Server da zero per gestioni VPN

[koda87]

Buona sera a tutti,

spero di chiedere nella sezione giusta e alle persone giuste.
Devo realizzare un piccolo server per gestire delle connessioni VPN.
Il server lo posso realizzare con qualsiasi sistema operativo, non ho preferenze ne conoscenze specifiche di un particolare sistema server, è il mio primo approcio.

Possiedo una connessione internet con ip statico, router per gestire la connessione ad internet, pc con due schede ethernet sul quale installare un sistema server.

La mia situazione è la seguente :

_ 10 impianti remoti con a disposizione solamente modem TP-LINK TD-W8970 V3 e con connessione internet tramite scheda sim installata sul modem TP-LINK MA260 e quindi sotto rete nat;
_ 3 clienti che devono accedere agli impianti in modo selettivo, il cliente 1 deve poter accedere a tutti e 10 gli impianti, il cliente 2 deve accedere agli impianti 1-2-3-4, il cliente 3 deve accedere agli impianti 5-6-7-8-9-10.

Essendo le reti sotto nat ho pensato di far connettere tutti gli impianti tramite VPN al mio server che utilizza un ip statico, far connette i clienti sempre tramite VPN al server e gestire tramite il server a quali VPN dei relativi impianti ogni cliente può accedere.

Secondo voi è fattibile ? La mi soluzione è esatta o c'è qualche problema che non conosco ?

Un' idea di quale sia la soluzione migliore ?

Ho provato a usare windows server 2008 , zeroshell, linux server, ma non sapendo bene come muovermi non sono riuscito a configurare una VPN che funzioni da cellulare al Server...

So benissimo che aiutare una persona alle prime armi è una cosa straziante ma prometto che poi farò una guida dettagliata e illustrata su come risolverò questa sfida e la posterò nel forum

Ringrazio qualsiasi buon'anima che mi voglia aiutare

[Kaya]

Io ti consiglio di usare PfSense https://www.pfsense.org/
Per le VPN puoi pensare a VPn di tipo site-to-site: https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
Questa guida è fatta bene ( https://doc.pfsense.org/index.php/Ro...in_PfSense_2.1 ): imho toglierei però la parte in cui fanno passare tutto il traffico internet dalla tua connessione.

Questo per i "road warrior" https://doc.pfsense.org/index.php/IP..._Client_How-To

Da come vedo i router supportano IPSEC quindi potrebbe essere la soluzione migliore. Eventualmente puoi pensare di cambiare quei router con dei modelli con pfsense a bordo ( eventualmente tipo http://www.firewallhardware.it/entry...apu_based.html per fare un esempio)

[linux_goblin]

il suggerimento che ti è stato dato è ottimo - pfsense fa tutto in maniera abbastanza semplice
quello che cerchi di fare però è tutto fuorché semplice (scusa il gioco di parole) e dovrebbero essere i dispositivi remoti a iniziare la connessione vpn con il server

anche se sono degli ottimi router non mi sembra che il firmware di default abbia questa possibilità

ci sono altri firmware che permettono di farlo ma non so se sono compatibili con i tuoi tplink ad esempio ho provato questo che ha un client vpn configurabile

per quanto riguarda la sicurezza lavorerei a livello di ip assegnando classi di indirizzi diverse ai diversi clienti permettendo in questo modo di decidere a quali impianti si possono collegare

ciao,
Marco

[koda87]

Vi ringrazio per le risposte, ho installato PFsense su macchina virtuale e oggi faccio le prime prove.

Mi suggerite di non far passare tutto il traffico per la mia connessione, come posso fare questa cosa ?

I TP-Link non dovrebbero continuare ad inizializzare la connessione verso il server fino a quando non riescono a stabilirla? Altrimenti devo sostituire il modello di router o posso trovare da qualche parte un firmware moddato secondo voi ?

[linux_goblin]

per quanto riguarda dove far passare il traffico internet... a parte che non saprei se sia possibile non farlo passare tramite il tuo server (probabilmente è fattibile ma non so come farlo) spero che non debbano "condividere il desktop" o comunque far passare molti dati perché in questo caso la tua linea con ip fisso deve essere BEN dimensionata per permettere questo traffico

invece verifica se il router può avviare una connessione vpn e se esiste un firmware alternativo che lo possa fare (anche facendo questa domanda sul forum di hwupgrade sezione networking)

tutti i router supportano la vpn se dietro c'è un pc con un programma client che attiva la connessione con il server.

non ho capito se negli impianti c'è questa possibilità o no -
se non ci fosse devi far fare questa connessione al router

ciao,
Marco

[koda87]

Tramite le VPN si va ad interrogare un dispositivo in impianto dotato di un webserver, niente desktop remoto o altro. Negli impianti non sono presenti PC.

