Categoria: Sfide!

Di recente ho dovuto riconfigurare un netbook Samsung NC10 che mi e' stato dato in ufficio. Ho installato ubuntu karmic senza nessun problema, tutto l'hw rilevato subito, solo qualche problema per la riconfigurazione del modem umts integrato (risolto con un fix trovato su launchpad) e i pulsanti Fn-* (risolto con un repository ppa)

La mia battaglia e' sempre, invece, con la mancanza di un client sonicwall per linux che funzioni senza tante storie. Nei miei precedenti post avevo utilizzato sia racoon che openswan. Ho provato con racoon, ma non ho capito come farlo funzionare e dopo 20 minuti l'ho scartato subito in favore di openswan, che ero gia' riuscito a farlo funzionare su linux.

Il mio problema e' che ho bisogno di una configurazione altamente dinamica poiche' potrei collegarmi attraverso una qualsiasi rete (eth0, wlan0, ppp0) e avere ovviamente un qualsiasi ip.
In precedenza la configurazione che avevo fatto andava bene solo per un pc come il mio di casa che ha ip statico ed e' sempre collegato via eth0.

Dopo una battaglia infinita con google sono riuscito a scrivere una configurazione che ricalcasse le mie esigenze :-)

ipsec.conf:

version 2.0

config setup
	nat_traversal=yes
	nhelpers=1
	interfaces=%defaultroute
	protostack=netkey
	oe=off

conn provincialan
	type=tunnel
	leftid=@GroupVPN
	left=%defaultroute
	leftsubnet=10.250.0.1/32
	leftsourceip=10.250.0.1
	leftxauthclient=yes
	right=aa.bb.cc.dd
	rightid=@0006B1033F00
	rightsubnet=10.100.0.0/16
	rightxauthserver=yes
	authby=secret
	auto=add
	auth=esp
	esp=3des-sha1
	ike=3des-sha1-modp1024
	pfs=no
	keyingtries=0
	aggrmode=yes
	keyexchange=ike

Le modifiche rispetto alla precedente configurazione sono essenzialmente 2:

%defaultroute: nella riga interfaces dice a ipsec di usare l'interfaccia che ha la default route, mentre su left indica che l'ip dal nostro lato e' quello dell'interfaccia che va su internet. Unica cosa e' che l'interfaccia deve essere gia' attiva al momento dell'avvio di ipsec. Se la connessione viene attivata in un secondo momento basta dare:

sudo invoke-rc.d ipsec restart

leftsourceip=10.250.0.1: indica un ip "virtuale" da utilizzare sull'interfaccia che viene utilizzata per ipsec, per evitare di presentarsi con il proprio ip indicato su left


La connessione viene poi attivata con:

sudo ipsec auto --up provincialan

e disattivata con

sudo ipsec auto --down provincialan

Finalmente sono riuscito ad ottenere una configurazione "universale" che si puo' usare ovunque vi sia installato openswan :-)

Categoria: Vita

_________________________SM4X_______________________

________________________presenta_____________________


___________________________


__________________END SUMMER CAMP 2K09_____________



____________________28-30 agosto 2009________________


_____________________FORTE BAZZERA_________________


___________________via Bazzera, +∞_____________


_________________Venezia-Tessera (VENEZIA)____________



[COSA] ESC è un incontro di persone interessate al Software Libero e
alla Conoscenza Libera, a Entrata Libera Il contenuto dell'evento è
in continua evoluzione e viene creato dai suoi partecipanti.

[COME] Secondo la formula MUD (Miscere Utile Dulci). Sono previsti
Seminari e Talk su vari argomenti/livelli, e momenti decisamente più
"ludici": Campeggio, Grigliata, LAN Party, etc.

[DOVE] ESC si svolge a Venezia-Tessera presso Forte Bazzera, ex
polveriera della Prima Guerra Mondiale non lontana dall'Aeroporto Marco
Polo. Planet Earth, 45°29'52''N - 12°19'51''E

[PERCHE'] Per creare un momento di aggregazione, uno scambio di
conoscenze ed esperienze tra persone che vivono il Software Libero nelle
sue diverse forme.

http://www.endsummercamp.org




Peccato, io non potro' esserci... pero' tutto promette bene in questa nuova, fighissima sede!

"Everything's Happening under the KEY..."

Si perche' non e' la stessa cosa che su linux!

Mac OS X e' uno UNIX BSD e non e' quindi dotato degli stessi strumenti di Linux con cui in precedenza ero riuscito a far andare tutto.

