Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN Lan-To-Lan e certificati

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Mar Set 30, 2008 9:16 am    Oggetto: VPN Lan-To-Lan e certificati Rispondi citando

Ho messo su una VPN con ZeroShell 1.0 beta 10
Ho optato per una configurazione in Bridge, cosi' le due reti remote appartengono alla stessa subnet e cosi' la rete B puo' usufruire del dhcp delal reta A, puo' partecipare al dominio e usufruire di exchange sempre della rete A.
Per fare la VPN ho esportato il certificato X 509 del firewall A e l'ho importato nel firewall B, quindi nella configurazione di VPN00 di questo firewall ho usato il certificato importato... etutto funziona.
Poi per curiosita' ho fatto una prova: nella configurazione del firewall B nella VPN00 ho messo com certificato non piu' quello importato da A, ma ho messo il suo certificato locale (Local CA) e con mio grande stupore vedo che continua a funzionare tutto!!!!
Chi mi spiega come e' possibile?
Grazie.
Top
Profilo Invia messaggio privato
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Mer Ott 01, 2008 9:50 am    Oggetto: Re: VPN Lan-To-Lan e certificati Rispondi citando

Ora ho capito.... dopo aver importato il certificato, ho premuto il tasto generate, quindi di fatto il certificato importato dal fw A e' diventato allo stesso tempo il certificato del fw B. Quindi nella configurazione della vpn o scelgo il certificato importato o scelgo quello locale funziona lo stesso perche' sono di fatto la stessa cosa.

Ci possono essere contro indicazioni? Mi conviene rigenerare un certificato su fw B e in aggiunta importare il CA del fw A da usare solo per la vpn?

Grazie.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ott 01, 2008 9:12 pm    Oggetto: Rispondi citando

In realtą l'autenticazione X.509 di OpenVPN controlla che il certificato del peer remoto sia attendibile in base ai certificati delle CA incluse nelle [Trusted CAs]. Per determinare invece in maniera univoca il peer con cui č permessa la connessione VPN, bisogna specificare il Common Name del certificato remoto all'interno del campo "Remote CN". Nei cerificati host, il common name in genere corrisponde al hostname (FQDN).

ATTENZIONE: da quanto detto, si evince la necessitą, almeno qualora si usi Zeroshell in ambienti di produzione, di rigenerare il certificato e la chiave privata della CA integrata in Zeroshell. Infatti, la CA integrata č automaticamente una Trusted CA e quindi se si lascia il certificato di esempio generato da me, chiunque usi Zeroshell potrą stabilire una connessione VPN con la vostra LAN.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it