Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Wifi Poste Italiane mi Bloccava OpenVPN (risolto) :-D

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Mar Feb 20, 2018 12:35 pm    Oggetto: Wifi Poste Italiane mi Bloccava OpenVPN (risolto) :-D Rispondi citando

Con mio stupore ho notato che la WI-Fi Free che le poste italiane mettono a disposizione,
nelle loro sedi hanno la VPN bloccata sia Openvn che pptp e vari,
non le porte bensi credo sniffano tramite DPI o Vari il pacchetto dati e se esso corrisponde a VPN viene bloccato.

Mi sono scervellato un pò per cercare di risolvere il problema,
nascondere header e tutta la comunicazione avrei dovuto implementare un stunnel, ma ne app android ne zeroshell lo supportano.

Grazie a Paolo Colucci creatore dell'omonima app Openvpn Colucci, dalla versione Openvpn 2.4.x è stata implementata opzione tls-crypt
che in pratica cripta tutto il flusso vpn nascondendolo con chiave tls che andremo a generare e che zeroshell supporta,
avendo lo stesso Fulvio aggiornato la versione server openvpn alla release 2.4.4

Da qualunque pc genereremo tramite easy-rsa
una file .key da inserire via ftp in zs
(ho notato che questo file veniva cancellato ogni volta al riavvio macchina)
e ho trovato dove metterlo perchè esso non venisse eliminato,
mentre nelle opzioni della openvpn va inserita la voce

--tls-crypt /directory/zs.key

nel file ovpn va richiamato stesso file con

tls-cript zs.key

che va messo insieme al file ovpn
(consiglio a tutti autentificazione x509+password).

Fatto cio ritorno alla posta mi collego in wifi (non hanno nemmeno bloccato la porta 1194, ma se anche l'avessero fatto avrei richiamato la mia openvpn su porta 443 o 80)
ed ecco che per magia riesco a effettuare collegamento Openvpn criptato con zeroshell di casa mia.

per chi volesse deliziarsi nel sistemare la propria openvpn con opzione tls-crypt che a mio avviso è migliore di un stunnel anche per attacchi Dos
sarò felice di aiutarlo...


L'ultima modifica di tiger il Ven Feb 23, 2018 12:59 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
vincenzo



Registrato: 05/09/08 09:52
Messaggi: 33

MessaggioInviato: Mer Feb 21, 2018 11:47 pm    Oggetto: Re: Wifi Poste Italiane mi Bloccava OpenVPN (risolto) :-D Rispondi citando

tiger ha scritto:
Con mio stupore ho notato che la WI-Fi Free che le poste italiane mettono a disposizione,
nelle loro sedi hanno la VPN bloccata sia Openvn che pptp e vari,
non le porte bensi credo sniffano tramite DPI o Vari il pacchetto dati e se esso corrisponde a VPN viene bloccato.

Mi sono scervellato un pò per cercare di risolvere il problema,
nascondere header e tutta la comunicazione avrei dovuto implementare un stunnel, ma ne app android ne zeroshell lo supportano.

Grazie a Paolo Colucci creatore dell'omonia app Openvpn Colucci, dalla versione Openvpn 2.4.x è stata implementata opzione tls-crypt
che in pratica cripta tutto il flusso vpn nascondendolo con chiave tls che andremo a generare e che zeroshell supporta,
avendo lo stesso Fulvio aggiornato la versione server openvpn alla release 2.4.4

Da qualunque pc genereremo tramite easy-rsa
una file .key da inserire via ftp in zs
(ho notato che questo file veniva cancellato ogni volta al riavvio macchina)
e ho trovato dove metterlo perchè esso non venisse eliminato,
mentre nelle opzioni della openvpn va inserita la voce

--tls-crypt /directory/zs.key

nel file ovpn va richiamato stesso file con

tls-cript zs.key

che va messo insieme al file ovpn
(consiglio a tutti autentificazione x509+password).

Fatto cio ritorno alla posta mi collego in wifi (non hanno nemmeno bloccato la porta 1194, ma se anche l'avessero fatto avrei richiamato la mia openvpn su porta 443 o 80)
ed ecco che per magia riesco a effettuare collegamento Openvpn criptato con zeroshell di casa mia.

per chi volesse deliziarsi nel sistemare la propria openvpn con opzione tls-crypt che a mio avviso è migliore di un stunnel anche per attacchi Dos
sarò felice di aiutarlo...


