Configurare OpenVPN per accesso remoto alla rete aziendale.
Modalità non-TLS con static key encryption mode
Requisiti:
Server OpenVPN: WinXP o Win Server 2003
Client: Win 2000 o successivi
rete locale 192.168.30.0 / 24
scheda rete server OpenVPN: 192.168.30.11 / 24
Su server OpnVPN:
1. installare OpenVPN
2. creare una preshared key: openvpn.exe –genkey –secret key la chiave verrà creata nel file key, copiarla dal server al client tramite un mezzo sicuro.
3. rinominare la connessione di rete appena creata dall’installazione: tap
4. lasciare l’indirizzo TCP/IP della connessione OpenVPN in automatico
5. creare un bridge tra la connessione di rete fisica ed il tap, chiamandolo “tap-bridge”
6. assegnare al bridge un indirizzo IP della rete locale (la stessa subnet della connessione fisica) es 192.168.30.15 / 24. Da adesso in poi il server XP OpenVPN avrà sulla rete questo indirizzo
7. testare la rete da e verso il server
8. assicurarsi di avere la preshared key nella cartella config
9. creare il file di configurazione (es: server.ovpn) come segue:
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
10. Importante – togliere dalla cartella config tutti gli altri file .ovpn
11a. far partire il file di configurazione con il tasto destro
11b. oppure far partire il servizio OpenVPN. Ricordarsi di metterlo in avvio automatico
Ricordarsi di pubblicare la porta UDP 5000, con PAT verso l’indirizzo privato del
server XP OpenVPN (nel caso: 192.168.30.15)
Su client
1. installare openvpn
2. dare alla scheda OpenVPN un indirizzo che fa parte della rete da raggiungere es: 192.168.30.16 /24
3. assicurarsi di avere la preshared key nella dir config
4. creare il file di configurazione (es: client.ovpn) come segue:
remote myserver.mydomain.com
dev tap
secret key
ping 5
verb 3
mute 10
5. far partire il file di configurazione con il tasto destro.
Commenti
146 risposte a “Configurare OpenVPN per accesso remoto alla rete aziendale”
Luca, � inutilmente complicato. Prendi uno switch 10/100, che tanto ormai costano poco, ci attacchi tutto e hai 100 megabit tra i pc e 10 megabit tra i PC e l’hag.
Per il bridge dovrai fare delle prove, poich� non mi � chiaro come funziona il routing nel tuo caso.
Innanzi tutto complimenti per il sito e per le guide…
stile semplice e chiaro.
Avrei alcune domande da fare
Cosa intendi per :
“lasciare l�indirizzo TCP/IP della connessione OpenVPN in automatico”.
Te lo chiedo perch� ho modificato la mia configurazione e non mi ricordo la configurazione iniziale…
(Intendi DHCP oppure un indirizzo fisso?)
L’unico modo per vedere tuta la rete interna � attraverso un bridge di rete?
Se s�, � possibile configurare tale bridge su sistemi *UNIX
Volendo non potrei installare demoni VPN sui computer che intendo vedere nella rete interna ed omettere il bridge?
Potrei sfruttare la connessione internet della rete interna alla VPN da un altra “sede” lavorativa esterna?
Ti spiego la situazione
Ufficio A internet “libera” (Nessuna Limitazione Firewall)
Ufficio B internet con firewall
Potrei dall’ufficio B utilizzare la VPN e sfruttare la connessione internet della Rete dell’ufficio A…
spero di essere stato chiaro
Grazie,
Max
Ciao, sto provando openvpn in modalit� certificato tra casa mia e la rete ospedaliera. Qui al lavoro ho openvpn 1.6.x per linux, mentre a casa ho la versione 2.x per windows.
la vpn di tipo routed si attiva ma ho problemi di routing credo, cio� da casa mia pingo bene solo il server openvpn! mentre dall’ospedale vengo visto benissimo!!
mi aiutate?
Max: intendo DHCP. Si, il bridge lo puoi fare anche con linux.
Puoi mettere demoni su tutte le macchine, ma devi usare porte diverse e forwardale tutte. Poco pratico.
