[roleo]

Ho scritto questa guida per la configurazione di OpenVPN su AGTEF e AGTHP in modalità routing.
Gli indirizzi usati per la lan sono quelli canonici 192.168.1.x.
Gli indirizzi usati per la rete vpn sono quelli canonici 10.8.0.x.
Pertanto se volete utilizzare i vostri indirizzi dovete modificare gli script che ho postato, soprattutto nella parte firewalling.
In questo esempio non è previsto l'utilizzo di interfacce grafiche (es. Luci), tutta la configurazione è manuale.

Verificare di avere opkg configurato correttamente per accedere al repository
#AGTEF < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages
#AGTHP < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages
#AGTEF/AGTHP >= 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages

ed eseguire un aggiornamento con

Codice: [Seleziona]

opkg update

Se la procedura fallisce a causa di errori openssl eseguire il comando seguente per installare openssl-util:
#AGTEF < 1.1.0

Codice: [Seleziona]

opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
#AGTHP < 1.1.0

Codice: [Seleziona]

opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/base/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
#AGTEF/AGTHP >= 1.1.0

Codice: [Seleziona]

opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/openssl-util_1.0.2q-2_brcm63xx-tch.ipk
e poi riprovare l'aggiornamento.

Sostituire la libreria openssl esistente con la versione 1.0.2n-1 o 1.0.2q-2:
#AGTEF < 1.1.0

Codice: [Seleziona]

opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
#AGTHP < 1.1.0

Codice: [Seleziona]

opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
#AGTEF/AGTHP >= 1.1.0

Codice: [Seleziona]

opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk

A questo punto ho seguito la guida che era disponibile all'indirizzo https://openwrt.org/docs/guide-user/services/vpn/openvpn/basic e che ora è cambiata:

Installare openvpn e le relative dipendenze:

Codice: [Seleziona]

opkg install openvpn-openssl openssl-util

Eseguire lo script di generazione delle chiavi:

Codice: [Seleziona]

#!/bin/sh

# Creating Directory Structure
VPN_DIR="/etc/openvpn"
PKI_DIR="$VPN_DIR/ssl"

if [ -d "$PKI_DIR" ]
then
    rm -rf "$PKI_DIR"
fi
mkdir -p "$PKI_DIR"
chmod -R 600 "$PKI_DIR"
cd "$PKI_DIR"
touch index.txt index
echo 1000 > serial
cp -f /etc/ssl/openssl.cnf "$PKI_DIR"

# Customizing openssl.cnf
PKI_CONF="$PKI_DIR/openssl.cnf"

sed -i "
                              s:\\\\:/:g
/^dir/                        s:=.*:= $PKI_DIR:
/^new_certs_dir/              s:=.*:= $PKI_DIR:
/.*Name/                      s:= match:= optional:
/organizationName_default/    s:= .*:= WWW Ltd.:
/stateOrProvinceName_default/ s:= .*:= London:
/countryName_default/         s:= .*:= GB:
/default_days/                s:=.*:= 3650:
/default_bits/                s:=.*:= 4096:
" "$PKI_CONF"

cat << "EOF" >> "$PKI_CONF"
[ vpnserver ]
  keyUsage = digitalSignature, keyEncipherment
  extendedKeyUsage = serverAuth

[ vpnclient ]
  keyUsage = digitalSignature
  extendedKeyUsage = clientAuth
EOF

# Generating Server PSK and CA, Server, & Client Certs
# Generating Certifcate Authority Cert & Key
openssl req -batch -nodes -new -keyout "ca.key" -out "ca.crt" -x509 -config "$PKI_CONF" -days "3650"
# Generating Server Cert & Key
openssl req -batch -nodes -new -keyout "my-server.key" -out "my-server.csr" -subj "/CN=my-server" -config "$PKI_CONF"
# Signing Server Cert
openssl ca  -batch -keyfile "ca.key" -cert "ca.crt" -in "my-server.csr" -out "my-server.crt" -config "$PKI_CONF" -extensions "vpnserver"
# Generating Client Cert & Key
# PASSPHRASE MUST BE SET (4 chars minimum, 16+ chars recommended)
openssl req -batch -nodes -new -keyout "my-client.key" -out "my-client.csr" -subj "/CN=my-client" -config "$PKI_CONF"
# Signing Client Cert
openssl ca  -batch -keyfile "ca.key" -cert "ca.crt" -in "my-client.csr" -out "my-client.crt" -config "$PKI_CONF" -extensions "vpnclient"

# Generating OpenVPN TLS PSK
openvpn --genkey --secret "tls-auth.key"

# Generating Diffie-Hellman Cert
# May take a while to complete (~25m on WRT3200ACM)
openssl dhparam -out "dh2048.pem" 2048

# Correcting Permissions
chmod 600 tls-auth.key dh2048.pem ca.key my-server.key my-client.key

# Copying Certs & Keys to $VPN_DIR
cp tls-auth.key dh2048.pem ca.crt my-server.* my-client.* "$VPN_DIR"

# Returning to initial working directory
cd -

# Done

Eseguire i seguenti comandi uci per impostare la configurazione di openvpn (personalizzate chiaramente ciò che ritenete opportuno):

Codice: [Seleziona]

uci set openvpn.vpnserver='openvpn'
uci set openvpn.vpnserver.enabled='1'
uci set openvpn.vpnserver.dev='tun'
uci set openvpn.vpnserver.proto='udp'
uci set openvpn.vpnserver.port='1194'
uci set openvpn.vpnserver.tls_server='1'
uci set openvpn.vpnserver.mode='server'
uci set openvpn.vpnserver.server='10.8.0.0 255.255.255.0'
uci set openvpn.vpnserver.comp_lzo='yes'
uci set openvpn.vpnserver.keepalive='10 120'
uci set openvpn.vpnserver.persist_key='1'
uci set openvpn.vpnserver.persist_tun='1'
uci set openvpn.vpnserver.cipher='aes-256-cbc'
uci set openvpn.vpnserver.auth='sha256'
uci set openvpn.vpnserver.ca='/etc/openvpn/ca.crt'
uci set openvpn.vpnserver.cert='/etc/openvpn/my-server.crt'
uci set openvpn.vpnserver.key='/etc/openvpn/my-server.key'
uci set openvpn.vpnserver.dh='/etc/openvpn/dh2048.pem'
uci set openvpn.vpnserver.tls_auth='/etc/openvpn/tls-auth.key 0'
uci set openvpn.vpnserver.log='/var/log/openvpn.log'
uci set openvpn.vpnserver.status='/var/log/openvpn-status.log'
uci set openvpn.vpnserver.verb=3
# uci add_list openvpn.vpnserver.push='redirect-gateway def1'
# uci add_list openvpn.vpnserver.push='route-gateway dhcp'
uci add_list openvpn.vpnserver.push='route 192.168.1.0 255.255.255.0'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.222.222'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.220.220'

uci commit openvpn

Eseguire openvpn:

Codice: [Seleziona]

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Creare sul proprio client OpenVPN il file di configurazione come segue:

Codice: [Seleziona]

client
dev tun
proto udp
remote my-server-name 1194
remote-cert-tls server
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert my-client.crt
key my-client.key
tls-auth tls-aut.key
comp-lzo
verb 3
key-direction 1
cipher aes-256-cbc
auth sha256

Nella stessa cartella copiare dal server i file ca.crt, my-client.crt, my-client.key e tls-auth.key
Se preferite avere la configurazione ovpn con le chiavi incorporate per gestire un file solo, usate il seguente script che concatena i file in un file unico.

Codice: [Seleziona]

#!/bin/sh

PKI_DIR="/etc/openvpn"
VPN_SERV="my-server-name"

# Configuration parameters
VPN_PORT="$(uci get openvpn.vpnserver.port)"
VPN_PROTO="$(uci get openvpn.vpnserver.proto)"
VPN_DEV="$(uci get openvpn.vpnserver.dev)"
TLS_KEY="$(sed -e "/^#/d;/^\w/N;s/\n//" "${PKI_DIR}/tls-auth.key")"
CA_CERT="$(openssl x509 -in "${PKI_DIR}/ca.crt")"
NL=$'\n'

VPNC_ID="my-client"
VPNC_CONF="${PKI_DIR}/${VPNC_ID}.ovpn"
VPNC_CONF_2="${PKI_DIR}/${VPNC_ID}_2.ovpn"
VPNC_CERT="$(openssl x509 -in "${PKI_DIR}/${VPNC_ID}.crt")"
VPNC_KEY="$(cat "${PKI_DIR}/${VPNC_ID}.key")"
cat << EOF > "${VPNC_CONF_2}"
client
dev ${VPN_DEV}
proto ${VPN_PROTO}
remote ${VPN_SERV} ${VPN_PORT}
remote-cert-tls server
resolv-retry infinite
nobind
persist-key
persist-tun
#ca ca.crt
#cert my-client.crt
#key my-client.key
#tls-auth tls-aut.key
comp-lzo
verb 3
key-direction 1
cipher aes-256-cbc
auth sha256
<ca>${NL}${CA_CERT}${NL}</ca>
<cert>${NL}${VPNC_CERT}${NL}</cert>
<key>${NL}${VPNC_KEY}${NL}</key>
<tls-auth>${NL}${TLS_KEY}${NL}</tls-auth>
EOF

Eseguire i seguenti comandi uci per impostare l'interfaccia di rete e le regole di firewalling:

Codice: [Seleziona]

uci set network.vpn0=interface
uci set network.vpn0.ifname=tun0
uci set network.vpn0.proto=none
uci set network.vpn0.auto=1

uci set firewall.Allow_OpenVPN_Inbound=rule
uci set firewall.Allow_OpenVPN_Inbound.target=ACCEPT
uci set firewall.Allow_OpenVPN_Inbound.src=*
uci set firewall.Allow_OpenVPN_Inbound.proto=udp
uci set firewall.Allow_OpenVPN_Inbound.dest_port=1194

uci set firewall.vpn=zone
uci set firewall.vpn.name=vpn
uci set firewall.vpn.network=vpn0
uci set firewall.vpn.input=ACCEPT
uci set firewall.vpn.forward=REJECT
uci set firewall.vpn.output=ACCEPT
uci set firewall.vpn.masq=1

uci set firewall.vpn_forwarding_lan_in=forwarding
uci set firewall.vpn_forwarding_lan_in.src=vpn
uci set firewall.vpn_forwarding_lan_in.dest=lan

uci set firewall.vpn_forwarding_lan_out=forwarding
uci set firewall.vpn_forwarding_lan_out.src=lan
uci set firewall.vpn_forwarding_lan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload

A questo punto non resta che testare la connessione per verificare che funzioni.

Mi sono poi accorto che, una volta connesso, riuscivo ad accedere solo al router.
Quindi ho dovuto aggiungere una regola di firewalling per accedere anche a tutta la LAN 192.168.1.x.
Ecco la regola:

Codice: [Seleziona]

uci set firewall.vpn_snat_lan_out=redirect
uci set firewall.vpn_snat_lan_out.src=vpn
uci set firewall.vpn_snat_lan_out.dest=lan
uci set firewall.vpn_snat_lan_out.src_ip=10.8.0.0/24
uci set firewall.vpn_snat_lan_out.src_dip=192.168.1.1
uci set firewall.vpn_snat_lan_out.proto=all
uci set firewall.vpn_snat_lan_out.target=SNAT

uci commit firewall
/etc/init.d/firewall reload

- EDIT -

Se volete che anche il traffico internet del client passi per la vpn leggete qualche post più avanti:
https://www.ilpuntotecnico.com/forum/index.php/topic,77856.msg223384.html#msg223384

- AGGIORNAMENTO 17/01/2018 -

Inserita compatibilità AGTHP.

