Popularity: unranked [?]
Autore: Michele Paolino Trackback
Tags: GNU/Linux,Sicurezza,Windows,Wireless,hsdpa,recensione manuali,recensione testi,smartphone,umts,voip,vpn,wifi
Condividi & Vota:
Autore: Muflone Trackback
Tags: Comandi Console,Connessioni,Gnome,Guide,Network,Sicurezza,Ubuntu,Windows,client,control,debian,endpoint,firewall,gateway,internet,kerio,networking,pacchetti,private,rete,route,security,server,subnet,virtual,vpn,winroute
Condividi & Vota:
Tra i tanti prodotti di sicurezza della Kerio Technologies alcuni offrono la possibilità di attivare un server VPN (Virtual Private Network) per consentire ad utenti esterni alla rete di accedere alle risorse che si trovano dietro il firewall in maniera controllata.
In questa guida vedremo come accedere ad una VPN creata da Kerio WinRoute Firewall utilizzando il client VPN di Kerio.
Non spiegherò il funzionamento della configurazione del prodotto Kerio, non è nello scopo di questa guida. Vediamo soltanto com’è stato configurato il server VPN per comprendere come utilizzare il client.
Nella sezione Interfacce è presente la configurazione del server VPN e degli eventuali tunnel usati per far comunicare i client con le sottoreti.
L’interfaccia della LAN utilizza la sottorete 192.168.10.1/24.
Osservando le proprietà del server VPN, nella scheda Generale si possono osservare il pool di indirizzi rilasciati ai client che si collegheranno (172.27.132.0/24) sia la Fingerprint (96:2a:b6:…) che servirà per identificare il certificato crittografico.
Sulla scheda Avanzata invece sarà possibile vedere la porta sulla quale il server VPN è in ascolto e inoltre sarà possibile configurare le rotte che verranno aggiunte automaticamente ai client che si collegheranno.
Questo server VPN è quindi in ascolto sulla porta 5090 e inoltre aggiungerà a tutti i client VPN che si connetteranno una rotta aggiuntiva per un Server Prova.
E’ stato inoltre configurato un tunnel chiamato Interna che consente di far transitare gli utenti connessi in VPN dalla sottorete 172.27.132.x alla sottorete 192.168.10.x.
Tutti questi dettagli non interesseranno direttamente gli utenti della VPN, servono solo a chiarire e verificare se i client avranno ottenuto le informazioni corrette una volta connessi.
Il client per le VPN Kerio è disponibile online a questa pagina oppure nella pagina archivio di Kerio che contiene tutti i prodotti scaricabili.
L’ultima versione ad oggi disponibile è la 7.0.1. Il file scaricato di questa versione si chiamerà kerio-control-vpnclient-7.0.1-1098-linux.deb, salvarlo nella cartella Home.
Per tutta l’installazione userò il terminale che è più rapido e diretto, iniziamo ad installare le dipendenze necessarie:
sudo apt-get install libuuid1 zlib1g debconf openssl procps
Alcuni o tutti i pacchetti indicati potrebbero essere già installati e alla versione più recente, ignorare l’avviso e procedere normalmente.
Eseguiamo l’installazione del pacchetto deb appena scaricato:
sudo dpkg -i kerio-control-vpnclient-7.0.1-1098-linux.deb
Nel caso si usasse una versione a 64 bit è necessario forzare l’architettura con:
sudo dpkg --force-architecture -i kerio-control-vpnclient-7.0.1-1098-linux.deb
La procedura di installazione farà alcune semplici domande per autoconfigurare il servizio client VPN.
La prima domanda ovviamente riguarda l’indirizzo del server VPN a cui collegarsi, è possibile inserire l’indirizzo IP oppure il nome del suo DNS.
Nel caso si fosse cambiata la porta predefinita 4090 è possibile indicare la porta con indirizzo:porta. Poiché nella configurazione del nostro server Kerio abbiamo usato la porta 5090 basterà indicare indirizzo.server.vpn:5090.