Con le opportune regole di routing dovresti essere in grado. Violi le policy di sicurezza dell’azienda, per�.
Enrico, mi sembra un problema di settaggio del server. Hai provato la configurazione “bridged”?
questa sera probero la vpn-bridge.
posto la configurazione del server:
————–
dev tun
tun-mtu 1500
tun-mtu-extra 32
cd /etc/openvpn
log-append /var/log/openvpn/vpn1
ifconfig 192.168.0.1 192.168.0.2
tls-server
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key
port 1194
reneg-sec 1000
key-method 1
daemon
comp-lzo
ping 15
verb 3
————–
manualmente aggiungo la route giusta.
Ciao,
sto configurando opnvpa su di una macchina XP SP2. Configuro tutto, quando lancio l’applicativo questo mi risponde con:
Mon Jul 18 12:56:03 2005 OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 200
5
Mon Jul 18 12:56:03 2005 Diffie-Hellman initialized with 1024 bit key
Mon Jul 18 12:56:03 2005 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0
]
Mon Jul 18 12:56:03 2005 TAP-WIN32 device [openvpn] opened: \.\Global\{DE3410C1
-024B-4389-AEBF-3A1D4FAABBF7}.tap
Mon Jul 18 12:56:03 2005 TAP-Win32 Driver Version 8.1
Mon Jul 18 12:56:03 2005 TAP-Win32 MTU=1500
Mon Jul 18 12:56:03 2005 Sleeping for 10 seconds…
Mon Jul 18 12:56:13 2005 NOTE: could not get adapter index for \DEVICE\TCPIP_{DE
3410C1-024B-4389-AEBF-3A1D4FAABBF7}, status=55 : La risorsa o la periferica di r
ete specificata non � pi� disponibile.
Mon Jul 18 12:56:13 2005 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:23 ET:3
2 EL:0 AF:3/1 ]
Mon Jul 18 12:56:13 2005 UDPv4 link local (bound): [undef]:1194
Mon Jul 18 12:56:13 2005 UDPv4 link remote: [undef]
Mon Jul 18 12:56:13 2005 MULTI: multi_init called, r=256 v=256
Mon Jul 18 12:56:13 2005 IFCONFIG POOL: base=172.25.173.45 size=6
Mon Jul 18 12:56:13 2005 Initialization Sequence Completed.
L’errore sta nel fatto che windows non riesce a registrare l’interfaccia virtuale. Ho provato openvpn da un altro win xp sp2 inglese e da un windows 2003 ita ma sempre con lo stesso risultato. Non trovo niente neanche in internet che parli di questo errore.
Grazie,
Michele
Michele, ho avuto uno scambio di mail con un’altra persona su questo errore. Abbiamo fatto alcune prove e ci siamo accorti che, nonstante la diagnostica, la connessione funzionava perfettamente. Sono riuscito a collegarmi al suo PC da casa mia, attraverso Internet. La mia impressione � che sia una qualche incompatibilt� minore con XP. Comunque, funzionava.
Ciao andrea,
approfitto della tua disponibilit�; purtroppo il collegamento continua a non funzionare ti riporto le configurazione del server e del client.
*SERVER*
port
proto tcp
dev tap
dev-node openvpn (nome della scheda tap, non del bridge)
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
ca ca.crt
cert server.crt
key server.key
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
dh dh1024.pem
server-bridge 255.255.255.0
persist-key
persist-tun
status openvpn-status.log
verb 3
*CLIENT*
client
dev tap
proto tcp
remote
resolv-retry infinite
nobind
persist-key
persist-tun
cd “C:\Programmi\OpenVPN\easy-rsa\keys”
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
Facendo un netstat -a sul server non vedo nessun tipo di connettivit� in ingrasso sulla porta selezionata per l’openvpn. Sul client, che cerca di collegarsi, la scehda di rete Tap Win-32 rimane sempre scollegata (sul server, invece, quando lancio l’applicativo la scheda risulta collegata).
Se hai qualche idea….
Grazie,
Michele
Quindi sul server funge, � il client che ha problemi. Non ho mai provato con i certificati, per�…
La diagnostica che hai postato � del client?
Ciao Andrea,
come volevasi dimostrare l’errore era dovuto alla classica virgola di troppo in una riga di config del client….
Grazie, comunque, e ciao,
Michele
Scusa il disturbo, ma chiedo aiuto. Sono collegato con il mio computer ad un server remoto tramite OpenVPN. Tutto funzione bene.
Ora io vorrei anche utilizzare il mio computer come server per una mia rete ed utilizzare OpenVPN per permettere ad un computer situato a casa mia di accedere alla mia rete. Come devo fare? Mi puoi aiutare fornendomi i passaggi necessari a configurare il mio server?
Grazie. Mario
Ciao ho letto un po tutte queste informazioni, e mi sono dilettato a installare OpenVPn su un server windows 2003 pubblicandolo dalla porta 80 e tutto funziona, utilizzando le key, ma riesco a collegare un portatile solo alla volta, non riesco a capre la configurazione per utilizare piu key.
Server
port 80
proto tcp-server
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
Client
proto tcp-client
remote serverremoto 80
dev tap
secret key
ping 5
verb 3
mute 10
Per il file key � sempre lo stesso nel mio casa..
Grazie e scusate se forse la soluzione � semplice ma � il primo giorno in cui mi imbatto in OpenVpn
ciao a tutti …
io ho realizzato la vpn come descritta da te andrea nel how to sopra… pero senza effettuare il bridging tra il tap e la connessione lan….
la mia domanda � se “risorse di rete” � l unico “luogo” dove poter vedere il pc remoto e le sue risorse condivise ..
Ho creato una rete Openvpn col metodo “tun”.
le due macchiene si connettono con ip 192.168.1.201 e 192.168.1.202 : fin qui tutto ok.
Le reti che si collegano sono ambedue 192.168.1.xxx
Il problema e’ che il “tun” sotto windows mi da sempre la netmask 255.255.255.252 e sulle mie reti la netmask � 255.
255.255.0 : riesco a “pingare” server e client OVPN, ma non le restanti macchine dellla rete.
P.S.: non risco ad utilizzare il bridge perch� riceve sempre errori di connessione della periferica virtuale (ho winXP SP2).
Grazie a chi mi pu� aiutare
Rik: il bridge � indispensabile.
Se lancio Openvpn senza bridge tutto ok, si connette sia come tun che come tap.
Se invece aggiungo la periferica al bridge la cosa non funziona pi� e ottengo il seguente errore:
Thu Oct 20 11:35:42 2005 NOTE: could not get adapter index for \DEVICE\TCPIP_{95
01E342-1FCC-4F32-B58E-1F0F9E9C71F0}, status=55 : La risorsa o la periferica di r
ete specificata non � pi� disponibile.
Ho risolto il problema: tutto sta nel fatto che non tutti gli IP funzionano, me devone essere accopiati.
Per esempio la coppia 192.168.1.102 sul bridge del server e 192.168.1.202 sul client funziona perfettamente.
Ciao,
mi associo ai complimenti per l’utile sito 🙂
Ho messo su un server windows 2003 ed ho configurato openvpn per il protocollo TCP impostando il bridge come lo hai definito nel tuo esempio iniziale. La connessione ad internet del server e’ fatta in dial-up trami PPPOE.
Funziona ma la cosa stranissima e’ che consente un utente per volta e quando un utente chiude la connesion vpn mi cade la connessione in Dial-up del server.
Mentre se uso upd mi consente conessioni multiple e la linea rimane sempre in piedi.
La cosa che mi interessa maggiornmente e’ capire per quale motivo quando il client chiude la connessione vpn fatta con il tcp cade la linea.
Hai qualche idea?
