Mikrotik: RouterOS v6.11 rilasciato

Il 20 marzo 2014 Mikrotik ha rilasciato la versione 6.11 del suo sistema operativo per router (RouterOS), le nuove funzionalità aggiunge/rimosse sono:

  • ipsec – fix aes-cbc hardware acceleration on CCR with key sizes 192 and 256;
  • wireless – add auto frequency feature;
  • ovpn – fixed TLS renegotiation;
  • ovpn – make bridge mode work with big packets (do not leave extraneous padding);
  • ovpn – fixed require-client-certifcate;
  • ppp – revert RADIUS NAS-Port behaviour, report tunnel interface id;
  • ppp – mppe encryption together with mrru locked the router;
  • dhcp – added support for DHCP option 138 – list of CAPWAP IPv4 servers;
  • quickset – added Guest Network setup to Home AP mode;
  • console – no longer required to supply value of ‘/routing bgp instance vrf’ property ‘instance’ for ‘add’ command;
  • ethernet – added option to enable rx/tx flow control (will be disabled by default);
  • ethernet – added ability to specify advertised modes for copper ports;
  • fixed 100% cpu usage on CCRs;
  • ssl – not finding CRL in local store for any certificate in trust chain will cause connection to fail;
  • lte – support for Huawei ME609 and ME909u-521;

L’aggiornamento è scaricabile gratuitamente, se la licenza in possesso lo consente, dal seguente link (http://www.mikrotik.com/download).

Backup/Restore connessioni di rete

 

Per chi, come me, si occupa di consulenza informatica e segue diversi clienti avrà decine di connessioni VPN. Quando si cambia computer o si reinstalla il sistema operativo una delle tante operazioni noiose è quella di dover ricreare tutte queste connessioni, con i relativi parametri, impostazioni, etc.

In occasione dell’installazione di Windows 8 il problema si è presentato di nuovo e così mi sono deciso a trovare una soluzione definitiva.

In realtà la soluzione è molto semplice visto che Windows salva tutti i dati delle connessioni di rete nel file rasphone.pbk, basta quindi salvare questo file e ripristinarlo sulla nuova macchina.

Su Windows 7/Windows 8 il file si trova nella cartella

%userprofile%\AppData\Roaming\Microsoft\Network\Connections\Pbk

mentre su Windows XP si trova in

c:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk

Una volta copiato copiato il file nel nuovo computer basterà eseguire un logoff/login per vedere al loro poste tutte le connessioni VPN.

L’unico neo di questo procedimento è che non vengono salvati username e password delle connessioni.

Implementazione di una VPN SSTP

 

Chiunque si trovi ad amministrare dei server, sia propri o dei propri clienti, usa sicuramente una VPN per collegarsi con la propria rete LAN. Fino a qualche tempo fa le uniche alternative di tunneling erano il PPTP o l’L2TP/IPSEC. Con l’uscita di Windows Server 2008 e Windows Vista SP1 è stato aggiunto un ulteriore protocollo di tunneling Secure Socket Tunneling Protocol (SSTP) che usa eslusivamente il protocollo HTTPS sulla porta TCP 443. Questo lo rende immune da tutti i problemi che ben conosciamo relativamente ai firewall, proxy, etc. che spesso bloccano gli altri protocolli.

Nel server SSTP deve avere un certificato computer con l’opzione Server Authentication o All-Purpose Enhanced Key Usage (EKU). Questo certificato è usato dal client SSTP per autenticare il server quando la sessione viene inizializzata. Per validare il certificato del server nel computer client deve essere installato il certificato della root authority (CA) che ha rilasciato il certificato del server.

Vediamo una tabella comparativa dei tre protocolli.

