GNU/Linux >> Linux Esercitazione >  >> Panels >> OpenVPN

Configurazione di un server OpenVPN con OPNsense e Viscosity

Le reti private virtuali (VPN) possono essere utilizzate per una serie di applicazioni molto utili. Puoi connetterti in modo sicuro a qualsiasi hotspot Wi-Fi pubblico. Puoi superare le restrizioni di blocco geografico sui tuoi siti Web preferiti. E puoi persino connetterti alla rete di casa o dell'ufficio da qualsiasi parte del mondo, come se fossi seduto alla tua scrivania. Questa guida ti guiderà attraverso il processo di configurazione del tuo server OpenVPN e di connessione ad esso con la tua copia di Viscosity.

L'esecuzione del tuo server OpenVPN ti consentirà di crittografare tutto ciò che fai su Internet, in modo da poter eseguire in sicurezza il tuo banking online sul WiFi gratuito nel tuo bar preferito. Tutto ciò che invii tramite la connessione VPN verrà crittografato dal tuo dispositivo fino a quando non raggiunge il tuo server OpenVPN a casa. Configurare il tuo server OpenVPN per accedere alla tua rete domestica o aziendale ti dà pieno accesso a tutti i tuoi file sulla tua rete.

Questa guida ti guiderà attraverso i passaggi necessari per configurare un server OpenVPN su un'istanza OPNsense che ti consente di accedere in modo sicuro alla tua rete domestica/dell'ufficio da una posizione remota e, facoltativamente, inviare tutto il traffico di rete attraverso di essa in modo da poter accedere a Internet anche in modo sicuro.

Questa guida non tratterà alcun problema relativo alla configurazione del router. È probabile che un server che esegue OPNsense agisca come un router stesso, quindi supponiamo che il server OPNsense sia connesso direttamente a Internet con il proprio indirizzo IP.

Preparazione

Per questa guida, assumiamo:

  • Hai già installato l'ultima versione di OPNsense (21.1 al momento della scrittura)
  • OPNsense è stato configurato con almeno un'interfaccia WAN e un'interfaccia LAN
  • Durante questa guida sei connesso con il tuo dispositivo client al server OPNsense tramite la sua interfaccia LAN
  • Questa installazione di OPNsense è una nuova installazione
  • Hai già una copia di Viscosity installata sul tuo dispositivo client

Se è necessario scaricare e installare una copia di OPNsense, è possibile trovare informazioni su https://opnsense.org/download/. Non tratteremo i dettagli della configurazione di un'istanza OPNsense, molte guide possono essere trovate online. Se stai eseguendo una versione diversa di OPNsense, è molto probabile che molti o anche tutti i passaggi descritti in questa guida vengano comunque applicati. Se stai cercando di configurare un server OpenVPN su un sistema operativo diverso, consulta le nostre altre guide.

Il dispositivo client deve essere connesso al server OPNsense tramite l'interfaccia LAN. Ciò è necessario per poter accedere alla GUI Web OPNsense. Le specifiche su come ottenere questo risultato dipendono dalla tua particolare configurazione di rete.

Se non hai una copia di Viscosity già installata sul tuo client, consulta questa guida all'installazione per l'installazione di Viscosity (Mac | Windows).

Supporto

Sfortunatamente non possiamo fornire alcun supporto diretto per la configurazione del tuo server OpenVPN. Forniamo questa guida come cortesia per aiutarti a iniziare e ottenere il massimo dalla tua copia di Viscosity. Abbiamo testato a fondo i passaggi di questa guida per assicurarci che, se segui le istruzioni dettagliate di seguito, dovresti essere sulla buona strada per goderti i vantaggi dell'esecuzione del tuo server OpenVPN.

OPNsense ha sia la community che il supporto commerciale per il loro prodotto, se hai bisogno di ulteriori informazioni o aiuto, dai un'occhiata alle loro opzioni su https://wiki.opnsense.org/support.html

Per iniziare

Innanzitutto è necessario accedere alla GUI OPNsense dal dispositivo client connesso all'interfaccia LAN del server OPNsense. Apri un browser sul tuo client e vai all'indirizzo IP dell'interfaccia LAN del tuo server OPNsense (https://192.168.1.1 per impostazione predefinita). Dovrai effettuare il login. Le credenziali predefinite sono sotto, ma dovresti esserti chiesto di cambiarle in qualcosa di personale quando hai installato OPNsense:

User: root
Password: opnsense

Questa configurazione può essere eseguita da qualsiasi account utente se hai creato utenti o ruoli diversi, purché dispongano delle autorizzazioni di amministratore di sistema.

