Qualcosa di super utile in un Raspberry per potersi connettere da qualsiasi luogo sarà configurare un server VPN, In un precedente documento abbiamo già visto come assemblarlo, ma è stato con PPTP, Qualcosa di non molto sicuro, diciamo, in questo documento vedremo come installare OpenVPN su un Raspberry, Ecco alcune note in modo da poter configurare una VPN sicura e connettersi da qualsiasi luogo!

OpenVPN ci offre una combinazione di sicurezza di livello aziendale, sicurezza, Facilità d'uso e ricchezza di funzionalità. La sicurezza si ottiene crittografando il traffico utilizzando meccanismi SSL/TLS, quindi in questo documento distribuiremo oltre a OpenVPN stesso, la nostra CA, Genereremo i certificati per gli utenti e forniremo le loro chiavi per la connessione! Se non abbiamo un IP pubblico fisso, sarebbe ideale abbinarlo al Client NO-IP sul nostro Raspberry!!!

Iniziamo con l'installazione di OpenSSL:

[Codice sorgente]Sudo apt-get install OpenVPN OpenSSL
cd /etc/openvpn
sudo su
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa[/Codice sorgente]

Modificheremo con 'vim easy-rsa/vars’ e correggeremo il percorso successivo con il percorso corretto: 'esportazione EASY_RSA=”/ecc/openvpn/facile-rsa”‘.

Creiamo i certificati del server e del client oltre alla chiave, al momento della compilazione delle informazioni del certificato con le quali indichiamo il 'Nome comune'’ Sarebbe sufficiente, Avviato:

[Codice sorgente]./Easy-RSA/clean-all
CD facile
ln -s openssl-1.0.0.cnf openssl.cnf
CD ..
./easy-rsa/build-ca OpenVPN
./easy-rsa/build-key-server server (y a todo)
./client easy-rsa/build-key1
./facile-rsa/costruire-dh[/Codice sorgente]

Creamos nuestro archivo de configuración con 'vim /etc/openvpn.conf’ Y con esta configuración sería suficiente:

[Codice sorgente]dev tun
Proto UDP
porto 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/chiavi/server.crt
chiave /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
utente nessuno
Gruppo Nogroup
Server 10.8.0.0 255.255.255.0
chiave persistente
persist-tun
stato /var/log/openvpn-status.log
verbo 3
da cliente a cliente
Push "Redirect-Gateway def1"
#Impostare i server DNS
premere "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openVPN
comp-lzo[/Codice sorgente]

Ejecutamos lo siguiente para permitir el enrutado a nuestra red, en este ejemplo uso el interfaz Wifi wlan0, Si usas ethernet deberías poner eth0; fai attenzione all'intervallo IP nel caso in cui la tua rete non sia il 192.168.1.0/24 per cambiarlo e infine il 192.168.1.197 è l'indirizzo del mio Raspberry Pi:

[Codice sorgente]ECO 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wlan0 -j SNAT –A 192.168.1.197[/Codice sorgente]

Modifichiamo 'vim /etc/sysctl.conf’ e ci dismentiamo’ net.ipv4.ip_forward=1′
Ora saremo in grado di avviare OpenVPN con: '/etc/init.d/openvpn start'.

Creeremo il nostro file di configurazione OpenVPN per i client, Eseguiamo 'vim conexion_vpn.ovpn e mettiamo:

[Codice sorgente]dev tun
cliente
Proto UDP
NOMBRE_O_DIRECCIÓN_IP_ remoto(PUBBLICA)_DE_LA_RASPBERRY 1194
risoluzione-ripetizione infinito
Pivellino
chiave persistente
persist-tun
CA.crt
certificato client1.crt
Chiave client1.key
comp-lzo
verbo 3[/Codice sorgente]

Modifichiamo 'vim /etc/rc.local’ e lo mettiamo alla fine prima dell'ultima uscita (fai attenzione all'intervallo IP dell'esempio, Interfaccia e indirizzo Raspberry Pi:

[Codice sorgente]iptables -t nat -A INPUT -i wlan0 -p udp -m udp –Ombra ombra 1194 -j ACCETTO
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wlan0 -j SNAT –alla fonte 192.168.1.197[/Codice sorgente]

Copiamo certificati e clienti per tenerli vicini, Diventeremo proprietari dei file che consegneremo ai clienti:

[Codice sorgente]cp -rf /etc/openvpn/easy-rsa/chiavi /home/pi
Chown pi greco:pi /home/pi/keys per poterle copiare con SCP sui nostri PC
sudo chmod 777 /home/pi/chiavi/client1.key[/Codice sorgente]

Copieremo i seguenti file sui PC che vogliono connettersi: CA.CRT, client1.crt e client1.key

E infine, dovremo prendere in considerazione l'apertura delle seguenti porte nei nostri firewall/router per consentire l'accesso da Internet alle nostre reti: TCP 443, TCP 943 & UDP 1194.