Ciao,
Gianpiero.
il tap-win32 adapter mi da sempre cavo di rete scollegato come fare ????
ciao andrea,
ho configurato un server e un client seguido il tuo howto,il router col quale mi collego ad internet gestisce questa rete: 192.168.1.1/24, il bridge sul server ha questo indirizzo: 192.168.1.10; il client ha questo indirizzo: 192.168.1.3;
ho creato il file key.dat e l’ho successivamente copiato nella cartella config del client.
dopo aver avviato il file server.ovpn sul server ho questo output:
Mon Jan 30 18:29:26 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005
Mon Jan 30 18:29:26 2006 IMPORTANT: OpenVPN’s default port number is now 1194, b ased on an official port number assignment by IANA.
OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Jan 30 18:29:26 2006 WARNING: –ping should normally be used with –ping-res tart or –ping-exit
Mon Jan 30 18:29:26 2006 Static Encrypt: Cipher ‘BF-CBC’ initialized with 128 bi t key
Mon Jan 30 18:29:26 2006 Static Encrypt: Using 160 bit message hash ‘SHA1’ for H MAC authentication
Mon Jan 30 18:29:26 2006 Static Decrypt: Cipher ‘BF-CBC’ initialized with 128 bi t key Mon Jan 30 18:29:26 2006 Static Decrypt: Using 160 bit message hash ‘SHA1’ for H MAC authentication Mon Jan 30 18:29:26 2006 TAP-WIN32 device [tap]
opened: \\.\Global\{96AF2F3E-BAD
8-42E3-9674-598D740DDC87}.tap
Mon Jan 30 18:29:26 2006 TAP-Win32 Driver Version 8.1 Mon Jan 30 18:29:26 2006 TAP-Win32 MTU=1500
Mon Jan 30 18:29:26 2006 NOTE: could not get adapter index for \DEVICE\TCPIP_{96 AF2F3E-BAD8-42E3-9674-598D740DDC87}, status=55 : La risorsa o la periferica di rete specificata non � pi� disponibile.
Mon Jan 30 18:29:26 2006 Data Channel MTU parms [L:1576 D:1450 EF:44 EB:4 ET:32 EL:0 ]
Mon Jan 30 18:29:26 2006 Local Options hash (VER=V4):
‘8b888ddc’
Mon Jan 30 18:29:26 2006 Expected Remote Options hash
(VER=V4): ‘8b888ddc’
Mon Jan 30 18:29:26 2006 UDPv4 link local (bound):
[undef]:1194
Mon Jan 30 18:29:26 2006 UDPv4 link remote: [undef]
invece dopo aver avviato client.ovpn sul client ho questo output:
“Mon Jan 30 18:42:51 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005
Mon Jan 30 18:42:51 2006 IMPORTANT: OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Mon Jan 30 18:42:51 2006 WARNING: –ping should normally be used with –ping-restart or –ping-exit
Mon Jan 30 18:42:51 2006 Cannot open file key file ‘key’: Impossibile trovare il file specificato. (errno=2)
Mon Jan 30 18:42:51 2006 Exiting
Press any key to continue…
sai darmi un piccolo aiuto…
ti ringrazio anticipatamente per ogni tuo intervento.
Ciao a tutti
Anche io ho notato che ci sono problemi nel connettere 2 clients allo stesso server in modalit� bridged. Alla connessione del secondo client sul server mi viene mostrato:
Tue Feb 07 11:45:09 2006 Authenticate/Decrypt packet error: bad packet ID (may b
e a replay): [ #1607 / time = (1139304746) Tue Feb 07 10:32:26 2006 ] — see the
man page entry for –no-replay and –replay-window for more info or silence thi
s warning with –mute-replay-warnings
e uno dei due non vede pi� la vpn..
Su ogni client (xp) � installato Openvpn, lanciato all’avvio come servizio; nella directory config � presente solo client.ovpn e la key (sono esattamente uguali: fatto il primo client ho copiato sul secondo gli stessi files).Il contenuto di client.ovpn di entrambi �
remote 10.0.2.10
dev tap
secret key
ping 5
verb 3
mute 10
Ho notato che nessuno ha risposto ai precedenti post contenenti la stessa domanda..come mai?
