[Verdebinario] Tunnel VPN Verde Binario

[Giuseppe De Marco]

Cari verdi,

all'host 10.87.8.8 / 192.168.1.8, denominato zizio, nelle vesti del
thin client T5540, è attivo il nostro server openVPN.

Al momento è attivo solo per chi è dentro Ninux ma presto, se saremo
daccordo, potremo erogarlo in WAN Internet tramite port-forwarding e
consentire anche ai soci che non hanno l'antenna di accedere alla rete
Ninux mediante Internet.

la rete del tunnel è

10.87.251.0/24 come deciso sulla nostra gestione indirizzi regionale

Non sò se rimarrà per sempre 10.87.251 o se in futuro cambierà, almomento è.
Chi avrà il certificato con il quale potrà fare il tunnel avrà anche
accesso ad Internet, per il momento ho configurato un NAT su questa
classe di rete.

Possiamo decidere eventuali strategie alternative.
Per la creazione delle chiavi bast loggarsi in ssh su zizio e fare:

build-key nomecertificato

lui genererà in /etc/easy-rsa/keys i seguenti files:

nomecertificato.crt
nomecertificato.key


Questi file insieme a

ca.crt

compongono il "certificato" di accesso e, se configurati in un file di
configurazione openVPN client tipo questo (nomecertificato.ovpn):

"""
client
dev tun
proto udp
remote 10.87.8.8 1194
resolv-retry infinite
nobind
ca ca.crt
cert nomecertificato.crt
key nomecertificato.key
comp-lzo
persist-tun
persist-key
verb 3
#redirect-gateway def1
"""

ed eseguiti nella stessa directory così:

openvpn --config nomecertificato.ovpn

creano il tunnel.
Con il tunnel non ho ancora definito il push delle routes in
automatico perchè al sottoscritto al momento danno noia avendo io il
routing direttamente dalle mie antenne, ma a breve le abilito.

A mano dai nostri terminali

# per internet
route add default gw 10.87.251.1

# per ninux
route add -net 10.87.0.0/16

# per ninux WAN
route add -net 172.17.0.0/16

Per internet zizio non passa attraverso Ninux ma direttamente, tramite
VLAN, su 192.168.1.0/24.
Per accedere in VPN tramite Internet su Ninux possiamo configurare
sempre su zizio un dyndns.

enjoy ninux