Server DNS

Se stai utilizzando OPNsense come router, molto probabilmente hai già configurato il DNS. Tuttavia, se si tratta di una nuova installazione, almeno OPNsense deve sapere dove cercare per trasmettere le richieste DNS. Possiamo impostarlo in questo modo:

  1. Fare clic su System> Settings> General a sinistra
  2. Nei server DNS sezione, impostare i primi due server DNS su 8.8.8.8 e 8.8.4.4 (Google DNS). Se desideri utilizzare server DNS diversi, sentiti libero di usarli qui.
  3. Imposta Utilizza gateway scendi alla tua interfaccia WAN per ogni voce.
  4. Fai clic su Save in basso.

Il tuo server OPNsense dovrebbe ora essere in grado di risolvere il DNS. Puoi verificarlo aprendo un prompt dei comandi su Windows o Terminale su Mac e digitando nslookup sparklabs.com. 192.168.1.1 dove 192.168.1.1 è l'indirizzo IP del tuo server OPNsense.

Procedura guidata OpenVPN

Un server OpenVPN può essere configurato per la maggior parte dei casi d'uso utilizzando la procedura guidata integrata.

  1. Fai clic su VPN> OpenVPN> Servers a sinistra.
  2. Nella parte inferiore della nuova pagina, fai clic sull'icona della bacchetta a sinistra di Utilizza una procedura guidata per configurare un nuovo server .
  3. Nella pagina Selezione tipo di autenticazione, assicurati Tipo di server è impostato su Accesso utente locale e fare clic su Avanti.
  4. Ora è necessario creare un'autorità di certificazione (CA).
    1. Imposta il Nome descrizione campo su 'OPNsense-CA'.
    2. Lascia la lunghezza della chiave a 2048 bit e imposta il Durata a 3650
    3. I campi rimanenti servono per identificare il server, impostarli in modo appropriato per te.


  5. Fai clic su Aggiungi nuova CA per continuare.
  6. Fai clic su Aggiungi nuovo certificato nella pagina successiva.
  7. In Aggiungi un certificato server pagina, imposta il Nome descrittivo al server , lascia la Lunghezza chiave a 2048 bit e imposta il Durata a 3650. Il resto delle informazioni dovrebbe essere già precompilato.
  8. Fai clic su Crea nuovo certificato per continuare.
  9. La pagina successiva dovrebbe essere Configurazione del server , impostare quanto segue:
    1. Imposta Interfaccia alla WAN.
    2. Garantire Protocollo è UDP e Porta è 1194.
    3. Imposta una descrizione, ad esempio "Il mio server".
    4. Modifica Lunghezza dei parametri DH almeno fino al 2048. Se stai utilizzando un hardware moderno, impostalo su 4096 (in caso contrario aspetterai molto tempo).
    5. Modifica algoritmo di crittografia a 'AES-256-CBC (chiave a 256 bit, blocco a 128 bit)'
    6. Modifica algoritmo Auth Digest almeno a 'SHA256 (256 bit)'. Se stai utilizzando un hardware moderno, cambialo in "SHA512" (potresti avere problemi di connessione su hardware meno recente).
    7. Nella rete di tunnel IPv4 campo, inserisci '10.0.8.0/24'
    8. Per consentire l'accesso alle macchine sulla rete locale, inserisci il tuo intervallo IP locale nella Rete locale collocamento. Probabilmente sarà qualcosa come 192.168.1.0/24.
    9. Imposta la Compressione su "Disabilitato".
    10. Imposta Server DNS 1 a 10.0.8.1.
  10. Tutte le altre impostazioni possono essere lasciate come predefinite. Fai clic su Avanti .
  11. Nella Configurazione delle regole del firewall , seleziona entrambe le Regola firewall e Regola OpenVPN caselle di controllo e fai clic su Avanti . Se hai una configurazione non predefinita, dovrai ricontrollare cosa viene aggiunto alla fine della procedura guidata.
  12. Ora dovresti vedere La tua configurazione è ora completa. . Complimenti, ci siamo quasi! Fai clic su Fine .

