| View previous topic :: View next topic |
| Author |
Message |
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
 Posted: Mon Mar 08, 2004 8:44 pm Post subject: IPSEC-TOOLS e ip header troncati e ... [PSEUDO-RISOLTO] :) |
 |
|
Un Buonasera a tutto il Forum, come al solito cerco qui la risposta ad un problema che non riesco proprio a risolvere nonostante i vari google, search,man,tutorials,preghiere e ... bestemmie 
Sto cercando di configurare una VPN tra il mio notebook wireless e il mio firewall.
La mia configurazione e' la seguente:
Utilizzo su entrambi i dispositivi un Kernel 2.6.3 gentoo e ipsec-tools v 2.4
Ho caricato o compilato direttamente nel kernel tutti i moduli necessari: esp,ah(anche se non lo utilizzo) ,pf_key(anche se per ora sto cercando di farlo funzionare con delle stupide password precondivise).
Ho annulato il FW lasciando solamente il masquerading per essere sicuro che non sia questo a darmi problemi ma ... niente.
la situazione e' questa:
|Notebook 192.168.100.2|-----------------|192.168.100.1...FW....23.5.23.65|-----INTERNET
La configurazione di ipsec.conf sul notebook
| Code: | #!/usr/sbin/setkey -f
flush;
spdflush;
#ESP
add 192.168.100.1 192.168.100.2 esp 15701 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";
add 192.168.100.2 192.168.100.1 esp 24501 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";
#Sec policies
spdadd 192.168.100.2 0.0.0.0/0 any -P out ipsec esp/tunnel/192.168.100.2-192.168.100.1/require;
spdadd 0.0.0.0/0 192.168.100.2 any -P in ipsec esp/tunnel/192.168.100.1-192.168.100.2/require; |
La configurazione di ipsec.conf sul FW
| Code: | #!/usr/sbin/setkey -f
flush;
spdflush;
#ESP
add 192.168.100.1 192.168.100.2 esp 15701 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";
add 192.168.100.2 192.168.100.1 esp 24501 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";
#Sec policies
spdadd 192.168.100.2 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.100.2-192.168.100.1/require;
spdadd 0.0.0.0/0 192.168.100.2 any -P out ipsec esp/tunnel/192.168.100.1-192.168.100.2/require; |
Per quanto ho potuto leggere in giro dovrebbe essere giusto pero' non va', o meglio va' strano...
Riesco a pingare ovunque senza perdere nessun pacchetto, ma non riesco a fare altro. Niente HTTP, niente RSYNC (leggi emerge sync), niente di niente ... pingare e' bello , ma fino a una certa!!!
In piu' riesco a gestire in SSH il FW dal Notebook mentre la VPN e' attiva ....
CAtturando il traffico con tcpdump succede una cosa strana, ho continuamente dei pacchetti con ip header troncato, sia sul notebook che sul FW:
| Code: |
.
.
.
.(Zapata = 192.168.100.2=notebook)
.
21:23:05.929453 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1f8) (DF)
21:23:05.930078 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1f9) (DF)
21:23:05.954323 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17b)
21:23:05.954323 truncated-ip - 20 bytes missing! 192.168.100.1 > 69.0.0.176.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
21:23:05.955135 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fa) (DF)
21:23:05.955229 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17c)
21:23:05.955229 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.149.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
21:23:05.956174 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fb) (DF)
21:23:06.120987 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17d)
21:23:06.120987 truncated-ip - 16 bytes missing! 192.168.100.1 > 69.0.0.236.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
21:23:06.126595 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fc) (DF)
21:23:06.150465 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17e)
21:23:06.150465 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.213.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
21:23:06.154654 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fd) (DF)
21:23:06.178941 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17f)
21:23:06.178941 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.213.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
21:23:06.180012 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fe) (DF)
21:23:06.247926 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x180)
21:23:06.247926 truncated-ip - 16 bytes missing! 192.168.100.1 > 69.0.0.84.adsl.snet.net: bad-hlen 12 (ipip-proto-4)
.
.
.
.
.
|
Questi ip troncati fanno si (almeno credo) che l'indirizzo invece di quello giusto diventi qualcosa di assurdo come 69.0.0.84 e via dicendo....
Ho letto di tutto ma non riesco a trovare niente e nessuno che abbia avuto gli stessi problemi.
Qualcuno ha idee?
Se non sono stato esauriente saro' felice di essere piu preciso ...
