Installa e configura il server OpenVPN FreeBSD 12

Benvenuti nella nostra ancora un'altra guida su come installare e configurare il server OpenVPN FreeBSD 12. Abbiamo imparato come installare e configurare OpenVPN Server su Fedora 29/CentOS 7 nella nostra guida precedente.

Installa e configura OpenVPN Server FreeBSD 12

Per iniziare, devi aggiornare il tuo repository di pacchetti FreeBSD 12.

pkg update

Installa i pacchetti OpenVPN e Easy-RSA

pkg install openvpn easy-rsa

Crea una directory in cui archiviare i file di configurazione del server, la CA, le chiavi del server e i file dei certificati.

mkdir -p /usr/local/etc/openvpn/easy-rsa

mkdir /usr/local/etc/openvpn/server

Copia i file di configurazione di esempio OpenVPN e Easy-RSA nelle rispettive directory di configurazione create sopra.

cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /usr/local/etc/openvpn/server/

cp -r /usr/local/share/easy-rsa/* /usr/local/etc/openvpn/easy-rsa/

Genera i file CA, chiavi e certificati locali con EasyRSA

Le variabili del certificato sono impostate in /usr/local/etc/openvpn/easy-rsa/vars file. Per facilitare la generazione del certificato, modifica questo file, decommenta e regola i valori del certificato come segue;

vim /usr/local/etc/openvpn/easy-rsa/vars

set_var EASYRSA_REQ_COUNTRY	"KE"
set_var EASYRSA_REQ_PROVINCE	"Nairobi"
set_var EASYRSA_REQ_CITY	"Nairobi"
set_var EASYRSA_REQ_ORG		"Kifarunix"
set_var EASYRSA_REQ_EMAIL	"[email protected]"
set_var EASYRSA_REQ_OU		"Infrastructure"
set_var EASYRSA_KEY_SIZE	2048
set_var EASYRSA_CA_EXPIRE	3650
set_var EASYRSA_CERT_EXPIRE	3650

Easy-RSA viene fornito con uno script di generazione del certificato chiamato easyrsa.real . Per generare i file del certificato, vai a /usr/local/etc/openvpn/easy-rsa/ directory e procedere come segue;

Inizializza la PKI

cd /usr/local/etc/openvpn/easy-rsa

sh ./easyrsa.real init-pki
Note: using Easy-RSA configuration from: ./vars

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /usr/local/etc/openvpn/easy-rsa/pki

Crea il certificato CA eseguendo il comando seguente. Impostare il CN e la password di crittografia quando richiesto.

sh ./easyrsa.real build-ca

Genera una chiave e un file di certificato per il server e il client.

sh ./easyrsa.real build-server-full server nopass

sh ./easyrsa.real build-client-full client nopass

Genera il file della chiave Diffie-Hellman che può essere utilizzato durante l'handshake TLS con i client in connessione.

sh ./easyrsa.real gen-dh

Nel caso in cui sia necessario invalidare un certificato firmato in precedenza, generare un certificato di revoca.

sh ./easyrsa.real gen-crl

Genera chiave di autenticazione precondivisa TLS/SSL

openvpn --genkey --secret /usr/local/etc/openvpn/easy-rsa/pki/ta.key

Copia tutte le chiavi e i certificati del server da /usr/local/etc/openvpn/easy-rsa/pki/ alla directory di configurazione creata sopra.

cp -r /usr/local/etc/openvpn/easy-rsa/pki/{ca.crt,dh.pem,ta.key,issued,private} /usr/local/etc/openvpn/server/

Configura il server OpenVPN

Modifica il file di configurazione del server in modo che appaia come sotto senza commenti;

vim /usr/local/etc/openvpn/server/server.conf

port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/server/ca.crt
cert /usr/local/etc/openvpn/server/issued/server.crt
key /usr/local/etc/openvpn/server/private/server.key
dh /usr/local/etc/openvpn/server/dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
auth sha512
remote-cert-tls client

Crea la directory di registro;

mkdir /var/log/openvpn/

Configura percorso

Eseguire il comando seguente per configurare il routing NAT IPv4. Ciò abilita ipfw firewall necessario per natd

cat << EOF >> /etc/rc.conf
firewall_enable="YES"
firewall_type="open"
gateway_enable="YES"
natd_enable="YES"
natd_interface="em1"
natd_flags="-dynamic -m"
EOF

Riavvia il server per effettuare le modifiche apportate sopra.

reboot

Avvia e imposta OpenVPN start all'avvio.

sysrc openvpn_enable=YES
sysrc openvpn_configfile="/usr/local/etc/openvpn/server/server.conf"

service openvpn start

Verifica che OpenVPN sia in esecuzione e in ascolto sulla porta UDP 1194.

sockstat -4 -l | grep 1194
nobody   openvpn    2824  6  udp46  *:1194                *:*

Verificare che l'interfaccia sia stata creata.

ifconfig
...
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	inet6 fe80::a00:27ff:fe06:ec18%tun0 prefixlen 64 tentative scopeid 0x4 
	inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffff00 
	groups: tun 
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
	Opened by PID 2824

Configura il Cliente

Copiare il file della chiave di autenticazione CA , TLS/SSL e la chiave del client e il file del certificato sul client.

/usr/local/etc/openvpn/server/ca.crt
/usr/local/etc/openvpn/server/issued/client.crt
/usr/local/etc/openvpn/server/private/client.key
/usr/local/etc/openvpn/server/ta.key

Crea il file di configurazione del client

cat << EOF > client.ovpn
client
tls-client
pull
dev tun
proto udp
remote 192.168.43.12 1194
resolv-retry infinite
nobind
dhcp-option DNS 208.67.222.222
user nobody
group nogroup
persist-key
persist-tun
key-direction 1
tls-auth ta.key 1
comp-lzo
verb 3
ca ca.crt
cert client.crt
key client.key
auth SHA512
remote-cert-tls server
EOF

Per connetterti al server VPN da un sistema Linux, esegui il comando seguente;

sudo openvpn client.ovpn

Magnifico!! Questo è tutto ciò che serve per installare e configurare il server OpenVPN FreeBSD 12. Grazie per aver letto.