• Automatic full mesh routing

Regardless of how you set up the tinc daemons to connect to each other, VPN traffic is always (if possible) sent directly to the destination, without going through intermediate hops.

• Easily expand your VPN

When you want to add nodes to your VPN, all you have to do is add an extra configuration file, there is no need to start new daemons or create and configure new devices or network interfaces.

• Ability to bridge ethernet segments

You can link multiple ethernet segments together to work like a single segment, allowing you to run applications and games that normally only work on a LAN over the Internet.

Verranno mostrati i passi essenziali da seguire…

• Abbiamo 2 computer PCA e PCB
1. PCA con direttamente raggiungibile e con ip pubblico x.y.z.t
2. PCB dietro nat quindi non direttamente raggiungibile

entrambi i pc hanno installata la distribuzione ArchLinux.

• Su entrambi i PC:
1. Installiamo i pacchetti necessari

pacman -S openssh zlib lzo
yaourt -S tinc

2. Definiamo la variabile $VPNNAME assegnandole il nome che vogliamo dare alla vostra VPN

VPNNAME=mia_vpn

3. Creiamo i file e le directory necessarie

mkdir -p /etc/tinc/$VPNNAME/hosts
mkdir -p /usr/var/run/
touch /etc/tinc/$VPNNAME/tinc.conf
touch /etc/tinc/$VPNNAME/tinc-down
touch /etc/tinc/$VPNNAME/tinc-up
chmod +x /etc/tinc/$VPNNAME/tinc-up
chmod +x /etc/tinc/$VPNNAME/tinc-down

• Ora spostiamoci su PCA (quello con ip pubblico x.y.z.t)

ATTENZIONE: sostituire a $PCxHOSTNAME l’hostname della macchina, a $INTERNETIF l’interfaccia con la quale la macchina esce su internet e a $VPNNAME il nome della vpn usato precedentemente (VPNNAME=mia_vpn)

1. Inseriamo le seguenti righe nel file /etc/tinc/$VPNNAME/tinc.conf

Name = $PCAHOSTNAME
AddressFamily = ipv4
BindToInterface = $INTERNETIF
Device = /dev/net/tun
PrivateKeyFile=/etc/tinc/$VPNNAME/rsa_key.priv

2. Creiamo il file /etc/tinc/$VPNNAME/hosts/$PCAHOSTNAME e all’interno mettiamo:
   l’ip 10.0.10.1 è stato preso a caso dalla classe 10.x.x.x, potrete cambiarlo a vostro piacimento

Address = x.y.z.t
Subnet = 10.0.10.1/32

3. Aggiungiamo al file /etc/tinc/$VPNNAME/tinc-up

#!/bin/bash
ifconfig $VPNNAME 10.0.10.1 netmask 255.255.0.0 up

4. Mentre nel file /etc/tinc/$VPNNAME/tinc-down mettiamo

#!/bin/bash
ifconfig $VPNNAME down

5. Lanciamo il comando per generare la chiave per criptare la comunicazione e diamo invio alle successive richieste

tincd -K -n $VPNNAME

• Possiamo finalmente passare a PCB, i passi saranno uguali se non per alcuni dettagli
1. Configuriamo il portforwarding del router in modo da mandare tutte le richieste delle porte 655 TCP/UDP su PCB
2. Inseriamo le seguenti righe nel file /etc/tinc/$VPNNAME/tinc.conf

Rispetto alla configurazione di PCA abbiamo aggiunto le righe 5 e 6.

1 2 3 4 5 6 7

Name = $PCBHOSTNAME AddressFamily = ipv4 BindToInterface = $INTERNETIF Device = /dev/net/tun ConnectTo = $PCAHOSTNAME TCPOnly = yes PrivateKeyFile=/etc/tinc/$VPNNAME/rsa_key.priv

3. Creiamo il file /etc/tinc/$VPNNAME/hosts/$PCBHOSTNAME e inseriamoci:

l’ip 10.0.10.2 è stato preso a caso dalla classe 10.x.x.x, potrete cambiarlo a vostro piacimento

