IPFire Italia - Network

Utilizzo di più di un IP pubblico sulla Wan

il quesito è molto semplice ed anche la soluzione.

Se disponi di più indirizzi IP per la tua connessione WAN, puoi utilizzarli tutti creando degli alias.

Ad esempio, supponiamo che tu abbia un blocco di cinque indirizzi IP statici dal tuo ISP:

xxx.xxx.xxx.100
xxx.xxx.xxx.101
xxx.xxx.xxx.102
xxx.xxx.xxx.103
xxx.xxx.xxx.104

Per prima cosa configura la tua interfaccia Red con il primo indirizzo: xxx.xxx.xxx.100utilizzando il programma di installazione sulla console (setup).

Non dimenticare di specificare il gateway e i server DNS!

se la configurazione è stata eseguita correttamente, la tua scheda di rete Red funzionare correttamente, ma per far si che gli utenti esterni possano conettersial sistema utilizando gli altri indirizzi IP si deve eseguire una configurazione aggiuntiva

Per abilitare gli indirizzi rimanenti, attenersi alla seguente procedura:

Accedi alla GUI IPFire.
Fare clic sulla scheda "Rete".
Nel menu a destra, clicca su " Alias ".
Inserisci un nome e il secondo IP statico nelle caselle fornite.
Fare clic sul pulsante "Aggiungi" e ripetere per tutti gli indirizzi rimanenti.

Alias ok

terminata la configurazione puoi utilizare questi alias per le regole di port forwarding ed altrove nel sistema per controllare i vari avcessi al sistema ed alla tua rete

ISP, wan, alias

Come assegnare 2 schede di rete fisiche o virtuali ad una singola zona

In alcune configurazioni può essere utile avere 2 schede di rete fisiche o virtuali assegnate ad una singola zona per avere ridondanza, resilienza e aumentare la banda passante.

Questa guidaè stata verificata su Ipfire 2.27 core 178 con 4 adattatori di rete e 4 zone.

Andiamo in Rete e Zone:

In questo caso sposteremo la scheda di rete della zona arancione (DMZ che in questa configurazione non useremo) alla zona verde.

Andiamo nella zona arancione e nel menu a tendina della schede di rete assegnata cambiamo da "Nativa" a "None". Noterete che non vi sarà più una zona arancione attiva su quella scheda di rete.

Ora andiamo nella zona verde e dal menu a tendina della zona cambiamo da "Default" a "Bridge".

Spostiamoci nel menu a tendina della nuova scheda di rete (ex arancione) che vogliamo assegnare alla zona verde e impostiamola su "Native". Prendera il colore della zona assegnata, in questo caso verde.

Cosi facendo abbiamo impostato 2 schede di rete diverse sulla stessa zona.

CR1PT0

zone, ridondanza

Come configurare IPFire in tre zone usando solo due NIC e una VLAN

Premessa

Questa guida pratica su come configurare piu zone rispetto alle Network Interface fisiche disponibili, sfruttando la capacita di uno switch managed di creare una IEEE802.1.Q rete VLAN

Questo tutorial presuppone che si abbia configurato correttamente lo switch per assegnare un identificatore VLAN (ad es. 220) alla porta destinata a trasportare la sottorete della zona blu.

Inoltre presuppone che tu abbia due schede di rete fisiche, una collegata alla WAN e che trasporta la zona ROSSA e l'altra collegata allo switch.

La procedura di configurazione è un processo in quattro fasi:

eseguire nella console setup e selezionare il tipo di rete rosso, verde e blu; impostare la zona Blu su Nessuna e assegnare Verde e Rosso alle due interfacce fisiche;
al termine riavviare la macchina

una volta riavviata la macchina devi accedere all’interfaccia web di configurazione e vai alla configurazione della zona, assegna la zona blu a Default e VLAN, sulla stessa NIC della tua scheda di rete verde, in modalità nativa (vedi l'immagine sotto), quindi riavvia ancora la macchina

foto1

Impostazione VLAN blu/verde

Torna dentro nella consol e lancia il comando setup riassegnare la zona blu all'interfaccia ibrida appena creata (qui blue0@green0 )
Tornare all'interfaccia utente Web e selezionare Server DHCP ; dovresti essere in grado di configurare il DHCP sia per la sottorete Verde che per quella Blu (vedi figura sotto).

