Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Server L2TP/IPSEC e autenticazione username e password

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
leon84



Registrato: 17/03/08 22:25
Messaggi: 2

MessaggioInviato: Lun Mar 17, 2008 10:28 pm    Oggetto: Server L2TP/IPSEC e autenticazione username e password Rispondi citando

Salve,
volevo sapere se è possibile loggarsi al VPN server (L2TP/IPSEC) utilizzando come credenziali d'accesso un semplice nome utente e password anziché i certificati X.509.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mar 18, 2008 8:12 pm    Oggetto: Rispondi citando

Le VPN con L2TP/IPSec sono ottenute come combinazione di due tunnel:

- Il primo, quello piu' esterno, e' realizzato con IPSec che garantisce oltre all'autenticazione della connessione anche la cifratura del traffico. Lo scambio di chiavi necessario a cio' puo' avvenire tramite Preshared Key o con una IKE che utilizzi i certificati digitali X.509. Zeroshell non gestisce il meccanismo com PSK e pertanto l'unico modo per realizzare un tunnel IPSec e' quello di usare i certificati digitali;

- Il secondo tunnel, corrispondente ad una connessione point-to-point, viene invece realizzato con L2TP su verifica delle credenziali RADIUS che in Zeroshell sono le stesse usate da Kerberos 5.

Da queste considerazioni, si deduce, che e' necessaria la doppia autenticazione realizzata con certificati + username e password.

Proprio per evitare cio', nella 1.0.beta7 di Zeroshell ho introdotto la possibilita' di realizzare VPN host-to-LAN anche con OpenVPN che e' configurabile lato client in maniera sensibilmente piu' semplice rispetto a l2tp/ipsec e permettere di scegliere l'autenticazione tra:

- solo username e password (RADIUS, Kerberos 5 e Active Directory);
- solo certificati X.509;
- username e password + certificati X.509.


Saluti
Fulvio
Top
Profilo Invia messaggio privato
leon84



Registrato: 17/03/08 22:25
Messaggi: 2

MessaggioInviato: Mer Mar 19, 2008 10:18 am    Oggetto: Rispondi citando

Ciao Fulvio,
grazie per le delucidazioni.

Il fatto è che purtroppo utilizzo dei router HSDPA per la gestione a distanza di sensori e nel loro firmware integrano tunnel IPSEC o L2TP/IPSEC o GRE ma senza l'autenticazione a chiave asimmetrica.

Però pensavo, magari potrei provare a modificare direttamente l'ipsec.conf della tua distribuzione...pensi sia fattibile? O crea problemi al resto ?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mar 19, 2008 7:30 pm    Oggetto: Rispondi citando

Credo che non dovresti avere problemi se modifichi direttamente il template di configurazione che si trova in /root/kerbynet.cgi/template.cfg/. Ovviamente devi copiare il file modificato nel DB e poi con uno script di startup ricopiarlo nel punto giusto visto che la directory indicata e' volatile.
Lo script di startup che dovrebbe fare l'operazione di copia e' il file
/etc/rc.pre
Diversamente dallo script /etc/rc.local (che puo' essere modificato anche via web da [Setup]->[Startup]) il predetto file viene eseguito immediatamente dopo il mounting del DB di configurazione e quindi prima della partenza di tutti i daemon che forniscono i servizi.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 4:17 pm    Oggetto: Rispondi citando

Scusate se riesumo un vecchio 3ad ma sto diventando (più) matto a far funzionare windows xp con l2tp/ipsec.

La prima domanda che mi sconvolge è una: perchè un client android si autentica senza alcun certificato?

La seconda è: perchè con windows 7 mi basta installare il certificato dell'utente e tutto è ok?

Grazie per la pazienza e l'aiuto.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it