Verrà richiesto se rilevare automaticamente la fingerprint dal server VPN, rispondere con Sì per procedere all’autorilevazione.
Sarà automaticamente trovata la fingerprint che avevamo configurato sul server: 96:2A:B6:...
Verificare che la fingerprint rilevata corrisponda esattamente a quella emessa dal server (vedi paragrafo precedente sulla configurazione del server). Se la fingerprint corrisponde allora si potrà confermare la chiave scegliendo l’opzione Sì.
Se la fingerprint non corrispondesse, non procedere poiché i rischi di sicurezza sarebbero elevati, è probabile che la connessione non sia stata diretta a quel server oppure che qualcuno stia deviando il traffico altrove (un classico man in the middle).
Dopo l’accettazione della chiave sarà richiesto il nome utente con cui autenticarsi sul server VPN. Ovviamente l’utente qui indicato deve esistere sul server VPN ed essere autorizzato al collegamento VPN. Rivolgersi all’amministratore del server per farsi rilasciare le credenziali di accesso.
Segue la naturale richiesta della password per l’utente appena inserito. Prestare attenzione alla digitazione poiché non sarà richiesta la verifica della password. Se si dovesse sbagliare qualcosa nella configurazione, sarà possibile rilanciarla come spiegato in fondo all’articolo.
Terminati questi passaggi l’installazione procederà normalmente e senza ulteriori richieste:
Selezionato il pacchetto kerio-control-vpnclient. (Lettura del database... 172379 file e directory attualmente installati.) Estrazione di kerio-control-vpnclient (da kerio-control-vpnclient-7.0.1-1098-linux.deb)... Configurazione di kerio-control-vpnclient (7.0.1-1098-1)... Starting Kerio Control VPN client Elaborazione dei trigger per ureadahead... Elaborazione dei trigger per libc-bin... ldconfig deferred processing now taking place
Al termine dell’installazione sarà automaticamente avviata la connessione della VPN con i dati indicati.
La prima verifica che andrà fatta è quella di controllare se l’interfaccia di rete VPN è attiva:
ifconfig -a
[ ... ] kvnet Link encap:Ethernet HWaddr 76:37:60:97:06:3a indirizzo inet:172.27.132.3 Bcast:172.27.132.255 Maschera:255.255.255.0 indirizzo inet6: fe80::7437:60ff:fe97:63a/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1400 Metric:1 RX packets:7 errors:0 dropped:0 overruns:0 frame:0 TX packets:28 errors:0 dropped:0 overruns:0 carrier:0 collisioni:0 txqueuelen:500 Byte RX:594 (594.0 B) Byte TX:5141 (5.1 KB)
E’ apparsa un’interfaccia di nome kvnet che ha come indirizzo IP 172.27.132.3, che corrisponde a uno degli indirizzi IP emessi dal nostro server VPN come abbiamo potuto vedere nella configurazione iniziale del server.
Andiamo adesso a verificare le rotte d’instradamento del traffico, per semplificazione ho nascosto le rotte che non riguardano la VPN:
route -n
Tabella di routing IP del kernel Destination Gateway Genmask Flags Metric Ref Use Iface 50.50.50.33 192.168.100.254 255.255.255.255 UGH 1 0 0 usb0 123.123.123.112 172.27.132.1 255.255.255.240 UG 1 0 0 kvnet 172.27.132.0 0.0.0.0 255.255.255.0 U 0 0 0 kvnet 192.168.10.0 172.27.132.1 255.255.255.0 UG 1 0 0 kvnet 0.0.0.0 192.168.100.254 0.0.0.0 UG 0 0 0 usb0
La prima rotta 50.50.50.33 è il server VPN, questo assicura che il traffico diretto a quell’indirizzo passi attraverso il gateway predefinito 192.168.100.254, ovvero la connessione internet diretta.
La seconda rotta 123.123.123.112 è esattamente quella del cosiddetto Server Prova che era presente nella configurazione avanzata del server VPN. Tutti i client connessi al server VPN infatti ottengono le rotte che sono state decise sul server VPN. Tutto il traffico di queste rotte passerà ovviamente sull’interfaccia kvnet e quindi attraverso la VPN.