foto2

Configurazione del server DHCP che mostra entrambe le interfacce

Risoluzione dei problemi

Se non riesci a visualizzare la zona blu nella pagina di configurazione DHCP, apri una console ed esegui il seguente comando: ip address show oppure ip a, dovresti vedere un output simile all'immagine qui sotto.

foto3

topologia di rete quando la VLAN è definita correttamente

Si prega di notare la presenza del dispositivo blue0@green0, se non lo vedi, ripeti i passaggi da 1 a 4 e non dimenticare di riavviare la macchina quando è indicato su questa guida.

Nota

Per impostazione predefinita, la rete BLUE ha un filtro MAC attivato.

Quando si utilizza la rete BLUE con VLAN, tenere presente che potrebbe essere necessario disabilitare il filtro MAC o approvare ciascun destinatario DHCP.

Per come fare a disabilitare questo filtro visiona la guida Trucchi per la linea Blu

vlan

Elenco dei server DNS pubblici

Questo è un elenco di server DNS pubblicamente disponibili adatti per l'uso con IPFire. Sono gestiti da molte organizzazioni diverse in molti paesi diversi. Si prega di considerare attentamente quali si desidera utilizzare.

Server DNS che supportano UDP/TCP

Operatore	Indirizzo(i)	Hostname
Anycast
censurfridns.dk	91.239.100.100	anycast.uncensoreddns.org
	2002:d596:2a92:1:71:53::
Cloudflare	1.1.1.1	cloudflare-dns.com
	1.0.0.1
	2606:4700:4700::1111
	2606:4700:4700::1001
dns.sb	185.222.222.222	dot.sb
	45.11.45.11
	2a09::
	2a11::
Hurricane Electric	74.82.42.42
	2001:470:20::2
Google Public Free DNS	8.8.8.8	dns.google
	8.8.4.4
Germany (DE)
Lightning Wire Labs	81.3.27.54	recursor01.dns.ipfire.org
	2001:678:b28::54
	81.3.27.54	recursor01.dns.lightningwirelabs.com
	2001:678:b28::54
Denmark (DK)
censurfridns.dk	89.233.43.71	unicast.uncensoreddns.org
	2a01:3a0:53:53::
Spain (ES)
puntCAT	109.69.8.51
France (FR)
French Data Network (FDN)	80.67.169.12
	80.67.169.40
	2001:910:800::12
	2001:910:800::40
Netherlands (NL)
Freenom World	80.80.80.80
	80.80.81.81
United Kingdom (UK)
CyberGhost	194.187.251.67
United States (US)
Alternate DNS	198.101.242.72
	23.253.163.53
Comcast / Xfinity	75.75.75.75
	75.75.76.76
CyberGhost	38.132.106.139
Neustar DNS Advantage	156.154.70.1
	156.154.71.1
Sprintlink General DNS	204.117.214.10
	199.2.252.10
	204.97.212.10
Verisign	64.6.64.6
	64.6.65.6

