Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN lan-lan riuscita

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Gio Gen 17, 2008 12:10 am    Oggetto: VPN lan-lan riuscita Rispondi citando

Nel nostro ateneo abbiamo un indirizzamento IP un po' particolare, infatti tutti gli indirizzi IP sono pubblici, i motivi di ciò sono essenzialmente di natura storica.
In questa situazione è un po' difficile lavorare con le VPN per quanto riguarda il routing, infatti è solitamente semplice attivare un tunnel VPN ma complicato instradare il traffico all'interno, poiché non tutto il traffico deve necessariamente passarci.
Il problema è semplicemente esposto: attraverso dei concentratori VPN si vuole collegare delle sedi remote in modo che utilizzino delle subnet interne dell'ateneo, instradando il traffico in modo, ad esempio, che sia possibile controllarlo e/o monitorarlo. Le connessioni fisiche si vuole avvengano usando delle linee a basso costo (ADSL flat di qualche provider commerciale).

Ho realizzato, utilizzando due router ZeroShell (quelli grigi nella figura), tutte le funzionalità sopra esposte aggiungendo anche un CaptivePortal remoto.

Un primo problema è stato quello di creare il tunnel VPN con una sede che utilizza IP arbitrari (dinamici). Nelle VPN è certo che almeno uno dei due peer debba essere statico (e vorrei anche vedere non fosse così ... Very Happy). Ho provato quindi ad imporre, lato server (111.222.1.147), di instaurare il tunnel con l'indirizzo 0.0.0.0, dunque da chiunque. "Chiunque" sia in possesso dei corretti certificati, ovviamente. La cosa non mi pare molto documentata ma funziona, il tunnel ha preso vita ed ho potuto assegnargli, questa volta all'interfaccia VPN, un indirizzamento 111.222.165.x.
L'indirizzamento 111.222.x.y (nb: non è quello reale) è di IP pubblici, dunque nella sede remota (quella sotto ADSL) sorge il problema di instradare pacchetti in maniera diversa a seconda che:
* siano di traffico criptato della VPN instaurata e quindi diretti al concentratore 111.222.1.147 tramite ovviamente il router ADSL 192.168.1.1
* oppure traffico che deve essere criptato nella VPN e va dunque destinato all'hop, attraverso il tunnel (logico) VPN, 111.222.165.1.
Il problema è stato risolto imponendo una entry statica nella tabella di routing del router ZeroShell remoto:
Codice:
                 Routing Table (static entries)
destination        netmask                gateway
111.222.1.147  255.255.255.255   192.168.1.1
0.0.0.0        0.0.0.0           111.222.165.1
Da notare la netmask a 32 bit, in pratica per colloquiare con chiunque tranne il 111.222.1.147 il router (sempre quello remoto) sa che deve inoltrare il pacchetto nel tunnel VPN. D'altro canto per e solo per, guarda caso, l'indirizzo 111.222.1.147 è bene che segua la "strada giusta", cioé verso il router del provider ADSL 192.168.1.1 e quindi via internet. Nel mondo cisco questo di solito si risolve con il "policy-routing" (basandosi ad esempio sulla sorgente del pacchetto) qui invece è bastato riarrangiare la tabella di routing statico.
Ho incluso tutte le interfaccie con indirizzi 111.222.x.y nel RIP in modo che tutto si propaghi a dovere (quindi anche le interfacce vpn).
Il CaptivePortal Remoto l'ho allineato al CaptivePortal principale con una sharedkey, dunque senza dover configurare un ulteriore NAS sul server radius (esterno).
Adesso ho una soluzione replicabile in ogni sede remota che può far uso di un solo apparato centrale.
Come hardware ho utilizzato con successo l'appliance net5501-70 della Soekris (http://www.soekris.com/net5501.htm), ne abbiamo acquistate 4 indirettamente qui:http://www.cortexsystems.dk/shop/net5501_new/net5501_70_board_and_1_slot_standard_case_en.html
Vanno molto bene con ZeroShell a patto di inserire a BIOS (via seriale, ctrl-p dopo il power-on) il comando:
Codice:
set ConMute=Enabled
set ConSpeed=38400
altrimenti il caricamento del GRUB attende 10 minuti Confused .
Dato che utilizzano il processore Geode vorrei sapere, se possibile, dall'autore di ZeroShell, se c'è la possibilità che venga utilizzato l'hardware di criptazione interno a tali processori.
[vedere in http://www.logix.cz/michal/devel/padlock/ e in
http://openvpn.net/archive/openvpn-users/2007-01/msg00192.html]
Grazie!
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1551

MessaggioInviato: Gio Gen 17, 2008 7:33 pm    Oggetto: Rispondi citando

Grazie per la descrizione dettagliata della tua soluzione VPN. Se qualche persona in piu' avesse la tua stessa pazienza di documentare e condividere con altri le sue esperienze, certamente aiuterebbe il progetto a crescere. Credo che mettero' un il link a questo post dalla sezione di documentazione.

Per quel che riguarda l'utilizzo da parte di Zeroshell dell'acceleratore crittografico presente nei processori Amd Geode di nuova generazione, credo non sia complesso utilizzarli per criptare i tunnel VPN di OpenVPN. Immagino che ci sia un modulo Kernel che li gestisca e faccia da interfaccia con OpenSSL sui cui OpenVPN si basa. Ancora non ho affrontato il problema, ma penso di farlo visto che possiedo un Alix che dovrebbe avere lo stesso processore del Soekris Net5501-70.

Ciao e grazie ancora
Fulvio
Top
Profilo Invia messaggio privato
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Mer Feb 13, 2008 3:07 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Per quel che riguarda l'utilizzo da parte di Zeroshell dell'acceleratore crittografico presente nei processori Amd Geode di nuova generazione, credo non sia complesso utilizzarli per criptare i tunnel VPN di OpenVPN. Immagino che ci sia un modulo Kernel che li gestisca e faccia da interfaccia con OpenSSL sui cui OpenVPN si basa. Ancora non ho affrontato il problema, ma penso di farlo visto che possiedo un Alix che dovrebbe avere lo stesso processore del Soekris Net5501-70.

Ciao e grazie ancora
Fulvio
Ho trovato questo:http://lists.soekris.com/pipermail/soekris-tech/2008-February/013851.html
Forse può essere utile... credo che per linux occorra:
a) abilitare nel kernel il modulo in:
Cryptographic options --->
Hardware crypto devices --->
<*> Support for the Geode LX AES engine
b) compilare openvpn (o openssl?) con l'opzione vista sopra.

Sì, lo so, la faccio troppo facile.. Wink
E comunque ne verrebbe meno la compatibilità, però per chi ha la CPU Geode LX 800 ci potrebbero essere vantaggi. Mi propongo come beta-tester, ho giusto un apparato net5501-70 non "in produzione".
Grazie,
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1551

MessaggioInviato: Mer Feb 13, 2008 8:13 pm    Oggetto: Rispondi citando

Vista la rapida diffusione dei dispositivi embedded con Geode LX-800, cerchero' di anticipare una patch da applicare alla 1.0.beta8 che attivi la cifratura fatta dall'hardware. Se non dovessi fare in tempo, senz'altro attivero' questa possibilità appena disponibile una release con Kernel nuovo.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
renato.morano



Registrato: 23/09/10 09:37
Messaggi: 143

MessaggioInviato: Lun Ott 25, 2010 8:48 am    Oggetto: VPN lato server 0.0.0.0 Rispondi citando

Ciao,
ho utilizzato la configurazione lato server 0.0.0.0 per risolvere il problema dei provider che non permettono connessioni in ingresso. Il tuo suggerimento funziona benissimo. DI fatto basta un solo ip pubblico statico lato server e la configurazione lato client della VPN punta questo ip pubblico statico.
Semplicemente fantastico. Al momento lo sperimento attraverso un modem satellittare che non permette connessioni in ingresso ma immagino funziona anche con modem umts ( vedi Vodafone) che ha lo stesso problema.

Non mi resta che ringraziarvi.

Wink
Top
Profilo Invia messaggio privato
renato.morano



Registrato: 23/09/10 09:37
Messaggi: 143

MessaggioInviato: Lun Ott 25, 2010 5:55 pm    Oggetto: Rispondi citando

Ciao

condivido la mia esperienza

http://www.renatomorano.net/?p=892

Un grazie all'idea di Marco Pamio che mi era d'avanti e solo oggi la vedo.

Lo stesso mi è capitato quando un prof. mi fece accendere la lampadina quando ci spiego la dinamo. E poi dicono che l-universia-t' non serve.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it