Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

domanda certificati CA

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fabio78



Registrato: 14/02/07 15:44
Messaggi: 2

MessaggioInviato: Gio Feb 15, 2007 11:06 am    Oggetto: domanda certificati CA Rispondi citando

Salve,
sto implementando una connessione LAN-TO-LAN, configurando due pc con zeroshell; ognuno dei due pc ha due schede di rete, su una c'è collegato un portatile, sull'altra la connessione con cavo cross dei due pc con zeroshell.

i due portatili a valle dei rispettivi pc-zeroshell hanno ip address 192.168.0.1 e 192.168.0.2, mentre le interfacce di connessione tra i pc zeroshell hanno 192.168.100.1 e 192.168.100.2.

al momento della connessione pero non riesco a far pingare i due pc-portatili.

i certificati da usare sono per entrambe le sedi, i LOCAL-CA?

oppure devo importarli?
grazie per le eventuali risposte
Top
Profilo Invia messaggio privato
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Gio Feb 15, 2007 1:41 pm    Oggetto: .. Rispondi citando

Salve,
mi sembra di aver capito che vuoi creare una vpn (lan to lan) fra 2 zeroshell...
ti volevo far notare alcune cose relative alla struttura logica prima di procedere:

le reti dietro i 2 zeroshell devono essere diverse.

ReteA ---> ZeroshellSEDE1 <----------> ZeroshellSEDE2 <--- ReteB


ReteA e ReteB non devono essere uguali ( 192.168.0.x/24) come hai impostato. piuttosto per esempio:

ReteA: 192.168.0.x/24
ReteB: 192.168.1.x/24

A questo punto, dopo aver configurato correttamente gli indirirzzi ip ed i relativi gateway sui pc di ReteA e ReteB, stabilita la VPN, dovrebbero pingarsi....

Per quanto riguarda il cavo cross fra
ZeroshellSEDE1 <----------> ZeroshellSEDE2
va bene in ambiente di test, come pure va bene che abbiano ip della stessa rete...


prova così...
Se riesci a fare della documentazione su queste prove è gradita la sua pubblicazione...

grazie
ciao
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
freddie975



Registrato: 15/02/07 11:08
Messaggi: 3

MessaggioInviato: Gio Feb 15, 2007 2:50 pm    Oggetto: Rispondi citando

sono un collega di fabio78

in realtà quello che si vuole realizzare è un bridge/vpn in modo tale da consentire ad alcuni pc sul sito A con stesso indirizzamento di qlcuni pc sul sito B, possano apparire sullo steesso troncone di rete.

in effetti abbiamo messo le interfacce eth0 e vpn0 in bridge...ed i due pc su siti diversi si pingano.


i due zeroshell sono collegati su un router che simula internet.
Top
Profilo Invia messaggio privato
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Gio Feb 15, 2007 3:47 pm    Oggetto: ok Rispondi citando

perfetto..non avevo capito..
se volete documentare quanto avete realizzato con un breve doc, molti ve ne saranno grati...
ciao
!!!!
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
freddie975



Registrato: 15/02/07 11:08
Messaggi: 3

MessaggioInviato: Gio Feb 15, 2007 4:15 pm    Oggetto: Rispondi citando

stiamo ancora testando. appena fatto vedro di aggiornarvi la cosa.

ciao
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Feb 15, 2007 11:58 pm    Oggetto: Re: domanda certificati CA Rispondi citando

fabio78 ha scritto:
Salve,
i certificati da usare sono per entrambe le sedi, i LOCAL-CA?
oppure devo importarli?


Funziona comunque purché se si importa un certificato, si importi nella sezione Trusted Certification Authority anche il certificato della CA che lo firma.
Notate poi che in tutti i casi reali (non di test) in cui si lavori con i certificati X.509 è necessario rigenerare il certificato e la chiave privata della Certification Authority di ZeroShell.
Ciò perché la chiave privata della CA di esempio
C=IT, O=Zeroshell.net, OU=Example, CN=ZeroShell Example CA/emailAddress=Fulvio.Ricciardi@zeroshell.net
presente nella ISO è utilizzabile da chiunque per creare certificati validi creando problemi di sicurezza.

Se avete tempo di documentare il vostro setup di bridge tra due LAN mediante VPN, che mi sembra molto interessante, come ha già detto Cristian la cosa è molto gradita.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
freddie975



Registrato: 15/02/07 11:08
Messaggi: 3

MessaggioInviato: Lun Feb 19, 2007 1:28 pm    Oggetto: Rispondi citando

abbiamo fatto i test e praticamente creando l'interfaccia vpn su entrambi i siti e creando il bridge tra la vpn0 e la eth0 ed attivando lo spanning-tree, abbiamo creato un prolungamento layer 2 delle due reti.

in questo modo pc che si trovano su siti diversi ma con stesso indirizzo ip non utilizzano nessun gateway per parlare con pc della loro stessa subnet..il gateway verrà utilizzato solo per parlare con altre vlan o per andare su internet.
Top
Profilo Invia messaggio privato
fabio78



Registrato: 14/02/07 15:44
Messaggi: 2

MessaggioInviato: Lun Feb 19, 2007 6:02 pm    Oggetto: Rispondi citando

Ciao Fulvio,

come ti ha detto il mio collega siamo riusciti, con la tua fantastica distribuzione, a realizzare un bridge layer 2, comprese le funzionalità dello spanning-tree, su internet.
La cosa funziona anche con i certificati digitali di default su zeroshell.
Il problema, se lo si vuol chiamare cosi, è che ovviamente mettendo in bridge ETH00 E VPN0 perdiamo la connettività https perchè si cancella l'ip address sulla scheda ETH0 e di conseguenza non si puo sfruttare la risorsa per navigare.
Con il mio collega pensavamo di risolvere la questione mettendo du box zeroshell in modo da utilizzarne uno per il bridge e uno per la navigazione.
In proposito volevo chiederti informazioni in merito alla distribuzione di zeroshell a nostri clienti.
Posso farlo?
Comunque ti contatto privatamente per discutere di queste cose.
P.S.
Stiamo lavorando per creare un documento
Ciao
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Feb 19, 2007 7:19 pm    Oggetto: Rispondi citando

Ciao,
quando metti in bridge la ETH00 con la VPN00 automaticamente si crea un'interfaccia BRIDGE00 alla quale puoi aggiungere un IP per la navigazione. La cosa più semplice da fare è creare il bridge dal menu della console. Così facendo la configurazione (IP+VLAN) della ETH00 migra automaticamente sulla BRIDGE00 e non hai perdita di connettività se non per i 15 secondi necessari al bridge per passare in FORWARD STATE.
Per ciò che riguarda l'installazione di Zeroshell presso vostri clienti, non sentitevi obbligati in nessun modo nei miei confronti. Fatelo tranquillamente.
Se scrivete un documento che descriva il vostro setup e lo mettete in rete comunicatemi l'URL così che possa creare un link nella sezione di documentazione.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it