In questo video vedremo come configurare l’Endpoint di una connessione client VPN su Amazon Web Services. Prima di configurare l’Endpoint, occorre creare i certificati e le chiavi private e importarli in Amazon Certificate Manager ACM come spiegato nel video Creare i certificati con EasyRSA .
Per la connessione privata alla VPC di Amazon verrà utilizzato il client OpenVPN su una macchina virtuale Windows.
Tramite il comando ipconfig /all vedremo come viene configurata l’interfaccia virtuale di OpenVPN e tramite il comando nslookup vedremo come vengono risolti i nomi di dominio tramite i server DNS della VPC.
Istruzioni per creare i certificati con EasyRSA
Download di EasyRSA
Dpwnload Client OpenVPN
In questo video vedremo come creare l’Endpoint Client VPN di Amazon Web Services e proveremo la connessione con il client OpenVPN all’Endpoint.
Nel video precedente abbiamo visto come creare i certificati necessari per poi importarli in Amazon Certificate Manager.
vai al minuto 0:00:20
Vi lascio il link nella descrizione.
Qui possiamo vedere il certificato server e client.
Adesso andremo a creare l’endpoint nella stessa Regione.
Nel campo di ricerca digitiamo VPC e clicchiamo sul servizio VPC.
vai al minuto 0:00:38
Nella colonna di sinistra clicchiamo sulla voce Your VPC per elencare tutte le VPC presenti.
L’endpoint lo andrò a creare sulla prima VPC con il nome default-aws.
Nell’Endpoint andrò a configurare alche l’indirizzo del DNS che posso ricavare dal range di indirizzi che utilizza.
vai al minuto 0:01:01
Ciò che sappiano è che AWS riserva per sé i primi tre indirizzi: l’indirizzo con l’uno finale, 172.31.0.1 viene assegnato al gateway, quello con il due finale al server DNS e il terzo lo riserva per usi futuri.
Quello che interessa a noi è l’indirizzo del DNS, il 172.31.0.2.
Nella colonna di sinistra scorriamo in basso fino a trovare la voce Client VPN Endpoint.
vai al minuto 0:01:34
Clicchiamo sul tasto in alto a destra Crea l’endpoint VPN.
Inseriamo un nome.
Io lo chiamo my client VPN.
Inseriamo un blocco di indirizzi che non stiamo già usando nella rete locale e sul cloud.
Questi indirizzi verranno assegnati all’interfaccia virtuale vpn del client.
vai al minuto 0:01:54
La maschera di rete deve essere compresa tra 12 e 22.
Con maschera di rete di 22 bit abbiamo a disposizione più di mille indirizzi host, direi che sono più che sufficienti.
Nelle informazioni di autenticazione andremo a usare i certificati che abbiamo creato nel video precedete.
Selezioniamo il certificato del server.
vai al minuto 0:02:16
Mettiamo la spunta all’autenticazione reciproco e selezioniamo il certificato del client.
Nei parametri opzionali inseriamo l’indirizzo IP del server DNS 172.31.0.2.
Scegliamo la VPC di default.
Anche per la Security Group scegliamo quella di default.
vai al minuto 0:02:38
Tutto il resto lasciamolo di default.
Create client VPN endpoint.
Ora dobbiamo associate una subnet della VPC.
Associa una rete.
Scegliamo sempre la VPC di default.
vai al minuto 0:02:55
Selezioniamo la subnet in cui abbiamo le risorse a cui vogliamo accedere dal nostro computer locale.
Ora aggiungiamo una regola di autorizzazione.
Come rete di destinazione possiamo mettere solo quella della VPC di default, ma per questa prova inseriamo tutte le reti.
vai al minuto 0:03:18
Concediamo l’accesso a tutti gli utenti.
Per concedere l’accesso agli utenti di uno specifico gruppo abbiamo bisogno di un provider di identità come, per esempio, Active Directory.
Aggiungiamo la regola.
Nel frattempo che si attivi l’endpoint, andiamo a scaricare la configurazione per il client OpenVPN.
vai al minuto 0:03:43
Ho copiato il file di configurazione sulla macchina virtuale dove, nel video precedente, avevo installato OpenVPN.
Nella Tray bar in basso a destra clicchiamo con il tasto destro sull’icona di OpenVPN e poi import, import file.
Scegliamo il file di configurazione che abbiamo scaricato dalla console AWS.
vai al minuto 0:04:06
Controlliamo lo stato dell’endpoint.
Ora risulta disponibile, proviamo a connetterci con OpenVPN.
Sempre tasto destro sull’icona, connetti.
Sembra che ci sia un problema con la configurazione.
vai al minuto 0:04:21
Inseriamo nella configurazione anche il percorso del certificato e della chiave privata del client.
Clicchiamo su Edit Config.
Appena sotto i parametri di crittografica inseriamo il percorso dei due file, facendo attenzione a inserire il doppio backslash nel percorso.
vai al minuto 0:04:38
I file li trovate nel percorso di installazione di EasyRSA.
Tentiamo una nuova connessione.
Questa volta la connessione è andata a buon fine.
Nella console di AWS, se clicchiamo sulla scheda delle connessioni, possiamo vedere che è presente una connessione attiva.
vai al minuto 0:05:00
Client IP con il 2 finale è l’indirizzo che è stato assegnato all’interfaccia VPN.
Facciamo una nuova connessione con il nostro client per vedere se ci viene assegnato un nuovo indirizzo.
Come potete vedere questa volta abbiamo ottenuto un indirizzo con il 3 finale.
vai al minuto 0:05:20
Con il comando ipconfig /all possiamo verificare la configurazione dell’interfaccia OpenVPN.
Abbiamo l’indirizzo IP con una maschera di rete che consente un numero massimo di 30 indirizzi.
L’indirizzo DNS Server è quello che abbiamo inserito noi nella configurazione.
vai al minuto 0:05:37
Possiamo anche verificare se l’indirizzo DNS è corretto e se riesce a risolvere i nomi.
Possiamo usare il solito comando nslookup seguito dal dominio di Google.
Qua sopra viene riportato l’indirizzo e il nome del server che risponde alla richiesta.
vai al minuto 0:05:54
Il nome di dominio viene risolto sia nell’indirizzo IPv6 che nell’indirizzo IPv4.
Nella lista delle connessioni possiamo vedere che la seconda connessione con l’indirizzo 10.8.0.3 risulta attiva e la prima che abbiamo fatto risulta terminata.
vai al minuto 0:06:13
Quando avete terminato di fare le prove eliminate l’endpoint per non incorrere in costi inutili.
La prima cosa che dovete eliminare è l’associazione alla rete.
Selezioniamo l’associazione e premiamo dissocia.
Confermiamo.
vai al minuto 0:06:29
Attendiamo che venga eliminata l’associazione e poi eliminiamo anche l’endpoint.
Selezioniamo l’endpoint, clicchiamo su Azioni e poi su Cancella Client VPN Endpoint.
Digitiamo Delete e confermiamo.
Per ultimo vediamo i costi che sono stati addebitati per la creazione dell’endpoint.
vai al minuto 0:06:57
Nella gestione costi possiamo vedere che il giorno 11 e 12 sono stati addebitati rispettivamente 4 e 2 centesimi e in entrambi i giorni ho utilizzato il servizio per meno di un ora.
In cost explorer possiamo vedere i costi suddivisiper ogni servizio per il mese di maggio.
vai al minuto 0:07:14
Il costo totale per il servizio VPC è di 6 centesimi.
Per questo video è tutto, vi saluto e ci vediamo al prossimo video.