- AGGIORNAMENTO 13/07/2018 -

Inserita nuova procedura di generazione delle chiavi.

- AGGIORNAMENTO 03/01/2019 -

Modifica algoritmo e bug-fixing.

- AGGIORNAMENTO 25/04/2019 -

Aggiornamento script di generazione dei certificati.

[-Mirco-]

Ottimo, appena ho modo di testarla ti fornisco feedback 

[nclmrc]

provata la guida, installato client su android, mi rimane però fermo su waiting for server. Come mai secondo voi non raggiunge il server?

[roleo]

Qual è la tua configurazione?
L'AGTEF è router adsl o in cascata a un altro router?
Hai configurato un ddns o punti all'ip?

[nclmrc]

Qual è la tua configurazione?
L'AGTEF è router adsl o in cascata a un altro router?
Hai configurato un ddns o punti all'ip?

È configurato da modem/router. Ho un ip statico ma ugualmente ho associato un ddns.  Nel file ho provato sia con ip sia ddns.

[roleo]

Io purtroppo non ce l'ho configurato nello stesso modo quindi faccio fatica a esserti d'aiuto.
Prova a postare il log del client.

[nclmrc]

Io purtroppo non ce l'ho configurato nello stesso modo quindi faccio fatica a esserti d'aiuto.
Prova a postare il log del client.

ti ho mandato un MP

[Diavulrus]

La vpn funziona alla grande, grazie @roleo  !!!
Il tunnel va su, la connessione è instaurata e riesco a pingare anche le altre macchine presenti nella rete del modem, la mia domanda è che regole devo impostare al firewall per poter utilizzare anche internet attraverso la vpn?

[roleo]

@Diavulrus prova a mettere questa rotta in più nella configurazione del server:

Codice: [Seleziona]

push "redirect-gateway def1"


[nclmrc]

Prova a mettere questa rotta in più nella configurazione del server:

Codice: [Seleziona]

push "redirect-gateway def1"


Per chi era questo messaggio?

[DavideRodeo]

Una curiosità

Codice: [Seleziona]

build-dhma questo comando quando tempo ci mette a completarsi?

[nclmrc]

Una curiosità

Codice: [Seleziona]

build-dhma questo comando quando tempo ci mette a completarsi?

Una mezzora

[Diavulrus]

@Diavulrus prova a mettere questa rotta in più nella configurazione del server:

Codice: [Seleziona]

push "redirect-gateway def1"


Aggiunta la rotta ma non è cambiato nulla, penso che il problema sia che non si crei il bridge tra vpn e wan... Tra poco provo a dare qualche comando simile a quelli che ci sono nel primo post cambiando il nome di interfaccia di destinazione e provenienza poi ti faccio sapere

----EDIT----

Ho risolto impostando il forward oltre che della LAN anche della WAN e ora funziona tutto.
Ecco i comandi:

Codice: [Seleziona]

uci set firewall.vpn_forwarding_wan_in=forwarding
uci set firewall.vpn_forwarding_wan_in.src=vpn
uci set firewall.vpn_forwarding_wan_in.dest=wan

uci set firewall.vpn_forwarding_wan_out=forwarding
uci set firewall.vpn_forwarding_wan_out.src=wan
uci set firewall.vpn_forwarding_wan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload

Grazie ancora per la guida!! 

