giu
08

Come configurare una VPN PPTP su Ubuntu 12.04 per accedere in sicurezza ai propri server

 

Popularity: unranked [?]



Puoi visualizzare il post originale qui.

giu
22

recensione: Il libro del wireless di John Ross

 

Popularity: unranked [?]



Puoi visualizzare il post originale qui.

set
24

Accedere ad una VPN Kerio

 

Tra i tanti prodotti di sicurezza della Kerio Technologies alcuni offrono la possibilità di attivare un server VPN (Virtual Private Network) per consentire ad utenti esterni alla rete di accedere alle risorse che si trovano dietro il firewall in maniera controllata.

In questa guida vedremo come accedere ad una VPN creata da Kerio WinRoute Firewall utilizzando il client VPN di Kerio.

Configurazione esistente di Kerio WinRoute Firewall

Non spiegherò il funzionamento della configurazione del prodotto Kerio, non è nello scopo di questa guida. Vediamo soltanto com’è stato configurato il server VPN per comprendere come utilizzare il client.

Kerio WinRoute Firewall - InterfacceNella sezione Interfacce è presente la configurazione del server VPN e degli eventuali tunnel usati per far comunicare i client con le sottoreti.

L’interfaccia della LAN utilizza la sottorete 192.168.10.1/24.

Server VPN - GeneraleOsservando le proprietà del server VPN, nella scheda Generale si possono osservare il pool di indirizzi rilasciati ai client che si collegheranno (172.27.132.0/24) sia la Fingerprint (96:2a:b6:…) che servirà per identificare il certificato crittografico.

Server VPN - AvanzataSulla scheda Avanzata invece sarà possibile vedere la porta sulla quale il server VPN è in ascolto e inoltre sarà possibile configurare le rotte che verranno aggiunte automaticamente ai client che si collegheranno.

Questo server VPN è quindi in ascolto sulla porta 5090 e inoltre aggiungerà a tutti i client VPN che si connetteranno una rotta aggiuntiva per un Server Prova.

Modifica tunnel VPNE’ stato inoltre configurato un tunnel chiamato Interna che consente di far transitare gli utenti connessi in VPN dalla sottorete 172.27.132.x alla sottorete 192.168.10.x.

Tutti questi dettagli non interesseranno direttamente gli utenti della VPN, servono solo a chiarire e verificare se i client avranno ottenuto le informazioni corrette una volta connessi.

Installazione del client VPN Kerio

Il client per le VPN Kerio è disponibile online a questa pagina oppure nella pagina archivio di Kerio che contiene tutti i prodotti scaricabili.

Kerio VPN Client DownloadL’ultima versione ad oggi disponibile è la 7.0.1. Il file scaricato di questa versione si chiamerà kerio-control-vpnclient-7.0.1-1098-linux.deb, salvarlo nella cartella Home.

Per tutta l’installazione userò il terminale che è più rapido e diretto, iniziamo ad installare le dipendenze necessarie:

sudo apt-get install libuuid1 zlib1g debconf openssl procps

Alcuni o tutti i pacchetti indicati potrebbero essere già installati e alla versione più recente, ignorare l’avviso e procedere normalmente.

Eseguiamo l’installazione del pacchetto deb appena scaricato:

sudo dpkg -i kerio-control-vpnclient-7.0.1-1098-linux.deb

Nel caso si usasse una versione a 64 bit è necessario forzare l’architettura con:

sudo dpkg --force-architecture -i kerio-control-vpnclient-7.0.1-1098-linux.deb

La procedura di installazione farà alcune semplici domande per autoconfigurare il servizio client VPN.

Kerio VPN ServerLa prima domanda ovviamente riguarda l’indirizzo del server VPN a cui collegarsi, è possibile inserire l’indirizzo IP oppure il nome del suo DNS.

Nel caso si fosse cambiata la porta predefinita 4090 è possibile indicare la porta con indirizzo:porta. Poiché nella configurazione del nostro server Kerio abbiamo usato la porta 5090 basterà indicare indirizzo.server.vpn:5090.

Autodetect fingerprintVerrà richiesto se rilevare automaticamente la fingerprint dal server VPN, rispondere con per procedere all’autorilevazione.

Accept fingerprintSarà automaticamente trovata la fingerprint che avevamo configurato sul server: 96:2A:B6:...