A questo indirizzo puoi vedere il simulatore di configurazione del TP-LINK

http://www.tp-link.it/resources/simu...0_v3/index.htm

sulla scheda Network e successivamente IPSEC ci sono le impostazioni per le VPN, non viene chiesto chi inizia la comunicazione ma mi viene chiesto di indicare il remote gateway (dove penso di dover indicare il mio IP Statico ) al quale spero che il router continui in automatico di tentare a connettersi.

Ora sono alle prese con PFSense e provo a fare qualche test anche con il router che ho a disposizione.

[Kaya]

Quote:

Originariamente inviato da linux_goblin

anche se sono degli ottimi router non mi sembra che il firmware di default abbia questa possibilità

Il firmware di default da come ho visto supporta ipsec senza problemi

Quote:

per quanto riguarda la sicurezza lavorerei a livello di ip assegnando classi di indirizzi diverse ai diversi clienti permettendo in questo modo di decidere a quali impianti si possono collegare

ciao,
Marco

Ovviamente devi avere subnet diverse, e il site-to-site fa proprio questo.
Sta poi a livello di rules autorizzare chi va dove.

Quote:

Originariamente inviato da koda87

Mi suggerite di non far passare tutto il traffico per la mia connessione, come posso fare questa cosa ?

Se segui il link che ti ho dato ( https://doc.pfsense.org/index.php/Ro...in_PfSense_2.1 ) è sufficiente che NON metti la seguente informazione "redirect-gateway def1; " nelle advanced.
In questo modo il traffico internet esce direttamente tramite il gateway, ad eccezione del traffico diretto alla vpn.

Quote:

Originariamente inviato da linux_goblin

per quanto riguarda dove far passare il traffico internet... a parte che non saprei se sia possibile non farlo passare tramite il tuo server (probabilmente è fattibile ma non so come farlo) spero che non debbano "condividere il desktop" o comunque far passare molti dati perché in questo caso la tua linea con ip fisso deve essere BEN dimensionata per permettere questo traffico

Per la condivisione vedi sopra.
Per la banda è OVVIO che debba essere dimensionata secondo le necessità.
Ricorda inoltre che la vpn aggiunge qualcosa nell'occupazione di banda (nell'ordine del 10-15% a connessione).

[koda87]

Buongiorno a tutti, scusate ma ho avuto un po di difficoltà con le prove.

Ora sono riuscito grazie a varie guide a configurare PF Sense per il tunnel VPN, ma quando mi provo a connettere tramite IPAD il log mi restituisce questo

May 13 17:26:01 charon: 10[ENC] <6> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V V V V V V V V V ]
May 13 17:26:01 charon: 10[IKE] <6> received FRAGMENTATION vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received FRAGMENTATION vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received NAT-T (RFC 3947) vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received NAT-T (RFC 3947) vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-08 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-08 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-07 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-07 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-06 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-06 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-05 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-05 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-04 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-04 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02 vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received XAuth vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received XAuth vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received Cisco Unity vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received Cisco Unity vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received DPD vendor ID
May 13 17:26:01 charon: 10[IKE] <6> received DPD vendor ID
May 13 17:26:01 charon: 10[IKE] <6> 5.170.213.123 is initiating a Aggressive Mode IKE_SA
May 13 17:26:01 charon: 10[IKE] <6> 5.170.213.123 is initiating a Aggressive Mode IKE_SA
May 13 17:26:01 charon: 10[CFG] <6> looking for XAuthInitPSK peer configs matching 192.168.0.115...5.170.213.123[commerciale@beable.it]
May 13 17:26:01 charon: 10[CFG] <6> selected peer config "con1"
May 13 17:26:01 charon: 10[ENC] <con1|6> generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V V V ]
May 13 17:26:01 charon: 10[NET] <con1|6> sending packet: from 192.168.0.115[500] to 5.170.213.123[19234] (432 bytes)
May 13 17:26:01 charon: 10[NET] <con1|6> received packet: from 5.170.213.123[19911] to 192.168.0.115[4500] (140 bytes)
May 13 17:26:01 charon: 10[ENC] <con1|6> parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
May 13 17:26:01 charon: 10[IKE] <con1|6> local host is behind NAT, sending keep alives
May 13 17:26:01 charon: 10[IKE] <con1|6> local host is behind NAT, sending keep alives
May 13 17:26:01 charon: 10[IKE] <con1|6> remote host is behind NAT
May 13 17:26:01 charon: 10[IKE] <con1|6> remote host is behind NAT
May 13 17:26:01 charon: 10[ENC] <con1|6> generating TRANSACTION request 3076709618 [ HASH CPRQ(X_USER X_PWD) ]
May 13 17:26:01 charon: 10[NET] <con1|6> sending packet: from 192.168.0.115[4500] to 5.170.213.123[19911] (76 bytes)
May 13 17:26:05 charon: 10[IKE] <con1|6> sending retransmit 1 of request message ID 3076709618, seq 1
May 13 17:26:05 charon: 10[IKE] <con1|6> sending retransmit 1 of request message ID 3076709618, seq 1
May 13 17:26:05 charon: 10[NET] <con1|6> sending packet: from 192.168.0.115[4500] to 5.170.213.123[19911] (76 bytes)
May 13 17:26:12 charon: 10[IKE] <con1|6> sending retransmit 2 of request message ID 3076709618, seq 1
May 13 17:26:12 charon: 10[IKE] <con1|6> sending retransmit 2 of request message ID 3076709618, seq 1
May 13 17:26:12 charon: 10[NET] <con1|6> sending packet: from 192.168.0.115[4500] to 5.170.213.123[19911] (76 bytes)


e mi viene restituito l'errore "Autenticazione utente non riuscita".

Mentre se mi connetto tramite cellulare android mi restituisce questo

May 13 17:27:33 charon: 08[CFG] <7> looking for XAuthInitPSK peer configs matching 192.168.0.115...217.200.200.249[commerciale@beable.it]
May 13 17:27:33 charon: 08[CFG] <7> selected peer config "con1"
May 13 17:27:33 charon: 08[ENC] <con1|7> generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V V V ]
May 13 17:27:33 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:35 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:35 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:35 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:35 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:37 charon: 08[IKE] <con1|7> sending retransmit 1 of response message ID 0, seq 1
May 13 17:27:37 charon: 08[IKE] <con1|7> sending retransmit 1 of response message ID 0, seq 1
May 13 17:27:37 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:44 charon: 08[IKE] <con1|7> sending retransmit 2 of response message ID 0, seq 1
May 13 17:27:44 charon: 08[IKE] <con1|7> sending retransmit 2 of response message ID 0, seq 1
May 13 17:27:44 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:46 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:46 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:46 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:46 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:46 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:50 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:50 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:50 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:50 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:54 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:54 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:54 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:54 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:55 charon: 08[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:55 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:55 charon: 08[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:55 charon: 08[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:57 charon: 06[IKE] <con1|7> sending retransmit 3 of response message ID 0, seq 1
May 13 17:27:57 charon: 06[IKE] <con1|7> sending retransmit 3 of response message ID 0, seq 1
May 13 17:27:57 charon: 06[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:27:59 charon: 06[NET] <con1|7> received packet: from 217.200.200.249[53507] to 192.168.0.115[500] (657 bytes)
May 13 17:27:59 charon: 06[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:59 charon: 06[IKE] <con1|7> received retransmit of request with ID 0, retransmitting response
May 13 17:27:59 charon: 06[NET] <con1|7> sending packet: from 192.168.0.115[500] to 217.200.200.249[53507] (432 bytes)
May 13 17:28:03 charon: 06[JOB] <con1|7> deleting half open IKE_SA after timeout


Le impostazioni dei dispositivi sono le seguenti :
IPAD :

Server : il mio ip
Account : lo username creato in pfsense dal menu system > user manager
Password: la password impostata per lo username
Nome gruppo: commerciale@beable.it (quello impostato nella creazione del tunner)
Segreto: la preshared key

PROXY : NO

CELLULARE ANDROID

Tipo : IPSec Xauth PSK
Indirizzo Server : il mio indirizzo ip statico
Identificatore IPSec commerciale@beable.it
Chiave pre-condivisa IPSec: la chiave impostata nella configurazione del tunnel
Nome utente: lo username creato in pfsense dal menu system > user manager
Password: la password impostata per lo username


Mi sapete dire che cosa sbaglio ?

