Re: openvpn - alcuni dubbi [RISOLTO, con nuovi dubbi...]

[Ennio-Sr <nasr.laili@tin.it>]

Riprendo questo vecchio post per ringraziarti nuovamente: dopo aver
'studiato' un po' sono riuscito a stabilire il collegamento VPN e ad
entrare nel PC da remoto, anche con un iPad ;-)
Ma ...

* onetmt <onetmt@gmail.com> [100114, 09:09]:
> Il 10/01/2014 01:19, Ennio-Sr ha scritto:
> > 
> > Ciao a tutti!
> > 
> > Sto cercando di capire, da un punto di visto pratico, come funziona
> > [...]
> Quando avevo il router di Alice, usavo uno script che rilevava l'ip
> pubblico e - se cambiato - me lo spediva per email, mentre con Fastweb

Per ora ho preferito fare anch'io così, viste le esigenze ridotte e
sporadiche.
> > Ho manualmente creato su "B" una situazione analoga a quella presente in
> > "A", ma (dopo avervi naturalmente trasferito i file .crt e .key creati
> > in "A") ottengo un errore di autenticazione quando tento di avviare (su
> > "B") openvpn.

Avevo semplicemente pasticciato nell'indicazione dell'user.
 
> intrusione, ma richiede una procedura un po' laboriosa. In ogni caso,
> trovi una guida qui:
> 
> http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
> 

Davvero ottima: c'è tutto (o quasi) ciò che si deve sapere (a patto di
avere le idee più chiare su ciò di cui si sta parlando (e io non le
avevo!)

> [...]
> Come esempio, ti mostro i file di configurazione del server e del client
> (punto-punto semplice):
> 

Anche questa mi è stata utilissima.
> 
> In questo caso, io ho usato un tunnel tcp sulla porta 443. Se hai creato

Hai scelto  443 per motivi di sicurezza o altro?
---------------------------------

Come dicevo nel 'subject', ho avuto la soddisfazione di collegarmi ma mi
sorgono altri dubbi, questa volta sulla sicurezza:

1.= Ho fatto le prime prove creando certificati e chiavi su 'A' (un PC
    secondario della mia rete casalinga), ho copiato il client.conf su
    'C' e da quest'ultimo (collegato su altra rete) ho stabilito il
     tunnel VPN ed ho verificato che potevo accedere ad 'A' con ssh.

2.= Visto che funzionava, ho semplicemente copiato certificati e chiavi
    di cui sopra su mio PC principale 'B' (lasciando com'era il
    client.conf in 'C' ed ho visto che potevo collegarmi a 'B'

Ora mi chiedo: se qualcuno dall'esterno si impossessasse dei file di cui
sopra (ossia tutto il contenuto di 'easy-rsa' oltre a client e
server.cert), potrebbe naturalmente fare altrettanto!?

3.= Nei due file di configurazione ho inserito le righe 'user nobody' e
    'group nogroup', ma riesco egualmente a diventare 'root' dopo aver
    collegato 'C' a 'B'.
    Mi pare di aver letto che quelle istruzioni servivano ad evitare
    proprio questo. Allora, non ho capito io oppure c'è qualcosa che non
    va?

4.= Stabilito il collegamento ssh con iPad ho provato ad accedere a X,
    ovviamente senza successo. Immagino che girando l'iPad su sistema
    con caratteristiche diverse non sia possibile 
    l'<export DISPLAY=":0">, vero?

Grazie dell'attenzione, Ennio
               
-- 
[Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo.   \\?//
 Fa' qualche cosa di cui non sei capace!"  (diceva Henry Miller) ]    (°|°)
[Why use Win$ozz (I say) if ... "even a fool can do that.              )=(
 Do something you aren't good at!" (as Henry Miller used to say) ]