Il giorno 10/gen/2014, alle ore 01:19, Ennio-Sr <nasr.laili@tin.it> ha scritto: > Poco fa, rileggendo il man, sezione 'examples' ho letto che: [libera > traduzione] "prima ancora di lanciare questi esempi dovrete avere > installato openvpn su due macchine che possano essere connesse in rete > tra loro [letter. 'two machine with network connectivity between them']. > > Mi chiedo di quale 'network' si parli: una LAN, una WAN, il WEB? Se lo lan e wan sono tecnicamente la stessa cosa, cambia solo l'area di operativita' . Il web, come genericamente viene definito, e' tutto quello che passa su internet. in un certo qualsenso, e' internet stessa (anche se poi per web definiamo solo una tipologia di servizi, quando invece su internet passa talmente tanta roba che la parola web diventa un'inezia. > riferisco ad una rete domestica (LAN) mi chiedo se abbia senso, > ritenendo (erroneamente???) che il collegamento tra due PC sulla stessa > rete domestica siano già sicuri (magari con ssl). Oppure il traffico di > una rete domestica viene 'visto' anche dall'esterno? > se ragioni in termini di un pc, il pc dell'amico, hai ragione... ma in una lan con 180 pc, 25 server, svariate sotto reti suddivise magari in piu' ambienti separati tra loro da qualche chilometro.... il ragionamento fila. Mi sa che hai un po' di confusione su come funziona una rete. una lan domestica funziona come una lan pubblica, solo che e' limitata dalle mura di casa o comunque dalle limitazioni logiche che vengono imposte. Internet e' una gigantesca LAN. In base alle configurazioni che vengono applicate puo' essere vista pubblicamente o meno.... e' un gran "dipende" da applicare caso per caso. > Se invece si parla di WEB, mi chiedo se sia possibile raggiungere un PC > "A" (a valle di un router che riceve un IP dinamico da Telecom-Alice) da > un PC "B" connesso (via Wi-Fi) a Internet, ad es. tramite un > "WebCubeNew" della Tre. [E' il mio caso concreto con il quale sto > sperimentando, ma non mi riesce di raggiungere il PC "A", sebbene abbia > tolto ogni firewall (almeno così credo) al router (Netgear DG834GT). il server openvpn deve essere in qualche modo raggiungibile quindi il suo ip deve essere quanto meno fisso o utilizzare qualcosa tipo dydns per fornire un punto certo di accessibilita'. di default usa la porta 1194 UDP. pertanto se tale servizio gira dietro il router di alice o di tre.... tanto non cambia, va opportunamento aperto e configurato il router per far transitare questo tipo di traffico. ovviamente l'ip del router in questione deve essere SEMPRE raggiungibile altrimenti il client vpn a chi si collega? > > L'altra grossa curiosità (almeno per il momento) è: > il pacchetto openvpn installato su "A", ossia: > openvpn_2.1.3-2+squeeze1_i386.deb > contiene una serie di scripts che inserisce nella subdir 'easy-rsa', > mentre quello installato su "B": > openvpn_2.1.3-2+squeeze2_powerpc.deb > mette quegli scripts in /usr/share/doc/openvpn/examples/easy-rsa. > Ho manualmente creato su "B" una situazione analoga a quella presente in > "A", ma (dopo avervi naturalmente trasferito i file .crt e .key creati > in "A") ottengo un errore di autenticazione quando tento di avviare (su > "B") openvpn. > spe'. che file hai copiato? gli howto sul sito di openvpn danno ottime indicazioni: generi le chiavi per il server con tutti i vari passaggi, poi generi le chiavi per il client. sul client servono 3 chiavi (ca.key, client.key, e client.crt) e ovviamente il file openvpn.conf settato a dovere. > Infine (si fa per dire ...), quand'anche io fossi riuscito ad avviare > openvpn su entrambi i PC e questi si 'parlassero tra loro' (ping), in > che modo potrei, da "B", navigare su "A"? Potrei, forse, indicare nella > riga del browser 'http://ip-di-A' o dovrei usare (da linea di comando in > console) $ ssh "A" ? > il ping come navigare, come ssh e' qualcosa che gira sopra gli indirizzi che hai appena attivato.... quindi dipende da te cosa vuoi far fare al client e quali servizi offrire. per accedere via ssh ti server un ssh-server attivo, per fare un http.... devi avere un server web attivo....., se vuoi accedere via ftp, ti serve un server ftp attivo. Pure per il ping serve un qualcosa che risponda alle sue richieste. Essendo un protocollo di controllo, viene di fatto attivato direttamente a livello di kernel, ma a ben vedere, il ping, al pari di un FTP, gira esattamente con gli stessi requisiti, ovvero ha bisogno che tutti cio' che compone la rete sotto di lui sia perfettamente funzionante, sia essa un filo, sia che possa essere wireless, sia che possa essere una connessione basata su vpn. M.
Attachment:
signature.asc
Description: Message signed with OpenPGP using GPGMail