Impostazione ProtonVPN su Debian 9

Questo e' un promemoria perche' regolarmente mi scordo come si fa ad impostare ProtonVPN su Debian

per prima si installano i pacchetti per openvpn in Network Manager

apt-get install openvpn network-manager-openvpn network-manager-openvpn-gnome

Si logga quindi su https://account.protonvpn.com/login/

Da Account si copia OpenVPN/IKEv2 Username

e da Download si scaricano i file .ovpn relativi ai server (free nel mio caso) 

Fatto cio' si apre Network Manager/VPN/VPN Settings e si aggiunge il nuovo server importando il file .ovpn ed inserendo come username il precedente OpenVPN/IKEv2 Username e la password

Network Manager OpenVPN Client su Centos 7

In modo abbastanza curioso Centos 7 non ha una configurazione base di Network Manager che prevede l'utilizzo di OpenVPN

Per installare il client si devono scaricare i seguenti pacchetti

NetworkManager-openvpn.x86_64 : NetworkManager VPN plugin for OpenVPN
NetworkManager-openvpn-gnome.x86_64 : NetworkManager VPN plugin for OpenVPN 

OpenVPN Server e Client su Westermo

Dopo aver aggiornato il firmware al Westermo Lynx DSS L205-S1 (per me al firmware v4.15.3) e' possibile creare un server OpenVPN

Prima di tutto pero' e' necessario impostare la data e l'ora sul dispositivo

Questo e' importante perche' i certificati di autenticazione self-signed hanno tempo di default di scadenza di 10 anni. Il Lynx, se non ha l'ora impostata, parte dal 1 gennaio 1970 e cio' comporta il fatto che tutti i certificati risultano scaduti (...nel futuro)
(in caso di non aver settata l'ora corretta sul server verra' generato il criptico messaggio di errore
OpenVPN - TLS incoming plaintext read error)

In seguito devono essere generati i certificati mediante la normale procedura mediante easy-rsa (le istruzioni possono essere seguite mediante la guida qui linkata)

Se tutto e' andato bene ci troveremo con diversi file relativi ai certificati per il server e per il client

dato che stiamo guardando il lato server si deve andare nel menu Maintenance/Certificates e si effettua l'upload dei file ca.crt (come CA Certificate), ca.key (come Private Key), Server.key (come Private Key) ed infine Server.crt (come Certificate)

fatto cio' ci si sposta in Configuration/VPN&Tunnel/SSL per terminare la configurazione di OpenVPN

Senza mutare nessuna configurazione si scorre verso il basso e si popolano i campi Local Certificate con il valore Server e CA Certificate come ca (cliccando sull'icona del folder si ottiene un aiuto)

Si avvia il server VPN con la spunta in alto (Enabled)
Per permettere che i client VPN si vedano reciprocamente e' utile spuntare Client-to-Client

Per verificare che tutto funzioni si puo' andare su Maintenance/ViewLog

Come VPN Client ho usato un Westermo MRD-310. Non ho avuto necessita' di aggiornare il firmware perche' il client OpenVPN era gia' incluso in quello installato
Per amministrare questo dispositivo ci si puo' collegare a 192.168.2.200 con credenziali admin/westermo

Come nel caso precedente si deve prima settare l'ora in System/Administration

Si popola quindi il certificato OpenVPN del client in VPN/Certificates. L'opzione migliore e' avere il certificato direttamente in formato PK12

Si va poi in VPN/SSL per settare i parametri di configurazione. Sostanzialmente e' sufficiente mettere l'IP del server VPN (oscurato nell'immagine sottostante) e selezionare il certificato prima inserito

Si abilita la VPN (flaggando in alto) e si va in Status/System Log per verificare che il collegamento sia avvenuto (tale verifica si fa anche sui log del server)

Westermo Lynx DSS L205-S1

Mi e' stato da configurare il dispositivo Westermo Lybx DSS L205-S1. Francamente non conoscevo i prodotti Westermo ma ho potuto vedere che sono prodotti di tipo industriale di tipo rugged

Il dispositivo si monta su sbarra DIN (quella dei quadri elettrici), si caratterizza per una doppia alimentazione ridondante da 24 V CC/290 mA (l'alimentatore non e' fornito) ed ha un peso non indifferente
Non e' indifferente nemmeno il prezzo che si aggira attorno ai 1400 euro per un dispositivo che di fatto e' un piccolo routerino con le stesse funzione del gia' provato WRT54G