La terza rotta 172.27.132.0 consente ai client VPN di comunicare tra di loro attraverso il tunnel.
La quarta rotta 192.168.10.0 è la più importante, si tratta della LAN che si trova dietro il server VPN. Per mezzo di questa rotta tutto il traffico diretto agli indirizzi 192.168.10.x (si veda la configurazione dell’interfaccia LAN sul server Kerio) transiterà attraverso il tunnel e quindi gli utenti remoti potranno accedere alle risorse che si trovano dietro il server VPN.
La quinta rotta 0.0.0.0 è il gateway predefinito, attraverso il quale transiterà tutto il traffico che non è elencato nelle rotte precedenti. Corrisponde ovviamente all’indirizzo della nostra connessione internet.
Tutti questi elementi garantiscono che:
Seguono alcune semplici dimostrazioni di funzionamento delle risorse della LAN remota che si trova dietro la VPN, motivo per il quale si vuole collegarsi.
Un server iSeries/AS400, non direttamente esposto su internet ma a disposizione soltanto degli utenti della LAN e gli utenti VPN autorizzati. E’ stato utilizzato il client iSeries Access 6 di IBM.
Avviamo una connessione RDP a un server Windows utilizzando direttamente il suo indirizzo IP privato 192.168.10.1.
Il server Windows richiede le credenziali di accesso ma è perfettamente funzionante, ciò che vediamo infatti è la schermata di accesso sul server.
Ovviamente è possibile collegarsi anche a server Linux attraverso SSH utilizzando il visualizzatore di desktop remoti.
Il terminale remoto conferma l’avvenuta connessione al server SSH.
Ovviamente tutte queste risorse sono tutte ben protette dal mondo esterno e sono accessibili soltanto agli utenti autorizzati sul server VPN o nella rete locale.
La connessione del client VPN Kerio è permanente e gestita da un demone che si avvia automaticamente al riavvio del computer.
Per interrompere manualmente la connessione basterà:
sudo /etc/init.d/kerio-kvc stop
Stopping Kerio Control VPN client..
Per avviare nuovamente la connessione:
sudo /etc/init.d/kerio-kvc start
Starting Kerio Control VPN client
Per riconfigurare la connessione VPN:
sudo dpkg-reconfigure kerio-control-vpnclient
Ripartirà la procedura guidata mostrata durante l’installazione.
Per configurare o modificare manualmente le impostazioni della connessione:
sudo nano /etc/kerio-kvc.conf
Tutti i logs del client VPN Kerio si troveranno dentro /var/log/kerio-kvc, è possibile utilizzarli per investigare le cause degli errori:
Kerio Technologies
Download del client VPN Kerio
Archivio dei download Kerio
Casella box.net con i pacchetti disponibili ad oggi, utilizzarli solo in caso di necessità se i server Kerio non dovessero essere raggiungibili, potrebbe contenere versioni non aggiornate.
Popularity: unranked [?]
Collegarsi a una VPN Cisco con Linux è semplice, grazie al pacchetto VPNC: bastano un paio di righe di configurazione (o anche nessuna, se lo si usa con Network Manager) e il gioco è fatto.
Siccome però ho spesso a che fare con client Windows e, per vari motivi, il client VPN fornito dalla stessa Cisco mi sta un po’ antipatico, sto cercando una soluzione hardware da affiancare al PC, in modo da rendere la cosa completamente trasparente per il sistema operativo e tenermi lontano da diversi problemi in cui mi sono imbattuto recentemente.
La soluzione più ovvia è l’acquisto di un router Cisco, magari il più sfigato che producono (per sedi con un massimo di due PC penso sia sufficiente…). Probabilmente è la cosa più semplice da fare, ma non mi piace per via dei prezzi e della mia scarsa conoscenza di IOS, che renderebbe la cosa non semplicissma da gestire.
L’idea è di configurare un mini PC (ma veramente mini) su cui installare Debian e VPNC, in modo che faccia da router/firewall per la piccola rete interna della sede, mettendosi in mezzo fra il router ADSL già presente e lo switch.
Tecnicamente il problema è banale, ma non so bene come orientarmi per la scelta dell’hardware: mi servirebbe una scatoletta più piccola e fanless possibile, con 2 o 3 porte ethernet e il supporto per compact flash o simili su cui installare il tutto. Supportata nativamente da Linux, mi pare ovvio.
Ho dato un’occhiata ai prodotti di Routerboard.com e mi sembrano molto simili a quello che cerco, ma preferirei un prodotto già assemblato, sui cui dover solo installare e configurare il sistema.
Conoscete qualcosa che possa fare al caso mio o avete qualche consiglio da darmi? Non che la cosa mi serva subito (in realtà è più che altro una mia paranoia, potrebbe anche non servirmi mai), ma preferisco documentarmi.
Condividi :
Puoi votare l articolo anche qui, gli articoli precedenti qui.
Popularity: 1% [?]
Autore: Aleko Trackback
Tags: Apple,File Sharing,HowTo,Mac,Sicurezza,amministrazione remota,configurazione,controllo,networking,openvpn,remoto,ultravnc,vnc,vpn
Condividi & Vota:
Avete mai voluto dare assistenza a qualcuno che aveva un problema con il pc? Problema che avreste potuto risolvere in approssimativamente 5 minuti se foste stati li in loco davanti alla macchina?
La risposta di alcuni potrebbe essere “si certo basta installare un vnc”, però se non è già stato installato precedentemente, configurato opportunamente firewall e router e giochini simili, tutto questo è assai irrealizzabile.
Ecco la soluzione, si chiama TeamViewer, è un prodotto free se non utilizzato per fare business (se sperate di usarlo in azienda, basta pagare un piccolo obolo e siete liberi di usarlo anche li).
Funziona in un modo molto semplice, le due persone interessate scaricano il programma sui loro client e lo installano.
Una volta lanciato verrà generato un ID e una Password, ora non vi basterà che comunicare questi dati all’altro interlocutore per potergli permettere di poter amministrare il vostro pc da remoto, come se tutti i lavori di configurazione o simi per una vpn o un vnc fosserò già stati fatti.
E’ inoltre possibile registrarsi al sito gratuitamente per poter avere un itnerefaccia di amministrazione per controllare vari client, suddividerli per cliente o per gruppi e potere gestire al meglio la vostra assistenza.
Il programma presenta 4 aspetti importanti, permette infatti di:
- Chiedere supoprto remoto
- Fare “vedere” il proprio desktop (quindi senza dare possibilità all’altro di modificare qualcosa)
- Trasferire file
- Creare una VPN
Tutto il sistema penso funzioni tirando su delle vpn, bypassando in questo modo ogni eventuale sistema di sicurezza o blocco dovuto ai vari NAT o router del caso.
Al momento ho fatto alcune prove anche fra sistemi eterogenei (Windows e Mac funziona alla grande), solo in casi MOLTO particolari ha fatto cilecca.
L’unica pecca è che per ora è disponibile solo per Mac e Windows (gli utenti Linux lavorano via shell, quindi penso che non lo faranno mai), per il resto può tornare utile in moltissime situazioni,
Saluti
Matteo
Popularity: 1% [?]
Autore: IntiLinux Trackback
Tags: HowTo,condivisione file,desktop remoto,sharing,ssh,virtual network,vnc,vpn
Condividi & Vota:
Nell’articolo precedente avevamo visto come Aprire una shell su un computer remoto ed (eventualmente) eseguire qualche applicazione grafica attraverso server SSH.
Se si vuole un controllo maggiore sul server che include l’esecuzione di applicazioni grafiche e il controllo del desktop, bisogna ricorrere a soluzioni più sofisticate. Stiamo parlando del protocollo VNC (Virtual Network Computing), che permette di controllare il [...]
