martedì 28 aprile 2015

OpenVPN Server e Client su Westermo

Dopo aver aggiornato il firmware al Westermo Lynx DSS L205-S1 (per me al firmware v4.15.3) e' possibile creare un server OpenVPN

Prima di tutto pero' e' necessario impostare la data e l'ora sul dispositivo

Questo e' importante perche' i certificati di autenticazione self-signed hanno tempo di default di scadenza di 10 anni. Il Lynx, se non ha l'ora impostata, parte dal 1 gennaio 1970 e cio' comporta il fatto che tutti i certificati risultano scaduti (...nel futuro)
(in caso di non aver settata l'ora corretta sul server verra' generato il criptico messaggio di errore
OpenVPN - TLS incoming plaintext read error)

In seguito devono essere generati i certificati mediante la normale procedura mediante easy-rsa (le istruzioni possono essere seguite mediante la guida qui linkata)

Se tutto e' andato bene ci troveremo con diversi file relativi ai certificati per il server e per il client

dato che stiamo guardando il lato server si deve andare nel menu Maintenance/Certificates e si effettua l'upload dei file ca.crt (come CA Certificate), ca.key (come Private Key), Server.key (come Private Key) ed infine Server.crt (come Certificate)


fatto cio' ci si sposta in Configuration/VPN&Tunnel/SSL per terminare la configurazione di OpenVPN

Senza mutare nessuna configurazione si scorre verso il basso e si popolano i campi Local Certificate con il valore Server e CA Certificate come ca (cliccando sull'icona del folder si ottiene un aiuto)

Si avvia il server VPN con la spunta in alto (Enabled)
Per permettere che i client VPN si vedano reciprocamente e' utile spuntare Client-to-Client

Per verificare che tutto funzioni si puo' andare su Maintenance/ViewLog

Come VPN Client ho usato un Westermo MRD-310. Non ho avuto necessita' di aggiornare il firmware perche' il client OpenVPN era gia' incluso in quello installato
Per amministrare questo dispositivo ci si puo' collegare a 192.168.2.200 con credenziali admin/westermo

Come nel caso precedente si deve prima settare l'ora in System/Administration



Si popola quindi il certificato OpenVPN del client in VPN/Certificates. L'opzione migliore e' avere il certificato direttamente in formato PK12


Si va poi in VPN/SSL per settare i parametri di configurazione. Sostanzialmente e' sufficiente mettere l'IP del server VPN (oscurato nell'immagine sottostante) e selezionare il certificato prima inserito

Si abilita la VPN (flaggando in alto) e si va in Status/System Log per verificare che il collegamento sia avvenuto (tale verifica si fa anche sui log del server)