User Tools

Site Tools


doc:appunti:linux:sa:openvpn

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
doc:appunti:linux:sa:openvpn [2018/01/01 07:29] – [Rinnovo del certificato del server] niccolodoc:appunti:linux:sa:openvpn [2020/02/24 17:59] (current) niccolo
Line 32: Line 32:
  
   * **''server.rigacci.org.conf''** OpenVPN configuration file   * **''server.rigacci.org.conf''** OpenVPN configuration file
-  * **''ssl/server.rigacci.org_dh1024.pem''**+  * **''ssl/server.rigacci.org_dh2048.pem''**
   * **''ssl/rigacci.org_cacert.pem''** Certificate Authority (CA) public certificate in .pem format   * **''ssl/rigacci.org_cacert.pem''** Certificate Authority (CA) public certificate in .pem format
   * **''ssl/rigacci.org_crl.pem''** Certificate Revocation List in .pem format   * **''ssl/rigacci.org_crl.pem''** Certificate Revocation List in .pem format
Line 84: Line 84:
 # File containing Diffie Hellman parameters in .pem format # File containing Diffie Hellman parameters in .pem format
 # Diffie Hellman parameters may be considered public. # Diffie Hellman parameters may be considered public.
-# Generated by: openssl dhparam -out ssl/server.rigacci.org_dh1024.pem 1024 +# Generated by: openssl dhparam -out ssl/server.rigacci.org_dh2048.pem 2048 
-dh ssl/server.rigacci.org_dh1024.pem+dh ssl/server.rigacci.org_dh2048.pem
  
 # Certificate Authority (CA) file in .pem format. # Certificate Authority (CA) file in .pem format.
Line 139: Line 139:
 push "route 10.38.0.1" push "route 10.38.0.1"
 push "topology net30" push "topology net30"
-ifconfig-pool 10.38.0.4 10.38.255.251+ifconfig-pool 10.38.0.4 10.38.99.251
 # #
 # To simplify the above configuration you can use the helper directive # To simplify the above configuration you can use the helper directive
Line 161: Line 161:
 </file> </file>
  
-Si può fare il push dal server verso il client di eventuali parametri personalizzati, basta ad esempio creare un file **''rigacciorg_server_clients/rigacciorg_client''** (avendo avuto l'accortezza di assegnare nel certificato il **''CN=rigacciorg_client''**):+Si può fare il push verso il client di parametri specifici per il client stesso, basta creare un file con **nome uguale al CN** usato nel certificato e salvarlo nella directory indicata da **client-config-dir**. Ad esempio per assegnare un IP sempre uguale ad un client si crea il file **''rigacciorg_server_clients/rigacciorg_client''** con il seguente contenuto:
  
 <file> <file>
-ifconfig-push 172.18.1.202 172.18.1.1+ifconfig-push 10.38.100.2 10.38.100.1
 </file> </file>
 +
 +Notare che l'indirizzo è assegnato fuori dal pool definito da **ifconfig-pool**, inoltre gli indirizzi vanno assegnati con la topologia **net30**, cioè per ogni host viene allocato un blocco di 4 indirizzi: il primo è inutilizzato, il secondo è il PtP assegnato al server, il terzo è il PtP assegnato al client e il quarto è inutilizzato.
  
 I file gestiti da openssl sono in formato **PEM** ([[wp>X.509|X.509 Privacy Enhanced Mail]]), si tratta di una codifica base64 con header. Ecco alcuni comandi per vedere in plain text il contenuto dei file. I file gestiti da openssl sono in formato **PEM** ([[wp>X.509|X.509 Privacy Enhanced Mail]]), si tratta di una codifica base64 con header. Ecco alcuni comandi per vedere in plain text il contenuto dei file.
Line 290: Line 292:
 </code> </code>
  
-infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la lista dei certificati revocati CRL. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:+infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la CRL lista dei certificati revocati. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:
  
 <code> <code>
doc/appunti/linux/sa/openvpn.1514788142.txt.gz · Last modified: 2018/01/01 07:29 by niccolo