Ciao e grazie!
aggiungo la configurazione del server e qualche altra informazione su come sto effettuando la configurazione:
server.ovpn
dev tap
dev-node tap
secret key
ping 5
verb 3
mute 10
Quello che mi viene in mente � che questo tipo di configurazione sia un puro point-to-point, ovvero il secondo client che si cerca di collegare al server risulta un “intruso”.
server_bridged.ovpn
dev tap
dev-node tap
ca keys\\ca.crt
cert keys\\server.crt
key keys\\server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.0.3.10 255.255.255.0 10.0.3.50 10.0.3.254
ping 5
verb 3
mute 10
Mi aspetto che questa configurazione sia pi� consona, ma non riesco a fare in modo che dall’altro lato venga accettato l’indirizzo che il server dovrebbe passare. Sul client xp ho ho configurato scheda di rete di openvpn in modo che prenda l’ip dinamico, ma anche questo non � servito. (naturalmente tutto � ok dal punto di vista dei certificati, la vpn viene su ma il client non riceve l’indirizzo)
Per Giuse:
All’indirizzo http://openvpn.net/static.html la risposta alla tua domanda.
Static Key disadvantages
* Limited scalability — one client, one server
[…] OpenVpn Gurutech.it Andrea Beggi […]
Ditemi dove sto sbagliando, che mi viene da bestemmiare: ho installato openvpn pensando di settarlo in modalità bridge su windows xp sp2. L’indirizzo ip che ho su lan è 128.1.1.14 con netmask 255.255.0.0 (lo so che è un ip pubblico ma quelli che han realizzato la rete hanno cappellato e nn posso più cambiarli). Seleziono l’interfaccia lan e quella virtuale Tap-Win32 (lasciato con indirizzo ip dinamico) e le fondo magicamente in un bel bridge. Do un indirizzo ip della stessa sottorete lan (ho provato 128.1.1.14 o anche 128.1.1.30) al nuovo nato e… e nn riesco più a pingare niente; è come se fossi scollegato dal resto della lan! Che può essere? Ho installato Vmware che utilizza pure i bridge per le sue schede di rete virtuali. Può essere questo? Anche se ho trovato l’esempio di un tizio che ce lo aveva pure lui installato senza problemi. Vi chiedo aiuto onde nn morire schiumando rabbia… PS: @Andrea Grazie mille per l’utilissima guida
Uhm… Ho provato anche a casa da me, ma fa la stessa cosa. Fondo la scheda di rete lan e quella virtuale, assegno un indirizzo ip della mia sottorete al bridge uguale o anche diverso a quello che aveva la scheda di rete lan in precedenza) e nn riesco più a pingare niente e nessun. Direi che prob sbaglio qualcosa… ma cosa???
ciao…
premetto che sono agli inizi
sulla mia macchina xp prof ho configurato openVpn come server, ho solo una connessione adsl tramite modem usb, una scheda di rete montata ma inutilizzata dato che ho solo questo pc
un mio amico con identica situazione sta in ascolto con configurazione client
ho deciso di creare un Tunnel a liv.3 – Tun (non Brigding)
in modalita TCP
connessone stabilita, il ping risponde in entrambi i versi
e adesso inizia il bello
vorrei condividere le risorse di rete, magari una semplice condivisione di cartelle, ho provato con le indicazioni sul file lmhosts, ma non ne vengo a capo…. in risorse di rete non vedo le cartelle condivise del client
cosa devo fare…
grazie mille
X Cristiano: Credo dovresti usare una configurazione con bridge… Cmq inerentemente al problema che avevo riportato: Esso è riconducibile alle schede di rete che nn funzionano in modalità promiscua (trovato sul sito della microsoft). Il problema dovrebbe presentarsi solo con schede wireless, ma da me si presenta anche con scheda di rete cablata. Sullo stesso sito propongono anche una possibile soluzione che, nel mio caso però nn funziona. Ad ogni modo ho configurato il tutto su un’altra macchina con windows 2003 e funziona tutto. Ho perso un sacco di tempo a rompermi la testa per nulla.
