[bglug] IPCop + VPN (Lunghetto) [RISOLTO]

Simone Tiraboschi tira@sonic.it
Gio 5 Ott 2006 10:44:14 CEST 

???

Rispondo velocemente solo per fare un po' di chiarezza.

Le tecnologie usate oggi per realizzare VPN su IPv4 possono essere
classificate in tre famiglie SSL, IPSec e PPTP; queste non sono
compatibili fra loro.

IPCOP di suo usa IPSec.
IPSec è un estensione del protocollo IP progettata per aggiungere
capacità di cifratura. Dopo aver effettuato la negoziazione delle
caratteristiche di sicurezza, lo scambio delle chiavi tramite la suite
IKE e l'autenticazione mutua, vai a cifrare a livello di singolo
pacchetto IP.
Ci sono due modi di agire, transport e tunnel:
- transport cifra solo il payload del pacchetto ip. Il problema è che se
il tuo pacchetto passa da un NAT o da un NAPT (gli apparecchietti che
abbiamo in casa o in ufficio per connettere una rete ad indirizzamento
privato ad Internet e che erroneamente e superficialmente chiamiamo
tutti router) questi agiscono sul tuo header IP ed a destinazione la
verifica del checksum di sicurezza fallirà irrimediabilmente.
- tunnel invece prende il pacchetto IP nella sua interezza
(header+payload), lo cifra e lo reincapsula in un nuovo pacchetto con
header in chiaro. In questo caso non hai problemi ad attraversare un NAT
ma hai un overhead notevole.

In modalità net-to-net IPCop lavora con IPSec in tunnel.
Non hai problemi né a passare da un NAT né a passare da un qualsiasi
provider perché l'intero pacchetto orginale è cifrato e reincapsulato in
un nuovo pacchetto con header pulito.
Se la colpa fosse davvero Telecom è perché volontariamente ti vanno a
fare "dei dispetti" nella fase di scambio IKE ma onestamente fatico
davvero a crederlo!
Verifica la tua configurazione...

Se hai problemi ad usare una VPN IPSec puoi provare ad installare un VPN
SSL che è concettualmente più semplice.
Per realizzare VPN SSL su Linux è prassi usare http://openvpn.net/

C'è anche chi ha già compilato ed impacchettato tutto per IPCOP
integrandolo pure con la relativa GUI.
http://www.zerina.de/

Segui (passo passo) questo tutorial guidato ed in meno di 15 minuti
avrai la tua VPN SSL con IPCOP:
http://www.zerina.de/?q=documentation/howto-net2net

Usando OpenVPNGui (http://openvpn.se/) puoi realizzare configurazioni
roadwarriors (PC singolo che entra da solo in una VPN facendosi
assegnare un indirizzo remoto individuale) con Windows in modo molto
semplice.


ciao,

Simone



Giuseppe Giorgi ha scritto:
> Per correttezza d'informazione:
> Il problema non era ne un'errore di configurazione software, ne hardware.
> La verità, difficilissima da scovare, è che il profilo:
> "ADSL Alice Fast 5 Business" (Router Pirelli blue con smart card)
> non prevede l'implementazione di una VPN, non gira, nada, nisba!
> Il referente commerciale Telecomitalia, e circa una decina di tecnici,
> non sono stati in grado di confermarmi questa cosa.
> Ho riconfigurato ripetutamente i due IPCop (Angelo Gelmi ne sa qualcosa) 
> ma sempre senza successo, ho provato a cambiare il router e ancora 
> niente, ieri, ho attivato una nuova linea e... tutto funziona a meraviglia.
> La cosa incredibile è:
> Possibile che nessuno in Telecomitalia possa (O voglia) fornire questa 
> informazione?!
> Nessuno, cioè, NESSUNO è stato in grado di dirmi: Su questo profilo la 
> VPN non la fai.
> 
> Bah... potrei andare avanti all'infinito...
> 
> Grazie a tutti quelli che mi hanno aiutato.
> 
> Ciao, Beppe.
> 
> 
> ------------------------------------------------------------------------
> 
>

Maggiori informazioni sulla lista bglug