Configurazione VDSL2 Infostrada con modem in bridge e PPPoE su router

Le linee ADSL sono ormai diventate lo standard “minimo” utilizzato per fornire connettività a livello domestico ed aziendale. Il Web 2.0, i social sempre più integrati, lo streaming live e non, e tanti altri servizi hanno causato un aumento dell’utilizzo della rete, ed hanno portato i provider alla ricerca di nuove soluzioni per fornire connettività maggiori. Le vecchie tecnologie si sono basate sul rame dei cavi telefonici per fornire connettività alle abitazioni, a partire dalle connessioni 56 kb/s con l’uso di modem seriali fino alle ultime ADSL2+ con velocità di download massime di 20Mb/s.

L’ultima trovata per l’aumento delle velocità è la VDSL, conosciuta anche come FTTC (Fiber To The Cabinet). Funziona più o meno come una ADSL ma utilizza frequenze più alte per comunicare, di conseguenza la banda a disposizione aumenta. Si utilizza sempre il rame, può essere installata sulle linee pre-esistenti e non richiede interventi da parte dell’utente per il funzionamento e l’installazione. In compenso gli operatori si sono preoccupati di sostituire buona parte del tratto in rame con la fibra ottica (motivo per cui viene chiamata erroneamente “fibra”), accorciando le distanze tra gli apparati (infatti il tratto in rame per ora rimane). Infatti i vari DSLAM VDSL2 sono installati direttamente negli armadi da cui partono le cosidette coppie secondarie (ultimo miglio) riducendo il tratto in rame ad una media di 300 metri (al posto di diversi Km) e raggiungendo portanti che arrivano anche a 85-90 Mb/s in download e 25-30 Mb/s in upload.

Su un profilo di questo tipo, fornire una connnettività da contratto di 30 Mb/s in download e 3Mb/s in upload è semplicissimo per gli operatori e la stabilità della connessione è garantita dal fatto che la linea stessa lavora a meno della metà della sua reale capacità di funzionamento (al contrario delle vecchie ADSL quando la velocità reale era praticamente data dalla massima capacità della linea, considerata la lunghezza, l’attenuazione, il disturbo ed altre variabili).

Unico intervento da parte dell’utente, oltre ad attivare un contratto con un operatore VDSL, è la sostituzione del modem con quello fornito dall’operatore, oppure utilizzando un modem proprio acquistato a parte.

Questa piccola guida riguarda proprio questo caso e consenitrà di configurare il modem per collegarsi tramite PPPoE esterna.

Prima cosa occorre configurare il modem per funzionare in modalità VDSL2. Molti modem hanno un’impostazione automatica che consente di selezionare automaticamente il profilo in base al tipo di segnale che viene rilevato sul doppino, ma per velocizzare l’accensione è preferibile impostare VDSL in manuale.

In seguito occorre configurare un nuovo bridge PTM per consentire ad un router esterno di effettuare la PPPoE tramite ethernet. Nella VDSL i valori di VPI e VCI sono stati sostituiti da un parametro chiamato VID (VLan ID). Per tutti i provider italiani, i vecchi valori di VPI/VCI erano 8/35. Anche le VDSL hanno mantenuto una numerazione simile utilizzando 835 come VID.

Da questo momento in poi possiamo collegare un PPPoE client (su router o su computer). L’indirizzo IP pubblico sarà comunque assegnato automaticamente.

Opzioni Bind su Debian con SystemD

Debian 8 si è ormai allineato alle altre distribuzioni passando a SystemD per la gestione e l’avvio dei servizi di sistema. Per la gestione dei comandi di avvio, spegnimento o riavvio dei servizi si utilizzano infatti i file presenti in /lib/systemd/system che vanno a sostituire i sistemi ormai deprecati basati su script bash in /etc/init.d.

Nel caso di Bind una delle opzioni più utilizzate è quella per disabilitare l’IPv6, che consiste nell’aggiungere il parametro -4 alla linea di comando di avvio. Per fare questo si modificava la variabile OPTIONS presente in /etc/default/bind9, ma con il nuovo sistema quesot file viene praticamente ignorato.

