Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

OPENVPN, captive portal con utilizzo al contrario

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tynux



Registrato: 07/06/08 13:14
Messaggi: 3

MessaggioInviato: Sab Giu 07, 2008 1:23 pm    Oggetto: OPENVPN, captive portal con utilizzo al contrario Rispondi citando

Buongiorno a tutti,
sto cercando di implementare delle VPN utilizzando
una macchina zeroshell e dei dispositivi HSDPA con windows
mobile 6 e client OpenVpn.

Domanda 1:
qualcuno è in grado di dire se 24 connessioni in contemporanea
(a prescindere dalle prestazioni della rete) sono una follia (parlo
di una applicazione web, la solita php+apache+mysql) per
zeroshell (con OPENVPN) ??
Mi è venuto il dubbio che si potrebbe "incartare" tutto...

Domanda 2 :
secondo qualcuno di voi è possibile utilizzare un captive portal
(quello di zeroshell in particolare) per un utilizzo "al contrario",
ovvero per permettere un accesso solo dopo l' autenticazione
al server web interno alla lan (dietro zeroshell)??
Sapete consigliarmi altre alternative?
Io vorrei fare in modo che, accedendo dall'esterno, non sia possibile
in alcun modo l'accesso al webserver prima di essersi
autenticati. In particolare devo fare in modo che nessuno dall'esterno
possa nemmeno visualizzare la pagina di login dell'applicazione web.

Scusate l'ignoranza, sto cercando di farmi una cultura e di imparare
dai miei esperimenti....
Grazie a tutti in anticipo!
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Sab Giu 07, 2008 1:33 pm    Oggetto: Rispondi citando

1) credo non ci siano problemi
2) perchè ti complichi la vita e non utilizzi una normale autenticazione via web? (magari facendo girare il tuo applicativo in SSL)
Top
Profilo Invia messaggio privato
tynux



Registrato: 07/06/08 13:14
Messaggi: 3

MessaggioInviato: Dom Giu 08, 2008 12:21 am    Oggetto: Rispondi citando

Innanzitutto grazie per la risposta.

BigTrumpet ha scritto:
2) perchè ti complichi la vita e non utilizzi una normale autenticazione via web? (magari facendo girare il tuo applicativo in SSL)


hem... si, pensavo che fosse possibile, solo che non saprei nemmeno da dove partire.
Il dubbio che mi rimane è:
1) posso fare in modo che l'autenticazione del client sia su una pagina (magari di zeroshell) e che
la mia applicazione web non sia assolutamente accessibile (nemmeno una
schermata di login) da chi non è autenticato prima su quella pagina?

2) i quel caso le comunicazioni tra il client e zeroshell sono criptate? tra zeroshell e il webserver pure?

in questo caso, qualcuno saprebbe indicarmi delle soluzioni-tipo (magari qualcosa della semplicità ed efficacia di zeroshell, se zeroshell già non
contemplasse queste features)???

grazie ancora e buona domenica a tutti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Giu 08, 2008 7:17 am    Oggetto: Rispondi citando

Generalmente il captive portal viene impiegato per bloccare l'accesso dalla LAN verso Internet ai client non autenticati tramite web login. In tal caso ti basta abilitare il captive portal sulla porta connessa allo switch della LAN. Ovviamente, nessuno ti vieta di applicare il captive portal sulla porta che va verso la WAN. In tal caso l'effetto sarà quello di impedire ai client esterni di accedere ai server che sono all'interno. Ciò di cui devi tener conto in quest'ultimo caso è che il captive portal non vedrebbe i MAC address, ma solo gli indirizzi IP poiché ci sono dei router in layer 3 di mezzo. Per questo motivo, dall'interfaccia web devi settare

[Captive Portal][Gateway][Client Identity]

su "Only IP address".

Ti faccio notare, che il captive portal cripta con https soltanto le informazioni di autenticazione, mentre il resto del traffico è in chiaro. Per criptare il traffico Internet<->LAN a livello 3 devi utilizzare le VPN. Zeroshell ti permette di creare VPN Host-to-LAN sia con IPSec/L2TP che OpenVPN. Quest'ultimo e' senz'altro quello più semplice ed affidabile. Esiste il client OpenVPN anche per Windows Mobile che dovrebbe fare al tuo caso. Peraltro, poiché puoi autenticare le VPN sia con username e password (RADIUS, Kerberos 5 e Active Directory) che con certificati X.509, l'uso del Captive portal potrebbe risultare superfluo.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
tynux



Registrato: 07/06/08 13:14
Messaggi: 3

MessaggioInviato: Dom Giu 08, 2008 8:01 am    Oggetto: Rispondi citando

caro Fulvio ti ringrazio.
Risposte semplici, chiarissime e concise.
Volevo essere sicuro della soluzione che avevo
individuato "a naso".
Implementerò dei tunnel Openvpn con autenticazione
tramite certificato e user+password.
Magari + avanti tenterò con Ipsec e Lt2p (WM6 ha
preinstallato quel client), per ora i test con openvpn sono
andati a buon fine.

Ti ringrazio e ti auguro buona domenica!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it