Riprendo questo vecchio post per ringraziarti nuovamente: dopo aver
'studiato' un po' sono riuscito a stabilire il collegamento VPN e ad
entrare nel PC da remoto, anche con un iPad ;-)
Ma ...
* onetmt <onetmt@gmail.com> [100114, 09:09]:
> Il 10/01/2014 01:19, Ennio-Sr ha scritto:
> >
> > Ciao a tutti!
> >
> > Sto cercando di capire, da un punto di visto pratico, come funziona
> > [...]
> Quando avevo il router di Alice, usavo uno script che rilevava l'ip
> pubblico e - se cambiato - me lo spediva per email, mentre con Fastweb
Per ora ho preferito fare anch'io cosě, viste le esigenze ridotte e
sporadiche.
> > Ho manualmente creato su "B" una situazione analoga a quella presente in
> > "A", ma (dopo avervi naturalmente trasferito i file .crt e .key creati
> > in "A") ottengo un errore di autenticazione quando tento di avviare (su
> > "B") openvpn.
Avevo semplicemente pasticciato nell'indicazione dell'user.
> intrusione, ma richiede una procedura un po' laboriosa. In ogni caso,
> trovi una guida qui:
>
> http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
>
Davvero ottima: c'č tutto (o quasi) ciň che si deve sapere (a patto di
avere le idee piů chiare su ciň di cui si sta parlando (e io non le
avevo!)
> [...]
> Come esempio, ti mostro i file di configurazione del server e del client
> (punto-punto semplice):
>
Anche questa mi č stata utilissima.
>
> In questo caso, io ho usato un tunnel tcp sulla porta 443. Se hai creato
Hai scelto 443 per motivi di sicurezza o altro?
---------------------------------
Come dicevo nel 'subject', ho avuto la soddisfazione di collegarmi ma mi
sorgono altri dubbi, questa volta sulla sicurezza:
1.= Ho fatto le prime prove creando certificati e chiavi su 'A' (un PC
secondario della mia rete casalinga), ho copiato il client.conf su
'C' e da quest'ultimo (collegato su altra rete) ho stabilito il
tunnel VPN ed ho verificato che potevo accedere ad 'A' con ssh.
2.= Visto che funzionava, ho semplicemente copiato certificati e chiavi
di cui sopra su mio PC principale 'B' (lasciando com'era il
client.conf in 'C' ed ho visto che potevo collegarmi a 'B'
Ora mi chiedo: se qualcuno dall'esterno si impossessasse dei file di cui
sopra (ossia tutto il contenuto di 'easy-rsa' oltre a client e
server.cert), potrebbe naturalmente fare altrettanto!?
3.= Nei due file di configurazione ho inserito le righe 'user nobody' e
'group nogroup', ma riesco egualmente a diventare 'root' dopo aver
collegato 'C' a 'B'.
Mi pare di aver letto che quelle istruzioni servivano ad evitare
proprio questo. Allora, non ho capito io oppure c'č qualcosa che non
va?
4.= Stabilito il collegamento ssh con iPad ho provato ad accedere a X,
ovviamente senza successo. Immagino che girando l'iPad su sistema
con caratteristiche diverse non sia possibile
l'<export DISPLAY=":0">, vero?
Grazie dell'attenzione, Ennio
--
[Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?//
Fa' qualche cosa di cui non sei capace!" (diceva Henry Miller) ] (°|°)
[Why use Win$ozz (I say) if ... "even a fool can do that. )=(
Do something you aren't good at!" (as Henry Miller used to say) ]
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmaster@lists.debian.org
To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: 20140118002757.GA21232@mcm-deby.ei.hnet" target="_blank">http://lists.debian.org/20140118002757.GA21232@mcm-deby.ei.hnet