Re: raccolta informazioni sui client in LAN

[Marco Gaiarin]

Mandi! Piviul
  In chel di` si favelave...

> Per caso che voi sappiate ci sono software liberi analoghi?

Se vuoi anche un po' di asset management, ticket, ... puoi dare una occhiata
a GLPI, con il suo modulo inventario, ex fusioninventory.

-- 
  Berlusconi: "Quando scendo io in campo per la sinistra non c'è scampo"
  É proprio vero che siamo un paese di poeti, santi e navigatori...

raccolta informazioni sui client in LAN

[Piviul]

Ciao a tutti, parecchi anni fa utilizzavo nethaudit, un software che mi 
permetteva di conoscere parecchie informazioni sui clients in LAN: 
versione del SO, patch installate, software installati, product keys 
installati... poi il progetto è morto e me ne sono fatto una ragione.


Per caso che voi sappiate ci sono software liberi analoghi?

Grazie

Piviul

Re: LAN vulnerability scanner

[Davide Prina]

On 22/09/21 08:40, Piviul wrote:

Il 20/09/21 21:17, Davide Prina ha scritto:
lo hanno tolto da testing prima che diventasse stable per la politica 
usata negli aggiornamenti upstream che lo rende non distribuibile in 
una Debian stable


vedi:
$ querybts 986531


grazie Davide, quindi da quel che si legge non si ha proprio speranze di 
utilizzarlo...


potrebbe essere che lo facciano arrivare in testing e poi se il problema 
persiste lo ritoglieranno quando l'attuale testing si prepara a 
diventare la prossima stable



l'unica speranza forse sarebbe prenderlo da sid.


puoi benissimo aggiungere i repository di unstable in sources.list
e poi fai il pinning in /etc/apt/preferences in modo che di default 
prende sempre tutti i pacchetti da testing, mentre da unstable li prende 
solo se durante l'installazione lo indichi esplicitamente


qualcosa del genere:

Package: *
Pin: release a=testing
Pin-Priority: 990

Package: *
Pin: release a=unstable
Pin-Priority: 400

Ciao
Davide
--
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: LAN vulnerability scanner

[Piviul]

Il 20/09/21 21:30, Davide Prina ha scritto:

On 20/09/21 11:55, Piviul wrote:
esiste uno scanner libero che rilevi i problemi di sicurezza dei 
devices in una LAN?


per lan non so, ma se sei su una macchina Debian puoi usare debsecan

Volendo, se tutte le macchine sono Debian puoi fare uno script che lo 
esegue su ognuna e poi ti manda i risultati.


È uno strumento "statico" che ti mostra le vulnerabilità riscontrate 
nei pacchetti installati e non eventuali configurazioni/abilitazioni 
personalizzate che possono aver tolto o introdotto delle vulnerabilità.
Tieni conto che poi la vulnerabilità si "manifesta", di solito, solo 
in determinati usi/casi che possono non riguardarti.
In altri casi può essere che il pacchetto non abbia vulnerabilità, ma 
è il modo in cui lo hai configurato/esposto/... che determina una 
vulnerabilità non intrinseca nel pacchetto.


Inoltre c'è da tenere in conto una cosa interessante: le segnalazioni 
di vulnerabilità, che poi creano i CVE, sono create da terze parti 
rispetto agli sviluppatori upstream. Questo fa si, in alcuni casi, che 
una vulnerabilità, ritenuta tale da tali terzi, sia ritenuta non 
valida a livello upstream e quindi non venga mai "sanata".


Grazie Davide, considerazioni interessanti...

Piviul

Re: LAN vulnerability scanner

[Piviul]

Il 20/09/21 21:17, Davide Prina ha scritto:
lo hanno tolto da testing prima che diventasse stable per la politica 
usata negli aggiornamenti upstream che lo rende non distribuibile in 
una Debian stable


vedi:
$ querybts 986531


grazie Davide, quindi da quel che si legge non si ha proprio speranze di 
utilizzarlo... l'unica speranza forse sarebbe prenderlo da sid.


Grazie ancora

Piviul

Re: LAN vulnerability scanner

[Giuliano Grandin]

Il Lun 20 Set 2021, 17:13 Piviul  ha scritto:



grazie Giuliano... il fatto è che sia gvm che openvas in testing non sono
> nei repositories standard e in stable dipendono da librerie più recenti di
> quelle presenti... tu sei riuscito ad installarlo e a farlo funzionare?
>

No, non ho ancora fatto niente, non ha una priorità molto alta, anche se
c'è ...

Giuliano

Re: LAN vulnerability scanner

[Davide Prina]

On 20/09/21 11:55, Piviul wrote:
esiste uno scanner libero che rilevi i 
problemi di sicurezza dei devices in una LAN?


per lan non so, ma se sei su una macchina Debian puoi usare debsecan

Volendo, se tutte le macchine sono Debian puoi fare uno script che lo 
esegue su ognuna e poi ti manda i risultati.


È uno strumento "statico" che ti mostra le vulnerabilità riscontrate nei 
pacchetti installati e non eventuali configurazioni/abilitazioni 
personalizzate che possono aver tolto o introdotto delle vulnerabilità.
Tieni conto che poi la vulnerabilità si "manifesta", di solito, solo in 
determinati usi/casi che possono non riguardarti.
In altri casi può essere che il pacchetto non abbia vulnerabilità, ma è 
il modo in cui lo hai configurato/esposto/... che determina una 
vulnerabilità non intrinseca nel pacchetto.


Inoltre c'è da tenere in conto una cosa interessante: le segnalazioni di 
vulnerabilità, che poi creano i CVE, sono create da terze parti rispetto 
agli sviluppatori upstream. Questo fa si, in alcuni casi, che una 
vulnerabilità, ritenuta tale da tali terzi, sia ritenuta non valida a 
livello upstream e quindi non venga mai "sanata".


Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
$
Perché microsoft continua a compiere azioni illegali?:
http://linguistico.sf.net/wiki/doku.php?id=traduzioni:ms_illegal
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: LAN vulnerability scanner

[Davide Prina]

On 20/09/21 17:02, Piviul wrote:


Il 20/09/21 16:18, Giuliano Grandin ha scritto:



https://packages.debian.org/sid/gvm 


grazie Giuliano... il fatto è che sia gvm che openvas in testing non 
sono nei repositories standard e in stable dipendono da librerie più 
recenti di quelle presenti... tu sei riuscito ad installarlo e a farlo 
funzionare?


lo hanno tolto da testing prima che diventasse stable per la politica 
usata negli aggiornamenti upstream che lo rende non distribuibile in una 
Debian stable


vedi:
$ querybts 986531

Ciao
Davide
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: LAN vulnerability scanner

[Piviul]

Il 20/09/21 16:18, Giuliano Grandin ha scritto:
Il Lun 20 Set 2021, 16:10 Piviul > ha scritto:






Il giorno lun 20 set 2021 alle ore 11:55 Piviul mailto:piv...@riminilug.it>
Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato
è OpenVAS >


ho dato un'occhiata e non ci ho capito un gran che... la community
version è la trial version? Esistono solo le immagini per
virtualbox e vmware? qualcuno in internet parla di una live iso ma
credo non la facciano più... :(


Oggi ho trovato questo, pare il successore:

https://packages.debian.org/sid/gvm 


grazie Giuliano... il fatto è che sia gvm che openvas in testing non 
sono nei repositories standard e in stable dipendono da librerie più 
recenti di quelle presenti... tu sei riuscito ad installarlo e a farlo 
funzionare?


Grazie

Piviul

Re: LAN vulnerability scanner

[Giuliano Grandin]

Il Lun 20 Set 2021, 16:10 Piviul  ha scritto:

>


> Il giorno lun 20 set 2021 alle ore 11:55 Piviul  
> Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è OpenVAS
> 
>
> ho dato un'occhiata e non ci ho capito un gran che... la community version
> è la trial version? Esistono solo le immagini per virtualbox e vmware?
> qualcuno in internet parla di una live iso ma credo non la facciano più...
> :(
>

Oggi ho trovato questo, pare il successore:

https://packages.debian.org/sid/gvm


hth
Giuliano

Re: LAN vulnerability scanner

[Piviul]

Il 20/09/21 12:59, Lorenzo Breda ha scritto:
Il giorno lun 20 set 2021 alle ore 11:55 Piviul <mailto:piv...@riminilug.it>> ha scritto:


Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque:
siccome
ho altri dubbi sul loro scanner esiste uno scanner libero che
rilevi i
problemi di sicurezza dei devices in una LAN?

[¹] https://www.tenable.com/products/nessus/nessus-professional
<https://www.tenable.com/products/nessus/nessus-professional>


Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è 
OpenVAS <https://www.openvas.org/ <https://www.openvas.org/>>


ho dato un'occhiata e non ci ho capito un gran che... la community 
version è la trial version? Esistono solo le immagini per virtualbox e 
vmware? qualcuno in internet parla di una live iso ma credo non la 
facciano più... :(


Grazie!

Piviul

Re: LAN vulnerability scanner

[Lorenzo Breda]

Il giorno lun 20 set 2021 alle ore 11:55 Piviul  ha
scritto:

> Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome
> ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i
> problemi di sicurezza dei devices in una LAN?
>
> [¹] https://www.tenable.com/products/nessus/nessus-professional
>
>
Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è OpenVAS <
https://www.openvas.org/>

-- 
Lorenzo Breda

Re: LAN vulnerability scanner

[Felipe Salvador]

On Mon, Sep 20, 2021 at 11:55:50AM +0200, Piviul wrote:
> Ciao a tutti, un consulente ha lanciato nessus[¹] della tenable, un
> tool leader secondo loro per verificare le falle di sicurezza presenti
> in una LAN, sulla nostra rete locale e fra le altre cose ha segnalato
> che su un server con debian buster aggiornato ha ritrovato le seguenti
> falle di sicurezza:
> 
> Severity         CVSS v3.0         Plugin     Name
> 
> High         5.0         138098     Apache Tomcat 9.0.0.M1 < 9.0.36 DoS
> High         5.0         138591     Apache Tomcat 9.0.0.M1 < 9.0.37
> Multiple Vulnerabilities
> High         5.0         147164     Apache Tomcat 9.0.0.M1 < 9.0.43
> Multiple Vulnerabilities
> High         5.0         144050     Apache Tomcat 9.x < 9.0.40
> Information Disclosure
> High         4.4         136806     Apache Tomcat 9.0.0 < 9.0.35
> Remote Code Execution
> Medium         6.1         104743     TLS Version 1.0 Protocol Detection

Almeno per quanto riguarda TLS, questa è una impostazione di Apache.
https://tecadmin.net/enable-tls-in-modssl-and-apache/


> Medium         5.0         152182     Apache Tomcat 9.0.0.M1 < 9.0.48
> vulnerability
> Medium         5.0         12085     Apache Tomcat Default Files
> Medium         4.0         141446     Apache Tomcat 8.5.x < 8.5.58 /
> 9.0.x < 9.0.38 HTTP/2 Request Mix-Up
> 
> in effetti ho verificato e la versione in buster di Tomcat è 9.0.31
> che è minore della 9.0.36; poi sono andato a vedere i codici dei
> plugin di riferimento sul sito della tenable e ho trovato i seguenti:
> 
> https://www.tenable.com/plugins/nessus/138098
> https://www.tenable.com/plugins/nessus/138591
> https://www.tenable.com/plugins/nessus/147164
> https://www.tenable.com/plugins/nessus/144050
> https://www.tenable.com/plugins/nessus/136806
> 
> A questo punto sono andato a vedere cosa diceva debian sui CVE relativi:
> 
> https://security-tracker.debian.org/tracker/CVE-2020-11996
> https://security-tracker.debian.org/tracker/CVE-2020-13935
> https://security-tracker.debian.org/tracker/CVE-2021-25122
> https://security-tracker.debian.org/tracker/CVE-2020-17527
> https://security-tracker.debian.org/tracker/CVE-2020-9484
> 
> e in tutti i casi dice che il problema è stato risolto. A questo punto
> credo che il problema sia nel plugin nessus...
> 
> Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome
> ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i
> problemi di sicurezza dei devices in una LAN?
> 
> [¹] https://www.tenable.com/products/nessus/nessus-professional


Saluti
-- 

Felipe Salvador

LAN vulnerability scanner

[Piviul]

Ciao a tutti, un consulente ha lanciato nessus[¹] della tenable, un tool 
leader secondo loro per verificare le falle di sicurezza presenti in una 
LAN, sulla nostra rete locale e fra le altre cose ha segnalato che su un 
server con debian buster aggiornato ha ritrovato le seguenti falle di 
sicurezza:


Severity         CVSS v3.0         Plugin     Name

High         5.0         138098     Apache Tomcat 9.0.0.M1 < 9.0.36 DoS
High         5.0         138591     Apache Tomcat 9.0.0.M1 < 9.0.37 
Multiple Vulnerabilities
High         5.0         147164     Apache Tomcat 9.0.0.M1 < 9.0.43 
Multiple Vulnerabilities
High         5.0         144050     Apache Tomcat 9.x < 9.0.40 
Information Disclosure
High         4.4         136806     Apache Tomcat 9.0.0 < 9.0.35 Remote 
Code Execution

Medium         6.1         104743     TLS Version 1.0 Protocol Detection
Medium         5.0         152182     Apache Tomcat 9.0.0.M1 < 9.0.48 
vulnerability

Medium         5.0         12085     Apache Tomcat Default Files
Medium         4.0         141446     Apache Tomcat 8.5.x < 8.5.58 / 
9.0.x < 9.0.38 HTTP/2 Request Mix-Up


in effetti ho verificato e la versione in buster di Tomcat è 9.0.31 che 
è minore della 9.0.36; poi sono andato a vedere i codici dei plugin di 
riferimento sul sito della tenable e ho trovato i seguenti:


https://www.tenable.com/plugins/nessus/138098
https://www.tenable.com/plugins/nessus/138591
https://www.tenable.com/plugins/nessus/147164
https://www.tenable.com/plugins/nessus/144050
https://www.tenable.com/plugins/nessus/136806

A questo punto sono andato a vedere cosa diceva debian sui CVE relativi:

https://security-tracker.debian.org/tracker/CVE-2020-11996
https://security-tracker.debian.org/tracker/CVE-2020-13935
https://security-tracker.debian.org/tracker/CVE-2021-25122
https://security-tracker.debian.org/tracker/CVE-2020-17527
https://security-tracker.debian.org/tracker/CVE-2020-9484

e in tutti i casi dice che il problema è stato risolto. A questo punto 
credo che il problema sia nel plugin nessus...


Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome 
ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i 
problemi di sicurezza dei devices in una LAN?


[¹] https://www.tenable.com/products/nessus/nessus-professional

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Paolo Miotto  writes:


Il 26/07/21 19:58, Leandro Noferini ha scritto:

Io ho necessità di una vpn per poter avere un IP statico da una
connessione casalinga per non aver problemi con i servizi che 
non
vogliono IP residenziali (fondamentalmente l'email ma anche 
roba come

XMPP).