Servizio DNS su TLS

Operatore	Indirizzo(i)	DNS over TLS Hostname
Anycast
censurfridns.dk	91.239.100.100	anycast.uncensoreddns.org
	2002:d596:2a92:1:71:53::
Cloudflare	1.1.1.1	cloudflare-dns.com
	1.0.0.1
	2606:4700:4700::1111
	2606:4700:4700::1001
Freifunk München e.V.	5.1.66.255	anycast01.ffmuc.net
	2001:678:e68:f000::
	5.1.66.255	dot.ffmuc.net
	2001:678:e68:f000::
dns.sb	185.222.222.222	dns.sb
	185.184.222.222
	2a09::
	2a09::1
Google Public Free DNS	8.8.8.8	dns.google
	8.8.4.4
Austria (AT)
Foundation for Applied Privacy	146.255.56.98	dot1.applied-privacy.net
	2a01:4f8:c0c:83ed::1
Canada (CA)
CMRG DNS	199.58.83.33	dns.cmrg.net
	2001:470:1c:76d::53
Switzerland (CH)
Digitale Gesellschaft Schweiz	185.95.218.42	dns.digitale-gesellschaft.ch
	185.95.218.43
	2a05:fc84::42
	2a05:fc84::43
Germany (DE)
Digitalcourage e.V.	5.9.164.112	dns3.digitalcourage.de
Lightning Wire Labs	81.3.27.54	recursor01.dns.ipfire.org
	2001:678:b28::54
	81.3.27.54	recursor01.dns.lightningwirelabs.com
	2001:678:b28::54
Denmark (DK)
censurfridns.dk	89.233.43.71	unicast.uncensoreddns.org
	2a01:3a0:53:53::
Finland (FI)
Snopyta	95.216.24.230	fi.dot.dns.snopyta.org
	2a01:4f9:2a:1919::9301
France (FR)
Neutopia	89.234.186.112	dns.neutopia.org
	2a00:5884:8209::2
Luxembourg (LU)
Restena Foundation	158.64.1.29	kaitain.restena.lu
	2001:a18:1::29
Netherlands (NL)
FlokiNET	185.246.188.51	nl.resolv.flokinet.net
	2a06:1700:3:11::1
GetDNS	185.49.141.37	getdnsapi.net
	2a04:b900:0:100::37
Surfnet	145.100.185.17	dnsovertls2.sinodun.com
	145.100.185.18	dnsovertls3.sinodun.com
	2001:610:1:40ba:145:100:185:17
	2001:610:1:40ba:145:100:185:18
Romania (RO)
FlokiNET	185.247.225.17	ro.resolv.flokinet.net
	2a06:1700:0:36::1
United States (US)
Comcast / Xfinity (beta)	96.113.151.145	dot.xfinity.com

Provider DNS sconsigliati

Questi provider non sono consigliati per l'uso con IPFire perché non supportano DNSSEC o manomettono il traffico DNS in altro modo, ad esempio filtrando pubblicità, malware o materiale pornografico.

Sebbene esista un caso d'uso legittimo per quest'ultimo, tale filtraggio interrompe DNSSEC, essendo indistinguibile da un avversario dal punto di vista tecnico.

Operatore	Indirizzi IP
Adfree.world	139.99.176.64
Cleanbrowsing	2a0d:2a00:1::2 / 185.228.168.9, 2a0d:2a00:2::2 / 185.228.169.9
DNS for Family	94.130.180.225 / 2a01:4f8:1c0c:40db::1, 78.47.64.161 / 2a01:4f8:1c17:4df8::1, dns-dot.dnsforfamily.com, https://dns-doh.dnsforfamily.com/dns-query
Comodo Secure DNS	8.26.56.26, 8.20.247.20
dnsforge.de	176.9.93.198, 176.9.1.117, 2a01:4f8:151:34aa::198, 2a01:4f8:141:316d::117
DNSReactor	45.55.155.25, 104.236.210.29
FreeDNS	37.235.1.174, 37.235.1.177
GreenTeamDNS	81.218.119.1, 09.88.198.133
Nuernberg Internet Exchange (N-IX)	194.8.57.12
OpenDNS (Hosted Blacklists)	208.67.222.222, 208.67.220.220, 208.67.220.222, 208.67.222.220
PublicDNS.eu	51.89.30.51, 51.89.93.25, 2001:41d0:701:1100:0:0:0:39cc
Quad 9	9.9.9.9, 149.112.112.112, 9.9.9.10, 149.112.112.10
SWITCH (Hosted Blacklists)	130.59.31.248 / 2001:620:0:ff::2, 130.59.31.251 / 2001:620:0:ff::3
Yandex.DNS	77.88.8.88, 77.88.8.2
SafeDNS	195.46.39.39, 195.46.39.40
Level 3 / CentryLink / Verizon	4.2.2.1, 4.2.2.2, 4.2.2.3, 4.2.2.4, 4.2.2.5, 4.2.2.6
SkyDNS	193.58.251.251
New Nations	5.45.96.220
SecureDNS ¹	146.185.167.43

Informazioni sulla posizione e sullo stato DNSSEC

La posizione dei server è stata dichiarata utilizzando il database IPFire Location. Tuttavia, potrebbe essere possibile che la posizione sia errata (o sia stata modificata nel frattempo).