Ciao Tiger ottima soluzione!!!
Per cortesia, puoi specificare i passaggi da fare con easy-rsa?

Grazie!
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 9:17 am    Oggetto: Rispondi citando

@vincenzo e altri che ne faranno richiesta

la procedura per windows che nn si differenzia molto da linux è la seguente:

1) aprire prompt dos premendo Key + R

e dare comando cmd.exe

recarsi in

2) C:\Program Files\OpenVPN\easy-rsa

3) da li dare i comandi

Codice:
init-config


Modifichiamo il file vars.bat con notepad o similari,

Citazione:
notepad vars.bat


e mettiamo i parametri che vogliamo nostri le seguenti voci

Citazione:
set KEY_COUNTRY=IT
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain


Salviamo il file vars.bat

Lanciamo ora il comando var con

Codice:
vars.bat


Poi

Codice:
clean-all



fatto cio per creare la nostra key che servirà per tls crypt

basterà lanciare il comando:

Codice:
openvpn --genkey --secret zs.key


(dove zs.key possiamo chiamarlo come vogliamo pippo.key o come volete)

prelevate il file appena creato e mettetelo in zeroshell tramite ftp
e nei parametri openvpn server mettete voce

Citazione:
--tls-crypt /directory/zs.key


mentre per il client mettiamo la key insieme al file ovpn che andra quest'ultimo editato inserendo voce:

tls-crypt zs.key

Fine.
(notate che molti file ovpn hanno voce (comp lzo) ormai deprecata in openvpn 2.4.4

quindi sostituitela con

[code]compress lz4[code]
nel file ovpn mentre su zeroshell richiamate la voce con:

[code]--compress lz4[/code]
nei parametri aggiuntivi openvpn

avrete quindi su ZS "--tls-crypt /directory/zs.key --compress lz4"


PER LINUX INVECE

presupponendo abbiate installato il pacchetto openvpn ed easy-rsa con i comandi

apt-get install openvpn e apt-get install easy-rsa

creiamo cartella easy-rsa recandoci in openvpn

[code]cd /etc/openvpn
sudo mkdir easy-rsa[/code]

copiate easy rsa da share in openvpn/easy-rsa con il comando:

[code]cp -R /usr/share/easy-rsa/* easy-rsa/[/code]

editiamo vars.bat nella cartella openvpn con il comando

sudo nano /etc/openvpn/easy-rsa/vars

modifichiamo le voci interne come con windows

e lanciamo i comandi

[code]
cd easy-rsa/
sudo mkdir keys
sudo touch keys/index.txt
sudo echo 01 > keys/serial
sudo . ./vars
sudo set environment variables
sudo ./clean-all[/code]

infine creaimo la nostra zs.key

con il comando

[code]sudo openvpn --genkey --secret static.key[/code]
Top
Profilo Invia messaggio privato
vincenzo



Registrato: 05/09/08 09:52
Messaggi: 33

MessaggioInviato: Gio Feb 22, 2018 10:13 pm    Oggetto: Rispondi citando

tiger ha scritto:
@vincenzo e altri che ne faranno richiesta

la procedura per windows che nn si differenzia molto da linux è la seguente:

1) aprire prompt dos premendo Key + R

e dare comando cmd.exe

recarsi in

2) C:\Program Files\OpenVPN\easy-rsa

3) da li dare i comandi

Codice:
init-config


Modifichiamo il file vars.bat con notepad o similari,

Citazione:
notepad vars.bat


e mettiamo i parametri che vogliamo nostri le seguenti voci

Citazione:
set KEY_COUNTRY=IT
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=OpenVPN
set KEY_EMAIL=mail@host.domain


Salviamo il file vars.bat

Lanciamo ora il comando var con

Codice:
vars.bat


Poi

Codice:
clean-all



fatto cio per creare la nostra key che servirà per tls crypt

basterà lanciare il comando:

Codice:
openvpn --genkey --secret zs.key


(dove zs.key possiamo chiamarlo come vogliamo pippo.key o come volete)

prelevate il file appena creato e mettetelo in zeroshell tramite ftp
e nei parametri openvpn server mettete voce

Citazione:
--tls-crypt /directory/zs.key


mentre per il client mettiamo la key insieme al file ovpn che andra quest'ultimo editato inserendo voce:

tls-crypt zs.key

Fine.
(notate che molti file ovpn hanno voce (comp lzo) ormai deprecata in openvpn 2.4.4

quindi sostituitela con

[code]compress lz4[code]
nel file ovpn mentre su zeroshell richiamate la voce con:

[code]--compress lz4[/code]
nei parametri aggiuntivi openvpn

avrete quindi su ZS "--tls-crypt /directory/zs.key --compress lz4"


PER LINUX INVECE

presupponendo abbiate installato il pacchetto openvpn ed easy-rsa con i comandi

apt-get install openvpn e apt-get install easy-rsa

creiamo cartella easy-rsa recandoci in openvpn

[code]cd /etc/openvpn
sudo mkdir easy-rsa[/code]

copiate easy rsa da share in openvpn/easy-rsa con il comando:

[code]cp -R /usr/share/easy-rsa/* easy-rsa/[/code]

editiamo vars.bat nella cartella openvpn con il comando

sudo nano /etc/openvpn/easy-rsa/vars

modifichiamo le voci interne come con windows

e lanciamo i comandi

[code]
cd easy-rsa/
sudo mkdir keys
sudo touch keys/index.txt
sudo echo 01 > keys/serial
sudo . ./vars
sudo set environment variables
sudo ./clean-all[/code]

infine creaimo la nostra zs.key

con il comando

[code]sudo openvpn --genkey --secret static.key[/code]


Grazie Tiger,
in realtà io ho "aggiornato" una VPN LAN2LAN basata su autenticazione "preshared key".
Posso solo aggiungere che su entrambi i firewall, nel pannello "LAN-to-LAN", ho effettuato le seguenti modifiche:
- Gli orari dei 2 firewall devono essere sincronizzati altrimenti si ha l'errore: TLS Error: Unroutable control packet received from [AF_INET] etc...
- Nel "Tunnel configuration" l'autenticazione è stata cambiata in: X.509 (Remote CN vuota)
- In "X.509 Authentication" ho utilizzato un certificato importato tipo let's encript
- Il file ZS.key l'ho posizionato nella cartella "/Database" così non si perde al riavvio.

Lato server ho ricevuto questo messaggio di errore: WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Si può regolarmente usare il comando --cipher come indicato nel warning senza interferire nei processi di Zeroshell?

Per quanto riguarda il blocco della vpn sul sito delle Poste Italiane, posso raccontare l'esperienza della non connessione dalla Cina all'Italia, l'anno scorso, in openvpn tramite Zeroshell a causa del DPI nei firewall dello stato cinese.
Forse con questa feature aggiuntiva di openvpn si possono bypassare i loro blocchi... forse...

Saluti

Vincenzo
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 10:23 pm    Oggetto: Rispondi citando

Per quanto riguarda il warning risolvi mettendo nelle opzioni:

Lato server:

--cipher AES-256-GCM

Lato client nel file ovpn

cipher AES-256-GCM

Ricordati di modificare comp lzo in compress lz4 in ovpn

Lato server --compress lz4

Per il problema Cina risolveresti per DPI grazie a tls-crypt
Esso cripta tutta la comunicazione quindi non si risale che sia openvpn

Potrebbero bloccare porta 1194 tipica di openvpn in Cina peró

Quindi ti toccherà impostare porta 443 su zs è su file ovpn

Fammi sapere se warning va via io messo zs.key in /DB/Key/zs.key

Ovviamente cartella Key in db creata io


L'ultima modifica di tiger il Gio Feb 22, 2018 10:32 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
vincenzo



Registrato: 05/09/08 09:52
Messaggi: 33

MessaggioInviato: Gio Feb 22, 2018 10:31 pm    Oggetto: Rispondi citando

tiger ha scritto:
Per quanto riguarda il warning risolvi mettendo nelle opzioni:

Lato server:

--cipher AES-256-GCM

Lato client nel file ovpn

cipher AES-256-GCM

Ricordati di modificare comp lzo in compress lz4 in ovpn

Lato server --compress lz4

Per il problema Cina risolveresti per DPI grazie a tls-crypt

Potrebbero bloccare porta 1194 tipica di openvpn

Quindi ti toccherà impostare porta 443 su zs è su file ovpn

Fammi sapere se warning va via io messo zs.key in /DB/Key/zs.key

Ovviamente cartella Key in db creata io



Ciao Tiger,
il warning è andato via, perfetto!
Per le porte, si, in caso di blocco bisogna ovviare per la 80 o 443, conosco l'antifona Very Happy

Saluti

Vincenzo
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 10:34 pm    Oggetto: Rispondi citando

Ricordati --compress lz4

Aggiungi anche --auth SHA512 su zs

Client auth SHA512

Sono felice di esserti stato di Aiuto

E soprattutto avermi capito al volo

Bravo
See you
Top
Profilo Invia messaggio privato
vincenzo



Registrato: 05/09/08 09:52
Messaggi: 33

MessaggioInviato: Gio Feb 22, 2018 10:40 pm    Oggetto: Rispondi citando

tiger ha scritto:
Ricordati --compress lz4

Aggiungi anche --auth SHA512 su zs

Client auth SHA512

Sono felice di esserti stato di Aiuto

E soprattutto avermi capito al volo

Bravo
See you


Si, va benissimo!
ho inserito tutti i parametri che mi hai indicato su entrambi i firewall: --tls-crypt /Database/ZS.key --compress lz4 --cipher AES-256-GCM --auth SHA512
e funzionano senza problemi.
Grazie di tutto!

Vincenzo
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 10:44 pm    Oggetto: Rispondi citando

Ora puoi andare in Cina e usare openvpn su porta 1194 o 443 in extremis porta 80

Buon Tutto. Wink
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 10:51 pm    Oggetto: Rispondi citando

@vincenzo

Unica app android che supporta tutto ciò che abbiamo detto è VPN client e VPN client pro Colucci

Che supporta TLS crypt

Richiamarlo tramite file ovpn

VPN client pro la versione full costa 12€

Se mi mandi in privato tua email ti faccio un regalo

Così puoi usare uno smartphone android con zs
Top
Profilo Invia messaggio privato
vincenzo



Registrato: 05/09/08 09:52
Messaggi: 33

MessaggioInviato: Gio Feb 22, 2018 11:03 pm    Oggetto: Rispondi citando

tiger ha scritto:
@vincenzo

Unica app android che supporta tutto ciò che abbiamo detto è VPN client e VPN client pro Colucci

Che supporta TLS crypt

Richiamarlo tramite file ovpn

VPN client pro la versione full costa 12€

Se mi mandi in privato tua email ti faccio un regalo

Così puoi usare uno smartphone android con zs


Ti ringrazio Tiger, sei veramente molto gentile ma non uso android, uso Windows mobile 10!
Quello che ho fatto passare in azienda, e credo l'abbiano presa molto bene, è l'uso di un'Orange zero da usare come mini firewall LAN2LAN soprattutto all'estero.
Ho fatto già i test e funziona bene per collegare il portatile tramite ethernet ed il cellulare/tablet tramite WiFi, il tutto con una chiavetta 4G.
L'Orange consuma veramente poco e con una piccola power bank da 4000 ci fai alcune ore di connessione aziendale in modalità veramente protetta.

Spero che queste esperienze possano servire a tutti!

Saluti

Vincenzo
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Gio Feb 22, 2018 11:08 pm    Oggetto: Rispondi citando

Ok, non vi è niente di più bello che

Condividere esperienze, risultati raggiunti con studi.

È servito a me in primis a te e a tutti.

Metto qui un link con scadenza fra 24 ore

Per coloro che possano averne bisogno.

Solo 24 ore e con psw da chiedermi in pvt

https://www.pensierando.it/Nextcloud/index.php/s/sFSwd7XX8DNQAgY

See you

Grazie G.R.R. alias Ti@er


L'ultima modifica di tiger il Ven Feb 23, 2018 12:55 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 169

MessaggioInviato: Ven Feb 23, 2018 9:10 am    Oggetto: Rispondi citando

Ragazzi,

grazie a tutti per l'ottimo lavoro....

Cosa ne dite di fare una bella pagina di recap con tutti i passaggi?

Secondo me sarebbe utile anche per chi deve affrontare il problema in un secondo momento.

Un abbraccio a tutti!
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 429

MessaggioInviato: Ven Feb 23, 2018 12:57 pm    Oggetto: Rispondi citando

wind in teoria potrei farlo,
ma dice tutto il primo post

le modifiche ulteriori sono

Codice:
--tls-crypt /Database/ZS.key --compress lz4 --cipher AES-256-GCM --auth SHA512


da mettere come parametri aggiuntivi su zs

e nel secondo post c'è procedura di come creare file zs.key

grazie comunque per il tuo suggerimento
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it