Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:openvpn_win [2013/09/05 12:10] – niccolo
+++ doc:appunti:linux:sa:openvpn_win [2023/06/21 11:21] (current) – [Protocolli di cifratura] niccolo
@@ Line 1: / Line 1: @@
 ====== Client Windows OpenVPN ======
-Scaricare la versione Community del client OpenVPN da [[http://openvpn.net/index.php/open-source/downloads.html]]. Provata la versione [[http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.2-I003-i686.exe|openvpn-install-2.3.2-I003-i686.exe]] su Windows 7 Pro.
+Scaricare la versione Community del client OpenVPN dalla [[http://openvpn.net/index.php/open-source/downloads.html|pagina di download]]. Provata la versione **[[http://swupdate.openvpn.org/community/releases/openvpn-install-2.3.2-I003-i686.exe|openvpn-install-2.3.2-I003-i686.exe]]** su Windows 7 Pro.
 Si esegue l'installazione standard, con i componenti predefiniti.
-Ecco alcuni accorgimenti fondamentali
+Questi i passi fondamentali per l'installazione
+  - Copiare i file di configurazione in **''C:\Programmi\OpenVPN\config\''**. Il file di configurazione vero e proprio deve avere estensione **''.ovpn''** e il file con la chiave conviene che abbia estensione **''.key.txt''** (l'estensione .key di solito è associata al Registry, meglio evitare!).
+  - La OpenVPN GUI (interfaccia grafica) deve sempre essere **eseguita con i privilegi di amministratore** per poter aggiungere le rotte. Fare click destro sull'eseguibile ''C:\Programmi\OpenVPN\bin\openvpn-gui'', //Proprietà//, //Compatibilità//, //Esegui questo programma come amministratore//.
+  - Avviare OpenVPN GUI, click destro sull'icona nella systray, Connetti. Se richiesto: consentire l'accesso da parte di OpenVPN alle reti private e reti pubbliche.
+  - Eventualmente **aggiungere all'esecuzione automatica**: //Start//, //Tutti i programmi//, //Esecuzione automatica//, click destro, //Esplora// (oppure //Esplora cartella Utenti// per farlo a tutti gli utenti di sistema). Quindi trascinare il collegamento a OpenVPN GUI.
+  - In **alternativa** all'esecuzione automatica si può configurare OpenVPN come **servizio di sistema**: //Start//, //Computer//, click destro, //Gestione//, //Servizi e applicazioni//, //Servizi//. Impostare per OpenVPN Service l'avvio automatico.
+===== File di configurazione =====
+Ecco un esempio di configurazione per Windows:
+<file>
+#---------------------------------------------------------------
+# OpenVPN configuration file, Windows
+#---------------------------------------------------------------
+verb 3
+mute 3
+resolv-retry infinite
+proto udp
+remote 5.63.64.170
+rport 5003
+dev tun
+tun-mtu 1500
+ifconfig 172.16.3.2 172.16.3.1
+route 192.168.1.0 255.255.255.0 vpn_gateway
+route 10.7.64.0 255.255.255.0 vpn_gateway
+secret myvpn.key.txt
+comp-lzo
+ping 10
+ping-restart 240
+persist-key
+disable-occ
+</file>
+In questo esempio vengono impostate due rotte verso la VPN.
+Il parametro **''ping 10''** ha consentito in alcune circostanze di attivare una VPN che altrimenti restava latente (schermata di connessione in attesa) fino a che non c'era traffico su di essa.
+Il parametro **''disable-occ''** serve solo a sopprimere alcuni eventuali messaggi di errore.
+Questo il corrispondente file di configurazione lato Linux:
+<file>
+#---------------------------------------------------------------
+# OpenVPN configuration file, GNU/Linux
+#---------------------------------------------------------------
+verb 3
+mute 3
+proto udp
+lport 5003
+dev tun3
+tun-mtu 1500
+ifconfig 172.16.3.1 172.16.3.2
+secret myvpn.key
+comp-lzo
+ping 20
+persist-tun
+persist-key
+user nobody
+group nogroup
+</file>
+Si imposta il parametro **''ping''**, in modo che il client Windows possa eseguire il ''ping-restart'' se cade la connessione. Ma lato Linux **non** si imposta un analogo ''ping-restart'', in quanto si considera che il client Windows non è attivo 24h/24h, a differenza del server Linux.
+FIXME Verificare che dopo che una connessione è stata stabilita (il ping ogni 20 secondi inizia e rimane attivo), sia possibile per il client Windows spengersi e riaccendersi con altro indirizzo IP.
+===== Windows firewall =====
+Con le impostazioni predefinite Windows è chiuso dal suo firewall. Ad esempio non risponde neanche al ping sull'indirizzo punto-punto del tunnel.
+Per aprire Windows a delle connessioni in ingresso:
+  * //Pannello di Controllo//, //Sistema e sicurezza//, //Windows Firewall//
+  * //Impostazioni avanzate//
+  * //Regole di connessione in entrata//
+  * //Nuova regola//, agire su:
+    * Protocolli e porte,
+    * Ambito, Indirizzo remoto IP
+===== OpenVPN come servizio in Windows 10 =====
+Si deve consentire ai programmi **''bin\openvpn.exe''** e **''bin\openvpn-gui.exe''** di essere eseguiti come amministratore: click destro, //Proprietà//, //Compatibilità//, //Esegui questo programma come amministratore//.
+Per abilitare o disabilitare OpenVPN come servizio all'avvio di Windows:
+  * Pulsante start, click destro
+  * Pannello di Controllo
+  * Sistema e sicurezza
+  * Strumenti di amministrazione
+  * Servizi
+===== Protocolli di cifratura =====
+=== Debian 6 ===
+<file>
+# Default is BF-CBC, also supported: AES-128-CBC
+cipher BF-CBC
+</file>
+=== Debian 9 ===
+<file>
+cipher AES-256-CBC
+</file>
-  * Copiare i file di configurazione in **''C:\Programmi\OpenVPN\config\''**. Il file di configurazione vero e proprio deve avere estensione **''.ovpn''** e il file con la chiave conviene che abbia estensione **''.key.txt''** (l'estensione .key di solito è associata al Registry, meglio evitare!).
-  * La OpenVPN GUI (interfaccia grafica) deve sempre essere **eseguita con i privilegi di amministratore** per poter aggiungere le rotte. Fare click destro sull'eseguibile ''C:\Programmi\OpenVPN\bin\openvpn-gui'', //Proprietà//, //Compatibilità//, //Esegui questo programma come amministratore//.
-  * Avviare OpenVPN GUI, click destro sull'icona nella systray, Connetti. Se richiesto: consentire l'accesso da parte di OpenVPN alle reti private e reti pubbliche.
-  * Eventualmente **aggiungere all'esecuzione automatica**: //Start//, //Tutti i programmi//, //Esecuzione automatica//, click destro, //Esplora// (oppure //Esplora cartella Utenti// per farlo a tutti gli utenti di sistema). Quindi trascinare il collegamento a OpenVPN GUI.
-  * In **alternativa** all'esecuzione automatica si può configurare OpenVPN come **servizio di sistema**: //Start//, //Computer//, click destro, //Gestione//, //Servizi e applicazioni//, //Servizi//. Impostare per OpenVPN Service l'avvio automatico.