8.5. Rete privata virtuale (VPN)

Un network privato virtuale (VPN) è un gruppo di due o più computer che hanno tra di loro una connessione privata con un accesso limitato dall'esterno, in pratica permette una comunicazione sicura su rete pubblica. VPN permette la connessione tra un singolo computer e una rete privata (client-server), oppure tra una LAN remota ed una rete privata (server-server). VPN include la possibilità di cifrare ed autenticare in modalità sicura utenti remoti oppure host ed inoltre anche metodi per nascondere la tipologia della rete.

Debian mette a disposizione alcuni pacchetti per configurare correttamente una rete privata cifrata:

vtun
tunnelv (sezione non-US)
cipe-source, cipe-common
tinc
secvpn
pptpd
openvpn
openswan (http://www.openswan.org/)

FIXME: aggiornare qui le informazioni fino a quando non saranno scritte con FreeSWAN in testa. Controllare l'errore #237764 e l'id del messaggio: <200412101215.04040.rmayr@debian.org>.

Il pacchetto FreeSWAN probabilmente è la miglior scelta tra tutte quelle proposte, può essere usato da chiunque usi il protocollo di sicurezza IPsec (RFC 2411). Comunque gli altri pacchetti presenti nella lista possono aiutare a creare facilmente un tunnel. Il tunnel punto punto (PPTP) è un protocollo per VPN di proprietà della Microsoft. Viene supportato da Linux, ma sono noti seri problemi concernenti la sicurezza.

For more information see the http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html (covers IPsec and PPTP), http://www.tldp.org/HOWTO/VPN-HOWTO.html (covers PPP over SSH), http://www.tldp.org/HOWTO/mini/Cipe+Masq.html, and http://www.tldp.org/HOWTO/mini/ppp-ssh/index.html.

Also worth checking out is http://yavipin.sourceforge.net/, but no Debian packages seem to be available yet.

8.5.1. Tunneling punto punto

Se volete avere un tunnel sicuro tra sistemi operativi differenti (nello stesso tempo postazioni con sistema operativo Microsoft e con Linux) e che IPsec non sia un opzione (è il solo fornito per Windows 2000 e Windows XP), dovrete usare PoPToP (server tunneling punto punto), fornito dal pacchetto pptpd.

Se volete usare l'autenticazione e criptazione di Microsoft, mediante il server fornito dal pacchetto ppp, leggete questo estratto tratto dalle FAQ:

It is only necessary to use PPP 2.3.8 if you want Microsoft compatible
MSCHAPv2/MPPE authentication and encryption. The reason for this is that
the MSCHAPv2/MPPE patch currently supplied (19990813) is against PPP
2.3.8. If you don't need Microsoft compatible authentication/encryption
any 2.3.x PPP source will be fine.

Comunque, dovete anche applicare una patch al kernel, presente nel pacchetto kernel-patch-mppe, che mette a disposizione il modulo pp-mppe per pppd.

Avere un account cifrato con ppptp vi obbliga a conservare le password in chiaro e senza cifratura, inoltre nel protocollo MS_CHAPv2 sono presenti http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/.