Aici am cateva micute observetii din categoria "be worry than sorry": 1. severul de CA se face pe alta masina(o statie din LAN de exemplu, sau chiar acasa), iar la clienti si la sever se copie keile necesare in openvpn.conf 2. certificatul de server openvpn se face fara parola, dar certificatele de clienti se fac CU parola, astfel ai al 2-lea factor de autentificare(daca certificatul de la client intra pe mana dusmanului, parola te poate proteja, daca e facuta ca la carte). 3. dupa ce faci certificatele de clienti, iti faci la google calendar de exemplu sa-ti trimita un mail cu 3-4 inainte de data cand expira. 4. pt. comoditate faci si 1-2 certificate peste nr. de clienti, si ti le pui pe un stick(care sa-l ai la tine, truecrypt poate fi de mare ajutor aici), ca daca apare un client nou sa nu tragi o fuga pana acasa.
Bafta Mihai Dobre wrote: > Teo wrote: >> Salut, >> >> ma poate ajuta si pe mine cineva cu un fisier de configurare a unui >> server VPN (OpenVPN) care sa permita clientilor se se lege in reteau >> privata 192.168.0.0/23? >> Am certificatele, insa nu sunt lamurit cu acele ip-uri, route, si as >> vrea sa-l pornesc cat mai curand. > > Un bun start la http://openvpn.net/index.php/documentation/howto.html > Dupa care poti ajusta dupa nevoi: > > server.conf: > -- > daemon > local xxx.xxx.xxx.xxx > port 1194 > proto udp > dev tun > > ca ca.crt > cert server.crt > key server.key # This file should be kept secret > dh dh1024.pem > > server 172.1.1.0 255.255.255.0 > ifconfig-pool-persist ipp.txt > > push "route 10.75.16.0 255.255.255.0" > push "route 10.75.17.0 255.255.255.0" > push "route 10.75.18.0 255.255.255.0" > push "route 195.16.0.0 255.255.0.0" > push "route 10.42.0.0 255.255.255.0" > push "route 192.168.2.0 255.255.254.0" > push "dhcp-option DNS 10.75.18.251" > push "dhcp-option DNS 10.75.17.251" > push "dhcp-option DNS 10.75.16.251" > push "dhcp-option DNS 10.75.19.251" > push "dhcp-option WINS 10.75.16.254" > > route 192.168.2.0 255.255.254.0 > client-config-dir duplicate > > keepalive 10 120 > comp-lzo > persist-key > persist-tun > status openvpn-status.log > log openvpn.log > verb 4 > -- > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