Configurazione utente

Per impostazione predefinita, la connessione a un server OPNsense OpenVPN richiede sia un certificato utente che un nome utente e una password. Questa è una buona pratica e utilizzeremo questa impostazione predefinita per ogni utente che desidera connettersi. Dobbiamo creare un account utente per ogni persona a cui vuoi consentire l'accesso al tuo server. Puoi utilizzare anche gli utenti esistenti, se lo desideri, ma dovrai assicurarti che venga generato un certificato per loro utilizzando la CA che abbiamo creato durante la procedura guidata.

Creazione di un nuovo utente

Per creare un nuovo utente:

  1. Fare clic su System> Access> Users a sinistra.
  2. Fai clic su Aggiungi in alto a destra della pagina Utenti.
  3. Inserisci un Nome utente , Password e seleziona la casella Fai clic per creare un certificato utente più in basso.
  4. Compila tutti gli altri campi che desideri, ma non sono obbligatori.
  5. Fai clic su Salva.
  6. Verrai indirizzato a una pagina dei certificati. Seleziona "Crea un certificato interno" nel Metodo casella a discesa. La pagina si riorganizzerà da sola.
  7. Garantire Autorità di certificazione è il nome che abbiamo creato durante la procedura guidata che dovrebbe essere "OPNsense-CA" e Tipo è "Certificato cliente".
  8. Modifica Durata (giorni) a 3650.


  9. Fai clic su Salva.
  10. Verrai reindirizzato alla pagina Crea utente, ora i certificati utente dovrebbero avere una voce, fai di nuovo clic su Salva in basso.
  11. Dovrebbe apparire una casella blu nella casella con 'Le modifiche sono state applicate con successo.'. Abbiamo aggiunto un nuovo utente che ora possiamo usare.



Creazione di un certificato per un utente esistente

Per creare un certificato per un utente esistente:

  1. Fare clic su System> Access> Users a sinistra.
  2. Fai clic sul pulsante di modifica (una matita) accanto all'utente.
  3. Fai clic sul + (più) sotto Nome nei Certificati utente campo.
  4. Verrai indirizzato a una pagina dei certificati. Seleziona "Crea un certificato interno" nel Metodo casella a discesa. La pagina si riorganizzerà da sola.
  5. Garantire Autorità di certificazione è il nome che abbiamo creato durante la procedura guidata che dovrebbe essere "OPNsense-CA" e Tipo è "Certificato cliente".
  6. Modifica Durata (giorni) a 3650.
  7. Fai clic su Salva.
  8. Verrai reindirizzato alla pagina Crea utente, ora i certificati utente dovrebbero avere una voce, fai di nuovo clic su Salva in basso.
  9. Dovrebbe apparire una casella blu nella casella con 'Le modifiche sono state applicate con successo.'. Abbiamo aggiunto un nuovo utente che ora possiamo usare.

Gruppi di utenti (facoltativo)

Se hai utenti per varie attività sul tuo server OPNsense che non desideri avere accesso alla VPN, puoi creare un gruppo di utenti per controllare l'accesso al tuo server VPN. Per creare un gruppo:

  1. Fare clic su System> Access> Groups a sinistra.
  2. Fai clic sul + (più) in basso a destra nella pagina Utenti per aggiungere un nuovo utente.
  3. Imposta il Nome gruppo su "VPN", puoi anche impostare una Descrizione che riconoscerai, ad esempio "Gruppo di accesso al server VPN".
  4. Ora puoi aggiungere utenti al gruppo, ma facendo clic sul loro nome nell'elenco a sinistra, quindi fai clic sulla freccia a destra.
  5. Fai clic su Salva

Ora dobbiamo consentire solo a questo gruppo di accedere al server. Per fare questo:

  1. Fai clic su VPN> OpenVPN> Servers a sinistra.
  2. Fai clic sul pulsante di modifica (matita) accanto al tuo server OpenVPN.
  3. Modifica il Applica gruppo locale a "VPN" (o come hai chiamato il tuo gruppo VPN se qualcosa di diverso).
  4. Scorri fino in fondo e fai clic su Salva .


Impostazione della viscosità

Se sei arrivato così lontano, ora dovresti essere in grado di connetterti al tuo server OpenVPN, congratulazioni! Ora possiamo impostare la viscosità.