I server contrassegnati con "Anycast" utilizzano anycast in modo che il traffico venga instradato alla più vicina delle numerose istanze presenti sulla rete. Di conseguenza, non è possibile determinare l'esatta ubicazione dei server. Peggio ancora, le diverse configurazioni delle istanze Anycast non possono essere determinate come affidabili.

Considerazioni sulla sicurezza e sulla privacy

Un server DNS ha una funzione molto potente nella topologia di rete. Tieni presente che potrebbe registrare le tue query (che è un'enorme perdita di informazioni).

Inoltre, non tutti i server DNS sopra elencati restituiscono comunque risposte corrette. Alcuni restituiscono errori per siti dannosi.

Per motivi di sicurezza, è necessario utilizzare server DNS che supportano DNSSEC. Per motivi di privacy e disponibilità, evitare di utilizzare i server DNS di un solo provider.

DNS, TLS, Pubblici, elenco

Trucchi per la linea Blu

L’interfaccia BLU è progettata per separare la LAN dalla WirelessLAN “o WLAN”

Per impostazioni predefinite IPFire controlla l’accesso di tutti i dispositivi che cercano di connettersi alla linea Blu utilizzando il filtro degli indirizzi MAC.

Cioè significa che tutti i lease DHCP devono essere approvati manualmente nell’interfaccia web di IPFire, prima di poter accedere alla rete ed ovviamente anche l’interfaccia WUI della stessa rete Blu

Questo controllo è separato da qualunque filtro o protezione che puoi aver imposto alla tua rete blu

Per abilitare un client a poter navigare è necessario accedere all’interfaccia web e abilitarlo

Esempio (senza DHCP su blu ): 00:13:02:XX:XX:XXè l'indirizzo MAC del client WLAN e il client deve utilizzare l'IP 192.168.49.1.

Accedi a questa pagina tramite il menu Firewall --> Blue Access

Fare clic su Abilitato
Fare clic su Aggiungi e il client sarà in grado di accedere a Internet.

Wlan1

Disabilita il filtro degli indirizzi MAC

Per disabilitare il filtraggio degli indirizzi MAC e consentire a tutti i client connessi a blue l'accesso a Internet, è necessario modificare inserendo un device con questi parametri

Esempio se la rete Blu e la subnet mask dell’interfaccia di rete blu è 172.16.1.0 a 172.16.1.255 ossia 172.16.1.0/24

È necessario inserire un client con questi parametri

Source IP inserire 172.16.1.0/24, MAC address lasciare vuoto

Wlan2

Nota: la disattivazione del filtro degli indirizzi MAC non disattiva la crittografia WLAN

Wlan, Blu, Filtro

Bridge blue0-red0 IPFire Linux IPS

secure firewall bridge on IpFire 2.23 Core 141

(https://www.ipfire.org/download/ipfire-2.25-core141)

ipf1 5698f

Questa guida con screenshot passo-passo si vuol creare un bridge tra due schede di rete in un sistema firewall IPFire con 3 schede di rete ethernet con rete lan WAN 192.168.3.0/24 DHCP, prima rete LAN green0 192.168.5.1 e seconda rete blue0 LAN 192.168.8.1.

Uno scenario simile è per avere una lan con un proprio dhcp mentre la seconda per motivi di condivisioni e indirizzi statici si vuole mantenere la numerazione del router principale del provider.

