GolemWiki - Contributi utente [it]

Git

2026-03-17T22:31:48Z

Giomba: Importare un altro repository

{{Note
|type=info
|text=Questa pagina è in continua evoluzione
}}

Git è un [https://it.wikipedia.org/wiki/Controllo_versione_distribuito sistema di controllo versione] nato nel 2005 ad opera di Linus Torvalds con l'obiettivo principale di versionare il Kernel Linux.
Questa non vuole essere una guida esaustiva, ma un prontuario per i comandi di uso più comune, con l'aggiunta di qualche consiglio.
Per una trattazione completa, si rimanda alla [https://git-scm.com/book/en/v2 guida ufficiale], disponibile anche in [https://git-scm.com/book/it/v2 italiano].

= Installazione e configurazione =
Su sistemi Debian-derivati:
# apt-get install git
Su ArchLinux:
# pacman -S git
Si consiglia l'uso di ZSH per i suggerimenti nel completamento dei comandi.
==Tutorial offline==
Usare il comando ''man'' per visualizzare il tutorial, suddiviso in due parti
$ man gittutorial
$ man gittutorial-2
==Configurazione==
I file di configurazione si trovano nei seguenti percorsi:
<repository_git_attuale>/.git/config ''# configurazione per singola cartella''
~/.gitconfig ''# configurazione base per l'utente corrente''
/etc/gitconfig ''# configurazione di sistema (non necessariamente presente)''

Alcune configurazioni importanti:
$ git config user.name Tizio Caio
$ git config user.email tiziocaio@example.com
$ git config user.signingkey <FOOTPRINT GPG>
$ git config core.editor nano
$ git config alias.co checkout
Aggiungendo l'opzione <code>--global</code>, tali impostazioni diventeranno globali per l'utente corrente e non limitate al repository dal quale viene lanciato il comando.

===Identità multiple===
Nel caso in cui si volesse impostare una configurazione per tutti i repository all'interno di una determinata cartella, ad esempio per gestire separatamente un'identità personale ed una di lavoro, si può procedere come segue.

Nel <code>~/.gitconfig</code> si imposta, opzionalmente, una identità di fallback. I .gitconfig supplementari vengono richiamati soltanto se il repository è all'interno delle cartelle specificate da includeIf.
[user]
name = Tizio
email = tiziocaio@example.com

[includeIf "gitdir:~/workspace/"]
path = ~/workspace/.gitconfig
[includeIf "gitdir:~/personal/"]
path = ~/personal/.gitconfig

Poi, nei file <code>~/workspace/.gitconfig</code> e <code>~/personal/.gitconfig</code> si esplicitano le identità da usare nel contesto di quelle sottodirectory:
[user]
name = Tizio Caio
email = tiziocaio@professional.example.com

{{Note
|type=warning
|text=Nell'opzione <code>gitdir</code>, è necessario specificare un path con un trailing slash, altrimenti prende solo la cartella specificata, e non anche le sottocartelle.
}}

= Comandi di base =
== init ==
Inizializzare un repository vuoto:
$ git init <sottocartella>
Se non viene specificata una sottocartella sarà inizializzato in quella attuale.
Aggiungendo l'opzione <code>--bare</code> sarà creato un repository di tipo ''bare'', ovvero privo della ''working directory'', adatto per essere usato come repository remoto e non come cartella di lavoro.

== Stato dei file ==
Con il comando
$ git status
si ottengono informazioni sui file attualmente presenti nella cartella di lavoro: se ce ne sono di nuovi (''U''), modificati (''M''), eliminati (''D''), etc... Darà inoltre informazioni sulla sincronizzazione tra la commit attuale e quella remota.

== Aggiungere/Rimuovere files ==
Aggiungere un file '''nuovo''' (''untracked'') o '''modificato''' (rispetto all'ultima commit eseguita) nella ''Staging Area'', ovvero pronto per la prossima commit:
$ git add <nome_file>
Rimuovere un file dall'indice dei file tracciati (risulterà quindi ''untracked''):
$ git rm --cached <nome_file>
Omettendo <code>--cached</code> il file sarà anche eliminato dalla cartella (quindi definitivamente).

Rimuovere tutti i file dalla staging area:
git reset HEAD -- .

Rinominare un file: sebbene si possa utilizzare semplicemente il comando <code>mv</code> della shell, questo fa sì che git debba poi intuire automagicamente se il file è stato spostato, oppure se è stato eliminato e poi creato di nuovo.
A volte lo spostamento del file non viene riconosciuto, e viene interpretato come eliminazione e successiva ri-aggiunta, generando lunghi e fastidiosi ''diff''.
Onde evitare questo problema, è opportuno segnalare l'operazione di spostamento/rinomina esplicitamente a git, tramite il comando apposito.

git mv source dest

== Commit ==
Una volta aggiunti i file desiderati alla ''Staging Area'', la prossima commit è pronta per essere "consolidata", cioè registrata nella cronologia del repository:
$ git commit
Sarà aperto l'editor di testo scelto (vedi sezione configurazione) per scrivere un breve messaggio rappresentativo della commit. Se il messaggio non è eccessivamente lungo (come spesso accade) è sufficiente accodare al comando di commit l'opzione <code>-m "Messaggio per la commit"</code>.
Un'altra scorciatoia utile può essere l'opzione <code>-a</code>, che aggiunge automaticamente tutti i file '''modificati''' (rispetto all'ultima commit eseguita) alla Staging Area senza dover eseguire <code>add</code> ogni volta. Questa opzione agisce '''solo''' su quelli modificati e non su quelli '''nuovi''', per i quali la <code>add</code> è d'obbligo almeno la prima volta.

Il comando tipico di commit sarà quindi:
$ git commit -a -m "Riparato bug. Aggiunti commenti al codice."
L'esecuzione del comando commit senza l'aggiunta di file alla Staging Area (e quindi senza nemmeno l'opzione <code>-a</code>) non avrà alcun effetto.

Se si commette un piccolo errore in una commit e si vuole modificare un file o il messaggio di commit stesso, senza però dover creare una nuova commit, si può di nuovo fare <code>add</code> del file, e può essere aggiunta l'opzione:
$ git commit --amend

{{Note
|type=attention
|text=<code>git commit --amend</code> modifica la storia del repository, perciò prestare particolare attenzione se si è già pushato su un server remoto}}

== Log ==
$ git log
elenca tutta la cronologia delle commit corredata di somma [https://it.wikipedia.org/wiki/Secure_Hash_Algorithm SHA-1], autore, data e ora di commit e messaggio.

È uno dei comandi col maggior numero di opzioni, dalla formattazione dell'output (più informazioni sull'autore, sulle commit firmate) al filtraggio (per autore, per data, per messaggio, etc...). Alcune delle più importanti sono:
* <code>--all</code>: elenca anche le commit relative ad altri ''branches'' (vedi sezione relativa)
* <code>--oneline</code>: elenco sintetico con solamente ID SHA-1 e messaggio di commit
* <code>--graph</code>: insieme a ''--all'' realizza una rappresentazione ASCII art della ramificazione del repository
Combinando insieme le 3 opzioni sarà visualizzata in modo sintetico (oneline) ed efficace (graph) tutta la cronologia del repo. Può essere utile definire un alias per questo comando (vedi sezione configurazione), ad esempio:
$ git config alias.megalog "log --all --oneline --graph"

= Git online =
Utilizzare un server git (repository remoto) può servire per:
* avere un backup del proprio progetto
* condividere il proprio progetto con altri
* lavorare in team sul progetto
* fare un fork di un progetto già esistente

== Configurare un repository remoto ==
=== Server privato ===
Se si ha a disposizione un server personale o aziendale (per esempio un VPS), questo può essere configurato come repository git remoto.

Per una configurazione base, è sufficiente avere a disposizione un server SSH (quasi sicuramente già presente) e installare git (vedi sezione installazione). Eseguire quindi
cd /home/utente/<cartella_git>
git init --bare
Si noti in questo caso l'utilità dell'opzione <code>bare</code>, che non crea una ''working directory'' su cui poter lavorare direttamente (spesso non necessaria su un server) ma solo il database dei file, risparmiando spazio di archiviazione.

Se si desidera avere un'interfaccia web più user-friendly, si può installare [https://gitea.io/ Gitea] (al GOLEM abbiamo la [https://git.golem.linux.it/ nostra istanza]), oppure [https://about.gitlab.com/ GitLab], solo per citare due delle più famose piattaforme.

=== Servizio online ===
In alternativa ci si può affidare ad un servizio online, come [https://github.com GitHub] (il più popolare), [https://about.gitlab.com/ GitLab] (che può essere anche usato on-premise) o [https://bitbucket.org BitBucket]. Dopo il login (email o nome utente e password) si può procedere alla creazione di un nuovo repository con l'apposito pulsante. Saranno forniti quindi due URL per accedere:

<nowiki>https://github.com/NOME_UTENTE/NOME_REPOSITORY</nowiki>
git@github.com:NOME_UTENTE/NOME_REPOSITORY.git

Generalmente, l'URL https viene utilizzato per sola lettura, per clonare e scaricare repository pubblici, e per prove temporanee, mentre l'URL ssh può essere utilizzato, in maniera più flessibile e automatica, grazie all'autenticazione tramite chiave, anche per la scrittura (ammesso di avere l'autorizzazione da parte del proprietario).

