Ci sono però degli script che semplificano diverse procedure su raspbian, come ad esempio la creazione di un server VPN basato su OpenVPN o WireGuard. OpenVPN è forse la VPN più conosciuta, stabile e sicura, mentre WireGuard è una “nuova” VPN più performante della prima, sicuramente da provare.

La procedura di installazione è comunque sta stessa, sia per l’una che l’altra. Innanzitutto aggiorniamo la nostra distro con:

apt update && apt full-upgrade

A questo punto digitiamo:

curl -L https://install.pivpn.io | bash

e seguiamo la procedura guidata

Bene, a questo punto per aggiungere un nuovo client digitare:

pivpn add

Per visualizzare una guida all’uso:

pivpn help

enjoy!

Per l’installazione tramite allegato ad un messaggio email è necessario creare un file .ovpn che contenga sia la configurazione che i certificati. Per la creazione consiglio di posizionare il seguente script nella cartella /etc/openvpn/easy-rsa del server:

!/bin/bash
#Script written by Eric Jodoin
#Default Variable Declarations
 DEFAULT="inline_client.conf"
 FILEEXT=".ovpn"
 CRT=".crt"
 KEY=".key"
 CA="ca.crt"
 TA="ta.key"
 kPath="./keys/"
#Ask for a Client name
 echo "Please enter an existing Client Name:"
 read NAME
 echo "Please enter an Name for the output file"
 read ovpnName
#1st Verify that client's Public Key Exists
 if [ ! -f $kPath$NAME$CRT ]; then
    echo "[ERROR]: Client Public Key Certificate not found: $kPath$NAME$CRT"
    exit
 fi
 echo "Client's cert found: $kPath$NAME$CRT"
#Then, verify that there is a private key for that client
 if [ ! -f $kPath$NAME$KEY ]; then
    echo "[ERROR]: Client 3des Private Key not found: $kPath$NAME$KEY"
    exit
 fi
 echo "Client's Private Key found: $kPath$NAME$KEY"
#Confirm the CA public key exists
 if [ ! -f $kPath$CA ]; then
    echo "[ERROR]: CA Public Key not found: $kPath$CA"
    exit
 fi
 echo "CA public Key found: $kPath$CA"
 #Confirm the tls-auth ta key file exists
 if [ ! -f $kPath$TA ]; then
    echo "[ERROR]: tls-auth Key not found: $kPath$TA"
    exit
 fi
 echo "tls-auth Private Key found: $kPath$TA"
#Ready to make a new .opvn file - Start by populating with the
 cat $DEFAULT > $ovpnName$FILEEXT
#Now, append the CA Public Cert
 echo "" >> $ovpnName$FILEEXT 
 cat $kPath$CA | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT 
 echo "" >> $ovpnName$FILEEXT
#Next append the client Public Cert
 echo "" >> $ovpnName$FILEEXT 
 cat $kPath$NAME$CRT | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT 
 echo "" >> $ovpnName$FILEEXT
#Then, append the client Private Key
 echo "" >> $ovpnName$FILEEXT 
 cat $kPath$NAME$KEY >> $ovpnName$FILEEXT 
 echo "" >> $ovpnName$FILEEXT
#Finally, append the TA Private Key
 echo "" >> $ovpnName$FILEEXT 
 cat $kPath$TA >> $ovpnName$FILEEXT  
 echo "" >> $ovpnName$FILEEXT
 echo "Done! $ovpnName$FILEEXT Successfully Created."

poi creare il file nella stessa cartella il file inline_client.conf ricordandosi di non inserire i riferimenti ai certificati e di indicare la direttiva key-direction 1. Avremo qualcosa tipo:

 tls-client
 remote XX.XX.XX.XX
 port 9443
 proto udp
 dev tun
 persist-tun
 resolv-retry infinite
 nobind

 persist-key
 explicit-exit-notify
 
 route-nopull 
 pull route
 route 10.10.0.0 255.255.0.0
 route 10.19.0.0 255.255.0.0
 dhcp-option DNS 10.10.7.100
 dhcp-option DNS 10.10.7.200
 pull ping
 comp-lzo
 key-direction 1

Dove XX.XX.XX.XX sarà l’IP del server VPN.

