doc:appunti:linux:sa:openvpn_easy_rsa
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
doc:appunti:linux:sa:openvpn_easy_rsa [2023/09/19 12:49] – [Configurazione del server] niccolo | doc:appunti:linux:sa:openvpn_easy_rsa [2024/01/24 16:39] (current) – [File di configurazione per il client] niccolo | ||
---|---|---|---|
Line 43: | Line 43: | ||
set_var EASYRSA_REQ_OU | set_var EASYRSA_REQ_OU | ||
- | set_var EASYRSA_CA_EXPIRE | + | set_var EASYRSA_CA_EXPIRE |
- | set_var EASYRSA_CERT_EXPIRE | + | set_var EASYRSA_CERT_EXPIRE |
</ | </ | ||
Line 52: | Line 52: | ||
< | < | ||
- | ./easyrsa build-ca | + | ./easyrsa build-ca |
</ | </ | ||
- | Viene chiesta una **passphrase**, che servirà in futuro a firmare i certificati rilasciati da questa CA (è in effetti la password necessaria a sbloccare la chiave privata della CA). Eventualmente è possibile aggiungere | + | Omettendo il parametro |
Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l' | Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l' | ||
Line 97: | Line 97: | ||
< | < | ||
+ | # | ||
+ | # OpenVPN configuration for Easy-RSA server. | ||
+ | # | ||
verb 3 | verb 3 | ||
status / | status / | ||
- | port 1194 | + | lport 1194 |
proto udp | proto udp | ||
dev tun | dev tun | ||
Line 121: | Line 124: | ||
ifconfig-pool-persist ipp.txt | ifconfig-pool-persist ipp.txt | ||
push " | push " | ||
+ | # Route only the the local LAN. | ||
push "route 192.168.0.0 255.255.255.0" | push "route 192.168.0.0 255.255.255.0" | ||
+ | # Route all the traffic through the VPN. | ||
+ | #push " | ||
keepalive 10 120 | keepalive 10 120 | ||
Line 190: | Line 196: | ||
pull | pull | ||
remote 10.0.1.189 1194 | remote 10.0.1.189 1194 | ||
+ | # Routing is pushed by the server. | ||
+ | # | ||
+ | # Route only the remote LAN. | ||
+ | #route 192.168.1.0 255.255.255.0 vpn_gateway | ||
+ | # Route all the internet traffic through the VPN. | ||
+ | # | ||
remote-cert-tls server | remote-cert-tls server | ||
resolv-retry infinite | resolv-retry infinite | ||
Line 197: | Line 209: | ||
reneg-sec 60 | reneg-sec 60 | ||
key-direction 1 | key-direction 1 | ||
- | cipher AES-256-CBC | + | # The --cipher option is used to connect OpenVPN older than 2.6.0. |
+ | #cipher AES-256-CBC | ||
+ | # Newer connections using TLS uses the --data-ciphers option. | ||
+ | data-ciphers AES-256-GCM: | ||
auth SHA256 | auth SHA256 | ||
auth-nocache | auth-nocache | ||
Line 276: | Line 291: | ||
Viene aggiornato il file **pki/ | Viene aggiornato il file **pki/ | ||
+ | |||
+ | Per vedere il **contenuto** della CRL e la sua **scadenza** si usa il comando: | ||
+ | |||
+ | < | ||
+ | openssl crl -in pki/crl.pem -noout -text | ||
+ | </ | ||
+ | |||
+ | Nel' | ||
+ | |||
+ | < | ||
+ | Revoked Certificates: | ||
+ | Serial Number: 31185709CFD614AD3F87526A386B06CF | ||
+ | Revocation Date: Sep 19 10:45:13 2023 GMT | ||
+ | </ | ||
+ | |||
+ | Poichè la CRL ha una scadenza è necessario un cronjob che periodicamente la rinnovi (il tempo di vita predefinito è di 180 giorni). Ecco ad esempio uno script adeguato: | ||
+ | |||
+ | <code bash> | ||
+ | #!/bin/sh | ||
+ | # Generate a new Certificate Revocation List into the EasyRSA directory. | ||
+ | PATH=/ | ||
+ | cd / | ||
+ | ./easyrsa gen-crl | ||
+ | </ | ||
===== Web References ===== | ===== Web References ===== |
doc/appunti/linux/sa/openvpn_easy_rsa.txt · Last modified: 2024/01/24 16:39 by niccolo