Topic: Sicurezza PPTP

[Bitto]

Salve,

ho realizzato con facilità una VPN tra SMESERVER ed un portatile con Windows XP.
Con quest'ultimo riesco ad accedere normalmente al PDC Samba.
Funziona tutto benissimo ma ho un dubbio...
Ho notato che SMESERVER utilizza di default per la VPN, il protocollo PPTP.
Ho letto però qua e là che quest'ultimo non é sicuro come IPSEC...
Come si può fare per utilizzare IPSEC su SMESERVER?
Inoltre volevo chiedere se c'è un modo per visualizzare in realtime gli utenti connessi tramite VPN...e magari fare in modo che, ogni volta che un utente si collega appunto tramite VPN, l'amministratore riceva una email con i dettagli della connessione...
Grazie

[Stefano]

Salve,

ciao

ho realizzato con facilità una VPN tra SMESERVER ed un portatile con Windows XP.
Con quest'ultimo riesco ad accedere normalmente al PDC Samba.

perfetto

Ho notato che SMESERVER utilizza di default per la VPN, il protocollo PPTP.
Ho letto però qua e là che quest'ultimo non é sicuro come IPSEC...
Come si può fare per utilizzare IPSEC su SMESERVER?

usare IPSEC su SME non è banale.. a mio parere e per mia esperienza, se la sicurezza di pptp non è per te abbastanza, puoi passare ad openvpn.. cosidera però che dovrai installare un client sui pc.. fai una ricerca nei forum e nel wiki per approfondire di più.. esiste anche un contrib per gestire la cosa

Inoltre volevo chiedere se c'è un modo per visualizzare in realtime gli utenti connessi tramite VPN...e magari fare in modo che, ogni volta che un utente si collega appunto tramite VPN, l'amministratore riceva una email con i dettagli della connessione...
Grazie

allora.. in /var/log/messages alla connessione di un client trovi una riga del tipo:

Aug 23 14:58:17 fileserver pptpd[18356]: CTRL: Client XX.XX.XX.XX control connection started

e quindi sei in grado di determinare l'ip del client..

poi in /var/log/radius/accounting.log ci sono TUTTI i dati che ti servono..

per ricevere una mail alla connessione dovresti usare un programma come swatch (google è di la ->) che controlli /var/log/messages e che, alla connessione di un client, lanci uno script che vada a leggere il file in /var/log/radius

se butti giù qualcosa, fa[cc|mm]elo sapere, grazie

Stefano

[Bitto]

Ciao, e grazie per la risposta velocissima...
Io avrei voluto utilizzare OpenVPN, infatti ho installato il contrib...configurato il server...ha funzionato subito tutto alla perfezione...
Mi sono poi fermato però...
Il problema era sul client, sul quale, pur configurando OpenVPN come servizio, mi faceva partire la connessione dopo l'avvio di Windows e quindi mi era impossibile accedere a Dominio PDC.
Sul client (ripeto un portatile), acedo ad internet tramite cellulare, quindi con connessione remota.
Per intenderci, una volta premuto CTRL-ALT-CANC, applico il segno di spunta su "Utilizza connessione remota", scelgo la connessione creata ed ho l'accesso a Dominio PDC.
OpenVPN non crea una connessione remota, cosa che invece si può fare, in Windows, naturalmente, con PPTP...
Non é che per caso esiste un metodo per farlo con OpenVPN?

[Stefano]

no, da quel che so con openvpn non lo puoi fare..

comunque sia, se hai questo tipo di esigenze, usa pptp, usa/fai usare password strong e vivi sereno.. 

Stefano che.. non è che di vpn bucate se ne senta poi parlare

[Bitto]

Grazie Stefano...

Gentile come sempre...
Ciao...

[pepz]

da quello che ho sentito il problema della sicurezza su pptp esiste solo in caso di connessioni permanenti, quindi se la vpn rimane in essere per un tempo ragionevoli , non dovresti aver problemi

[Fumetto]

...
in /var/log/messages alla connessione di un client trovi una riga del tipo:

Aug 23 14:58:17 fileserver pptpd[18356]: CTRL: Client XX.XX.XX.XX control connection started

e quindi sei in grado di determinare l'ip del client...

E' possibile impostare un'associazione tra username di accesso e IP assegnato (dalla VPN) al pc che effettua l'accesso... dall'ip risali così all'utente che ha effettuato l'accesso...

[Stefano]

E' possibile impostare un'associazione tra username di accesso e IP assegnato (dalla VPN) al pc che effettua l'accesso... dall'ip risali così all'utente che ha effettuato l'accesso...

vero, ma l'informazione comunque non la trovi AFAIR in /var/log/messages

ciao
Stefano