Bene, a questo punto diamo i privilegi allo script bash indicato all’inizio e poi richiamiamolo. Ci chiederà il nome del certificato ed il nome del file da generare e poi farà tutto in automatico.

Se invece lo volessimo fare manualmente, restano valide le raccomandazioni per il file inline_client.conf a cui dovremo aggiungere alla fine il contenuto dei files dei certificati, all’interno di appositi TAG. Queste le sezioni da creare alla fine del file:

<ca> 
##qui il contenuto del file ca.crt
</ca> 
<cert> 
##qui il contenuto del file di certificato utente.crt
</cert> 
<key>
##qui il contenuto del file di chiave utente.key
</key> 
<tls-auth>
##qui il contenuto del file ta.key
</tls-auth>

enjoy!

Questa cosa viene gestita dalla direttiva client-config-dir ccd del file di configurazione /etc/openvpn/server.conf.

Iniziamo con il creare la cartella ccd:

mkdir /etc/openvpn/ccd

Ora, modifichiamo il file /etc/openvpn/server.conf ed abilitiamo la direttiva client-config-dir ccd.

A questo punto accediamo alla cartella ccd e creiamo un file per ogni utente, il cui nome dovrà essere proprio quello dell’utente openvpn, ed inseriamo la direttiva per assegnare l’IP. Se ad esempio il nome utente è tech, il file da creare dovrà essere:

mkdir /etc/openvpn/ccd/tech

e se gli vogliamo assegnare l’IP 10.10.7.13, il contenuto sarà:

ifconfig-push 10.10.7.13 10.10.7.14

I due IP rappresentano quello del virtual client e l’endopoint del server. Devono essere recuperati dalla sucessiva /30 subnet, in modo da essere compatibili con i client Windos ed i driver TAP-Windows.
Per la scelta dei due IP (l’ultimo ottetto) bisogna far riferimento alla seguente tabella:

[  1,  2] [  5,  6] [  9, 10] [ 13, 14] [ 17, 18]
    [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
    [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
    [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
    [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
    [101,102] [105,106] [109,110] [113,114] [117,118]
    [121,122] [125,126] [129,130] [133,134] [137,138]
    [141,142] [145,146] [149,150] [153,154] [157,158]
    [161,162] [165,166] [169,170] [173,174] [177,178]
    [181,182] [185,186] [189,190] [193,194] [197,198]
    [201,202] [205,206] [209,210] [213,214] [217,218]
    [221,222] [225,226] [229,230] [233,234] [237,238]
    [241,242] [245,246] [249,250] [253,254]

Bene, riavviamo OpenVPN:

service openvpn restart

enjoy!

Can't assign requested address

Piuttosto che riavviare il Mac, ho provato a fare un reset della connessione WIFI (quindi la porta en1).

Per effettuare il reset, digitare nel terminale:

sudo ifconfig en1 down
sudo route flush
sudo ifconfig en1 up

enjoy!

script-security 2
client-connect ./client-connect.sh
client-disconnect ./client-disconnect.sh

Creare ora i due files /etc/openvpn/client-connect.sh e /etc/openvpn/client-disconnect.sh.

Contenuto del file /etc/openvpn/client-connect.sh:

#!/bin/bash
# This is an openvpn connect script that log users connection
#

test -f /var/log/openvpn/conn.log || touch /var/log/openvpn/conn.log
echo "`date` - connect - CN: ${common_name} has IP: ${ifconfig_pool_remote_ip}" >> /var/log/openvpn/conn.log

Contenuto del file /etc/openvpn/client-disconnect.sh:

#!/bin/bash
# This is an openvpn disconnect script that log user
#

test -f /var/log/openvpn/conn.log || touch /var/log/openvpn/conn.log
echo "`date` - disconnect - CN: ${common_name} from IP ${ifconfig_pool_remote_ip} bytes sent to client $(numfmt --to=si ${bytes_sent}) - bytes recieved from client $(numfmt --to=si ${bytes_received}) - connection time $(date -d@${time_duration} -u +%H:%M:%S)" >> /var/log/openvpn/conn.log

Riavviare openVPN con il classico:

/etc/init.d/openvpn restart

I logs di connessione/disconnessione verranno ora inseriti nel file /var/log/openvpn/conn.log.

enjoy