Attributes PPTP L2TP/IPSEC SSTP
Encapsulation GRE L2TP over UDP SSTP over TCP
Encryption Microsoft Point-to-Point Encryption (MPPE) with RC4 IPsec ESP with Triple Data Encryption Standard (3DES) or Advanced Encryption Standard (AES) SSL with RC4 or AES
Tunnel maintenance protocol PPTP L2TP SSTP
When user authentication occurs Before encryption begins After the IPsec session is established After the SSL session is established
Certificates required to establish the VPN tunnel none Computer certificates on both the VPN client and VPN server Computer certificate on the VPN server and root CA certificate on the VPN client

 

Quando un utente su un computer che esegue Windows Server 2008, Windows Server 2008 R2, Windows Vista SP1 o Windows 7 inizia una connessione VPN basata su SSTP i seguenti passaggi vengono eseguiti:

  1. The SSTP client establishes a TCP connection with the SSTP server between a dynamically-allocated TCP port on the client and TCP port 443 on the server.
  2. The SSTP client sends an SSL Client-Hello message, indicating that the client wants to create an SSL session with the SSTP server.
  3. The SSTP server sends its computer certificate to the SSTP client.
  4. The SSTP client validates the computer certificate, determines the encryption method for the SSL session, generates an SSL session key and then encrypts it with the public key of the SSTP server’s certificate.
  5. The SSTP client sends the encrypted form of the SSL session key to the SSTP server.
  6. The SSTP server decrypts the encrypted SSL session key with the private key of its computer certificate. All future communication between the SSTP client and the SSTP server is encrypted with the negotiated encryption method and SSL session key.
  7. The SSTP client sends an HTTP over SSL request message to the SSTP server.
  8. The SSTP client negotiates an SSTP tunnel with the SSTP server.
  9. The SSTP client negotiates a PPP connection with the SSTP server. This negotiation includes authenticating the user’s credentials with a PPP authentication method and configuring settings for IPv4 or IPv6 traffic.
  10. The SSTP client begins sending IPv4 or IPv6 traffic over the PPP link.

 

In questa guida cercherò di descrivere i passi fondamentali per creare una semplice struttura in grado di accettare connessioni VPN SSTP. Molte impostazioni saranno scelte per semplificare la guida e non devono assolutamente essere implementate in produzione.

L’ambiente utilizzato è un ambiente virtuale composto da 3 macchine:

  • DC1 (Windows Server 2008 R2) – Domain Controller, Server DNS
  • VPN1 (Windows Server 2008 R2) – Routing and Remote Access (2 eth), AD Certificate Services, IIS
  • CLIENT1 (Windows 7 Business) – Client

La figura seguente illustra la configurazione dell’ambiente:

Configuration of the SSTP connection test lab.

 

Configurazione di DC1

Il server DC1 va configurato come Domain Controller e Server DNS, i passi da seguire sono:

  1. Rinominare il server in DC1
  2. Assegnare all’interfaccia di rete l’indirizzo IP 192.168.0.1, subnet mask 255.255.255.0, gateway 192.168.0.2, server DNS 192.168.0.1
  3. Aggiungere il ruolo Active Directory Domain Services
  4. Creare un nuovo dominio in una nuova foresta tramite il comando DCPROMO e chiamarlo CONTOSO.COM
  5. Impostare il livello di funzionalità del dominio e della foresta ad almeno Windows Server 2003
  6. Installare il server DNS
  7. Creare l’utente user1 con password P@ssw0rd e assegniamo l’accesso dial-in tramite la console Active Directory Users and Computers, tasto destro sull’utente, Dial-in tab, in Network Access Permission cliccare su Allow access.
    Nota: In uno scenario reale è preferibile gestire i permessi di accesso tramite Network Policy Server (NPS).
    image

 

Configurazione di VPN1

Questo server ha due schede di rete, una Privata e una Pubblica e svolgerà i ruoli di server RRAS, Active Directory Certificate Services, Certification Authority Web Enrollment, Web Server (IIS). I passi da seguire sono:

  1. Rinominare il server in VPN1
  2. Rinominare l’interfaccia interna in Private e l’interfaccia esterna in Public
  3. Assegnare all’interfaccia Private l’IP 192.168.0.2, subnet mask 255.255.255.0, server dns 192.168.0.1
  4. Assegnare all’interfaccia Public l’IP 131.107.0.2 e subnet mask 255.255.0.0
  5. Verificare che il server DC1 sia raggiungibile tramite il comando ping DC1
  6. Unire il computer al dominio contoso.com
  7. Installare il ruolo Active Directory Certificate Services con il servizio Certification Authority Web Enrollment, scegliere una CA standalone e poi Root CA, creare una chiave private e proseguire con le impostazioni di default. Il nome della CA dovrebbe essere contoso-VPN1-CA
  8. Impostare il security level di Internet Explorer per la zona Local Intranet a Low
    Nota: In uno scenario reale si dovrebbe modificare l’impostazione individuale realtiva ai controlli ActiveX.
    image
  9. Richiedere un nuovo certificato del tipo Server Authentication tramite Internet Explorer andando all’indirizzo http://localhost/certsrv scegliere Request a certificate, e poi advanced certificate request e infine Create and submit a request to this CA, cliccare si per permettere il controllo ActiveX e compilare il form con i seguenti valori:
    1. Name: vpn1.contoso.com
    2. Country/Region: IT
    3. Type of Certificate Needed: Server Authentication Certificate
    4. Mark keys as exportable: Yes
  10. Cliccare su Submit
    image
  11. Aprire la console Certification Authority
  12. Scegliere il tab Extensions nelle proprietà del server contoso-VPN1-CA e cancellare la riga http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
  13. Inserire la riga http://vpn1.contoso.com/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl e spuntare le voci Include in CRLs. Clients use this to find Delta CRL locations e Include in the CDP extension of issue certificates
    image
  14. Rilasciare il certificato richiesto andando in Pending Requests e scegliere Issue sulla richiesta presente.
  15. Tornare all’indirizzo http://localhost/certsrv e cliccare su View the status of a pending certificate request e poi su Server Authentication Certificate (mercoledì 27 aprile 2011 00:06:22), consentire l’ActiveX e installare il certificato cliccando su Install the certificate. Il certificato sarò così installato nel datastore dell’utente, dobbiamo spostarlo nel datastore computer.
  16. Aprire la console MMC e aggiungere due volte lo snap-in Certificates, una volta per gestire i certificati dell’account utente e una volta per l’account computer locale
  17. Andare in Console Root\Certificates – Current User\Personal\Certificates, cliccare sul certificato vpn1.contoso.com e scegliere Export, scegliere Yes, export the private key, scegliere una password e salvare il file sul desktop con il nome vpn1cert.pfx
  18. Cancellare il certificato appena esportato
  19. Andare in Console Root\Certificates (Local Computer)\Personal\Certificates, cliccare su Certificates e scegliere Import, selezionare il file salvato in precedenza, inserire la password e proseguire con le impostazioni di default
    Nota: La presenza del certificato contoso-VPN-CA1 di tipo all purposes può causare problemi, conviene quindi eliminarlo
    image
  20. Installare il ruolo Network Policy and Access Services e scegliere il servizio Routing and Remote Access Services
    image
  21. Aprire la console di gestione del Routing and Remote Access e cliccare con il tasto destro sul nome del server VPN1 e scegliere Configure and Enable Routing and Remote Access, scegliere Remote access (dial-up or VPN) e successivamente spuntare la casella VPN, selezionare l’interfaccia Public e togliere la spunta su Enable security on the selected interface by setting up static packet filters.
    Nota: In uno scenario reale si dovrebbe lasciare questa opzione abilitata.
  22. Non avendo in questo lab un server DHCP scegliamo From a specified range of address nel successivo passo e impostiamo il range 192.168.0.200-192.168.0.210 e nella richiesta successiva lasciamo l’opzione di default per non usare un server RADIUS per l’autenticazione.
  23. Nella finestra successiva di informazione circa la necessità di configurare le proprietà del DHCP Agent clicchiamo su Ok.
    image

 

Configurazione di CLIENT1

L’interfaccia di rete del CLIENT1 andrà collegata allo stesso switch virtuale dell’interfaccia pubblica di VPN1 e i successivi passi da seguire sono:

  1. Rinominare il client in CLIENT1
  2. Assegnare all’interfaccia di rete l’indirizzo IP 131.107.0.3, subnet mask 255.255.0.0
  3. Non avendo un server DNS nella parte pubblica del lab creiamo un record nel file hosts del client per risolvere il server vpn1.contoso.com. Apriamo il Notepad con i privilegi elevati e carichiamo il file %windir%\system32\drivers\etc\hosts e inseriamo alla fine la riga seguente:

    131.107.0.2    vpn1.contoso.com

    in modo da risolvere il FQDN vpn1.contoso.com con 131.107.0.2 che è l’ip assegnato all’interfaccia pubblica di VPN1.

  4. Possiamo testare la connessione con il server VPN1 eseguendo un ping vpn1.contoso.com
    image
  5. Nel caso il ping fallisca modifichiamo le impostazioni del Firewall sul server VPN1 per accettare le richieste di ping sull’interfaccia Public
    image

 

Configurazione connessione VPN PPTP

Testiamo ora una connessione VPN PPTP per verificare che tutto sia configurato correttamente. Dal CLIENT1 creare una nuova connessione di rete del tipo Connect to a workplace
image

scegliamo Use my Internet connection (VPN) e successivamente I’ll set up an Internet connection later, come indirizzo inseriamo vpn1.contoso.com e come utente e password quelli creati in AD, utente user1 e password P@ssw0rd.

Terminata la configurazione della connessione possiamo farla partire cliccando sull’icona nell’elenco delle connessioni VPN:
image

e una volta stabilito il collegamento possiamo verificare la configurazione di rete tramite il comando ipconfig:
image

come si può vedere ci è stato assegnato l’indirizzo 192.168.0.203. Andando a visualizzare lo stato della connessione VPN ci accorgiamo che stiamo utilizzando il PPTP:
image

A questo punto possiamo disconnetterci e nel server VPN1 configurare il firewall per bloccare il protocollo GRE così da bloccare i tunnel PPTP:
image

dopodichè se proviamo a connetterci in VPN dovremmo ottenere un errore e la connessione non sarà instaurata.

 

Configurazione connessione VPN SSTP

Un client VPN per usare una connessione STP deve aver installto il certificato della root CA che ha rilasciato il certificato usato dal server. Durante il fase di autenticazione SSL il client verifica il certificato del server.

Per ottenere il certificato della root CA basta andare all’indirizzo http://vpn1.contoso.com/certsrv cliccare su Download a CA certificate, Certificate Chain, or CRL e poi su Download CA certificate.

Nella finestra che si apre scegliamo Open
image

e nelle proprietà del certifichiamo clicchiamo su Install Certificate… per installarlo scegliendo tutte le impostazioni di default
image

Il certificato sarà installato nel datastore dell’utente, dobbiamo ora spostarlo in quello relativo al computer per poterlo usare per la connessione VPN. Per far questo apriamo una console MMC e inseriamo due volte lo snap-in Certificates, una volta per l’account utente e una volta per il computer locale.

