Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Esperienze di utilizzo zeroshell, VPN a stella fra tre lan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
RiccardoD



Registrato: 14/10/08 14:27
Messaggi: 12

MessaggioInviato: Mer Mag 06, 2009 10:45 am    Oggetto: Esperienze di utilizzo zeroshell, VPN a stella fra tre lan Rispondi citando

Caro Fulvio e cari utilizzatori di zeroshell, spero di fare cosa gradita condividendo una parte dei miei test/esperienze di utilizzo sulle funzionalità VPN di zeroshell.
Chiedo scusa in anticipo se ho fatto qualche errore e vi prego di segnalarmi eventuali inesattezze, così come sono ben accetti suggerimenti/osservazioni sulle "soluzioni" adottate nel test.


Test effettuato:
Creazione di una VPN configurata in modo da far comunicare tutti i pc/dispositivi delle tre reti come fossero in una stessa unica rete, senza cambaire le classi di ip pre-esistenti nelle singole lan nè il gateway/router in uso per la connessione a internet e gli altri servizi di rete (DHCP, proxy, firewall, etc.). Nella sede centrale zeroshell deve funzionare come "concentratore VPN" sia per le connessioni roadwarrior che per il collegamento delle altre sedi.
nel test abbiamo verificato che:
1) è possibile creare una vpn fra tre reti pre-esistenti senza cambiare troppo le configurazioni locali (l'unica "modifica" è stata l'aggiunta di route statiche nei firewall pre-esistenti).
2) è possibile creare una VPN "a stella" dove una sede fa da server e le altre due da client, utilizzando una sola porta esposta su internet

Risultati e considerazioni sul test, su openvpn e su zeroshell in generale.
1) Questa ottima distribuzione ha mostrato di funzionare benissimo sia su pc che su macchina virtuale che su appliance alix.
2) Utilizzando la (e) VPN di zeroshell è stato possibile effettuare sessioni di telelavoro nelle quali la qualità dei servizi di active directory/exchange server e VOIP (centralino asterisk) è risultata eccellente, praticamente indisitnguibile da quella ottenuta in rete locale, grazie anche alla possibilità di impostare il QoS sulel interfacce VPN. Utilizziamo con soddisfazione la VPN host-to-lan da quasi un anno e quella lan2lan da qualche settimana.
3) La VPN host-to-lan roadwarrior pre-impostata in zeroshell ha mostrato di funzionare benissimo senza fare molto. Per le nostre esigenze abbiamo aggiunto il parametro client-to-client per far comunicare i client fra di loro, aggiunte le route da instradare sulla vpn (tramite tasto "net" nella config della VPN99) e utilizzato l'autenticazione con i soli certificati (era necessario che alcune macchine si riconnettessero automaticamente in caso di riavvio).
4) La configurazione di default lan2lan e la relativa interfaccia web di zeroshell è pensata per utilizzare una distinta interfaccia VPN per ogni collegamento client-server, ma è possibile creare una VPN con singola interfaccia lato server a cui si connettono più client (in pratica una configurazione simile a quella che viene usata per la vpn host-to-lan), immettendo nella interfaccia i giusti parametri .
5) Come sappiamo in zeroshell per l'autenticazione è possibile utilizzare sia i certificati X.509 (anche in combinazione con password) che una PSK (pre-shared key). La prima è più sicura, la seconda permette una configurazione più facile/immediata.E' importante secondo me ricordare che la VPN con PSK funziona anche se su uno degli endpoint la data è sbagliata (batteria di sitema non presente o scarica, e l'alix utilizzato nel nostro test era senza batteria), con i certificati invece se la data non è corretta questi vengono visti come non validi. Va data particolare attenzione anche alla data di scadenza dei certificati utilizzati per l'autenticazione, infatti zeroshell propone di default 365 giorni di validità per i certificati che crea... e a volte un anno passa prima di quanto si pensi Smile .

Descrizione del test effettuato:
Collegamento VPN routed lan2lan "a stella" fra tre sedi: sedeA: zeroshell su macchina virtuale che agisce come server, sede B: zeroshell su alix che agisce come client. Sede C: zeroshell su macchina virtuale che agisce come secondo client. Sulla stessa macchina "sedeA" era già attiva la VPN host-to-lan "roadwarrior" con il parametro --client-to-client e le route lato server necessarie a raggiungere tutte le macchine della LAN della sedeA da parte dei telelavoratori, ora possono raggiungere anche le machine nelle altre sedi.


Lato server:
Creazione VPN:
1) dalla pagina VPN cliccare su "new vpn"
2) Per collegare più lan ad una sede centrale (più VPN in configurazione a stella), aggiungere il parametro --mode server
e togliere qualunque ip da remote host (non è più un collegamento lan2lan singolo).
3) Scegliere la porta esposta su internet verso la quale avverrà la connessione delle vpn client
4) Scegliere il tipo di autenticazione (certificati x.509 o PSK). In caso si scelga PSK fare click su "gen key" e copiarsi da una parte la chiave generata che poi verrà passata ai client, non sono necessarie altre configurazioni, si può passare al setup dei client.

Preparazione client - operazioni da effettuare sul server in caso di autenticazione con certificati X.509
1) Creare un nuovo utente dalla schermata users --> add
2) Generare un certificato utente (avendo l'accortezza di cambiare la durata, impostata di default a 1 anno, pena la scadenza dopo 365 giorni del certificato e del funzionamento della vpn, in alternativa RICORDARSI di rinnovare il certificato prima della scadenza... ).
3) Esportare in formato PEM il certificato utente appena creato (contiene sia il certificato che la key utente)
4) Esportare anche la CA del server, sempre in formato PEM (si può fare dalla pagina di login dell'interfaccia web o dalla pagina X.509

Lato client:
Operazioni da effettuare sul client in caso di autenticazione con PSK:
1) Impostare ip e porta del server e settare la modalità client, quindi scegliere l'autenticazione tramite PSK e inserire nel relativo campo la chiave copiata precedentemente dal server.

Operazioni da effettuare sul client in caso di autenticazione con certificati X.509
1) Importazione della CA server fra le CA accettate come "trusted" (X.509 --> Trusted CAs --> import e quindi selezionare con "sfoglia" il CA.pem esportato precedentemente dal server).
2) Importazione di chiave e certificato utente, racchiuse entrambe nel file nomeutente.pem esportato precedentemente dal server attraverso il menu X.509 --> imported (scegliere lo stesso file nomeutente.pem sia per la chiave che per il ceritficato).
3) Impostare ip e porta del server e settare la modalità client, quindi scegliere l'autenticazione tramite certificato e scegliere il certificato utente importato.


Impostazioni route statiche lato client e lato server
L'impostazione di queste regole è stata abbastanza complessa soprattutto perché abbiamo voluto che tutti i pc di tutte le reti collegate potessero "parlarsi" liberamente fra loro, e perché nella sola sede centrale utilizziamo già 5 subnet.
Le route statiche sono state aggiunte sia nelle diverse macchine zeroshell che nei router/gateway pre-esistenti nelle 3 sedi (nella sede centrale c'è un pc con winroute, un prodotto commerciale con caratteristiche simili a zeroshell ma in ambiente windows, nella sedeB c'è un router asus con firmware DD-WRT, nella sede C un altro pc con winroute).
Mi riservo - se interessa - di aggiungere in un secondo momento la configurazione dettagliata, che non può però essere fatta senza degli schemi decenti (attualmente fatti a matita su un fogliaccio), pena la totale confusione di chi legge (e probabilmente di chi scrive Smile ).

Ciao

Riccardo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mag 06, 2009 5:51 pm    Oggetto: Rispondi citando

Riccardo, grazie del post. Se ci aggiungi la configurazione dettagliata, qualche schema e incapsuli tutto in un doc html o pdf lo pubblicherei con piacere nella sezione di documentazione come contributo.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
RiccardoD



Registrato: 14/10/08 14:27
Messaggi: 12

MessaggioInviato: Ven Mag 08, 2009 9:31 am    Oggetto: Rispondi citando

Fulvio, sono io e gli altri utilizzatori di zeroshell che ti dobbiamo tanti grazie.
Spero di poter aggiungere presto qualche schema e qualche dettaglio in un documento "finale".
Ciao
Riccardo
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it