FRITZ!BOX 3370 e VPN

[pandorino]

Salve a tutti
ho acquistato da poco il modem/router in oggetto.
configurato e per adesso tutto ok.
Avrei solo alcuni punti aperti relativamente alla configurazione della VPN.
1) nel fare la configurazione usando il software "FRITZ!Box VPN Connection" sono obbligato a inserire l'IP address che sara' staticamente assegnato al mio client quando si connette in VPN. Non e' possibile fare in modo che l'IP sia settato dinamicamente? cioe' quindi che intervenga il DHCP ad assegnare un IP nella subnet del mio fritz!box al mio client?

2) vedo che entrambi i file di configurazione del VPN-client e del VPN-server conservano internamente la pre-shared key. Cio' significa in termini di sicurezza, che se qualcuno mi ruba il PC, basta semplicemente che attivi la connessione VPN e potra' accedere alla mia rete interna, visto che durante la connessione non mi viene chiesta nessuna altra password. Non si puo' fare in modo che la password (e/o anche una username) mi venga chiesta esplicitamente? Scarto a priori la sciocca funzionalita' del software "FRITZ!BOX VPN" che chiede una password prima di cominciare proprio a fare qualunque connessione, non e' certo il livello di sicurezza che mi soddisfa.

Grazie in anticipo di ogni suggerimento

[pandorino]

Beh', nel mentre scrivevo il primo post, mi e'venuta una intuizione per il problema del punto-2, l'ho provata e funziona. La indico sotto per chiunque ne fosse interessato. MI manca quindi la soluzione al punto-1.
Grazie

Soluzione al punto-2:
Normalmente il "FRITZ!Box VPN Connection" nel file di configurazione file VPN-server scrive questo:

use_xauth = No;

Basta cambiarlo e scrivere
-----------------
use_xauth = yes;
xauth {
valid = yes;
username = "USERNAME";
passwd = "PWD";
}
-----------------

dopo di che importarlo, e il fritzbox lo accetta.
Il problema adesso sta nel cliente: il "FRITZ!BOX VPN" client, ho realizzato che non e' un granche'. Ho scaricato quindi il "SHREW SOFT VPN CLIENT", l'ho configurato per fare una authentication "Mutual PSK +XAUTH", quindi gli ho messo la pre-shared key dentro prendendola dal file di configurazione generato con "FRITZ!Box VPN Connection". Quando attivo la connessione, mi chiede di inserire le credenziali XAUTH, et voilá il gioco e' fatto.

Saluti

[pandorino]

Rieccomi, per darvi la soluzione al punto-1: in effetti non c'e' soluzione.
La funzionalita' della VPN nel firmware del fritz non prevede una assegnazione dinamica degli IP address alle connessioni VPN.
Ho chiesto alla AVM di considerare questa cosa come un possibile miglioramento per i prossimi firmware,
spero tanto che mi diano retta, ma ci credo poco.
Saluti a tutti

[graymalking]

hai considerato di crearti un fw con freetz che integri openvpn ? Mi sa che fai prima dell'aggiornamento avm

[pandorino]

Si, avevo considerato tale idea. Unico problema e' che sembra che i vari freetz non sono compatibili con il 3370, ma sono tutti studiati per la sere 7XYZ, cioe' quelli che gestiscono i telefoni. Almeno questo e' quello che leggo sulle note di compatibilita'...
dovrei richiedere che lo rendano compatibile anche con i 3370 (solo che non parlo tedesco :-)... ecco perche' nel mio post di benvenuto avevo anche scritto che forse mi sarei pentito di aver comprato il 3370...

[graymalking]

bisogna solo capire quale modello sia l'equivalente con voip del 3370 e compilare un fw senza voip, penso che dovrebbe funzionare,
Added nel trunk c'è la possibilità di compilazione del fw per 3370

[graymalking]

visto che lo avevo sotto mano ho provato a fare un fw per il 3370 con freetz.
Ci ho messo openvpn, ho visto che c'è una nuova impostazione use ip instead of ifconfig and route.
Io non l'ho impostata lasciando il sistema tradizionale, se la vuoi modificata magari me lo dici
Il firmware con l'extended (torrent) lo trovi qui
http://graymalking.altervista.org/documenti/3370.rar
Sappimi dire che poi lo cancello/trasferisco sul repository.

[pandorino]

Grazie graymalking.
In teoria, il 7330, 7360 e 7390 sono identici al 3370 a meno del DECT e del VOIP. Diciamo che il 7390 e' quello che si avvicina di piu' perche' ha 4porte GB, mentre gli altri no, pero' ad esclusione di questo, le funzionalita' e la wireless e' la stessa.
Quindi considerero il tuo punto molto valido.

Detto cio', ho scaricato il tuo fw, pero' non lo provero' molto presto (deve passare il periodo estivo).
Non conosco openvpn e non mi ero preoccupato di impararlo visto che avevo rinunciato a mettere freetz. Ma visto il lavoro che hai fatto, adesso lo vedo e poi una volta provato ti faccio sapere.
Grazie e Ciao

[graymalking]

Grazie graymalking.
In teoria, il 7330, 7360 e 7390 sono identici al 3370 a meno del DECT e del VOIP. Diciamo che il 7390 e' quello che si avvicina di piu' perche' ha 4porte GB, mentre gli altri no, pero' ad esclusione di questo, le funzionalita' e la wireless e' la stessa.
Quindi considerero il tuo punto molto valido

 
Con il trunk di freetz il problema non si pone perché è settabile direttamente il 3370
 

Non conosco openvpn e non mi ero preoccupato di impararlo

Sulle wiki puoi trovare del materiale, ma rispetto al vpn di default dell'avm non ci sono proprio paragoni, l'avm ha fatto un applicativo ai minimi termini anche perché non è la funzionalità principale del fritz

[pandorino]

>> ma rispetto al vpn di default dell'avm non ci sono proprio paragoni, l'avm ha fatto un applicativo ai minimi termini anche perché non è la funzionalità principale del fritz
intendi dire che il VPN nativo implementato nel firmware di base di AVM non e' un granche'? Certo che se e' cosi, allora si che ci penso a mettere openvpn...
ok, e in termini di carico di lavoro? intendo dire, il fritz diventa quindi il concentratore VPN, fa il cript/decrypt del tunnel. Pensi sia troppo carico per la CPU del fritz? (domanda aperta, non mi aspetto che tu abbia una risposta)

[graymalking]

Riguardo il discorso generale vpn e openvpn non so se hai letto:
https://www.fritzbox-forum.com/t1450-wiki-openvpn-su-fritz-ora-c-e?highlight=openvpn
http://www.anime80.com/wikifritz/doku.php?id=utilizzo_openvpn

Sul 7270 c'è un bug con l'uso del tap (fa saltare il wifi) con il 7170 no e con il 3370 non so.

Il Fritz ovviamente non è nato per gestire tutte le cose che carichi con freetz, per cui dipende molto dall'intensità dell'uso che uno può fare dell'applicazione.
L'unica cosa è provare e se le richieste al Fritz sono eccessive ricorrere ad altre soluzioni ricordandosi che il Fritz non è nato per fare anche il caffe'.

[pandorino]

A dirti la verita' lo avevo preso per fare VPN, perche' a me serviva quello con la mia ADSL. Apparentemente non ho trovato altra soluzione se non un CISCO small business la cui spesa pero' si attesta intorno ai 350euro... l'idea del fritz era proprio per questo...

[Contenuto sponsorizzato]