Nella speranza di vedere i miei pacchetti vagare per casa belli cifrati molto presto confido in questo pozzo di "sapienza pinguina" che e' questo Forum 
EDIT----EDIT-----EDIT
Cercando qua e la ho ottenuto qualche informazione in piu' che spero permetta a qualcuno di voi di darmi una manina .... plz 
Allora, pariamo dal fatto che nell'output di TCPDUMP qui sopra si nota una FLAG "DF" che sta a indicare "Don't Fragment", cioe' che i pacchetti non vengono frammentati se eccedono la massima dimensione MTU=1500 bytes. Considerato che l'esp dovrebbe aggiungere 280 bytes ai pacchetti per l'aggiunta di due Header nell'incapsulamento e' molto probabile che in certi casi (leggi ad esempio navigazione web) il limite di 1500 bytes venga superato e quindi i pacchetti vengano scartati.
Mi sono detto, ok proviamo ad abilitare la frammentazione dei pacchetti (in barba a tutte le considerazioni riguardo alla sicurezza e ai vari tipi di DoS che si possono realizzare sfruttando questa configurazione) ma non riesco assolutamente a capire come si fa!
Qualcuno sa darmi qualche dritta?
ho trovato tra i sorgenti del kernel due file "ip_fragmentation.c" e "ip_fragmentation.o" , ma non riesco a trovare nei menu di configurazione nessuna opzione che possa dare l'idea di abilitarli ... potrebbe essere questo il problema?
PLZ Help
Ciao
Primero |
|
| Back to top |
|
 |
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Tue Mar 09, 2004 9:52 pm Post subject: |
|
|
Come e' che si dice ... chi fa da se fa per tre ))))
Diciamo che sono arrivato quasi alla soluzione , e visto che a quanto ho capito leggendo nei forum di mezzo mondo in tutte le lingue questo e' un problema che si e' presentato anche ad altra persone posto quello che ho trovato e che ha pseudo-risolto il mio problema.
Cominciamo col dire che questo messaggio lo sto scrivendo tramite Connesion con IPSEC , quindi fate vobis
A quanto mi e' parso di capire il mio e' un problema che si presenta solo con certi protocolli , di cui http fa parte.
Non avendo ancora compreso completamente la natura del dilemma mi limitero' a spiegare cio' che piu' si avvicina alla soluzione.
Il problema riguarda appunto la dimensione massima che i pacchetti possono raggiungere ed in particolare il protocollo http che verso certi siti sembra avere particolari problemi.
Con una regolina sul FW nella catena FORWARD ho settato quella che credo sia una sorta di "forzatura della massima dimensione che deve avere un pacchetto" a 1300 bytes e il tutto magicamente e' tornato a funzionare ... o quasi.
| Code: | iptables -I FORWARD -s 0/0 -d 0/0 -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --set-mss 1300 |
Ora riesco ad utilizzare tutti i protocolli verso tutte le destinazioni esterne al mio FW e che vanno su protocollo TCP.
Devo ancora fare molte prove per capire bene che cavolo sta succedendo.
Ad esempio non riesco ad entrare in ssh sul FW neanche impostando regole simili a questa in OUTPUT ed INPUT sia sul Laptop che sul FW, ne' ho provato ad utilizzare qualche protocollo su UDP che teoricamente dovrebbe presentare lo stesso problema.
Comunque un buon passo in avanti l'ho fatto e spero che possa tornare utile anche a qualcun'altro, in attesa di una spiegazione piu' esauriente.
EDIT----EDIT-----EDIT
http://www.linuxguruz.com/iptables/howto/2.4routing-15.html#ss15.6 In questo link (la famigerata guida al routing e via dicendo ...) c'e' una buona spiegazione del problema con le possibili soluzioni, compresa quella esposta sopra.
Utilizzando anche l'opzione "mss" sulle rotte ho risolto il problema del collegarmi in ssh al FW, mi resta ora da provare che succede con l'UDP e affinare il tutto.
Ciao a tutti
Primero on IPSEC. ..... 
P.S. Scusate se la sto facendo un po' lunga e se me la sto "cantando e suonando" da solo, rispondendomi da solo come un idiota, ma ci sto perdendo talemente tanto tempo (diciamo tutto quello che mi rimane libero dal lavoro) che ho voglia di far presente i miglioramenti.