Sul firewall di PFSense ho creato la regola per permettere tutto nella rete IPSEC, nel router ADSL che mi fornisce la connessione ho impostato una DMZ verso il server che riesco a raggiungere dall'esterno...

Non so più che cosa provare....


Per la configurazione ho seguito questi passaggi
https://www.youtube.com/watch?v=_twNJHahAJU

[malatodihardware]

C'è un motivo per cui hai usato ipsec invece che open VPN?

[koda87]

Ho provato anche con openvpn ma non riuscivo a fare l'esportazione della configurazione per trasferirla al cellulare e in internet non ho trovato soluzioni a questo problema....

IPSec mi sembrava una soluzione "semplice"...

[malatodihardware]

Se installi l'add-on open VPN export ti genera automaticamente il profilo da importare nel cellulare o nel pc

[gd350turbo]

Quote:

Originariamente inviato da koda87

_ 10 impianti remoti con a disposizione solamente modem TP-LINK TD-W8970 V3 e con connessione internet tramite scheda sim installata sul modem TP-LINK MA260 e quindi sotto rete nat;

Per il resto non ti posso aiutare, ma per questo si...

Il MA260 è semplicemente penoso, e gli sto facendo un complimento...
Usare una vpn per scopi lavoratovi suppongo con questo ordigno è qualcosa di traumatizzante...

Costa nettamente di più, ma funziona altrettanto nettamente meglio il router 3g HUAWEI 683B, tra l'altro se la sim ha ip pubblico puoi gestire tu il nat, quindi lo puoi rendere accessibile dall'esterno !

[koda87]

Sono riuscito a fare l'esportazione con OpenVPN ma non si connette comunque.. . La soluzione OpenVPN comunque la devo scartare perchè sui router presenti negli impianti è supportato solo IPSEC come VPN.

Ho fatto molte altre prove di connessione tramite IPSEC ma mi fermo sempre sull'autenticazione, nessuno a qualche altro suggerimento ?

PFSense lo eseguo su una macchina virtuale avviata su DEBIAN, non è che devo configurare qualche cosa di particolare su DEBIAN ? Ho controllato anche il firewall di DEBIAN ed è disabilitato.

Per quanto riguarda la connessione 3G fino ad ora non ho riscontrato alcun tipo di problema, e comunque è il mio ultimo problema

[Kaya]

Ma i log di sopra sono del pfsense?

Potresti provare a eseguire un tcpdump sul server debian e vedere se i pacchetti girano correttamente, che non ci sia un problema di NAT o porte bloccate di qualche sorta.

[linux_goblin]

nella pfsense c'è una scheda "utenti" dove devi impostare i permessi di accedere via vpn (sia ipsec che openvpn)

i client come ipad e android li faccio collegare con ipsec anche io e funziona

ciao,
Marco

[koda87]

x kaya : si, i log sono di pfsense, appena possibile installo e posto il risultato di un tcpdump. Ma se pfsense è installato su macchina virtuale su debian, viene rilevato lo stesso il traffico dati ? Nel mio router ho impostato una DMZ verso l'IP assegnato alla macchina virtuale che nel mio caso è 192.168.0.115, mentre l'ip di debian è 192.168.0.200.

x linux_goblin : ma nei dispositivi bisogna installare qualche certificato ? Io ho semplicemente impostato i campi di creazione della vpn come il nome, l'ip, la preshared key, ecc.

[Kaya]

Quote:

Originariamente inviato da koda87

x kaya : si, i log sono di pfsense, appena possibile installo e posto il risultato di un tcpdump. Ma se pfsense è installato su macchina virtuale su debian, viene rilevato lo stesso il traffico dati ? Nel mio router ho impostato una DMZ verso l'IP assegnato alla macchina virtuale che nel mio caso è 192.168.0.115, mentre l'ip di debian è 192.168.0.200.

Si perchè comunque la scheda di rete di debian fa da "tramite" verso la VM

[koda87]

Ieri finalmente sono riuscito a connettermi con VPN IPSEC, il problema era nel sistema Android che presenta BUG a livello di certificati di autenticazione come spiegato a questo link

http://serverfault.com/questions/675...sec-connection


ora mi resta da capire come creare le regole per gestire il traffico tra le varie VPN, qualche suggerimento ?

Ultimato questo, come promesso, farò una guida con la spiegazione passo passo di com'è la procedura che ho eseguito