[DavideRodeo]

Funziona  anche grazie all'intervento di @Diavulrus . Comunque per il voip mi fa registrare l'applicazione ma quando cerco di chiamare non parte la chiamate 

[^NiCo^]

Mitico @roleo (ho ancora 1 aga con il tuo fw usr era una bomba)
Due domande niubbe, sarebbe possibile fare uno scriptino che fà tutta questa roba giusto ? tipo questo (credo sia in python) per rpi

Codice: [Seleziona]

apt_update: true
packages:
  - openvpn
  - easy-rsa
  - curl
runcmd:
  - IPADDR=$(curl -s http://169.254.169.254/metadata/v1/interfaces/public/0/ipv4/address)
  - gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
  - sed -i -e 's/dh dh1024.pem/dh dh2048.pem/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "redirect-gateway def1 bypass-dhcp"/push "redirect-gateway def1 bypass-dhcp"/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "dhcp-option DNS 208.67.222.222"/push "dhcp-option DNS 208.67.222.222"/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "dhcp-option DNS 208.67.220.220"/push "dhcp-option DNS 208.67.220.220"/' /etc/openvpn/server.conf
  - sed -i -e 's/;user nobody/user nobody/' /etc/openvpn/server.conf
  - sed -i -e 's/;group nogroup/group nogroup/' /etc/openvpn/server.conf
  - echo 1 > /proc/sys/net/ipv4/ip_forward
  - sed -i -e 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
  - ufw allow ssh
  - ufw allow 1194/udp
  - sed -i -e 's/DEFAULT_FORWARD_POLICY="DROP"/DEFAULT_FORWARD_POLICY="ACCEPT"/' /etc/default/ufw
  - sed -i "1i# START OPENVPN RULES\n# NAT table rules\n*nat\n:POSTROUTING ACCEPT [0:0]\n# Allow traffic from OpenVPN client to eth0\n\n-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE\nCOMMIT\n# END OPENVPN RULES\n" /etc/ufw/before.rules
  - ufw --force enable

  - cp -r /usr/share/easy-rsa/ /etc/openvpn
  - mkdir /etc/openvpn/easy-rsa/keys
  - sed -i -e 's/KEY_NAME="EasyRSA"/KEY_NAME="server"/' /etc/openvpn/easy-rsa/vars
  - openssl dhparam -out /etc/openvpn/dh2048.pem 2048
  - cd /etc/openvpn/easy-rsa && . ./vars
  # Optionally set indentity information for certificates:
  # - export KEY_COUNTRY="<%COUNTRY%>" # 2-char country code
  # - export KEY_PROVINCE="<%PROVINCE%>" # 2-char state/province code
  # - export KEY_CITY="<%CITY%>" # City name
  # - export KEY_ORG="<%ORG%>" # Org/company name
  # - export KEY_EMAIL="<%EMAIL%>" # Email address
  # - export KEY_OU="<%ORG_UNIT%>" # Orgizational unit / department
  - cd /etc/openvpn/easy-rsa && ./clean-all
  - cd /etc/openvpn/easy-rsa && ./build-ca --batch
  - cd /etc/openvpn/easy-rsa && ./build-key-server --batch server
  - cp /etc/openvpn/easy-rsa/keys/server.crt /etc/openvpn
  - cp /etc/openvpn/easy-rsa/keys/server.key /etc/openvpn
  - cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn
  - service openvpn start

  - cd /etc/openvpn/easy-rsa && ./build-key --batch client1
  - cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e "s/my-server-1/$IPADDR/" /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/;user nobody/user nobody/' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/;group nogroup/group nogroup/' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/ca ca.crt//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/cert client.crt//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/key client.key//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<ca>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</ca>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<cert>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - openssl x509 -outform PEM -in /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</cert>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<key>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</key>" >> /etc/openvpn/easy-rsa/keys/client.ovpn

  - cp /etc/openvpn/easy-rsa/keys/client.ovpn /root/
  - cp /etc/openvpn/easy-rsa/keys/client1.crt /root/
  - cp /etc/openvpn/easy-rsa/keys/client1.key /root/
  - cp /etc/openvpn/easy-rsa/keys/ca.crt /root/
E invece che aspettare mezzora per i certificati fatti dal modem non possiamo farli da pc e buttare sul modem i suoi ?