== Collegare il repo locale a quello remoto ==
=== Nuovo ===
In entrambi i casi, dopo aver creato un repo remoto si deve comunicare a git di collegare quell'URL al repo locale.
git remote add origin git@github.com:NOME_UTENTE/NOME_REPOSITORY.git ''# Aggiungere l'URL''
git push ''# Inviare il lavoro locale sul server''
'''Nota:''' il nome ''origin'' (così come ''master'' per il ramo principale) è solamente una convenzione e può essere scelto a piacere.

=== Esistente ===
Se il repo a cui collegarsi esiste già, usiamo il comando
git clone git@github.com:NOME_UTENTE/NOME_REPOSITORY.git

Nel log, tutti i rami figureranno come <code>origin/ramo-1</code>. Per potersi ''agganciare'' con un ramo locale:
git checkout origin/ramo-1 ''# Spostarsi sulla commit puntata da ramo-1 remoto''
git checkout -b ramo-1 ''# Creare un nuovo ramo locale su questa commit''
git branch --set-upstream-to=origin/ramo-1 ''# Agganciare ramo-1 a origin/ramo-1''
'''Nota:''' non è obbligatorio che il ramo locale abbia lo stesso nome del ramo remoto a cui è agganciato (ecco perché questi passaggi non sono automatici), ma fare il contrario sarebbe follia!

== Push e Pull ==
A questo punto si può leggere e scrivere sui rami remoti del server origin/master, origin/ramo-1, etc. servendosi dei rami locali master, ramo-1, etc. coi quali eseguiamo l'ordinaria amministrazione del progetto.
Usiamo per leggere e scrivere (rispettivamente) i comandi
git pull
git push

Per ottenere tutti gli oggetti remoti (rami, tags, ...) creati da collaboratori, è necessario aggiungere
git pull --all

e quindi per visualizzare i branch remoti
git branch --remotes

= Lavorare con git =
== Evitare tracciamento file ==
=== Artefatti e configurazioni del repository ===
Talvolta è necessario evitare di tracciare alcuni file, ad esempio gli artifatti della compilazione (file oggetto e binari), file di configurazione, file che contengono dati sensibili, e così via.
Per farlo, è sufficiente aggiungere il nome del file nel file nascosto <code>.gitignore</code> nella root del repository, e committarlo.
Si possono aggiungere anche nomi di directory o pattern con wildcard.

=== File globali ===
Talvolta succede di "sporcare" il repository con file specifici di qualche applicazione che il singolo sviluppatore utilizza su tutti i repository, per esempio file di configurazione dell'editor di testo o di backup (<code>*.swp</code>, <code>*.~</code>).
Si può dunque usare un file <code>.gitignore</code> globale per l'utente, che può essere messo nella <code>~</code> e specificato con:
git config --global core.excludesfile ~/.gitignore

=== Smettere di tracciare file ignorati ===
Può capitare di aggiungere un artefatto al repository, per sbaglio, e volerlo poi successivamente mettere tra i file ignorati.
Però ''git'' ormai sta tenendo traccia di quel file, dunque come fare?

* Aggiungere il file al <code>.gitignore</code>
* Vedere il/i file che sono tracciati, ma che dovrebbero essere ignorati:
git ls-files -ci --exclude-standard
* Rimuovere forzatamente i file indesiderati:
git rm --cached <file>
* git commit

== Lavorare in team ==
=== Windows ===
Quando capita di condividere il codice con altre persone che utilizzano Windows, onde evitare problemi subdoli causati dalla presenza di diversi terminatori di riga nel codice sorgente (CRLF su Windows e LF su Linux), la cosa corretta da fare è configurare l'opzione <code>autocrlf</code> a <code>true</code>. In questo modo, i file sul repository conterranno sempre <code>LF</code> come terminatore, e saranno opportunamente convertiti in <code>CRLF</code> (e viceversa) quando si fa il checkout (e il commit) su Windows.

git config core.autocrlf true

Per MAC OS X, questo problema non si pone.

=== Merge ===
[[File:Git-bad-merging.png|thumb|Una piazzola]]
Quando si lavora in gruppo c'è sempre il rischio di "incrociarsi" nel pushare nuove commit, con conseguenti intrecci nella storia del progetto (amichevolmente detti "piazzole di sosta").
Per evitare ciò conviene seguire una procedura standard: non so se è la migliore però finora non ha mai dato problemi.

#Effettuare le proprie modifiche, al termine verificare se altri utenti hanno effettuato aggiornamenti nel mentre utilizzando
#:<code>git fetch</code>
#:Se non viene stampato alcunché si può saltare al punto 6 effettuando la commit e pushando regolarmente.
#Altrimenti, aggiungere i files modificati alla ''staging area'' ed "accantonarli" in una '''stash'''. È utile specificare un messaggio di stash (come fosse una commit) per individuarla più facilmente nel caso ci fossero altre stash.
#: <code>git stash push -m "merging in progress"</code>
#A questo punto la cartella è stata riportata all'ultima commit scaricata. Effettuare il pull per scaricare le novità
#: <code>git pull</code>
#Recuperare le modifiche dallo stash. Questa operazione è analoga ad un merge, ma al termine non rimarrà traccia nella storia, che proseguirà linearmente
#: <code>git stash pop</code>
#Se il ''merge'' dallo stash va a buon fine si può passare al punto successivo, la stash viene eliminata automaticamente. Se invece le modifiche fatte confliggono con le novità appena scaricato (ciò viene notificato da git) è necessario integrare manualmente i punti (individuabili anche con <code>git diff</code>), ed eliminare la stash manualmente (<code>git stash list</code> per individuarla, <code>git stash drop stash@{xxx}</code> per eliminarla).
#Il patema è finito, si può fare la commit e pushare, sperando che nella lettura di questa lista nessuno abbia fatto altro. Altrimenti ripartire dal punto 1.
#: <code>git commit -m "commit interessante"<br/>git push</code>

=== Rebase ===
Generalmente ogni membro del team lavora sui feature o bugfix su un branch dedicato, che nasce da quello principale (di solito ''master'' o ''main'').
Quando il lavoro è terminato, le modifiche vengono trasferite dal branch dedicato al branch principale.
Se non ci sono state modifiche sul branch principale, questo può essere fatto avanzare per allinearsi al branch dedicato (operazione detta di ''fast-forward'').
Tuttavia, spesso e volentieri capita che nel frattempo sono state trasferite altre modifiche sul branch principale (es. da un altro membro del team), per cui non è possibile eseguire un ''fast-forward'' del branch principale verso quello dedicato, perché quello dedicato "nasce" da una situazione precedente all'attuale stato del branch principale.

Ciò che si può fare per permettere il fast-forward, è di ''ribasare'' il branch dedicato sul nuovo stato del branch principale.
Questo significa riscriverne la storia riapplicando tutti i suoi commit come se fossero nati dall'attuale stato del branch principale.
Per ribasare un branch dedicato su un nuovo commit genitore (es. il branch ''main''), spostarsi sul branch dedicato, dopodiché:

$ git rebase <newparent> # es. git rebase main

''git'' non è sempre in grado di capire da quale commit è inizialmente nato il branch dedicato corrente, per cui potrebbe tentare di applicare su ''main'' anche altri commit precedenti alla diramazione - specialmente se si è riscritta la storia tramite altri rebase in qualche altro momento.
Per suggerire a ''git'' qual è il commit genitore in maniera esplicita, utilizzare invece questo comando:

$ git rebase --onto <newparent> <oldparent>

Un modo esplicito per controllare cosa git abbia intenzione di fare dei nostri commit prima che provi davvero ad applicarli, è utilizzare la funzionalità di rebase interattivo, che, appunto, permette di vedere i commit che stanno per essere applicati - ed eventualmente di correggere al volo il loro numero, ordine e anche messaggio e contenuto, se proprio necessario.
Per il rebase interattivo, utilizzare l'opzione <code>--interactive</code> (eventualmente combinata con le altre di cui sopra):

$ git rebase --interactive <newparent>

Nel caso in cui il branch su cui si sta ribasando sia cambiato in maniera sostanziale rispetto alla condizione originale da cui si è partiti (es. un altro membro del team ha cambiato le stesse linee nello stesso file), quando git applicherà il vostro commit problematico, si genererà un conflitto, che andrà corretto manualmente.

I conflitti sono contrassegnati nei file problematici con la seguente sintassi:

<<<<<
contenuto nella nuova testa su cui si sta ribasando
=====
contenuto originale sulla vecchia testa su cui si era basati
=====
contenuto nel commit problematico
>>>>>

Il contenuto dei file problematici può essere aggiustato in vari modi:
- modificando manualmente il file
- facendosi utilizzare da un ''merge tool'' (per vedere quelli supportati e installati usare <code>git mergetool --tool-help</code>)
- utilizzando esplicitamente una delle due versioni, ignorando il conflitto (eg. sovrascrivendo esplicitamente le proprie modifiche, o le modifiche dell'altro)

Per scegliere esplicitamente una versione ignorando totalmente le modifiche dell'altro:

$ git checkout --theirs path/file # se si ritiene che il commit che si sta applicando sia la versione corretta, essenzialmente sovrascrivendo le modifiche degli altri
$ git checkout --ours path/file # se si ritiene che invece il commit che si sta applicando '''non''' sia corretto, essenzialmente confermando che il branch su cui si sta ribasando contenga la versione corretta, sovrascrivendo le proprie modifiche

Una volta modificato il contenuto problematico del/dei file in uno dei modi sopra suggeriti, si può continuare col rebase:

$ git add file_problematici
$ git rebase --continue

Questo può chiaramente generare altri conflitti nei file successivi, che andranno risolti, finché il rebase non è completo.

