|
|||||||
|
|
|
 |
|
|
Strumenti |
05-05-2004, 08:39
|
#1 |
|
Junior Member
Iscritto dal: May 2004
Città: MILANO
Messaggi: 2
|
Vpn, IPSEC con Pre-shared hey su linux
Ciao a tutti,
un mio collega mi ha consigliato di postare a questo forum perchè ritiene che qualke buona anima pia mi possa aiutare. Io ho Linux Red Hat AS 2.1 con kernel 2.04.20-18.9 premesso che conosco cosa sia una VPN , il protocollo di tunneling IPSeC e i vari criteri di criptazione NON so assolutamente nulla su come implementarli su linux. Premessa la mia macchina linux usa come firewall IPTABLES. Quale è il software (ovviamente free) che mi consigliate di installare per creare una VPN (Ipsec + Pre-shared key). Ho sentito parlare di Frees/Wan sinceramente ho provato anche ad installarlo seguendo quanto documentato sul sito e installanto gli rpm dei moduli che dell'utente ma quando cerco di attivarlo con service ipsec start ho una miriade di problemi con delle lib. Per me è assolutamente indifferente cosa genera la VPN aveta qualke consiglio da darmi un prodotto semplice da installare con della documentazione chiara ma sopratutto semplice da configurare. Grazie per la v. disponibilità spero che qualk'uno di voi mi possa aiutare. Have a nice day Laki 
__________________
EveryWhare, AnyWhare |
|
|
|
06-05-2004, 13:41
|
#2 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
ti regalo un up visto che interessa anche a me!
Ciao!
__________________
|
|
|
|
|
06-05-2004, 14:04
|
#3 |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
allora, freeswan l'ho usato parecchio, ma ci sono due problemi:
ora sono passato a OpenVPN, che non è ipsec ma
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
06-05-2004, 14:35
|
#4 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
<ot> Gurutech, ti va di scrivere un piccolo howto essenziale su openvpn (e se hai tempo/voglia su freeswan) che lo inserisco nella sottosezione?
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
06-05-2004, 14:39
|
#5 | |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
Quote:
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
07-05-2004, 00:40
|
#6 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
appoggio in pieno la richiesta de ilsensine
 
__________________
|
|
|
|
|
07-05-2004, 08:12
|
#7 |
|
Junior Member
Iscritto dal: May 2004
Città: MILANO
Messaggi: 2
|
Grazie per le dritte Gurutech, anke io mi unisco al coro per la documentazione ......
Il mio problema che mi serve qualcke cosa che incapsuli i pacchetti con Ipsec 3des md5 + PSK perche dall'altro lato della mie VPN ho dei sistemi che attulamente stanto usando questa infrastruttura. Come ho già detto ho scaricato dal sito www.freeswan.org la documentazione study case ed ovviamente il software (rpm) per la mia vesione di kernel ma una volta installati RPM -ivh ... ho una miriade di conflitti con librerie e moduli che il sistema dice di non avera. La stessa cosa mi succede se installo il tutto attraverso la compilazione dei sorgenti. Ad esempio mi dice che non riesce a caricare il Klips, pluto ha dei problemi..... in sò più cosa fare ho finito ancke tutte le swear words ke conoscevo. Ho letto ke nel kernel 2.6 IPSeC è embedded na dove??? ho porvato ha installare la Mandrake 10 ma non sono ancora riuscito a capire se c'è e dov'è!!!! Ormai è diventata una guerra tra me e sto ...... Linux! Aiuto!!!! 
__________________
EveryWhare, AnyWhare |
|
|
|
|
07-05-2004, 16:32
|
#8 |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
allora, per il momento ho fatto un minuscolo howto orientato alla configurazione di un gateway linux al quale vengono collegati dei client windows. Tipico uso:
macchina linux collegata a grossa linea HDSL e notebook windows con connessione 56K o più che però devono poter accedere alla rete aziendale. eccolo: http://www.gurutech.it/index.php?sel=openvpn datemi dritte su quello che non capite e/o vorreste vedere inserito.
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” Ultima modifica di gurutech : 07-05-2004 alle 16:37. |
|
|
|
|
07-05-2004, 17:42
|
#9 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Grazie Gurutech
 Commenti degli interessati?
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
07-05-2004, 20:27
|
#10 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
innanzitutto un grazie a Guru!
domattina mi collego e vedo se riesco a far funzionare la cosa...anche se avevo predisposto il tutto per FreeS/Wan!
