Italiano

E' vero hai ragione.

Se hai FASTWEB sei sicuro che la VPN è bloccata ( sono denuciabili ),
se hai Tiscali e Telecom funziona.
Funziona anche con la chiavetta Vodafone.

Aggiornamento

Sono riuscito a connettere le due box con pfsense e una connessione openvpn.
Con monowall dovrebbe andare ugualmente, proverò i prossimi giorni.
(ma monowall ha openvpn??)
Tutto funziona ma non sò se la sicurezza e le performance sono le stesse.
Come base per la configurazione ho seguito queste istruzioni

http://blog.dbtek.it/2008/05/openvpn-su-pfsense-site-to-site.html

 
Come al solito, mi sbatto contro una mezza verità.

Sono riuscito a raggiungere l'obbiettivo installando l'ultima versione
Version: 1.3b18
Release date: 08/16/2009
il problema è che tutto sembra un miracolo...
mi spiego: appena cambio una virgola (anche introducendo solo il Traffic shaper) il tunnel vpn non funziona più.
Adesso anche ripristinando le config salvate non funziona.



Mahhh

Come al solito, mi sbatto contro una mezza verità.

Sono riuscito a raggiungere l'obbiettivo installando l'ultima versione
Version: 1.3b18
Release date: 08/16/2009
il problema è che tutto sembra un miracolo...
mi spiego: appena cambio una virgola (anche introducendo solo il Traffic shaper) il tunnel vpn non funziona più.
Adesso anche ripristinando le config salvate non funziona.



Mahhh

Ciao

leggo solo ora..

tu vuoi creare una VPN Lan-Lan tramite due m0no? o pfsense e m0n0?

mi fai per cortesia un quadro di quello che hai e di quello che vuoi ottenere e NON di come stai cercando di farlo (i.e. spiega il problema, non la tua soluzione)

grazie e ciao

Stefano

Io ho due  ALIX.2D3 SYSTEM BOARD 3 LAN /1 MINIPCI /LX800 /256MB /USB  dove ho installato monowall; l'ultima release utile per queste board e  la 1.3b18.
Voglio collegare due sedi diverse del mio ufficio tramite una vpn per accedere alla stessa lan.
Essendo basata su FreeBSD, ho anche provato PFSENSE, con la quale sono riuscito a  fare questa cosa tramite OPENVPN, che in pfsense è integrato.
Io però, data la stabilità, devo usare monowall con cui voglio fare fare questa cosa tramite un  tunnel ipsec.  
Stò facendo le prove tramite la mia connettività hdsl con cui ho 16 ip statici.
I due monowall sono su due ip pubblici diversi.
Ho seguito questa guida:
http://doc.m0n0.ch/handbook/ipsec-tunnels.html

La cosa che mi fà incazzare è che seguendo la guida ero riuscito a fare questo tunnell al rientro dalle ferie, poi ho modificato un pò di cose e non andava più.
Allora ripristino le configurazioni salvate e riparte.
Faccio di nuovo qualche modifica per vedere cosa succede e di nuovo non funziona.
Per la seconda volta ripristino le configurazioni salvate ma stavolta non riparte e il tunnel non si avvia.
Dall'analisi dei log sembra che non riesca ad andare oltre la fase1 di autentificazione.

Non riesco ad interpretare il log, o meglio, penso che questi messaggi siano di informazione  e non di errore.

09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 10.0.0.1[500] used for NAT-T
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 10.0.0.1[500] used as isakmp port (fd=9)
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 151.13.146.XXX[500] used for NAT-T
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 151.13.146.XXX[500] used as isakmp port (fd=8)
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 127.0.0.1[500] used for NAT-T
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
09-14-2009   08:58:23   Daemon.Info   151.13.146.XXX   Jan  1 01:00:19 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)

Io ho due  ALIX.2D3 SYSTEM BOARD 3 LAN /1 MINIPCI /LX800 /256MB /USB  dove ho installato monowall; l'ultima release utile per queste board e  la 1.3b18.

che come dice il nome è comunque una beta

Voglio collegare due sedi diverse del mio ufficio tramite una vpn per accedere alla stessa lan.
Essendo basata su FreeBSD, ho anche provato PFSENSE, con la quale sono riuscito a  fare questa cosa tramite OPENVPN, che in pfsense è integrato.
Io però, data la stabilità, devo usare monowall con cui voglio fare fare questa cosa tramite un  tunnel ipsec.  

di che stabilità parli? pfsense è stable, m0n0 che stai usando è in beta..
inoltre openvpn è certamente più facile da gestire di ipsec

Stò facendo le prove tramite la mia connettività hdsl con cui ho 16 ip statici.
I due monowall sono su due ip pubblici diversi.

e le lan che cerchi di connettere sono diverse?

S.

che come dice il nome è comunque una beta

Si hai ragione, in effetti ho considerato monowall come "perfetta" trascurando questo fatto. Forse perchè già la uso come firewall e t.shaping e funziona benissimo. E' comunque una b16...

di che stabilità parli? pfsense è stable, m0n0 che stai usando è in beta..
inoltre openvpn è certamente più facile da gestire di ipsec

Correggimi se sbaglio, per stabilità intendo comportamenti imprevisti, comportamenti imprevisti dopo modifiche alla configurazione, blocchi del sistema senza cause apparenti.

Monowall non ha il modulo openvpn ma mi chiedo: openvpn è altrettanto stabile sicura ?

e le lan che cerchi di connettere sono diverse?

Per un tunnel ipsec, da quello che ho letto, le classi delle lan "devono" essere diverse.

Nel mio case eseguo il test tra una 10.0.0.0/24 e 192.168.87.0/24.

Comunque se non sbaglio quello che cerchi di dirmi è: ma perchè non usi pfsense ?
 

Correggimi se sbaglio, per stabilità intendo comportamenti imprevisti, comportamenti imprevisti dopo modifiche alla configurazione, blocchi del sistema senza cause apparenti.

esatto.. e tu infatti stai sperimentando problemi di stabilità con m0n0 :-)

Monowall non ha il modulo openvpn ma mi chiedo: openvpn è altrettanto stabile sicura ?

direi proprio di si.. in ogni caso una rapida ricerca su google "openvpn vs ipsec security" ti chiarirà le idee..
considera che per openvpn ci sono client per praticamente tutti i s.o. e funziona perfettamente anche dietro nat..  ;-)

Comunque se non sbaglio quello che cerchi di dirmi è: ma perchè non usi pfsense ?

non sbagli.. parliamoci chiaro: se stai semplicemente sperimentando per piacere/cultura personale è un conto.. ma se devi/vuoi mettere in produzione la cose direi che è assurdo perderci la vita..

quello che a m0n0 lo fa anche pfsense

NOTA: non sto dicendo che m0n0 non sia un buon prodotto, anzi.. io stesso lo uso dai miei clienti

Stefano

ho trovato questo documento che mi pare faccia al caso tuo

Ciao

Grazie per i chiarimenti/suggerimenti , adesso sono più convinto su pfsense (che tra l'altro a me piaceva anche di più).

La mia testa è già abbastanza rotta   e non voglio fare ulteriori danni ai miei tre neuroni..

In effetti, ho rimesso pfsense sulle due box e sono già operativo  

Andrò avanti con un pò di stress test !!

Grazie ancora per la chiacchierata !

PS: ehhm ma qui siamo sul forum di monowall !!!    adesso mi cacciano....