[guida] creare tunnel vpn con openVPN sui dispositivi iOS

[ponzo79]

Da poco è uscita OpenVPN Connect, applicazione che serve per poter utilizzare openVPN anche sui dispositivi iOS (iPad e iPhone).
Per noi utenti Synology però, questa applicazione non funziona, perché sembra che i certificati emessi da Synology non siano compatibili conOpenVPN Connect (forse un bug di OpenVPN Connect che verrà risolto più avanti…) e anche perché la nostra VPN server ci fornisce solo il file “ca.crt”, mentre OpenVPN Connect richiede anche la key e il cert.
Oggi illustrerò quindi come aggirare questa problematica e far funzionare openVPN anche su iOS.
Iniziamo creandoci i nostri certificati e le nostre chiavi.
Per creare i nostri certificati e le nostre chiavi, seguite questa guida http://www.carbonwind.net/VPN/XCA_OpenV ... N.htm#toMm. E’ in inglese, ma è facile, illustrata e intuitiva. Seguitela attentamente, solo non rinominate manualmente i file esportati in .pem, lasciateli come vengono esportati dal programma.
Una volta terminata la guida ed ottenuto i nostri certificati e chiavi, copiate i file ottenuti nelle apposite directory del nostro synology. Mettete quindi i file in una cartella condivisa del nas, aprite una sessione telnet (potete usare putty ma ricordatevi di loggarvi come ROOT) e copiate i 6 file nelle seguenti directory:

Codice: Seleziona tutto

/var/packages/VPNCenter/target/etc/openvpn/keys
	/usr/syno/etc/packages/VPNCenter/openvpn/keys

Per chi fosse a digiuno di comandi unix, i comandi da eseguire sono:

Codice: Seleziona tutto

cp /percorso/del/file/da/copiare  /var/packages/VPNCenter/target/etc/openvpn/keys

Codice: Seleziona tutto

cp /percorso/del/file/da/copiare  /usr/syno/etc/packages/VPNCenter/openvpn/keys

Fatto quanto sopra, bisogna modificare il file “openvpn.conf” che risiede nel percorso “/usr/syno/etc/packages/VPNCenter/openvpn” impostando i nuovi parametri appena inseriti.
Prima di modificarlo consiglio di farvi una copia del file.
Una volta fatta la copia, apriamo il file con blocco note e modifichiamo i seguenti parametri:

Codice: Seleziona tutto

ca /var/packages/VPNCenter/target/etc/openvpn/keys/”nome del vostro CA”
	cert /var/packages/VPNCenter/target/etc/openvpn/keys/”nome del vostro CERT server”
	key /var/packages/VPNCenter/target/etc/openvpn/keys/“nome del vostro KEY server”
	/var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem 

Cambiamo anche la scritta “reneg-sec 0” con “renege-sec 3600”
Ora salvate il file “openvpn.conf” modificato e rimettetelo al suo posto, avendo cura prima di eliminare quella originale (tanto ve ne siete fatti una copia….)
Fatto quanto sopra stoppate e riavviate il pacchetto VPN server, mi raccomando non disinstallatelo, solo stoppare e riavviare.
Ora aprite blocco note e create il file openvpn.ovpn.
Copiatelo dal mio, inserendo le parti mancanti dai certificati da voi creati:

Codice: Seleziona tutto

	dev tun
	tls-client
	
	remote VOSTRO.INDIRIZZO.IP.PUBBLICO 1194
	
	# The "float" tells OpenVPN to accept authenticated packets from any address, 
	# not only the address which was specified in the --remote option. 
	# This is useful when you are connecting to a peer which holds a dynamic address 
	# such as a dial-in user or DHCP client.
	# (Please refer to the manual of OpenVPN for more information.)
	
	#float
	
	# If redirect-gateway is enabled, the client will redirect it's
	# default network gateway through the VPN.
	# It means the VPN connection will firstly connect to the VPN Server
	# and then to the internet.
	# (Please refer to the manual of OpenVPN for more information.)
	
	redirect-gateway
	
	# dhcp-option DNS: To set primary domain name server address.
	# Repeat this option to set secondary DNS server addresses.
	