Ciao a tutti e complimenti per le celerissime risposte!
io avrei una domanda…
Ho tirato su il server openvpn sotto una centos3.4 e ho un client WinXP; quando faccio la connessione mi da che è tutto collegato e la sessione è stata inizizlizzata correttamente, ma in realtà in ping dal client al server mi da esito negativo…controllando con il tcpdump ho scoperto che i pacchetti arrivano all’interfaccia tap0, ma questa nn gli risponde…premesso che per il momento ho il firewall tutto open, cosa potrebbe essere?
PS nn sono espertissimo, se avete una qualche idea la accolgo Mooolto volentieri! 🙂
grazie mille in anticipo
Salve a tutti,
vi spiego la mia configurazione.
Ho una lan a casa con 2 client winxp ed 1 server win2k3.
Sono collegato all’esterno (ip dinamico per ora…più avanti forse comprerò 1 ip pubblico) con un router adsl + firewall drytek che mi fa da nat ai 2 client interni.
Per ora vorrei solo accedere al server e non ai client, per recuperare dei documenti o files dal lavoro.
Al lavoro ho 2 adsl. 1 adsl su fastweb (centralina fastweb che gestisce anche i telefoni interni e router speedtouch alcatel) ed 1 su telecom sulla quale c’è una VPN (fatta fra 2 firewall sonicwall collegati a 2 router adsl netgear) con la sede (io sono in filiale).
Dal lavoro dunque vorrei accedere al mio server di casa.
Avendo un 1 ip pubblico dinamico dovrei reimpostarlo nel config di openvpn ogni volta che cambia vero?
E’ meglio passare dal gateway di fastweb o quello di telecom (ma passando di qui dovrei passare tramite il firewall sonicwall)?
Ciao,
dal mio ufficio ci si collega ad una server farm (accesso consentito da ip del mio ufficio).
Se io mi collego da casa verso la rete del mio ufficio tramite openvpn nessun problema…
Non riesco pero’ a connettermi alla server farm, in quanto anche se sono in vpn l’inidirizzo che utilizzo non è quello del mio ufficio.. è possibile mascherare il mio indirizzo utilizzando la vpn e fare in modo di ottenere quello dell’ ufficio quando faccio richieste verso l’esterno? Spero che si riesca a capire quello che volevo dire…
Grazie
Ciao Andrea,
ottima guida, l’unica in italiano trovata in rete.
ecco la mia configurazione:
PC A che vuol fare da server:
192.192.2.150
255.255.255.0
indirizzo pubblico: 82.187.124.105 connessione ADSL ip fisso
PC B che vuol fare da client:
192.192.1.150
255.255.255.0
indirizzo pubblico: 87.17.75.231 connessione ADSL ip dinamico
quindi vorrei connettere 2 adsl entrambe presenti nel mio ufficio.
seguo alla lettera tutto il procedimento, solo che dopo aver creato il tap gli dò un indirizzo fisso del tipo 192.192.2.151 e non dinamico in quanto il mio router non da la possiblità di connettersi in DHCP.
creo la key, (mi crea il key.txt) e lo rinomico a key (senza estensione) e lo metto in config
creo il file server.ovpn e lo lancio.
parte la videata msdos e mi dice che la lan è collegata.
mi sposto sul lato client:
metto il file key nel config e creo client.ovpn cosi come consigliato.
ORA IL DUBBIO:
visto che sul server ho messo un indirizzo preciso e non dhcp, cioè 192.192.2.151 provo a pingarlo dal client ma nulla.
provo anche a pingare dal client 192.192.2.150 ma nulla lo stesso.
in cosa ho sbagliato???????
grazie tante ragazzi!
e complimentoni ad Andrea
Usando sia un 2003 server che un xp quando tento di fare il bridging tra il tap virtuale e la connessione fisica, risulta comunque disabilitato (esiste ma disabilitato) il click su connessione con bridging…
Come posso risolvere?
Grazie in anticipo
Ciao, sono michele qualcuno sa se e come è possibile connettere due client allo stesso server con openvpn?