Subnet = 10.0.10.2/32

4. Aggiungiamo al file /etc/tinc/$VPNNAME/tinc-up

#!/bin/bash
ifconfig $VPNNAME 10.0.10.2 netmask 255.255.0.0 up

5. Mentre nel file /etc/tinc/$VPNNAME/tinc-down mettiamo

#!/bin/bash
ifconfig $VPNNAME down

6. Lanciamo il comando per generare la chiave per criptare la comunicazione e diamo invio alle successive richieste

tincd -K -n $VPNNAME

La procedura è quasi terminata, dovremmo solo copiare i file

• /etc/tinc/$VPNNAME/hosts/$PCAHOSTNAME sulla stessa directory in PCB
• /etc/tinc/$VPNNAME/hosts/$PCBHOSTNAME sulla stessa directory in PCA

In questo momento dovremmo avere nella directory etc/tinc/$VPNNAME/ di entrambe le macchine i seguenti file

./tinc.conf
./tinc-up
./rsa_key.priv
./tinc-down
./hosts
./hosts/$PCAHOSTNAME
./hosts/$PCBHOSTNAME

Se tutto è stato configurato in maniera corretta, basterà dare il seguente comando su entrambi i pc

tincd -n $VPNNAME

e per verificare l’effettivo funzionamento

• Da PCA proviamo:

ping 10.0.10.2

• Da PCB proviamo:

ping 10.0.10.1

In caso di problemi è possibile lanciare tinc in modalità debug per analizzare al meglio eventuali errori

tincd -D -d5 -n $VPNNAME

[1] http://it.wikipedia.org/wiki/Virtual_Private_Network
[2] http://www.tinc-vpn.org/

Per navigare attualmente con un indirizzo IPv6 (alcuni siti/servizi sono già disponibili con questo protocollo) vi è la necessità che qualcuno ce ne fornisca uno.

Perché crearsi un tunnel IPv6?
La mia è stata semplice curiosità…
Per creare il tunnel abbiamo bisogno di un Tunnel broker [2].
Personalmente ho usato HURRICANE ELECTRIC [3] e di seguito vi illustrerò la serie di passi necessari per crearsi un proprio tunnel IPv6.

Iniziamo la procedura…
Prima cosa è necessario registrarsi alla pagina http://tunnelbroker.net/register.php e aspettare di conseguenza l’email di conferma con tanto di password.

Una volta effettuato il login alla propria destra si avrà a disposizione un pannello con le funzioni utente

Selezionare da questo la voce Create Regular Tunnel

Il sito a questo punto vi chiederà di inserire un “IPv4 endpoint” che sarebbe l’indirizzo IPv4 della vostra parte del tunnel…

• Se avete un indirizzo IPv4 fisso potete inserirlo tranquillamente nella casella
• Se invece il vostro indirizzo non è fisso ma varia di volta in volta dovrete usare uno script per aggiornare l’indirizzo di volta in volta come indicato qui [4](nel prossimo post mostrerò lo script)

Se la macchina che vogliamo collegare via IPv6 è quella dalla quale ci stiamo collegando, basterà inserire come “IPv4 endpoint” il valore che si trova in “You are viewing from IP”.

Potremmo anche scegliere da dove uscire con il tunnel selezionando un paese diverso alla voce “Which Server Is Closest to you?” anche se personalmente ho lasciato il consigliato.

Premiamo quindi il tasto Submit e verremo rimandati alla pagina con i dettagli del tunnel appena creato…

Nella parte inferiore della pagina possiamo trovare la voce Example IPv6 Tunnel Configurations by OS (Windows, Linux, etc.):

Config Examples

da qui selezioniamo il nostro sistema, “Linux-net-tools” nel mio caso con Archlinux, e premiamo Show Config.

Nel caso di linux ci verranno mostrate le righe da copiare e incollare nella nostra shell per abilitare il tunnel…
Fatto questo basterà verificarne il funzionamento attraverso il comando

ping6 ipv6.google.com

[1] http://it.wikipedia.org/wiki/IPv6
[2] http://en.wikipedia.org/wiki/Tunnel_broker
[3] http://he.net/
[4] https://tunnelbroker.net/ipv4_end.php

Problema:

• Router con pagina di amministrazione sulla porta 8081
• Ip del router settato a 192.168.10.1
• Router con dmz abilitata su ip 192.168.10.90
• Come accedo dall’esterno alla porta 8081 del router se quest’ultimo redirige tutte le richieste su 192.168.10.90

Soluzione…

• Lorenzo :D

Basterà aggiungere sulla macchina 192.168.10.90 il file /etc/xinetd.d/routerwebmin e all’interno di questo le seguenti righe:

service tproxy
{
        socket_type = stream
        protocol = tcp
        wait = no
        user = root
        bind = 192.168.10.90
        redirect = 192.168.10.1 8081
        disable = no
}

a questo punto avviamo xinetd con il comando /etc/rc.d/xinetd start.
PS. ricordiamoci di aggiungere tale demone tra quelli che partono all’avvio…

E’ proprio arrivato il momento di mettere in guardia le persone… se fino a “ieri” era semplice penetrare una rete wireless protetta da una chiave WEP o da una WPA, oggi se vedete una nonnina al volante sotto casa vostra con un notebook appoggiato sul sedile accanto PREOCCUPATEVI…

Almeno questo è quanto sostengono i creatori di questo software [1], che hanno tra l’altro documentato l’attacco portato dalla nonna, con delle simpatiche foto della signora prima e dopo l’attacco…

Io personalmente non l’ho provato… ma se qualcuno avesse Tempo/Voglia di testarlo mi farebbe piacere se poi mi dicesse come funziona effettivamente.

PS: qualcuno ha già provveduto a pacchettizzarlo per Archlinux [2]…

[1] http://www.backtrack.it/~emgent/hackstuff/old_gerix_wifi_cracker_ng/index.html
[2] http://aur.archlinux.org/packages.php?ID=28769

Progetto: Realizzazione di una semplice applicazione di chat basata su JMS

Il che mi ha fatto tornare in mente un progetto precedente fatto qualche anno prima sempre in ambito universitario:

Progetto: implementare un chat server/client in C

I due progetti sembrano chiedere la stessa cosa in definitiva…
Per entrambi dovremmo avere alla fine in mano una chat…

La differenza sta nell’impegno necessario per realizzare entrambi i progetti…

Sul primo sarà comunque necessario installare un Application Server, nel mio caso Glassfish[2], farlo funzionare, configurarlo, preparare l’ambiente adatto di programmazione, leggere la documentazione sul messaging, e scrivere il codice (376 righe approssimando).

Nel secondo abbiamo dovuto studiare thread e processi, capire le socket, i mutex, studiare un modo per gestire il transito dei messaggi ecc ecc, scrivere il codice (867 righe approssimando).

Ora oltre al vantaggio in termini di righe di codice, possiamo dire che nel primo progetto molti aspetti come la sicurezza vengono gestiti in automatico dall’Application Server e che in realtà sempre per il primo progetto è stato necessario implementare solamente il Client in quanto la maggior parte del lavoro (registrare il client, raccogliere/smistare i messaggi) viene svolto dall’Application Server… Insomma questo middleware serve veramente a qualcosa :P…

Ah il codice…

Chat JMS http://github.com/Nss/simple_JMS_chat
Chat C http://github.com/Nss/simple_chat_in_c

[1] http://it.wikipedia.org/wiki/Middleware
[2] http://en.wikipedia.org/wiki/GlassFish

Se vi trovate su Archlinux, possiamo riassumere i passaggi in uno solo:

yaourt -S dropbox

ora nel menù nella sezione Network troverete la bella iconcina di Dropbox (Network Storage) che eseguirà proprio il demone dropboxd.

Un grazie all’autore del pacchetto :D.

NOTA: per far si che il sistema riveli le condivisioni è necessario avviare i demoni avahi-daemon e avahi-dnsconfd.

Personalmente però con Archlinux e kdemod, quando avviavo amarok non mi veniva visualizzata alcuna condivisione daap non ostante con il comando:

$ avahi-browse --all 

mostrasse il seguente output:

+ eth0 IPv4 dlink-A808EF                                  Sito Web             local
+ eth0 IPv4 dlink-A808EF                                  Accesso Audio iTunes local

come vedete il secondo si riferisce proprio alla condivisione daap.

Girovagando un pochino ho trovato la soluzione, il sistema non riesce a risolvere il dispositivo è quindi necessario installare il pacchetto che neanche a farci apposta contiene il mio nick… sarà stato destino?? :P:

nss-mdns

hosts: files dns mdns4_minimal [NOTFOUND=return]

ping dlink-A808EF.local