Ciao a tutti,
un mio collega mi ha consigliato di postare a questo forum perchè ritiene che qualke buona anima pia mi possa aiutare.
Io ho Linux Red Hat AS 2.1 con kernel 2.04.20-18.9 premesso che conosco cosa sia una VPN , il protocollo di tunneling IPSeC e i vari criteri di criptazione NON so assolutamente nulla su come implementarli su linux.
Premessa la mia macchina linux usa come firewall IPTABLES.
Quale è il software (ovviamente free) che mi consigliate di installare per creare una VPN (Ipsec + Pre-shared key).
Ho sentito parlare di Frees/Wan sinceramente ho provato anche ad installarlo seguendo quanto documentato sul sito e installanto gli rpm dei moduli che dell'utente ma quando cerco di attivarlo con service ipsec start ho una miriade di problemi con delle lib.

Per me è assolutamente indifferente cosa genera la VPN aveta qualke consiglio da darmi un prodotto semplice da installare con della documentazione chiara ma sopratutto semplice da configurare.


Grazie per la v. disponibilità spero che qualk'uno di voi mi possa aiutare.

Have a nice day

Laki :p

ti regalo un up visto che interessa anche a me!


Ciao!

allora, freeswan l'ho usato parecchio, ma ci sono due problemi:

è un po' complesso da configurare
attualmente hanno cessato lo sviluppo (anche se puoi appoggiarti a superfreeswan o simili)

detto questo, il suo pregio è che riuscivo ad usarlo con il client IPSec SSH Sentinel, scaricabile gratuitamente dalla rete e installabile su macchine uindòs (se vuoi scansare un serio mal di testa evita quello integrato in icspì/2000)

ora sono passato a OpenVPN (openvpn.sf.net), che non è ipsec ma

è semplice da configurare
ha un client nativo per uindòs >= 2000

<ot> Gurutech, ti va di scrivere un piccolo howto essenziale su openvpn (e se hai tempo/voglia su freeswan) che lo inserisco nella sottosezione?

Originariamente inviato da ilsensine
<ot> Gurutech, ti va di scrivere un piccolo howto essenziale su openvpn (e se hai tempo/voglia su freeswan) che lo inserisco nella sottosezione?

non ti prometto nulla di certo, ma cercherò di trovare un po' di tempo

appoggio in pieno la richiesta de ilsensine :sofico: :mc:

Grazie per le dritte Gurutech, anke io mi unisco al coro per la documentazione ......
Il mio problema che mi serve qualcke cosa che incapsuli i pacchetti con Ipsec 3des md5 + PSK perche dall'altro lato della mie VPN ho dei sistemi che attulamente stanto usando questa infrastruttura.
Come ho già detto ho scaricato dal sito www.freeswan.org (http://www.freeswan.org) la documentazione study case ed ovviamente il software (rpm) per la mia vesione di kernel ma una volta installati RPM -ivh ... ho una miriade di conflitti con librerie e moduli che il sistema dice di non avera. La stessa cosa mi succede se installo il tutto attraverso la compilazione dei sorgenti. Ad esempio mi dice che non riesce a caricare il Klips, pluto ha dei problemi..... in sò più cosa fare ho finito ancke tutte le swear words ke conoscevo.
Ho letto ke nel kernel 2.6 IPSeC è embedded na dove??? ho porvato ha installare la Mandrake 10 ma non sono ancora riuscito a capire se c'è e dov'è!!!!
Ormai è diventata una guerra tra me e sto ...... Linux! Aiuto!!!!:eek:

allora, per il momento ho fatto un minuscolo howto orientato alla configurazione di un gateway linux al quale vengono collegati dei client windows. Tipico uso:
macchina linux collegata a grossa linea HDSL e notebook windows con connessione 56K o più che però devono poter accedere alla rete aziendale.
eccolo:
http://www.gurutech.it/index.php?sel=openvpn
datemi dritte su quello che non capite e/o vorreste vedere inserito.

Grazie Gurutech :cool:

Commenti degli interessati?

innanzitutto un grazie a Guru! :p

domattina mi collego e vedo se riesco a far funzionare la cosa...anche se avevo predisposto il tutto per FreeS/Wan!

novità ?

Originariamente inviato da gurutech
novità ?



Ciao a tutti :)

stamattina in un momento libero mi son messo a provare a far andare il tutorial che hai scritto...mi sembra abbastanza semplice ed ho seguito tutto passo-passo...l'unica cosa è che non so se ho il supporto TUN nel kernel...

cmq morale della favola non va nulla :asd:

ho disabilitato shorewall per vedere se era lui che bloccava tutto (anche se ho messo regolarmente il tunnel nelle regole)

:confused:

suggestions?

allora dopo un po' di troubleshooting (è proprio vero che a stomaco pieno si ragiona meglio :D :eek: ) sono riuscito a far connettere l'adapter virtuale su windows al serverino linux (un suggerimento per gurutech: nella guida devi cambiare il file di config di windows sostituendo gli \ con / sennò openvpn non li considera (mi diceva cannot open key file on cprogrammiopenvpnconfig LoL)

ora il file di log è questo:


Mon May 24 13:19:32 2004 0: OpenVPN 1.6.0 Win32-MinGW [SSL] [LZO] built on May 9 2004
Mon May 24 13:19:32 2004 1: TAP-WIN32 device [Connessione alla rete locale (LAN) 3] opened: \\.\{BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA}.tap
Mon May 24 13:19:32 2004 2: Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.1.2/255.255.255.252 on interface {BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA} [DHCP-serv: 10.0.1.0, lease-time: 31536000]
Mon May 24 13:19:32 2004 3: Successful ARP Flush on interface [3] {BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA}
Mon May 24 13:19:32 2004 4: UDPv4 link local (bound): [undef]:5000
Mon May 24 13:19:32 2004 5: UDPv4 link remote: 81.174.xx.xx:5002

solo che l'adapter invia regolarmente i pacchetti ma non li riceve.


Scheda Ethernet Connessione alla rete locale (LAN) 3:

Suffisso DNS specifico per connessione:
Indirizzo IP. . . . . . . . . . . . . : 10.0.1.2
Subnet mask . . . . . . . . . . . . . : 255.255.255.252
Gateway predefinito . . . . . . . . . :


ecco il log di openvpn


Mon May 24 18:16:18 2004 6[0]: Peer Connection Initiated with 213.140.6.112:20182
Mon May 24 18:18:03 2004 7[0]: select : Interrupted system call (code=4)
Mon May 24 18:18:03 2004 8[0]: SIGTERM received, exiting
Mon May 24 18:18:39 2004 0[0]: OpenVPN 1.5.0 i586-mandrake-linux-gnu [SSL] [LZO] [PTHREAD] built on Feb 26 2004
Mon May 24 18:18:39 2004 1[0]: TUN/TAP device tap0 opened
Mon May 24 18:18:39 2004 2[0]: /sbin/ifconfig tap0 10.0.1.1 netmask 255.255.255.252 mtu 1500 broadcast 10.0.1.3
Mon May 24 18:18:39 2004 3[0]: PTHREAD support initialized
Mon May 24 18:18:39 2004 4[0]: UDPv4 link local (bound): [undef]:5002
Mon May 24 18:18:39 2004 5[0]: UDPv4 link remote: [undef]
Mon May 24 18:19:05 2004 6[0]: Peer Connection Initiated with 213.140.6.112:20182

Visto che siamo in argomento vorrei fare alcune domande (sono ignorante su vpn):

ho una LAN con 4 pc di cui 1 e' un serverino (linux ovviamente!) che fa navigare gli altri (oltre che fare da server per www, posta ecc.)
Su questo serverino vorrei mettere su un server di gioco (metti un ut2004)
-posso con openvpn "collegare" un altro computer che ha accesso a internet al mio serverino e "far finta" che sia nella mia rete locale?
-la vpn porta a degradi di performance (come banda passante o come velocita' di risposta?)?

Grazie!

Originariamente inviato da X3noN
l'unica cosa è che non so se ho il supporto TUN nel kernel...

se fai

dmesg | grep -i tun

devi avere almeno la riga
Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
e se è un modulo come penso, con

lsmod | grep -i tun

devi avere almeno la riga
tun 3712 0 (unused)

ho disabilitato shorewall per vedere se era lui che bloccava tutto

buona idea, ma assicurati poi che la macchina linux giri i pacchetti tra le interfacce con

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F


i messaggi di log che mi hai inviato sembrano indicare che qualche tipo di connessione avviene, prova a verificare queste due cose:
sotto windows fai un
ROUTE PRINT
e vedi come è messa la default route (0.0.0.0)
sotto linux fai un
ifconfig tap0
route -n
e vedi come è messa l'interfaccia virtuale e la tabella di routing

per HexDEf6
in linea di massima si, la VPN serve proprio a quello (per il gioco dipende dal protocollo usato per la comunicazione di rete)
la VPN porta un degrado perchè il normale pacchetto di rete viene "ingrassato" con intestazioni crittografiche ed ispezionato prima di essere accettato

se la tua necessità è solo fare un server di gioco, credo ci sia la possibilità di fare server pubbilici in internet dedicati solo a quello per alcuni specifici giochi on line, ma li dovresti chiedere a qualche netgamer (io al massimo ti posso consigliare su Wonder Boy, e dare qualche PEEK e POKE del C64)

Originariamente inviato da gurutech
se fai

dmesg | grep -i tun

devi avere almeno la riga
Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky

con quel comando non ho nessu output, ma con
locate if_tun.h
mi da:
/usr/include/linux/if_tun.h


Originariamente inviato da gurutech
e se è un modulo come penso, con

lsmod | grep -i tun

devi avere almeno la riga
tun 3712 0 (unused)


ce l'ho ma lo stato è 1 (l'ho caricato in precedenza)

Originariamente inviato da gurutech
buona idea, ma assicurati poi che la macchina linux giri i pacchetti tra le interfacce con

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F


thanks...in effetti queste mi mancavano...

ora quando lancio il servizio su windows si connette...solo che praticamente non riceve...su 100/200 pacchetti inviati ne riceve 1 o 2...mi sembra strano...
Pingando il gateway funziona, però non posso pingare i pc windows (che però stanno in un'altra subnet:non vorrei fosse quello! 192.168.1.xxx)

Originariamente inviato da gurutech
i messaggi di log che mi hai inviato sembrano indicare che qualche tipo di connessione avviene, prova a verificare queste due cose:
sotto windows fai un
ROUTE PRINT
e vedi come è messa la default route (0.0.0.0)

eccola:

C:\Documents and Settings\X3noN®>route print
===========================================================================
Elenco interfacce
0x1 ........................... MS TCP Loopback interface
0x2 ...00 04 76 1b 80 a5 ...... 3Com EtherLink XL 10/100 PCI For Complete PC Man
agement NIC (3C905C-TX) - Miniport dell'UtilitÓ di pianificazione pacchetti
0x3 ...00 ff be c8 e3 1f ...... TAP-Win32 Adapter - Miniport dell'UtilitÓ di pia
nificazione pacchetti
===========================================================================
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfac. Metric
0.0.0.0 0.0.0.0 1.50.171.1 1.50.171.49 1
1.50.171.0 255.255.255.0 1.50.171.49 1.50.171.49 30
1.50.171.49 255.255.255.255 127.0.0.1 127.0.0.1 30
1.255.255.255 255.255.255.255 1.50.171.49 1.50.171.49 30
10.0.1.0 255.255.255.252 10.0.1.2 10.0.1.2 30
10.0.1.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.1.2 10.0.1.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 1.50.171.49 1.50.171.49 30
224.0.0.0 240.0.0.0 10.0.1.2 10.0.1.2 30
255.255.255.255 255.255.255.255 1.50.171.49 1.50.171.49 1
255.255.255.255 255.255.255.255 10.0.1.2 10.0.1.2 1
Gateway predefinito: 1.50.171.1
===========================================================================
Route permanenti:
Nessuno

Originariamente inviato da gurutech
sotto linux fai un
ifconfig tap0
route -n
e vedi come è messa l'interfaccia virtuale e la tabella di routing

eccoli:

# ifconfig tap0
tap0 Link encap:Ethernet HWaddr 00:FF:44:7D:40:72
inet addr:10.0.1.1 Bcast:10.0.1.3 Mask:255.255.255.252
inet6 addr: fe80::2ff:44ff:fe7d:4072/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:322 errors:0 dropped:0 overruns:0 frame:0
TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:36129 (35.2 Kb) TX bytes:1628 (1.5 Kb)




Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
204.228.229.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1





Innanzitutto ti rigrazio moltissimo per la disponibilità!!!

cia'
mi sembra strano perchè non vedo alcune regole di instradamento nelle tabelle di routing.

prima fra tutte:
dov'è la regola per 10.0.1.x sulla macchina linux? route -n lo hai lanciato dopo o prima di aver tirato su la VPN??

e poi non vedo la regola per 192.168.0.x nella macchina windows: al posto del redirect-gateway puoi usare la direttiva per fargliela aggiungere manualmente (ora non mi ricordo il parametro di config), oppure puoi scrivere tu

route add 192.168.0.0 255.255.255.0 10.0.1.1
(mi pare che la sintassi in win sia quella, qualcuno mi corregga se sbaglio)

Originariamente inviato da gurutech
cia'
mi sembra strano perchè non vedo alcune regole di instradamento nelle tabelle di routing.

prima fra tutte:
dov'è la regola per 10.0.1.x sulla macchina linux? route -n lo hai lanciato dopo o prima di aver tirato su la VPN??

e poi non vedo la regola per 192.168.0.x nella macchina windows: al posto del redirect-gateway puoi usare la direttiva per fargliela aggiungere manualmente (ora non mi ricordo il parametro di config), oppure puoi scrivere tu

route add 192.168.0.0 255.255.255.0 10.0.1.1
(mi pare che la sintassi in win sia quella, qualcuno mi corregga se sbaglio)


effettivamente non c'è nessuna regola particolare per la vpn su linux, a parte questa che si riferisce al device tap0:


204.228.229.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0

ora sto andando con calma che la vpn non è più urgentissima però mannaggia a loro...meno male che openvpn è la versione semplice! :asd: