Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:openvpn [2018/01/01 07:28] – [Rinnovo del certificato del server] niccolo
+++ doc:appunti:linux:sa:openvpn [2018/11/29 23:12] – [Configurazione del server] niccolo
@@ Line 139: / Line 139: @@
 push "route 10.38.0.1"
 push "topology net30"
-ifconfig-pool 10.38.0.4 10.38.255.251
+ifconfig-pool 10.38.0.4 10.38.99.251
 #
 # To simplify the above configuration you can use the helper directive
@@ Line 161: / Line 161: @@
 </file>
-Si può fare il push dal server verso il client di eventuali parametri personalizzati, basta ad esempio creare un file **''rigacciorg_server_clients/rigacciorg_client''** (avendo avuto l'accortezza di assegnare nel certificato il **''CN=rigacciorg_client''**):
+Si può fare il push verso il client di parametri specifici per il client stesso, basta creare un file con **nome uguale al CN** usato nel certificato e salvarlo nella directory indicata da **client-config-dir**. Ad esempio per assegnare un IP sempre uguale ad un client si crea il file **''rigacciorg_server_clients/rigacciorg_client''** con il seguente contenuto:
 <file>
-ifconfig-push 172.18.1.202 172.18.1.1
+ifconfig-push 10.38.100.2 10.38.100.1
 </file>
+Notare che l'indirizzo è assegnato fuori dal pool definito da **ifconfig-pool**, inoltre gli indirizzi vanno assegnati con la topologia **net30**, cioè per ogni host viene allocato un blocco di 4 indirizzi: il primo è inutilizzato, il secondo è il PtP assegnato al server, il terzo è il PtP assegnato al client e il quarto è inutilizzato.
 I file gestiti da openssl sono in formato **PEM** ([[wp>X.509|X.509 Privacy Enhanced Mail]]), si tratta di una codifica base64 con header. Ecco alcuni comandi per vedere in plain text il contenuto dei file.
@@ Line 277: / Line 279: @@
 ===== Rinnovo del certificato del server =====
-Quando **scade il certificato del server** smettono di funzionare **TUTTE le VPN**. Per fortuna è sufficiente rinnovare tale certificato e **non è necessario distribuirlo** su tutti i client. La procedura che seque genera una nuova chiave e un nuovo certificato firmato dalla stessa CA locale.
+Quando **scade il certificato del server smettono di funzionare TUTTE le VPN**. Per fortuna è sufficiente rinnovare tale certificato e **non è necessario distribuirlo** su tutti i client. La procedura che segue genera una nuova chiave e un nuovo certificato firmato dalla stessa CA locale.
 Il discorso è diverso quando **scade il certificato della CA** locale, in questo caso per ripristinare il funzionamento delle VPN senza distribuire il nuovo CA cert è necessario utilizzare un trucco: generare un nuovo CA cert, ma riutilizzando la vecchia chiave . La soluzione (da verificare) è descritta nel post [[ https://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal|Certification authority root certificate expiry and renewal]]. Altri dettagli si trovano nel post [[https://forums.openvpn.net/viewtopic.php?t=18671|Expired CA - clients can't connect]].
@@ Line 290: / Line 292: @@
 </code>
-infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la lista dei certificati revocati CRL. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:
+infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la CRL lista dei certificati revocati. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:
 <code>