Verificare che la fingerprint rilevata corrisponda esattamente a quella emessa dal server (vedi paragrafo precedente sulla configurazione del server). Se la fingerprint corrisponde allora si potrà confermare la chiave scegliendo l’opzione .

Se la fingerprint non corrispondesse, non procedere poiché i rischi di sicurezza sarebbero elevati, è probabile che la connessione non sia stata diretta a quel server oppure che qualcuno stia deviando il traffico altrove (un classico man in the middle).

User nameDopo l’accettazione della chiave sarà richiesto il nome utente con cui autenticarsi sul server VPN. Ovviamente l’utente qui indicato deve esistere sul server VPN ed essere autorizzato al collegamento VPN. Rivolgersi all’amministratore del server per farsi rilasciare le credenziali di accesso.

Password for user 'muflone'Segue la naturale richiesta della password per l’utente appena inserito. Prestare attenzione alla digitazione poiché non sarà richiesta la verifica della password. Se si dovesse sbagliare qualcosa nella configurazione, sarà possibile rilanciarla come spiegato in fondo all’articolo.

Terminati questi passaggi l’installazione procederà normalmente e senza ulteriori richieste:

Selezionato il pacchetto kerio-control-vpnclient.
(Lettura del database... 172379 file e directory attualmente installati.)
Estrazione di kerio-control-vpnclient (da kerio-control-vpnclient-7.0.1-1098-linux.deb)...
Configurazione di kerio-control-vpnclient (7.0.1-1098-1)...
Starting Kerio Control VPN client

Elaborazione dei trigger per ureadahead...
Elaborazione dei trigger per libc-bin...
ldconfig deferred processing now taking place

Al termine dell’installazione sarà automaticamente avviata la connessione della VPN con i dati indicati.

Verifica dell’avvenuta connessione

La prima verifica che andrà fatta è quella di controllare se l’interfaccia di rete VPN è attiva:

ifconfig -a
[ ... ]
kvnet Link encap:Ethernet  HWaddr 76:37:60:97:06:3a  
      indirizzo inet:172.27.132.3  Bcast:172.27.132.255  Maschera:255.255.255.0
      indirizzo inet6: fe80::7437:60ff:fe97:63a/64 Scope:Link
      UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
      RX packets:7 errors:0 dropped:0 overruns:0 frame:0
      TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
      collisioni:0 txqueuelen:500
      Byte RX:594 (594.0 B)  Byte TX:5141 (5.1 KB)

E’ apparsa un’interfaccia di nome kvnet che ha come indirizzo IP 172.27.132.3, che corrisponde a uno degli indirizzi IP emessi dal nostro server VPN come abbiamo potuto vedere nella configurazione iniziale del server.

Andiamo adesso a verificare le rotte d’instradamento del traffico, per semplificazione ho nascosto le rotte che non riguardano la VPN:

route -n
Tabella di routing IP del kernel
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
50.50.50.33     192.168.100.254 255.255.255.255 UGH   1      0        0 usb0
123.123.123.112 172.27.132.1    255.255.255.240 UG    1      0        0 kvnet
172.27.132.0    0.0.0.0         255.255.255.0   U     0      0        0 kvnet
192.168.10.0    172.27.132.1    255.255.255.0   UG    1      0        0 kvnet
0.0.0.0         192.168.100.254 0.0.0.0         UG    0      0        0 usb0

La prima rotta 50.50.50.33 è il server VPN, questo assicura che il traffico diretto a quell’indirizzo passi attraverso il gateway predefinito 192.168.100.254, ovvero la connessione internet diretta.

La seconda rotta 123.123.123.112 è esattamente quella del cosiddetto Server Prova che era presente nella configurazione avanzata del server VPN. Tutti i client connessi al server VPN infatti ottengono le rotte che sono state decise sul server VPN. Tutto il traffico di queste rotte passerà ovviamente sull’interfaccia kvnet e quindi attraverso la VPN.

La terza rotta 172.27.132.0 consente ai client VPN di comunicare tra di loro attraverso il tunnel.

La quarta rotta 192.168.10.0 è la più importante, si tratta della LAN che si trova dietro il server VPN. Per mezzo di questa rotta tutto il traffico diretto agli indirizzi 192.168.10.x (si veda la configurazione dell’interfaccia LAN sul server Kerio) transiterà attraverso il tunnel e quindi gli utenti remoti potranno accedere alle risorse che si trovano dietro il server VPN.

