set
24

Accedere ad una VPN Kerio

 

Autore: Muflone   Trackback           
Tags: Comandi Console,Connessioni,Gnome,Guide,Network,Sicurezza,Ubuntu,Windows,client,control,debian,endpoint,firewall,gateway,internet,kerio,networking,pacchetti,private,rete,route,security,server,subnet,virtual,vpn,winroute

Condividi & Vota:

  • OkNotizie
  • Upnews
  • Wikio


Tra i tanti prodotti di sicurezza della Kerio Technologies alcuni offrono la possibilità di attivare un server VPN (Virtual Private Network) per consentire ad utenti esterni alla rete di accedere alle risorse che si trovano dietro il firewall in maniera controllata.

In questa guida vedremo come accedere ad una VPN creata da Kerio WinRoute Firewall utilizzando il client VPN di Kerio.

Configurazione esistente di Kerio WinRoute Firewall

Non spiegherò il funzionamento della configurazione del prodotto Kerio, non è nello scopo di questa guida. Vediamo soltanto com’è stato configurato il server VPN per comprendere come utilizzare il client.

Kerio WinRoute Firewall - InterfacceNella sezione Interfacce è presente la configurazione del server VPN e degli eventuali tunnel usati per far comunicare i client con le sottoreti.

L’interfaccia della LAN utilizza la sottorete 192.168.10.1/24.

Server VPN - GeneraleOsservando le proprietà del server VPN, nella scheda Generale si possono osservare il pool di indirizzi rilasciati ai client che si collegheranno (172.27.132.0/24) sia la Fingerprint (96:2a:b6:…) che servirà per identificare il certificato crittografico.

Server VPN - AvanzataSulla scheda Avanzata invece sarà possibile vedere la porta sulla quale il server VPN è in ascolto e inoltre sarà possibile configurare le rotte che verranno aggiunte automaticamente ai client che si collegheranno.

Questo server VPN è quindi in ascolto sulla porta 5090 e inoltre aggiungerà a tutti i client VPN che si connetteranno una rotta aggiuntiva per un Server Prova.

Modifica tunnel VPNE’ stato inoltre configurato un tunnel chiamato Interna che consente di far transitare gli utenti connessi in VPN dalla sottorete 172.27.132.x alla sottorete 192.168.10.x.

Tutti questi dettagli non interesseranno direttamente gli utenti della VPN, servono solo a chiarire e verificare se i client avranno ottenuto le informazioni corrette una volta connessi.

Installazione del client VPN Kerio

Il client per le VPN Kerio è disponibile online a questa pagina oppure nella pagina archivio di Kerio che contiene tutti i prodotti scaricabili.

Kerio VPN Client DownloadL’ultima versione ad oggi disponibile è la 7.0.1. Il file scaricato di questa versione si chiamerà kerio-control-vpnclient-7.0.1-1098-linux.deb, salvarlo nella cartella Home.

Per tutta l’installazione userò il terminale che è più rapido e diretto, iniziamo ad installare le dipendenze necessarie:

sudo apt-get install libuuid1 zlib1g debconf openssl procps

Alcuni o tutti i pacchetti indicati potrebbero essere già installati e alla versione più recente, ignorare l’avviso e procedere normalmente.

Eseguiamo l’installazione del pacchetto deb appena scaricato:

sudo dpkg -i kerio-control-vpnclient-7.0.1-1098-linux.deb

Nel caso si usasse una versione a 64 bit è necessario forzare l’architettura con:

sudo dpkg --force-architecture -i kerio-control-vpnclient-7.0.1-1098-linux.deb

La procedura di installazione farà alcune semplici domande per autoconfigurare il servizio client VPN.

Kerio VPN ServerLa prima domanda ovviamente riguarda l’indirizzo del server VPN a cui collegarsi, è possibile inserire l’indirizzo IP oppure il nome del suo DNS.

Nel caso si fosse cambiata la porta predefinita 4090 è possibile indicare la porta con indirizzo:porta. Poiché nella configurazione del nostro server Kerio abbiamo usato la porta 5090 basterà indicare indirizzo.server.vpn:5090.

Autodetect fingerprintVerrà richiesto se rilevare automaticamente la fingerprint dal server VPN, rispondere con per procedere all’autorilevazione.

Accept fingerprintSarà automaticamente trovata la fingerprint che avevamo configurato sul server: 96:2A:B6:...

Verificare che la fingerprint rilevata corrisponda esattamente a quella emessa dal server (vedi paragrafo precedente sulla configurazione del server). Se la fingerprint corrisponde allora si potrà confermare la chiave scegliendo l’opzione .

Se la fingerprint non corrispondesse, non procedere poiché i rischi di sicurezza sarebbero elevati, è probabile che la connessione non sia stata diretta a quel server oppure che qualcuno stia deviando il traffico altrove (un classico man in the middle).

User nameDopo l’accettazione della chiave sarà richiesto il nome utente con cui autenticarsi sul server VPN. Ovviamente l’utente qui indicato deve esistere sul server VPN ed essere autorizzato al collegamento VPN. Rivolgersi all’amministratore del server per farsi rilasciare le credenziali di accesso.

Password for user 'muflone'Segue la naturale richiesta della password per l’utente appena inserito. Prestare attenzione alla digitazione poiché non sarà richiesta la verifica della password. Se si dovesse sbagliare qualcosa nella configurazione, sarà possibile rilanciarla come spiegato in fondo all’articolo.

Terminati questi passaggi l’installazione procederà normalmente e senza ulteriori richieste:

Selezionato il pacchetto kerio-control-vpnclient.
(Lettura del database... 172379 file e directory attualmente installati.)
Estrazione di kerio-control-vpnclient (da kerio-control-vpnclient-7.0.1-1098-linux.deb)...
Configurazione di kerio-control-vpnclient (7.0.1-1098-1)...
Starting Kerio Control VPN client

Elaborazione dei trigger per ureadahead...
Elaborazione dei trigger per libc-bin...
ldconfig deferred processing now taking place

Al termine dell’installazione sarà automaticamente avviata la connessione della VPN con i dati indicati.

Verifica dell’avvenuta connessione

La prima verifica che andrà fatta è quella di controllare se l’interfaccia di rete VPN è attiva:

ifconfig -a
[ ... ]
kvnet Link encap:Ethernet  HWaddr 76:37:60:97:06:3a  
      indirizzo inet:172.27.132.3  Bcast:172.27.132.255  Maschera:255.255.255.0
      indirizzo inet6: fe80::7437:60ff:fe97:63a/64 Scope:Link
      UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
      RX packets:7 errors:0 dropped:0 overruns:0 frame:0
      TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
      collisioni:0 txqueuelen:500
      Byte RX:594 (594.0 B)  Byte TX:5141 (5.1 KB)

E’ apparsa un’interfaccia di nome kvnet che ha come indirizzo IP 172.27.132.3, che corrisponde a uno degli indirizzi IP emessi dal nostro server VPN come abbiamo potuto vedere nella configurazione iniziale del server.

Andiamo adesso a verificare le rotte d’instradamento del traffico, per semplificazione ho nascosto le rotte che non riguardano la VPN:

route -n
Tabella di routing IP del kernel
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
50.50.50.33     192.168.100.254 255.255.255.255 UGH   1      0        0 usb0
123.123.123.112 172.27.132.1    255.255.255.240 UG    1      0        0 kvnet
172.27.132.0    0.0.0.0         255.255.255.0   U     0      0        0 kvnet
192.168.10.0    172.27.132.1    255.255.255.0   UG    1      0        0 kvnet
0.0.0.0         192.168.100.254 0.0.0.0         UG    0      0        0 usb0

La prima rotta 50.50.50.33 è il server VPN, questo assicura che il traffico diretto a quell’indirizzo passi attraverso il gateway predefinito 192.168.100.254, ovvero la connessione internet diretta.

La seconda rotta 123.123.123.112 è esattamente quella del cosiddetto Server Prova che era presente nella configurazione avanzata del server VPN. Tutti i client connessi al server VPN infatti ottengono le rotte che sono state decise sul server VPN. Tutto il traffico di queste rotte passerà ovviamente sull’interfaccia kvnet e quindi attraverso la VPN.

La terza rotta 172.27.132.0 consente ai client VPN di comunicare tra di loro attraverso il tunnel.

La quarta rotta 192.168.10.0 è la più importante, si tratta della LAN che si trova dietro il server VPN. Per mezzo di questa rotta tutto il traffico diretto agli indirizzi 192.168.10.x (si veda la configurazione dell’interfaccia LAN sul server Kerio) transiterà attraverso il tunnel e quindi gli utenti remoti potranno accedere alle risorse che si trovano dietro il server VPN.

La quinta rotta 0.0.0.0 è il gateway predefinito, attraverso il quale transiterà tutto il traffico che non è elencato nelle rotte precedenti. Corrisponde ovviamente all’indirizzo della nostra connessione internet.

Tutti questi elementi garantiscono che:

  1. Si possa comunicare col server VPN 50.50.50.33
  2. Si possa comunicare con le rotte che l’amministratore del server ha deciso per i suoi utenti (vedi Server Prova 123.123.123.112)
  3. Si possa far comunicare il client VPN col server VPN e gli altri client connessi
  4. Si possa accedere alle risorse che si trovano nella LAN dietro il server VPN
  5. Si possa continuare a navigare su internet anche senza disconnettersi dalla rete VPN

Test di funzionamento

Seguono alcune semplici dimostrazioni di funzionamento delle risorse della LAN remota che si trova dietro la VPN, motivo per il quale si vuole collegarsi.

iSeries AccessUn server iSeries/AS400, non direttamente esposto su internet ma a disposizione soltanto degli utenti della LAN e gli utenti VPN autorizzati. E’ stato utilizzato il client iSeries Access 6 di IBM.

Terminal Server ClientAvviamo una connessione RDP a un server Windows utilizzando direttamente il suo indirizzo IP privato 192.168.10.1.

Windows Server loginIl server Windows richiede le credenziali di accesso ma è perfettamente funzionante, ciò che vediamo infatti è la schermata di accesso sul server.

Visualizzatore di desktop remotiOvviamente è possibile collegarsi anche a server Linux attraverso SSH utilizzando il visualizzatore di desktop remoti.

Server SSH su Visualizzatore di desktop remotiIl terminale remoto conferma l’avvenuta connessione al server SSH.

Ovviamente tutte queste risorse sono tutte ben protette dal mondo esterno e sono accessibili soltanto agli utenti autorizzati sul server VPN o nella rete locale.

Disconnessione e riconnessione dal server VPN

La connessione del client VPN Kerio è permanente e gestita da un demone che si avvia automaticamente al riavvio del computer.

Per interrompere manualmente la connessione basterà:

sudo /etc/init.d/kerio-kvc stop
Stopping Kerio Control VPN client..

Per avviare nuovamente la connessione:

sudo /etc/init.d/kerio-kvc start
Starting Kerio Control VPN client

Per riconfigurare la connessione VPN:

sudo dpkg-reconfigure kerio-control-vpnclient

Ripartirà la procedura guidata mostrata durante l’installazione.

Per configurare o modificare manualmente le impostazioni della connessione:

sudo nano /etc/kerio-kvc.conf

Tutti i logs del client VPN Kerio si troveranno dentro /var/log/kerio-kvc, è possibile utilizzarli per investigare le cause degli errori:

  • init.log contiene le informazioni su connessione e disconnessione
  • debug.log contiene varie informazioni su tutto il processo di connessione e disconnessione
  • error.log contiene gli eventuali messaggi di errore (indirizzo non trovato, dati di accesso non validi)

Links utili

Kerio Technologies
Download del client VPN Kerio
Archivio dei download Kerio
Casella box.net con i pacchetti disponibili ad oggi, utilizzarli solo in caso di necessità se i server Kerio non dovessero essere raggiungibili, potrebbe contenere versioni non aggiornate.

Popularity: unranked [?]



Puoi visualizzare il post originale qui.

lug
01

*BSD&Linux, ovvero: come ti tiro su una vpn tra OpenBSD e Linux (debian)

 

Autore: M0rF3uS   Trackback           
Tags: 32 bit,64 bit,Dell,IP,IPsec,Kubuntu,OpenSWAN,PSK,autenticazione,auth,configurazione,connessione,creare,criptazione,debian,demone,enc,endpoint,esp,fase,firewall,gestire,interessante,internet,ips,ipsecctl,isakmpd,key,lan,macchine,md5,openbsd,password,security,server,subnet,transport,tunnel,vpn

Condividi & Vota:

  • OkNotizie
  • Upnews
  • Wikio


Popularity: 15% [?]



Puoi visualizzare il post originale qui.

top

Badges

Creative Commons License Riassunto, il raccoglitore delle notizie della rete!
Feed Aggregator
BlogItalia.it - La directory italiana dei blog Add to Technorati Favorites Serverplan hosting

website counter

Category Cloud

#LinCom *buntu .deb .net 1 10 10.04 2.0 3 32 bit 3d 64 bit 64bit 7 ( seven ) 7.10 78 8.04 8.10 810c 9.04 9.10 accesso acer adobe adsl adunanza Aggiornamenti aggiornamento Aggiornamento versione Aggregatori Pinguini air Al Bar Alice Alpha alsa Altro Amarok amarok2 Ambassador Ambiente Ambienti di sviluppo AMD AMD64 amministrazione amsn amule android animazione Announcements Annunci antispam antivirus Antonio De Luci Apache apache2 api Apple applet Applicazioni Appuntamenti appunti apt apt-get Arch Archlinux arduino ARM Articoli Artwork aspetto asus ASUS Eee PC ATI Atom audio audio video Audio/Video AUR avi avvio awn aziende Backtrack backup banshee Bash bassano del grappa BenchMark beta bios BitTorrent blender blog blogger bluetooth boot brevetti brevetti-software Brevi browser BSD btrfs bug BugFix Business C++ Canonical Catalyst Cazzate cc+ cd cellulare Cellulari centos chat chrome chrome os chromium ClamAV client ClosedSource cloud computing cms codec codice sorgente comandi Comandi & Shell Comandi Console comando community compilazione Compiz compiz-fusion compiz-fusion Computer Comunità Comunità conferenza config configurazione connessione Connessioni console contest controcultura convertire copertina cpanel CPU crash Creative creative-commons creativecommons crypto css cups Curiosità Curiosità cvs Dai forum Dal Mondo... database dati Daw day DE debian Debianizzazione Deliri Dell Design Desktop Desktop Enviroment Desktop Environment Desktop Liberi destkop-environment development device Di tutto un pò directory Dischi disco Discussioni dispositivi integrati Dispositivi portatili distribuzione Distribuzioni Distro Divertenti dns dock Documentazione e wiki Dos download Downloads dpkg driver Drivers drm Dropbox Drupal dvd e17 ebook eclipse editing editor edubuntu Educational eee Eee Pc eeepc emacs email embedded emesene emulatori Emulazione eMule english Enlightenment enlightment enterprise Epiphany Ergonomia errore espeak estensioni Estetica etch Eventi evolution exploit explorer ext3 ext4 ExtFeed eyecandy F/OSS Fabiolinux FaceBook facezie FCM fedora fedora 9 Feed ffmpeg fglrx file File Sharing File System filesystem film Firefox firefox 3 Firefox 3.5 firefox 4 Firefox extensions firewall firmware Flame flash flash player flickr FLOSS Fluxbox Fon Fonera font Fonts forum foto Foto del giorno Fotografia fps framework free Free Software free software foundation freebsd FreeRunner freeware fsf ftp full circle magazine Fun Fusion game games gaming gcc gdm Geek General Generale gentoo gespeaker gestione getdeb GIMP giochi gioco Giornali e riviste git Gmail Gnome gnome 3 GNOME Shell Gnome Tested GNU GNU/Linux GNU/Linux -- Linux e dintorni GNU/Linux -- Linux e dintorni GNU/Linux-Linux e dintorni google google chrome gOS GParted gpl gps grafica Graphics grappalug gratis grub Grub2 gstreamer gtk GUI Guida Guide Guide - GNU/Linux Guide e Tutorial Guide e Tutorials Guide pratiche GNU/Linux Guide semplici/per profani guiodic guiodic repository gutsy Gutsy Gibbon Hack hacker Hacking haiku hard disk hardware hardy Hardy Heron heron host hosting How to [Guide] How-to How-to et similia HowTo HowTo & Guide HOWTO e miniguide hp HTC html html5 http https Humor Humour ibex ibm Icone ICT Business Idee IM imap IMHO immagine immagini in evidenza Incazzature Informatica Informatica e Linux e... iniziative inkscape install installare installazione Intel interfacce grafiche interfaccia internet internet explorer InTiNews intrepid intrepid ibex IP ipad iPhone iPod iptables IPv6 IRC iso italia italiano ITbazar iTunes JAbber Jack jacklope Jaunty jaunty jackalope java javascript karmic karmic koala KDE KDE 4 kde 4.1 kde 4.4 KDE4 KDE4-Trick-And-Tips kdenlive Kernel Knoppix koala KOffice konqueror kopete Kubuntu kvm lan laptop lastfm LaTeX launchpad Lavoro legale legge lenny leopard LGPL libero Libero vs Proprietario libreoffice Librerie Grafiche libri Licenze linguaggi Linguaggi di Programmazione Link Links Linus Torvalds Linux Linux & co. Linux & OpenSource Linux & Ubuntu Linux & co. Linux & Ubuntu Linux day Linux Desktop linux distro Linux Distros Linux e Open source Linux e Opensource linux foundation Linux Mint linuxcast linuxday linuxfeed Live Live CD LiveCD log-in lqh LTS lucid Lucid Lynx lug lxde Mac Mac OS X Mac World macosx maemo mail Mail Server malware manager mandriva manuali Mark Shuttleworth marketing matematica maverick meerkat media center media player mediacom meego Meeting mencoder mentors menu Messaggi messaggistica messenger Micro$oft microsoft MID midi miei lavori migrazione Mint Mobile Moblin modem Mondo GNU/Linux Monitor Mono moonlight Motori di ricerca mount mouse Mozilla Mozilla Firefox mp3 mplayer msn Multimedia multipiattaforma multitouch Music Musica My Life mysql MythTV n800 n810 natty narwhal nautilus Neo FreeRunner neo1973 Nepomuk nerd netbook NetBSD NetSec Network network-appliance networking networkmanager New Distro news News - Flash News - Ultime news News Compiz-Fusion News dal web News e altre Sciccherie News GNOME News KDE News Linux nintendo nokia Nokia n800 Nokia n810 nosql Note su Linux notebook Notizie Notizie - News Notizie fresche Notizie hot Notizie Open Source Notizie OpenStreetMap Nouveau novell Novità Novità Novità Programmi ntfs Nvidia O.S. Revolution odf office Offtopic OGG OLPC On the web ooxml open Open Source Open Source Software Open Source-Free Software open-source openbox openbsd OpenGL openmind OpenMoko OpenOffice openoffice.org openshot OpenSolaris openstreetmap openSUSE openSUSE 10.2 openSUSE 10.2 IT openSUSE 10.3 openSUSE 10.3 IT opensuse 11 Opensuse 11.1 opera Opinioni oracle Os os gnu/*/linux os-x OSS osx OT Oxygen P.A. p2p pacchetti pacchetto package partizioni password patch Pc PcLinuxOS pdf Penguins & PolarBears Pensieri perl Permessi Personale personalizzazione Personalizzazione Ubuntu petizione Photo Photoshop php picasa pidgin planet Planet Ubuntu-it plasma Plasmoid player playonlinux plugin Plymouth Polemiche politica Pollycoke portatile posta postfix postgresql PPA privacy problema problemi Prodotti Progetti programmazione Programmazione Odierna Programmi Programmi utili Programming psp pubblica amministrazione Public pulseaudio python qemu Qt qt4 Qtsoftware radeon radio rai raid rails rants rc Real Life recensione recensione testi Recensioni Red Hat red-hat-enterprise-linux redhat Reflections&Opinions release Release Candidate remoto Repo repository rete Reti rhel Rhythmbox ricerca Richard Stallman Riflessioni rilasci rilascio roadmap root router rpm rss rsync ruby ruby on rails russia Sabayon safari samba Samsung scanner screencast screenshot script scripting scuola security Segnalazioni Senza categoria server Server Farm Stories Servizi Seven sfondi sfondo shell Shell e Comandi Shuttleworth Sicurezza sid sidux Silverlight SimpliX Sincronizzazione sistema Sistemi Operativi sistemi-operativi sito skype slackware slax Small Business Server smartpad smartphone Social social network Software Software interessanti software libero Software Linux Software Open Sources Software Proprietario solaris Sondaggi Songbird Sorgenti source sourceforge spam spamassassin Squeeze ssh ssl stallman statistiche storage streaming Stupidaggini Sudo sun supporto suse Sviluppo svn SW Symbian Synaptic sysadmin tab tablet Talk tastiera Tecnologia telecom telefonia Telefonini tema Temi terminale test testing The Gimp theme Theora thunderbird tips Tips & Tricks Tips&Tricks TJVideo Tools torino torrent torvalds Trolltech trucchi tumblepost Tutorial tutorial & how-to Tutorial-HowTo tux tuxfeed Tuxfeed News tuxmind TuxPerle tv Tv Online Tv-Multimedia Twitter Ubuntu Ubuntu 10.04 ubuntu 10.04 lts ubuntu 10.10 ubuntu 11.04 ubuntu 11.10 Ubuntu 8.04 Ubuntu 8.10 ubuntu 9.04 Ubuntu 9.10 Ubuntu e Launchpad Ubuntu One Ubuntu Unstable ubuntu-it ubuntu-it Ubuntu-it-fcm ufficio Ultra OT UMPC Uncategorized Unetbootin unity università unix update upgrade usabilità Usb user utente utenti Utilità utility varie Varie ed eventuali VDPAU versione vicenza Video Video-Editing videogames virtual machine VirtualBox virtualbox-ose Virtualization virtualizzazione virus Vista Vita Reale vlc Vmware vnc vodafone voip vp8 vpn vulnerabilità wallpaper Web Web 2.0 Web apps web browser Web Design Web life web server web2.0 webcam webdev WebKit webm webmail wep WICD wifi wii Wiki Wiki Ubuntu-it wikipedia Window$ window-manager window-manager Windows Windows 7 Windows Vista Windows Xp wine wine-doors winetricks Winz Wireless Wordpress wpa www x11 Xandros XBMC Xen xfce xorg XP xserver Xubuntu yahoo YaST youtube yum Zenwalk ZFS Ziobudda News


Clicca qui'
Developed and designed by Alessandro Pagano & Gaetano Rossiello with Wordpress