Purtroppo è vero, ci sono servizi che penalizzano gli ip 
assegnati agli utenti

residenziali.

Un serverino in cloud non è pensabile?


È quella cosa della mia "idea" che non lo rende una soluzione 
perseguibile.


L'idea del proxy esterno non mi piace gran che perché in ogni 
caso avrei
una parte fondamentale della mia rete al di fuori del mio 
controllo,

cosa che snaturerebbe la mia idea.



Posso capire questa tua obiezione, ma non capisco come il fatto 
di avere una vpn
fornita da terzi ti consenta un maggiore controllo sulla tua 
rete.


Come dice Marco, io percepisco la vpn solo come un "cavo" che mi 
collega
al resto di internet, servizio che non servirebbe se il mio 
provider

fornisse l'ip statico.

--
ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Marco Bodrato]

Il 2021-07-27 07:49 Paolo Miotto ha scritto:

Il 26/07/21 19:58, Leandro Noferini ha scritto:


L'idea del proxy esterno non mi piace gran che perché in ogni caso 
avrei

una parte fondamentale della mia rete al di fuori del mio controllo,



Posso capire questa tua obiezione, ma non capisco come il fatto di
avere una vpn fornita da terzi ti consenta un maggiore controllo sulla
tua rete.


Personalmente concordo con Leandro, la VPN può essere vista 
semplicemente come il cavo che ti connette al resto della rete, no? 
Permette magari di figurare altrove rispetto a dove si è, ma non 
impedisce di avere il pieno controllo di ciò che quel cavo collega al 
resto del mondo.


Ĝis,
m

Re: connessione alla lan con in mezzo una vpn

[Paolo Miotto]

Il 26/07/21 19:58, Leandro Noferini ha scritto:

Io ho necessità di una vpn per poter avere un IP statico da una
connessione casalinga per non aver problemi con i servizi che non
vogliono IP residenziali (fondamentalmente l'email ma anche roba come
XMPP).


Purtroppo è vero, ci sono servizi che penalizzano gli ip assegnati agli 
utenti residenziali.


Un serverino in cloud non è pensabile?




L'idea del proxy esterno non mi piace gran che perché in ogni caso avrei
una parte fondamentale della mia rete al di fuori del mio controllo,
cosa che snaturerebbe la mia idea.



Posso capire questa tua obiezione, ma non capisco come il fatto di avere 
una vpn fornita da terzi ti consenta un maggiore controllo sulla tua rete.



--

Mandi.

Paolo

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Paolo Miotto  writes:

Ho ripensato un attimo alla tua situazione; tu non vuoi fare 
l'uso classico


[...]


con un proxy con ip statico.


Io ho necessità di una vpn per poter avere un IP statico da una
connessione casalinga per non aver problemi con i servizi che non
vogliono IP residenziali (fondamentalmente l'email ma anche roba 
come

XMPP).

L'idea del proxy esterno non mi piace gran che perché in ogni caso 
avrei
una parte fondamentale della mia rete al di fuori del mio 
controllo,

cosa che snaturerebbe la mia idea.

--
ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Paolo Miotto]

Ho ripensato un attimo alla tua situazione; tu non vuoi fare l'uso 
classico della vpn per proiettare i client sulla rete privata, ma la 
vuoi usare per proiettare un host privato sulla rete pubblica: sei 
sicuro che la vpn sia la soluzione migliore?


Se i client della vpn vengono nattati, allora tu perdi la visibilità 
della sorgente (ip) originale, e probabilmente non ti va bene.


Se i client della vpn non vengono nattati , allora tu devi rispondere 
all'ip originale, pubblico, da cui il default gateway verso l'uscita 
della vpn.


Io farei un pensierino ad un port forwarding, con un DDNS se possibile, 
oppure con un proxy con ip statico.



Il 22/07/21 16:32, Leandro Noferini ha scritto:


Quindi, riassumendo, io dovrei riuscire a raggiungere la rete locale da
quel computer ma devo riuscire a lasciare la default route sulla vpn.


Puoi provare a mantenere la config originale ed inserire una route 
statica per la tua rete privata:


route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 metric 50

dove 192.168.1.0/24 è la tua rete privata


Paolo

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Paolo Miotto  writes:


Il 18/07/21 09:03, Leandro Noferini ha scritto:

/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 
91.19.51.255

/sbin/ip route add 91.19.55.235/32 via 192.168.1.1
/sbin/ip route add 0.0.0.0/1 via 91.19.51.1
/sbin/ip route add 128.0.0.0/1 via 91.19.51.1



Se hai già commentato la linea "redirect-gateway" nel tuo file 
di configurazione

e ancora non funziona puoi provare ad inserire la linea


Ho provato a togliere quella riga ma poi (evidentemente?) non 
riesco a

raggiungere i servizi che ci sono su quell'IP da remoto.

Quindi, riassumendo, io dovrei riuscire a raggiungere la rete 
locale da
quel computer ma devo riuscire a lasciare la default route sulla 
vpn.


Spero di essere riuscito a spiegarmi.


pull-filter ignore "route add 0.0.0.0"


[...]


https://serverfault.com/questions/819339/openvpn-client-override-default-gateway-for-vpn-sever


--
Ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Paolo Miotto]

Il 18/07/21 09:03, Leandro Noferini ha scritto:

/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255
/sbin/ip route add 91.19.55.235/32 via 192.168.1.1
/sbin/ip route add 0.0.0.0/1 via 91.19.51.1
/sbin/ip route add 128.0.0.0/1 via 91.19.51.1



Se hai già commentato la linea "redirect-gateway" nel tuo file di 
configurazione e ancora non funziona puoi provare ad inserire la linea



pull-filter ignore "route add 0.0.0.0"


come descritto nella man page di openvpn. Non l'ho verificata, controlla 
i log per vedere se matcha correttamente.



Se usi NetworkManger nei pannelli di configurazione della openvpn c'è 
l'opzione per rifiutare il default gateway "usa questa connessione solo 
per le risorse della sua rete".



Una soluzione alternativa è quella di eseguire uno script che 
riconfigura le route dopo il collegamento come descritto in 
https://serverfault.com/questions/819339/openvpn-client-override-default-gateway-for-vpn-sever


--

Mandi.

Paolo

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

On gio, lug 15, 2021 at 09:29:30 +0200, Paolo Miotto wrote:
 
> Nella tua configurazione tutto il traffico viene dirottato nella vpn; spesso
> si fa così per garantire che il client, se compromesso, possa fare da ponte
> verso la rete protetta dalla vpn.
> 
> Tu vorresti fare uno split tunnel, quindi devi eliminare l'opzione
> 
> redirect-gateway
> 
> dalla tua configurazione.
> 
> 
> Devi poi verificare che route ti vengono inviate ed eventualmente rifiutarle
> e gestirle a mano.

Purtroppo di routing c'ho sempre capito meno del giusto e quindi avrei necessità
di un aiuto più preciso.

Nel log leggo queste righe:

/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255
/sbin/ip route add 91.19.55.235/32 via 192.168.1.1
/sbin/ip route add 0.0.0.0/1 via 91.19.51.1
/sbin/ip route add 128.0.0.0/1 via 91.19.51.1

Devo fare qualcosa qui?

-- 
Ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Marco Gaiarin  writes:


La speigazione di Paolo è perfetta; ma

Questa è la configurazione di openvpn che mi ha dato il 
provider:

[...]

pull


Io credo che il problema sia questo; con 'pull' tu ti prendi 
tutto quello

che il server ti dice, compreso suppongo del routing farlocco.




Puoi mandare dei log di connessione?


Allego.

Puoi vedere se il fornitore ha una pagina/faq/... con delle info 
più dettagliate?


Quello ho paura di no perché sto usando un provider che definirlo 
"scarno" è un eufemismo!


:-)

vpn.log==
OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] 
[LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 28 2021

library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
TCP/UDP: Preserving recently used remote address: 
[AF_INET]91.19.55.235:443

Socket Buffers: R=[131072->131072] S=[16384->16384]
Attempting to establish TCP connection with 
[AF_INET]91.19.55.235:443 [nonblock]

TCP connection established with [AF_INET]91.19.55.235:443
TCP_CLIENT link local: (not bound)
TCP_CLIENT link remote: [AF_INET]91.19.55.235:443
TLS: Initial packet from [AF_INET]91.19.55.235:443, sid=e8271fcc 
f5cbaea7
WARNING: this configuration may cache passwords in memory -- use 
the auth-nocache option to prevent this
VERIFY OK: depth=1, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, 
O=FineVPN.com, OU=IT, CN=FineVPN.com CA, 
emailAddress=i...@finevpn.com

VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, 
expects TLS Web Server Authentication

VERIFY EKU OK
VERIFY X509NAME OK: C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, 
O=FineVPN.com, OU=IT, CN=eu3.finevpn.com, 
emailAddress=i...@finevpn.com
VERIFY OK: depth=0, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, 
O=FineVPN.com, OU=IT, CN=eu3.finevpn.com, 
emailAddress=i...@finevpn.com
Control Channel: TLSv1.2, cipher TLSv1.2 
DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
[eu3.finevpn.com] Peer Connection Initiated with 
[AF_INET]91.19.55.235:443

SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 
8.8.8.8,dhcp-option DNS 8.8.4.4,topology subnet,route-gateway 
91.19.51.1,ifconfig 91.19.51.42 255.255.255.0'

OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: route-related options modified
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 
bit key
Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC 
authentication
Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 
bit key
Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC 
authentication
ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 
HWADDR=dc:a6:32:cb:d2:d5

TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255
/sbin/ip route add 91.19.55.235/32 via 192.168.1.1
/sbin/ip route add 0.0.0.0/1 via 91.19.51.1
/sbin/ip route add 128.0.0.0/1 via 91.19.51.1
Initialization Sequence Completed
vpn.log==

--
ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Marco Gaiarin]

Mandi! Leandro Noferini
  In chel di` si favelave...


La speigazione di Paolo è perfetta; ma

> Questa è la configurazione di openvpn che mi ha dato il provider:
[...]
> pull

Io credo che il problema sia questo; con 'pull' tu ti prendi tutto quello
che il server ti dice, compreso suppongo del routing farlocco.


Puoi mandare dei log di connessione? Puoi vedere se il fornitore ha una
pagina/faq/... con delle info più dettagliate?

-- 
  È come se Mendeleev quando ha scoperto gli elementi, il giorno che ha
  scoperto l'ossigeno avesse detto: "benissimo, ho scoperto l'ossigeno, chi
  respira mi paga una royalty"... chi respira paga, pensa a Genova che
  casino, morivano tutti in apnea.  (Beppe Grillo)

Re: connessione alla lan con in mezzo una vpn

[Paolo Miotto]

Il 02/07/21 12:32, Leandro Noferini ha scritto:

La situazione del router è una cosa come questa:

admin@server:~$ ip r 0.0.0.0/1 via 94.190.57.1 dev tun0 default via 
192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202 
94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54 
94.190.58.253 via 192.168.1.1 dev eth0 128.0.0.0/1 via 93.190.51.1 dev 
tun0 192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 
metric 202


Con questa configurazione non riesco a raggiungere dei servizi 
presenti sulla rete locale (come ad esempio un log server) se non 
fermando la vpn, collegandomi al servizio e poi riattivare la vpn.




Nella tua configurazione tutto il traffico viene dirottato nella vpn; 
spesso si fa così per garantire che il client, se compromesso, possa 
fare da ponte verso la rete protetta dalla vpn.


Tu vorresti fare uno split tunnel, quindi devi eliminare l'opzione

redirect-gateway

dalla tua configurazione.


Devi poi verificare che route ti vengono inviate ed eventualmente 
rifiutarle e gestirle a mano.



--

Mandi.

Paolo

Re: connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Marco Gaiarin  writes:


Mandi! Leandro Noferini
  In chel di` si favelave...


admin@server:~$ ip r


[...]


al servizio e poi riattivare la vpn.


Non so dirti perchè è così (non capisco la configurazione di
openvpn...)


Cosa ti devo inviare per aiutarti?

Questa è la configurazione di openvpn che mi ha dato il provider:

=
proto tcp-client

remote provider.conf 443 # non-stadard port for OpenVPN
dev tun

ignore-unknown-option ip-win32 dynamic 0
ip-win32 dynamic 0

nobind
persist-key

tls-client
remote-cert-tls server
verify-x509-name provider.com name

verb 3

cipher AES-256-CBC
auth SHA1
pull

auth-user-pass provider-pass.txt


[...]

-END CERTIFICATE-

=


ma quello che posso dire è che hai un routing parecchio strano.


Già, era un sospetto che mi era balenato :-)

Ma come ti dicevo, purtroppo di routing non ci capisco niente e 
quindi

mi arrendo presto.

Hai il default routing sulla LAN ma con metrica ('peso'; vince 
il peso più


[...]


192.168.1.0/24.


Quindi il default-route becca tutto.

--
ciao
leandro

Re: connessione alla lan con in mezzo una vpn

[Marco Gaiarin]

Mandi! Leandro Noferini
  In chel di` si favelave...

> admin@server:~$ ip r
> 0.0.0.0/1 via 94.190.57.1 dev tun0
> default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202
> 94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54
> 94.190.58.253 via 192.168.1.1 dev eth0
> 128.0.0.0/1 via 93.190.51.1 dev tun0
> 192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 202
> 
> Con questa configurazione non riesco a raggiungere dei servizi presenti sulla
> rete locale (come ad esempio un log server) se non fermando la vpn, 
> collegandomi
> al servizio e poi riattivare la vpn.

Non so dirti perchè è così (non capisco la configurazione di openvpn...) ma
quello che posso dire è che hai un routing parecchio strano.

Hai il default routing sulla LAN ma con metrica ('peso'; vince il peso più
basso) alta:

default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202

e anche il routing della LAN ha metrica alta:

192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 
202

e poi hai questi due routing:

0.0.0.0/1 via 94.190.57.1 dev tun0
128.0.0.0/1 via 93.190.51.1 dev tun0

che assieme fanno 'tutto':

gaio@hermione:~$ sipcalc 0.0.0.0/1
-[ipv4 : 0.0.0.0/1] - 0

[CIDR]
Host address- 0.0.0.0
Host address (decimal)  - 0
Host address (hex)  - 0
Network address - 0.0.0.0
Network mask- 128.0.0.0
Network mask (bits) - 1
Network mask (hex)  - 8000
Broadcast address   - 127.255.255.255
Cisco wildcard  - 127.255.255.255
Addresses in network- 2147483648
Network range   - 0.0.0.0 - 127.255.255.255
Usable range- 0.0.0.1 - 127.255.255.254

-
gaio@hermione:~$ sipcalc 128.0.0.0/1
-[ipv4 : 128.0.0.0/1] - 0

[CIDR]
Host address- 128.0.0.0
Host address (decimal)  - 2147483648
Host address (hex)  - 8000
Network address - 128.0.0.0
Network mask- 128.0.0.0
Network mask (bits) - 1
Network mask (hex)  - 8000
Broadcast address   - 255.255.255.255
Cisco wildcard  - 127.255.255.255
Addresses in network- 2147483648
Network range   - 128.0.0.0 - 255.255.255.255
Usable range- 128.0.0.1 - 255.255.255.254

-

a metrica più bassa, quindi vincono loro, e comprendono anche
192.168.1.0/24.