Ciauz [/url] |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Tue Mar 09, 2004 11:16 pm Post subject: |
|
|
hai un motivo particolare per voler usare IPSEC?
esistono un sacco di altre vpn mero problematiche!
ciao |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Wed Mar 10, 2004 12:56 pm Post subject: |
|
|
Beh, l'unico motivo particolare e' che voglio capire come funziona, e poi sono affascinato dalla sua "presunta" interoperabilita' con altri sistemi ..... qualcuno direbbe che forse "ho un sacco di tempo libero"
Ciauz |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Wed Mar 10, 2004 1:10 pm Post subject: |
|
|
| primero.gentoo wrote: | P.S. Scusate se la sto facendo un po' lunga e se me la sto "cantando e suonando" da solo, rispondendomi da solo come un idiota, ma ci sto perdendo talemente tanto tempo (diciamo tutto quello che mi rimane libero dal lavoro) che ho voglia di far presente i miglioramenti.
Ciauz [/url] |
Io sto leggendo... non intervengo perché non saprei cosa dire ma leggo interessato
P.S. ip_fragmentation.o é la versione compilata di ip_fragmentation.c quindi in realtà si tratta di un file solo.
_________________
Ciao da me! |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Wed Mar 10, 2004 1:30 pm Post subject: |
|
|
| primero.gentoo wrote: | Beh, l'unico motivo particolare e' che voglio capire come funziona, e poi sono affascinato dalla sua "presunta" interoperabilita' con altri sistemi ..... qualcuno direbbe che forse "ho un sacco di tempo libero"
Ciauz |
Lungi da me dirti:"Stai perdendo tempo!"
Io faccio esattamente come te (anche per stupidate e questa non lo e' di certo)
Ti chiedevo "perche' IPSEC?" poiche' pur avendo buona interoperabilita' (non testata personalmente) introduce spesso problematiche che altri tipi di Vpn non hanno. (Leggi - passare dal Nat senza dover patchare qua e la')
ciao e buon lavoro
P.S.: cmq sei incappato nel tipico problema di mtu delle vpn |
|
| Back to top |
|
|
Ginko
Guru
Joined: 01 May 2002
Posts: 371
Location: nearby my linux laptop
|
| Posted: Wed Mar 10, 2004 1:44 pm Post subject: |
|
|
| primero.gentoo wrote: | | Come e' che si dice ... chi fa da se fa per tre )))) |
e come dimostri tu, impara molto
| primero.gentoo wrote: | | Il problema riguarda appunto la dimensione massima che i pacchetti possono raggiungere ed in particolare il protocollo http che verso certi siti sembra avere particolari problemi. |
Credo che di default la MTU della rete sia impostata a 1500 bytes, se i pacchetti sono piu' grandi essi vengono fragmentati in piu' tronconi. Questo non comporta normalmente alcun problema ma le cose cambiano, come hai potuto verificare tu, con ipsec.
Il fatto e' che ipsec imposta di default la MTU molto alta (credo 16260) ossia una cifra nettamente superiore alla MTU di rete. Cio' fa si che i pacchetti ipsec non vengano fragmentati prima di essere processati da... ipsec appunto ma solo nel momento in cui arrivano alla rete e questo puo' causare problemi.
La soluzione da adottare sembra essere quindi quella di impostare la MTU di ipsec ad un valore inferiore alla MTU della rete. Di quanto minore? Poiche' ipsec aggiunge un header ed incapsula i dati facendo diventare il pacchetto cifrato piu' grande dell'originale, la MTU di ipsec dovra' essere al massimo uguale a MTUrete meno dim. header ipsec. Tipicamente un valore di 1400 dovrebbe essere sufficiente.
L'impostazione della MTU di ipsec si fa tramite la direttiva : del file ipsec.conf.
Spero che questo risolva completamente il tuo problema.
Saluti
--Gianluca |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Wed Mar 10, 2004 2:25 pm Post subject: |
|
|
| Ginko wrote: |
Il fatto e' che ipsec imposta di default la MTU molto alta (credo 16260) ossia una cifra nettamente superiore alla MTU di rete.
L'impostazione della MTU di ipsec si fa tramite la direttiva : del file ipsec.conf.
Spero che questo risolva completamente il tuo problema.
|
Beh, questa si che un'informazione d'oro!!!
ORa non posso provarlo perche' sono al lavoro e la VPN e' a casa sola soletta ... ma se quello che dici e' giusto dovrebbe essere proprio la soluzione completa al mio problema
Stasera provo e ti ringrazio !!!