Su MacOS X (e in genere ho visto anche su FreeBSD e OpenBSD) esiste un programma denominato racoon che si occupa delle connessioni IPSec, in abbinata con altri programmi come setkey che svolgono funzioni specifiche.

Attraverso il tool network, pero', non e' possibile configurare connessioni IPSec standard, solamente L2TP su IPSec, che non e' pero' pienamente supportato dal Sonicwall 4060 che ho a lavoro.

Ho scelto quindi di utilizzare IPSecuritas, un programma freeware, che permette di gestire le connessioni ipsec con una semplice interfaccina grafica.

L'impresa non e' stata semplice, stavo per desistere molte volte e cedere alla spesa dei 120 euro di VPN Tracker di Equinux, che si era rivelato funzionante al primo colpo... ma oggi ci sono riuscito!

La mia configurazione di ipsecuritas per usare la connessione IPSec GroupVPN del SonicWall e':

Generale
Dispositivo IPSec: ip.sonicwall.remoto.lavoro
Lato Locale: Modalita' Host, Indirizzo IP lasciato vuoto
Lato Remoto: Modalita' Rete, Indirizzo di Rete 10.0.0.0/16

Fase 1
Tempo di vita: 28800 Secondi
Gruppo DH: 1024 (2)
Criptazione: 3DES
Autenticazione: SHA-1
Exchange Mode: Aggressive
Proposal Check: Claim
Nonce Size: 16

Fase 2
Tempo di vita: 28800 Secondi
Gruppo PFS: Nessuno
Crittografia: 3DES
Autenticazione: HMAC SHA-1

ID
Identificativo: Indirizzo
Identificativo: FQDN 0006B1XXXXXX <- Lo trovate nella scheda VPN -> Settings -> Unique Firewall Identifier
Metodo di: XAuth PSK
Chiave Prescambiata: quella che trovate nella configurazione della WAN GroupVPN -> Security Policy -> Shared Secret
Username: il vostro username (anche vuoto, vi verra' chiesto alla connessione)

DNS

Se volete qui potete configurare i DNS per la vostra rete di lavoro

Opzioni
Qui viene la parte piu' complicata su cui mi sono giocato tutto:
Selezionate:

IPSec DOI
SIT_IDENTITY_ONLY
Contatto Iniziale
Supporta Proxy
Richiedi Certificato
Verifica Certificato
Spedisci Certificato
SA Unici
Frammentazione IKE
NAT-T: Disattiva

Per chi volesse usare invece racoon da solo (tipo su FreeBSD) puo' usare questa configurazione:

log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

padding
{
        maximum_length 20;
        randomize on;
        strict_check off;
        exclusive_tail on;
}

timer
{
        counter 5;
        interval 5 seconds;
        persend 1;
        phase1 15 seconds;
        phase2 15 seconds;
}

# Connection "SonicWall"
remote ip.sonicwall.remoto.lavoro
{
        verify_cert on;
        verify_identifier off;
        initial_contact on;
        passive off;
        support_proxy on;
        generate_policy off;
        verify_cert on;
        send_cert on;
        send_cr on;
        mode_cfg off;
        ike_frag on;
        doi ipsec_doi;
        situation identity_only;
        nat_traversal off;
        exchange_mode aggressive;
        proposal_check claim;
        nonce_size 16;
        my_identifier address;
        peers_identifier fqdn "0006B1XXXXXX";
        xauth_login "nomeutente";
        proposal
        {
                lifetime time 28800 seconds;
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method xauth_psk_client;
                dh_group modp1024;
        }
}

sainfo subnet 192.168.1.14/32 any subnet 10.0.0.0/16 any
{
        lifetime time 28800 seconds;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

listen
{
        isakmp 192.168.1.14 [500];
        isakmp_natt 192.168.1.14 [4500];
        adminsock "/tmp/admin.sock";

}

Alla facciazza dei 100 e passa euro di VPN Tracker!

In questi giorni mi sono scontrato con delle persone che non capivano perche' non si dovrebbero utilizzare dei formati proprietari per i propri dati. Dopo aver spiegato e motivato ampliamente i vantaggi del formato ODF (Metodo ragionevole con buonsenso), ho scritto questo documento che espone problemi e buchi del formato proprietario di Microsoft Office (Metodo Strategia del Terrore).

Il documento si trova all'url http://www.dancetj.net/file-vari/perche-abbandonare-i-formati-proprietari.pdf/download
Se avete critiche, correzioni o modifiche da proporre contattatemi all'email che e' contenuta nel documento