VPN
Una Virtual Private Network (VPN) consente di redirigere in tutto o in parte il proprio traffico internet verso un server VPN, permettendo così l'accesso a reti locali o a servizi remoti protetti da firewall con whitelist sull'indirizzo IP.
Per maggiori informazioni generali, si veda Wikipedia.
Informazioni generali
La VPN aziendale è stata realizzata con OpenVPN, un software open source cross-platform. Il server è implementato da una macchina virtuale (services) basata su Debian; sono disponibili client per Windows, Linux e Android.
Installare e configurare una rete VPN
Per installare una rete VPN, è stata seguita principalmente questa guida OpenVPN.
Webmobili Torino
| Indirizzo IP del server | 89.96.52.243 |
|---|---|
| Porta | 1318 |
| Indirizzo locale del server | 10.13.18.1 |
| Indirizzo LAN del server | 10.13.17.21 |
Non è attivata la redirezione completa dell'intero traffico del client attraverso la VPN: solo il traffico diretto verso alcuni indirizzi IP viene inviato sulla connessione VPN. Per aggiungere o rimuovere indirizzi da questa lista, bisogna modificare il file /etc/openvpn/openvpn.conf.
| Indirizzo IP | Descrizione |
|---|---|
| 10.13.17.0 | Indirizza il traffico della rete LAN dell'ufficio |
| 109.168.30.142 | Macchina test Webmobili |
| 109.168.30.143 | Macchina produzione Webmobili |
| 109.168.30.144 | Macchina EpiServer |
| 109.168.30.145 | Macchina EpiServer |
| 109.168.30.102 | Macchina GPChannel |
| 109.168.30.149 | Macchina ex Witcasa |
| 52.25.242.144 | Macchina Contentwise di Moviri |
| 46.16.88.74 | email GPC |
| 62.173.163.218 | Macchina GIO - MontiRusso |
| 62.173.163.234 | Macchina GAE - MontiRusso |
| 62.173.163.235 | Macchina VICO-PROXY - MontiRusso |
| 62.173.163.236 | Macchina BRUNO-PROXY - MontiRusso |
Soluzione di problemi comuni
Rete interna o servizi remoti non raggiungibili
Quando la connessione VPN è attiva, è possibile accedere alla rete locale dell'ufficio come se si fosse fisicamente collegati ad essa. Inoltre, tutti i servizi remoti accessibili solo dall'IP dell'ufficio sono raggiungibili (vedi tabella sopra).
Nel caso questo non avvenisse, una possibile causa è che l'IP forwarding sia disattivato sul server. Per verificarlo, si accede in SSH alla macchina Services e si esegue
cat /proc/sys/net/ipv4/ip_forward
Se viene stampato 1, il port forwarding è attivo; se 0, è disattivato. Per attivarlo, è sufficiente eseguire
echo 1 > /proc/sys/net/ipv4/ip_forward
Creazione di un nuovo client
Si tratta di creare un client certificato.
Dalla macchina Jarvis
cd /opt/shared/bash
sudo ./vpncreateuser
# 1- Scrivi il tuo nome: digitare nomecognome in minuscolo
# 2- Enter PEM pass phrase scrivere la password e confermare
# 3- Compilare come segue
# !!molto importante!! il campo Common Name deve essere esattamente Webmobili S.R.L. per matchare il server
Country Name: IT
State or Province Name: TO
Locality Name: Torino
Organization Name: Webmobili S.R.L.
Organizational Unit Name: Team MESS
Common Name: Webmobili S.R.L.
Name: NomeCognome
Email Address: email@dominio.est
# 4- invio su challenge password e optional company name
# 5- Digitare y alle 2 domande successive (importante, invio senza digitare equivale a n )Se tutto è andato bene ci ritroviamo la cartella di configurazione VPN pronta proprio nella Working Directory.
Assegniamo i permessi
sudo chown www-data:www-data Webmobili-nomecognome/ -R
sudo chmod 775 Webmobili-nomecognome/ -R
mv Webmobili-nomecognome /opt/shared/VPNOra è pronta.
Cambiamento di Easy-RSA
Hanno aggiornato Easy-RSA, non esiste più la cartella keys, sostituita da pki e le operazioni per generare un client VPN sono cambiate.
https://www.howtoforge.com/tutorial/how-to-install-and-configure-openvpn-server-on-debian-10/
Questo articoletto va migliorato