	#dhcp-option DNS DNS_IP_ADDRESS
	
	pull
	
	proto udp
	script-security 2
	
	comp-lzo
	
	reneg-sec 3600
	
	auth-user-pass
	
	setenv CLIENT_CERT 0
	
	<ca>
	-----BEGIN CERTIFICATE-----
	Qui aprite il vostro file CA.crt e incollate il testo
	-----END CERTIFICATE-----
	</ca>
	
	<cert>
	-----BEGIN CERTIFICATE-----
	Qui aprite il vostro file CERT.crt client e incollate il testo
	-----END CERTIFICATE-----
	</cert>
	
	<key>
	-----BEGIN RSA PRIVATE KEY-----
	Qui aprite il vostro file KEY.key client e incollate il testo
	-----END RSA PRIVATE KEY-----
	</key>
	

Salvatelo e rinominatelo a vostro piacere con estensione .ovpn
Ora caricate il file .ovpn sul vostro iDevice con iTunes e vedrete che tutto funzionerà a dovere

Se avete dubbi o difficoltà chiedete pure quì

[burghy86]

relinko la guida per chi invece vuole una semplice openvpn con windows:

Per cominciare devi andare in "centro pacchetti" e installare "VPN server"
Se opti per openVPN fai così:
1. apri VPN server e abilita openVPN stando attento a impostare una classe di ip che sia differente dalle lan che vuoi connettere
2. esporta i file di configurazione (sempre in VPN server)
3. scarica e installa il client openVPN per il tuo pc http://openvpn.net
4. segui le istruzioni contenute nel file "README.txt" precedentemente esportato al punto 2
5. apri la porta 1194 sia sul router (indirizzandola al nas) sia sul firewall del nas

Se hai fatto tutto correttamente basta che ti connetti con openvpn (se sei su windows devi aprire openvpn come amministatore)

[vesuvio38]

Ciao,

sono nuovo del forum e ti scrivo per una info. Sul mio router netgear ho attivato openvpn come da istruzioni di questo sito:

http://blog.bagnile.it/articolo.aspx?id=170

e tutto funziona perfettamente se mi collego da remoto col mio notebook.

Ora vorrei collegarmi da remoto col mio ipad dove ho scaricato la relativa app.

Come costruisco il file ovpn da inserire nell'ipad?

Ti ringrazio per le info.

Domenico

[ponzo79]

Se il server VPN ce l'hai sul router, dovrebbe essere sufficiente importare in ios lo stesso certificato e il file .ovpn che utilizzi su windows

[vesuvio38]

ti ringrazio del messaggio.

Purtroppo non è così, dice che non c'è il certificato.

inoltre, sul pc, ho il file con la key in un file txt a parte.

il contenuto del file opvn sul pc è questo:

dev tap
proto udp
dev-node "tap-lan"
remote xxxx.dyndns.tv 1194
resolv-retry infinite
nobind
mute-replay-warnings
secret key.txt
comp-lzo
verb 3
float

con la key a parte..

mi aiuti a costruire un file per ipad? grz

domenico

[ponzo79]

quanti certificati/key hai?

prova ad inserirli nel file .ovpn come ho fatto io.
Occhio che io ho utilizzato texedit (uso OSX) per farlo, da blocco note sinceramente non so se e come funziona perché mette tutti i certificati sulla stessa linea senza mai andare a capo....

Codice: Seleziona tutto

dev tun
tls-client

remote tuo.indirizzo.pubblico 1194

# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

comp-lzo

reneg-sec 3600

auth-user-pass

setenv CLIENT_CERT 0

<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
XXXXXXXXX
XXXXXXXXX
XXXXXXXXX

-----END RSA PRIVATE KEY-----
</key>

Io ho un file con estensione .key e due con estensione .crt che ho inserito al posto delle XXXXXX sopra riportate.
Prova a fare lo stesso con i tuoi, nel caso non dovesse funzionare temo che dovrai crearteli seguendo la guida che ho postato e poi inserirli manualmente nelle apposite directory di sistema del router. Questo probabilmente lo dovrai fare connettendoti al router via terminale (o telnet o ssh) usando putty (se sei con windows), ma non so come è fatto il tuo router, magari ti lascia importarli direttamente dal server VPN...