In questo esempio sono state inserite tre schede di rete WAN 100/1000 (red), seconda LAN blue0 e prima LAN (green0) una volta finita l’installazione di IpFire e configurato a dovere classe indirizzi IP in base alla sottorete entreremo nel pannello di amministrazione dalla rete LAN digitando nel browser preferito esempio HTTPS://192.168.5.1:444 dove il 5 è la sottorete da me assegnata in questo specifico caso. Prima cosa andiamo su Sistema-→Settaggio GUI e selezioniamo la nostra “lingua” e mettiamo la spunta su “Aggiorna la pagina...”

ipf2 afd8e

Secondo step abilitare ssh per configurare il bridge da riga di comando dal proprio portatile oppure potete configurare da terminale se avete un monitor al vostro firewall accedendo con l’account root e la stessa password del pannello di amministrazione web.

Per facilità abiliterò la porta provvisoria ssh per poter operare facilmente con copia-incolla.

ipf3 ec80e

Ricordatevi alla fine della guida di disabilitare l’accesso ssh se non necessario. Una volta abilitata la porta dal nostro portatile o da qualche pc appartenente alla green0 da riga di comando potete digitare ssh Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..5.1. Una volte entrati aggiornate la distro pakfire update e successivamente pakfire upgrade al momento che scrivo questa guida siamo all’ultima release della distro quindi non ci dovrebbero essere aggiornamenti. Installiamo due tool utili per il nostro scopo HTOP e NANO con i comandi “pakfire install htop” e “pakfire install nano”. HTOP è un utility che permette di monitore il carico di cpu,ram e swap da riga di comando con simpatici colori per distinguere i processi mentre NANO è un editor semplice e leggero da utilizzare da riga di comando.

Entrate nella sotto-cartella “etc”--->”init.d” e create un file bridge con il comando “nano bridge” e successivamente potete salvare con CTRL-O e uscire con CTRL-X. Ora è stato creato il file che serve per settare le due schede interessate come bridge, in questo esempio è red0 con blue0 ma potete anche usare green0 e blue0 in base al vostro caso.

ipf4 6374a

Nel file “bridge” incolliamo questo script: (è disponibile allegato a questo link)

ipf5 d477f

alla chiusura file con CTRL-O come indicato in basso a sinistra per salvare le modifiche e il CTRL-X per uscire, ritornati di nuovo sul terminale digitiamo questi comandi tra virgolette:

“ln -s /etc/init.d/bridge /etc/rc.d/rc3.d/S19bridge”

“ln -s /etc/init.d/bridge /etc/rc.d/rc0.d/K82bridge”

“ln -s /etc/init.d/bridge /etc/rc.d/rc6.d/K82bridge”

“chmod 754 /etc/init.d/bridge” e riavviamo il firewall con il comando “reboot”

Se tutto è andato come doveva in una schede di rete se vi connettete con un cavo incrociato dovreste ottenere un IP appartenente alla classe della red0 ovvero la WAN mentre nell’altra scheda dovreste avere il vostro indirizzo della LAN green0 in cui potete connettervi per manutenzione e aggiornamenti al pannello di IPFire.

Successivo step è l’abilitazione di Snort IPS nella sezione Firewall-→Intrusion Detection

ipf6 05ea6

ipf7 55ccf

In questo esempio si è scelto di usare le regole della comunità Emergingthreats.

Abilitato su Rosso che corrisponde alla nostra WAN quindi red0 e con la modalità IPS cosi da permettere al motore di Suricada di intervenire sulla base delle regole poi da selezionare in basso di bloccare o meno le connessioni sospette.

