OPENVPN e dispositivi Android

mototopo

Ciao a tutti,
ho questo problema con la configurazione del OPENVPN.

Avevo la necesità di connettere i dispositivi tablet Android alla mia rete locale, allora ho pensato di usare il SERVER che ho usato per i PC in configurazione Peer to Peer SHARED KEY.
In pratica ho preso i 2 file (ovpn e secret) con questa configurazione:

dev tun
persist-tun
persist-key
proto tcp-client
cipher BF-CBC
auth SHA1
;pull
resolv-retry infinite
remote xx.xx.xx.xx 1196
route 192.168.42.0 255.255.255.0
ifconfig 10.4.0.6 10.4.0.5
keepalive 10 60
ping-timer-rem
secret FW3A-1196.secret
comp-lzo
passtos

Il mio pc e gli altri si collegano perfettamente al pfsense, ed ho fatto circa 10 server per i 10 pc che devo connettere.

Ho tentato di importare sull'APP android il file ovpn ma poi il connect non funziona.

Allora ho seguito la guida sul sito ed ho configurato una connsessione SERVER REMOTE ACCESS SSL/TLS impostando i vari certificati

Esportato il file per android e messo sul telefono android e si connette perfettamente.

Sicuramente il server peer to peer non è il più indicato per l'uso che devo farne io dico bene?

Ma il mio problema ora è questo: come faccio a dare ad ogni singolo utente una configurazione diversa in modo che si possa bloccare quando questo se ne va?

In pratica devo installare su almeno 10 tablet android di agenti di commercio che vanno e vengono, quindi cosa devo fare? 10 configurazioni diverse?

Grazie mille e spero di essere stato abbastanza chiaro

fabio.vigano

Ciao,
Devi creare un utente con relativo certificato, per ogni client openvpn.
Se non ho capito male ne stai usando solo uno.
Ciao Fabio

mototopo

Grazie mille Fabio,

si in pratica ora ho ho seguito la tua guida
http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html
e sono riuscito a creare un certificato che ho usato io sul mio telefono per provare,
tutti i pc li ho configurati con tanti certificati (1 per ogni singolo utente su porte diverse) fatti con Server Mode: Peer to Peer (shared key)

infatti i pc con openvpn si connettono tutti perfettamente, anche se tal configurazione è sicuramente rivolta ad essere una LAN to LAN.

Tornando ai dispositivi Android che devo connettere,
il tuo consiglio è quello di fare altri Server configurati come SERVER MODE:Remote Access (SSL/TLS) naturalmente su porte diverse da quella che ho usato per il primo dico bene?
Perdona la mia ignoranza, ma devo creare anche CERTIFICATI SERVER e USER nuovi uno per utente o basta creare un nuovo server su una nuova porta?
E poi…giuro che non ho capito a cosa mi serve il certificato per USER dato che ho riletto la tua guida e guardato la configurazione, ma non ho trovato traccia di dove inserirlo.

Riesci per caso a darmi una dritta dato che sto approcciando da poco a pfsense?
Grazie in anticipo.

christian.arminio

Ciao,

in realtà potresti usare un solo server per tutte le persone/dispositivi che devi connettere ai tuoi sistemi…
Quando qualcuno di questi deve essere disconnesso puoi tranquillamente revocare i certificati assegnati .

Io non uso molto OVPN su pfsense, ma in generale funziona così :
crei un server con i suoi certificati e le sue impostazioni (IP Port TCP/UDP CCD ecc.. )
poi per ogni persona/dispositivo crei un certificato e durante questa operazione assegni tutte le informazioni (Nome Cognome Email Validità del certificato ecc.. ) che appunto ti servono per gestire in futuro quel dispositivo/persona .

Ti consiglierei di leggere un po' come funziona il progetto openvpn :

https://community.openvpn.net/openvpn/wiki/HOWTO

Perché visto che già sei riuscito a configurare il server e alcuni client, sono sicuro che troverai molte risposte a te necessarie .

Scrivi ancora se hai dubbi o problemi che a limite creiamo una macchina di prova ci lavoriamo insieme e facciamo un export di tutto .

Ciao

mototopo

@christian.arminio:

Ciao,

in realtà potresti usare un solo server per tutte le persone/dispositivi che devi connettere ai tuoi sistemi…
Quando qualcuno di questi deve essere disconnesso puoi tranquillamente revocare i certificati assegnati .

Io non uso molto OVPN su pfsense, ma in generale funziona così :
crei un server con i suoi certificati e le sue impostazioni (IP Port TCP/UDP CCD ecc.. )
poi per ogni persona/dispositivo crei un certificato e durante questa operazione assegni tutte le informazioni (Nome Cognome Email Validità del certificato ecc.. ) che appunto ti servono per gestire in futuro quel dispositivo/persona .

Ti consiglierei di leggere un po' come funziona il progetto openvpn :

https://community.openvpn.net/openvpn/wiki/HOWTO

Perché visto che già sei riuscito a configurare il server e alcuni client, sono sicuro che troverai molte risposte a te necessarie .

Scrivi ancora se hai dubbi o problemi che a limite creiamo una macchina di prova ci lavoriamo insieme e facciamo un export di tutto .

Ciao

Grazie mille per i consigli, servono sempre e sono utili per confronto e ragionamento.
Io però con la configurazione in REMOTE ACCESS SSL/TLS ho la possibilità di inserire solo il certificato server, e non gli user, che se non erro sono da inserire qualora la tipologia di connessione e autenticazione è in REMOTE ACCESS USER AUTH.
Correggetemi se dico eresie.
A meno che , seguendo la guida
http://www.pfsenseitaly.com/2012/08/configurare-openvpn-server-su-pfsense.html
si possa inserire anzichè il certificato del server, quello dell'utente…
Forse faccio confusione, abbiate pazienza. Grazie in anticipo