L'indirizzo di rete di fabbrica e' 192.168.2.200 e non ha il DHCP attivo per cui si deve mettere il portatile sulla stessa rete con IP in manuale. L'interfaccia Web ha come credenziali admin/westermo ed e' anche attivo un servizio SSH con le stesse password

La prima cosa che ho dovuto fare e' stato l'aggiornamento del firmware perche' quello di fabbrica non prevedeva OpenVPN. Adesso gli aggiornamenti del firmware vengono distribuiti in formato pkg mentre per il vecchio sistema operativo e' necessario effettuare l'upload del file .img.
Scaricato quindi il file pkg si scompatta con 7zip e si trova il file img corrispondente in

\WeOS-4.15.3\upgrade\mxc\Lynx

L'aggiornamento si effettua tranquillamente dall'interfaccia Web

Configurare traffico client su Tomato VPN

Questo post fa seguito al precedente dove sono indicate le istruzioni per configurare OpenVPN su Tomato

Con la configurazione standard i client si connettono alla VPN ma non si vedono reciprocamente.

Pingando i vari client direttamente sul router questi rispondono ma pingando un client verso l'altro questo non risponde

Per instradare il traffico tra i vari client si deve andare nelle impostazioni avanzate e settare Manage Client Specific Option-> Allow Client<->Client

Installare client OpenVPN (Windows,Linux,Mac,IOS)

In questo post viene indicato come configurare i client OpenVPN su varia piattaforme
Si parte avendo disponibili i file client.crt, client.key, ca.crt e config.ovpn tutti nella stessa directory

Sui dispositivi desktop sono necessari i privilegi di amministratore perche' di fatto viene creata una interfaccia di rete virtuale

Linux

da linea di comando

openvpn --config file.ovpn

in Ubuntu c'e' anche una procedura guidata visuale dal menu delle connessioni di rete /VPN

MAC (Tunnelblick)

Si clicca sul file ovpn

Viene richiesto di aggiungere la chiave a Tunnelblick (richiesta anche la password)
Per connettersi basta cliccare sull'icona di Tunnelblick e selezionare la VPN desiderata

IOS (Client OpenVPN)
Tramite Itunes si seleziona il dispositivo, poi il tab App, si scorre verso il basso in Condivisione File e si aggiungono tutti e quattro i file

sul telefono verra' riconosciuta la nuova configurazione, Si clicca il pulsante + verde per aggiungerla

A questo punto con il pulsante a slitta si lancia la connessione

Windows (Client OpenVPN)

Si scarica il client da questo link e si copiano i quattro file  in C:\Programmi\OpenVPN\config

Si apre quindi OpenVPN GUI 

Appare un'icona nella traybar. Si clicca destro e connetti

VPN con WRT54GL e TomatoUSB

Perche' comprarsi un router wireless Linksys WRT54GL del 2005?
Perche' oramai con un costo moderato (inferiore ai 50 euro) si ottiene un hardware di tutto rispetto e un supporto hardware notevole visto il successo all'uscita (usa un firmware basato su Linux ed e' stato subito oggetto di vari hack per estenderne le possibilita' )

In questo senso esistono i progetti DD-WRT e Tomato che aggiungono funzionalita' di VPN
Visto che gli aggiornamenti di DD-WRT risalgono al 2009 mentre Tomato e' stato attivo fino almeno 2012 ho scelto di provare Tomato

La schermata di configurazione di WRT54GL con il firmware standard si trova all'indirizzo 192.168.1.1 (username: admin, password:admin)

Per aggiornare il firmware si scarica il file Tomato_1_28 decomprimendolo. Si va quindi in Administration/Firmware Upgrade e si effettua l'upload di WRT54G_WRT54GL.bin

Al riavvio la macchina riparte con il nuovo firmware

Con il firmware base non e' disponibile la funzionalita' OpenVPN. Si deve scaricare una versione modificata di Tomato (detta TomatoUSB). Si effettua quindi l'upload del file tomato-NDUSB-1.28.8754-vpn3.6.bin, nuovo riavvio ed e' terminato il lavoro di cambio di firmware

Si configura la porta WAN e il server del tempo (OpenVPN rifiuta i certificati se non e' impostato l'orario in modo corretto). Per poter vedere l'interfaccia di amministrazione dalla WAN deve essere flaggata l'apposita opzione (scelta sconsigliata ma in emergenza puo' essere utile)

a questo punto si entra in VPN Tunneling e si fa lo start del servizio

si arriva quindi alla configurazione dei certificati

Questa fase e' simile per Mac, Windows e Linux. In questo caso viene mostrato il caso Mac mediante l'uso del client TunnelBlick

Il programma, una volta lanciato, mette un'icona nell'angolo vicino all'orologio

Si clicca Dettagli VPN/Utilita'/Apri easy-rsa nel terminale

Per creare i certificati si usa la seguente sequenza di comandi

$ source ./vars
$ ./clean-all
$ ./build-ca
$ ./build-key-server server
$ ./build-key client1
$ ./build-dh

su Yosemite e' necessario anche cambiare le impostazioni avanzate come nell'immagine

a questo punto si aprono i file con editor di testo e si copia il contenuto nella schermata dell'amministrazione web del routert

Box	File
Certificate Authority	ca.crt
Server Certificate	server.crt
Server Key	server.key
Diffie Hellman parameters	dh1024.pem

Di nuovo si avvia il servizio ed il risultato dovrebbe essere qualcosa di questo tipo

Finita la configurazione del server si passa al lato client

si copiano i file 

ca.crt 

client1.crt

client1.key

in una directory e di crea una file nome_vpn.ovpn e con un editor di testo si incolla questo testo

(modificare la parte evidenziata in giallo con l'ip del router vpn)

--------------------------------------------------

##############################################

# Sample client-side OpenVPN 2.0 config file #

# for connecting to multi-client server.     #

#                                            #

# This configuration can be used by multiple #

# clients, however each client should have   #

# its own cert and key files.                #

#                                            #

# On Windows, you might want to rename this  #

# file so it has a .ovpn extension           #

##############################################

# Specify that we are a client and that we

# will be pulling certain config file directives

# from the server.

client

ns-cert-type server

# Use the same setting as you are using on

# the server.

# On most systems, the VPN will not function

# unless you partially or fully disable

# the firewall for the TUN/TAP interface.

;dev tap

dev tun21

# Windows needs the TAP-Win32 adapter name

# from the Network Connections panel

# if you have more than one.  On XP SP2,

# you may need to disable the firewall

# for the TAP adapter.

;dev-node MyTap

# Are we connecting to a TCP or

# UDP server?  Use the same setting as

# on the server.

;proto tcp

proto udp

# The hostname/IP and port of the server.

# You can have multiple remote entries

# to load balance between the servers.

remote xxxxxxxxx 1194

# Choose a random host from the remote

# list for load-balancing.  Otherwise

# try hosts in the order specified.

;remote-random

# Keep trying indefinitely to resolve the

# host name of the OpenVPN server.  Very useful

# on machines which are not permanently connected

# to the internet such as laptops.

resolv-retry infinite

# Most clients don't need to bind to

# a specific local port number.

nobind

# Downgrade privileges after initialization (non-Windows only)

;user nobody

;group nobody

persist-key

persist-tun

float

# If you are connecting through an

# HTTP proxy to reach the actual OpenVPN

# server, put the proxy server/IP and

# port number here.  See the man page

# if your proxy server requires

# authentication.

;http-proxy-retry # retry on connection failures

;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot

# of duplicate packets.  Set this flag

# to silence duplicate packet warnings.

;mute-replay-warnings

# SSL/TLS parms.

# See the server config file for more

# description.  It's best to use

# a separate .crt/.key file pair

# for each client.  A single ca

# file can be used for all clients.

ca ca.crt

cert client1.crt

key client1.key

# Verify server certificate by checking

# that the certicate has the nsCertType

# field set to "server".  This is an

# important precaution to protect against

# a potential attack discussed here:

#  http://openvpn.net/howto.html#mitm

#

# To use this feature, you will need to generate

# your server certificates with the nsCertType

# field set to "server".  The build-key-server

# script in the easy-rsa folder will do this.

;ns-cert-type server

# If a tls-auth key is used on the server

# then every client must also have the key.

;tls-auth ta.key 1

# Select a cryptographic cipher.

# If the cipher option is used on the server

# then you must also specify it here.

;cipher x

# Enable compression on the VPN link.

# Don't enable this unless it is also

# enabled in the server config file.

comp-lzo

# Set log file verbosity.

verb 3

# Silence repeating messages

mute 20

--------------------------------------------------

doppio clic sul file ovpn e si aggiunge questa configurazione a TunnelBlick
per connettersi e' sufficiente andare sull'icona vicino all'orologio ed effettuare la connessione