Per interrompere un rebase a metà e ripartire da capo, utilizzare il comando per abortire:

$ git rebase --abort

=== Blame ===
Per scoprire chi è stato l'ultimo che ha cambiato un pezzo di codice:

git blame path/file.c

A volte può capitare può capitare che tutte le ultime modifiche siano assegnate alla stessa persona.
Questo, per esempio, avviene quando si fanno commit "batch" di riorganizzazione di tutto il repository, es. formattazione automatica di tutto il codice.
Si può istruire git per ignorare questo tipo di commit quando si va a fare il blame.

Creare un file ''.git-blame-ignore-revs'' e popolarlo con l'elenco degli hash dei commit da ignorare, esempio:
930b609250f7bf0361ede392432f95b9b2a78fb2
7819dbca705d92d1551e58a82dd2ae9881c90e52

Dopodiché, istruire git per utilizzarlo:
git config blame.ignoreRevsFile .git-blame-ignore-revs

== Fondere più commit in uno solo ==
La storia attuale. In <span style="color: blue;">blu</span> i commit che si vogliono ''squashare'' in uno solo.
<span style="color: blue;">59e5834 moved files
37af4b7 added README.md and LICENSE file
cd37805 repository structured as an arduino library</span>
<strong>ac95564</strong> added comments for UDP part

Si sceglie l'ultimo commit appena prima:
git rebase --interactive <strong>ac95564</strong>

Si apre automaticamente l'editor, e si vedono i commit (in ordine ''inverso'').
Sostituire <code>pick</code> (p) con <code>squash</code> (s) per fondere i commit assieme, eccetto su quello più in alto.

Quando si chiude l'editor, si apre una nuova finestra dove è possibile editare il nuovo messaggio di commit.

Per annullare il rebase in corso, cancellare tutto il contenuto dell'editor e salvare.

== Dividere un commit in più parti ==
La funzionalità di <code>rebase</code> può essere utilizzata anche per riscrivere dei commit già esistenti, e aggiungerne di nuovi.

Scegliere il commit che si vuole suddividere, poniamo che sia <code>ac95564</code>.

git rebase --interactive ac95564

Nell'editor, sostituire <code>pick</code> con <code>edit</code> in corrispondenza del commit che si desidera modificare, dopodiché avviare il rebase chiudendo l'editor.
Ad un certo punto, il rebase si interrompe, in corrispondenza del commit scelto, che può quindi essere modificato.

Prima togliere le modifiche dalla staging area con:

git reset HEAD~

Dopo riaggiungere ciò che si desidera aggiungere al primo commit, e committare, poi procedere col secondo, e così via.
Esempio:

git add <file1>
git commit
git add <file2> --patch
git commit
git add <file2>
git commit

Una volta soddisfatti:

git rebase --continue

== Importare un altro repository ==
È possibile importare un repository, con tutta la sua history, all'interno di un altro repository, come una subdirectory.

git subtree add --prefix <subdir> https://git.golem.linux.it/some/repository main

Si può anche importare il repository in una subdirectory squashando completamente la history, aggiungendo il parametro ''--squash''.

== Ignorare spazi bianchi ==
A volte capita di trovare codice scritto con editor non degni di questo nome, che non eliminano gli spazi vuoti in fondo alle righe.
Per evitare di suscitare le ire degli scellerati manutentori, ed evitare di riempire il commit con centinaia di modifiche di spazi vuoti, usare:

git diff -U0 -w --no-color | git apply --cached --ignore-whitespace --unidiff-zero -

== Eliminare branch ==
* Locale
git branch -d ''branchname''

* Remoto
git push ''origin'' --delete ''branchname''

== Copie locali multiple ==
Quando si deve operare contemporaneamente su più di un branch dello stesso progetto è comodo clonare più volte il repository in cartelle separate, così da fare checkout come meglio si crede.
Ma così facendo si creano due working copy indipendenti, con cartelle <code>.git</code> duplicate e branch locali a rigori differenti.

<code>git worktree</code> permette di effettuare, appunto, dei checkout in cartelle diverse dal progetto principale ma afferenti ad una stessa <code>.git</code>.
Oltre a ridurre l'occupazione di disco, le due copie locali condivideranno l'albero dei commit rendendo più agevoli le operazioni di merge/log.

Per creare una nuova copia locale (''linked working tree'') associata ad un certo branch

$ git worktree add path [branch]

Se non si specifica il branch ne viene creato uno nuovo, a partire dal commit corrente, prendendo il nome dalla directory di destinazione specificata nel path.
Per evitare confusione, specificare un path out-of-tree, per esempio:

$ cd myrepo_master
$ git worktree add ../myrepo_branch

Una volta terminato il lavoro sul worktree separato, per rimuoverlo non eliminare direttamente la directory ad esso associata, ma utilizzare l'apposito comando git, così da mantenere consistente lo stato di <code>.git</code>.

$ git worktree delete ../myrepo_branch

Per approfondire, consultare la [https://git-scm.com/docs/git-worktree guida ufficiale].

== Trovare il commit che introduce un bug ==
A volte si sa che il software al commit taggato X funziona perfettamente, mentre a un successivo tag Y, presenta un bug.
Il numero di commit tra X e Y può anche essere grande, ma tramite una ricerca binaria, in pochi passaggi è possibile identificare il commit che introduce il problema, avendo git che propone dei commit da testare, e fornendogli noi informazioni sulla loro bontà di funzionamento.
Per farlo, si utilizza il comando <code>git bisect</code>.

Per avviare una sessione di <code>git bisect</code>:
git bisect start
git bisect good X
git bisect bad Y

A questo punto git sceglierà automaticamente il commit che cade nel mezzo (chiamiamolo commit ''M''), e chiederà di provarlo.
Una volta provato il software al commit ''M'', saremo in grado di stabilire se ha il bug o meno, e lo si indicherà a git dando di nuovo un comando:
git bisect good HEAD
oppure
git bisect bad HEAD
a seconda che il commit M a cui ci troviamo sia buono, oppure presenti il bug.

Una volta dato il nuovo comando di <code>git bisect</code>, git sceglierà un nuovo commit ''N'', di nuovo a metà tra i due commit estremi "buono" e "cattivo", dimezzando nuovamente lo spazio di ricerca: il commit andrà provato, e si continuerà a comunicare a git la sua bontà o meno, dando nuovi comandi <code>git bisect good/bad</code>.

Questi passaggi di bisect e test vanno ripetuti "un po' di volte", finché git non avrà sezionato tutti i commit tra X e Y, e a quel punto comunicherà quale è il primo commit che introduce il problema.

Il bug è adesso ben circoscritto e può essere studiato.

Quando si è trovato il commit incriminato, terminare la sessione di <code>git bisect</code> con:
git bisect reset

La ricerca avrà richiesto, al massimo, di controllare <math>log_{2}(C)</math> commit diversi, dove ''C'' è il numero di commit che separa X da Y.

== Gestire files di grandi dimensioni (git lfs) ==
Git nasce con l'obiettivo di gestire dei files di codice sorgente, quindi plain-text; per questo non è molto efficace nella gestione di files contenenti dati in formato diverso quali possono essere, ad esempio, [https://it.wikipedia.org/wiki/JPEG jpeg], [https://it.wikipedia.org/wiki/Portable_Network_Graphics png], [https://it.wikipedia.org/wiki/Portable_Document_Format pdf] ecc.

Per ovviare a questa carenza sono stati sviluppati vari strumenti da installare come add-on; uno di questi è [https://git-lfs.com/ git-lfs]

=== Installazione ===
Su sistemi Debian-derivati:
# apt-get install git-lfs
Su ArchLinux:
# pacman -S git-lfs
Su Windows: è già presente nell'installazione standard di git

=== Attivazione ===
Per poter usare git-lfs occorre che questo sia "attivato".

==== Attivazione globale a livello utente ====
Attiva git-lfs globalmente, questo significa che potrà essere usato in ogni repository:
git lfs install
L'attivazione locale è necessaria solo la prima volta.
==== Attivazione per un singolo repository ====
È possibile attivare git-lfs anche a livello di singolo repository:
git lfs install --local
==== Disattivazione globale a livello utente ====
È possibile disattivare globalmente git-lfs:
git lfs uninstall
in questo caso se si volesse tornare ad usarlo occorrerà attivarlo nuovamente.
==== Disattivazione per singolo repository ====
Se attivato per singolo repository è possibile disattivarlo
git lfs uninstall --local

=== Gestire i files da tracciare ===
Occorre impostare quali file (o tipi di file) tracciare. Se, ad esmpio, si volessero tracciare tutti i files di tipo pdf:
git lfs track "*.pdf"
Questo comando aggiunge le informazioni al file <code>.gitattributes</code>; occorre quindi ricordarsi di fare il commit di questo file (<code>git add .gitattributes</code>).

A questo punto è possibile lavorare normalmente, i commit e push riguardanti files che abbiamo definito tracciati da git-lfs saranno gestiti in modo trasparente.

=== Comandi aggiunti da git-lfs ===
Elenco dei comanti aggiunti da git-lfs:
git lfs --help

[[Category: Howto]]

Appunti Wireguard

2026-03-07T22:53:40Z

Giomba:

{{Note
|type=warning
|text=Questa pagina contiene alcune informazioni sparse su Wireguard provenienti dalla vecchia pagina sulla VPN del GOLEM.
}}

Sul server, installiamo ''wireguard'' e ''wireguard-tools''.
Il primo pacchetto contiene il core della gestione VPN, il secondo ci è utile per amministrare facilmente le connessioni (vedi wg-quick).

apt install wireguard wireguard-tools

Su sistemi debian <= 10 (buster), il pacchetto non è presente nei repository mainline ma deve essere aggiunto tramite i debian backports.
Nota: potrebbe anche essere necessario aggiornare il kernel!

=== Configurazione del server ===
A differenza di altri protocolli VPN come OpenVPN, wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 10.40.0.1

Il server può essere avviato tramite systemd, e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

=== Configurazione del client ===
Lato client, generare una coppia di chiavi pubblica/privata:

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Comunicare dunque la propria chiave pubblica al sysop, che si occuperà di aggiungerla tra quelle consentite al server, e vi comunicherà il vostro indirizzo IP, da aggiungere al file di configurazione, come segue. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/'', vedi sopra), oppure manualmente utilizzando <code>wg-quick</code>:

# Attivazione del tunnel
wg-quick up client.example.conf
# Disattivazione del tunnel
wg-quick down client.example.conf

Naturalmente, affinché il collegamento funzioni, il client deve essere abilitato alla connessione dal sysop.
Per farlo, il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

[[Category:Howto]]

Appunti Wireguard

2026-03-07T22:50:18Z

Giomba: Raccolti appunti dalla pagina VPN del GOLEM, non più manutenuta

== Wireguard ==
Sul server, installiamo ''wireguard'' e ''wireguard-tools''.
Il primo pacchetto contiene il core della gestione VPN, il secondo ci è utile per amministrare facilmente le connessioni (vedi wg-quick).

apt install wireguard wireguard-tools

Su sistemi debian <= 10 (buster), il pacchetto non è presente nei repository mainline ma deve essere aggiunto tramite i debian backports.
Nota: potrebbe anche essere necessario aggiornare il kernel!

=== Configurazione del server ===
A differenza di altri protocolli VPN come OpenVPN, wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 10.40.0.1

Il server può essere avviato tramite systemd, e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

=== Configurazione del client ===
Lato client, generare una coppia di chiavi pubblica/privata:

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Comunicare dunque la propria chiave pubblica al sysop, che si occuperà di aggiungerla tra quelle consentite al server, e vi comunicherà il vostro indirizzo IP, da aggiungere al file di configurazione, come segue. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/'', vedi sopra), oppure manualmente utilizzando <code>wg-quick</code>:

# Attivazione del tunnel
wg-quick up client.example.conf
# Disattivazione del tunnel
wg-quick down client.example.conf

Naturalmente, affinché il collegamento funzioni, il client deve essere abilitato alla connessione dal sysop.
Per farlo, il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

[[Category:Howto]]

Discussione:VPN del GOLEM

2026-03-07T22:48:52Z

Giomba: Spostati appunti deprecati sulla VPN del GOLEM con OpenVPN nella pagina di discussione

== Appunti deprecati su OpenVPN per la VPN IPv6 del GOLEM ==
{{Note
|type=warning
|text=OpenVPN è in fase di dismissione, perché stai leggendo questo paragrafo? Se sei il sysop dovresti saperlo bene.
}}

<div style="border-left: 5px solid red; opacity: 0.6;">

Nel tunnel di OpenVPN è presente la prima rete di servizio <code>2001:470:c844::/64</code> (con ''rrrr'' = ''0000'').
Per il layer 2 viene usato il protocollo interno di OpenVPN.

Per mantenere coerenza nella configurazione dei client di OpenVPN, delle rotte statiche, e per sapere a chi è stata assegnata una determinata sottorete, abbiamo realizzato [https://git.golem.linux.it/argilla/vpnunit vpnunit], un piccolo software Python che si occupa di aggiornare i file di configurazione necessari per OpenVPN e le rotte con <code>ip route</code>.

{{Note
|type=warning
|text=Il file di configurazione qui riportato è una bozza generale di come è impostato il server, ma per l'attuale configurazione in esecuzione si vedano i backup di [https://git.golem.linux.it/argilla/vpnunit vpnunit].
}}

Configurazione del server OpenVPN sul VPS server:
port xxxxx
proto udp

dev tun

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
dh /etc/openvpn/keys/dh2048.pem

server 10.0.0.0 255.255.255.0
server-ipv6 2001:470:c844::1/64
ifconfig-ipv6 2001:470:c844::1 2001:470:c844::2

topology subnet

push "route-ipv6 ::/0"
push "route-ipv6 2001:470:c844::/48"

client-config-dir /etc/openvpn/staticclients

comp-lzo
keepalive 10 120
persist-key
persist-tun

user nobody
group nogroup

verb 3
status openvpn-status.log

In particolare:
* <code>server 10.0.0.0 255.255.255.0</code> va messo comunque anche se non si intende utilizzare l'IPv4 nel tunnel; è una limitazione (teorica) al numero di indirizzi IPv6 utilizzabili, ma comunque (in pratica) il server scoppierebbe ben prima;
* <code>ifconfig-ipv6 2001:470:c844::1 2001:470:c844::2</code> il server OpenVPN sarà accessibile attraverso il tunnel tramite l'indirizzo ''2001:470:c844::2''
* <code>push "route-ipv6 ::/0"</code> il server OpenVPN comunica ai client che è il ''default gateway'' per l'Internet IPv6; naturalmente, ogni client è libero di usare il gateway che preferisce, ma se non ha connettività IPv6 non potrà far altro che utilizzare questo;
* <code>push "route-ipv6 2001:470:c844::/48"</code> è necessario comunicare a tutti i client che la nostra rete è raggiungibile per mezzo del server OpenVPN; questo non esclude la possibilità che due reti utente vicine tra loro possano interconnettersi fisicamente e direttamente;

{{Note
|type=reminder
|text=In teoria basta la sola rotta di default, ma in pratica non funziona (si suppone per come è fatto il protocollo openVPN a livello 2)
}}

=== Aggiungere un Gateway Utente / Client OpenVPN ===
Verrà presa ad esempio la configurazione del gateway di officina '''serverozzo''', che, secondo quanto stabilito nei precedenti paragrafi avrà indirizzo <code>2001:470:c844::200</code> e inoltrerà i pacchetti da/per la rete <code>2001:470:c844:200::/60</code>.

{{Note
|type=reminder
|text=I paragrafi di configurazione manuale del gateway utente sono utili per capire il funzionamento dei vari comandi, ma all'amministratore di rete è '''proibito''' effettuare queste operazioni manualmente: si deve usare lo script [https://git.golem.linux.it/argilla/vpnunit vpnunit], cha si occupa di creare tutte queste configurazioni a mano, e, siccome si tratta di diversi file sparsi, tenerli aggiornati e coerenti tra loro.
}}

==== Generare chiave SSL ====
Seguire la guida [[VPN del GOLEM]] per generare le chiavi.

==== Configurazione del server OpenVPN ====
===== Comunicare al client il suo indirizzo IPv6 statico =====
Sul server OpenVPN, nel file di configurazione del client ''/etc/openvpn/staticclients/hostname'', scrivere le seguenti righe:
ifconfig-ipv6-push 2001:470:c844::200/64
iroute-ipv6 2001:470:c844:200::/60

Rispettivamente per:
* assegnare indirizzo statico al gateway utente / client openvpn;
* permettere al client di inoltrare sul tunnel i pacchetti provenienti dalla rete alle sue spalle; questo serve al protocollo di openVPN per il layer 2, altrimenti non vengono fatti passare pacchetti con indirizzo sorgente diverso da quelli della rete di servizio; in alternativa si poteva fare un tunnel ''tap'' e utilizzare Ethernet a livello 2;

===== Inoltrare i pacchetti per la nuova rete =====
Sul server OpenVPN, impostare la rotta per la nuova rete.

Utilizzare l'apposito script di configurazione ''/root/route-ipv6.sh'' e lanciarlo con argomento ''add'':
# ip -6 route add 2001:470:c844:200::/60 via 2001:470:c844::200

===== Connessione alla VPN con OpenVPN =====
{{Note
|type=reminder
|text=Questo file di configurazione contiene indicazioni di massima per il client: da quando abbiamo realizzato lo script [https://git.golem.linux.it/argilla/vpnunit vpnunit], il file di configurazione viene prodotto automaticamente, e ingloba anche i file di certificato e chiave in un unico file.
L'amministratore di rete può agevolmente scaricarlo e inviarlo all'utente.
}}
Usare questo file di configurazione sul client openvpn:

client
dev tun
proto udp
remote golem.linux.it xxxxx
resolv-retry infinite
nobind

user nobody
group nogroup

ns-cert-type server
ca /etc/openvpn/golem.linux.it/ca.crt
cert /etc/openvpn/golem.linux.it/serverozzo.crt
key /etc/openvpn/golem.linux.it/serverozzo.key

keepalive 30 120
persist-key
persist-tun

comp-lzo

verb 3

Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro.

Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nell'apposita sezione.

</div>

== Connessione OpenVPN tramite interfaccia grafica ==
Per effettuare una connessione VPN tramite il gestore di rete grafico <code>NetworkManager</code>, è necessario installare il pacchetto <code>networkmanager-openvpn</code>.
La configurazione varia leggermente a seconda del desktop environment utilizzato e della tecnologia VPN.

=== KDE ===
* Aprire le impostazioni di rete tramite l'icona nella barra di stato o direttamente dalle impostazioni di sistema
* Cliccare su ''"Aggiungi una nuova connessione"''
* Selezionare ''openvpn'' (figura 1)
* Inserire i 3 certificati nella scheda ''VPN'' come specificato nella sezione [[#File di configurazione client.conf]] (figura 2)
* Modificare la porta nel sottomenu ''Avanzate...'' (figura 3)
* Nella scheda ''IPv4'' selezionare ''Automatico (solo indirizzi)'' (figura 4)
* Spuntare le due caselle nel sottomenu ''Rotte...'' (figura 5)

<gallery>
File:Vpn_aggiungi.png | 1
File:Parametri_VPN.png | 2
File:Avanzate_vpn.png | 3
File:Ipv4_vpn.png | 4
File:Rotte_vpn.png | 5
</gallery>

=== Gnome ===
''TODO'' - anche se in realtà, ''qualcuno usa GNOME?''

Appunti OpenVPN

2026-03-07T22:48:08Z

Giomba: Spostata documentazione non più manutenuta dalla pagina sulla VPN

{{Note
|type=warning
|text=Questa pagina è un'istantanea della pagina non più mantenuta sulla VPN.
}}

Sul server, installiamo ''openvpn'' e anche ''easy-rsa'' (che ci servirà per generare le chiavi). Su Debian:
apt-get install openvpn easy-rsa

=== Configurazione server ===
Sul server deve essere creata una propria CA (''Certificate Authority''), che deve firmare tutti i certificati che andremo a utilizzare nella VPN. Per fare questo useremo la collezione di utili script ''easy-rsa''. Per semplificarci il lavoro, lavoreremo nella directory ''/etc/openvpn'', e ci copieremo anche gli script ''easy-rsa''.

cp /usr/share/easy-rsa/* /etc/openvpn

Digressione inutile: io avrei messo ''/usr/share/easy-rsa/'' nel PATH, ma quelli di OpenVPN dicono di copiare gli script per evitare problemi di compatibilità (es. oggi creo la mia fantastica VPN con ''easy-rsa'' versione ''$oggi'', domani aggiorno ''easy-rsa'' a versione ''$domani'', e dopodomani voglio aggiungere un nuovo client alla mia VPN ma non posso farlo perché agli script nuovi non piace la vecchia CA). Insomma, agli script non piacciono i certificati, a me non piace questo modo di fare, a tutti non piace qualcosa, poggio e buca fa pari, animo in pace, quindi facciamolo e basta.

==== Variabili d'ambiente ====
Modifichiamo le righe dello script ''vars''.
I valori inseriti qui saranno utilizzati di default per la generazione dei certificati, quindi, quando li genereremo, ci basterà premere ''Invio'' per far prima.

# These are the default values for fields
# which will be placed in the certificate.
export KEY_COUNTRY="IT"
export KEY_PROVINCE="FI"
export KEY_CITY="Empoli"
export KEY_ORG="GOLEM - Gruppo Operativo Linux Empoli"
export KEY_EMAIL="golem@mailinator.com"
export KEY_OU="VPN Task Force"

...

export KEY_SIZE=2048

Popoliamo l'ambiente eseguendo lo script:
# . ./vars

==== Creazione CA ====
# ./clean-all
# ./build-ca

'''ATTENZIONE:''' questi comandi distruggono l'eventuale CA che già abbiamo creato, quindi usiamoli solo la prima volta, a meno che non siamo masochisti e vogliamo ripartire da zero, buttar via tutto e impedire ai client (che già abbiamo) di collegarsi alla VPN. Una catastrofe insomma.

'''Nota:''' ''clean-all'' crea anche una nuova directory ''keys'', dove sono salvate tutte le chiavi che abbiamo generato, e che genereremo da ora in avanti. Ci servirà più avanti.

==== Generazione parametri Diffie-Hellman ====
# ./build-dh

Ci vorrà un po', in base alla KEY_SIZE che abbiamo specificato in ''vars''.
Questo genererà un file ''dh2048.pem'' (o 1024, dipende dalla dimensione) nella directory ''keys''. Ci servirà più avanti.

==== Generazione chiave server ====
# ./build-key-server golem.linux.it
dove ''golem.linux.it'' è l'hostname del nostro server. Non è necessario usare l'hostname vero, ma ci aiuta a tenere le cose ordinate. Possiamo avere tutte le chiavi che vogliamo, ma ce ne basta una (eventualmente anche per più VPN). Ci servirà più avanti.

==== File di configurazione server.conf ====
Copiamo il modello fornito da OpenVPN:

# zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

Modifichiamolo:

port 7777 # porta su cui è in ascolto OpenVPN
proto udp # usare il protocollo UDP
dev tun # VPN routed
ca /etc/openvpn/keys/ca.crt # certificato CA
cert /etc/openvpn/keys/server.crt # chiave pubblica server
key /etc/openvpn/keys/server.key # chiave privata server
dh /etc/openvpn/keys/dh2048.pem # parametri Diffie-Hellman
server 10.60.73.0 255.255.255.0 # indirizzi IP della rete
;ifconfig-pool-persist ipp.txt # ricorda gli indirizzi IP assegnati ai client?
client-config-dir /etc/openvpn/staticclients # directory configurazioni specifiche dei client
client-to-client # permetti ai client di parlarsi tra loro
user nobody # rilascia i privilegi una volta finito
group nogroup
topology subnet # tutti i client nella sottorete (no point-to-point)
comp-lzo # attiva la compressione lzo

Osservazioni:
* ''proto'': utilizziamo il protocollo UDP, perché TCP su TCP può [http://sites.inka.de/bigred/devel/tcp-tcp.html portare al collasso] della rete
* nella rete ''10.60.73.0/24'', il server prende automaticamente il primo indirizzo disponibile, cioè 10.60.73.1
* ''ifconfig-pool-persist'': abilitato di default, memorizza nel file ''ipp.txt'' le associazioni client/indirizzo. Se dobbiamo poter raggiungere le macchine nella rete, queste dovranno avere un IP fisso, quindi in teoria questa cosa ci piace, ma in pratica no perché vogliamo mettere gli indirizzi a mano secondo una logica sensata, quindi commentiamo questa riga.
* ''client-config-dir'': in questa directory andremo a inserire le configurazioni specifiche dei client (es. l'IP statico)
* ''client-to-client'': lo mettiamo perché vogliamo che i client possano dialogare tra loro direttamente, senza dover ammattire col firewall
* ''user'' e ''group'': OpenVPN gira come ''root'', e quando ha instaurato le connessioni e ha finito di fare il suo lavoro, è bene che rilasci i privilegi e continui a girare come utente semplice.
* ''topology'': indica il tipo di rete. Facciamo '''attenzione''' a aggiungerlo manualmente, perché altrimenti, per ragioni di retrocompatibilità, viene utilizzata la modalità point-to-point

==== Avvio del server ====
Proviamo:
# openvpn server.conf

Per avviare il servizio o abilitarlo permanentemente:
# systemctl [start|stop|restart|reload|enable] openvpn@server.conf

dove ''server.conf'' viene cercato nella directory ''/etc/openvpn''.

Vediamo che adesso abbiamo una nuova interfaccia di rete virtuale denominata ''tun0'' con indirizzo IP ''10.60.73.1''. Questa è la scheda che è attaccata al nostro lungo "filo" immaginario.
# ip addr

=== Aggiungere un client ===
==== Generazione chiave client ====
Sempre '''sul server''':

# ./build-key client-numero-uno

Oss: utilizziamo un nome significativo. Come prima, consiglio di usare l'hostname.

Oss: probabilmente vogliamo utilizzare lo stesso ambiente ''vars'' di prima.

Oss: verrà generata la coppia di chiavi pubblica/privata ''client-numero-uno.cert''/''client-numero-uno.key'' nella directory ''keys''.

Copiamo le chiavi ''client-numero-uno.*'' e anche '''ca.crt''' sul client (es. ''scp'') e mettiamole in ''/etc/openvpn/golem.linux.it/''.

==== Installazione OpenVPN ====
'''Sul client''':

# apt-get install openvpn # Debian
# pacman -S openvpn # Arch

==== File di configurazione client.conf ====
Copiamo il modello del file di configurazione del client in un posto sensato, tipo in ''/etc/openvpn/'' o ''/etc/openvpn/client/''.

Es su Arch Linux:
# cp /usr/share/openvpn/examples/client.conf /etc/openvpn/client/

Percorso su Debian:
/usr/share/doc/openvpn/examples/sample-config-files/client.conf

Modifichiamolo. Per brevità ometto cose tipo ''proto udp'', ''tun'' e via discorrendo, che devono ovviamente corrispondere anche lato server.

remote golem.linux.it 7777
user nobody
group nobody
ca /etc/openvpn/golem.linux.it/ca.crt
cert /etc/openvpn/golem.linux.it/client-numero-uno.crt
key /etc/openvpn/golem.linux.it/client-numero-uno.key
keepalive 30 120 # riattiva le connessioni chiuse
comp-lzo

# Nel template Debian si commenta la configurazione di questo certificato (opzionale).
;tls-auth ta.key 1

Osservazioni:
* ''remote'': hostname e porta del server OpenVPN
* ''keepalive X Y'': ogni X secondi, controlla la connessione con il server, e se questa risulta assente per più di Y secondi consecutivi, si riconnette
* ''group'': su Debian deve essere specificato <code>nogroup</code> anziché <code>nobody</code>
'''Attenzione''' alle eventuali modalità di compressione e/o di cifratura (qui è attiva la compressione lzo), che devono corrispondere a quelle sul server. È facile che si abbiano impostazioni leggermente diverse a seconda del sistema che si usa (Debian, Arch, ...)

==== Assegnare IP fisso al client ====
Torniamo '''sul server''' e nella directory ''/etc/openvpn/staticclients'' (scelta prima nel ''server.conf'') aggiungiamo un file per ogni client a cui si vuole assegnare un indirizzo statico.
Il file deve chiamarsi come l'hostname del client (l'hostname che avete dichiarato nel certificato! Se è diverso dall'hostname vero, siete masochisti, e poi non dite che non avevo avvertito).
All'interno inserire una direttiva ''ifconfig-push''.

Esempio, file ''/etc/openvpn/staticclients/client-numero-uno'':
ifconfig-push 10.60.73.77 255.255.255.0

dove ''10.60.73.184.77'' è l'IP che vogliamo assegnare al client che si presenta col certificato di ''client-numero-uno'' e ''255.255.255.0'' è la sua maschera di rete.

==== Avvio del client ====
Proviamo (uguale al server):
# openvpn client.conf

Per avviare il servizio o abilitarlo permanentemente:

* su Debian
# systemctl [start|stop|restart|reload|enable] openvpn@client.conf

dove ''client.conf'' viene cercato nella directory ''/etc/openvpn''

* su Arch
# systemctl [start|stop|restart|reload|enable] openvpn-client@client.conf

dove ''client.conf'' viene cercato nella directory ''/etc/openvpn/client''

=== Revoca di un certificato ===
Per revocare l'accesso a un client, è sufficiente revocare la sua chiave attraverso il comando:
# ./revoke-full client-numero-1

'''Nota bene''': questo comando termina con ''Errore 23''; secondo la [https://openvpn.net/index.php/open-source/documentation/howto.html#revoke documentazione ufficiale di OpenVPN], è tutto normale, in quanto, dopo aver revocato il certificato, lo script ricontrolla la sua firma, che a questo punto risulta non più valida.

Un altro modo per vedere se il certificato è stato revocato consiste nel listare il contenuto del file ''keys/index.txt'' e controllare che appaia una ''R'' (e un nuovo timestamp) accanto al certificato che si intendeva revocare.

=== Verifiche finali ===
Controlliamo di avere una nuova interfaccia di rete virtuale ''tun0'' con l'indirizzo IP desiderato:
# ip addr

Proviamo il ping:
# ping 10.60.73.1

== Accesso dall'esterno ==
Può essere interessante accedere ai servizi offerti da uno degli host interni alla VPN, ma senza accedere alla VPN. Ad esempio collegarsi ad un sistema di monitoraggio webcam remoto utilizzando la rete 3G del cellulare.

Per fare questo si può sfruttare l'IP pubblico del server VPN: impartendo alcune istruzioni iptables si va a monitorare una determinata porta (ad esempio 1234) e si indirizzano le richieste verso l'host interno alla VPN (che, per esempio, ha IP 10.60.73.12)

iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 10.60.73.12:1234
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl net.ipv4.ip_forward=1

L'opzione <code>dport</code> può essere variata a piacere se si vuole reindirizzare richieste da una porta verso un'altra:

iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 10.60.73.12:12

In questo modo si varia anche la porta. Può essere utile per evitare conflitti con server già presenti sulla macchina che si va ad interrogare.

[[Category:Howto]]

Matrix

2026-02-25T22:44:19Z

Giomba: Pagina categorizzata

== Matrix in due parole ==
[[Image:Federazione.png|right|200px]]

[https://matrix.org/ Matrix] è un sistema di messaggistica federato e decentralizzato.

{{Note
|type=attention
|text=Matrix è in fase di sperimentazione al GOLEM: le informazioni che seguono, relative al nostro servizio, sono soggette a cambiamenti senza preavviso, e l'homeserver potrebbe divenire irraggiungibile in qualsiasi momento. Non si fornisce alcuna garanzia.
}}

Per accedere alle stanze del GOLEM:

# unirsi alla stanza pubblica <code>#presentazione:golem.linux.it</code> e presentarsi
# una volta presentati, un amministratore vi inviterà nello spazio privato

Se non si ha già Matrix:
# registrare un account su un server (su [https://matrix.org/try-matrix/ matrix.org] è gratuito)
# installare un client, per esempio [https://matrix.org/ecosystem/clients/element-x/ Element] o [https://matrix.org/ecosystem/clients/fluffychat/ FluffyChat]
# entrare nella stanza pubblica e presentarsi, come indicato sopra

Nota: le stanze private del GOLEM non sono crittografate.

== Maggiori informazioni ==

* '''Federazione''': ogni utente può scegliere un ''homeserver'' su cui registrare il proprio account, allo stesso modo in cui può scegliere il provider per la propria posta elettronica. Da ogni homeserver è possibile raggiungere qualunque altro utente della rete Matrix, anche se si trova su un altro homeserver, allo stesso modo in cui funziona la posta elettronica.
** Se un homeserver diventa non raggiungibile (per questioni tecniche, legali o di censura), la rete continua a funzionare in modo indipendente.
** Gli utenti sono identificati col formato <code>@utente:homeserver.tld</code>, in modo simile alle email.
** Il più grande homeserver è <code>matrix.org</code>, fornito direttamente dalla Element Foundation. Al fine di favorire la decentralizzazione, è consigliabile scegliere un provider/una comunità affine, e registrare il proprio utente presso un altro homeserver.

* '''Riservatezza''': Matrix include un sistema di crittografia a chiave pubblica end-to-end: le conversazioni possono essere lette solo tramite i dispositivi degli interlocutori. L'autenticità dell'interlocutore può essere verificata avviando una procedura da eseguirsi di persona col proprio interlocutore. I server e qualunque altra terza parte non può accedere ai messaggi. I metadati, tuttavia, sono in chiaro (i server possono sapere tra quali persone avvengono le conversazioni)

== Note per l'amministratore ==
'''Creare nuovo utente'''
docker exec -it chat-synapse-1 register_new_matrix_user http://localhost:8008 -c /data/homeserver.yaml -u <username> -p <password>

[[Categoria:Sysop]]

Matrix

2026-02-25T22:38:45Z

Giomba: Aggiunto comando per la creazione dell'utente

Matrix

2026-02-25T22:15:32Z

Giomba: /* Matrix in due parole - aggiunta immagine sulla federazione */

File:Federazione.png

2026-02-25T22:13:50Z

Giomba:

Matrix

2026-02-25T22:13:00Z

Giomba: Due parole su Matrix

== Matrix in due parole ==

[https://matrix.org/ Matrix] è un sistema di messaggistica federato e decentralizzato.

{{Note
|type=attention
|text=Matrix è in fase di sperimentazione al GOLEM: le informazioni che seguono, relative al nostro servizio, sono soggette a cambiamenti senza preavviso, e l'homeserver potrebbe divenire irraggiungibile in qualsiasi momento. Non si fornisce alcuna garanzia.
}}

Per accedere alle stanze del GOLEM:

# unirsi alla stanza pubblica <code>#presentazione:golem.linux.it</code> e presentarsi
# una volta presentati, un amministratore vi inviterà nello spazio privato

Se non si ha già Matrix:
# registrare un account su un server (su [https://matrix.org/try-matrix/ matrix.org] è gratuito)
# installare un client, per esempio [https://matrix.org/ecosystem/clients/element-x/ Element] o [https://matrix.org/ecosystem/clients/fluffychat/ FluffyChat]
# entrare nella stanza pubblica e presentarsi, come indicato sopra

Nota: le stanze private del GOLEM non sono crittografate.

== Maggiori informazioni ==

* '''Federazione''': ogni utente può scegliere un ''homeserver'' su cui registrare il proprio account, allo stesso modo in cui può scegliere il provider per la propria posta elettronica. Da ogni homeserver è possibile raggiungere qualunque altro utente della rete Matrix, anche se si trova su un altro homeserver, allo stesso modo in cui funziona la posta elettronica.
** Se un homeserver diventa non raggiungibile (per questioni tecniche, legali o di censura), la rete continua a funzionare in modo indipendente.
** Gli utenti sono identificati col formato <code>@utente:homeserver.tld</code>, in modo simile alle email.
** Il più grande homeserver è <code>matrix.org</code>, fornito direttamente dalla Element Foundation. Al fine di favorire la decentralizzazione, è consigliabile scegliere un provider/una comunità affine, e registrare il proprio utente presso un altro homeserver.

* '''Riservatezza''': Matrix include un sistema di crittografia a chiave pubblica end-to-end: le conversazioni possono essere lette solo tramite i dispositivi degli interlocutori. L'autenticità dell'interlocutore può essere verificata avviando una procedura da eseguirsi di persona col proprio interlocutore. I server e qualunque altra terza parte non può accedere ai messaggi. I metadati, tuttavia, sono in chiaro (i server possono sapere tra quali persone avvengono le conversazioni)

Ore del GOLEM

2026-02-25T21:07:45Z

Giomba: Aggiunto link a form per sottomissione serate

{{Note
|type=info
|text=Questa pagina raccoglie gli eventi passati. Se stai cercando gli eventi futuri, consulta il [https://blog.golem.linux.it/calendario calendario].
}}

== Cos'è un'Ora del GOLEM ==
L'Ora del GOLEM è una serata a tema in cui si discute, più o meno formalmente, su qualunque cosa riguardi l'open source, dagli argomenti strettamente tecnici e pratici, alla "consapevolizzazione" e alla valutazione dell'uso dei vari strumenti.
A volte i soci più smanettoni preparano delle piccole presentazioni su qualche nuova tecnologia, o qualche tema interessante; altre volte ci si arricchisce facendo brainstorming tutti insieme e si impara a utilizzarla.

Un'Ora del GOLEM, in genere, si compone di una presentazione preparata da un relatore, e poi rimane aperta a domande e discussioni sul tema da parte di tutti i presenti.

Al termine, queste serate possono divenire degli [[Howto | how to]], delle [https://video.linux.it/c/golem_channel/videos videoregistrazioni], delle presentazioni o del codice, di cui si può trovare il link di seguito.

=== Voglio presentare un argomento ===

Vuoi proporre un argomento da presentare? Scrivici alla mail riportata nel [https://blog.golem.linux.it/contatti modulo contatti] oppure compila questo [https://cloud.golem.linux.it/apps/forms/s/DFs6fnkGDXwDf9xFGmJQf9tE form].

=== Informazioni generali ===

* Il tema deve rispettare gli obiettivi dello [[Statuto del GOLEM | statuto]]: va bene parlare di software e hardware libero e/o open source.
* La serata può avere un taglio tecnico, etico o legale, a seconda del relatore.
* I talk si tengono il martedì sera alle 21:30. In casi eccezionali, è possibile organizzare un altro giorno (es: se il relatore abita molto distante e si trova già in zona in un altro momento)
* La durata di un talk dovrebbe mantenersi strettamente al di sotto di un'ora e mezza, anche se spesso ci fa piacere trattenerci per degli approfondimenti. È consigliato lasciare spazio per le domande.
* Mettiamo a disposizione un proiettore, una lavagna, acqua e caffè.
* È consigliato portare il proprio computer, ma è anche disponibile una postazione per la proiezione delle diapositive (consigliato PDF). Usare Windows o Mac per presentare è permesso.
* Al termine del talk, incoraggiamo il relatore a condividere il materiale realizzato, che sarà pubblicato in questa pagina: diapositive, link, repository e quant'altro si voglia fornire.
* Col consenso del relatore, la serata può essere registrata (nota: non abbiamo una regia fissa, perciò potrebbe non essere sempre possibile)

=== Di cosa c'è bisogno? ===

Nel contattarci, abbiamo bisogno delle seguenti informazioni per pubblicizzare la serata:

* Nome (o nickname) del relatore;
* Titolo del talk (massimo 80 caratteri);
* Abstract, breve descrizione del talk (150-300 caratteri).
* (opzionale) Immagine/Icona rappresentativa per promuovere l'evento.

Per esempio, dai un'occhiata all'elenco su questa pagina per vedere cosa hanno scritto i relatori precedenti.

Tenendo d'occhio i martedì sera liberi nel calendario, puoi anche suggerirci una o più date in cui preferiresti fare il tuo talk.

== 2025 ==

{{OraDelGolem
|nome=25 novembre: Frequenze libere: (non tanto) breve guida al radioascolto
|autore=[[Utente:Giulio]]
|immagine=Tux-radio.png
|dimensione_img=80px
|descrizione=Le trasmissioni senza fili sono ormai una tecnologia pervasiva e di cui non possiamo fare a meno. Ma cosa si nasconde in questo mezzo di comunicazione intangibile, eppure sempre presente attorno a noi? In questa serata esploreremo il mondo delle trasmissioni radio, scoprendo cosa è possibile ascoltare con l'ausilio di hardware a basso costo, di un po' di bricolage e di molto software open source.
|presentazione=https://cloud.golem.linux.it/s/DN4a74KpceKH2cC
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 novembre: La posta del FLUG
|autore=FLUG
|immagine=Opensmtpd.jpeg
|dimensione_img=80px
|descrizione=Incontro motivazionale su come il gruppo GNU/Linux di Firenze si è dotato del proprio server di posta elettronica e non solo. Oltre alla configurazione dei programmi che collaborano all'invio e alla ricezione dei messaggi, si terrà una breve ed emozionante divagazione pratica sull'utilizzo del server in generale, sulla sua manutenzione, ma soprattutto sulle sue umili origini.
|presentazione=https://firenze.linux.it/~leandro/PresentazioneServerone.html
|documenti=
|video=
|altro=https://firenze.linux.it/2025/11/la-posta-del-flug/, https://lists.linux.it/pipermail/golem/2025-November/015509.html
}}

{{OraDelGolem
|nome=4 novembre: Docker... questo sconosciuto!
|autore=Diego La Monica
|immagine=docker.png
|dimensione_img=80px
|descrizione=docker, dockerfile, docker compose, container, service e tutti quei termini usati un po' a caso, tanto perchè fa figo... Ci confronteremo su alcune piccole chicche per gestire al meglio (e in sicurezza) i propri ambienti basati su Docker
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=17 giugno: Da zero a packager Fedora!
|autore=luigix25
|immagine=fedora.png
|dimensione_img=80px
|descrizione=Durante la serata verra' illustrato l'intero processo che va dalla scrittura di uno specfile, alla creazione del pacchetto rpm alla pubblicazione nei repository ufficiali di Fedora
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=10 giugno: Le avventure di un pachettizzatore su Debian
|autore=matteobin
|immagine=debian.png
|dimensione_img=
|descrizione=Pacchettizzare è il modo più semplice per contribuire al progetto Debian diventandone parte attiva. Inoltre è un ottimo esercizio per ampliare le conoscenze informatiche e sistemistiche, che aiuta a comprendere le difficoltà della distribuzione di software. Pacchettizzando si diventa esperti di sistemi di compilazione e di aggiornamento, proprio malgrado! Anche in questo ambito il software libero si rivela la scelta migliore non solo per motivi etici, pure per quanto riguarda l'avanguardia, la qualità e l'affidabilità dei sistemi utilizzati. Tuttavia la sfida maggiore nella pacchettizzazione risiede nella coordinazione delle parti in causa. Per questo una parte della serata sarà dedicata al processo per diventare un manutentore di Debian e ai suggerimenti per collaborare con efficacia con gli altri.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=27 maggio: git --help
|autore=Utente:Lucam
|immagine=git.png
|dimensione_img=
|descrizione=git per tutti: una panoramica su comandi e opzioni di cui non sapevi di aver bisogno. Dalla "porcellana" per gestire documentazione alle "tubature" per riscrivere la storia
|presentazione=
|documenti=
|video=
|altro=https://wiki.golem.linux.it/Git
}}

{{OraDelGolem
|nome=13 maggio: Fediverso e Livello Segreto, una palestra di libertà digitale
|autore=Fabio Kenobit
|immagine=fediverso.png
|dimensione_img=
|descrizione=Una chiacchierata con Kenobit, uno dei fondatori di Livello Segreto, un'istanza Mastodon, sulle potenzialità del Fediverso e delle piattaforme libere, in ottica di libertà e resistenza digitale.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 aprile: Tor - The onion services
|autore=Leandro
|immagine=tor.png
|dimensione_img=
|descrizione=La rete tor è un sistema valido per aggirare la censura e l'intercettazione in rete ma soffre di una debolezza nei nodi di uscita che sono il punto più delicato ed esposto tecnicamente e legalmente. La soluzione che elimina questa debolezza sono gli "onion service", servizi raggiungibili solo all'interno della rete tor per collegarsi ai quali non è necessario conoscere l'indirizzo IP e il dominio del server che li ospita né avere chiavi di cifratura della connessione perché tutto questo viene provvisto dal protocollo: l'anonimato sarà garantito per chi utilizza il servizio ma anche per chi lo rende disponibile. Per fare questo è necessario un cambio di paradigma perché, a differenza dell'uso di tor "normale" nel quale il servizio da raggiungere può anche non avere alcuna contezza del fatto di essere raggiunto via tor, un onion service deve essere configurato in precedenza da chi amministra il servizio stesso. In questa presentazione, dopo una breve descrizione del protocollo, proveremo a configurare un onion service spiegando i vari passi.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=8 aprile: Self hosting: un approccio pratico
|autore=Giacomo Bagnoli
|immagine=systemd.png
|dimensione_img=
|descrizione=In questa serata esploreremo il tema del self-hosting, ovvero quali alternative esistono all'uso dei tradizionali servizi cloud. Data la complessità dell'argomento, ci concentreremo su un approccio pratico, valutando con attenzione il compromesso tra usabilità, privacy, sicurezza e convenienza. Parleremo di podman, quadlets, containers, btrfs, vpn, come gestire l'autenticazione e i certificati, e molto altro.
|presentazione=https://github.com/gbagnoli/self_hosting_slides/releases/tag/final
|documenti=
|video=
|altro=https://lists.linux.it/pipermail/golem/2025-April/015380.html
}}

{{OraDelGolem
|nome=18 febbraio: Radiocaccia, scopriamo cos'è
|autore=Paolo IZ5PHM
|immagine=radiocaccia.png
|dimensione_img=
|descrizione=Nota anche come Radio Direction Finding, è una competizione che ha lo scopo di riuscire a localizzare, nel minor tempo possibile, dei trasmettitori radio nascosti. L'attività è volta a incentivare l’autocostruzione di apparecchiature radio, l’apprendimento alla rilevazione di segnali radio e della loro direzione di provenienza e le basi di topografia. La serata approfondirà alcuni di questi aspetti ed includerà una prova pratica.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 febbraio: Come funziona una radio?
|autore=Pierluigi IK5GQF
|immagine=
|dimensione_img=
|descrizione=Serata a metà fra storia e tecnica in cui verrà presentata la storia della radioricezione, a partire dai primi circuiti analogici per arrivare alle moderne SDR (Software Defined Radio)
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=14 gennaio: Introduzione a Laravel
|autore=Simone
|immagine=laravel.png
|dimensione_img=
|descrizione=Partiremo da un progetto vuoto e vedremo le principali soluzioni proposte dal framwork per sviluppare una web app.
|presentazione=
|documenti=
|video=
|altro=
}}