__________________
|
|
|
|
|
13-05-2004, 13:44
|
#11 |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
novità ?
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
24-05-2004, 12:16
|
#12 | |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
Quote:
Ciao a tutti  stamattina in un momento libero mi son messo a provare a far andare il tutorial che hai scritto...mi sembra abbastanza semplice ed ho seguito tutto passo-passo...l'unica cosa è che non so se ho il supporto TUN nel kernel... cmq morale della favola non va nulla  ho disabilitato shorewall per vedere se era lui che bloccava tutto (anche se ho messo regolarmente il tunnel nelle regole)  suggestions?
__________________
|
|
|
|
|
|
24-05-2004, 13:26
|
#13 |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
allora dopo un po' di troubleshooting (è proprio vero che a stomaco pieno si ragiona meglio
 ) sono riuscito a far connettere l'adapter virtuale su windows al serverino linux (un suggerimento per gurutech: nella guida devi cambiare il file di config di windows sostituendo gli \ con / sennò openvpn non li considera (mi diceva cannot open key file on cprogrammiopenvpnconfig LoL)ora il file di log è questo: Codice:
Mon May 24 13:19:32 2004 0: OpenVPN 1.6.0 Win32-MinGW [SSL] [LZO] built on May 9 2004
Mon May 24 13:19:32 2004 1: TAP-WIN32 device [Connessione alla rete locale (LAN) 3] opened: \\.\{BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA}.tap
Mon May 24 13:19:32 2004 2: Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.1.2/255.255.255.252 on interface {BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA} [DHCP-serv: 10.0.1.0, lease-time: 31536000]
Mon May 24 13:19:32 2004 3: Successful ARP Flush on interface [3] {BEC8E31F-C53F-4744-B9C5-1B8775DCC3AA}
Mon May 24 13:19:32 2004 4: UDPv4 link local (bound): [undef]:5000
Mon May 24 13:19:32 2004 5: UDPv4 link remote: 81.174.xx.xx:5002
Codice:
Scheda Ethernet Connessione alla rete locale (LAN) 3:
Suffisso DNS specifico per connessione:
Indirizzo IP. . . . . . . . . . . . . : 10.0.1.2
Subnet mask . . . . . . . . . . . . . : 255.255.255.252
Gateway predefinito . . . . . . . . . :
Codice:
Mon May 24 18:16:18 2004 6[0]: Peer Connection Initiated with 213.140.6.112:20182 Mon May 24 18:18:03 2004 7[0]: select : Interrupted system call (code=4) Mon May 24 18:18:03 2004 8[0]: SIGTERM received, exiting Mon May 24 18:18:39 2004 0[0]: OpenVPN 1.5.0 i586-mandrake-linux-gnu [SSL] [LZO] [PTHREAD] built on Feb 26 2004 Mon May 24 18:18:39 2004 1[0]: TUN/TAP device tap0 opened Mon May 24 18:18:39 2004 2[0]: /sbin/ifconfig tap0 10.0.1.1 netmask 255.255.255.252 mtu 1500 broadcast 10.0.1.3 Mon May 24 18:18:39 2004 3[0]: PTHREAD support initialized Mon May 24 18:18:39 2004 4[0]: UDPv4 link local (bound): [undef]:5002 Mon May 24 18:18:39 2004 5[0]: UDPv4 link remote: [undef] Mon May 24 18:19:05 2004 6[0]: Peer Connection Initiated with 213.140.6.112:20182
__________________
Ultima modifica di X3noN : 24-05-2004 alle 18:22. |
|
|
|
|
24-05-2004, 14:40
|
#14 |
|
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Visto che siamo in argomento vorrei fare alcune domande (sono ignorante su vpn):
ho una LAN con 4 pc di cui 1 e' un serverino (linux ovviamente!) che fa navigare gli altri (oltre che fare da server per www, posta ecc.) Su questo serverino vorrei mettere su un server di gioco (metti un ut2004) -posso con openvpn "collegare" un altro computer che ha accesso a internet al mio serverino e "far finta" che sia nella mia rete locale? -la vpn porta a degradi di performance (come banda passante o come velocita' di risposta?)? Grazie!
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
|
|
|
24-05-2004, 22:23
|
#15 | ||
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
Quote:
Codice:
dmesg | grep -i tun Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky e se è un modulo come penso, con Codice:
lsmod | grep -i tun tun 3712 0 (unused) Quote:
Codice:
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F sotto windows fai un ROUTE PRINT e vedi come è messa la default route (0.0.0.0) sotto linux fai un ifconfig tap0 route -n e vedi come è messa l'interfaccia virtuale e la tabella di routing per HexDEf6 in linea di massima si, la VPN serve proprio a quello (per il gioco dipende dal protocollo usato per la comunicazione di rete) la VPN porta un degrado perchè il normale pacchetto di rete viene "ingrassato" con intestazioni crittografiche ed ispezionato prima di essere accettato se la tua necessità è solo fare un server di gioco, credo ci sia la possibilità di fare server pubbilici in internet dedicati solo a quello per alcuni specifici giochi on line, ma li dovresti chiedere a qualche netgamer (io al massimo ti posso consigliare su Wonder Boy, e dare qualche PEEK e POKE del C64)
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
||
|
|
|
|
25-05-2004, 11:36
|
#16 | |||||
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
Quote:
Codice:
locate if_tun.h Codice:
/usr/include/linux/if_tun.h Quote:
Quote:
ora quando lancio il servizio su windows si connette...solo che praticamente non riceve...su 100/200 pacchetti inviati ne riceve 1 o 2...mi sembra strano... Pingando il gateway funziona, però non posso pingare i pc windows (che però stanno in un'altra subnet:non vorrei fosse quello! 192.168.1.xxx) Quote:
Codice:
C:\Documents and Settings\X3noN®>route print
===========================================================================
Elenco interfacce
0x1 ........................... MS TCP Loopback interface
0x2 ...00 04 76 1b 80 a5 ...... 3Com EtherLink XL 10/100 PCI For Complete PC Man
agement NIC (3C905C-TX) - Miniport dell'UtilitÓ di pianificazione pacchetti
0x3 ...00 ff be c8 e3 1f ...... TAP-Win32 Adapter - Miniport dell'UtilitÓ di pia
nificazione pacchetti
===========================================================================
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfac. Metric
0.0.0.0 0.0.0.0 1.50.171.1 1.50.171.49 1
1.50.171.0 255.255.255.0 1.50.171.49 1.50.171.49 30
1.50.171.49 255.255.255.255 127.0.0.1 127.0.0.1 30
1.255.255.255 255.255.255.255 1.50.171.49 1.50.171.49 30
10.0.1.0 255.255.255.252 10.0.1.2 10.0.1.2 30
10.0.1.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.1.2 10.0.1.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 1.50.171.49 1.50.171.49 30
224.0.0.0 240.0.0.0 10.0.1.2 10.0.1.2 30
255.255.255.255 255.255.255.255 1.50.171.49 1.50.171.49 1
255.255.255.255 255.255.255.255 10.0.1.2 10.0.1.2 1
Gateway predefinito: 1.50.171.1
===========================================================================
Route permanenti:
Nessuno
Quote:
Codice:
# ifconfig tap0
tap0 Link encap:Ethernet HWaddr 00:FF:44:7D:40:72
inet addr:10.0.1.1 Bcast:10.0.1.3 Mask:255.255.255.252
inet6 addr: fe80::2ff:44ff:fe7d:4072/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:322 errors:0 dropped:0 overruns:0 frame:0
TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:36129 (35.2 Kb) TX bytes:1628 (1.5 Kb)
Codice:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 204.228.229.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1 Innanzitutto ti rigrazio moltissimo per la disponibilità!!!
__________________
|
|||||
|
|
|
|
25-05-2004, 15:30
|
#17 |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
cia'
mi sembra strano perchè non vedo alcune regole di instradamento nelle tabelle di routing. prima fra tutte: dov'è la regola per 10.0.1.x sulla macchina linux? route -n lo hai lanciato dopo o prima di aver tirato su la VPN?? e poi non vedo la regola per 192.168.0.x nella macchina windows: al posto del redirect-gateway puoi usare la direttiva per fargliela aggiungere manualmente (ora non mi ricordo il parametro di config), oppure puoi scrivere tu route add 192.168.0.0 255.255.255.0 10.0.1.1 (mi pare che la sintassi in win sia quella, qualcuno mi corregga se sbaglio)
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
29-05-2004, 22:53
|
#18 | |
|
Senior Member
Iscritto dal: Oct 2001
Città: Milano
Messaggi: 256
|
Quote:
effettivamente non c'è nessuna regola particolare per la vpn su linux, a parte questa che si riferisce al device tap0: Codice:
204.228.229.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
__________________
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:05.