-- 
  Il problema è che, in questa epoca di grande comunicazione globale,
  quando ti fa male il culo non è per le emorroidi...   (Beppe Grillo)

connessione alla lan con in mezzo una vpn

[Leandro Noferini]

Buongiorno a tutti,

premetto che di routing ci capisco pochino.

Ho un piccolo computer che viene esposto su internet attraverso una vpn perché
ha necessità di avere un IP statico utilizzando un provider vpn che usa openvpn.

Questo computer è in una rete locale casalinga.

La situazione del router è una cosa come questa:

admin@server:~$ ip r
0.0.0.0/1 via 94.190.57.1 dev tun0
default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202
94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54
94.190.58.253 via 192.168.1.1 dev eth0
128.0.0.0/1 via 93.190.51.1 dev tun0
192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 202

Con questa configurazione non riesco a raggiungere dei servizi presenti sulla
rete locale (come ad esempio un log server) se non fermando la vpn, collegandomi
al servizio e poi riattivare la vpn.

La configurazione della connessione vpn è una cosa così:

`'
proto tcp-client

remote providervpn.com 443 # non-stadard port for OpenVPN
dev tun

ignore-unknown-option ip-win32 dynamic 0
ip-win32 dynamic 0

nobind
persist-key

tls-client
remote-cert-tls server
verify-x509-name providervpn.com name

verb 3

cipher AES-256-CBC
auth SHA1
pull

auth-user-pass providervpn-pass.txt

#if connection is terminated, it will attempt to connect without promting 
username and pass
auth-retry nointeract

redirect-gateway def1
`'

--
ciao
leandro

Re: Casella IMAP su server in LAN come backup per casella PEC

[Nicola Ferrari (#554252)]

Il 04/03/2019 20:13, Andrea Zagli ha scritto:
non ricordo se thunderbird legge anche direttamente da maildir; nel caso 
ti basterebbe condividire la directory con samba


Il supporto a maildir per TB c'è, ma è ancora allo stato embrionale:
https://wiki.mozilla.org/Thunderbird/Maildir

Io, per non saper nè leggere nè scrivere, per quel che costa metterei su 
un servizietto imap e buonanotte.. stai più tranquillo.


N

Re: Casella IMAP su server in LAN come backup per casella PEC

[Piviul]

Il 04/03/19 20:13, Andrea Zagli ha scritto:

[...]
sì devi fare un server imap (ad esempio con dovecot)... lo tiri su in un 
attimo


non ricordo se thunderbird legge anche direttamente da maildir; nel caso 
ti basterebbe condividire la directory con samba
ma non importa, una volta che hai un server IMAP (anch'io uso dovecot) 
con la posta scaricata (io uso fetchmail per scaricare la posta di 
un'altra casella) dopo poi configuri TB per accedere al server!


Piviul

Re: Casella IMAP su server in LAN come backup per casella PEC

[Andrea Zagli]

Il giorno lun 04 mar 2019 18:57:52 CET, gerlos ha scritto:


Il 04/03/19 18:40, Andrea Zagli ha scritto:

Il giorno lun 04 mar 2019 18:33:04 CET, gerlos ha scritto:


Ciao a tutti,
Al lavoro abbiamo una casella PEC su dominio presso un noto  
gestore[1], di cui vorremmo fare un backup sul nostro server.


La casella viene consultata via IMAP da 2 incaricati, che usano  
Thunderbird su due PC con Ubuntu 18.04. Grazie ad IMAP, quello che  
fanno i due incaricati è sincronizzato e la cosa funziona.


Il problema è la capacità della casella PEC: è limitata a 1GB[2].  
Per questo periodicamente facciamo un backup in delle cartelle  
locali di Thunderbird, e cancelliamo i messaggi più vecchi dalla  
casella.



Non essendo soddisfatti della situazione attuale[3], vorremmo  
impostare dei backup automatici della casella IMAP sul server che  
abbiamo in LAN, basato su Debian Stable, così da avere un unico  
backup "autorevole" e sicuro.


Inoltre vorremmo poter accedere al backup tramite i due client  
Thunderbird dei nostri incaricati, così che sia possibile  
rintracciare a tutta la corrispondenza senza dover ricorrere ad  
altri sistemi.



Avete suggerimenti su come potremmo fare per risolvere il problema?






per lo scarico/pulizia noi utilizziamo

http://pyropus.ca/software/getmail/

poi quello scaricato può essere consultato con un qualsiasi client  
imap (noi utilizziamo horde/imp)



Grazie per la rapida risposta!

Per rendere i messaggi accessibili a Thunderbird devo configurare un  
server di posta ad hoc? (non l'ho mai fatto, ed ho paura di perdermi)




sì devi fare un server imap (ad esempio con dovecot)... lo tiri su in  
un attimo


non ricordo se thunderbird legge anche direttamente da maildir; nel  
caso ti basterebbe condividire la directory con samba

Re: Casella IMAP su server in LAN come backup per casella PEC

[gerlos]

Il 04/03/19 18:40, Andrea Zagli ha scritto:

Il giorno lun 04 mar 2019 18:33:04 CET, gerlos ha scritto:


Ciao a tutti,
Al lavoro abbiamo una casella PEC su dominio presso un noto 
gestore[1], di cui vorremmo fare un backup sul nostro server.


La casella viene consultata via IMAP da 2 incaricati, che usano 
Thunderbird su due PC con Ubuntu 18.04. Grazie ad IMAP, quello che 
fanno i due incaricati è sincronizzato e la cosa funziona.


Il problema è la capacità della casella PEC: è limitata a 1GB[2]. Per 
questo periodicamente facciamo un backup in delle cartelle locali di 
Thunderbird, e cancelliamo i messaggi più vecchi dalla casella.



Non essendo soddisfatti della situazione attuale[3], vorremmo 
impostare dei backup automatici della casella IMAP sul server che 
abbiamo in LAN, basato su Debian Stable, così da avere un unico 
backup "autorevole" e sicuro.


Inoltre vorremmo poter accedere al backup tramite i due client 
Thunderbird dei nostri incaricati, così che sia possibile 
rintracciare a tutta la corrispondenza senza dover ricorrere ad altri 
sistemi.



Avete suggerimenti su come potremmo fare per risolvere il problema?






per lo scarico/pulizia noi utilizziamo

http://pyropus.ca/software/getmail/

poi quello scaricato può essere consultato con un qualsiasi client 
imap (noi utilizziamo horde/imp)



Grazie per la rapida risposta!

Per rendere i messaggi accessibili a Thunderbird devo configurare un 
server di posta ad hoc? (non l'ho mai fatto, ed ho paura di perdermi)



saluti,

gerlos

Re: Casella IMAP su server in LAN come backup per casella PEC

[Andrea Zagli]

Il giorno lun 04 mar 2019 18:33:04 CET, gerlos ha scritto:


Ciao a tutti,
Al lavoro abbiamo una casella PEC su dominio presso un noto  
gestore[1], di cui vorremmo fare un backup sul nostro server.


La casella viene consultata via IMAP da 2 incaricati, che usano  
Thunderbird su due PC con Ubuntu 18.04. Grazie ad IMAP, quello che  
fanno i due incaricati è sincronizzato e la cosa funziona.


Il problema è la capacità della casella PEC: è limitata a 1GB[2].  
Per questo periodicamente facciamo un backup in delle cartelle  
locali di Thunderbird, e cancelliamo i messaggi più vecchi dalla  
casella.



Non essendo soddisfatti della situazione attuale[3], vorremmo  
impostare dei backup automatici della casella IMAP sul server che  
abbiamo in LAN, basato su Debian Stable, così da avere un unico  
backup "autorevole" e sicuro.


Inoltre vorremmo poter accedere al backup tramite i due client  
Thunderbird dei nostri incaricati, così che sia possibile  
rintracciare a tutta la corrispondenza senza dover ricorrere ad  
altri sistemi.



Avete suggerimenti su come potremmo fare per risolvere il problema?






per lo scarico/pulizia noi utilizziamo

http://pyropus.ca/software/getmail/

poi quello scaricato può essere consultato con un qualsiasi client  
imap (noi utilizziamo horde/imp)

Casella IMAP su server in LAN come backup per casella PEC

[gerlos]

Ciao a tutti,
Al lavoro abbiamo una casella PEC su dominio presso un noto gestore[1], 
di cui vorremmo fare un backup sul nostro server.


La casella viene consultata via IMAP da 2 incaricati, che usano 
Thunderbird su due PC con Ubuntu 18.04. Grazie ad IMAP, quello che fanno 
i due incaricati è sincronizzato e la cosa funziona.


Il problema è la capacità della casella PEC: è limitata a 1GB[2]. Per 
questo periodicamente facciamo un backup in delle cartelle locali di 
Thunderbird, e cancelliamo i messaggi più vecchi dalla casella.



Non essendo soddisfatti della situazione attuale[3], vorremmo impostare 
dei backup automatici della casella IMAP sul server che abbiamo in LAN, 
basato su Debian Stable, così da avere un unico backup "autorevole" e 
sicuro.


Inoltre vorremmo poter accedere al backup tramite i due client 
Thunderbird dei nostri incaricati, così che sia possibile rintracciare a 
tutta la corrispondenza senza dover ricorrere ad altri sistemi.



Avete suggerimenti su come potremmo fare per risolvere il problema?


grazie in anticipo,

gerlos




[1]: Gestore di cui non siamo soddisfatti, ma ci è stato imposto 
dall'alto, e non possiamo farci nulla. Non dovrei dire che il gestore 
porta il nome di un'isola dei Caraibi. ;-)


[2]: La casella è limitata 1 GB, si riempie in tempi brevi e non è 
espandibile, neanche a pagarla oro. Una cosa anacronistica, ma tant'è... 
:-/


[3]: I backup sui due desktop a volte non contengono tutti i messaggi, 
perché i due incaricati non sempre si coordinano in tempo.

Re: Conoscere le subnet presenti in LAN

[Piviul]

Piviul ha scritto il 13/04/2016 alle 17:00:
> Ciao a tutti, dovrei ampliare la subnet utilizzata per la lan. Ora la
> lan è configurata come 192.168.70.x cioè con subnet mask 255.255.255.0.
> Ora dovrei ampliare gli indirizzi ip a disposizione della lan e pensavo
> soltanto di cambiare la subnetmask (e la classe degli ip gestiti dal
> server dhcp) in modo da non dover riconfigurare tutti gli ip statici. La
> subnetmask pensavo di trasformarla in 255.255.248.0 in modo da poter
> utilizzare gli indirizzi ip da 192.168.64.1 fino a 192.168.71.254.
> 
> Ora però succede che un gran numero di pc nella LAN hanno un'altra
> scheda di rete e sono in realtà collegati ad un'altra sottorete
> (gestiscono degli strumenti che colloquiano via lan) e non vorrei che
> uno di questi pc sia configurato proprio con una sottorete nel range
> della lan.
> 
> Ed ecco finalmente il domandone: c'è modo di sapere da remoto le subnet
> configurate per un dato pc che so, vedere da remoto la routing table o
> qualche altro modo? Tenete conto che i pc sono quasi tutti windows (si,
> c'è anche qualche client linux per la gestione degli strumenti)
Ho trovato almeno per le subnets collegate a macchine windows: sul
server che funge da domain master browser il log di nmbd mostra proprio
informazioni riguardo all'ip utilizzato dall'altra scheda. Con un
"semplice" script sto tenendo sotto controllo tutte le subnets della mia
LAN.

Se qualcuno fosse interessato questo è lo script che ogni 30 minuti
esamina il log di nmbd e memorizza in un file il nome del PC e gli ip ad
esso collegati:

#!/bin/bash

filelog=~/$(basename $0 .sh).log
[ -f $filelog ] || touch $filelog

filetmp=/tmp/$(basename $0 .sh).tmp
[ -f $filetmp ] || touch $filetmp

while [ -z "" ]; do
ips=$(grep "This response was from IP [0-9]*" /var/log/samba/log.nmbd |
sed 's/This response was from IP \([^[:space:]]*\),.*/\1/' \
| sort | uniq)
for ip in $ips; do
   hostname=$(wbinfo -I $ip | cut -f2 2>&1)
   [ -z "$hostname" ] && hostname="NO-NAME"

   for subip in $(grep "This response was from IP $ip"
/var/log/samba/log.nmbd | sed 's/.*This response was from IP '$ip',
reporting an IP address of \([^[:space:]]*\)\./\1/' | sort | uniq); do
  [ $hostname = "NO-NAME" ] && [ -n "$(grep $subip "$filelog")" ] &&
continue

  entry=$(grep "$hostname:" $filelog)
  if [ -n "$entry" ]; then
 entry=$(echo $entry | sed 's/^[^,]*//' | sed 's/,
'$subip'[[:space:]]*//')
 [ -n "$entry" ] && subip="$subip$entry"
  fi
  cat $filelog | grep -v "$hostname" > $filetmp
  echo -e "$hostname: $ip, $subip" >> $filetmp
  cat $filetmp | sort > $filelog
   done
done
sleep 1800
done

Piviul

Re: Conoscere le subnet presenti in LAN

[Piviul]

Gollum1 ha scritto il 14/04/2016 alle 09:06:
> Il 14 aprile 2016 08:04:54 CEST, Piviul  ha scritto:
>> Gollum1 ha scritto il 13/04/2016 alle 21:21:
>>> Tanto devi riconfigurare ogni pc, cambiando netmask, devi cambiare
>> gateway su ogni macchina.
>> assolutamente no, tutti i pc (o quasi; quelli che non lo prendono li
>> vedo dai log del dhcp) prendono l'IP dal DHCP server.
>>
>> Piviul
> 
> Ma tu avevi parlato di indirizzi statici
oddio non mi sembra proprio... e se l'ho fatto mi sono sbagliato.

Paolo

Re: Conoscere le subnet presenti in LAN

[Gollum1]

Il 14 aprile 2016 08:04:54 CEST, Piviul  ha scritto:
>Gollum1 ha scritto il 13/04/2016 alle 21:21:
>> Tanto devi riconfigurare ogni pc, cambiando netmask, devi cambiare
>gateway su ogni macchina.
>assolutamente no, tutti i pc (o quasi; quelli che non lo prendono li
>vedo dai log del dhcp) prendono l'IP dal DHCP server.
>
>Piviul

Ma tu avevi parlato di indirizzi statici
Byez
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

Re: Conoscere le subnet presenti in LAN

[Piviul]

Vincenzo Villa ha scritto il 13/04/2016 alle 20:15:
> [...]
> Il problema è che DEVI comunque riconfigurare gli IP statici, almeno
> nella parte "subnet", altrimenti queste macchine non sono poi in grado
> di rispondere alle altre. Anzi, peggio: rispondono solo qualche volta,
> apparentemente in modo casuale. In pratica tutto va bene solo se l'IP
> dell'altra macchina è, casualmente, appartenente alla vecchia rete
> 192.168.70.0/24.
ma io di IP statici praticamente non ne ho; solo qualche server... poi
tieni conto che dai log del dhcp server posso vedere tutti lease... e
fare uno script che trovi gli ip attivi che non hanno un lease sul
server dhcp non è poi così complesso...

> Ti consiglio di usare una nuova rete completamente diversa, magari
> "atipica" come 172.23.0.0/16. Questo permette di rilevare (e correggere)
> immediatamente malfunzionamenti.
e quali garanzie ho che quella sottorete non sia utilizzata da qualche
PC? A questo punto preferisco provare a cambiare soltanto la subnetmask,
almeno non dovrei avere downtime. Che io mi ricordi la maggior parte
utilizza la rete 10.0.0.x; qualcuno la 192.168.1.x; mi ricordo qualche
172.qualcosa e anche qualche 192.168.2xy.z ma con la subnetmsk
255.255.248.0 dovrei davvero avere una bella sfortuna che abbiano
utilizzato un ip 192.168.y.x con y fra 64 e 71...

> Per il tuo problema, non mi vengono in mente soluzioni. Forse, da
> provare, nmap -sP 192.168.64.1-255

grazie mille, ci darò un'occhiata

Piviul

Re: Conoscere le subnet presenti in LAN

[Piviul]

Gollum1 ha scritto il 13/04/2016 alle 21:21:
> Tanto devi riconfigurare ogni pc, cambiando netmask, devi cambiare gateway su 
> ogni macchina.
assolutamente no, tutti i pc (o quasi; quelli che non lo prendono li
vedo dai log del dhcp) prendono l'IP dal DHCP server.

Piviul

Re: Conoscere le subnet presenti in LAN

[Gollum1]

Il 13 aprile 2016 19:33:23 CEST, Michele Orsenigo <post...@orsenigo.it> ha 
scritto:
>On Wednesday 13 April 2016 17:00:42 Piviul wrote:
>> Ciao a tutti, dovrei ampliare la subnet utilizzata per la lan. Ora la
>> lan è configurata come 192.168.70.x cioè con subnet mask
>255.255.255.0.
>> Ora dovrei ampliare gli indirizzi ip a disposizione della lan e
>pensavo
>> soltanto di cambiare la subnetmask (e la classe degli ip gestiti dal
>> server dhcp) in modo da non dover riconfigurare tutti gli ip statici.
>La
>> subnetmask pensavo di trasformarla in 255.255.248.0 in modo da poter
>> utilizzare gli indirizzi ip da 192.168.64.1 fino a 192.168.71.254.
>> 
>> Ora però succede che un gran numero di pc nella LAN hanno un'altra
>> scheda di rete e sono in realtà collegati ad un'altra sottorete
>> (gestiscono degli strumenti che colloquiano via lan) e non vorrei che
>> uno di questi pc sia configurato proprio con una sottorete nel range
>> della lan.
>> 
>> Ed ecco finalmente il domandone: c'è modo di sapere da remoto le
>subnet
>> configurate per un dato pc che so, vedere da remoto la routing table
>o
>> qualche altro modo? Tenete conto che i pc sono quasi tutti windows
>(si,
>> c'è anche qualche client linux per la gestione degli strumenti)
>> 
>> Grazie
>> 
>> Piviul
>
>Mi sa che ti tocca vedere le tabelle di routing su ogni singolo PC 
>con "netstat -nr" (funziona anche su Win) o "route print" :(

Tanto devi riconfigurare ogni pc, cambiando netmask, devi cambiare gateway su 
ogni macchina.
Byez
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

Re: Conoscere le subnet presenti in LAN

[Vincenzo Villa]

Il giorno mer, 13/04/2016 alle 17.00 +0200, Piviul ha scritto:

> dovrei ampliare la subnet

Ci sono appena passato... ed è stato un bagno di sangue (nel mio caso le
"altre reti" erano quelle delle macchine virtuali, due diverse per ogni
PC)

> Ora dovrei ampliare gli indirizzi ip a disposizione della lan e 
> pensavo soltanto di cambiare la subnetmask in modo da non dover 
> riconfigurare tutti gli ip statici. 

Il problema è che DEVI comunque riconfigurare gli IP statici, almeno
nella parte "subnet", altrimenti queste macchine non sono poi in grado
di rispondere alle altre. Anzi, peggio: rispondono solo qualche volta,
apparentemente in modo casuale. In pratica tutto va bene solo se l'IP
dell'altra macchina è, casualmente, appartenente alla vecchia rete
192.168.70.0/24.

Ti consiglio di usare una nuova rete completamente diversa, magari
"atipica" come 172.23.0.0/16. Questo permette di rilevare (e correggere)
immediatamente malfunzionamenti.

Per il tuo problema, non mi vengono in mente soluzioni. Forse, da
provare, nmap -sP 192.168.64.1-255
-- 
Vincenzo Villa
http://www.vincenzov.net


-- 
Vincenzo Villa
http://www.vincenzov.net

Re: Conoscere le subnet presenti in LAN

[Michele Orsenigo]

On Wednesday 13 April 2016 17:00:42 Piviul wrote:
> Ciao a tutti, dovrei ampliare la subnet utilizzata per la lan. Ora la
> lan è configurata come 192.168.70.x cioè con subnet mask 255.255.255.0.
> Ora dovrei ampliare gli indirizzi ip a disposizione della lan e pensavo
> soltanto di cambiare la subnetmask (e la classe degli ip gestiti dal
> server dhcp) in modo da non dover riconfigurare tutti gli ip statici. La
> subnetmask pensavo di trasformarla in 255.255.248.0 in modo da poter
> utilizzare gli indirizzi ip da 192.168.64.1 fino a 192.168.71.254.
> 
> Ora però succede che un gran numero di pc nella LAN hanno un'altra
> scheda di rete e sono in realtà collegati ad un'altra sottorete
> (gestiscono degli strumenti che colloquiano via lan) e non vorrei che
> uno di questi pc sia configurato proprio con una sottorete nel range
> della lan.
> 
> Ed ecco finalmente il domandone: c'è modo di sapere da remoto le subnet
> configurate per un dato pc che so, vedere da remoto la routing table o
> qualche altro modo? Tenete conto che i pc sono quasi tutti windows (si,
> c'è anche qualche client linux per la gestione degli strumenti)
> 
> Grazie
> 
> Piviul

Mi sa che ti tocca vedere le tabelle di routing su ogni singolo PC 
con "netstat -nr" (funziona anche su Win) o "route print" :(

-- 
Michele Orsenigo
post...@orsenigo.it

Conoscere le subnet presenti in LAN

[Piviul]

Ciao a tutti, dovrei ampliare la subnet utilizzata per la lan. Ora la
lan è configurata come 192.168.70.x cioè con subnet mask 255.255.255.0.
Ora dovrei ampliare gli indirizzi ip a disposizione della lan e pensavo
soltanto di cambiare la subnetmask (e la classe degli ip gestiti dal
server dhcp) in modo da non dover riconfigurare tutti gli ip statici. La
subnetmask pensavo di trasformarla in 255.255.248.0 in modo da poter
utilizzare gli indirizzi ip da 192.168.64.1 fino a 192.168.71.254.

Ora però succede che un gran numero di pc nella LAN hanno un'altra
scheda di rete e sono in realtà collegati ad un'altra sottorete
(gestiscono degli strumenti che colloquiano via lan) e non vorrei che
uno di questi pc sia configurato proprio con una sottorete nel range
della lan.

Ed ecco finalmente il domandone: c'è modo di sapere da remoto le subnet
configurate per un dato pc che so, vedere da remoto la routing table o
qualche altro modo? Tenete conto che i pc sono quasi tutti windows (si,
c'è anche qualche client linux per la gestione degli strumenti)

Grazie

Piviul

Re: wake on lan

[Davide Polimanti]

Ho provato di tutto 
Che sempre qualche apparato che si mette in mezzo o che va in stand by
Ora sto usando un io power, lo comando da app, da Telnet o da scrip htlm
E mi trovo bene con questo http://www.aviosys.com/9258st.html
E riesco a controllare fino a 4 server
Da

> Il giorno 08 feb 2016, alle ore 17:48, Pol Hallen  
> ha scritto:
> 
> 'sera a tutti :-)
> 
> solo una piccola considerazione sul wol: ho notato che usando o etherwake o 
> wakeonlan, ogni tanto (e chissà perchè) non fanno il loro dovere... a volte 
> funzionano correttamente altre volte no, ma non solo: il discorso cambia in 
> base a quanti apparati hw ci sono in mezzo a loro :-/
> 
> non esiste un sistema "infallibile" (senza cambiare hw ovviamente) che mi 
> permetta di accendere le macchine in remoto senza perdere ore e ore di test?
> 
> grazie!
> 
> 
> Pol
> 

Re: wake on lan

[Pol Hallen]

Ho provato di tutto
Che sempre qualche apparato che si mette in mezzo o che va in stand by
Ora sto usando un io power, lo comando da app, da Telnet o da scrip htlm
E mi trovo bene con questo http://www.aviosys.com/9258st.html
E riesco a controllare fino a 4 server


grazie!

wake on lan

[Pol Hallen]

'sera a tutti :-)

solo una piccola considerazione sul wol: ho notato che usando o 
etherwake o wakeonlan, ogni tanto (e chissà perchè) non fanno il loro 
dovere... a volte funzionano correttamente altre volte no, ma non solo: 
il discorso cambia in base a quanti apparati hw ci sono in mezzo a loro :-/


non esiste un sistema "infallibile" (senza cambiare hw ovviamente) che 
mi permetta di accendere le macchine in remoto senza perdere ore e ore 
di test?


grazie!


Pol

Re: wake on lan

[Gollum1]

Il 08 febbraio 2016 17:48:32 CET, Pol Hallen  ha 
scritto:
>'sera a tutti :-)
>
>solo una piccola considerazione sul wol: ho notato che usando o 
>etherwake o wakeonlan, ogni tanto (e chissà perchè) non fanno il loro 
>dovere... a volte funzionano correttamente altre volte no, ma non solo:
>
>il discorso cambia in base a quanti apparati hw ci sono in mezzo a loro
>:-/
>
>non esiste un sistema "infallibile" (senza cambiare hw ovviamente) che 
>mi permetta di accendere le macchine in remoto senza perdere ore e ore 
>di test?
>
>grazie!
>
>
>Pol

Di default il wol non dovrebbe passare da una rete all'altra, è un protocollo 
che non viene ruotato, quindi se hai dei router in mezzo, niente wol (in realtà 
chi sono dei work around per bypassare la cosa, ma non so quanto ne valga la 
pena).

Quindi sì, molto dipende da quello che c'è in mezzo.
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

(s)collegare lan interrompe download wifi condivisa

[tar...@aruba.it]

Un Natale saluto a tutti.

Debian stable.
Pc connesso con scheda wifi interna.
Saltuariamente collego tramite lan la playstation o un portatile
condividendo la connessione del pc (configurazione con network manager).

Ho notato che se c'è un download in corso (es. da google drive), quando
collego o scollego il cavo lan il download si interrompe. Non so se è
una novità o se è sempre stato così, in genere collego/scollego a pc spento.

Qualche idea su come identificare il problema e risolverlo? Non mi
sembra un comportamento corretto.
Grazie.

Re: (s)collegare lan interrompe download wifi condivisa

[Gollum1]

Il 26 dicembre 2015 10:05:21 CET, "tar...@aruba.it" <tar...@aruba.it> ha 
scritto:
>Un Natale saluto a tutti.
>
>Debian stable.
>Pc connesso con scheda wifi interna.
>Saltuariamente collego tramite lan la playstation o un portatile
>condividendo la connessione del pc (configurazione con network
>manager).
>
>Ho notato che se c'è un download in corso (es. da google drive), quando
>collego o scollego il cavo lan il download si interrompe. Non so se è
>una novità o se è sempre stato così, in genere collego/scollego a pc
>spento.
>
>Qualche idea su come identificare il problema e risolverlo? Non mi
>sembra un comportamento corretto.
>Grazie.

A me pare corretto, con l'uso di un tools automatico, nel momento in cui 
colleghi la lan nm deve riconfigurare tutte le interfacce, perché deve creare 
il bridge tra le due schede. Credo che non accada se il bridge è creato 
staticamente, quindi sempre presente. Ma non ho mai fatto prove.

Byez
-- 
Gollum1
Teoro, dov'è il mio teoro

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore automatico).

Re: lan test

[Marco Gaiarin]

Mandi! Pol Hallen
  In chel di` si favelave...

> qualche idea?

guarda 'smokeping'...

-- 
  ...la piu' grande per chi guerra
  insegno` a disertare. (F. De Andre`)

Re: lan test

[gerlos]

> Il giorno 03/dic/2015, alle ore 20:40, Pol Hallen  
> ha scritto:
> 
> On 12/03/2015 08:22 PM, vincenzo_barcell...@libero.it wrote:
>> Non so se ti può essere utile ma conosci fing?
> 
> no, e non c'è nemmeno nei repository...

Fing è carino, ma è software proprietario… se non servono le funzioni web che 
offre lo eviterei.


Per fare la stessa cosa si può usare l'eccellente map, per esempio:

$ nmap -sP 192.168.0.* -oG -

L’output di -oG - è molto leggibile e somiglia a questo (nota le righe con data 
di inizio e fine scansione):

# Nmap 6.40 scan initiated Wed Dec  9 18:11:10 2015 as: nmap -sP -oG - 
192.168.0.*
Host: 192.168.0.2 (router-asus) Status: Up
Host: 192.168.0.5 (ap-asus) Status: Up
Host: 192.168.0.8 (ap-galleria) Status: Up
……….
# Nmap done at Wed Dec  9 18:11:14 2015 -- 256 IP addresses (25 hosts up) 
scanned in 3.94 seconds

Puoi rendere più veloce la scansione fornendo a nmap una lista di indirizzi da 
controllare, così non deve pingare tutti gli indi

$ nmap -sP -iL /path/to/address.list -oG -

saluti,
gerlos

lan test

[Pol Hallen]

'sera a tutti :-)

devo testare la connettività (che sembra essere altalenante) di una
struttura un pò vecchia...

vorrei sapere se esiste un tool che logga il ping (quindi che scrive su
un file di testo) o se mi devo fare lo scriptino a mano, tipo: un while
con un ping che fa redirect su file...

qualche idea?

grazie

Pol

Re: Fwd: Re: lan test

[Pol Hallen]

On 12/03/2015 08:22 PM, vincenzo_barcell...@libero.it wrote:
> Non so se ti può essere utile ma conosci fing?

no, e non c'è nemmeno nei repository...

Pol

Fwd: Re: lan test

[vincenzo_barcellona]

Non so se ti può essere utile ma conosci fing? 
Un topo molto carino e che fa molte cose
Saluti
Vincenzo   Forwarded message 
Da: Vincenzo Villa < scriv...@vincenzov.net> Cc:  
debian-italian@lists.debian.org Data: Giovedì, 03 Dicembre 2015, 06:59PM +01:00
Oggetto: Re: lan test

>Il giorno gio, 03/12/2015 alle 18.42 +0100, Pol Hallen ha scritto:
>
>> vorrei sapere se esiste un tool che logga il ping (quindi che scrive su
>> un file di testo) o se mi devo fare lo scriptino a mano, tipo: un while
>> con un ping che fa redirect su file...
>
>Per una cosa veloce-veloce (si fa per dire...), puoi mettere
>in /etc/cron.hourly/ uno scriptino del tipo:
>
>#!/bin/sh
>ping  -c 3600 -q 8.8.8.8 | mail your_mail@your_domain -s "Ping"
>
>Ti arriva una volta all'ora una mail del tipo
>
>***
>PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
>
>--- 8.8.8.8 ping statistics ---
>3600 packets transmitted, 3599 received, 0% packet loss, time 3604401ms
>rtt min/avg/max/mdev = 11.602/24.695/550.105/18.754 ms
>***
>
>(esempio reale con rete wireless 50/50 e qualche problema di latenza)
>
>-- 
>Vincenzo Villa
>http://www.vincenzov.net
>
>

Re: lan test

[Vincenzo Villa]

Il giorno gio, 03/12/2015 alle 18.42 +0100, Pol Hallen ha scritto:

> vorrei sapere se esiste un tool che logga il ping (quindi che scrive su
> un file di testo) o se mi devo fare lo scriptino a mano, tipo: un while
> con un ping che fa redirect su file...

Per una cosa veloce-veloce (si fa per dire...), puoi mettere
in /etc/cron.hourly/ uno scriptino del tipo:

#!/bin/sh
ping  -c 3600 -q 8.8.8.8 | mail your_mail@your_domain -s "Ping"

Ti arriva una volta all'ora una mail del tipo

***
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
3600 packets transmitted, 3599 received, 0% packet loss, time 3604401ms
rtt min/avg/max/mdev = 11.602/24.695/550.105/18.754 ms
***

(esempio reale con rete wireless 50/50 e qualche problema di latenza)

-- 
Vincenzo Villa
http://www.vincenzov.net

Re: lan test

[Pol Hallen]

> Per una cosa veloce-veloce (si fa per dire...), puoi mettere
> in /etc/cron.hourly/ uno scriptino del tipo:
> 
> #!/bin/sh
> ping  -c 3600 -q 8.8.8.8 | mail your_mail@your_domain -s "Ping"

grazie! :-)

pensavo ci fosse un tool specifico per questo genere di cose, ma forse è
meglio così... farselo a manina...

Pol

Re: Problema risoluzione dei nomi PC della LAN

[Piviul]

Duffydac ha scrito il 07/10/2015 alle 12:52:
> Il 07/10/2015 10:13, Piviul ha scritto:
>> non mi viene in mente proprio nulla su come sia possibile che
>> root riesca a risolvere i nomi della LAN e tutti gli altri utenti non ce
>> la facciano...
> 
> Sparo nel buissimo...
> Non è che c'è qualche file di configurazione con i permessi sbagliati?
Ho fatto questo script:

remotehost=
for f in $(find /etc /usr /bin /sbin /boot /var /lib -type f); do
if [ "$(ssh $remotehost [ -f $f ] && echo ok)" = "ok" ]; then
lp=$(stat --format=%a "$f" | cut -f1 -d\ )
rp=$(ssh $remotehost stat --format=%a "$f" | cut -f1 -d\ )
if [ "$lp" != "$rp" ]; then
echo $f locale: $(stat --format=%A "$f")
echo $f remoto: $(ssh $remotehost stat --format=%A "$f")
fi
#else
#echo $f non esiste in $remotehost
fi
done

e dal client (32bit) che ha problemi di risoluzione dei nomi ho lanciato
da root lo script (dopo aver eseguito ssh-copy-id verso il client
remoto) verso una macchina remota 64bit. Non ha evidenziato nulla.

Ora sto provando verso una macchina remota a 32bit...

Qualcuno se avesse qualche altra idea...

Piviul

Problema risoluzione dei nomi PC della LAN

[Piviul]

Ciao a tutti, ho un piccolo problema sulla risoluzione dei nomi dei PC
di una LAN... ma iniziamo da capo. Ho installato su un PC ex novo debian
wheezy senza interfaccia grafica, legato ad un dominio samba3.

Ho configurato samba, winbind, nsswitch e tutto sembra funzionare bene
tranne che tutti gli utenti tranne root (sia locali che del dominio) non
riescono a risolvere i nomi dei PC della LAN. È la prima volta che mi
capita e non mi viene in mente proprio nulla su come sia possibile che
root riesca a risolvere i nomi della LAN e tutti gli altri utenti non ce
la facciano... tenete conto che se un utente esegue un ping di un PC
della lan con sudo allora tutto funziona bene altrimenti non c'è modo...

Questo è il contenuto di nsswitch.conf:
passwd: files winbind
group:  files winbind
shadow: files winbind

hosts:  files wins mdns4_minimal [NOTFOUND=return] dns mdns4
networks:   files

protocols:  db files
services:   db files
ethers: db files
rpc:db files

netgroup:   nis

A qualcuno viene in mente dove possa essere il problema?

Piviul

Re: Problema risoluzione dei nomi PC della LAN

[Piviul]

Duffydac ha scrito il 07/10/2015 alle 12:52:
> Il 07/10/2015 10:13, Piviul ha scritto:
>> non mi viene in mente proprio nulla su come sia possibile che
>> root riesca a risolvere i nomi della LAN e tutti gli altri utenti non ce
>> la facciano...
> 
> Sparo nel buissimo...
> Non è che c'è qualche file di configurazione con i permessi sbagliati?
non lo escludo... ma nel caso hai qualche idea di come possa trovarlo?

Piviul

Re: Problema risoluzione dei nomi PC della LAN

[Duffydac]

Il 07/10/2015 10:13, Piviul ha scritto:

non mi viene in mente proprio nulla su come sia possibile che
root riesca a risolvere i nomi della LAN e tutti gli altri utenti non ce
la facciano...


Sparo nel buissimo...
Non è che c'è qualche file di configurazione con i permessi sbagliati?

Ad esempio sul mio pc, facendo un semplice
chmod 600 /etc/resolv.conf
si riproduce perfettamente il comportamento da te descritto.

--
DaC

Re: [RISOLTO?] [Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[Ennio-Sr]

* Pol Hallen  [170915, 15:28]:
> >Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
> >(collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
> >- ssh da beta ad alfa funziona correttamente
> >viceversa, se tento il collegamento  da alfa a beta mi dice che
> >le connessione e' stata rifiutata.
> 
> netstat -putan|grep 22 e vedi se la porta è aperta (se è aperta: iptables -L
> -nv e vedi se il firewall la blocca o no)
> 
> ovviamente se sshd è configurato sulla 22 :)
> 
> Pol

Ho inserito un 'RISOLTO' con un interrogativo perche`, in base a quanto
finora sperimentato, temo che le incongruenze risontrate si possano
ancora ripresentare. Ma, procedendo con ordine, anche a vantaggio di
eventuali futuri 'ricercatori':

A Gianluca rispondo: No, il firewall non e` configurato (e` nello stato
iniziale e, quindi, tutto 'open')

Per Onetmt dico che 'openssh-server' non era installato (poi l`ho fatto,
ma non credo dipendesse da questo: cfr. avanti)

Ad Andrea preciso che, si, ssh tra beta e beta funzionava.

e infine, per Pol, preciso che con 'netstat -putan | grep 22' si vedeva
che la porta era in ascolto.

La conclusione a cui sono giunto e` legata a quel dubbio, espresso nel
mio post iniziale: ossia quel legame riferito da 'nmap bete' al MAC
address non dell`USB dongle (chiavetta wifi), ma della cell della rete
wifi del router Telecom(fibra) che governa il tutto.

E` proprio esaminando i collegamenti riportati dal router ho notato che
per il computer beta risultavano due collegamenti, con due IP diversi, uno
riferito al MAC della cell del router stesso ed un altro al MAC della
chiavetta wifi. Dopo aver re-impostato manualmente i valori corretti e
diversi riavvi del PC, pare che tutto funzioni regolarmente.

Un grazie a tutti voi per i suggerimenti.
Alla prossima,
  Ennio


-- 
[Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo.   \\?//
 Fa' qualche cosa di cui non sei capace!"  (diceva Henry Miller) ](°|°)
[Why use Win$ozz (I say) if ... "even a fool can do that.  )=(
 Do something you aren't good at!" (as Henry Miller used to say) ]

Re: [Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[onetmt]

On 16/09/2015 23:35, Ennio-Sr wrote:
> Ciao a tutti.
> 
> Ho da pochi giorni installato Debian-Jessie su un PC collegato alla rete
> locale via Wi-Fi e sto pazientemente cercando di configurarlo come il PC
> che ha sostituito (sul quale girava Squeeze).
> 
> Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
> (collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
> - ssh da beta ad alfa funziona correttamente
> viceversa, se tento il collegamento  da alfa a beta mi dice che
> le connessione e' stata rifiutata.

Escluso un problema di AP isolation sul router (prima dell'upgrade
funziona, giusto?), mi verrebbe il sospetto che la macchina beta non
abbia openssh-server installato.


-- 
Hofstadter's Law:
"It always takes longer than you expect, even when you take into account
Hofstadter's Law."

Re: [Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[Pol Hallen]

Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
(collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
- ssh da beta ad alfa funziona correttamente
viceversa, se tento il collegamento  da alfa a beta mi dice che
le connessione e' stata rifiutata.


netstat -putan|grep 22 e vedi se la porta è aperta (se è aperta: 
iptables -L -nv e vedi se il firewall la blocca o no)


ovviamente se sshd è configurato sulla 22 :)

Pol

Re: [Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[andrea biancalana]

il giorno Wed, 16 Sep 2015 22:35:25 +0100  Ennio-Sr  ha 
scritto:

> Ciao a tutti.
> 
> Ho da pochi giorni installato Debian-Jessie su un PC collegato alla rete
> locale via Wi-Fi e sto pazientemente cercando di configurarlo come il PC
> che ha sostituito (sul quale girava Squeeze).
> 
> Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
> (collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
> - ssh da beta ad alfa funziona correttamente
> viceversa, se tento il collegamento  da alfa a beta mi dice che
> le connessione e' stata rifiutata.
> 
> Se, stando in alfa, lancio 'nmap beta', mi riporta come aperta solo la
> porta '80/tcp open http'  e nessun'altra, e mi indica un MAC address che
> corrisponde alla cell del Router Wi-Fi a cui lo stesso beta e` collegato!
> 

ma da beta e beta ssh funziona? Ovvero: il server ssh su beta e' a posto?

Proverei su beta a chiamare se' stesso con ssh localhost prima di cercare 
problemi di rete

[Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[Ennio-Sr]

Ciao a tutti.

Ho da pochi giorni installato Debian-Jessie su un PC collegato alla rete
locale via Wi-Fi e sto pazientemente cercando di configurarlo come il PC
che ha sostituito (sul quale girava Squeeze).

Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
(collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
- ssh da beta ad alfa funziona correttamente
viceversa, se tento il collegamento  da alfa a beta mi dice che
le connessione e' stata rifiutata.

Se, stando in alfa, lancio 'nmap beta', mi riporta come aperta solo la
porta '80/tcp open http'  e nessun'altra, e mi indica un MAC address che
corrisponde alla cell del Router Wi-Fi a cui lo stesso beta e` collegato!

E` una cosa normale?

Grazie dell'attenzione,
 Ennio

PS. Tra Squueze e Jessie c'e` una grande differenza strutturale. Esiste
un documento dal quale possa orientarmi per effettuare il 'fine-tuning'
della nuova distro?

-- 
[Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo.   \\?//
 Fa' qualche cosa di cui non sei capace!"  (diceva Henry Miller) ](°|°)
[Why use Win$ozz (I say) if ... "even a fool can do that.  )=(
 Do something you aren't good at!" (as Henry Miller used to say) ]

Re: [Jessie] - problemi con ssh da PC collegato alla LAN via Wi-Fi

[Gianluca Mangiarotti]

La prima cosa che mi viene in mente è la presenza di un firewall, o di un
sistema di routing fra le due reti, non configurato correttamente.

Grazie per l'attenzione
Buona giornata


Gianluca Mangiarotti
mail: giemm...@gmail.com

Inviato da Motorola Moto X
Il 17/set/2015 00:17, "Ennio-Sr"  ha scritto:

> Ciao a tutti.
>
> Ho da pochi giorni installato Debian-Jessie su un PC collegato alla rete
> locale via Wi-Fi e sto pazientemente cercando di configurarlo come il PC
> che ha sostituito (sul quale girava Squeeze).
>
> Uno dei problemi riscontrati e' che, detto 'alfa' il PC principale
> (collegato al router con cavo Eth) e 'beta' il PC collegato in Wi-Fi:
> - ssh da beta ad alfa funziona correttamente
> viceversa, se tento il collegamento  da alfa a beta mi dice che
> le connessione e' stata rifiutata.
>
> Se, stando in alfa, lancio 'nmap beta', mi riporta come aperta solo la
> porta '80/tcp open http'  e nessun'altra, e mi indica un MAC address che
> corrisponde alla cell del Router Wi-Fi a cui lo stesso beta e` collegato!
>
> E` una cosa normale?
>
> Grazie dell'attenzione,
>  Ennio
>
> PS. Tra Squueze e Jessie c'e` una grande differenza strutturale. Esiste
> un documento dal quale possa orientarmi per effettuare il 'fine-tuning'
> della nuova distro?
>
> --
> [Perche' usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo.   \\?//
>  Fa' qualche cosa di cui non sei capace!"  (diceva Henry Miller) ](°|°)
> [Why use Win$ozz (I say) if ... "even a fool can do that.  )=(
>  Do something you aren't good at!" (as Henry Miller used to say) ]
>
>

problema con scheda lan integrata

[Mario]

Buona sera lista,

dopo aver sostituito il case del mio pc, al riavvio la scheda di rete
non riceve i dati.

Vedo che viene inizializzata a 1Gbps e invia i dati.
Ho cambiato cavo e porta. stesso risultato.

 eth0  Link encap:Ethernet  HWaddr 00:1f:c6:ed:74:26  
   inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
   inet6 addr: fe80::21f:c6ff:feed:7426/64 Scope:Link
   UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
   RX packets:0 errors:0 dropped:0 overruns:0 frame:0
   TX packets:31 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:1000
   RX bytes:0 (0.0 B)  TX bytes:10568 (10.3 KiB)
   Interrupt:21 Base address:0xe000


In emergenza ho buttato su una vecchia scheda di rete su PCI (che usavo
10 anni fa su un celeron 1000 e win98) e la nostra grande Debian l'ha
usata al primo colpo e fortuna che ce l'avevo!

Come fareste voi a capire se è un problema software o hardware?

Mario




signature.asc
Description: OpenPGP digital signature

Re: problema con scheda lan integrata

[Mario]

Il 16/05/2013 16:06, Mario ha avuto l'onore e l'ardire di scrivere:
 Buona sera lista,
 
 dopo aver sostituito il case del mio pc, al riavvio la scheda di rete
 non riceve i dati.
 
 Vedo che viene inizializzata a 1Gbps e invia i dati.
 Ho cambiato cavo e porta. stesso risultato.
 
 eth0  Link encap:Ethernet  HWaddr 00:1f:c6:ed:74:26  
   inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
   inet6 addr: fe80::21f:c6ff:feed:7426/64 Scope:Link
   UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
   RX packets:0 errors:0 dropped:0 overruns:0 frame:0
   TX packets:31 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:1000
   RX bytes:0 (0.0 B)  TX bytes:10568 (10.3 KiB)
   Interrupt:21 Base address:0xe000
 

aggiungo qualche info ricavata con ethtool:

 Settings for eth0:
 Supported ports: [ MII ]
 Supported link modes:   10baseT/Half 10baseT/Full 
 100baseT/Half 100baseT/Full 
 1000baseT/Full 
 Supported pause frame use: No
 Supports auto-negotiation: Yes
 Advertised link modes:  10baseT/Half 10baseT/Full 
 100baseT/Half 100baseT/Full 
 1000baseT/Full 
 Advertised pause frame use: No
 Advertised auto-negotiation: Yes
 Speed: 1000Mb/s
 Duplex: Full
 Port: MII
 PHYAD: 1
 Transceiver: external
 Auto-negotiation: on
 Supports Wake-on: g
 Wake-on: d
 Link detected: yes




signature.asc
Description: OpenPGP digital signature

Re: problema con scheda lan integrata

[Luca Costantino]

Il 16 maggio 2013 16:06, Mario mariogo...@tiscali.it ha scritto:
 dopo aver sostituito il case del mio pc, al riavvio la scheda di rete
 non riceve i dati.

indirizzo settato in maniera statica o ottenuto da dhcp?
con la scheda pci hai usato lo stesso cavo che hai provato anche sulla
scheda integrata, giusto?

immagino tu non riesca nemmeno a pingare il tuo router, corretto?

luca


--
Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc

Prima di tutto vennero a prendere gli zingari e fui contento, perché
rubacchiavano.
Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici.
Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi
erano fastidiosi.
Poi vennero a prendere i comunisti, e io non dissi niente, perché non
ero comunista.
Un giorno vennero a prendere me, e non c’era rimasto nessuno a protestare.
(Martin Niemöller)


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+vfGHbOZB=+7a=5Rf-WtGEstKiZnLtwCuXi+cPi0gL6Ún...@mail.gmail.com

Re: problema con scheda lan integrata

[Mario]

Il 16/05/2013 16:35, Luca Costantino ha avuto l'onore e l'ardire di
scrivere:
ciao Luca,

 Il 16 maggio 2013 16:06, Mario mariogo...@tiscali.it ha scritto:
 dopo aver sostituito il case del mio pc, al riavvio la scheda di rete
 non riceve i dati.
 
 indirizzo settato in maniera statica o ottenuto da dhcp?
statico
 con la scheda pci hai usato lo stesso cavo che hai provato anche sulla
 scheda integrata, giusto?
no, ho usato un cavo diverso. prima di inserire la scheda ho modificato
il file /etc/network/interfaces per la nuova eth.
 
 immagino tu non riesca nemmeno a pingare il tuo router, corretto?
esatto!

 luca
 
 
 --
 Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc
 
 Prima di tutto vennero a prendere gli zingari e fui contento, perch�
 rubacchiavano.
 Poi vennero a prendere gli ebrei e stetti zitto, perch� mi stavano antipatici.
 Poi vennero a prendere gli omosessuali, e fui sollevato, perch� mi
 erano fastidiosi.
 Poi vennero a prendere i comunisti, e io non dissi niente, perch� non
 ero comunista.
 Un giorno vennero a prendere me, e non c�era rimasto nessuno a protestare.
 (Martin Niem�ller)
 
 




signature.asc
Description: OpenPGP digital signature

Re: problema con scheda lan integrata

[Luca Costantino]

Il 16 maggio 2013 17:00, Mario mariogo...@tiscali.it ha scritto:
 Il 16/05/2013 16:35, Luca Costantino ha avuto l'onore e l'ardire di scrivere:
[OT] ma che client di posta elettronica usi?? LOL :D

 indirizzo settato in maniera statica o ottenuto da dhcp?
 statico
provato a prenderlo con dhcp?
so che se la scheda NON riceve dati è un po' difficile che ottenga una
risposta, ma una prova non guasta.

 con la scheda pci hai usato lo stesso cavo che hai provato anche sulla
 scheda integrata, giusto?
 no, ho usato un cavo diverso.
potrebbe quindi essere colpa del cavo/connettore difettoso...
prova ad usare il cavo che ora usi sulla scheda pci (e che funziona
sicuramente!) sulla scheda integrata... funziona?
prova anche il cavo che usavi sulla scheda integrata (e che potrebbe
essere rotto) sulla scheda pci... funziona?
di solito sulle schede di rete sono integrati un paio di led, uno che
rileva la presenza del sengale (deve essere acceso fisso) ed uno
lampeggiante che indica attività.
sulla scheda integrata ci sono questi led? come si comportano usando i due cavi?

Luca


--
Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc

Prima di tutto vennero a prendere gli zingari e fui contento, perché
rubacchiavano.
Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici.
Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi
erano fastidiosi.
Poi vennero a prendere i comunisti, e io non dissi niente, perché non
ero comunista.
Un giorno vennero a prendere me, e non c’era rimasto nessuno a protestare.
(Martin Niemöller)


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+vfGHYOgt3d_maa28hYL=8qj_zw2d0qkj4xpxlmygmfnes...@mail.gmail.com

Re: problema con scheda lan integrata

[Mario]

Il 16/05/2013 17:06, Luca Costantino ha avuto l'onore e l'ardire di
scrivere:
 Il 16 maggio 2013 17:00, Mario mariogo...@tiscali.it ha scritto:
 Il 16/05/2013 16:35, Luca Costantino ha avuto l'onore e l'ardire di
scrivere:
 [OT] ma che client di posta elettronica usi?? LOL :D
Thunderbird! E' la formula che ho scelto per le risposte... me la tiro
giusto un po'!!
Diciamo che vorrebbe intimorire chi [mi] ha scritto cazzate... ma non è
molto efficace... (ovviamente non mi riferisco a te!)

 indirizzo settato in maniera statica o ottenuto da dhcp?
 statico
 provato a prenderlo con dhcp?
 so che se la scheda NON riceve dati � un po' difficile che ottenga una
 risposta, ma una prova non guasta.

come volevasi dimostrare...

 deb7-64-kde:/home/kgolf64# service networking stop
 [ ok ] Deconfiguring network interfaces...done.
 deb7-64-kde:/home/kgolf64# service networking start
 [] Configuring network interfaces...Internet Systems Consortium
DHCP Client 4.2.2
 Copyright 2004-2011 Internet Systems Consortium.
 All rights reserved.
 For info, please visit https://www.isc.org/software/dhcp/

 Listening on LPF/eth0/00:1f:c6:ed:74:26
 Sending on   LPF/eth0/00:1f:c6:ed:74:26
 Sending on   Socket/fallback
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 9
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 9
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 11
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 12
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 1
 No DHCPOFFERS received.
 No working leases in persistent database - sleeping.


 con la scheda pci hai usato lo stesso cavo che hai provato anche sulla
 scheda integrata, giusto?
 no, ho usato un cavo diverso.
 potrebbe quindi essere colpa del cavo/connettore difettoso...
 prova ad usare il cavo che ora usi sulla scheda pci (e che funziona
 sicuramente!) sulla scheda integrata... funziona?
già fatto. il cavo funzia!

 prova anche il cavo che usavi sulla scheda integrata (e che potrebbe
 essere rotto) sulla scheda pci... funziona?
idem.

 di solito sulle schede di rete sono integrati un paio di led, uno che
 rileva la presenza del sengale (deve essere acceso fisso) ed uno
 lampeggiante che indica attivit�.
 sulla scheda integrata ci sono questi led? come si comportano usando i
due cavi?
verde fissa. arancione lampeggia... lo switch la rileva come attiva a
1Gbps...

Non è mica che devo dare la colpa al case nuovo (Zalman Z11 Plus)???

Mario





signature.asc
Description: OpenPGP digital signature

Re: problema con scheda lan integrata

[Luca Costantino]

Il 16 maggio 2013 17:40, Mario mariogo...@tiscali.it ha scritto:
 come volevasi dimostrare...
 Listening on LPF/eth0/00:1f:c6:ed:74:26
 [...]
 No DHCPOFFERS received.
 No working leases in persistent database - sleeping.
brutta cosa, ma almeno hai conferma in più...

 già fatto. il cavo funzia!
ok, magari era solo quello! :P

 verde fissa. arancione lampeggia... lo switch la rileva come attiva a
 1Gbps...
ok.
dmesg dice qualcosa di interessante? hai cambiato kernel per caso?

detto questo proverei con una live o con un altro so...
nel bios di solito ci sono delle opzioni per attivare/disattivare la
scheda di rete integrata.
una controllatina la darei anche lì

il fatto che il led di stato sia acceso fa ben sperare per la salute
della scheda, ma sto finendo le idee :P

 Non è mica che devo dare la colpa al case nuovo (Zalman Z11 Plus)???
beh, si spera proprio di no, dai! :D
in ogni caso se finiamo le idee ed hai un po' di tempo da perdere,
puoi sempre rimettere il tutto nel vecchio case e controllare che la
scheda torni magicamente a funzionare :D

Luca



--
Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc

Prima di tutto vennero a prendere gli zingari e fui contento, perché
rubacchiavano.
Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici.
Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi
erano fastidiosi.
Poi vennero a prendere i comunisti, e io non dissi niente, perché non
ero comunista.
Un giorno vennero a prendere me, e non c’era rimasto nessuno a protestare.
(Martin Niemöller)


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CA+vfGHYYMFOQBL+wTQHj=o9+jc2wtp7btyjnhz9nlw6mwpg...@mail.gmail.com

Re: problema con scheda lan integrata

[Mario]

Il 16/05/2013 19:30, Luca Costantino ha avuto l'onore e l'ardire di
scrivere:

 ok.
 dmesg dice qualcosa di interessante? hai cambiato kernel per caso?

no, non mi sembra ce ne fossero tra gli aggiornamenti proposti in wheezy...

 detto questo proverei con una live o con un altro so...
proverò appena ho tempo.

 nel bios di solito ci sono delle opzioni per attivare/disattivare la
 scheda di rete integrata.
 una controllatina la darei anche l�
già fatto! niente di illuminante...
 
 il fatto che il led di stato sia acceso fa ben sperare per la salute
 della scheda, ma sto finendo le idee :P
grazie per le speranze!!


 Non � mica che devo dare la colpa al case nuovo (Zalman Z11 Plus)???
 beh, si spera proprio di no, dai! :D
 in ogni caso se finiamo le idee ed hai un po' di tempo da perdere,
 puoi sempre rimettere il tutto nel vecchio case e controllare che la
 scheda torni magicamente a funzionare :D
mal che vada... ma rischio di urtare qualche cosa col risultato di
creare danni..

Grazie per l'aiuto, Luca!
ciao, Mario




signature.asc
Description: OpenPGP digital signature

Re: [OT] Autenticazione LAN a livello di porta (RJ-45)

[giovanni Scudeller]

Il 21/04/2012 22:48, dea ha scritto:
 
 Giovanni, ho letto con interesse la tua risposta !
 
 Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno
 disservizio possibile in una rete con 160 client e, naturalmente, evitare di
 toccare i client uno per uno.
be questo sarebbe il problema toccare i client, ma lo puoi fare poco per
volta.
Infatti non ti ho parlato di 802.1x o simili, ma PPPOE o simili.

Quindi finchè non hai fatto la migrazione dei client funziona anche la
rete normale poi appena hai fatto la migrazione  lasci attiva solo la
rete pppoe...

Nella fase migrazione avrei un po traffico in piu' sul gateway e qualche
rallentamento. Ma a regime avrai che solo gli utenti abilitati ( che sia
MAC  o username/password o certificato poco cambia) potranno accedere
alla rete ed un eventuale esterno avrà anche poche informazioni per
capire la tipologia della rete.

 
 La mia idea era quella di collocare un firewall trasparente prima del gateway
 (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non
 ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC.
sinceramente non ho mai usato ebtables, cosi profondamente non saprei
cosa dire. Pero ti porto un esempio ho un server che attivo 24 ore sulla
rete pero spesso nella tabella di arp del mio firewall ( linux/debian
6.0) non risulta il mac di questo server. E vero che il server accede
poco o niente risorse che non siano in rete locale.
Come si comporta una ebtables in questo caso ?
 
 Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di
 scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il
 MAC non valido, inoltre per sapere su quale porta e su quale switch è
 collegata la macchina con MAC non valido, si può richiedere sempre via telnet
 o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando
 ed il firewall potrebbe occuparsi di tutto.
teoricamente bello e facile... pero ti porto un esempio pratico.
Ho avuto un problema con un scheda di rete di un dispositivo di
registrazione dati, il difetto era che sia era rovinata la eproom dove
e' memorizzato MAC per cui di tanto in tanto dava un mac errato. ed il
sw non mi da la possibilità di leggere il mac della scheda dal dispositivo.
pero dovevo gestire autorizzazione al collegamento...  noi abbiamo un
controllo sul mac a livello di porta (sistema usato solo per rispetto di
una protocollo operativo, altrimenti sarebbe un sistema
sovradimensionato per un totale di 33 schede di rete presenti)

In ufficio abbiamo 2 switch a 48 porte entrambi cisco. uno un vero
switch cisco ( usato per la rete) altro un ex linksys ( usato per
collegare questi dispositivi di acquisizione), sono entrambi nuovi (
meno di anno) su uno se modifico la tabella dei MAC source per porta non
devo fare niente sul altro devo fare il reboot dello stesso per fargli
leggere la tabella valida in poco tempo e sbloccare il MAC. Quindi ogni
volta che collegavo il dispositivo in oggetto, dovevo leggere il mac
sulla porta autorizzarlo e quindi fare il reboot dello stesso è vero
che nel mio caso lo switch era usato solo per questo scopo quindi non
era un problema.. ma nel tuo caso ?

il reboot è il sistema più veloce ( che ho trovato) per sbloccare il mac
bloccato per violazione dello stesso che nel caso del mio switch linksys
è di 10min..
Nel tuo caso cosa succederebbe ?
Ovviamente se autorizzavo il mac prima del collegamento e porta
scollegata il tutto era trasparente.





