# IPSEC-TOOLS e ip header troncati e ... [PSEUDO-RISOLTO] :)

## primero.gentoo

Un Buonasera a tutto il Forum, come al solito cerco qui la risposta ad un problema che non riesco proprio a risolvere nonostante i vari google, search,man,tutorials,preghiere e ... bestemmie   :Twisted Evil: 

Sto cercando di configurare una VPN tra il mio notebook wireless e il mio firewall.

La mia configurazione e' la seguente:

Utilizzo su entrambi i dispositivi un Kernel 2.6.3 gentoo e ipsec-tools v 2.4

Ho caricato o compilato direttamente nel kernel tutti i moduli necessari: esp,ah(anche se non lo utilizzo) ,pf_key(anche se per ora sto cercando di farlo funzionare con delle stupide password precondivise).

Ho annulato il FW lasciando solamente il masquerading per essere sicuro che non sia questo a darmi problemi ma ... niente.

la situazione e' questa:

|Notebook 192.168.100.2|-----------------|192.168.100.1...FW....23.5.23.65|-----INTERNET

La configurazione di ipsec.conf sul notebook

```
#!/usr/sbin/setkey -f

flush;

spdflush;

#ESP

add 192.168.100.1 192.168.100.2 esp 15701 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";

add 192.168.100.2 192.168.100.1 esp 24501 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";

#Sec policies

spdadd 192.168.100.2 0.0.0.0/0 any -P out ipsec esp/tunnel/192.168.100.2-192.168.100.1/require;

spdadd 0.0.0.0/0 192.168.100.2 any -P in ipsec esp/tunnel/192.168.100.1-192.168.100.2/require;
```

La configurazione di ipsec.conf sul FW

```
#!/usr/sbin/setkey -f

flush;

spdflush;

#ESP

add 192.168.100.1 192.168.100.2 esp 15701 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";

add 192.168.100.2 192.168.100.1 esp 24501 -m tunnel -E 3des-cbc "123456789012345678901234" -A hmac-md5 "1234567890123456";

#Sec policies

spdadd 192.168.100.2 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.100.2-192.168.100.1/require;

spdadd 0.0.0.0/0 192.168.100.2 any -P out ipsec esp/tunnel/192.168.100.1-192.168.100.2/require;
```

Per quanto ho potuto leggere in giro dovrebbe essere giusto pero' non va', o meglio va' strano...

Riesco a pingare ovunque senza perdere nessun pacchetto, ma non riesco a fare altro. Niente HTTP, niente RSYNC (leggi emerge sync), niente di niente ... pingare e' bello , ma fino a una certa!!!

In piu' riesco a gestire in SSH il FW dal Notebook mentre la VPN e' attiva ....

CAtturando il traffico con tcpdump succede una cosa strana, ho continuamente dei pacchetti con ip header troncato, sia sul notebook che sul FW:

```

.

.

.

.(Zapata = 192.168.100.2=notebook)

.

21:23:05.929453 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1f8) (DF)

21:23:05.930078 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1f9) (DF)

21:23:05.954323 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17b)

21:23:05.954323 truncated-ip - 20 bytes missing! 192.168.100.1 > 69.0.0.176.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

21:23:05.955135 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fa) (DF)

21:23:05.955229 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17c)

21:23:05.955229 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.149.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

21:23:05.956174 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fb) (DF)

21:23:06.120987 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17d)

21:23:06.120987 truncated-ip - 16 bytes missing! 192.168.100.1 > 69.0.0.236.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

21:23:06.126595 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fc) (DF)

21:23:06.150465 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17e)

21:23:06.150465 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.213.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

21:23:06.154654 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fd) (DF)

21:23:06.178941 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x17f)

21:23:06.178941 truncated-ip - 15 bytes missing! 192.168.100.1 > 69.0.0.213.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

21:23:06.180012 Zapata > 192.168.100.1: ESP(spi=0x00005fb5,seq=0x1fe) (DF)

21:23:06.247926 192.168.100.1 > Zapata: ESP(spi=0x00003d55,seq=0x180)

21:23:06.247926 truncated-ip - 16 bytes missing! 192.168.100.1 > 69.0.0.84.adsl.snet.net: bad-hlen 12 (ipip-proto-4)

.

.

.

.

.