Popularity: 1% [?]
Autore: Luca Trackback
Tags: ARM,Asterisk,Computer,Intel,PS3,UPnP,Wireless,amule,backup,debian,disco fisso,download,ftp,hard disk,http,icecast,internet,lighttpd,linksys,mediatomb,mhz,nfs,nslu2,openvpn,processore,proxy,ram,squid,ssh,streaming,torrent,unsling,voip,vpn
Condividi & Vota:
Avevo già annunciato nello scorso post che avrei descritto gli scopi per i quali uso il mio fidato NSLU2, quindi mantengo la promessa.
L’NSLU2 nasce come NAS, cioè un dispositivo in grado di rendere disponibili sulla LAN due dischi fissi/chiavette USB. È un dispositivo basato su Linux, quindi Linksys ha rilasciato i sorgenti del firmware e da questi è nato il progetto Unslung, che mantiene l’interfaccia web originale e aggiunge alcune funzioni, come la possibilità di installare dei programmi aggiuntivi presi dai repository Optware.
Dato che ho trovato questa soluzone eccessivamente limitante, ho pensato bene di installarci sopra Debian Etch, versione ARM, che mi permette di avere accesso agli sterminati repo di Debian per il mio piccolo apparecchietto, che è dotato di una CPU Intel da 266 Mhz e 32 Mb di RAM. Considerando che il primo computer che ho avuto aveva 90 Mhz (se non sbaglio) e 40 Mb di RAM, l’NSLU2 è piuttosto potente…
Attualmente è collegato a 2 dischi fissi: uno da 80 Gb per Debian e qualche backup, e uno da 500 Gb per i dati. Le funzioni che svolge sono:
)Molto utile il server OpenVPN che mi permette di navigare in tutta sicurezza anche quando sono connesso ad una rete wireless aperta, come i FON spot, dato che la VPN è criptata. Il rovescio della medaglia è che la velocità massima è di 512 kbps (l’upload della mia ADSL), ma per navigare sono più che sufficienti, se voglio guardare video su YouTube o scaricare qualche file posso benissimo farlo in chiaro.
L’utilizzo di Squid sia sul fisso che sul portatile, poi, porta dei miglioramenti di velocità abbastanza tangibili nella navigazione Web, lo consiglio a chiunque abbia più di un PC connesso. Inoltre è anche possibile avere dei report dettagliati sui siti più visitati.
Mediatomb mi permette di avere disponibili in streaming wireless sulla PlayStation 3 tutte le foto, la musica e i film che ho, senza cercare ogni volta il CD/DVD giusto. Inoltre, con un piccolo accorgimento, sono riuscito a farle riprodurre anche le radio in streaming.
aMule, Torrent e download HTTP/FTP a computer spento sono veramente utili, un sacco di corrente risparmiata e la possibilità di scaricare di notte senza dare fastidio a nessuno sono impagabili.
Popularity: 1% [?]
PPTP, acronimo di Point to Point Tunneling Protocol, è un protocollo di rete che attraverso la cifratura dei dati rende sicure la trasmissione in una rete privata, che utilizza VPN, su una rete pubblica.
Per connettersi ad un server PPTP (per come crearlo riferirsi a questa guida) con Network Manager è molto semplice. Per prima cosa [...]
Popularity: 2% [?]
Autore: M0rF3uS Trackback
Tags: 32 bit,64 bit,Dell,IP,IPsec,Kubuntu,OpenSWAN,PSK,autenticazione,auth,configurazione,connessione,creare,criptazione,debian,demone,enc,endpoint,esp,fase,firewall,gestire,interessante,internet,ips,ipsecctl,isakmpd,key,lan,macchine,md5,openbsd,password,security,server,subnet,transport,tunnel,vpn
Condividi & Vota:
Autore: Muflone Trackback
Tags: Comandi Console,Connessioni,Guide,Windows,accesso,client,connessione,hamachi,internet,pacchetti,pptp,remoto,server,vpn,zero configuration
Condividi & Vota:
