Creare una rete privata virtuale con OpenVPN

Al giorno d’oggi le reti private virtuali sono uno strumento fondamentale per chi lavora in remoto o chi vuole accedere in modo sicuro a risorse esterne senza dover esporre i servizi direttamente sulla rete pubblica. La VPN permette di creare una vera e propria LAN dedicata in cui far accedere solo i dispositivi considerati Trusted, o consente l’accesso a reti già esistenti attraverso sistemi di autenticazione, cifratura o accesso selettivo.

Tra le varie soluzioni esistenti ricopre un ruolo fondamentale la PPTP, ben supportata dai sistemi Apple (compresi iPad ed iPhone), su Android e dai sistemi Windows grazie ad un’integrazione nativa. Questa soluzione, oltre ad essere ormai datata, presenta diverse lacune dal punto di vista della sicurezza, ed inoltre si basa su un tunnel GRE (protocollo IP 47) per il traffico dati punto-punto, soluzione che spesso costringe a configurazioni particolari sopratutto nel caso in cui sia necessario stabilire più VPN sulla stessa macchina.

Una delle soluzioni più utilizzate oggi in campo enterprise è l’IPSec. In realtà con il termine IPSec si intende tutta una serie di strumenti utilizzati per cifrare, certificare e rendere sicuro il traffico all’interno di reti generiche, ma l’utilizzo più diffuso si ha nella creazione di VPN. Il sistema è largamente supportato da router/firewall hardware come Cisco o Juniper e sui sistemi Windows è presente un client nativo che consente di creare tunnel con protocollo L2TP/IPSec. Nei sistemi operativi Linux è necessaria l’installazione di software dedicati come OpenSWAN. La tecnologia è molto robusta dal punto di vista della sicurezza ma è più complessa rispetto ad altre soluzioni e richiede una configurazione molto articolata per un corretto funzionamento.

Al giorno d’oggi si stanno diffondendo diverse soluzioni proprietarie che fanno uso di client specifici installati sul sistema operativo. Se da un lato questa soluzione rende più semplice la connessione, dall’altro complica il libero utilizzo del computer perché i client installati sono in grado di configurare ogni aspetto del sistema operativo, comprese le regole di routing, DNS e firewall. Queste configurazioni sono necessarie per le VPN che di fatto inseriscono i PC direttamente nelle reti aziendali.

Una delle soluzioni più sicure, efficaci, meno invasive e sopratutto OpenSource è OpenVPN. Questo sistema, che ultimamente si sta diffondendo anche grazie a delle personalizzazioni commerciali spesso fornite con firewall hardware, fa uso di una soluzione mista tra un driver kernelspace ed un demone userspace. Di fatto il driver crea un’interfaccia di rete virtuale che può dialogare con le altre interfacce degli altri nodi per mezzo del demone in esecuzione.

La soluzione comprende autenticazioni per mezzo di certificati SSL fino a 4096 bit e può utilizzare sistemi di cifratura come l’AES-256. Il traffico dati tra un demone e l’altro può avvenire per mezzo di connessioni TCP o UDP, con porte completamente configurabili. Uno dei punti di forza di questa tecnologia è quello di poter lavorare sia in modalità “tun” che in modalità “tap”. La prima stabilisce una connessione punto punto in Layer3 ISO/OSI, mentre la seconda stabilisce un link su Layer2 ISO/OSI consentendo di creare un vero e proprio Switch di rete virtuale al quale ogni client accede e si collega.

Ho iniziato una piccola guida per la creazione di una VPN semplice da configurare. Potete trovarla nella pagina dedicata.

Telecom Italia e IPv6 su ADSL Alice

Girando su internet ho trovato questo articolo dove viene descritto come abilitare la connessione IPv6 nativa su ADSL Telecom.

In sostanza è sufficiente inserire delle credenziali di accesso particolari per l’autenticazione della PPPoE:
Username: adsl@alice6.it
Password: IPV6@alice6

In questo modo il sistema, oltre ad il classico indirizzo IPv4, vi assegna un indirizzo IPv6 da usare per la navigazione.

Il vostro modem deve supportare il protocollo IPv6 (io uso un router con OpenWRT) per gestire la cosa in automatica, in alternativa è necessario creare una connessione PPPoE nel proprio PC. Maggiori informazioni si trovano in questa guida ufficiale.

Linux live boot problem with KMS

The Linux Kernel support for modern video cards nowadays improves day by day, thanks to the great work in Open Source drivers. A new graphic system for Linux Kernel was introduced several years ago to support higher resolutions and deeper color space directly into the kernel-space rather than user-space, allowing fast virtual terminal switch and better video/monitor support. This system is called “Kernel ModeSetting”.

But sometimes the system fails to proper recognize how to setup the video card starting from the very boot sequence. The system may hangs during MKS-enabling and frame buffer module loading, especially booting in live systems.

In case of problems, Kernel Modesetting can be disabled in boot time editing the Kernel Command Line from your bootloader (lilo or grub) by simply adding this flag:

In this way your kernel will boot in standard VGA screen resolution allowing at least the usage of a standard console for data recovery or system backup.

Building FFMpeg 2.5.3 on Debian 7.8 i686

This guide will describe how to build the last FFmpeg 2.5.3 on Debian 7.8 with i686 architecture with custom install prefix both for FFmpeg and external libraries. In order to keep your system clear, FFmpeg will be compiled and installed in /opt/ffmpeg prefix, and will have all dependencies enabled using only libraries from official Debian repository with some needful libraries. Only x264, x265 and libaacplus will be added using the last version of sources from the last tarball release or the last commit in official CVS repositories.

In order to ensure that all copy and/or install commands have writing access to /opt directory, every “make install” command should be launched as root. Another solution is to create the destination directory by hand, change ownership to the building user, launch “make install” and finally re-change ownership to root. But the first is easier.

First of all you will need to install all compiling and repository tools using apt-get. You can copy/paste this command:

After that, you have to install all dependencies from official repository (both libraries and headers). Again, you can copy/paste the command:

Now you have to download official source archive. If you have problems with sources link you can browse the official FFmpeg site at https://www.ffmpeg.org/download.html and choose the last archive available. This guide will mostly work with all 2.5.x versions.

Now we need to prepare all external libraries. We start downloading sources using wget, git and mercurial. The first one is a tarball archive, so you have to extract it. The last two command directly create 2 directories with all sources inside.

In order to build x264 and x265 you will need a modern Yasm Modular Assembler. The version shipped with Debian official packages is too old (version 1.1.0), and we need YASM to be at least version 1.2.0. So we need to download and updated version on YASM and compile it.

After that you can build x264 video encoder. Enter in “x264″ directory and launch these commands. You have to prepend PATH environment variable in order to override default system path and ensure that configure script will use our fresh YASM installation. I prefer to prepend PATH in each command instead exporting it globally.

Now we have to build x265. Move to the right build folder and launch the configuration script using cmake. After that use the classical “make && make install”.

We continue building the last external library. Unpack libaacplus sources, enter in directory and build it. Have a look to the with-fftw3-prefix parameter. In Debian most of the libraries are installed in a arch-dependent directory, so you have to put the right folder based on your architecture. The most used are i386-linux-gnu and x86_64-linux-gnu. Remember to add the trailing slash at the end of the path.

All external libraries are done. Now, in order to let FFmpeg configure script to find the right external libraries, you need to prepare some environment variables. I prefer to prepare a script which do all the work and contains all configuration flags.

Now we need to launch classical “make && make install”

We are just one step from the end.

FFmpeg need to find all external libraries in order to be launched, and our libraries are installed using a custom prefix, with different directories inside /opt. I suggest to prepare an environment script which sets all variables needed, ready to be launched before calling ffmpeg command. Put it on /opt/ffmpeg/env.sh

Now, to launch FFmpeg from shell you can use these commands:

Now enjoy your fresh FFmpeg in your Debian.