Ciauz
P.s: Dove hai preso quest'informazione??? mi sto leggendo RFC dopo aver letto tutto cio' che ho trovato ma non avevo letto nulla a riguardo.
percaso "man ipsec.conf"?
Ciao |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Wed Mar 10, 2004 2:30 pm Post subject: |
|
|
| randomaze wrote: |
P.S. ip_fragmentation.o é la versione compilata di ip_fragmentation.c quindi in realtà si tratta di un file solo. |
Pero' non dovrebbe essere un modulo per kernel 2.6 perche' non ha estensione .ko, giusto? e poi non me lo trovo nella directory dei moduli ma in quella dei sorgenti .... e dove cavolo sta l'opzione nel menu di conf?? 
Cia!
Priemero |
|
| Back to top |
|
|
Ginko
Guru
Joined: 01 May 2002
Posts: 371
Location: nearby my linux laptop
|
| Posted: Wed Mar 10, 2004 2:41 pm Post subject: |
|
|
| primero.gentoo wrote: | | P.s: Dove hai preso quest'informazione??? mi sto leggendo RFC dopo aver letto tutto cio' che ho trovato ma non avevo letto nulla a riguardo. percaso "man ipsec.conf"? |
Come hai fatto ad indovinare ? Cmq per maggiori info quarda pure qui.
--Gianluca |
|
| Back to top |
|
|
MyZelF
Bodhisattva
Joined: 25 Feb 2003
Posts: 2010
Location: Venice, Italy
|
| Posted: Wed Mar 10, 2004 2:47 pm Post subject: |
|
|
| xchris wrote: | esistono un sacco di altre vpn mero problematiche!
|
...tipo? PPTP? 
Sono decisamente profano in tema VPN, ma volevo fare qualche esperimento per accedere dall'esterno alla LAN casalinga. Qualche suggerimento?
_________________
"Larry the Cow was a bit frustrated at the current state of Linux Distributions..." |
|
| Back to top |
|
|
Ginko
Guru
Joined: 01 May 2002
Posts: 371
Location: nearby my linux laptop
|
| Posted: Wed Mar 10, 2004 2:51 pm Post subject: |
|
|
| MyZelF wrote: | | xchris wrote: | esistono un sacco di altre vpn mero problematiche!
|
...tipo? PPTP?
Sono decisamente profano in tema VPN, ma volevo fare qualche esperimento per accedere dall'esterno alla LAN casalinga. Qualche suggerimento? |
SSH! Con proxytunnel e' persino possibile usarlo tramite proxy HTTPs.
--Gianluca |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Wed Mar 10, 2004 3:23 pm Post subject: |
|
|
| MyZelF wrote: | | xchris wrote: | esistono un sacco di altre vpn mero problematiche!
|
...tipo? PPTP?
Sono decisamente profano in tema VPN, ma volevo fare qualche esperimento per accedere dall'esterno alla LAN casalinga. Qualche suggerimento? |
Io mi ero avvicinato anche ad OpenVPN che sembra essere Robusto e allo stesso tempo semplice, lo trovi nel portage ed e' supportato direttamente anche da Shorewall. Mi sembra che si basi su OpenSSL sia per quanto riguarda la generazione dei Certificati, cosa che fa anche IPsec, sia per quanto riguarda l'encrypting. L'ho abbandonato solo per il discorso dell'interoperabilita'.
Se non ti serve una Cifratura totale su tutto il traffico IP , ma esclusivamente una cifratura per certi protocolli puoi provare con
STunnel
AESop
oppure SSH con il Port Forwarding.
Tutti e tre ti permettono di fare il tunneling di qualunque protocollo , non so se limitato pero' al TCP , atraverso un canale cifrato.
Io ho giocato un po con AESop qualche tempo fa per cifrare una condivisione in NFS di un FS e devo dire che mi aveva ben impressionato, soprattutto per la gestione dinamica delle chiavi di sessione.
Di soluzioni ce ne sono a bizzeffe ... ma IPSEC e' veramente una POTENZA!!!
Ciao ciao
Primero |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Wed Mar 10, 2004 4:24 pm Post subject: |
|
|
ed un ppp over ssh che ne dite ?