Per risolver il problema è possibile modificare direttamente il file /lib/systemd/system/bind9.service modificando il parametro ExecStart, oppure è possibile aggiungere una direttiva per specificare in quale file vengono impostate le variabili d’ambiente.

Ecco un esempio del file bind9.service:

Il file /etc/default/bind9 va modificato in questo modo:

Notare che è stato aggiungo il parametro -f necessario per il corretto funzionamento di named in systemd.

Creare una rete privata virtuale con OpenVPN

Al giorno d’oggi le reti private virtuali sono uno strumento fondamentale per chi lavora in remoto o chi vuole accedere in modo sicuro a risorse esterne senza dover esporre i servizi direttamente sulla rete pubblica. La VPN permette di creare una vera e propria LAN dedicata in cui far accedere solo i dispositivi considerati Trusted, o consente l’accesso a reti già esistenti attraverso sistemi di autenticazione, cifratura o accesso selettivo.

Tra le varie soluzioni esistenti ricopre un ruolo fondamentale la PPTP, ben supportata dai sistemi Apple (compresi iPad ed iPhone), su Android e dai sistemi Windows grazie ad un’integrazione nativa. Questa soluzione, oltre ad essere ormai datata, presenta diverse lacune dal punto di vista della sicurezza, ed inoltre si basa su un tunnel GRE (protocollo IP 47) per il traffico dati punto-punto, soluzione che spesso costringe a configurazioni particolari sopratutto nel caso in cui sia necessario stabilire più VPN sulla stessa macchina.

Una delle soluzioni più utilizzate oggi in campo enterprise è l’IPSec. In realtà con il termine IPSec si intende tutta una serie di strumenti utilizzati per cifrare, certificare e rendere sicuro il traffico all’interno di reti generiche, ma l’utilizzo più diffuso si ha nella creazione di VPN. Il sistema è largamente supportato da router/firewall hardware come Cisco o Juniper e sui sistemi Windows è presente un client nativo che consente di creare tunnel con protocollo L2TP/IPSec. Nei sistemi operativi Linux è necessaria l’installazione di software dedicati come OpenSWAN. La tecnologia è molto robusta dal punto di vista della sicurezza ma è più complessa rispetto ad altre soluzioni e richiede una configurazione molto articolata per un corretto funzionamento.

Al giorno d’oggi si stanno diffondendo diverse soluzioni proprietarie che fanno uso di client specifici installati sul sistema operativo. Se da un lato questa soluzione rende più semplice la connessione, dall’altro complica il libero utilizzo del computer perché i client installati sono in grado di configurare ogni aspetto del sistema operativo, comprese le regole di routing, DNS e firewall. Queste configurazioni sono necessarie per le VPN che di fatto inseriscono i PC direttamente nelle reti aziendali.

Una delle soluzioni più sicure, efficaci, meno invasive e sopratutto OpenSource è OpenVPN. Questo sistema, che ultimamente si sta diffondendo anche grazie a delle personalizzazioni commerciali spesso fornite con firewall hardware, fa uso di una soluzione mista tra un driver kernelspace ed un demone userspace. Di fatto il driver crea un’interfaccia di rete virtuale che può dialogare con le altre interfacce degli altri nodi per mezzo del demone in esecuzione.

La soluzione comprende autenticazioni per mezzo di certificati SSL fino a 4096 bit e può utilizzare sistemi di cifratura come l’AES-256. Il traffico dati tra un demone e l’altro può avvenire per mezzo di connessioni TCP o UDP, con porte completamente configurabili. Uno dei punti di forza di questa tecnologia è quello di poter lavorare sia in modalità “tun” che in modalità “tap”. La prima stabilisce una connessione punto punto in Layer3 ISO/OSI, mentre la seconda stabilisce un link su Layer2 ISO/OSI consentendo di creare un vero e proprio Switch di rete virtuale al quale ogni client accede e si collega.

Ho iniziato una piccola guida per la creazione di una VPN semplice da configurare. Potete trovarla nella pagina dedicata.