 
 Il ragionamento sembra sensato o presenta problemi che non vedo ?
 
 Grazie
 
 Luca
 
 


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f93c7ce.6080...@gmail.com

Re: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

Ho capito Giovanni, ci sono troppe variabili in gioco.

Inizio ad analizzare gli apparati che ha il cliente e poi cerco di capire cosa
sia meglio.

L'idea del PPPoE si aggiunge alla lista delle soluzioni, grazie :)

CIAO

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120422090233.m77...@corep.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

 I cisco, se non ricordo male, propagano le restrizioni agli altri 
 switch sia a monte che a valle...

Purtroppo dovrò lavorare su una rete esistente e devo tenermi gli switch che
ci sono, quindi non posso sfruttare caratteristiche particolari di uno
specifico produttore :(

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120421071420.m74...@corep.it

Re: [OT] Autenticazione LAN a livello di porta (RJ-45)

[giovanni Scudeller]

Il 20/04/2012 19:02, dea ha scritto:
 Una buona serata a tutta la lista !
 
 Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche
 soluzione, ma volevo chiedere consiglio a voi per identificare la migliore.
 
 Quesito:
 
 Data una rete cablata con n macchine, non si vuole che staccato un cavo si
 possa collegare una macchina diversa, anche se chi lo fa è dotato di login e
 password validi (per esempio un portatile è validato, uno no).
 Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non
 si vuole tagliare semplicemente sul gateway.

ti base se vuoi gestire switch diversi con sw di gestione serio di
consiglieri di usare un server radius ed imporre l'autentficazione a
livello di uso della scheda di rete. ( ad esempio usando il pppoe).
Tutto sommato e semplice e funziona bene e non ti crei problemi di mac
mobili
Stai attendo anche se sono switch di marca non è detto che il sw di
gestione sia buono. Spesso per motivi di marcato si fanno serie
economiche che oltre essere carenti a livello di prestazioni, lo sono
molto di più a livello di funzioni sw per la gestione.


 
 Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un
 firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC
 non in lista ed in tal caso vada in allarme (segnalando via mail il problema).
si ma se non leggi la mail ?  e se non esce dello switch  come cerchi il
MAC ? poi se hai 10 switch metti 10 firewall ?
A questo punto potresti usare un trucco con il DHCP  MAC conosciuto
ip valido mac non conosciuto ip non valido.  Semplice funzionale senza
grandi problemi e sempre la mail  su ip non valido.
 
 E' anche vero che un portatile può usare più spinotti di rete, quindi la
 gestione deve essere adattabile.
In una rete tipo quella che prospetti questa frase deve essere eccezione
non la regola.  Sopratutto se usi un controllo su layer L2 onde evitare
che i vari protocolli di spanning tree diano i numeri. Se blocci i MAC
su uno switch solitamente li mettono su tabelle statiche quindi non
sempre le informazioni sono passati alla gestione dello spannig tree
quindi potrebbe accadere che tu apri la rete perchè la convergenza sul
mac è lento ( fino a qualche minuto) soprattutto se gli switch sono di
marche diverse ( in alcuni casi anche tra serie diverse degli switch)
 
 C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione
 migliore.
 
 Grazie
 
 Luca
 
 
 
 
 


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f931288.1080...@gmail.com

Re: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

Giovanni, ho letto con interesse la tua risposta !

Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno
disservizio possibile in una rete con 160 client e, naturalmente, evitare di
toccare i client uno per uno.

Utilizzare autenticazione sui client (per esempio usando 802.1x) per
permettere di utilizzare il link di rete si scontra con il fatto che l'utente
ha un login valido ma la macchina che usa potrebbe non esserla, è la macchina
che va autenticata, non l'utente.

So che il MAC non offre una buona sicurezza perchè può essere cambiato con
facilità... ma al momento non mi viene in mente altro.

La mia idea era quella di collocare un firewall trasparente prima del gateway
(non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non
ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC.

Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di
scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il
MAC non valido, inoltre per sapere su quale porta e su quale switch è
collegata la macchina con MAC non valido, si può richiedere sempre via telnet
o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando
ed il firewall potrebbe occuparsi di tutto.

Il ragionamento sembra sensato o presenta problemi che non vedo ?

Grazie

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120421203446.m59...@corep.it

[OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

Una buona serata a tutta la lista !

Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche
soluzione, ma volevo chiedere consiglio a voi per identificare la migliore.

Quesito:

Data una rete cablata con n macchine, non si vuole che staccato un cavo si
possa collegare una macchina diversa, anche se chi lo fa è dotato di login e
password validi (per esempio un portatile è validato, uno no).
Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non
si vuole tagliare semplicemente sul gateway.

Una soluzione potrebbe essere quella di implementare 802.1x, ma con
autenticazione a livello di MAC.
Il mio pensiero è quello che, se non si installa software sui client è meglio,
quindi bisogna lavorare di switch ed eventualmente con un server radius di
appoggio (devo ancora vedere che switch hanno).

Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un
firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC
non in lista ed in tal caso vada in allarme (segnalando via mail il problema).

E' anche vero che un portatile può usare più spinotti di rete, quindi la
gestione deve essere adattabile.

C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione
migliore.

Grazie

Luca





-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120420165345.m49...@corep.it

R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[Francesco Zanolin]

Ciao,

Alcuni switch (hp, cisco per esempio) hanno anche il port lockout legato al mac 
che permette di bloccare una porta temporaneamente o in modo definitivo (fino a 
sblocco dell'admin) in caso sulla porta vengano registrati n mac address 
diversi in un certo tempo.

Un tempo veniva usato nel mio posto di lavoro dal precedente net admin per 
impedire l'installazione di hub e bloccare l'uso delle porte da parte dei 
visitatori.

Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna 
per accettare un solo mac address, se su quella del portatile viene attaccato 
un device con mac diverso la porta si blocca. La cosa è basata su una tabella 
che registra ogni mac collegato alla porta quando la tabella è piena la porta 
si blocca.

Francesco
-- 
Francesco Zanolin

Istituto Nazionale di Geofisica e Vulcanologia
Centro Nazionale Terremoti
Servizi Informatici E Reti
Via di Vigna Murata 605
00143 Roma Italy


cell. 3346418320
tel: 0651860346  fax. 0651860541
e-mail: francesco.zano...@ingv.it

-Original Message-
From: dea d...@corep.it
Date: Fri, 20 Apr 2012 19:02:58 
To: debian-italian@lists.debian.org
Subject: [OT] Autenticazione LAN a livello di porta (RJ-45)

Una buona serata a tutta la lista !

Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche
soluzione, ma volevo chiedere consiglio a voi per identificare la migliore.

Quesito:

Data una rete cablata con n macchine, non si vuole che staccato un cavo si
possa collegare una macchina diversa, anche se chi lo fa è dotato di login e
password validi (per esempio un portatile è validato, uno no).
Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non
si vuole tagliare semplicemente sul gateway.

Una soluzione potrebbe essere quella di implementare 802.1x, ma con
autenticazione a livello di MAC.
Il mio pensiero è quello che, se non si installa software sui client è meglio,
quindi bisogna lavorare di switch ed eventualmente con un server radius di
appoggio (devo ancora vedere che switch hanno).

Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un
firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC
non in lista ed in tal caso vada in allarme (segnalando via mail il problema).

E' anche vero che un portatile può usare più spinotti di rete, quindi la
gestione deve essere adattabile.

C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione
migliore.

Grazie

Luca





-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120420165345.m49...@corep.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

 Alcuni switch (hp, cisco per esempio) hanno anche il port lockout 
 legato al mac che permette di bloccare una porta temporaneamente o 
 in modo definitivo (fino a sblocco dell'admin) in caso sulla porta 
 vengano registrati n mac address diversi in un certo tempo.
 
 Un tempo veniva usato nel mio posto di lavoro dal precedente net 
 admin per impedire l'installazione di hub e bloccare l'uso delle 
 porte da parte dei visitatori.
 
 Esempio: io ho una porta per il fisso e una per il portatile 
 impostate ciascuna per accettare un solo mac address, se su quella 
 del portatile viene attaccato un device con mac diverso la porta si 
 blocca. La cosa è basata su una tabella che registra ogni mac 
 collegato alla porta quando la tabella è piena la porta si blocca.

Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista
per ogni switch (dato che si parla di 160 utenti e molti usano portatili,
quindi non hanno una locazione fissa, la stessa macchina può usare diverse
porte su più switch).

Comunque l'idea è quella, devo capire come ottimizzare il tutto.

Grazie

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120420175223.m66...@corep.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[Francesco Zanolin]

On 20/04/2012 19:57, dea wrote:




Esempio: io ho una porta per il fisso e una per il portatile
impostate ciascuna per accettare un solo mac address, se su quella
del portatile viene attaccato un device con mac diverso la porta si
blocca. La cosa è basata su una tabella che registra ogni mac
collegato alla porta quando la tabella è piena la porta si blocca.


Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista
per ogni switch (dato che si parla di 160 utenti e molti usano portatili,
quindi non hanno una locazione fissa, la stessa macchina può usare diverse
porte su più switch).

Comunque l'idea è quella, devo capire come ottimizzare il tutto.

Grazie

Luca




Ciao,

mi devo scusare, quello che ti ho descritto è il lock down ma esiste 
anche il lockout in cui puoi dare la lista dei mac da tenere fuori.


Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di 
creare uno script per il controllo di una lista di mac-address 
autorizzati e nel caso il mac-address non sia presente eseguire 
l'inserimento dello stesso sugli switch tramite il lockout.


Spero di esserti stato utile.

Francesco


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f91a903.1080...@ingv.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

 mi devo scusare, quello che ti ho descritto è il lock down ma 
 esiste anche il lockout in cui puoi dare la lista dei mac da tenere fuori.
 
 Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di 
 creare uno script per il controllo di una lista di mac-address 
 autorizzati e nel caso il mac-address non sia presente eseguire 
 l'inserimento dello stesso sugli switch tramite il lockout.
 
 Spero di esserti stato utile.
 
 Francesco

Una delle mie idee era quella di inserire prima del gateway un firewall Linux
trasparente (2 schede in bridge) con ebtables che controlla il traffico ed
identifica MAC non autorizzati o si mette in modalità di apprendimento per
aggiornare la lista in automatico.

A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma,
comunque, il traffico sullo switch può farlo.

Posso fare un push della tabella blacklist MAC verso lo switch in automatico
? Sarebbe risolutivo.

Grazie

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120420184135.m71...@corep.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[Francesco Zanolin]

On 20/04/2012 20:45, dea wrote:

Una delle mie idee era quella di inserire prima del gateway un firewall Linux
trasparente (2 schede in bridge) con ebtables che controlla il traffico ed
identifica MAC non autorizzati o si mette in modalità di apprendimento per
aggiornare la lista in automatico.

A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma,
comunque, il traffico sullo switch può farlo.

Posso fare un push della tabella blacklist MAC verso lo switch in automatico
? Sarebbe risolutivo.

Grazie

Luca



Credo che dipenda dallo switch; comunque puoi usare anche expect
per inviare i comandi allo switch via telnet,ssh automatizzando il 
processo questo ti permette di essere indipendente.


Buona serata

Francesco




--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f91cd10@ingv.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[dea]

 Credo che dipenda dallo switch; comunque puoi usare anche expect
 per inviare i comandi allo switch via telnet,ssh automatizzando il 
 processo questo ti permette di essere indipendente.

Perfetto !

Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso
e filtro iniettando in blacklist il MAC sugli switch.

Mi piace, grazie mille :)

Luca


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120420205922.m86...@corep.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[Francesco Zanolin]

On 20/04/2012 23:00, dea wrote:


Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso
e filtro iniettando in blacklist il MAC sugli switch.

Mi piace, grazie mille :)

Luca




Figurati!

Buona serata e buona caccia.

Francesco


--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per

problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f91d0ed.9000...@ingv.it

Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)

[Paride Desimone]

Il 20/04/2012 20:54 Francesco Zanolin ha scritto:


Credo che dipenda dallo switch; comunque puoi usare anche expect
per inviare i comandi allo switch via telnet,ssh automatizzando il
processo questo ti permette di essere indipendente.



I cisco, se non ricordo male, propagano le restrizioni agli altri 
switch sia a monte che a valle...


Paride
--
http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per 
comprarsi briciole di temporanea sicurezza non merita ne' la liberta' 
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, 
Assemblea della Pennsylvania, 11 novembre 1755)



--
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per

problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/980b0e58af61376237caad3e96720...@autistici.org

Re: Instant messaging in lan

[Mauro]

2011/1/31 alessio le.gau...@email.it:
 un saluto a tutta la lista.

 spero che l'oggetto del messaggio sia sufficientemente chiaro, vorrei un
 vostro consiglio su una soluzione di instant messaging da poter
 utilizzare all'interno di una lan quest'ultima non particolarmente
 vasta (credo al massimo una 50ina di client *), chiedo il vostro
 consiglio perchè non saprei davvero su cosa orientarmi ho letto anche
 a proposito di una soluzione che prevede la configurazione di un server
 di jabber ma non ne so molto al riguardo.

Io ho installato e configurato ejabberd.
I client usano pidgin.
Se ti servono info chiedi pure.


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/AANLkTi=RfbZ2=-6YWTeitc3AieTfv+zCA46_u3=to...@mail.gmail.com

Re: Instant messaging in lan

[Giuseppe Lapresa]

Non so quanto ti possa essere d'aiuto e probabilmente e
sovradimensionato rispetto la tua richiesta. Io avendo installato
Zimbra per la LAN ho avuto a disposizione anche la chat.

Il 01 febbraio 2011 07:37, Mario Vittorio Guenzi jcl...@tiscali.it ha scritto:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 alessio ha scritto:


 voi cosa consigliereste?

 vi ringrazio anticipatamente per ogni eventuale risposta.

 * questi possono essere sia win che linux

 alessio.

 su win noi usiamo realpopup che tutto sommato gira, non abbiamo client
 linux quindi non saprei consigliarti in tal senso


 - --

 Mario Vittorio Guenzi
 E-mail jcl...@tiscali.it
 Si vis pacem, para bellum
 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.4.10 (GNU/Linux)
 Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

 iEYEARECAAYFAk1HqhgACgkQm6qs1ZkNrIrF7gCfXcDs28yedJ2rBgNhDoc7eB89
 61cAnRzqN/RMQ+AD+ZYhftY5ZtV6nUP9
 =jX34
 -END PGP SIGNATURE-


 --
 Per REVOCARE l'iscrizione alla lista, inviare un email a
 debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
 problemi inviare un email in INGLESE a listmas...@lists.debian.org

 To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 Archive: http://lists.debian.org/4d47aa18.20...@tiscali.it




-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/AANLkTi=gaujcpbfbsnjjbrjwaxgkc05tqjhujfwul...@mail.gmail.com

Re: Instant messaging in lan

[Fabrizio Mancini]

2011/1/31 alessio le.gau...@email.it:
 un saluto a tutta la lista.
Ciao

 spero che l'oggetto del messaggio sia sufficientemente chiaro, vorrei un
 vostro consiglio su una soluzione di instant messaging da poter
 utilizzare all'interno di una lan quest'ultima non particolarmente
 vasta (credo al massimo una 50ina di client *), chiedo il vostro
 consiglio perchè non saprei davvero su cosa orientarmi ho letto anche
 a proposito di una soluzione che prevede la configurazione di un server
 di jabber ma non ne so molto al riguardo.
 voi cosa consigliereste?
Ciao,
supponendo che il server che deve gestire il tutto sia linux, le
soluzioni più ovvie sono quelle di installare un server jabber
[0][1][2] e i vari client che preferisci sui client [3].
Per la configurazione non credo ci siano grossi problemi, non l'ho mai
fatta, ma basta che segui la documentazione che ci sta sui vari siti,
poi per problemi chiedi in lista!!! :-)
Se invece stai su windows... beh hai sbagliato lista! :-)
Ciao fabrizio

[0] http://www.jabberd.org/
[1] http://codex.xiaoka.com/wiki/jabberd2:start
[2] http://www.ejabberd.im/
[3] http://xmpp.org/xmpp-software/clients/


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/aanlktik40ybp+kafgpr470d2ojl3o1klkwvq6i692...@mail.gmail.com

Re: Instant messaging in lan

[Mirco Piccin]

Ciao,

 vorrei un vostro consiglio su una soluzione di instant messaging da poter
 utilizzare all'interno di una lan quest'ultima non particolarmente
 vasta (credo al massimo una 50ina di client *)

mi è capitato più volte di usare questo:
http://www.igniterealtime.org/projects/openfire/
che è davvero ben fatto, semplice da gestire e professionale..

Il client è disponibile sia per Win che per Linux (esiste anche una versione
web), ed è basato su protocollo xmpp/jabber:
http://www.igniterealtime.org/projects/spark/index.jsp

E' disponibile anche in distribuzioni orientate a Unified Communications
(naturalmente opensource), come Elastix:
http://www.elastix.org/

Saluti
M

Re: Instant messaging in lan

[alessio]

Il giorno Tue, 1 Feb 2011 10:58:57 +0100
Fabrizio Mancini mr.f...@gmail.com ha scritto:

 Ciao,
 supponendo che il server che deve gestire il tutto sia linux, le
 soluzioni più ovvie sono quelle di installare un server jabber
 [0][1][2] e i vari client che preferisci sui client [3].
 Per la configurazione non credo ci siano grossi problemi, non l'ho mai
 fatta, ma basta che segui la documentazione che ci sta sui vari siti,
 poi per problemi chiedi in lista!!! :-)
 Se invece stai su windows... beh hai sbagliato lista! :-)
 Ciao fabrizio
 
 [0] http://www.jabberd.org/
 [1] http://codex.xiaoka.com/wiki/jabberd2:start
 [2] http://www.ejabberd.im/
 [3] http://xmpp.org/xmpp-software/clients/
 
 

ciao fabrizio e intanto grazie, hai ragione ho dimenticato di precisare
che si il server è debian stable quindi è praticabile la soluzione di
installare e configurare jabber (grazie anche per i link che mi
studierò in questi giorni)

alessio
-- 
 .''`.  ** Debian GNU/Linux **  | Alessio (Le Gauche)
: :'  :   The Universal O.S.| le.gauche (AT) email.it
`. `'`  | 
  `-http://www.debian.org/  | squeeze / sid


 --
 Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP 
autenticato? GRATIS solo con Email.it http://www.email.it/f

 Sponsor:
 Apri Conto Corrente Arancio entro il 28 febbraio 2011 e ricevi 100 euro da 
spendere su Media World compra online. Aprilo adesso!
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid254d=1-2


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110201142747.67993...@testing.fastwebnet.it

Re: Instant messaging in lan

[alessio]

Il giorno Tue, 1 Feb 2011 11:00:05 +0100
Mirco Piccin pic...@gmail.com ha scritto:

 Ciao,
 mi è capitato più volte di usare questo:
 http://www.igniterealtime.org/projects/openfire/
 che è davvero ben fatto, semplice da gestire e professionale..
 
 Il client è disponibile sia per Win che per Linux (esiste anche una
versione  web), ed è basato su protocollo xmpp/jabber:
 http://www.igniterealtime.org/projects/spark/index.jsp
 
 E' disponibile anche in distribuzioni orientate a Unified
Communications  (naturalmente opensource), come Elastix:
 http://www.elastix.org/
 
 Saluti
 M

grazie mirco sembra davvero ottimo questo openfire (ammetto di aver
letto distrattamente qualcosa a riguardo).

ti ringrazio ancora per il prezioso suggerimento.

alessio.

-- 
 .''`.  ** Debian GNU/Linux **  | Alessio (Le Gauche)
: :'  :   The Universal O.S.| le.gauche (AT) email.it
`. `'`  | 
  `-http://www.debian.org/  | squeeze / sid


 --
 Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP 
autenticato? GRATIS solo con Email.it http://www.email.it/f

 Sponsor:
 Apri Conto Corrente Arancio entro il 28 febbraio 2011 e ricevi 100 euro da 
spendere su Media World compra online. Aprilo adesso!
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid252d=1-2


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110201142921.4bc0a...@testing.fastwebnet.it

Instant messaging in lan

[alessio]

un saluto a tutta la lista.

spero che l'oggetto del messaggio sia sufficientemente chiaro, vorrei un
vostro consiglio su una soluzione di instant messaging da poter
utilizzare all'interno di una lan quest'ultima non particolarmente
vasta (credo al massimo una 50ina di client *), chiedo il vostro
consiglio perchè non saprei davvero su cosa orientarmi ho letto anche
a proposito di una soluzione che prevede la configurazione di un server
di jabber ma non ne so molto al riguardo.

voi cosa consigliereste? 

vi ringrazio anticipatamente per ogni eventuale risposta.

* questi possono essere sia win che linux

alessio.

-- 
 .''`.  ** Debian GNU/Linux **  | Alessio (Le Gauche)
: :'  :   The Universal O.S.| le.gauche (AT) email.it
`. `'`  | 
  `-http://www.debian.org/  | squeeze / sid


 --
 Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP 
autenticato? GRATIS solo con Email.it http://www.email.it/f

 Sponsor:
 PACCHETTO INNAMORATI: 1gg a RICCIONE in hotel 3 stelle, cena degli innamorati 
a lume di candela, ingresso terme a soli euro 85 a persona, 
hotellacappuccina.com
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid264d1-1


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110131235706.65101...@testing.fastwebnet.it

Re: Instant messaging in lan

[Mario Vittorio Guenzi]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

alessio ha scritto:

 
 voi cosa consigliereste? 
 
 vi ringrazio anticipatamente per ogni eventuale risposta.
 
 * questi possono essere sia win che linux
 
 alessio.
 
su win noi usiamo realpopup che tutto sommato gira, non abbiamo client
linux quindi non saprei consigliarti in tal senso


- --

Mario Vittorio Guenzi
E-mail jcl...@tiscali.it
Si vis pacem, para bellum
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk1HqhgACgkQm6qs1ZkNrIrF7gCfXcDs28yedJ2rBgNhDoc7eB89
61cAnRzqN/RMQ+AD+ZYhftY5ZtV6nUP9
=jX34
-END PGP SIGNATURE-


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4d47aa18.20...@tiscali.it

Re: proftpd server irraggiungibile all'esterno della lan

[alessio]

torno in tema per segnalare che sono riuscito a risolvere il problema,
o buona parte di esso.

da quanto ho capito si era creata una sorta di strana situazione
conflittuale dovuta con ogni probabilità ai file di configurazione di
webmin, anche questo presente sulla macchina in questione, ho rimosso
sia webmin che tutti i file associabili a proftpd, reinstallato
quest'ultimo e modificato ad hoc il suo conf ho notato che funziona
senza problemi anche esternamente alla lan.

ho però dovuto reimpostare la porta di default del servizio.

grazie ancora a tutti per il prezioso aiuto.

-- 
 .''`.  ** Debian GNU/Linux **  | Alessio (Le Gauche)
: :'  :   The Universal O.S.| le.gauche (AT) email.it
`. `'`  | 
  `-http://www.debian.org/  | squeeze / sid


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20101219150933.755a0...@testing.fastwebnet.it

Re: proftpd server irraggiungibile all'esterno della lan

[Marco Costantino]

Il 15/12/2010 00:50, alessio ha scritto:
 un saluto a tutta la lista :)
 
 debian lenny @ 2.6.26-2-686
 proftpd 1.3.1-17lenny4 
 
 ho un problema con proftpd come da oggetto, in pratica non
 riesco a rendere raggiungibile il server ftp all'esterno della lan,
 messa in questo modo verrebbe da pensare che si tratti di un problema
 di port forwarding ma vi assicuro che ho configurato correttamente
 l'apertura delle porte sul router.
 
 la cosa strana è che lasciando la porta di default 21 il client esterno
 arriva a connettersi facendo correttamente il login (non è previsto
 accesso anonimo) per poi essere disconnesso quasi istantaneamente
 
 dic 14 23:57:48 server proftpd[13483] server.home 
   (xx.xx.xxx.xxx[xx.xx.xxx.xxx]): FTP session opened.
 dic 14 23:57:49 server proftpd[13483] server.home 
   (xx.xx.xxx.xxx[xx.xx.xxx.xxx]): USER user: Login successful.
 dic 14 23:57:49 server proftpd[13483] server.home 
   (xx.xx.xxx.xxx[xx.xx.xxx.xxx]): Preparing to chroot to directory
   '/home/utente/share' 
 dic 14 23:57:50 server proftpd[13483] server.home
   (xx.xx.xxx.xxx[xx.xx.xxx.xxx]): FTP session closed.
 
 se invece provo a cambiare la porta su cui è in ascolto il
 servizio (1 es.) il client si connette, riesco persino a vedere la
 sessione avviarsi con ftptop ma lato client la pagina rimane in perenne
 caricamento senza mostrare la root del server, finchè la connessione va
 in timeout lamentando una impossibilità al passive data transfer
 opzione che effettivamente avevo disabilitato in proftpd.conf 
 
 se ve lo steste chiedendo abilitando un range di porte passive il
 discorso non cambia di una virgola, la cosa veramente singolare è che
 sul server in questione ho diversi altri servizi che non danno alcun
 problema.
 
 preciso per dovere di cronaca che ho recentemente cambiato isp, fino a
 quel momento il server funzionava in maniere ottimale.
 
 altra cosa strana che ho rilevato è che in ftptop l'ip del server è
 errato nel senso che viene stampato a video il vecchio ip classe
 192.168.8.x mentre il server ora ha un ip 192.168.1.x in realtà questa
 stranezza non influisce sul funzionamento di proftpd almeno finchè
 accedono client della lan.
 
 spero in qualche vostro suggerimento per cercare di capire dove risieda
 il problema, purtroppo i log di proftpd non mi hanno aiutato molto
 
 grazie anticipatamente a tutti per ogni eventuale risposta.
 
Al momento non mi viene in mente una possibile soluzione, però posso
consigliare l'utilizzo di un altro server ftp.
Dal momento che proftpd è un colabrodo, nelle ultime settimane sono
usciti alcuni exploit sconcertanti.
Indipendentemente dalla versione cambierei server ftp.

Oppure adotterei l'utilizzo di sftp.


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4d088b73.7020...@gmail.com

Re: proftpd server irraggiungibile all'esterno della lan

[alessio]

Il giorno Wed, 15 Dec 2010 10:33:39 +0100
Marco Costantino kosta...@gmail.com ha scritto:

 Al momento non mi viene in mente una possibile soluzione, però posso
 consigliare l'utilizzo di un altro server ftp.
 Dal momento che proftpd è un colabrodo, nelle ultime settimane sono
 usciti alcuni exploit sconcertanti.
 Indipendentemente dalla versione cambierei server ftp.
 
 Oppure adotterei l'utilizzo di sftp.
 
 

ciao marco innanzitutto ti ringrazio della risposta, non ero a
conoscenza di queste vulnerabilità di proftp, cado letteralmente dal
pero avendolo usato per anni senza il benchè minimo problema, comunque
se non ci fosse nessuna soluzione dovrò per forza di cose buttarmi su
un altro software, vedo che consigli sftp che non conosco purtroppo,
dovrò documentarmi.

grazie ancora

-- 
 .''`.  ** Debian GNU/Linux **  | Alessio (Le Gauche)
: :'  :   The Universal O.S.| le.gauche (AT) email.it
`. `'`  | 
  `-http://www.debian.org/  | squeeze / sid


 --
 Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP 
autenticato? GRATIS solo con Email.it http://www.email.it/f

 Sponsor:
 Emailpaghe: le paghe in 3 click, veloce ed efficiente puoi averlo in prova 
gratuita fino al 31 dicembre 2010. Cosa aspetti provalo!
 Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid681d-12


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20101215151208.1caa2...@testing.fastwebnet.it

Re: proftpd server irraggiungibile all'esterno della lan

[Marco Costantino]

Il 15/12/2010 15:12, alessio ha scritto:
 Il giorno Wed, 15 Dec 2010 10:33:39 +0100
 Marco Costantino kosta...@gmail.com ha scritto:
 
 Al momento non mi viene in mente una possibile soluzione, però posso
 consigliare l'utilizzo di un altro server ftp.
 Dal momento che proftpd è un colabrodo, nelle ultime settimane sono
 usciti alcuni exploit sconcertanti.
 Indipendentemente dalla versione cambierei server ftp.

 Oppure adotterei l'utilizzo di sftp.


 
 ciao marco innanzitutto ti ringrazio della risposta, non ero a
 conoscenza di queste vulnerabilità di proftp, cado letteralmente dal
 pero avendolo usato per anni senza il benchè minimo problema, comunque
 se non ci fosse nessuna soluzione dovrò per forza di cose buttarmi su
 un altro software, vedo che consigli sftp che non conosco purtroppo,
 dovrò documentarmi.
 
 grazie ancora
 

Figurati, SFTP è niente di meno che Secure FTP e si può utilizzare lato
server installando openSSH server, e lato client con FileZilla o un
altro client che supporti sftp.
Con filezilla è molto trasparente l'utilizzo di sftp dal momento che
viene trattato da frontend come se fosse ftp.

Sicuramente è molto più sicuro di un qualunque server ftp,
i login sono gli utenti di sistema che hanno accesso tramite SSH.

Se ti servono informazioni dettagliate chiedi pure


Ciao


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a listmas...@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4d08d1be.6020...@gmail.com