VPN - Endpoint del client VPN: differenze tra le versioni
Da Webmobili Wiki.
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
| (12 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
{{#breadcrumb: Amazon_Web_Services | Macchina Apache Web Server}} | <!-- {{#breadcrumb: Amazon_Web_Services | Macchina Apache Web Server}} --> | ||
== I Certificati == | == I Certificati == | ||
Per creare una VPN per il datacenter<br/> | Per creare una VPN per il datacenter<br/> | ||
è necessario prima creare | è necessario prima creare | ||
* Un certificato | * Un certificato <code>ca.crt</code>, ''Certificate Authority'', utilizzato per firmare i certificati successivi. | ||
* Un certificato <code>server.crt</code> | * Un certificato <code>server.crt</code> | ||
* Un certificato <code>client.crt</code> | * Un certificato <code>client.crt</code> | ||
| Riga 15: | Riga 15: | ||
Questo certificato di tipo ''server'' sarà disponibile dalla tendina di creazione di una VPN. | Questo certificato di tipo ''server'' sarà disponibile dalla tendina di creazione di una VPN. | ||
== Creazione e attivazione VPN == | |||
In ''AWS'' dal servizio '''VPC''' cliccare su '''Endpoint del client VPN'''. | |||
* Inserire ''Tag del nome'', ''Descrizione''. | |||
* Come ''CIDR'' mettere <code>10.0.0.0/22</code> | |||
* ''ARN del certificato del server'' selezionare il certificato precedentemente importato in ''Certificates Manager'' | |||
* ''Opzioni di autenticazione'' flaggare ''Utilizza l'autenticazione reciproca'' | |||
** ''ARN del certificato client'' usare lo stesso certificato ''server'' selezionato prima | |||
* Checkare ''Abilita lo split-tunnel'' | |||
* Selezionare il ''VPC'' | |||
* Selezionare il ''Gruppo di Sicurezza'' | |||
Una volta creato è necessario '''associare la rete di destinazione''' dal pannello in basso.<br/> | |||
Abbiamo selezionato la '''rete pubblica'''. | |||
'''Regole di autorizzazione''' è necessario crearne una '''per ogni rete''' (anche quella privata) nella quale gli utenti hanno permesso di muoversi.<br/> | |||
* Inserire il CIDR della rete. Es: <code>172.31.100.0/24</code> e poi nell'altra <code>172.31.200.0/24</code> | |||
* ''Consenti l'accesso a tutti gli utenti'' | |||
== | Ora è possibile cliccare sul pulsante '''Scarica la configurazione del client''' per avere il file <code>.ovpn</code>. | ||
Sul computer client creare una cartella <code>webmobili-aws</code><br/> | |||
<pre>C:\Program Files\OpenVPN\config\webmobili-aws | |||
| | |||
|__ client.crt | |||
|__ client.key | |||
|__ webmobili-aws.ovpn | |||
</pre> | |||
Poi editare con Notepad il file <code>webmobili-aws.ovpn</code> e aggiungere dopo la definizione del certificato <code>ca</code><br/> | |||
i riferimenti ai certificati. | |||
<pre> | |||
</ca> | |||
cert client.crt | |||
key client.key | |||
</pre> | |||
=== VPN Full Traffic === | |||
Per avere una VPN che redirige '''tutto il traffico''' al server in Virginia. | |||
* Creare seguendo i passaggi precedenti | |||
* Non flaggare '''Split-Tunnel''' | |||
* ''Associazione reti di destinazione'' inserire la ''rete privata'' perché ha un routing che porta ad un NAT | |||
* ''Regole di autorizzazione'' inserire CIDR <code>0.0.0.0/0</code> | |||
* ''Tabella di routing'' aggiungere <code>0.0.0.0/0</code> ai CIDR di destinazione | |||
* <div> | |||
Inserire queste due righe nel file <code>.ovpn</code> | |||
<syntaxhighlight lang="bash"> | |||
redirect-gateway def1 | |||
dhcp-option DNS 8.8.8.8 | |||
</syntaxhighlight> | |||
</div> | |||
Versione attuale delle 11:55, 10 lug 2025
I Certificati
[modifica]Per creare una VPN per il datacenter
è necessario prima creare
- Un certificato
ca.crt, Certificate Authority, utilizzato per firmare i certificati successivi. - Un certificato
server.crt - Un certificato
client.crt
Devono ovviamente essere comprensivi delle rispettive chiavi ca.key, server.key e client.key
Una volta generati, da AWS andare in Certificate Manager,
poi cliccare importa certificato.
- Campo Corpo del certificato inserire il contenuto di
server.crt - Campo Chiave privata del certificato inserire
server.key - Campo Catena di certificati inserire il contenuto di
ca.crt(necessario anche se dice facoltativo)
Questo certificato di tipo server sarà disponibile dalla tendina di creazione di una VPN.
Creazione e attivazione VPN
[modifica]In AWS dal servizio VPC cliccare su Endpoint del client VPN.
- Inserire Tag del nome, Descrizione.
- Come CIDR mettere
10.0.0.0/22 - ARN del certificato del server selezionare il certificato precedentemente importato in Certificates Manager
- Opzioni di autenticazione flaggare Utilizza l'autenticazione reciproca
- ARN del certificato client usare lo stesso certificato server selezionato prima
- Checkare Abilita lo split-tunnel
- Selezionare il VPC
- Selezionare il Gruppo di Sicurezza
Una volta creato è necessario associare la rete di destinazione dal pannello in basso.
Abbiamo selezionato la rete pubblica.
Regole di autorizzazione è necessario crearne una per ogni rete (anche quella privata) nella quale gli utenti hanno permesso di muoversi.
- Inserire il CIDR della rete. Es:
172.31.100.0/24e poi nell'altra172.31.200.0/24 - Consenti l'accesso a tutti gli utenti
Ora è possibile cliccare sul pulsante Scarica la configurazione del client per avere il file .ovpn.
Sul computer client creare una cartella webmobili-aws
C:\Program Files\OpenVPN\config\webmobili-aws | |__ client.crt |__ client.key |__ webmobili-aws.ovpn
Poi editare con Notepad il file webmobili-aws.ovpn e aggiungere dopo la definizione del certificato ca
i riferimenti ai certificati.
</ca> cert client.crt key client.key
VPN Full Traffic
[modifica]Per avere una VPN che redirige tutto il traffico al server in Virginia.
- Creare seguendo i passaggi precedenti
- Non flaggare Split-Tunnel
- Associazione reti di destinazione inserire la rete privata perché ha un routing che porta ad un NAT
- Regole di autorizzazione inserire CIDR
0.0.0.0/0 - Tabella di routing aggiungere
0.0.0.0/0ai CIDR di destinazione
Inserire queste due righe nel file .ovpn
redirect-gateway def1
dhcp-option DNS 8.8.8.8
