Ogni tanto mi capita di dare per scontato alcune cose, che poi puntualmente non si verificano. E' quello che mi è successo in fase di progettazione di una connessione vpn tra sedi (sede centrale + sede perfiferica di recente acquisizione), in cui in una di queste si utilizza una fanstatica installazione IpCop versione 1.4 (roba di quasi 8 anni fa, ma qui a genova sino a che funziona non si butta via nulla.....).

Nella sede centrale ho messo una macchina con stato solido e stra-figa, con sopra Debian e Firehol, oltre che svariati altri applicativi.

Avevo usato IpCop tanti anni fa (in una delle prime revisioni), per poi abbandonarlo in favore di altri sistemi, ma mi ricordavo che era una distro semplicemente fantastica. All'epoca per eseguire connessioni site-to-site (quella che serve a me) si poteva usare solo IpSec, poichè OpenVpn (che era possibile tramite l'utilizzo dell'addons Zerina) funzionava solo in modalità "road-warrior". Ma si continuava a leggere in giro che sarebbe stata implementata questa possibilità molto presto.

Quindi avevo dato per scontato che IpCop/Zerina aveva la possibilità di fare connessioni site-to-site, e che queste sarebbero andate alla grande con il nuovo firewall !

Osservo che il device con sopra Debian è posto dietro a un router/NAT ADSL Telecom, e in queste condizioni non sono mai riuscito a far funzionare IpSec tramite openswan o similari (che avrei installato sulla macchina Debian).

 Quindi l'unica soluzione era usare OpenVpn, che se "impipa" altamente di NAT e "sciocchezze" simili (a proposito già che ci sono: sempre viva OpenVpn !!!).

....Ovviamente con l'open source non ci si annoia mai..... dopo aver iniziato le lavorazioni mi sono accorto che non solo la versione in uso non aveva la possibilità di creare connessioni net-to-net con OpenVpn, ma dopo una rapida verifica ho anche scoperto che nemmeno le più recenti revisioni di IpCop hanno questa funzionalità !

Oss.: Rimane un mistero il perchè......... Non ho letto nulla a riguardo ma magari ci sono delle motivazioni solide.....

Quindi dopo ore di tentativi ecco l'idea: creare sulla macchina di IpCop un altro server OpenVpn. In pratica creare un altro file che definisce un server e lanciarlo all'avvio. L'idea è abbastanza balorda: esistono mille controindicazioni nell'implementare una cosa del genere..... ma nella realtà sta funzionando da diverso tempo e per ora non ho riscontrato alcun difetto. Comunque rimane un "osservato speciale".....

Ecco qui come fare.

 Spero vi sia utile.