Grazie
Michele
Salve.. piccolo problema. Ho necessità di implementare una rete aziendale così fatta: sede centrale e 5 sedi remote. Tutte collegate tramite HDSL (primaria), adsl (1° backup) isdn (2° backup). Sto utilizzando tutti sistemi linux con schede seriali v35 (Tahoe) e zebra. Originariamente utilizzavo i cisco 1720 per gestire Hdsl e isdn di backup. Le sedi remote devono potersi loggare al dominio (sede centrale). Il mio problema sta nel far convivere lo zebra (ospfd) e Openvpn. Zebra gestisce correttamente i vari backup, ma openvpn ci mette oltre un minuto ad andare giù e ritirarsi su.. oltre al fatto che non riesco a pubblicare la rete lato server.. utilizzando dev tun.. Ho cercato di essere conciso al massimo, spero vivamente, anche se non ci conosciamo e sono nuovo del mondo linux, che possiate darmi una mano. Grazie.. Danilo.
Vorrei un chiarimento ho creato una openvpn tra un host e una lan. Succede questo che sia dal server della lan e da un pc della lan riesco a pingare il pc remoto. Analogamente riesco a fare dal pc remoto. Inoltre dal pc remoto riesco a vedere le risorse condivise del server della Lan. Non riesco a fare il contrario cioè dalla lan vedere le risorse condivise del pc remoto
Corrado, probabilmente devi creare sui client LAN una route statica che indica il server OpenVPN come router per i pacchetti destinati al client remoto. Va creata su tutti i client, oppure una volta sola nel gateway della rete.
Ho provato a fare add new Tap-win32 virtual ethernet adapter ma dalle connessioni di rete non trovo nessuna nuova connessione. Inoltre lanciando la start della vpn mi dice che il dispositivo non è installato e mi da il percorso per arrivare nel menù di openvpn per installare il dispositivo. Ma per winxp sp2 c’è qualche problema? Cosa posso fare?
Ciao Andrea, anzitutto complimenti per la tua guida che trovo molto semplice e completa.
Passo ora alla mia domanda:
Collegandomi in vpn non riesco a dire al mio client di utilizzare un indirizzo gateway predefinito(192.168.10.1).
Ho utilizzato la la stringa
push route gateway 192.168.10.1 , ma non mi assegna l’ip.
Utilizzando anche la stringa redirect-gateway l’ip assegnato come gateway è quello del server.. quindi non corretto!
Mi potresti dare una mano visto che non riesco a cavare una ragno dal buco?
Grazie 1000!
Ciao Andrea e complimenti per il sito utilissimo!!
Ho appena finito di installare openvpn lato server su un pc della lan aziendale (fedora core5) e la parte client sul mio xp di casa e tutto funziona nel senso che riesco a pingare correttamente.
Ora mi chiedo:
con la vpn creata, posso accedere da casa al webserver della lan aziendale in modo che riesca a navigare da casa nel sito interno dell’azienda? Passando ovviamente per il pc dell’azienda dove ho installato la parte server di openvpn. Grazie in anticipo e di nuovo complimenti!
Ciao Mario…volevo sapere….riesci anche a pingare da remoto un pc windows xp che “sta dietro” il server linux OpenVpn ? Se si, vorrei qualche dritta in merito…credo di aver fatto tutto correttamente ma riesco “a vedere” solo il server.
Saluti
Ciao Michele.
Credo che il problema sia quello di aggiungere una rotta sul server openvpn che punta alla tua lan.
Quindi se l’ind. virtuale del tuo server openvpn è 10.0.0.1 e la tua lan è 192.168.1.0/24 bisogna aggiungere una rotta che colleghi il server e la lan, cosicchè un client vpn che si trova altrove sia in grado di raggiungere la 192.168.1.0/24 passando per il 10.0.0.1
ECCO TUTTA LA PROCEDURA :)…..che non funziona COMPLETAMENTE!!!
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 192.168.1.154 netmask 255.255.255.0 up &
route add default gw 192.168.1.1
############################################
############################################
il comando route mi da:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.1.0 * 255.255.255.0 U 0 0 0 tap0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
default 192.168.1.1 0.0.0.0 UG 0 0 0 br0
########################
SERVER.CONF
########################
dev tap
proto udp
ifconfig 10.0.1.1 255.255.255.0
tls-server
key “/etc/openvpn/easy-rsa/keys/ca.key”
dh “/etc/openvpn/easy-rsa/keys/dh1024.pem”
cert “/etc/openvpn/easy-rsa/keys/ca.crt”
ca “/etc/openvpn/easy-rsa/keys/ca.crt”
local 192.168.1.154
lport 1194
verb 4
mode server
duplicate-cn
#ifconfig-poll 10.0.1.10 10.0.1.30
#mssfix 1450
push “ping 10”
push “ping-restart 60”
ping 10
########################
CLIENT
########################
remote IP-PUBBLICO
rport 1194
proto udp
tls-client
dev tap
tls-client
ifconfig 10.0.1.2 255.255.255.0
key.ca.key
ca ca.crt
cert ca.crt
pull
route 192.168.1.0 255.255.255.0 10.0.1.1
comp-lzo
verb4
############################################
############################################
ovviamente IP-FORWARDING abilitato con il comando
sysctl -w net.ipv4.ip_forward=1
############################################
ciao michele
per uno scenario di questo tipo (host-to-lan) credo bisogni usare la modalità tun anzichè tap, altrimenti il comando route non ha effetto. La modalità tap infatti trasporta trame di livello 2 mentre la tun arriva fino al livello 3.
Ciao
sarà anche giusto quello che dici…ma la maggior parte degli esempi che trovo in rete funzionano con la mia configurazione…credo che il mio errore sia un altro…ma non lo trovo…
Ciao, fantastica disponibilità e competenza alla quale vorrei sottoporre un (forse banale)quesito. Ho installato e configurato sia il server sia il client, dispongo di router ed ho attivato su dyndns.org un host (alias del mio), quale IP dovevo mettere su dyndns ? il server o il publico del router ?, quando connetto il client resta giallo, mi appare la richiesta password del router ? debbo attivare qualcosa sul router ? NAT (?) Virtual server(?) e se si come? Grazie.
ciao e grazie della disponibilità e competenza.
Avrei un problema forse banale con openVPN ma penso che questo sia il posto giusto per risolverlo. Ho installato sul PC a casa il client openVPN e funziona bene… accade però che dal momento della connessione VPN, la rete locale (un altro PC collegato con cavo cross) ne risenta. Ad esempio quest’altro PC non riesce più ad andare in internet (configurato con l’indirizzo gateway del pc con il client openVPN dove è configurata la condivisione della connessione ad internet). Un altro caso è che alcuni programmi risentano delle politiche di restrizione della rete alla quale mi collego in VPN (ad esmpio eMule e skype). Volevo sapere cosa potevo guardare o quali manuali consultare dato che ho cercato in internet ma non ho trovato ancora nulla.
grazie
ciao
Ciao, complimenti x la guida…. Ho un problema che si presenta quando creo più connessioni dalla mia macchina client. Mi spiego meglio: ho 2 server distinti ed un client, apro la connessione dal client ad un server e il tutto funge perfettamente, mentre non mi è possibile aprire la seconda connessione all’altro server mantenendo la prima aperta. OpenVPN_GUI mi risponde così:
– TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use (WSAEADDRINUSE)
la mia configurazione del client è la seguente (cambiano ovviamente gli indirizzi dei server e IP locali per le due connessioni:
(OpenvpnGUI v1.0.3)
remote indirizzo.server.remoto
rport 5000
dev tap
ifconfig 10.0.x.254 255.255.255.0
secret zmo.key
ping 10
verb 1
mute 10
comp-lzo
Ringrazio per ogni suggerimento, ciao 🙂
Ciao a tutti , sot cercando configurare Un server OpenVpn.
Il server e’ Endian Firewall, e vorrei collegarmi da un client win XP.
Ho confgiruato il server creando l’utente, e successivamente ho creato il certificato cacert.pem.
Sul client ho installato OpenVpnGui.
Adesso come creo il file .opvn ?
Avete quanche dritta?
Grazie infinite.