Esporta connessione da OPNsense

Per prima cosa dovrai scaricare la configurazione da OPNsense. OPNsense rende questo estremamente semplice fornendo connessioni pronte all'uso per vari dispositivi, comprese connessioni appositamente preparate per Viscosity. Per arrivare a questi:

  1. Fai clic su VPN> OpenVPN> Client Export a sinistra.
  2. In Pacchetti di installazione client, fare clic sulla casella a discesa Esporta accanto all'utente per cui si desidera esportare una configurazione e selezionare 'Pacchetto di viscosità'. Verrà scaricata una connessione visz.



Importa connessione in viscosità

L'interfaccia fornita dalle versioni Mac e Windows di Viscosity è volutamente molto simile. Pertanto, concentreremo la nostra guida sulla versione Mac, evidenziando eventuali differenze con la versione Windows man mano che si presentano.

Se Viscosity non è già in esecuzione, avvia Viscosity ora. Nella versione per Mac vedrai apparire l'icona Viscosità nella barra dei menu. Nella versione Windows vedrai apparire l'icona della viscosità nella barra delle applicazioni.

Fare clic sull'icona Viscosità nella barra dei menu (Finestre :barra delle applicazioni) e seleziona 'Preferenze...':




Questo ti mostra l'elenco delle connessioni VPN disponibili. Supponiamo che tu abbia installato Viscosity di recente, quindi questo elenco è vuoto. Fare clic sul pulsante '+' e selezionare Import Connection> From File... :



Passare alla posizione del file di configurazione della viscosità e aprirlo. Verrà visualizzato un messaggio a comparsa per indicare che la connessione è stata importata.

Ora fai doppio clic sulla connessione nella finestra Preferenze per visualizzare le impostazioni di connessione. Se hai utilizzato la connessione corretta esportata da OPNsense, tutto ciò che devi fare è cambiare il nome della connessione in qualcosa che riconoscerai e ricontrollare che l'indirizzo del server sia corretto.




Salva la connessione e ora dovresti essere in grado di connetterti.

(Facoltativo) Consentire l'accesso a Internet

Per impostazione predefinita, la connessione VPN consentirà l'accesso al file server e ad altri computer sulla rete domestica/dell'ufficio (LAN). Tuttavia, se desideri che tutto il traffico Internet venga inviato anche tramite la connessione VPN è necessario apportare un'ultima modifica alla connessione:

  1. Fai doppio clic sulla tua connessione nella finestra Preferenze di viscosità per aprire l'editor di connessione
  2. Fare clic su Rete tab.
  3. Fai clic sul menu a discesa "Tutto il traffico" e seleziona l'opzione "Invia tutto il traffico su connessione VPN". Non è necessario inserire un gateway predefinito.
  4. Fai clic su Save pulsante.

Connessione e utilizzo della connessione VPN

Ora sei pronto per connetterti. Fai clic sull'icona Viscosità nella barra dei menu di macOS o nella barra delle applicazioni di Windows per aprire il menu Viscosità, seleziona la connessione che hai importato e Viscosità si collegherà.

Per verificare che la VPN sia attiva e funzionante, puoi aprire la finestra Dettagli dal menu Viscosità. Ciò ti consentirà di visualizzare i dettagli della connessione, il traffico e il registro di OpenVPN.



Ecco fatto, hai impostato il tuo server OpenVPN personale. Congratulazioni, ora sei libero di godere dei vantaggi di gestire il tuo server OpenVPN!


OpenVPN

  1. Come configurare e configurare un server OpenVPN su Ubuntu 22.04

  2. Come installare e ospitare il server OpenVPN con Docker

  3. Configurazione di un server di offuscamento con Obfsproxy e Viscosity

  4. Installa e configura il server OpenVPN su Ubuntu 20.04

  5. Installa e configura il server OpenVPN FreeBSD 12

Configurazione di un server OpenVPN con Sophos XG e Viscosity

Configurazione di un server OpenVPN con Synology e Viscosity

Configurazione di un server OpenVPN con router Tomato e Viscosity

Configurazione di un server OpenVPN con Ubiquiti EdgeRouter (EdgeOS) e Viscosity

Configurazione di un server OpenVPN con Ubuntu e Viscosity

Configurazione di un server OpenVPN con VyOS e Viscosity