VPN - Endpoint del client VPN: differenze tra le versioni
Da Webmobili Wiki.
Nessun oggetto della modifica |
|||
| (8 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
{{#breadcrumb: Amazon_Web_Services | Macchina Apache Web Server}} | <!-- {{#breadcrumb: Amazon_Web_Services | Macchina Apache Web Server}} --> | ||
== I Certificati == | == I Certificati == | ||
Per creare una VPN per il datacenter<br/> | Per creare una VPN per il datacenter<br/> | ||
| Riga 22: | Riga 22: | ||
* ''ARN del certificato del server'' selezionare il certificato precedentemente importato in ''Certificates Manager'' | * ''ARN del certificato del server'' selezionare il certificato precedentemente importato in ''Certificates Manager'' | ||
* ''Opzioni di autenticazione'' flaggare ''Utilizza l'autenticazione reciproca'' | * ''Opzioni di autenticazione'' flaggare ''Utilizza l'autenticazione reciproca'' | ||
** ''ARN del certificato client'' usare lo stesso certificato ''server'' selezionato prima | |||
* Checkare ''Abilita lo split-tunnel'' | * Checkare ''Abilita lo split-tunnel'' | ||
* Selezionare il ''VPC'' | * Selezionare il ''VPC'' | ||
| Riga 30: | Riga 31: | ||
'''Regole di autorizzazione''' è necessario crearne una '''per ogni rete''' (anche quella privata) nella quale gli utenti hanno permesso di muoversi.<br/> | '''Regole di autorizzazione''' è necessario crearne una '''per ogni rete''' (anche quella privata) nella quale gli utenti hanno permesso di muoversi.<br/> | ||
* Inserire il CIDR della rete. Es: <code>172.31.100.0/24</code> | * Inserire il CIDR della rete. Es: <code>172.31.100.0/24</code> e poi nell'altra <code>172.31.200.0/24</code> | ||
* ''Consenti l'accesso a tutti gli utenti'' | * ''Consenti l'accesso a tutti gli utenti'' | ||
Ora è possibile cliccare sul pulsante '''Scarica la configurazione del client''' per avere il file <code>.ovpn</code>. | Ora è possibile cliccare sul pulsante '''Scarica la configurazione del client''' per avere il file <code>.ovpn</code>. | ||
Sul computer client creare una cartella<br/> | Sul computer client creare una cartella <code>webmobili-aws</code><br/> | ||
<pre>C:\Program Files\OpenVPN\config\webmobili-aws | <pre>C:\Program Files\OpenVPN\config\webmobili-aws | ||
| | | | ||
| Riga 43: | Riga 44: | ||
</pre> | </pre> | ||
Poi editare con Notepad il file <code>webmobili-aws.ovpn</code> e aggiungere dopo la definizione del certificato <code>ca</code> i riferimenti ai certificati. | Poi editare con Notepad il file <code>webmobili-aws.ovpn</code> e aggiungere dopo la definizione del certificato <code>ca</code><br/> | ||
i riferimenti ai certificati. | |||
<pre> | <pre> | ||
cert | </ca> | ||
key | |||
cert client.crt | |||
key client.key | |||
</pre> | </pre> | ||
=== VPN Full Traffic === | |||
Per avere una VPN che redirige '''tutto il traffico''' al server in Virginia. | |||
* Creare seguendo i passaggi precedenti | |||
* Non flaggare '''Split-Tunnel''' | |||
* ''Associazione reti di destinazione'' inserire la ''rete privata'' perché ha un routing che porta ad un NAT | |||
* ''Regole di autorizzazione'' inserire CIDR <code>0.0.0.0/0</code> | |||
* ''Tabella di routing'' aggiungere <code>0.0.0.0/0</code> ai CIDR di destinazione | |||
* <div> | |||
Inserire queste due righe nel file <code>.ovpn</code> | |||
<syntaxhighlight lang="bash"> | |||
redirect-gateway def1 | |||
dhcp-option DNS 8.8.8.8 | |||
</syntaxhighlight> | |||
</div> | |||
Versione attuale delle 11:55, 10 lug 2025
I Certificati
[modifica]Per creare una VPN per il datacenter
è necessario prima creare
- Un certificato
ca.crt, Certificate Authority, utilizzato per firmare i certificati successivi. - Un certificato
server.crt - Un certificato
client.crt
Devono ovviamente essere comprensivi delle rispettive chiavi ca.key, server.key e client.key
Una volta generati, da AWS andare in Certificate Manager,
poi cliccare importa certificato.
- Campo Corpo del certificato inserire il contenuto di
server.crt - Campo Chiave privata del certificato inserire
server.key - Campo Catena di certificati inserire il contenuto di
ca.crt(necessario anche se dice facoltativo)
Questo certificato di tipo server sarà disponibile dalla tendina di creazione di una VPN.
Creazione e attivazione VPN
[modifica]In AWS dal servizio VPC cliccare su Endpoint del client VPN.
- Inserire Tag del nome, Descrizione.
- Come CIDR mettere
10.0.0.0/22 - ARN del certificato del server selezionare il certificato precedentemente importato in Certificates Manager
- Opzioni di autenticazione flaggare Utilizza l'autenticazione reciproca
- ARN del certificato client usare lo stesso certificato server selezionato prima
- Checkare Abilita lo split-tunnel
- Selezionare il VPC
- Selezionare il Gruppo di Sicurezza
Una volta creato è necessario associare la rete di destinazione dal pannello in basso.
Abbiamo selezionato la rete pubblica.
Regole di autorizzazione è necessario crearne una per ogni rete (anche quella privata) nella quale gli utenti hanno permesso di muoversi.
- Inserire il CIDR della rete. Es:
172.31.100.0/24e poi nell'altra172.31.200.0/24 - Consenti l'accesso a tutti gli utenti
Ora è possibile cliccare sul pulsante Scarica la configurazione del client per avere il file .ovpn.
Sul computer client creare una cartella webmobili-aws
C:\Program Files\OpenVPN\config\webmobili-aws | |__ client.crt |__ client.key |__ webmobili-aws.ovpn
Poi editare con Notepad il file webmobili-aws.ovpn e aggiungere dopo la definizione del certificato ca
i riferimenti ai certificati.
</ca> cert client.crt key client.key
VPN Full Traffic
[modifica]Per avere una VPN che redirige tutto il traffico al server in Virginia.
- Creare seguendo i passaggi precedenti
- Non flaggare Split-Tunnel
- Associazione reti di destinazione inserire la rete privata perché ha un routing che porta ad un NAT
- Regole di autorizzazione inserire CIDR
0.0.0.0/0 - Tabella di routing aggiungere
0.0.0.0/0ai CIDR di destinazione
Inserire queste due righe nel file .ovpn
redirect-gateway def1
dhcp-option DNS 8.8.8.8