```

Questi ip troncati fanno si (almeno credo) che l'indirizzo invece di quello giusto diventi qualcosa di assurdo come 69.0.0.84 e via dicendo....

Ho letto di tutto ma non riesco a trovare niente e nessuno che abbia avuto gli stessi problemi.

Qualcuno ha idee?

Se non sono stato esauriente saro' felice di essere piu preciso ...

Nella speranza di vedere i miei pacchetti vagare per casa belli cifrati molto presto confido in questo pozzo di "sapienza pinguina" che e' questo Forum  :Very Happy: 

EDIT----EDIT-----EDIT

Cercando qua e la ho ottenuto qualche informazione in piu' che spero permetta a qualcuno di voi di darmi una manina .... plz  :Smile: 

Allora, pariamo dal fatto che nell'output di TCPDUMP qui sopra si nota una FLAG "DF"  che sta a indicare "Don't Fragment", cioe' che i pacchetti non vengono frammentati se eccedono la massima dimensione MTU=1500 bytes. Considerato che l'esp dovrebbe aggiungere 280 bytes ai pacchetti per l'aggiunta di due Header nell'incapsulamento e' molto probabile che in certi casi (leggi ad esempio navigazione web) il limite di 1500 bytes venga superato e quindi i pacchetti vengano scartati.

Mi sono detto, ok proviamo ad abilitare la frammentazione dei pacchetti (in barba a tutte le considerazioni riguardo alla sicurezza e ai vari tipi di DoS che si possono realizzare sfruttando questa configurazione) ma non riesco assolutamente a capire come si fa! 

Qualcuno sa darmi qualche dritta?

ho trovato tra i sorgenti del kernel due file "ip_fragmentation.c" e "ip_fragmentation.o" , ma non riesco a trovare nei menu di configurazione nessuna opzione che possa dare l'idea di abilitarli ... potrebbe essere questo il problema?

PLZ Help  :Smile: 

Ciao

Primero

----------

## primero.gentoo

Come e' che si dice ... chi fa da se fa per tre  :Smile: ))))

Diciamo che sono arrivato quasi alla soluzione , e visto che a quanto ho capito leggendo nei forum di mezzo mondo in tutte le lingue questo e' un problema che si e' presentato anche ad altra persone posto quello che ho trovato e che ha pseudo-risolto il mio problema.

Cominciamo col dire che questo messaggio lo sto scrivendo tramite Connesion con IPSEC , quindi fate vobis  :Smile: 

A quanto mi e' parso di capire il mio e' un problema che si presenta solo con certi protocolli , di cui http fa parte.

Non avendo ancora compreso completamente la natura del dilemma mi limitero' a spiegare cio' che piu' si avvicina alla soluzione.

Il problema riguarda appunto la dimensione massima che i pacchetti possono raggiungere ed in particolare il protocollo http che verso certi siti sembra avere particolari problemi. 

Con una regolina sul FW nella catena FORWARD ho settato quella che credo sia una sorta di "forzatura della massima dimensione che deve avere un pacchetto" a 1300 bytes e il tutto magicamente e' tornato a funzionare ... o quasi.

```
iptables -I FORWARD -s 0/0 -d 0/0 -p tcp --tcp-flags SYN,RST SYN

-j TCPMSS --set-mss 1300
```

Ora riesco ad utilizzare tutti i protocolli verso tutte le destinazioni esterne al mio FW e che vanno su protocollo TCP. 

Devo ancora fare molte prove per capire bene che cavolo sta succedendo.

Ad esempio non riesco ad entrare in ssh sul FW neanche impostando regole simili a questa in OUTPUT ed INPUT sia sul Laptop che sul FW, ne' ho provato ad utilizzare qualche protocollo su UDP che teoricamente dovrebbe presentare lo stesso problema.

Comunque un buon passo in avanti l'ho fatto e spero che possa tornare utile anche a qualcun'altro, in attesa di una spiegazione piu' esauriente.

EDIT----EDIT-----EDIT

http://www.linuxguruz.com/iptables/howto/2.4routing-15.html#ss15.6 In questo link (la famigerata guida al routing e via dicendo ...) c'e' una buona spiegazione del problema con le possibili soluzioni, compresa quella esposta sopra. 

Utilizzando anche l'opzione "mss" sulle rotte ho risolto il problema del collegarmi in ssh al FW, mi resta ora da provare che succede con l'UDP e affinare il tutto. 

Ciao a tutti

Primero on IPSEC. .....  :Wink: 

P.S. Scusate se la sto facendo un po' lunga e se me la sto "cantando e suonando" da solo, rispondendomi da solo come un idiota, ma ci sto perdendo talemente tanto tempo (diciamo tutto quello che mi rimane libero dal lavoro) che ho voglia di far presente i miglioramenti.

Ciauz   :Wink:  [/url]

----------

## xchris

hai un motivo particolare per voler usare IPSEC?

esistono un sacco di altre vpn mero problematiche!

ciao

----------

## primero.gentoo

Beh, l'unico motivo particolare e' che voglio capire come funziona, e poi sono affascinato dalla sua "presunta" interoperabilita' con altri sistemi ..... qualcuno direbbe che forse "ho un sacco di tempo libero" :Smile: 

Ciauz

----------

## randomaze

 *primero.gentoo wrote:*   

> P.S. Scusate se la sto facendo un po' lunga e se me la sto "cantando e suonando" da solo, rispondendomi da solo come un idiota, ma ci sto perdendo talemente tanto tempo (diciamo tutto quello che mi rimane libero dal lavoro) che ho voglia di far presente i miglioramenti.
> 
> Ciauz   [/url]

 

Io sto leggendo... non intervengo perché non saprei cosa dire ma leggo interessato  :Wink: 

P.S. ip_fragmentation.o é la versione compilata di ip_fragmentation.c quindi in realtà si tratta di un file solo.

----------

## xchris

 *primero.gentoo wrote:*   

> Beh, l'unico motivo particolare e' che voglio capire come funziona, e poi sono affascinato dalla sua "presunta" interoperabilita' con altri sistemi ..... qualcuno direbbe che forse "ho un sacco di tempo libero"
> 
> Ciauz

 

Lungi da me dirti:"Stai perdendo tempo!"  :Very Happy: 

Io faccio esattamente come te (anche per stupidate e questa non lo e' di certo)

Ti chiedevo "perche' IPSEC?" poiche' pur avendo buona interoperabilita' (non testata personalmente) introduce spesso problematiche che altri tipi di Vpn non hanno. (Leggi - passare dal Nat senza dover patchare qua e la')

ciao e buon lavoro

P.S.: cmq sei incappato nel tipico problema di mtu delle vpn  :Smile: 

----------

## Ginko

 *primero.gentoo wrote:*   

> Come e' che si dice ... chi fa da se fa per tre ))))

 

e come dimostri tu, impara molto  :Wink: 

 *primero.gentoo wrote:*   

> Il problema riguarda appunto la dimensione massima che i pacchetti possono raggiungere ed in particolare il protocollo http che verso certi siti sembra avere particolari problemi. 

 

Credo che di default la MTU della rete sia impostata a 1500 bytes, se i pacchetti sono piu' grandi essi vengono fragmentati in piu' tronconi. Questo non comporta normalmente alcun problema ma le cose cambiano, come hai potuto verificare tu, con ipsec.

Il fatto e' che ipsec imposta di default la MTU molto alta (credo 16260) ossia una cifra nettamente superiore alla MTU di rete. Cio' fa si che i pacchetti ipsec non vengano fragmentati prima di essere processati da... ipsec appunto ma solo nel momento in cui arrivano alla rete e questo puo' causare problemi.

La soluzione da adottare sembra essere quindi quella di impostare la MTU di ipsec ad un valore inferiore alla MTU della rete. Di quanto minore? Poiche' ipsec aggiunge un header ed incapsula i dati facendo diventare il pacchetto cifrato piu' grande dell'originale, la MTU di ipsec dovra' essere al massimo uguale a MTUrete meno dim. header ipsec. Tipicamente un valore di 1400 dovrebbe essere sufficiente.

L'impostazione della MTU di ipsec si fa tramite la direttiva :

```
overridemtu=1400
```

 del file ipsec.conf.

Spero che questo risolva completamente il tuo problema.

Saluti

--Gianluca

----------

## primero.gentoo

 *Ginko wrote:*   

> 
> 
> Il fatto e' che ipsec imposta di default la MTU molto alta (credo 16260) ossia una cifra nettamente superiore alla MTU di rete.
> 
> L'impostazione della MTU di ipsec si fa tramite la direttiva :
> ...

 

Beh, questa si che un'informazione d'oro!!!

ORa non posso provarlo perche' sono al lavoro e la VPN e' a casa sola soletta ... ma se quello che dici e' giusto dovrebbe essere proprio la soluzione completa al mio problema  :Smile: 

Stasera provo e ti ringrazio !!!

Ciauz

P.s: Dove hai preso quest'informazione??? mi sto leggendo RFC dopo aver letto tutto cio' che ho trovato ma non avevo letto nulla a riguardo. 

percaso "man ipsec.conf"?

Ciao

----------

## primero.gentoo

 *randomaze wrote:*   

> 
> 
> P.S. ip_fragmentation.o é la versione compilata di ip_fragmentation.c quindi in realtà si tratta di un file solo.

 

Pero' non dovrebbe essere un modulo per kernel 2.6 perche' non ha estensione .ko, giusto? e poi non me lo trovo nella directory dei moduli ma in quella dei sorgenti ....  e dove cavolo sta l'opzione nel menu di conf??   :Rolling Eyes: 

Cia!

Priemero

----------

## Ginko

 *primero.gentoo wrote:*   

> P.s: Dove hai preso quest'informazione??? mi sto leggendo RFC dopo aver letto tutto cio' che ho trovato ma non avevo letto nulla a riguardo. percaso "man ipsec.conf"?

 

Come hai fatto ad indovinare ?  :Very Happy:  Cmq per maggiori info quarda pure qui.

--Gianluca

----------

## MyZelF

 *xchris wrote:*   

> esistono un sacco di altre vpn mero problematiche!
> 
> 

 

...tipo? PPTP?  :Confused: 

Sono decisamente profano in tema VPN, ma volevo fare qualche esperimento per accedere dall'esterno alla LAN casalinga. Qualche suggerimento?

----------

## Ginko

 *MyZelF wrote:*   

>  *xchris wrote:*   esistono un sacco di altre vpn mero problematiche!
> 
>  
> 
> ...tipo? PPTP? 
> ...

 

SSH! Con proxytunnel e' persino possibile usarlo tramite proxy HTTPs.

--Gianluca

----------

## primero.gentoo

 *MyZelF wrote:*   

>  *xchris wrote:*   esistono un sacco di altre vpn mero problematiche!
> 
>  
> 
> ...tipo? PPTP? 
> ...

 

Io mi ero avvicinato anche ad OpenVPN che sembra essere Robusto e allo stesso tempo semplice, lo trovi nel portage ed e' supportato direttamente anche da Shorewall. Mi sembra che si basi su OpenSSL sia per quanto riguarda la generazione dei Certificati, cosa che fa anche IPsec, sia per quanto riguarda l'encrypting. L'ho abbandonato solo per il discorso dell'interoperabilita'.

Se non ti serve una Cifratura totale su tutto il traffico IP , ma esclusivamente una cifratura per certi protocolli puoi provare con

STunnel

AESop

oppure SSH con il Port Forwarding.