[marcelloinofficina]

Ciao a tutti,
sto impostando una openvpn del mio ds213j e vorrei poter utilizzarla anche con ipad e iphonem quindi eccomi qui a seguire questa utile guida.
ho generato i certificati e le chiavi come da guida ma ora, considerando che è il mio primo tentativo a riguardo, non riesco a capire cosa significa questo passo

copiate i file ottenuti nelle apposite directory del nostro synology. Mettete quindi i file in una cartella condivisa del nas, aprite una sessione telnet (potete usare putty ma ricordatevi di loggarvi come ROOT) e copiate i 6 file nelle seguenti directory:

Chi ha buon cuore di assistermi un attimo e spiegarmi cosa significa ?
aprire una sessione telnet con putty?

grazie mille

[ponzo79]

Ciao a tutti,
sto impostando una openvpn del mio ds213j e vorrei poter utilizzarla anche con ipad e iphonem quindi eccomi qui a seguire questa utile guida.
ho generato i certificati e le chiavi come da guida ma ora, considerando che è il mio primo tentativo a riguardo, non riesco a capire cosa significa questo passo

copiate i file ottenuti nelle apposite directory del nostro synology. Mettete quindi i file in una cartella condivisa del nas, aprite una sessione telnet (potete usare putty ma ricordatevi di loggarvi come ROOT) e copiate i 6 file nelle seguenti directory:

Chi ha buon cuore di assistermi un attimo e spiegarmi cosa significa ?
aprire una sessione telnet con putty?

grazie mille

Stai usando windows?
Se si scarichi putty da quì http://www.chiark.greenend.org.uk/~sgta ... nload.html
Se invece sei su linux o mac non ti serve putty, basta che apri terminale

Una volta installato putty ti colleghi via telnet (o ssh) al nas digitando l'ip del nas nell'intuitiva interfaccia di putty
Prima di fare ciò devi abilitare nelle impostazioni del nas l'accesso via telnet (o ssh)

[marcelloinofficina]

Sto usando win, ho scaricato putty e impostato il nas per potervi accedere con sessione telnet.
non capisco però questo:

copiate i 6 file nelle seguenti directory:

Per chi fosse a digiuno di comandi unix, i comandi da eseguire sono:
CODICE: SELEZIONA TUTTO
cp /percorso/del/file/da/copiare /var/packages/VPNCenter/target/etc/openvpn/keys

CODICE: SELEZIONA TUTTO
cp /percorso/del/file/da/copiare /usr/syno/etc/packages/VPNCenter/openvpn/keys

mi ritrovo i certificati sul desktop. Devo spostarli in una cartella nel file station o li lascio sul desktop del pc?
dopo il cp: percorso/del/file/da/copiare devo sostituirlo con C:\user\desktop\certificati... oppure il percorso del file è nas/certificati dove certificati è una cartella condivisa creata in precedenza?

grazie mille per la pazienza.

[ponzo79]

Io ti consiglio di mettere i file in una cartella condivisa del nas
Poi per la directory molto probabilmente sarà "/volume1/nome_della_cartella_condivisa"
Ti consiglio di nominare la cartella condivisa senza spazi....
Se il percorso non è corretto allora digita i seguenti comandi:

Codice: Seleziona tutto

cd /
ls

nell'elenco che ti risulterà dovresti vedere una cartella denominata volumeX e dentro quella sarà la tua cartella
Quindi digiti

Codice: Seleziona tutto

cd /volumeX
ls

nell'elenco che ti risulterà dovresti vedere la cartella condivisa