Precedente :: Successivo |
Autore |
Messaggio |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Mar Feb 20, 2018 12:35 pm Oggetto: Wifi Poste Italiane mi Bloccava OpenVPN (risolto) :-D |
|
|
Con mio stupore ho notato che la WI-Fi Free che le poste italiane mettono a disposizione,
nelle loro sedi hanno la VPN bloccata sia Openvn che pptp e vari,
non le porte bensi credo sniffano tramite DPI o Vari il pacchetto dati e se esso corrisponde a VPN viene bloccato.
Mi sono scervellato un pò per cercare di risolvere il problema,
nascondere header e tutta la comunicazione avrei dovuto implementare un stunnel, ma ne app android ne zeroshell lo supportano.
Grazie a Paolo Colucci creatore dell'omonima app Openvpn Colucci, dalla versione Openvpn 2.4.x è stata implementata opzione tls-crypt
che in pratica cripta tutto il flusso vpn nascondendolo con chiave tls che andremo a generare e che zeroshell supporta,
avendo lo stesso Fulvio aggiornato la versione server openvpn alla release 2.4.4
Da qualunque pc genereremo tramite easy-rsa
una file .key da inserire via ftp in zs
(ho notato che questo file veniva cancellato ogni volta al riavvio macchina)
e ho trovato dove metterlo perchè esso non venisse eliminato,
mentre nelle opzioni della openvpn va inserita la voce
--tls-crypt /directory/zs.key
nel file ovpn va richiamato stesso file con
tls-cript zs.key
che va messo insieme al file ovpn
(consiglio a tutti autentificazione x509+password).
Fatto cio ritorno alla posta mi collego in wifi (non hanno nemmeno bloccato la porta 1194, ma se anche l'avessero fatto avrei richiamato la mia openvpn su porta 443 o 80)
ed ecco che per magia riesco a effettuare collegamento Openvpn criptato con zeroshell di casa mia.
per chi volesse deliziarsi nel sistemare la propria openvpn con opzione tls-crypt che a mio avviso è migliore di un stunnel anche per attacchi Dos
sarò felice di aiutarlo...
L'ultima modifica di tiger il Ven Feb 23, 2018 12:59 pm, modificato 1 volta |
|
Top |
|
 |
vincenzo
Registrato: 05/09/08 09:52 Messaggi: 36
|
Inviato: Mer Feb 21, 2018 11:47 pm Oggetto: Re: Wifi Poste Italiane mi Bloccava OpenVPN (risolto) :-D |
|
|
tiger ha scritto: | Con mio stupore ho notato che la WI-Fi Free che le poste italiane mettono a disposizione,
nelle loro sedi hanno la VPN bloccata sia Openvn che pptp e vari,
non le porte bensi credo sniffano tramite DPI o Vari il pacchetto dati e se esso corrisponde a VPN viene bloccato.
Mi sono scervellato un pò per cercare di risolvere il problema,
nascondere header e tutta la comunicazione avrei dovuto implementare un stunnel, ma ne app android ne zeroshell lo supportano.
Grazie a Paolo Colucci creatore dell'omonia app Openvpn Colucci, dalla versione Openvpn 2.4.x è stata implementata opzione tls-crypt
che in pratica cripta tutto il flusso vpn nascondendolo con chiave tls che andremo a generare e che zeroshell supporta,
avendo lo stesso Fulvio aggiornato la versione server openvpn alla release 2.4.4
Da qualunque pc genereremo tramite easy-rsa
una file .key da inserire via ftp in zs
(ho notato che questo file veniva cancellato ogni volta al riavvio macchina)
e ho trovato dove metterlo perchè esso non venisse eliminato,
mentre nelle opzioni della openvpn va inserita la voce
--tls-crypt /directory/zs.key
nel file ovpn va richiamato stesso file con
tls-cript zs.key
che va messo insieme al file ovpn
(consiglio a tutti autentificazione x509+password).
Fatto cio ritorno alla posta mi collego in wifi (non hanno nemmeno bloccato la porta 1194, ma se anche l'avessero fatto avrei richiamato la mia openvpn su porta 443 o 80)
ed ecco che per magia riesco a effettuare collegamento Openvpn criptato con zeroshell di casa mia.
per chi volesse deliziarsi nel sistemare la propria openvpn con opzione tls-crypt che a mio avviso è migliore di un stunnel anche per attacchi Dos
sarò felice di aiutarlo... |
Ciao Tiger ottima soluzione!!!
Per cortesia, puoi specificare i passaggi da fare con easy-rsa?
Grazie! |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 9:17 am Oggetto: |
|
|
@vincenzo e altri che ne faranno richiesta
la procedura per windows che nn si differenzia molto da linux è la seguente:
1) aprire prompt dos premendo Key + R
e dare comando cmd.exe
recarsi in
2) C:\Program Files\OpenVPN\easy-rsa
3) da li dare i comandi
Modifichiamo il file vars.bat con notepad o similari,
Citazione: | notepad vars.bat |
e mettiamo i parametri che vogliamo nostri le seguenti voci
Citazione: | set KEY_COUNTRY=IT
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain |
Salviamo il file vars.bat
Lanciamo ora il comando var con
Poi
fatto cio per creare la nostra key che servirà per tls crypt
basterà lanciare il comando:
Codice: | openvpn --genkey --secret zs.key |
(dove zs.key possiamo chiamarlo come vogliamo pippo.key o come volete)
prelevate il file appena creato e mettetelo in zeroshell tramite ftp
e nei parametri openvpn server mettete voce
Citazione: | --tls-crypt /directory/zs.key |
mentre per il client mettiamo la key insieme al file ovpn che andra quest'ultimo editato inserendo voce:
tls-crypt zs.key
Fine.
(notate che molti file ovpn hanno voce (comp lzo) ormai deprecata in openvpn 2.4.4
quindi sostituitela con
[code]compress lz4[code]
nel file ovpn mentre su zeroshell richiamate la voce con:
[code]--compress lz4[/code]
nei parametri aggiuntivi openvpn
avrete quindi su ZS "--tls-crypt /directory/zs.key --compress lz4"
PER LINUX INVECE
presupponendo abbiate installato il pacchetto openvpn ed easy-rsa con i comandi
apt-get install openvpn e apt-get install easy-rsa
creiamo cartella easy-rsa recandoci in openvpn
[code]cd /etc/openvpn
sudo mkdir easy-rsa[/code]
copiate easy rsa da share in openvpn/easy-rsa con il comando:
[code]cp -R /usr/share/easy-rsa/* easy-rsa/[/code]
editiamo vars.bat nella cartella openvpn con il comando
sudo nano /etc/openvpn/easy-rsa/vars
modifichiamo le voci interne come con windows
e lanciamo i comandi
[code]
cd easy-rsa/
sudo mkdir keys
sudo touch keys/index.txt
sudo echo 01 > keys/serial
sudo . ./vars
sudo set environment variables
sudo ./clean-all[/code]
infine creaimo la nostra zs.key
con il comando
[code]sudo openvpn --genkey --secret static.key[/code] |
|
Top |
|
 |
vincenzo
Registrato: 05/09/08 09:52 Messaggi: 36
|
Inviato: Gio Feb 22, 2018 10:13 pm Oggetto: |
|
|
tiger ha scritto: | @vincenzo e altri che ne faranno richiesta
la procedura per windows che nn si differenzia molto da linux è la seguente:
1) aprire prompt dos premendo Key + R
e dare comando cmd.exe
recarsi in
2) C:\Program Files\OpenVPN\easy-rsa
3) da li dare i comandi
Modifichiamo il file vars.bat con notepad o similari,
Citazione: | notepad vars.bat |
e mettiamo i parametri che vogliamo nostri le seguenti voci
Citazione: | set KEY_COUNTRY=IT
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain |
Salviamo il file vars.bat
Lanciamo ora il comando var con
Poi
fatto cio per creare la nostra key che servirà per tls crypt
basterà lanciare il comando:
Codice: | openvpn --genkey --secret zs.key |
(dove zs.key possiamo chiamarlo come vogliamo pippo.key o come volete)
prelevate il file appena creato e mettetelo in zeroshell tramite ftp
e nei parametri openvpn server mettete voce
Citazione: | --tls-crypt /directory/zs.key |
mentre per il client mettiamo la key insieme al file ovpn che andra quest'ultimo editato inserendo voce:
tls-crypt zs.key
Fine.
(notate che molti file ovpn hanno voce (comp lzo) ormai deprecata in openvpn 2.4.4
quindi sostituitela con
[code]compress lz4[code]
nel file ovpn mentre su zeroshell richiamate la voce con:
[code]--compress lz4[/code]
nei parametri aggiuntivi openvpn
avrete quindi su ZS "--tls-crypt /directory/zs.key --compress lz4"
PER LINUX INVECE
presupponendo abbiate installato il pacchetto openvpn ed easy-rsa con i comandi
apt-get install openvpn e apt-get install easy-rsa
creiamo cartella easy-rsa recandoci in openvpn
[code]cd /etc/openvpn
sudo mkdir easy-rsa[/code]
copiate easy rsa da share in openvpn/easy-rsa con il comando:
[code]cp -R /usr/share/easy-rsa/* easy-rsa/[/code]
editiamo vars.bat nella cartella openvpn con il comando
sudo nano /etc/openvpn/easy-rsa/vars
modifichiamo le voci interne come con windows
e lanciamo i comandi
[code]
cd easy-rsa/
sudo mkdir keys
sudo touch keys/index.txt
sudo echo 01 > keys/serial
sudo . ./vars
sudo set environment variables
sudo ./clean-all[/code]
infine creaimo la nostra zs.key
con il comando
[code]sudo openvpn --genkey --secret static.key[/code] |
Grazie Tiger,
in realtà io ho "aggiornato" una VPN LAN2LAN basata su autenticazione "preshared key".
Posso solo aggiungere che su entrambi i firewall, nel pannello "LAN-to-LAN", ho effettuato le seguenti modifiche:
- Gli orari dei 2 firewall devono essere sincronizzati altrimenti si ha l'errore: TLS Error: Unroutable control packet received from [AF_INET] etc...
- Nel "Tunnel configuration" l'autenticazione è stata cambiata in: X.509 (Remote CN vuota)
- In "X.509 Authentication" ho utilizzato un certificato importato tipo let's encript
- Il file ZS.key l'ho posizionato nella cartella "/Database" così non si perde al riavvio.
Lato server ho ricevuto questo messaggio di errore: WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Si può regolarmente usare il comando --cipher come indicato nel warning senza interferire nei processi di Zeroshell?
Per quanto riguarda il blocco della vpn sul sito delle Poste Italiane, posso raccontare l'esperienza della non connessione dalla Cina all'Italia, l'anno scorso, in openvpn tramite Zeroshell a causa del DPI nei firewall dello stato cinese.
Forse con questa feature aggiuntiva di openvpn si possono bypassare i loro blocchi... forse...
Saluti
Vincenzo |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 10:23 pm Oggetto: |
|
|
Per quanto riguarda il warning risolvi mettendo nelle opzioni:
Lato server:
--cipher AES-256-GCM
Lato client nel file ovpn
cipher AES-256-GCM
Ricordati di modificare comp lzo in compress lz4 in ovpn
Lato server --compress lz4
Per il problema Cina risolveresti per DPI grazie a tls-crypt
Esso cripta tutta la comunicazione quindi non si risale che sia openvpn
Potrebbero bloccare porta 1194 tipica di openvpn in Cina peró
Quindi ti toccherà impostare porta 443 su zs è su file ovpn
Fammi sapere se warning va via io messo zs.key in /DB/Key/zs.key
Ovviamente cartella Key in db creata io
L'ultima modifica di tiger il Gio Feb 22, 2018 10:32 pm, modificato 1 volta |
|
Top |
|
 |
vincenzo
Registrato: 05/09/08 09:52 Messaggi: 36
|
Inviato: Gio Feb 22, 2018 10:31 pm Oggetto: |
|
|
tiger ha scritto: | Per quanto riguarda il warning risolvi mettendo nelle opzioni:
Lato server:
--cipher AES-256-GCM
Lato client nel file ovpn
cipher AES-256-GCM
Ricordati di modificare comp lzo in compress lz4 in ovpn
Lato server --compress lz4
Per il problema Cina risolveresti per DPI grazie a tls-crypt
Potrebbero bloccare porta 1194 tipica di openvpn
Quindi ti toccherà impostare porta 443 su zs è su file ovpn
Fammi sapere se warning va via io messo zs.key in /DB/Key/zs.key
Ovviamente cartella Key in db creata io |
Ciao Tiger,
il warning è andato via, perfetto!
Per le porte, si, in caso di blocco bisogna ovviare per la 80 o 443, conosco l'antifona
Saluti
Vincenzo |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 10:34 pm Oggetto: |
|
|
Ricordati --compress lz4
Aggiungi anche --auth SHA512 su zs
Client auth SHA512
Sono felice di esserti stato di Aiuto
E soprattutto avermi capito al volo
Bravo
See you |
|
Top |
|
 |
vincenzo
Registrato: 05/09/08 09:52 Messaggi: 36
|
Inviato: Gio Feb 22, 2018 10:40 pm Oggetto: |
|
|
tiger ha scritto: | Ricordati --compress lz4
Aggiungi anche --auth SHA512 su zs
Client auth SHA512
Sono felice di esserti stato di Aiuto
E soprattutto avermi capito al volo
Bravo
See you |
Si, va benissimo!
ho inserito tutti i parametri che mi hai indicato su entrambi i firewall: --tls-crypt /Database/ZS.key --compress lz4 --cipher AES-256-GCM --auth SHA512
e funzionano senza problemi.
Grazie di tutto!
Vincenzo |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 10:44 pm Oggetto: |
|
|
Ora puoi andare in Cina e usare openvpn su porta 1194 o 443 in extremis porta 80
Buon Tutto.  |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 10:51 pm Oggetto: |
|
|
@vincenzo
Unica app android che supporta tutto ciò che abbiamo detto è VPN client e VPN client pro Colucci
Che supporta TLS crypt
Richiamarlo tramite file ovpn
VPN client pro la versione full costa 12€
Se mi mandi in privato tua email ti faccio un regalo
Così puoi usare uno smartphone android con zs |
|
Top |
|
 |
vincenzo
Registrato: 05/09/08 09:52 Messaggi: 36
|
Inviato: Gio Feb 22, 2018 11:03 pm Oggetto: |
|
|
tiger ha scritto: | @vincenzo
Unica app android che supporta tutto ciò che abbiamo detto è VPN client e VPN client pro Colucci
Che supporta TLS crypt
Richiamarlo tramite file ovpn
VPN client pro la versione full costa 12€
Se mi mandi in privato tua email ti faccio un regalo
Così puoi usare uno smartphone android con zs |
Ti ringrazio Tiger, sei veramente molto gentile ma non uso android, uso Windows mobile 10!
Quello che ho fatto passare in azienda, e credo l'abbiano presa molto bene, è l'uso di un'Orange zero da usare come mini firewall LAN2LAN soprattutto all'estero.
Ho fatto già i test e funziona bene per collegare il portatile tramite ethernet ed il cellulare/tablet tramite WiFi, il tutto con una chiavetta 4G.
L'Orange consuma veramente poco e con una piccola power bank da 4000 ci fai alcune ore di connessione aziendale in modalità veramente protetta.
Spero che queste esperienze possano servire a tutti!
Saluti
Vincenzo |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Gio Feb 22, 2018 11:08 pm Oggetto: |
|
|
Ok, non vi è niente di più bello che
Condividere esperienze, risultati raggiunti con studi.
È servito a me in primis a te e a tutti.
Metto qui un link con scadenza fra 24 ore
Per coloro che possano averne bisogno.
Solo 24 ore e con psw da chiedermi in pvt
https://www.pensierando.it/Nextcloud/index.php/s/sFSwd7XX8DNQAgY
See you
Grazie G.R.R. alias Ti@er
L'ultima modifica di tiger il Ven Feb 23, 2018 12:55 pm, modificato 1 volta |
|
Top |
|
 |
wind
Registrato: 01/11/12 09:51 Messaggi: 200
|
Inviato: Ven Feb 23, 2018 9:10 am Oggetto: |
|
|
Ragazzi,
grazie a tutti per l'ottimo lavoro....
Cosa ne dite di fare una bella pagina di recap con tutti i passaggi?
Secondo me sarebbe utile anche per chi deve affrontare il problema in un secondo momento.
Un abbraccio a tutti! |
|
Top |
|
 |
tiger
Registrato: 02/02/16 10:34 Messaggi: 443
|
Inviato: Ven Feb 23, 2018 12:57 pm Oggetto: |
|
|
wind in teoria potrei farlo,
ma dice tutto il primo post
le modifiche ulteriori sono
Codice: | --tls-crypt /Database/ZS.key --compress lz4 --cipher AES-256-GCM --auth SHA512 |
da mettere come parametri aggiuntivi su zs
e nel secondo post c'è procedura di come creare file zs.key
grazie comunque per il tuo suggerimento |
|
Top |
|
 |
|