Suricata engine è un IPS (Intrusion Prevention System), un sistema per la prevenzione delle intrusioni in rete. Il software analizza tutto il traffico che attraversa il firewall alla ricerca di attacchi noti impattando su tutto il traffico che attraversa il firewall. Lo sviluppo di questo recente progetto opensource affiancato dalla comunità molto attiva in ambito sicurezza informatica si concentra su usabilità ed efficienza. Dal terminale o da connessione SSH al nostro indirizzo LAN green0 possiamo monitorare con il tool HTOP se la nostra macchina è idonea al carico di lavoro da svolgere.

ipf8 7b121

Una soluzione come questa è l’ideale per chi necessita di un firewall per collegare due zone di rete LAN e una terza con una sua sotto rete dedicata. Se avete una struttura in cui uno switch semplice non basta perché occorre anche un router che segmenta la rete, con IPFire potete ovviare anche con un computer non troppo recente. La condivisione di file di lavoro e la sicurezza informatica sono tematiche sempre più sentite man mano che si evolvono gli attacchi informatici e lo spionaggio industriale. Solo sommando più misure adeguate si può raggiungere un buon livello in una rete LAN. Il progetto IPFire ha come obbiettivo sviluppare un prodotto orientato alla sicurezza business sposando filosofia OpenSource e sicurezza informatica, affiancato da una comunità di utenti del settore che testando il software e contribuendo al suo sviluppo rendo il progetto IPFire un ottimo punto di riferimento per i sistemisti e consulenti di sicurezza IT. Avere un sistema che possa modellarsi in base alle esigenze che in una ditta possono cambiare o evolversi è un investimento di soldi e know-how. L’attenzione e i tool che il progetto IPFire mette a disposizione merita l’attenzione di esperti di sicurezza informatica applicata alle reti, analisi forense di incidenti e attacchi alle reti interne intranet.

Fabio Carletti aka Ryuw

IPFire, Ryuw, Bridge

VPN RoadWarrion IPFire Linux IPS Proxy DNSSEC

secure server vpn on IpFire 2.23 Core 139

(https://www.ipfire.org/download/ipfire-2.23-core139)

Immagine1 f655a

Questa guida con screenshot permette di creare un router firewall proxy con sistema Snort IPS abilitando il servizio server VPN creando il certificato apposito per la connessione sicura permettendo cosi da openvpn di connettersi alla lan in modo sicuro il tutto sotto il progetto LinuxIPFIRE.

In questo esempio sono state inserite due schede di rete WAN 100/1000 (red) e LAN (green) una volta finita l’installazione di IpFire e configurato a dovere dns e classe indirizzi IP in base alla sottorete entreremo nel pannello di amministrazione dalla rete LAN digitando nel browser preferito esempio HTTPS://192.168.5.1:444 dove il 5 è la sottorete da me assegnata in questo specifico caso. Prima cosa andiamo su Sistema-→Settaggio GUI e selezioniamo la nostra “lingua” e mettiamo la spunta su “Aggiorna la pagina...”

Immagine2 52e21

Secondo step è l’abilitazione di Snort IPS nella sezione Firewall-→Intrusion Detection

Immagine3 de074

Immagine4 a4e74

In questo esempio si è scelto di usare le regole della comunità Emergingthreats ma potete prendere anche quelle di snort GPL.

In questo caso è stato abilitato su Rosso che corrisponde alla nostra WAN quindi internet e con la spunta su Enable IPS cosi da permettere a snort di intervenire sulla base delle regole poi da selezionare in basso di bloccare o meno le connessioni sospette. IPS/IDS sono due modalità di Snort, mentre la prima in base alle regole decide cosa far passare, la modalità IDS monitora solamente le connessione registra se c’è qualcosa di sospetto ma non interviene nella connessione. Questo tool è finalizzato a sistemisti di rete che possono intervenire dal pannello di IpFire per controllare falsi-positivi e segnalazioni varie. Abilitare tutte le regole vi ritroverete molto probabilmente che snort bloccherà connessione lecite quindi abilitare in modo graduale in modo da monitorare se qualche regola và a scontrarsi con qualche sito specifico di vostro utilizzo.

Terzo punto abilitare il server proxy trasparente cioè senza autenticazione da parte della LAN dal menù RETE-→ProxyWeb. Nel PC che ho utilizzato per la prova vi è anche la wifi

Immagine5 b2bf9

sulla scheda Blue abilitate la prima spunta su “Abilitato su Green”, la seconda su “Trasparente su Green”, terza “NON visualizzare….” serve per non dare troppi dettagli tecnici a chi visualizza per sbaglio dalla parte LAN il pannello di gestione IPFIRE infine “Attiva cachemanager”.

