[MontelLUG] Comportamento "furbesco" di OpenVpn
Samuele Zanin
samuele.zanin a tiscali.it
Sab 5 Lug 2008 15:36:25 CEST
In questo pomeriggio di caldo infernale, per farvi scappare da davanti al
computer, vi pongo due domande.
Nell'eterna lotta di fare quanto pi� possibile dall'ufficio senza dover
andare in giro dai clienti, mi sono imbatturo in OpenVpn.
Qualche mese fa avevo messo s� pptpd che attualmente funziona alla grande.
Per le connessioni che invece rimangono su per giorni e settimane, volevo
passare a qualcosa di pi� sicuro tipo OpenVpn (il prossimo passo sar�
IPSEC).
La configurazione di client e server non mi ha dato grossi problemi e sembra
andare, ho solo qualche problemino con il firewall.
Il demone OpenVPN gira sulla stessa macchina che fa anche da firewall.
Per sbaglio, avevo aperto la porta TCP 1194 invece che UDP 1194 e mi sono un
po' sorpreso nel vedere che funzionava.
Ho provato a chiudere la porta TCP, riavviato la connessione e funziona.
Provato a mettere un drop sulla porta UDP 1194 e continua a funzionare.
Provato a sniffare la rete ed effettivamente le due macchine comunicano
sulla UDP 1194.
Ho provato anche a chiudere altre porte tipo ssh ed effettivamente il
traffico viene bloccato.
Pensando che fosse un problema di UDP, ho fatto la prova chiudendo e
riaprendo la porta UDP 53 del DNS.
Quando la porta era chiusa il DNS non funzionava giustamente.
Non riesco a spiegarmi come faccia openvpn a continuare a funzionare.
Sulla manpage di openvpn, fanno riferimento ad un trucco per passare
attraverso i firewall che non hanno aperta la porta 1194, attraverso
l'utilizzo del parametro --ping 15, parametro che per� io non ho attivo.
A forza di prove, ad un certo punto open vpn non funzionava pi� con il DROP
sulla porta.
Ho riabilitato la porta, si � messo a funzionare, ho richiuso la porta e ha
continuato a funzionare.
Riavviato la macchina con la porta chiusa, openvpn non funzionava.
Aperto e chiuso la porta continua a funzionare. Dopo essermi disconnesso, ho
provato ad aspettare dai 20 secondi a 5 minuti prima di riconnettermi in
alcuni casi non mi collegavo, in altri si. Quando non mi collegavo, poi
mandavo un ping al client ed ecco che ripartiva la connessione.
Io non ci capisco pi� nulla (anche se penso che il problema sia dovuto ad
una regola del firewall che permette l'ingresso delle connessioni
ESTABLISHED e RELATE (regola che comunque mi serve per altri motivi)).
P. S.: ad ogni modifica delle regole sul firewall, disconnettevo e poi
riconnettevo il client per evitare eventuali problemi con connessioni in
piedi (anche se in teoria UDP non fa connessioni).
Seconda domanda:
Perch� il client openvpn si colleghi al server, purtroppo, chiunque abbia il
file con la chiave di connessione � in grado di collegarsi.
Eventualmente pu� essere utilizzata una password, che per� deve essere
digitata al momento della connessione.
Io ho bisogno che la connessione vada su in automatico al momento dell'avvio
della macchina, quindi il sistema con la password non posso utilizzarlo.
Come fare, se la macchina in questione � amministrata oltre che da me anche
da altre societ�?
Un controllo sull'ip di partenza non pu� essere fatto, visto che il client
ha ip dinamico.
Al momento ho bloccato tutto il traffico dal client verso il server,
permettendolo solo dal server verso il client, per� se un giorno avessi
bisogno anche del contrario potrebbero cominciare i problemi.
Bisognerebbe in qualche modo criptare la chiave con qualche dato della
macchina tipo il nr. di serie dell'hd o altro.
Ciao a tutti.
More information about the montellug
mailing list