La quinta rotta 0.0.0.0 è il gateway predefinito, attraverso il quale transiterà tutto il traffico che non è elencato nelle rotte precedenti. Corrisponde ovviamente all’indirizzo della nostra connessione internet.

Tutti questi elementi garantiscono che:

  1. Si possa comunicare col server VPN 50.50.50.33
  2. Si possa comunicare con le rotte che l’amministratore del server ha deciso per i suoi utenti (vedi Server Prova 123.123.123.112)
  3. Si possa far comunicare il client VPN col server VPN e gli altri client connessi
  4. Si possa accedere alle risorse che si trovano nella LAN dietro il server VPN
  5. Si possa continuare a navigare su internet anche senza disconnettersi dalla rete VPN

Test di funzionamento

Seguono alcune semplici dimostrazioni di funzionamento delle risorse della LAN remota che si trova dietro la VPN, motivo per il quale si vuole collegarsi.

iSeries AccessUn server iSeries/AS400, non direttamente esposto su internet ma a disposizione soltanto degli utenti della LAN e gli utenti VPN autorizzati. E’ stato utilizzato il client iSeries Access 6 di IBM.

Terminal Server ClientAvviamo una connessione RDP a un server Windows utilizzando direttamente il suo indirizzo IP privato 192.168.10.1.

Windows Server loginIl server Windows richiede le credenziali di accesso ma è perfettamente funzionante, ciò che vediamo infatti è la schermata di accesso sul server.

Visualizzatore di desktop remotiOvviamente è possibile collegarsi anche a server Linux attraverso SSH utilizzando il visualizzatore di desktop remoti.

Server SSH su Visualizzatore di desktop remotiIl terminale remoto conferma l’avvenuta connessione al server SSH.

Ovviamente tutte queste risorse sono tutte ben protette dal mondo esterno e sono accessibili soltanto agli utenti autorizzati sul server VPN o nella rete locale.

Disconnessione e riconnessione dal server VPN

La connessione del client VPN Kerio è permanente e gestita da un demone che si avvia automaticamente al riavvio del computer.

Per interrompere manualmente la connessione basterà:

sudo /etc/init.d/kerio-kvc stop
Stopping Kerio Control VPN client..

Per avviare nuovamente la connessione:

sudo /etc/init.d/kerio-kvc start
Starting Kerio Control VPN client

Per riconfigurare la connessione VPN:

sudo dpkg-reconfigure kerio-control-vpnclient

Ripartirà la procedura guidata mostrata durante l’installazione.

Per configurare o modificare manualmente le impostazioni della connessione:

sudo nano /etc/kerio-kvc.conf

Tutti i logs del client VPN Kerio si troveranno dentro /var/log/kerio-kvc, è possibile utilizzarli per investigare le cause degli errori:

  • init.log contiene le informazioni su connessione e disconnessione
  • debug.log contiene varie informazioni su tutto il processo di connessione e disconnessione
  • error.log contiene gli eventuali messaggi di errore (indirizzo non trovato, dati di accesso non validi)

Links utili

Kerio Technologies
Download del client VPN Kerio
Archivio dei download Kerio
Casella box.net con i pacchetti disponibili ad oggi, utilizzarli solo in caso di necessità se i server Kerio non dovessero essere raggiungibili, potrebbe contenere versioni non aggiornate.

Popularity: unranked [?]



Puoi visualizzare il post originale qui.

ago
20

No VPN no party

 

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

mag
23

Configurare una VPN attraverso SSH

 

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

mar
16

Router per VPN Cisco con Linux e vpnc: quale hardware?

 

Collegarsi a una VPN Cisco con Linux è semplice, grazie al pacchetto VPNC: bastano un paio di righe di configurazione (o anche nessuna, se lo si usa con Network Manager) e il gioco è fatto.

Siccome però ho spesso a che fare con client Windows e, per vari motivi, il client VPN fornito dalla stessa Cisco mi sta un po’ antipatico, sto cercando una soluzione hardware da affiancare al PC, in modo da rendere la cosa completamente trasparente per il sistema operativo e tenermi lontano da diversi problemi in cui mi sono imbattuto recentemente.