Apriamo il percorso Console Root\Certificates – Current User\Intermediate Certification Authorities\Certificates e dovremmo vedere il certificato rilasciato a contoso-VPN1-CA, tramite un’operazione di Cut&Paste andiamo ad spostarlo nel percorso Console Root\Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates
image

Visualizziamo ora le proprietà della connessione VPN e nel tab Security impostiamo il tipo VPN a Secure Socket Tunneling Protocol (SSTP):
image

dopodichè possiamo far partire la connessione. Se tutto è andato a buon fine la connessione VPN dovrebbe instaurarsi correttamente e nelle proprietà della connessione possiamo vedere il tipo SSTP:
image

Il tutto sfruttando esclusivamente la porta TCP 443 (HTTPS)
image

 

Link

Configurare un server DHCP con un router Cisco

cisco

A volte potrebbe essere necessario configurare un router Cisco per fungere da server DHCP per la rete, anche se di norma preferisco far svolgere questo ruolo a un server Windows così da avere maggiore possibilità di configurazione e integrazione con i servizi Active Directory, DNS, etc..

Non ricordando mai a memoria i comandi necessari posto qui una configurazione minimale da usare in caso di emergenza.

Supponiamo di avere un indirizzo di rete del tipo 192.168.1.0/24 e un’interfaccia del router configurata ad esempio con 192.168.1.1/24, una volta entrati in configurazione con il comando conf t inseriamo la configurazione vera e propria:

service dhcp
ip dhcp pool POOLNAME
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.5 192.168.1.6
domain-name dominio.local
exit
ip dhcp excluded-address 192.168.1.1 192.168.1.99

terminiamo con Ctrl+Z e salviamo la configurazione con il comando wr.

Nell’esempio viene creato un pool dhcp con il nome POOLNAME, viene utilizzato l’indirizzo di rete 192.168.1.0 con netmask 255.255.255.0, viene fornito l’indirizzo del router 192.168.1.1 e di due server dns 192.168.1.5 e 192.168.1.6, viene fornito un suffisso dns del tipo dominio.local e infine vengono esclusi dal range tutti gli IP da 192.168.1.1 a 192.168.1.99.

Per un approfondimento sui comandi relativi al servizio DHCP vi rimando a queta pagina Configuring DHCP (http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html).

Technorati Tags:

Installare il Responder LLTD su XP SP3

A partire da Windows Vista Microsoft ha inserito la funzione Network Map con la quale è possibile visualizzare una mappa topologica della rete LAN, sfruttando il protocollo Link Layer Topology Discovery (LLTD).

 

image

 

Le macchine con Windows XP non vengono rilevate e quindi non sono visibili nello schema, se comunque volete visualizzarle è possibile scaricare il protocollo LLPTD a questo indirizzo Link Layer Topology Discovery (LLTD) Responder (KB922120). Una volta scaricato il file nella lingua del vostro sistema non dovete far altro che installarlo e la macchina sarà visibile nella mappa di rete.

Se provate a installare l’aggiornamento in una macchina con XP SP3 sicuramente riceverete un errore del tipo:

image

e non vi resta che installare l’aggiornamento manualmente. La procedura da seguire è molto semplice:

  1. Aprire un quadro dos e posizionarsi nella directory contenente il file di aggiornamento WindowsXP-KB922120-v5-ITA.exe
  2. Lanciare il comando WindowsXP-KB922120-v5-ENU.exe –x:c:\922120 per estrarre i file dell’aggiornamento nella directory c:\922120
  3. Posizionarsi nella cartella c:\922120\SP2QFE tramite il comando cd c:\922120\SP2QFE
  4. Copiare il file rspndr.sys nella directory Drivers contenuta in System32 tramite il comando copy rspndr.sys %windir%\System32\Drivers
  5. Copiare il file rspndr.exe nella directory System32 tramite il comando copy rspndr.exe %windir%\System32
  6. Copiare il file rspndr.inf contenuto nella cartella ip nella cartella Inf con il comando copy ip\rspndr.inf %windir%\Inf
  7. Installare il protocollo con il comando %windir%\System32\rspndr.exe –i

Dovreste ricevere un messaggio del tipo:

Install lltd driver
The lltd driver is successfully installed

a conferma della corretta installazione.

Ora non vi resta che lanciare un refresh della mappa della rete da una macchina Vista/7 per vedere la macchina XP.

 

Technorati Tags: