[fabiobassa]

@scaci
eh... solo che la lista la si deve mettere a mano

 l'ideale sarebbe aggiungere gli ip alla blacklist via via  che tentano e, si spera, non entrino
ho trovato questi scripts , qualcuno che mastica codice e li puo' integrare prelevando il log dal ssh log  e openvpn log  ?
https://github.com/robzr/dropBrute
https://github.com/robzr/bearDropper

[scaci]

@fabiobassa  si e no. 
si potrebbe comunque risolvere con uno script che identifica gli ip. Il vantaggio è che non devi impazzire a scrivere i comandi di iptable, lo fa il router una sola volta ed è la lista ad essere dinamica

[FrancYescO]

ma siete sicuri siano tentativi di login effettuati con successo e non connessioni in attesa di completamento di autenticazione? il grep "connection established" a me non sembra un tentativo di accesso..

che ci siano bot cinesi che scansionano (e bruteforzano) notte e giorno poi e' pratica standard

[fabiobassa]

@FrancYescO
no quel log che vedi è SOLO di questa mattina, ma io mi sono ritrovato utenti creati su asterisk e @aezakmi123 si è ritrovato la root svuotata.
Da quel log non risulta che ci siano riusciti, ma prima ci devono essere riusciti in qualche modo.

certo che questi tempo da perdere ne hanno, poi non hanno forse ragione a "diffidare" del 5 G

sto mettendo su una vpn farlocca giusto per loggare un po di traffico.
Domanda: siccome nel creare le chiavi di solito si accettano le cose prestabilite ( fort Huston, texas , vuoto, vuoto, etc etc ) e poi quello che cambia è la " miscelazione" con la chiave creata in locale, non è che cambiando quei parametri aumentiamo un po' la sicurezza del tutto?

[aezakmi123]

@FrancYescO hai ragione il parametro nel grep è sbagliato, l'ho modificato e ora dovrebbe essere giusto (cioè solo login effettuati con successo) comunque degli accessi non miei ma andati a buon fine ci sono stati ma come già detto probabilmente è per qualche virus preso. Con questo script almeno ricevo delle notifiche istantanee per controllare gli accessi effettuati

[scaci]

Domanda: siccome nel creare le chiavi di solito si accettano le cose prestabilite ( fort Huston, texas , vuoto, vuoto, etc etc ) e poi quello che cambia è la " miscelazione" con la chiave creata in locale, non è che cambiando quei parametri aumentiamo un po' la sicurezza del tutto?

no, quei campi servono solo ad identificare il proprietario/organizzazione del certificato, ma dato che userai (presumo) un certificato self-signed, poco importa. i parametri che devi modificare sono dentro il file vars di easyrsa e sono:

EASYRSA_KEY_SIZE almeno 2048
EASYRSA_ALGO rsa (credo sia già questo)
EASYRSA_CURVE secp384r1
EASYRSA_DIGEST almeno sha256

nella conf di openvpn, se il router ce la fa, metti "cipher AES-256-CBC"

per ulteriori info https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography

[FrancYescO]

Cambiare i valori della CA del certificato self-signed non cambia nulla a livello di sicurezza, il tutto lo fa la generazione della chiave che anche con i parametri standard e' piu' che sicura per le potenze di calcolo odierne

che qualcuno possa in qualche modo aver fatto accesso al router non lo metto in dubbio (qualche tempo fa capitava che per qualche bug si resettava la password ssh a root, anche a me e' capitato qualche volta, bhe in quel caso tempo 1 giorno e qualche bot si sara' impiantato chissa' come/dove nel router se si ha ssh esposto su wan (forse anche meno se lo si fa girare su porta default)

insomma come dicevi anche tu quello che voglio dire piuttosto che "gridare al bug" assicuriamoci prima che almeno il punto di accesso sia stato quello

PS. ci sarebbe wireguard da testare sulle ultime versioni 2.1+ dei firmware DGA, il pacchetto compilato e' gia in repo

[fabiobassa]

....piuttosto che "gridare al bug"...

no no , per carità,  ma sicuramente cerchiamo di replicare ( se è replicabile ) l'avvenuto e debuggare.

Grazie a tutti per le pagine e le soluzioni segnalate

[turi79]

Salve mi dite come mettere OpenVPN su tim hub con firmware 2.1.0 e ultima GUI ? Grazie! Poiché ho seguito la guida ma parla di problemi di compatibilità col kernel....

[yhcim86]

@turi79  sono interessato anche io a questa modifica perchè dovrei andare in spagna e mi occorre avere un indirizzo italiano e magari poter usare il telefono cellulare come come cordless con il numero di casa italiano, se mi aiuti nella modifica io sono qui ok?

[LuKePicci]

Io per fare la stessa cosa che vuoi fare tu sto usando strongswan dal dga4131
https://imgur.com/a/WHUe7Gm
se da windows imposto la crittografia a livello standard va praticamente al doppio.

[roleo]

Ho controllato il mio log e non ci sono accessi eseguiti con successo oltre ai miei.
Sarebbe un problemone se veramente ci fosse un buco di questo tipo.
Tengo monitorata la situazione.

Qualcuno potrebbe cortesemente verificare la guida con fw 2? Viste le segnalazioni fatte nei post precedenti.
Io non ho un router a disposizione al momento.

[turi79]

C’è qualcuno che ha una guida come istallare una vpn commerciale su tim hub praticamente solo lato client?

[bob8x]

Salve mi dite come mettere OpenVPN su tim hub con firmware 2.1.0 e ultima GUI ? Grazie! Poiché ho seguito la guida ma parla di problemi di compatibilità col kernel....

Anche io ho avuto problemi con la 2.2.
Addirittura quando ho provato ad attivare tun ( modprobe tun ) mi si è freezato il modem ed è andato in bootloop

[FrancYescO]

con firmware >=2.1.0 la guida è da considerarsi deprecata, o per lo meno i link agli ipk, dato che è cambiato il kernel e quei moduli compilati non vanno più bene.

se viene installata la GUI vengono installati i feeds nuovi compilati da Ansuel https://github.com/Ansuel/GUI_ipk/tree/kernel-4.1 in cui dovrebbero essere già presenti i pacchetti per openvpn, ma che io sappia ad ora ancora nessuno ha confermato tutto funzioni.