PFSense e OpenVPN
Pfsense e OpenVPN
VPN PER CLIENT REMOTI
Creazione dei certificate su Unix/Linux
Per prima cosa si devono scaricare i sorgenti di OpenVPN da: http://openvpn.net/download.html
Si possono scaricare anche direttamente, usando “fetch” or “wget” se non si vuole/può utilizzare
l’interfaccia grafica.
Scaricati i sorgenti, bisogna scompattarli con il comando “tar -xvzf openvpn-*.tar.gz” e poi
posizionarsi nella cartella “easy-rsa”.
Aprire “vars” ed editare i valori alla fine del file secondo le proprie esigenze in modo da non dover
riscrivere tutto ogni volta che si genera un certificato (la generazione prende questi valori come
default).
export KEY_COUNTRY=IT
export KEY_PROVINCE=FVG
export KEY_CITY=TRIESTE
export KEY_ORG="Nome Organizzazione"
export KEY_EMAIL="[email protected]"
Editate queste informazioni, bisogna eseguire alcuni scripts. Quando verrà richiesto di inserire il
“Common Name”, inserire l’hostname del server pfsense (si trova in “General Setup” della
configurazione del pfsense).
[/path/easy-rsa]# source ./vars
[/path/easy-rsa]# ./clean-all
[/path/easy-rsa]# ./build-ca
Country Name (2 letter code) [IT]: (premere invio)
State or Province Name (full name) [FVG]: (premere invio)
Locality Name (eg, city) [TRIESTE]): (premere invio)
Organization Name (eg, company) [Nome Ogranizzazione]: (premere invio)
Organizational Unit Name (eg, section) [ ]:( premere invio o inserire la unit name)
Common Name (eg, your name or your server's hostname) [ ]:HostnamePFSENSE
Email Address [[email protected]]: (premere invio)
Nello script seguente bisogna inserire “server” come Common Name.
Premere “y” per firmare il certificato.
[/path/easy-rsa]# ./build-key-server server
Poi si devono generare i parametri DH:
[/path /easy-rsa]# ./build-dh
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
1
PFSense e OpenVPN
Infine, i certificati per i client (al posto di client1, client2, ecc si possono inserire i nomi dei client o
qualsiasi cosa che identifichi il destinatario del certificato):
[/path /easy-rsa]# ./build-key client1
[/path /easy-rsa]# ./build-key client2
[/path /easy-rsa]# ./build-key client3
Si possono creare quanti certificati client si vogliono. Se si deve successivamente creare un
certificato client nuovo, basta farlo con ./build-key client_name. È tassativo usare sempre un nome
diverso per ogni certificato. I certificati vanno creati tutti nella stessa cartella, altrimenti non
funzioneranno (eventualmente fare il backup della cartella dei certificati, in modo da poterne
generare altri senza dover rifare e reinstallare i certificati server).
Creazione dei certificati su Windows
Per generare i certificati su macchine windows si possono utilizzare diversi programmi, ma quello
piu semplice ed immediato è “My Certificate Wizard” (http://www.openvpn.se/mycert/)
Si devono generare tre tipi di certificati: Certificate Autorità (CA), server e client.
NB: è necessario aver installato una versione di OpenVPN
Generare il certificato della Certificate Authority (CA) e la sua chiave
Aprire un prompt di dos e posizionarsi in \Program Files\OpenVPN\easyrsa.
Eseguire il seguente filebatch file per copiare i file di configurazione (il comando sovrascriverà i
file vars.bat e openssl.cnf eventualmente presenti nella cartella):
init-config
Editare il file vars.bat impostando i seguenti valori senza lasciare alcun valore vuoto:
export KEY_COUNTRY=IT
export KEY_PROVINCE=FVG
export KEY_CITY=TRIESTE
export KEY_ORG="Nome Organizzazione"
export KEY_EMAIL="[email protected]"
Poi, inizializzare il PKI con i comandi:
vars
clean-all
build-ca
L’ultimo comando (build-ca) creerà il certificato per la certificate authority (CA) e la sua chiave
invocando l’eseguibile openssl che si trova nella cartella bin dell’installazione di OpenVPN. In
2
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
alcuni sistemi questo path non è riconosciuto come valido, quindi se i seguenti comandi generano
un errore di “Invalid command name”, bisogna editare i file .bat sostituendo a “openssl” il percorso
completo (ad esempio “C:\Programmi\OpenVPN\bin\openssl”):
c:\program files\openvpn\easy-rsa\build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
Verrà richiesto l’inserimento dei valori di configurazione del certificato, alcuni gia impostati di
default (li prende dal file vars.bat). Per lasciare una campo vuoto, inserire un punto ( “.” ).
Nel Common Name inserire un valore che richiami il fatto che quello che si sta generando è il
certificato per la certificate autorità (ad esempio OpenVPN-CA)
Generare il certificato per il server e la sua chiave
Per la generazione del certificato server utilizzare il seguente comando, sempre dal prompt:
build-key-server server
Come nello step precedente, molti parametri saranno impostati di default. Quando sarà richiesto il
Common Name, inserire "server".
Rispondere infine “y” alle domande proposte:
"Sign the certificate? [y/n]" per firmare il certificato e
"1 out of 1 certificate requests certified, commit? [y/n]" per avviare la generazione
Generare i certificati per i client
Generare i certificati per i client è molto simile al passaggio precedente, solamente si usa un altro
comando:
build-key client1
build-key client2
build-key client3
Se si vuole anche proteggere con password le chiavi, utilizzare il comando build-keypass al posto
di build-key.
Per ogni client è necessario inserire il Common Name appropriato. È tassativo usare sempre un
nome diverso per ogni certificato. I certificati vanno creati tutti nella stessa cartella, altrimenti non
funzioneranno (eventualmente fare il backup della cartella dei certificati, in modo da poterne
generare altri senza dover rifare e reinstallare i certificati server).
Generare i paramenti Diffie Hellman (DH)
Per il server OpenVPN devono essere anche generati i parametri Diffie Hellman (DH).
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
3
PFSense e OpenVPN
build-dh
L’output mostrato sarà simile al seguente:
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
.................+...........................................
...................+.............+.................+.........
......................................
Key Files
A questo punto abbiamo generato tutti i file necessari, si trovano tutti nella stessa cartella.
Nome
Richiesto per
Funzione
Segreto
ca.crt
ca.key
dh{n}.pem
server.crt
server.key
client1.crt
client1.key
client2.crt
client2.key
client3.crt
client3.key
…
server + tutti i client
server
server
server
server
Client1
Client1
Client2
Client2
Client3
Client3
Certificato principale CA
Chiave principale CA
Parametri Diffie Hellman
Certificato del server
Chiave del server
Cerificato del client1
Chiave del client1
Cerificato del client2
Chiave del client2
Cerificato del client3
Chiave del client3
NO
SI
NO
NO
SI
NO
SI
NO
SI
NO
SI
Impostare la VPN per client remoti
Creati i certificati, è possibile configurare OpenVPN per la connessione dei client. Ciccare sul menu
VPN  OpenVPN e poi sulla piccola icona “+” del tab “Server” per aggiungere una nuova
connessione VPN server.
4
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
Come si può vedere, è impostato come protocollo “TCP”, questo perché è noto che UDP può aver
problemi con alcuni router. Il TCP è leggermente più lento, ma per il momento è l’unico che
assicura il 100% di compatibilità
Abilitare il “Dynamic IP”. In questo modo i client possono connettersi anche senza impostare
manualmente un indirizzo ip della rete.
“Address pool” deve essere una sottorete indipendente che non è utilizzata in alcun segmento di rete
esistente. Questo è molto importante, altrimenti si possono provocare conflitti di indirizzi IP e, nel
migliore dei casi, comunque la VPN non funzionerebbe.
Cambiare il “Authentication method” impostando PKI (Public Key Infrastructure).
A questo punto bisogna incollare il testo dei certificati e delle chiavi negli appositi box. Aprire con
un editor di testo i file specificati e copiare il contenuto includendo:
-----BEGIN CERTIFICATE----&
-----END CERTIFICATE---Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
5
PFSense e OpenVPN
6
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
Dopo aver copiato i certificati e le chiavi, disattivare “LZO-Compression” (eventualmente sarà
possibile riabilitarla una volta verificato il funzionamento della VPN). Alla fine cliccare su
“SAVE”.
NB: Per permettere ai client di connettersi anche su altre reti al di fuori della LAN impostata,
bisogna inserire una rotta nel campo “Custom options”. Supponendo ad esempio di voler
connettersi anche alla DMZ, con indirizzo 192.168.2.0/24, bisogna scrivere:
push “route 192.168.100.0 255.255.255.0”
Regole sul firewall
Per fare in modo che i client si connettano al server OpenVPN, bisogna creare una regola che
permetta alle connessioni in entrata sull’interfaccia WAN di accedere alla porta 1194 (o quella
impostata per la VPN, se è stata cambiata)
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
7
PFSense e OpenVPN
Scegliere il menu “Firewall  Rules”, cliccare sul tab “WAN” e infine sulla piccola icona “+” per
aggiungere una nuova regola.
Come Protocollo inserire “TCP” oppure “UDP” a seconda del protocollo scelto precedentemente
nella definizione del server.
“Destination port range” è la porta in ascolto del server OpenVPN, di default la 1194.
Cliccando su “Save” le modifiche verranno salvate.
Configurazione dei client (Windows)
8
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
Dopo aver configurato il server, è necessario creare i file di configurazione per i client, in modo che
possano connettersi da qualsiasi parte del mondo.
NB: ovviamente, i client devono aver installata una versione client di OpenVPN.
Creare un file di testo con il nome “nomeclient.ovpn” e inserire il testo di configurazione seguente:
float
port 1194
dev tun
proto tcp-client
remote IpPubblicoDiConnessione 1194
ping 10
persist-tun
persist-key
tls-client
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
#comp-lzo
pull
verb 4
Eventualmente rimuovere il # se la comprezzione lzo è stata abilitata nella configurazione del
server.
Inoltre è necessario copiare i certificati generati precedentemente nella stessa cartella del file
appena creato. I file da copiare sono il certificato della Certificate Autority (CA), il certificato del
client e la sua chiave. (Ad esempio “ca.crt”, “client1.crt” e “client1.key”)
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
9
PFSense e OpenVPN
VPN SITE-TO-SITE
Ipotizzando una situazione di questo tipo:
Ufficio1 LAN: 192.168.0.0/24
Ufficio2 LAN: 192.168.1.0/24
impostare i server PfSense com indicato per connettere le due reti.
Bisognerà configurare un ufficio come server e l’altro come client
NB: se è gia stato configurato un accesso VPN per i client remoti, non modificare la configurazione
esistente ma aggiungere un nuovo tunnel.
Configurazione Ufficio1
Configuriamo l’Ufficio1 come server.
Dal menu “VPN  OpenVPN”, selezionare il tab “Server” e fare click su “+”.
Utilizzare il protocollo TCP e, se sono stati configurati altri tunnel VPN, usare una porta diversa da
quelle utilizzate (nell’esempio è stata utilizzata la 1193). Ovviamente bisognerà creare una regola
sul firewall che permetta le connessioni dalla WAN su questa porta.
“Address pool” deve essere una sottorete indipendente, che non sia usata ne in Ufficio1 ne in
Ufficio2.
In “Remote network” inserire la rete LAN dell’Ufficio2.
Ora si deve creare la “Shared key”.
Fare il login sul server PfSense dell’Ufficio1 in SSH, digitare “8” (la shell) ed utilizzare il seguente
comando:
# openvpn --genkey --secret shared.key
Questo comando creerà la shared key per questo server OpenVPN. Generata la chiave, copiare il
contenuto del file shared.key appena creato nel box Shared Key dell’interfaccia Web e premere
“Save”.
Si deve copiare la shared key appena generata in modo da utilizzarla sul server nell’Ufficio2.
10 Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
11
PFSense e OpenVPN
Configurazione Ufficio2
Dal menu “VPN  OpenVPN”, selezionare il tab “Client” e fare click su “+”.
Utilizzare “TCP” come protocollo.
“Server address” deve essere l’IP pubblic dell’Ufficio1.
“Server port” è la porta di connessione per la VPN impostata sul PfSense dell’Ufficio1 (in questo
caso 1193.)
“Interface IP” deve essere l’indirizzo IP della rete locale.
“Remote network” è l’indirizzo IP della LAN dell’Ufficio1.
Incollare la shared key generata nell’Ufficio1 nel box shared key e alla fine cliccare su “Save”.
12 Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
PFSense e OpenVPN
A questo punto il tunnel VPN tra le due sedi dovrebbe essere “up and running”.
Davide Benvegnù
www.davidebenvegnu.com – www.dbtek.it – blog.dbtek.it
13