La soluzione più ovvia è l’acquisto di un router Cisco, magari il più sfigato che producono (per sedi con un massimo di due PC penso sia sufficiente…). Probabilmente è la cosa più semplice da fare, ma non mi piace per via dei prezzi e della mia scarsa conoscenza di IOS, che renderebbe la cosa non semplicissma da gestire.

L’idea è di configurare un mini PC (ma veramente mini) su cui installare Debian e VPNC, in modo che faccia da router/firewall per la piccola rete interna della sede, mettendosi in mezzo fra il router ADSL già presente e lo switch.

Tecnicamente il problema è banale, ma non so bene come orientarmi per la scelta dell’hardware: mi servirebbe una scatoletta più piccola e fanless possibile, con 2 o 3 porte ethernet e il supporto per compact flash o simili su cui installare il tutto. Supportata nativamente da Linux, mi pare ovvio.

Ho dato un’occhiata ai prodotti di Routerboard.com e mi sembrano molto simili a quello che cerco, ma preferirei un prodotto già assemblato, sui cui dover solo installare e configurare il sistema.

Conoscete qualcosa che possa fare al caso mio o avete qualche consiglio da darmi? Non che la cosa mi serva subito (in realtà è più che altro una mia paranoia, potrebbe anche non servirmi mai), ma preferisco documentarmi.

Ti è piaciuto l articolo, eh? OFFRIMI UNA BIRRA! (è sufficiente essere iscritti a Paypal o avere una carta di credito, anche Postepay)

Condividi :

Facebook
TwitThis
Tumblr
FriendFeed
OKNotizie
Fai.Info
Diggita
ZicZac
Upnews
NotizieFlash
Pligg
PubblicaNews
Wikio IT
del.icio.us
StumbleUpon
Technorati
Netvibes

Ti è piaciuto l'articolo? Vota Ok oppure No. Grazie Mille!

Puoi votare l articolo anche qui, gli articoli precedenti qui.


Guadagnare con il tuo blog? Prova Linklift, Teliad e Heyos. Poi fammi sapere!

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

gen
19

Team viewer : la risposta moderna ai vari VNC

 

Avete mai voluto dare assistenza a qualcuno che aveva un problema con il pc? Problema che avreste potuto risolvere in approssimativamente 5 minuti se foste stati li in loco davanti alla macchina?

La risposta di alcuni potrebbe essere “si certo basta installare un vnc”, però se non è già stato installato precedentemente, configurato opportunamente firewall e router e giochini simili, tutto questo è assai irrealizzabile.

Ecco la soluzione, si chiama TeamViewer, è un prodotto free se non utilizzato per fare business (se sperate di usarlo in azienda, basta pagare un piccolo obolo e siete liberi di usarlo anche li).

Funziona in un modo molto semplice, le due persone interessate scaricano il programma sui loro client e lo installano.

Una volta lanciato verrà generato un ID e una Password, ora non vi basterà che comunicare questi dati all’altro interlocutore per potergli permettere di poter amministrare il vostro pc da , come se tutti i lavori di configurazione o simi per una vpn o un vnc fosserò già stati fatti.

E’ inoltre possibile registrarsi al sito gratuitamente per poter avere un itnerefaccia di amministrazione per controllare vari client, suddividerli per cliente o per gruppi e potere gestire al meglio la vostra assistenza.

Il programma presenta 4 aspetti importanti, permette infatti di:

- Chiedere supoprto

- Fare “vedere” il proprio desktop (quindi senza dare possibilità all’altro di modificare qualcosa)

- Trasferire file

- Creare una VPN

Tutto il sistema penso funzioni tirando su delle vpn, bypassando in questo modo ogni eventuale sistema di sicurezza o blocco dovuto ai vari NAT o router del caso.

Al momento ho fatto alcune prove anche fra sistemi eterogenei (Windows e Mac funziona alla grande), solo in casi MOLTO particolari ha fatto cilecca.

L’unica pecca è che per ora è disponibile solo per Mac e Windows (gli utenti Linux lavorano via shell, quindi penso che non lo faranno mai), per il resto può tornare utile in moltissime situazioni,

Saluti

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

ott
31

Accesso alla sessione grafica corrente da remoto (VNC)

 

Nell’articolo precedente avevamo visto come Aprire una shell su un computer remoto ed (eventualmente) eseguire qualche applicazione grafica attraverso server SSH.
 Se si vuole un controllo maggiore sul server che include l’esecuzione di applicazioni grafiche e il controllo del desktop, bisogna ricorrere a soluzioni più sofisticate. Stiamo parlando del protocollo VNC (Virtual Network Computing), che permette di controllare il [...]

