Generare certificat VPN

In vederea realizarii unei conexiuni sigure prin VPN la un server care ruleaza OpenVPN (si nu numai) este necesara folosirea unui certificat. Acest certificat se genereaza pe server-ul de VPN iar apoi se copiaza pe calculatorul clientului si va fi utilizat in realizarea conexiunii.

In continuare vom lua ca exemplu generarea unui certificat VPN pentru utilizatorul lorand.szekely

Read More

Revocare certificat in OpenVPN

Pentru revocarea certificatului unui client se foloseste comanda:

./revoke-full marco

Daca apare eroarea :

bash: ./revoke-full: Permission denied

atunci trebuie verificat ca accesul pe fisierul ./revoke-full  sa fie 0744  (implicit este 644 ).

De asemenea se poate da un restart la serviciu /etc/init.d/openvpn restart  si apoi rula comanda ./vars.

Mesajul care apare dupa revocare trebuie sa fie:

[root@gw openvpn]# ./revoke-full marco
Using configuration from /etc/openvpn/openssl.cnf
Revoking Certificate 0A.
Data Base Updated
Using configuration from /etc/openvpn/openssl.cnf
marco.crt: C = RO, ST = TM, O = Lintesa, CN = marco, emailAddress = email@domain.ro
error 23 at 0 depth lookup:certificate revoked

La revocarea unui certificat se genereaza fisierul crl.pem  care trebuie copiat in locatia /etc/openvpn/ , apoi in fisierul server.conf  se adauga linia crl-verify crl.pem . Fisierul crl.pem  este de tip append-only si este verificat de fiecare data cand un client se conecteaza prin openvpn, asa ca nu trebuie facut restart la serviciul openvpn dupa revocarea unui certificat.

Nota: Toate comenzile au fost executate in folderul /etc/openvpn .

Alte surse:
http://openvpn.net/index.php/open-source/documentation/howto.html#revoke
http://blog.abhijeetr.com/2012/06/revokeunrevoke-client-certificate-in.html

Instalare si configurare OpenVPN pe Mac OS X

Instalare Tunnelblick

  1. Se descarca Tunnelblick de la adresa https://tunnelblick.net/downloads.html
  2. Dublu click pe fisierul descarcat (Tunnelblick_3.7.4b_build_4921.dmg)
  3. Dublu click pe iconita Tunnelblick
  4. Daca este afisata o fereastra de confirmare pentru rularea aplicatiei (chiar daca este descarcata de pe internet) se alege Open
  5. Asteapta pana instalarea se finalizeaza cu succes.

Dupa instalare, Tunnelblick va solicita un fisier de configurare pentru conexiunea la un server OpenVPN. In cazul in care exista acest fisier el poate fi utilizat. Daca nu exista, atunci Tunnelblick poate genera un fisier standard de configurare care poate fi modificat.

Importul unui fisier de configurare existent

  1. Se creaza un folder (oriunde) cu denumirea asa cum se doreste sa fie identificata conexiunea respectiva.
  2. In acest folder se copiaza toate fisierele legate de acea configuratie
    • cel putin un fisier .ovpn sau .conf
    • alte fisiere cu certificate sau key pentru configurare (.key, .crt, .pem, .cer, .der, .p12, .p7b, .p7c, .pfx)
    • scripturi pentru configurare (obligatoriu cu extensia .sh)
  3. Se adauga extensia .tblk la denumirea folderului. Dipa aceasta modificare iconita folderului se va schimba corespunzator unei configuratii Tunnelblick VPN
  4. Dublu-click pe acest folder pentru importul configuratiei.

Un exemplu de fisier de configurare (client.ovpn):

client
dev tun
proto udp
remote 89.136.216.194 1194
nobind
persist-key
persist-tun
ca ca.crt
cert lorand.szekely.crt
key lorand.szekely.key
ns-cert-type server
comp-lzo
verb 3

In cazul acestei configuratii, folderul contine urmatoarele fisiere:

  • client.ovpn (fisierul de configurare)
  • ca.crt (certificatul
  • lorand.szekely.crt (certificatul corespunzator utilizatorului lorand.szekely)
  • lorand.szekely.key (cheia privata pentru certificatul utilizatorului lorand.szekely)

Este recomandata utilizarea separata a perechilor de fisiere .crt/.key pentru fiecare client/utilizator in parte (lorand.szekely.crt, lorand.szekely.key)

Conectarea/Deconectarea la un server OpenVPN

Pentru realizarea conexiunii la un server OpenVPN click pe iconita Tunnelblick din bara de sus si apoi click pe conexiunea dorita (Connect configuratie).

Pentru deconectare click pe iconita Tunnelblick si apoi Disconnect configuratie.

Daca se doreste consultarea detaliilor legate de o conexiune click pe iconita Tunnelblick si apoi VPN Details.

Documentatie si Download Tunnelblick
https://tunnelblick.net/index.html

Model de fisier de configuratie pentru OpenVPN
https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/client.conf

Documentatie OpenVPN
https://openvpn.net/index.php/open-source/documentation.html

Altele informatii utile:
http://strongvpn.com/setup_macosx_openvpn_tunnelblick.shtml