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Wed Mar 10, 2004 11:17 pm Post subject: |
|
|
--ppp over ssh da scartare --> http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
--openvpn -- OTTIMO --passa dal Nat,molto stabile,la mia preferita,nessun supporto nel kernel richiesto (solo modulo tun/tap),supporto nativo per connessioni con peer che cambiano IP,client e server su diverse piattaforme interoperabili
--freeswan -- soluzione ipsec -- Molto stabile,Richiede supporto nel kernel ed e' problematica con il NAT (esistono patch varie)
--Cipe -- passa dal nat - richiede TUN/TAP (provata ma non a fondo)
-SSH + PortForwarding -- Non e' una Vpn ma per applicazioni semplici e' un ottima soluzione (solo TCP, io la uso ogni giorno per far passare traffico Vnc sicuro)
--pptpd da scartare. Insicura.(mamma M$) Client incluso in Win2k,WinXP
(non passa da tutti i nat causa protocollo GRE)
--vtun -- Non provata ma ne ho sempre sentito parlare bene.
Ne esistono molte altre ma queste sono le + utilizzate.
Con questo Myzelf ti consiglio vivamente Openvpn! Non ti deludera'.
ciao |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Thu Mar 11, 2004 9:52 am Post subject: |
|
|
| xchris wrote: |
--openvpn -- OTTIMO --passa dal Nat,molto stabile,la mia preferita,nessun supporto nel kernel richiesto (solo modulo tun/tap),supporto nativo per connessioni con peer che cambiano IP,client e server su diverse piattaforme interoperabili
--freeswan -- soluzione ipsec -- Molto stabile,Richiede supporto nel kernel ed e' problematica con il NAT (esistono patch varie)
|
OpenVPN e' ottimo, ma solo per connessioni tra macchine Linux, una realta' che purtroppo, e sottolineo putrtoppo, non sempre e' attuabile.
Freeswan credo sia morto:
| Quote: | | FreeS/WAN is no longer in active development. Although we've created a solid IPsec implentation widely used to construct Virtual Private Networks, the project's major goal, ubiquitous Opportunistic Encryption, is unlikely to be reached given its current level of community support. |
Detto questo ultimamente sto dando un'occhiata ad un'altro progetto sempre basato su Ipsec : OpenSWAN , un forking del progetto FreeSWAN che e' in uno sviluppo molto attivo e include certe caratteristiche , come il NAT, XAUTH che richiedevano Patching precedentemente.
Detto cio' io rimango dell'idea che IPSEC, nonostante l'inconfutabile complessita' della configurazione (sicuramente esagerata rispetto alla grande necessita' di connesioni sicure anche da parte di persone non tecnicamente cosi' preparate) resti la scelta' migliore in termini di potenzialita' e soddisfazione non solo in ambienti eterogenei ma anche in sistemi esclusivamente LINUX, come dimostrato dal grande numero di implementazioni disponibili e dall'enorme community presente sulla rete.
Con questo non voglio assolutamente criticare altri progetti come ad esempio OpenVPN che offre Prestazioni OTTIME e sicure in cambio di uno sforzo sicuramente Minore.
Un progetto Ben realizzato che ancora una volta dimostra quale siano le potenzialita' di un mondo informatico Open Source=Stimolante che come sempre mette a disposizioni varie soluzioni per lo stesso problema, lasciando all'utente la possibilita' di scelta , cosa di cui molti stanno perdendo di vista l'importanza in questa societa' che sempre piu' si indirizza verso una realta' di "svolte obbligate", e dando sempre nuove spinte alla voglia di conoscere e di imparare, una delle poche liberta' che ci rimangono e ci migliorano.
Gentoo Rulez the world, Tux Wants You...
Ciauz
Primero
P.S. Scusate il delirio, ma qui al lavoro dovunque mi giro vedo quelle CAXXO di Finestre M$ che mi fanno venire i brividi e una serie di Utonti che si fanno brillare gli occhi per il nuovo Plug-in che li fa chattare con quello del piano di sopra senza porsi mai il problema di come mai un P4 3ghz 512 di RAM si blocca una settimana per ascoltare un mp3!!!!! |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Mar 11, 2004 10:03 am Post subject: |
|
|
| primero.gentoo wrote: |
OpenVPN e' ottimo, ma solo per connessioni tra macchine Linux, una realta' che purtroppo, e sottolineo putrtoppo, non sempre e' attuabile.
|
openvpn funziona con Linux,Bsd,Windows,MacOsx,......
pero' non e' compatibile con apparati HW
Di sicuro non e' cosi' interoperabile come IPSEC pero' per esperienza personale e' una vera bomba in diverse situazioni. (bridging perfetti)
| primero.gentoo wrote: |
Freeswan credo sia morto:
|
Male 
| primero.gentoo wrote: |
Detto questo ultimamente sto dando un'occhiata ad un'altro progetto sempre basato su Ipsec :
|
Ottimo. Magari se lo provi tienici aggiornati.
Interessante il supporto incluso per NAT
| primero.gentoo wrote: |
P.S. Scusate il delirio, ma qui al lavoro dovunque mi giro vedo quelle CAXXO di Finestre M$ che mi fanno venire i brividi e una serie di Utonti che si fanno brillare gli occhi per il nuovo Plug-in che li fa chattare con quello del piano di sopra senza porsi mai il problema di come mai un P4 3ghz 512 di RAM si blocca una settimana per ascoltare un mp3!!!!! |
LOL !!!!
L'altro giorno a me hanno detto:
io non ho il desktop!!
Aspetta che chiudo coocl (google)
ciauz |
|
| Back to top |
|
|
primero.gentoo
Guru
Joined: 23 Dec 2003
Posts: 402
|
| Posted: Thu Mar 11, 2004 10:54 am Post subject: |
|
|
| xchris wrote: |
openvpn funziona con Linux,Bsd,Windows,MacOsx,......
pero' non e' compatibile con apparati HW
Di sicuro non e' cosi' interoperabile come IPSEC pero' per esperienza personale e' una vera bomba in diverse situazioni. (bridging perfetti)
|
| Quote: | Dal sito ufficiale di openVPN
2004.03.04 -- OpenVPN 1.6_rc2 released. See change log for more info. Download windows version, source tarball, source zip, or check file release signatures. |
Effettivamente .... Chiedo Venia
Ciao |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Mar 11, 2004 11:49 am Post subject: |
|
|
... unica pecca e' che non esistono apparati HW con openvpn
pasiensa
Fammi sapere se provi il nuovo Ipsec. /me molto interessato
ciao |
|
| Back to top |
|
|
MyZelF
Bodhisattva
Joined: 25 Feb 2003
Posts: 2010
Location: Venice, Italy
|
| Posted: Thu Mar 11, 2004 1:11 pm Post subject: |
|
|
Grazie a tutti per i consigli. Effettivamente ero orientato verso openswan, su cui mi sto documentando, ma anche openvpn sembra molto interessante... non mi resta che provare... vi terro' informati... 
_________________
"Larry the Cow was a bit frustrated at the current state of Linux Distributions..." |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Fri Mar 12, 2004 9:41 am Post subject: |
|
|
posso porre un quisito:
allora anche io vorrei realizzare un tunnel per rendere piu' sicura la mia wlan [e poi per fare un po' di esperienza su diverse tecnologie]
Questo 3d mi ha incuriosito/illuminato molto ma ora chiedo:
1. Come fai interagire ipsec con una macchina windows? Windows supporta ipsec? [sapete non ne so molto di quel sistema ]
2. Perche' non scegliere RADIUS server?Hai sempre dei certificati da gestire e -mi pare ma mi sto documentando - la connessione e' anch'essa cifrata.
Molto mi hanno consigliato OpenVPN pero' il traffico UDP sulla porta 5000 mi lascia un po' perplesso...
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Mar 12, 2004 10:36 am Post subject: |
|
|
| alexerre wrote: |
Molto mi hanno consigliato OpenVPN pero' il traffico UDP sulla porta 5000 mi lascia un po' perplesso... |
per quale motivo?
ciao
P.S.:la porta la setti tu dove vuoi.. |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Fri Mar 12, 2004 10:47 am Post subject: |
|
|
| xchris wrote: | per quale motivo?
ciao
P.S.:la porta la setti tu dove vuoi.. |
Uhm, questo non lo sapevo...Cmq preferirei avere un traffico "invisibile" ad un ascoltatore esterno...
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Fri Mar 12, 2004 10:52 am Post subject: |
|
|
traffico invisibile?
se il traffico c'e'... c'e'
non si scappa
ciao |
|
| Back to top |
|
|
alexerre
Apprentice
Joined: 17 Sep 2003
Posts: 267
Location: Italy
|
| Posted: Fri Mar 12, 2004 10:55 am Post subject: |
|
|
| xchris wrote: | traffico invisibile?
se il traffico c'e'... c'e'
non si scappa
ciao |
lo so purtroppo
Pero' simpatizzavo di piu' x radius o ipsec
_________________
Se segui gli altri non arriverai mai primo |
|
| Back to top |
|
|
|
Forum italiano (Italian)