Tutti e tre ti permettono di fare il tunneling di qualunque protocollo , non so se limitato pero' al TCP , atraverso un canale cifrato.

Io ho giocato un po con AESop qualche tempo fa per cifrare una condivisione in NFS di un FS e devo dire che mi aveva ben impressionato, soprattutto per la gestione dinamica delle chiavi di sessione.

Di soluzioni ce ne sono a bizzeffe ... ma IPSEC e' veramente una POTENZA!!!

Ciao ciao

Primero

----------

## comio

ed un ppp over ssh che ne dite  :Smile:  ?

----------

## xchris

--ppp over ssh da scartare --> http://sites.inka.de/sites/bigred/devel/tcp-tcp.html

--openvpn -- OTTIMO --passa dal Nat,molto stabile,la mia preferita,nessun supporto nel kernel richiesto (solo modulo tun/tap),supporto nativo per connessioni con peer che cambiano IP,client e server su diverse piattaforme interoperabili

--freeswan -- soluzione ipsec -- Molto stabile,Richiede supporto nel kernel ed e' problematica con il NAT (esistono patch varie)

--Cipe       -- passa dal nat - richiede TUN/TAP (provata ma non a fondo)

-SSH + PortForwarding -- Non e' una Vpn ma per applicazioni semplici e' un ottima soluzione (solo TCP, io la uso ogni giorno per far passare traffico Vnc sicuro)

--pptpd da scartare. Insicura.(mamma M$) Client incluso in Win2k,WinXP

   (non passa da tutti i nat causa protocollo GRE)

--vtun -- Non provata ma ne ho sempre sentito parlare bene.

Ne esistono molte altre ma queste sono le + utilizzate.

Con questo Myzelf ti consiglio vivamente Openvpn! Non ti deludera'.

ciao

----------

## primero.gentoo

 *xchris wrote:*   

> 
> 
> --openvpn -- OTTIMO --passa dal Nat,molto stabile,la mia preferita,nessun supporto nel kernel richiesto (solo modulo tun/tap),supporto nativo per connessioni con peer che cambiano IP,client e server su diverse piattaforme interoperabili
> 
> --freeswan -- soluzione ipsec -- Molto stabile,Richiede supporto nel kernel ed e' problematica con il NAT (esistono patch varie)
> ...

 

OpenVPN e' ottimo, ma solo per connessioni tra macchine Linux, una realta' che purtroppo, e sottolineo putrtoppo, non sempre e' attuabile.

Freeswan credo sia morto:

 *Quote:*   

> FreeS/WAN is no longer in active development. Although we've created a solid IPsec implentation widely used to construct Virtual Private Networks, the project's major goal, ubiquitous Opportunistic Encryption, is unlikely to be reached given its current level of community support.

 

Detto questo ultimamente sto dando un'occhiata ad un'altro progetto sempre basato su Ipsec : OpenSWAN , un forking del progetto FreeSWAN che e' in uno sviluppo molto attivo e include certe caratteristiche , come il NAT, XAUTH che richiedevano Patching precedentemente.

Detto cio' io rimango dell'idea che IPSEC, nonostante l'inconfutabile complessita' della configurazione (sicuramente esagerata rispetto alla grande necessita' di connesioni sicure anche da parte di persone non tecnicamente cosi' preparate) resti la scelta' migliore in termini di potenzialita' e soddisfazione non solo in ambienti eterogenei ma anche in sistemi esclusivamente LINUX, come dimostrato dal grande numero di implementazioni disponibili e dall'enorme community presente sulla rete.

Con questo non voglio assolutamente criticare altri progetti come ad esempio OpenVPN che offre Prestazioni OTTIME e sicure in cambio di uno sforzo sicuramente Minore. 

Un progetto Ben realizzato che ancora una volta dimostra quale siano le potenzialita' di un mondo informatico Open Source=Stimolante che come sempre mette a disposizioni varie soluzioni per lo stesso problema, lasciando all'utente la possibilita' di scelta , cosa di cui molti stanno perdendo di vista l'importanza in questa societa' che sempre piu' si indirizza verso una realta' di "svolte obbligate", e dando sempre nuove spinte alla voglia di conoscere e di imparare, una delle poche liberta' che ci rimangono e ci migliorano. 

Gentoo Rulez the world, Tux Wants You...  :Twisted Evil: 

Ciauz 

Primero

P.S. Scusate il delirio, ma qui al lavoro dovunque mi giro vedo quelle CAXXO di Finestre M$ che mi fanno venire i brividi e una serie di Utonti che si fanno brillare gli occhi per il nuovo Plug-in che li fa chattare con quello del piano di sopra senza porsi mai il problema di come mai un P4 3ghz 512 di RAM si blocca una settimana per ascoltare un mp3!!!!!

----------

## xchris

 *primero.gentoo wrote:*   

> 
> 
> OpenVPN e' ottimo, ma solo per connessioni tra macchine Linux, una realta' che purtroppo, e sottolineo putrtoppo, non sempre e' attuabile.
> 
> 

 

openvpn funziona con Linux,Bsd,Windows,MacOsx,......

pero' non e' compatibile con apparati HW

Di sicuro non e' cosi' interoperabile come IPSEC pero' per esperienza personale e' una vera bomba in diverse situazioni. (bridging perfetti)

 *primero.gentoo wrote:*   

> 
> 
> Freeswan credo sia morto:
> 
> 

 

Male  :Sad: 

 *primero.gentoo wrote:*   

> 
> 
> Detto questo ultimamente sto dando un'occhiata ad un'altro progetto sempre basato su Ipsec :
> 
> 

 

Ottimo. Magari se lo provi tienici aggiornati.  :Smile: 

Interessante il supporto incluso per NAT

 *primero.gentoo wrote:*   

> 
> 
> P.S. Scusate il delirio, ma qui al lavoro dovunque mi giro vedo quelle CAXXO di Finestre M$ che mi fanno venire i brividi e una serie di Utonti che si fanno brillare gli occhi per il nuovo Plug-in che li fa chattare con quello del piano di sopra senza porsi mai il problema di come mai un P4 3ghz 512 di RAM si blocca una settimana per ascoltare un mp3!!!!!

 

LOL !!!!

L'altro giorno a me hanno detto: 

io non ho il desktop!!

Aspetta che chiudo coocl (google)

ciauz  :Smile: 

----------

## primero.gentoo

 *xchris wrote:*   

> 
> 
> openvpn funziona con Linux,Bsd,Windows,MacOsx,......
> 
> pero' non e' compatibile con apparati HW
> ...

 

 *Quote:*   

> Dal sito ufficiale di openVPN
> 
> 2004.03.04 -- OpenVPN 1.6_rc2 released. See change log for more info. Download windows version, source tarball, source zip, or check file release signatures.

 

Effettivamente .... Chiedo Venia  :Smile: 

Ciao

----------

## xchris

... unica pecca e' che non esistono apparati HW con openvpn  :Smile: 

pasiensa 

Fammi sapere se provi il nuovo Ipsec. /me molto interessato

ciao

----------

## MyZelF

Grazie a tutti per i consigli. Effettivamente ero orientato verso openswan, su cui mi sto documentando, ma anche openvpn sembra molto interessante... non mi resta che provare... vi terro' informati...   :Cool: 

----------

## alexerre

posso porre un quisito: 

allora anche io vorrei realizzare un tunnel per rendere piu' sicura la mia wlan [e poi per fare un po' di esperienza su diverse tecnologie]

Questo 3d mi ha incuriosito/illuminato molto ma ora chiedo:

1. Come fai interagire ipsec con una macchina windows? Windows supporta ipsec? [sapete non ne so molto di quel sistema   :Cool:  ]

2. Perche' non scegliere RADIUS server?Hai sempre dei certificati da gestire e -mi pare ma mi sto documentando - la connessione e' anch'essa cifrata.

Molto mi hanno consigliato OpenVPN pero' il traffico UDP sulla porta 5000 mi lascia un po' perplesso...

----------

## xchris

 *alexerre wrote:*   

> 
> 
> Molto mi hanno consigliato OpenVPN pero' il traffico UDP sulla porta 5000 mi lascia un po' perplesso...

 

per quale motivo?

ciao

P.S.:la porta la setti tu dove vuoi..

----------

## alexerre

 *xchris wrote:*   

> per quale motivo?
> 
> ciao
> 
> P.S.:la porta la setti tu dove vuoi..

 

Uhm, questo non lo sapevo...Cmq preferirei avere un traffico "invisibile" ad un ascoltatore esterno...

----------

## xchris

traffico invisibile?

se il traffico c'e'... c'e'  :Smile: 

non si scappa  :Smile: 

ciao

----------

## alexerre

 *xchris wrote:*   

> traffico invisibile?
> 
> se il traffico c'e'... c'e' 
> 
> non si scappa 
> ...

 

lo so purtroppo  :Confused: 

Pero' simpatizzavo di piu' x radius o ipsec  :Rolling Eyes:   :Wink: 

----------

## xchris

si ok ... i gusti sono gusti..

pero' qualunque vpn tu usi.. il traffico non e' invisibile!

E' criptato ma non invisibile.

Ciao

P.S.: cmq radius e' un'altra cosa!

 *Home page freeradius wrote:*   

> 
> 
> FreeRADIUS Server or freeradius is a daemon for un*x operating
> 
> systems which allows one to set up (guess what!) a radius protocol server, 
> ...

 

----------

## alexerre

Si si oki  :Wink: 

E' pero' una delle soluzioni per l'(in)sicurezza del wep nelle reti wireless  :Smile: 

Anche se sto rivalutando molto le VPN..Questa discussione e' stata molto costruttiva  :Very Happy: 

----------

## xchris

si e' vero! pure io dovro' metterci mano per colpa del Wep.

Anche se la miglior cosa secondo me e' usare una bella vpn.

Magari si puo' pensare ad un wep blando + vpn.

O altrimenti zero wep + vpn! (migliori performance)

Chi si colleghera' (senza wep) pensera' di essere dentro e vedra' solo il firewall davanti. (presenza che c'e' anche su internet)

Per bloccare gli acarozzi in erbissima basta non mettere il dhcp server LOL.

ciao

----------

## alexerre

 *xchris wrote:*   

> 
> 
> Per bloccare gli acarozzi in erbissima basta non mettere il dhcp server LOL.
> 
> 

 

 :Laughing: 

vero  :Wink: 

----------

## primero.gentoo

 *xchris wrote:*   

> 
> 
> O altrimenti zero wep + vpn! (migliori performance)
> 
> 

 

Assolutissimamente anche io per questa soluzione, tanto con una VPN ben configurata il WEP diventa inutile , anzi diventa un peso per il Laptop.

Devo dire di essermi leggermente ricreduto dall'inizio del 3d sul discorso IPSEC vs OpenVPN.

Ho dovuto sudare 18,546,234,543 camicie per far funzionare IPSEC in maniera discreta ... ma che soddisfazione!!! Sicuramente con OpenVPN avrei potuto passare piu' tempo all'aria aperta  :Smile: 

Vorrei sapere se qualcuno sta utilizzando FreeSWAN o suoi fork con il kernel 2.6 e magari avere qualche info su come va. Io sto usando Ipsec-tools (tra l'altro sul sito si trova la versione 0.3rc1 ... speriamo presto anche nel portage ) ma volevo valutare delle alternative.

Volendo lancierei anche uno Pseudo-Poll ... voi che algoritmo usate per la chiave di sessione? e perche'?  :Smile: 

Per ora la mia scelta e' stata dettata solo dal nome per mancanza di tempo per la dovuta documentazione, cmq sto usando "twofish". La Cpu non sembra soffrirne tanto ma vorrei fare dei benchmark per una valutazione piu' seria. (qualche consiglio a riguardo? )

Ciao

Primero

----------

