Come configurare una VPN con OpenVPN in modo sicuro e completo

Se stai cercando un modo affidabile per proteggere le tue connessioni o accedere alla tua rete da qualsiasi luogo, OpenVPN è uno dei protocolli più sicuri e versatili che puoi implementare a casa o nella tua attività. Questa guida ti aiuterà fin dalle basi: cos'è, cosa ti serve, come impostarlo Linux, Windows e router e come connettere i client su sistemi diversi.

Oltre al semplice accensione e spegnimento, Imparerai come configurare la crittografia moderna, evitare errori tipici, testare le perdite DNS/IPv6 e ottimizzare le prestazioni.Include modalità TUN e TAP, tls-crypt vs tls-auth, utilizzo di Access Server, distribuzioni su Omada e ASUS e Tricks chiave per CG-NAT, percorsi e firewall.

Cos'è una VPN e perché OpenVPN?

Un VPN crea un tunnel crittografato tra il tuo dispositivo e un server, in modo che Il tuo vero IP è nascosto e i tuoi dati viaggiano protettiCiò consente di lavorare da remoto in modo sicuro, di accedere alle risorse interne e di aggirare in modo responsabile i blocchi geografici.

OpenVPN, d'altra parte, è un software libero e un protocollo ampiamente verificato che funziona su Windows, macOS, GNU/Linux, iOS y Android, così come in molti routerSi basa su SSL/TLS, supporta certificati digitali e un'autenticazione aggiuntiva tramite nome utente e password.

Vantaggi e svantaggi dell'utilizzo di una VPN

Tra i vantaggi più evidenti troverete privacy e sicurezza: Il traffico è crittografato, il tracciamento è ridotto al minimo e puoi navigare con maggiore tranquillità.Consente inoltre l'accesso remoto sicuro alle reti interne, aspetto fondamentale negli ambienti professionali.

Inoltre, molte persone sfruttano la VPN per accedere ai contenuti disponibili in altri paesi o su reti che applicano blocchi, sempre nel rispetto delle leggi e dei termini di servizio di ciascuna piattaforma.

Sul lato meno amichevole, La velocità può essere influenzata dalla crittografia e dal rimbalzo dei pacchetti., soprattutto nei servizi gratuiti o se l'algoritmo è scelto male su hardware senza accelerazione. La fonte del applicazioni per evitare software dannoso.

Prestazioni OpenVPN: velocità, latenza e stabilità

Con una configurazione corretta, OpenVPN offre velocità costanti, buona latenza e alta stabilità.In generale, l'utilizzo di UDP riduce il sovraccarico rispetto a TCP ed è più veloce nella maggior parte degli scenari.

Sui computer senza AES-NI (accelerazione hardware), ChaCha20-Poly1305 generalmente offre prestazioni migliori di AES-GCMSe la tua CPU accelera AES, prova entrambe le soluzioni per decidere; a volte AES-GCM è più efficace in termini di produttività.

Qual è lo scopo di configurare OpenVPN a casa o al lavoro?

Configurando il tuo server potrai navigare in sicurezza anche su reti Wi-Fi pubbliche, Vai online come se fossi a casa e accedi ai servizi interni come file, stampanti, telecamere IP o server NAS.

Naturalmente, avrai bisogno che la tua connessione abbia un IP pubblico o una soluzione per Evita CG-NAT (Carrier-Grade NAT), poiché senza porte aperte non riceverai connessioni in entrata.Le connessioni con buone velocità di caricamento (ad esempio 30 Mbps o superiori) migliorano notevolmente l'esperienza.

Modalità TUN e TAP: quale scelgo?

OpenVPN può funzionare a livello 3 (TUN) o a livello 2 (TAP). TUN crea un tunnel IP punto-punto ed è la modalità più comune per instradare subnet separate con meno overhead.

La modalità TAP funziona come un bridge Ethernet e incapsula i frame L2, utile se è necessario che gli endpoint siano sulla stessa sottorete, ma aumenta il traffico e i potenziali conflitti quando le subnet si sovrappongono.

Versioni consigliate di crittografia e TLS

Per i certificati, oggi è molto comune utilizzare EC (curve ellittiche) con secp521r1 e SHA-512 come hash, a patto che client e server siano compatibili e aggiornati.

Sul canale di controllo (TLS), ridurre al minimo a TLS 1.2 e abilitare TLS 1.3 se disponibile con suite come TLS_AES_256_GCM_SHA384 o TLS_CHACHA20_POLY1305_SHA256. Deve essere presente PFS su ECDHE.

Per il canale dati, AES-256-GCM o CHACHA20-POLY1305 sono opzioni robusteEntrambi sono AEAD, quindi non richiedono un'autenticazione separata. Evitano cifrari legacy come BF-CBC.

Rafforza la prima fase di negoziazione con cripta tls (o tls-crypt-v2, ove applicabile) per mitigare gli attacchi DoS e nascondere i metadati iniziali del pacchetto. tls-auth fornisce supporto legacy, ma tls-crypt fornisce la crittografia del canale HMAC.

Preparazioni essenziali

Prima di iniziare: Controlla il tuo IP pubblico, apri la porta sul router e assicurati di non essere dietro CG-NATSe non hai un indirizzo IP fisso, prendi in considerazione il DDNS per associare un dominio al tuo indirizzo IP dinamico.

Sui server Linux, preparare Easy-RSA 3 per PKI e mantenere aggiornate le librerie OpenVPN e crittograficheSu Windows, l'interfaccia grafica utente di OpenVPN si installa autisti TAP e fornisce esempi di configurazione.

Installazione e configurazione su GNU/Linux (Debian/Ubuntu) con Easy-RSA 3

Installare il pacchetto con APT: sudo apt update && sudo apt install openvpnQuindi scarica Easy-RSA 3, decomprimilo e configura il file vars con i parametri EC, curve e hash desiderati.

Esempi utili: set_var EASYRSA_ALGO ec; set_var EASYRSA_CURVE secp521r1; set_var EASYRSA_DIGEST 'sha512'Utilizzare la modalità cn_only se si preferisce semplificare i DN nel nome comune.

Inizializzare la PKI con ./easyrsa init-pki, crea la tua Autorità di Certificazione con ./easyrsa build-ca (con passphrase per la chiave privata della CA, altamente consigliato) e genera richieste e chiavi per il server e ciascun client con ./easyrsa gen-req nome.

Firmare il certificato del server con ./easyrsa sign-req server nome_server e quelli dei clienti con ./easyrsa sign-req client nome_clienteQuindi, crea la chiave HMAC con openvpn –genkey –secret ta.key per tls-crypt.

Organizza le cartelle per non perderti: server (ca.crt, server.crt, server.key, ta.key) e uno per cliente con i relativi crt, key, ca e ta.key.

Esempio di configurazione del server OpenVPN (Linux)

Imposta la porta e il protocollo (UDP consigliato), Scegli dev tun, definisci cifratura e suite di cifratura TLS, curva ECDH e versione TLS minimaImposta anche la subnet virtuale, il DNS che verrà inviato e le autorizzazioni utente sul demone.

Uno scheletro del server (adattalo al tuo ambiente): Utilizza percorsi locali, DNS e crittografia supportati dai tuoi clientiRicorda che con la crittografia AEAD non hai bisogno di un'autenticazione separata.

port 1194
proto udp
dev tun

ca ca.crt
cert servidor.crt
key servidor.key
dh none

# HMAC y ocultación del canal inicial
tls-crypt ta.key

# Cifrado y TLS (comprobar compatibilidad)
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
tls-version-min 1.2
ecdh-curve secp521r1
reneg-sec 0

# Topología y red virtual
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Rutas y DNS para clientes
push 'route 192.168.1.0 255.255.255.0'
push 'redirect-gateway def1'
push 'dhcp-option DNS 208.67.222.222'
push 'dhcp-option DNS 208.67.220.220'

client-to-client
keepalive 10 120
max-clients 100

user nobody
group nogroup
persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Inizia con sudo openvpn server.conf e attendi il messaggio "Sequenza di inizializzazione completata". In caso contrario, controlla i percorsi dei file e la compatibilità della crittografia.

Configurazione client (Linux/Windows/macOS)

Creare un profilo per ogni client con le stesse impostazioni di crittografia e TLS del server. Le differenze principali sono la direttiva 'client', quella 'remota' con IP o dominio e i suoi file di identità.

client
dev tun
proto udp
remote ejemplo.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert cliente1.crt
key cliente1.key

remote-cert-tls server
cipher AES-256-GCM
# Para TLS 1.3 si aplica
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

# HMAC/ocultación
tls-crypt ta.key

verb 3

Su Windows, posiziona il file .ovpn e i certificati nella cartella GUI di OpenVPN (per impostazione predefinita in 'C:\\Users\\YourUser\\OpenVPN\\config') e connettiti dall'icona dell'area di notificaSu macOS, utilizzare OpenVPN Connect o un client compatibile.

Percorsi e NAT sulla tua rete

Per rendere i computer sulla LAN remota accessibili dalla VPN, Potrebbe essere necessario un percorso statico sul router che punta alla subnet 10.8.0.0/24 con il server OpenVPN come gateway.

Se si desidera instradare tutto il traffico client tramite la VPN, usa 'push redirect-gateway def1' e offri DNS affidabile. Previeni le perdite DNS regolando i resolver e i firewall dei client.

Utilizzo di OpenVPN Access Server su Linux

OpenVPN Access Server semplifica l'amministrazione tramite una console web: Si installa il pacchetto, si accede a https://IP:943/admin, si accettano i termini e si attiva il servizio.È possibile creare utenti, scaricare profili e client per ciascun sistema.

Ci sono dei limiti nella versione gratuita (ad esempio, due connessioni simultanee) e opzioni avanzate come profili di accesso automatici o disattivazione della compressione se causa problemi.

Clienti su Windows, macOS, Linux, Android e iOS

Su Windows e macOS, puoi utilizzare OpenVPN Connect o l'interfaccia utente grafica della community; Importa il profilo .ovpn e autenticaSu Linux, installa il pacchetto openvpn, posiziona il profilo in '/etc/openvpn' e avvia il servizio.

Su Android e iOS, l'app OpenVPN Connect consente Importa il profilo tramite l'URL del server o caricando il file .ovpnAssicurati di inserire la porta, il nome utente e, se applicabile, la password o l'autenticazione a due fattori corretti.

Configurazione su router e controller: ASUS e Omada

Molti router ASUS includono un server OpenVPN integrato: Abilitalo sul sito web del router, scegli la porta, crea gli utenti ed esporta il file .ovpnFunziona al meglio con IP WAN pubblico e firmware aggiornato.

Negli ambienti Omada è possibile impostare una policy VPN client-to-site: Definisce OpenVPN come server, porta, tunnel completo o diviso, DNS e utentiEsportare il profilo .ovpn per i clienti.