondere a i svariati messagi che arrivano.
Grazie a questa guida sono riuscito risolvere alcuni piccoli problemi, ma rimangono ancora alcuni questiti.
1) che problemi comporta se l’indirizzo ip del Bridge rinominato “tap-bridge” ha lo stesso ip della rete locale LAN?
2) il comando “dev-node tap” che funzione svolge?
il segunete comando se lasciato attivo mi blocca l’esecuzione di openvpn con conseguente messagio “TAP-Win32 adapter ‘ tap’ not found.
Grazie

Marco | #

Ciao, non ho capito bene il comando che permette di modificare sul server il default gw una volta che un client si connette. Oppure di impostarlo per il servizio.
Grazie Marco complimenti.

MarcoS | #

Ciao, avrei due domande. Usando OpenVpn sono riuscito nell’intento solo su due reti con classe uguale, è possibile crearla su classi diverse?
2) E’ possibile creare più certificati per i client?Perchè ho riscontrato alcuni problemi in proposito..Grazie!

luca lombardi | #

Ciao Andrea,
innanzitutto grazie per i tuoi preziosi consigli e grazie per averli messi a disposizione di tutti.
Io ho configurato tutto, ma ho un problemino, ovviamnete quando mi collego ad una rete remota che ha la stessa subnet che ho io sul client la connessione non avviene…come posso ovviare a questo problema?

Orion | #

Ciao a tutti,

mi sto cimentando da un pò nell’utilizzo di OpenVPN in ambiente Win Xp per collegare un client tramite internet ad un pc
che ho in ufficio. Dopo numerose peripezie sono riuscito a configurare OpenVPN in modo corretto per condividere i dati del PC
ufficio ma ho un problema di tempo di collegamento, dopo un pò infatti il pc client OpenVPN si scollega e per ripristinare il collegamento
devo intervenire sul OpenVPN bridge e fare un riristino della connessione. Qualcuno può aiutarmi??
di seguito allego la configurazione client.

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node “OpenVPN”

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote eurot.dyndns.org 1194
;remote ganimede.dyndns.org 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don’t need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It’s best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to “server”. This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to “server”. The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth key.txt 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don’t enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 9

# Silence repeating messages
;mute 20

Grazie.

gionata | #

buogiorno, chiedo un aiuto importante. Ho l’ estremo bisogno di poter accedere al mio computer tramite internet da un altro computer, inserendo cvosì un Ip e no utilizzando programmi.
Se quelcuno mi può inviare una procedurta completa alla mia mail ne sarei molto felice, dato che non so a chi chiedere.
ho un modem d link e non ho sito web e non lo voglio avere.

Veronica | #

Tue Jul 21 15:24:17 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jul 21 15:24:21 2009 TAP-WIN32 device [Connessione alla rete locale (LAN) 3] opened: \\.\Global\{E4820190-C32B-4A3F-ABC8-C3DFB72988E3}.tap
Tue Jul 21 15:24:21 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.254.254.2/255.255.255.252 on interface {E4820190-C32B-4A3F-ABC8-C3DFB72988E3} [DHCP-serv: 10.254.254.1, lease-time: 31536000]
Tue Jul 21 15:24:21 2009 Successful ARP Flush on interface [3] {E4820190-C32B-4A3F-ABC8-C3DFB72988E3}
Tue Jul 21 15:24:21 2009 UDPv4 link local (bound): [undef]:5001
Tue Jul 21 15:24:21 2009 UDPv4 link remote: 81.74.100.222:5001

rimane con il semaforo giallo!!! aiutooooo grazie

Chiara | #

Ciao,
da un client windows xp mi è possibile pingare ma non vedere le risorse della LAN remota.
qualsiasi suggerimento è ben accetto!
grazie!

Emanuele | #

Ciao Andrea,

Vorrei sapere una cosa, secondo te è possibile usare un programma come Hamachi,oppure Gbridge, per collegare due PC di due LAN diverse in VPN:

Es.
PC1(10.0.0.30) di LAN 1 ——> PC2(192.168.0.30)di LAN2
|
v
PLC (192.168.0.31) di LAN2

Poi una volta raggiunto il PC2 tramite VPN creare un software, da installare sul PC2, che mi renda visibile anche un dispositivo (non PC) della stessa LAN del PC2, nel caso in questione un PLC S7 con indirizzo IP 192.168.0.31

Instaurato questo collegamento io vorrei usare sul PC1 un programma di diagnosi del PLC S7 configurato per comunicare con il PLC IP 192.168.0.31.

In questo modo potrei sfruttare il grande vantaggio di programmi quali Hamchi e Grouter, di creare in modo molto semplice una VPN tra due LAN senza bisogno di conoscere l’indirizzo dell’host che collega la LAN2 ad internet e senza bisogno di chiedere di aprire porte sul router della LAN2 e nemmeno di configurare un server VPN sulla LAN2

Spero di essermi spiegato grazie

GG | #

ciao andrea,
ho seguito alla lettera la tua guida e sembrava nn funzionare nulla! allafine mi sono accorto ke se il server creato è sotto fastweb con ip pubblico fisso a pagamento nn funziona, se invece mi collego x esempio tramite kiavetta wind, il tutto funziona (kiaramente nel file client.opvn scrivo l’ip pubblico con cui esce su internet)!!!!
Cosa succede? nn mi è kiaro potresti aiutarmi a risolvere, o almeno a farmi capire, il problema?
Grazie mille in anticipo!!!!

fabien | #

salve avrei un quesito da proporvi.
Ho installato e configurato opevVpn tramite Zentyal (che consiglio per la su semplicità)e funziona perfettamente.
Qaundo mi collego vedo tutta la rete ma ho neccessità che l’utente (una ditta esterna che fa manutenzione), possa collegarsi solo ad un pc.
Qualcuno sa se è possibile farlo?
Grazie

fabien | #

Salve avreiun quesito da porvi.
Ho tirato su con zentyal un collegamento vpn con openvpn.
risco a vedere tutta la rete.
Ora il mio problema è questo: Vorrei limiatare il collegamento solo ad alcuni ip, cioè chi si collega da fuori deve vedere solo alcuni ip che io imposto.
Si può fare?
grazie in anticipo.

Mario | #

ho installato OpenVPN sul mio portatile. il server è composto da 1 firewall Linux ENDIAN, che mi gestisce OpenVPN, un server con Windows Server 2003. Quando attivo le VPN dal portatile tutto va bene e mi assegna il mio IP nella rete aziendale. Fino a poco tempo fa tutto andava bene. ora se attivo, per esempio la connessione a desktop remoto non mi permette più di entrare.
quale può essere il problema e la soluzione.
Grazie. Mario