Re: openvpn - alcuni dubbi [RISOLTO, con nuovi dubbi...]
Riprendo questo vecchio post per ringraziarti nuovamente: dopo aver
'studiato' un po' sono riuscito a stabilire il collegamento VPN e ad
entrare nel PC da remoto, anche con un iPad ;-)
Ma ...
* onetmt <onetmt@gmail.com> [100114, 09:09]:
> Il 10/01/2014 01:19, Ennio-Sr ha scritto:
> >
> > Ciao a tutti!
> >
> > Sto cercando di capire, da un punto di visto pratico, come funziona
> > [...]
> Quando avevo il router di Alice, usavo uno script che rilevava l'ip
> pubblico e - se cambiato - me lo spediva per email, mentre con Fastweb
Per ora ho preferito fare anch'io così, viste le esigenze ridotte e
sporadiche.
> > Ho manualmente creato su "B" una situazione analoga a quella presente in
> > "A", ma (dopo avervi naturalmente trasferito i file .crt e .key creati
> > in "A") ottengo un errore di autenticazione quando tento di avviare (su
> > "B") openvpn.
Avevo semplicemente pasticciato nell'indicazione dell'user.
> intrusione, ma richiede una procedura un po' laboriosa. In ogni caso,
> trovi una guida qui:
>
> http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
>
Davvero ottima: c'è tutto (o quasi) ciò che si deve sapere (a patto di
avere le idee più chiare su ciò di cui si sta parlando (e io non le
avevo!)
> [...]
> Come esempio, ti mostro i file di configurazione del server e del client
> (punto-punto semplice):
>
Anche questa mi è stata utilissima.
>
> In questo caso, io ho usato un tunnel tcp sulla porta 443. Se hai creato
Hai scelto 443 per motivi di sicurezza o altro?
---------------------------------
Come dicevo nel 'subject', ho avuto la soddisfazione di collegarmi ma mi
sorgono altri dubbi, questa volta sulla sicurezza:
1.= Ho fatto le prime prove creando certificati e chiavi su 'A' (un PC
secondario della mia rete casalinga), ho copiato il client.conf su
'C' e da quest'ultimo (collegato su altra rete) ho stabilito il
tunnel VPN ed ho verificato che potevo accedere ad 'A' con ssh.
2.= Visto che funzionava, ho semplicemente copiato certificati e chiavi
di cui sopra su mio PC principale 'B' (lasciando com'era il
client.conf in 'C' ed ho visto che potevo collegarmi a 'B'
Ora mi chiedo: se qualcuno dall'esterno si impossessasse dei file di cui
sopra (ossia tutto il contenuto di 'easy-rsa' oltre a client e
server.cert), potrebbe naturalmente fare altrettanto!?
3.= Nei due file di configurazione ho inserito le righe 'user nobody' e
'group nogroup', ma riesco egualmente a diventare 'root' dopo aver
collegato 'C' a 'B'.
Mi pare di aver letto che quelle istruzioni servivano ad evitare
proprio questo. Allora, non ho capito io oppure c'è qualcosa che non
va?
4.= Stabilito il collegamento ssh con iPad ho provato ad accedere a X,
ovviamente senza successo. Immagino che girando l'iPad su sistema
con caratteristiche diverse non sia possibile
l'<export DISPLAY=":0">, vero?
Grazie dell'attenzione, Ennio
--
[Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?//
Fa' qualche cosa di cui non sei capace!" (diceva Henry Miller) ] (°|°)
[Why use Win$ozz (I say) if ... "even a fool can do that. )=(
Do something you aren't good at!" (as Henry Miller used to say) ]
Reply to: