VPN - Endpoint del client VPN

Da Webmobili Wiki.

I Certificati

[modifica]

Per creare una VPN per il datacenter
è necessario prima creare

  • Un certificato ca.crt, Certificate Authority, utilizzato per firmare i certificati successivi.
  • Un certificato server.crt
  • Un certificato client.crt

Devono ovviamente essere comprensivi delle rispettive chiavi ca.key, server.key e client.key

Una volta generati, da AWS andare in Certificate Manager,
poi cliccare importa certificato.

  • Campo Corpo del certificato inserire il contenuto di server.crt
  • Campo Chiave privata del certificato inserire server.key
  • Campo Catena di certificati inserire il contenuto di ca.crt (necessario anche se dice facoltativo)

Questo certificato di tipo server sarà disponibile dalla tendina di creazione di una VPN.

Creazione e attivazione VPN

[modifica]

In AWS dal servizio VPC cliccare su Endpoint del client VPN.

  • Inserire Tag del nome, Descrizione.
  • Come CIDR mettere 10.0.0.0/22
  • ARN del certificato del server selezionare il certificato precedentemente importato in Certificates Manager
  • Opzioni di autenticazione flaggare Utilizza l'autenticazione reciproca
    • ARN del certificato client usare lo stesso certificato server selezionato prima
  • Checkare Abilita lo split-tunnel
  • Selezionare il VPC
  • Selezionare il Gruppo di Sicurezza

Una volta creato è necessario associare la rete di destinazione dal pannello in basso.
Abbiamo selezionato la rete pubblica.

Regole di autorizzazione è necessario crearne una per ogni rete (anche quella privata) nella quale gli utenti hanno permesso di muoversi.

  • Inserire il CIDR della rete. Es: 172.31.100.0/24 e poi nell'altra 172.31.200.0/24
  • Consenti l'accesso a tutti gli utenti

Ora è possibile cliccare sul pulsante Scarica la configurazione del client per avere il file .ovpn.

Sul computer client creare una cartella webmobili-aws

C:\Program Files\OpenVPN\config\webmobili-aws
|
|__ client.crt
|__ client.key
|__ webmobili-aws.ovpn

Poi editare con Notepad il file webmobili-aws.ovpn e aggiungere dopo la definizione del certificato ca
i riferimenti ai certificati. 

</ca>

cert client.crt
key client.key


VPN Full Traffic

[modifica]

Per avere una VPN che redirige tutto il traffico al server in Virginia.

  • Creare seguendo i passaggi precedenti
  • Non flaggare Split-Tunnel
  • Associazione reti di destinazione inserire la rete privata perché ha un routing che porta ad un NAT
  • Regole di autorizzazione inserire CIDR 0.0.0.0/0
  • Tabella di routing aggiungere 0.0.0.0/0 ai CIDR di destinazione

Inserire queste due righe nel file .ovpn 

redirect-gateway def1
dhcp-option DNS 8.8.8.8
Estratto da "https://wiki.wmdemo.it/index.php?title=VPN_-_Endpoint_del_client_VPN&oldid=4700"