Ora che proxy per la navigazione e IPS per la protezione sono stati abilitati passiamo al server VPN.

Immagine6 4d1ae

Nella sezione Servizi-→OpenVPN abilitate il servizio dalla parte RED cosi da poter accettare connessioni da parte di internet al vostro firewall/router sulla porta 1194 connessioni vpn.

In questo caso ho lasciato Encryption e HASH algorithm di default ma potete aumentare la complessità e robustezza della connessione ciò comporta più traffico quindi in base alla velocità della connessione valutate se cambiare o lasciare il predefinito. Occorre Generare il certificato con l’apposito tasto in basso.

Immagine7 5b1c2

Inserite i dati della vostra ditta e anche qui scegliete i parametri del protocollo e con il pulsante Generate root/host dopo alcuni minuti in base al pc sarà generato il certificato per la connessione. Finito il certificato avrete nella schermata OpenVPN il risultato dell’elaborazione del certificato che certifica che siete autorizzati alla connessione in entrata tramite vpn.

Immagine8 808cc

Ora tramite il pulsante “Aggiungi” andremo a selezionare “Host-to-Net Virtual Private Network (RoadWarrior)” cosi da permettere al nostro portatile o pc esterno di poter accedere all’indirizzo IP pubblico tramite connessione sicura VPN. Avanzando nella pagina successiva dovremo compilare i dati richiesti obbligatori quelli con l’asterisco rosso.

Nel mio caso essendo una prova esempio ho messo testipfire e salvate in fondo su salva .

Immagine9 5b338

Una volta collegati lo stato cambierà in verde e indicherà che la connessione è online e dal vostro portatile noterete che il vostro indirizzo ip sarà della classe della LAN.

Immagine10 3bb88

Se tutto è andato nel suo verso dopo il salva vedrete nella schermata principale questa immagine dove il file zip contenente il opvn da inserire in openvpn (windows e linux) o tunnelblick (macosx) è pronto per essere scaricato dall’icona apposita.

I link dove poter scaricare il software client

https://openvpn.net/community-downloads/

https://tunnelblick.net/index.html

Ultimo paranoico sicuro accorgimento sono i DNS. Nel menù RETE-→Assign DNS server

Immagine11 8114c

inserite indirizzi di server DNS che supportano DNSSEC ovvero la richiesta di interrogazioni DNS che di regola sono in chiaro in richieste riservate. Non tutti i server DNS supportano tali richieste sicure in questo caso ho inserito 1.1.1.1 che corrisponde a Cloudflare e 9.9.9.9 a Quad9 DNS un altro server orientato alla privacy e internet security.

Sul manù STATO-→Rete Esterna dovreste trovare questa schermata.

Immagine12 13e36

Una soluzione come questa è l’ideale per chi necessita di un server VPN quindi ha bisogno di connessioni esterne sicure implementando un firewall con IPS alla propria rete LAN. Nel file generato ovpn può essere editato per cambiare l’IP pubblico. Se avete una ditta con un contratto in cui non potete accedere al router fornito dal provider dovrete contattare il servizio di assistenza in modo che possano aprire la porta indicata dal server vpn e collegare le vostre richieste esterne al server VPN IPFIRE. La privacy e la sicurezza informatica sono tematiche sempre più sentite in questi anni solo implementando misure adeguate si può raggiungere un buon livello. Il progetto IPFIRE ha come obbiettivo sviluppare questa distro linux orientata alla filosofia OpenSource e alla sicurezza informatica, affiancato da una buona comunità di utente che testato e contribuiscono al suo sviluppo, merita l’attenzione per chi necessita sia di una soluzione professionale sia per chi è sensibile alla protezione della propria connessione. Protezione che per paranoia o per tutela dovremmo sempre più prendere in considerazione.

Fabio Carletti aka Ryuw

IPS, Ryuw, OpenVPN, DNSSec, VPN