[Linux-Biella] vpn client vpn server

Fiorenza Meini fiorenza.meini a davide.it
Gio 26 Lug 2007 09:08:06 CEST 


On Thu Jul 26  8:10 , Matteo Cisilino <matteo a cisilino.com> sent:

>Alle 18:47, mercoledì 25 luglio 2007, leonardo LeOS buffa ha scritto:
>> buonasera
>> sto valutando alcune possibili soluzioni per realizzare un server
>> vpn e, ovviamente anche il software da utilizzare sugli eventuali
>> client.
>>
>> fino a oggi mi sono trovato bene con isakmpd, simpatico e discreto
>> porting del isakmp di cisco
>>
>> funziona discretamente bene seppur con alcune limitazioni (ike, gre)
>>
>> allora sto pensando: ma questo simpatico e discreto openvpn? vogliamo
>> proprio continuare a trascurarlo?
>>
>>
>> qualcuno di voi ha esperienze in merito?
>Io uso openvpn in salsa TUN da qualche anno , non ho mai avuto problemi , 
>simpatico veloce e portabile Linux | Win | *BSD | OSX magari con bsd è un po 
>duro da digerire qualcosa sembra ancora primitivo , ma accrocchiando riesci a 
>fare cose ben fatte.
>
>Il server ed il liclient sono differenziati da 2 cose , le chiavi utilizzate ( 
>ovvio ) ed il file di configurazione , per cui un client tempo 3 secondi 
>diventa un server .
>
>La creazione delle chiavi , sia lato server che client sono geswtiti da script 
>semplici ed intuitivi .
>
>Invece di girare a livello kernel , tramite AH SHA usa librerie SSL ( openssl) 
>per cui non devi riavviare quando fai qualunque cosa . 
>
>Ha un terminale di gestione raggiungibile via telnet sul server , non rompe le 
>palle se il server e/o client hanno ip dinamico .
>
>Il nat non gli rompe le palle , il server non necessita di passtrouh  , puo' 
>bindare sia la porta in ascolto che la porta di risposta dove ti pare.
>
>E' svincolato dal protocollo , UDP o TCP sono utilizzabili ( naturlamente il 
>TCP è preferibile ) .
>
>Altro fatto simpatico è il fatto che il routing lo gestisce Openvpn , te gli 
>dici dove e lui provvede a fare un push delle reti.
>
>Altra cosa molto inteteressante , è il concetto di client-to-client , ogni 
>client della subnet definita di default non vede gli altri client, ma 
>abilitanto il sopracitato c-t-c puoi far in modo che i client si vedano - cfr 
>AMACHI -
>
>di base OpenVpn usa TUN creando una VPN routata - molto facile da gestire via 
>PF o iptables- , oppure puoi usare TAP , che sfrutta il bridge mode , 
>naturalmente con le limitazioni di sicurezza(filtro) che il bridge da.
>
>Credo di aver detto tutto.
>
Anch'io utilizzo openvpn. Oltre le cose già dette, si può aggiungere il fatto che puoi fallo 
ascoltare sulla porta che vuoi, volendo anche la 443 (condividento htttps). In questo modo si 
è sicuri che il client riesca a connettersi bypassando qualsiasi filtro: l'accesso http sicuro 
dovrebbe essere sempre disponibile e non bloccato.

Fiorenza
--------- 
Per la prossima dichiarazione dei redditi si può scegliere di dare il 5 per mille dei contributi fiscali a 
Associazione Davide.it ONLUS   

Per far ciò, bisogna apporre la firma nello spazio riservato al "volontariato, organizzazioni non lucrative di utilità sociale, associazioni...", indicando anche il codice fiscale di Davide.it, che è il seguente:

97621130018

potrà essere utilizzato il modello integrativo CUD 2007 (consegnato dal datore di lavoro), oppure il modello 730-1bis redditi 2006 oppure ancora il modello unico Persone fisiche 2007. 


www.davide.it dalla parte dei bambini!

---------

Maggiori informazioni sulla lista Linux