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

set
29

Un NSLU2, mille usi

 

Avevo già annunciato nello scorso post che avrei descritto gli scopi per i quali uso il mio fidato NSLU2, quindi mantengo la promessa.

NSLU2
L’NSLU2 nasce come NAS, cioè un dispositivo in grado di rendere disponibili sulla LAN due dischi fissi/chiavette USB. È un dispositivo basato su Linux, quindi Linksys ha rilasciato i sorgenti del firmware e da questi è nato il progetto Unslung, che mantiene l’interfaccia web originale e aggiunge alcune funzioni, come la possibilità di installare dei programmi aggiuntivi presi dai repository Optware.

Dato che ho trovato questa soluzone eccessivamente limitante, ho pensato bene di installarci sopra Debian Etch, versione ARM, che mi permette di avere accesso agli sterminati repo di Debian per il mio piccolo apparecchietto, che è dotato di una CPU Intel da 266 Mhz e 32 Mb di RAM. Considerando che il primo computer che ho avuto aveva 90 Mhz (se non sbaglio) e 40 Mb di RAM, l’NSLU2 è piuttosto potente…

Attualmente è collegato a 2 dischi fissi: uno da 80 Gb per Debian e qualche backup, e uno da 500 Gb per i dati. Le funzioni che svolge sono:

  • Server NFS per la condivisione dei dati in rete
  • Server SSH (se no come lo configuro? :D )
  • Server HTTP (Lighttpd)
  • Streaming server (Icecast)
  • Server OpenVPN
  • Centralino VOIP (Asterisk)
  • Web proxy (Squid)
  • Server UPNP (Mediatomb)
  • aMule
  • Torrent
  • Download HTTP/FTP a computer spento

Molto utile il server OpenVPN che mi permette di navigare in tutta sicurezza anche quando sono connesso ad una rete wireless aperta, come i FON spot, dato che la VPN è criptata. Il rovescio della medaglia è che la velocità massima è di 512 kbps (l’upload della mia ADSL), ma per navigare sono più che sufficienti, se voglio guardare video su YouTube o scaricare qualche file posso benissimo farlo in chiaro.

L’utilizzo di Squid sia sul fisso che sul portatile, poi, porta dei miglioramenti di velocità abbastanza tangibili nella navigazione Web, lo consiglio a chiunque abbia più di un PC connesso. Inoltre è anche possibile avere dei report dettagliati sui siti più visitati.

Mediatomb mi permette di avere disponibili in streaming wireless sulla PlayStation 3 tutte le foto, la musica e i film che ho, senza cercare ogni volta il CD/DVD giusto. Inoltre, con un piccolo accorgimento, sono riuscito a farle riprodurre anche le radio in streaming.

aMule, Torrent e download HTTP/FTP a computer spento sono veramente utili, un sacco di corrente risparmiata e la possibilità di scaricare di notte senza dare fastidio a nessuno sono impagabili.

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

lug
12

Connettersi ad un server PPTP con Netowrk Manager

 

PPTP, acronimo di Point to Point Tunneling Protocol, è un protocollo di rete che attraverso la cifratura dei dati rende sicure la trasmissione in una rete privata, che utilizza VPN, su una rete pubblica.
Per connettersi ad un server PPTP (per come crearlo riferirsi a questa guida) con Network Manager è molto semplice. Per prima cosa [...]

Popularity: 2% [?]



Puoi visualizzare il post originale qui.

mag
19

Server VPN PPTP su Debian

 

Popularity: 2% [?]



Puoi visualizzare il post originale qui.

mar
23

Un’interfaccia per Hamachi: hamachi-gui

 

Popularity: 6% [?]



Puoi visualizzare il post originale qui.

mar
22

Hamachi: una semplice VPN distribuita

 

Popularity: 6% [?]



Puoi visualizzare il post originale qui.

mar
11

Configurare un server VPN PPTP

 

Popularity: 5% [?]



Puoi visualizzare il post originale qui.

top