== 2024 ==

{{OraDelGolem
|nome=17 dicembre: Liberiamo il BIOS con coreboot
|autore=aggro
|immagine=
|dimensione_img=80px
|descrizione=In questa serata parleremo di coreboot, il bios libero. Faremo una chiacchierata in cui si parlerà di cos'è, su che macchine si può usare e quali sono i benefici. Mezzi permettendo, alla chiacchierata seguirà una fase pratica in cui flasheremo coreboot sul Thinkpad X230 del relatore. A cura di Alessandro, LUG di Prato
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 dicembre: IPv6 @ FLUG
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=80px
|descrizione=Internet è una rete di reti a cui sono connessi miliardi di dispositivi, dai nostri computer, ai nostri smartphone, a tutti quei server e router che permettono all'infrastruttura di funzionare, per non parlare di tutti i dispositivi di domotica e IoT che ormai pervadono le nostre vite. Tuttavia, in origine, erano stati previsti solo 4 miliardi di indirizzi (IPv4): com'è possibile dunque continuare a estendere la rete se gli indirizzi sono finiti? Quali trucchi vengono impiegati, e quali svantaggi ci sono nel perpetuare l'uso di un protocollo che ormai ha fatto il suo tempo? Ospitare un servizio in autonomia, un sito, può diventare appannaggio dei pochi che possono ancora permettersi di accedere a indirizzi IPv4? IPv6 è la soluzione e la sua promozione necessaria, sebbene in Italia sia ancora poco diffuso: in questa serata impareremo a conoscere IPv6, capiremo le differenze con IPv4, e valuteremo, in tempo reale, come potrebbe essere utilizzato al FLUG.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 ottobre: Come gestire nodi TOR dalla tua cantina
|autore=[https://osservatorionessuno.org/ Osservatorio Nessuno]
|immagine=
|dimensione_img=80px
|descrizione=Gestire nodi TOR può essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.
A cura dell'Osservatorio Nessuno
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 giugno: Introduzione al mondo open source: consigli e strumenti per nuovi contributori
|autore=luigix25
|immagine=
|dimensione_img=80px
|descrizione=Contribuire a grandi progetti open-source può sembrare un'impresa ardua. Durante la serata esploreremo il funzionamento dello sviluppo in progetti di rilievo come Linux. Ci concentreremo su come avvicinarsi a questo mondo e sugli strumenti essenziali per iniziare.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 giugno: Il Processo di compilazione
|autore=Simone Guercini
|immagine=
|dimensione_img=80px
|descrizione=Durante la serata approfondiremo il processo di compilazione di un programma C++ tramite gcc, analizzando gli step che intercorrono tra il codice sorgente ed il file eseguibile. Sono compresi cenni alla struttura di un programma C++, una introduzione al linguaggio assembly x86_64 e numerosi esempi
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=9 aprile: Irrigazione domotica fai-da-te
|autore=Mario Alinari
|immagine=
|dimensione_img=80px
|descrizione=In casa ho un piccolo terrazzo che ho rallegrato con un po’ di fiori. Da qui l’idea di un sistema di irrigazione che annaffiasse le piante al posto mio. Avrei potuto acquistare qualcosa di già fatto? Sicuramente si ma mi sarei perso tutto il divertimento. Non rimaneva altro che realizzarlo home made.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 aprile: R Project
|autore=Fabio Frascati
|immagine=
|dimensione_img=80px
|descrizione=Una serata di formazione sull'utilizzo del software statistico R per i dati qualitativi. In altre parole la gestione di dati categorici (non numerici) semplice ed intuitiva. Vengono illustrati gli oggetti R ad hoc per un supporto migliore del comune vettore di stringhe. Semplici esempi completeranno la sintetica parte teorica. Nessuna esperienza precedente in R o in programmazione è necessaria.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=12 marzo: Documentare il Sanco 8003: un'avventura inaspettata
|autore=[[Utente:giulio]] [[Utente:giomba]]
|immagine=Sanco8003.jpeg
|dimensione_img=80px
|descrizione=In questa serata, a metà fra il vintage ed il moderno, racconteremo la storia del reverse engineering di un computer di inizio anni '80: il Sanco 8003. Utilizzando software ed hardware libero, si parlerà di come approcciarsi ad una scheda sconosciuta per ricavarne il relativo schema; come si possono interpretare i segreti celati all'interno delle EPROM; come disassemblare un intricato codici per Z80 e modificarlo a piacimento per creare un bootloader personalizzato; ed infine, come sfruttare tutte queste scoperte per realizzare un emulatore dedicato a questa misteriosa macchina!
|presentazione=https://cloud.golem.linux.it/s/pGdCgrdATtQc87E
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 marzo: Semplificare il controllo degli accessi su Linux con Systems Manager
|autore=Francesco Provino
|immagine=
|dimensione_img=
|descrizione=Come accedere a macchine Linux in cloud e on-premise (nonché qualsiasi altra risorsa) senza usare chiavi SSH o esponendo porte di rete, utilizzando AWS Systems Manager.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=6 febbraio: Introduzione a XMPP
|autore=Matteo Bini
|immagine=
|dimensione_img=
|descrizione=XMPP è un protocollo che permette di scambiarsi messaggi proprio come WhatsApp, con tanto di chiamate audio e video e invio di allegati. Durante l’intervento sarà presentata una breve panoramica sulla struttura del protocollo in questione, oltre all'illustrazione dei vari programmi disponibili per utilizzarlo e per offrire tale servizio.
|presentazione=
|documenti=http://choice.tiepi.it/~matteobin/scritti/presentazione-di-xmpp.html
|video=
|altro=
}}

{{OraDelGolem
|nome=9 gennaio: virtio e vsock: comunicazione tra host e VM
|autore=Stefano Garzarella e Luigi Leonardi
|immagine=
|dimensione_img=
|descrizione=virtio è uno standard per la comunicazione fra host e macchine virtuali: saranno presentati la sua specifica, come funziona, e alcuni casi d'uso. In particolare ci focalizzaremo su vsock, una famiglia di socket per la comunicazione fra host e guest.
|presentazione=https://cloud.golem.linux.it/s/s2t24maeGfqiSzY
|documenti=
|video=
|altro=
}}

== 2023 ==

{{OraDelGolem
|nome=5 dicembre: Minigiochi al cubo
|autore=Zughy
|immagine=
|dimensione_img=
|descrizione=Mai pensato di voler sviluppare un videogioco? Detto fatto! Da anni i server minigiochi spopolano su Minecraft, facendo divertire milioni di persone. Usando il motore di gioco libero Minetest e una piccola libreria, imparerai a creare quelle avventure tanto anelate, arrivando ad avere il tuo piccolo titolo a fine laboratorio. Consigliato per tutte le età!
|presentazione=
|documenti=
|video=https://video.linux.it/w/3DtztwVqPLf2CwvnWnK8d7
|altro=
}}

{{OraDelGolem
|nome=7 marzo: Introduzione a Proxmox
|autore=Thomas Buonanno
|immagine=logo-proxmox.png
|dimensione_img=
|descrizione=Proxmox VE è una distribuzione debian-based per la gestione di macchine virtuali e container, che include anche un sistema di backup, per la gestione di file system distribuiti e per la migrazione rapida dei servizi. Durante questa serata sarà presentato il progetto e ne saranno mostrate alcune applicazioni pratiche.
|presentazione=https://cloud.golem.linux.it/s/KfiDYeczEop5WEo
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=7 febbraio: Le alternative al foglio di calcolo nella gestione ed analisi dei propri dati
|autore=Fabio Frascati
|immagine=
|dimensione_img=
|descrizione=Perché è così comune usare il foglio di calcolo nella gestione dei propri dati? È sempre la soluzione migliore? Esistono valide alternative gratuite ed open source per compiti specifici e spesso noiosi? Vediamo insieme alcuni semplici esempi in Libreoffice Calc ed R.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=3 Gennaio: Haskell
|autore=Mariano
|immagine=
|dimensione_img=
|descrizione=Serata di introduzione ad Haskell ed ai linguaggi funzionali
|presentazione=https://cloud.golem.linux.it/s/QDFGaYDfS7c6stP
|documenti=
|video=
|altro=
}}

== 2021 ==
{{OraDelGolem
|nome=29 giugno: dotfiles - Gestione ragionata dei files di configurazione
|autore=[[Utente:Gbiotti]]
|immagine=
|dimensione_img=
|descrizione=Serata sulla gestione con versioning dei dotfiles di Linux
|presentazione=
|documenti=
|video=
|altro=[https://git.golem.linux.it/gbiotti/sdf_appunti Appunti della serata]
}}

{{OraDelGolem
|nome=16 marzo: Blockchain - Il Free Software incontra la finanza
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva e divulgativa sulle blockchain: cosa sono e perché sono importanti per la comunità del software libero.
|presentazione=
|documenti=
|video=
|altro=in caricamento
}}

{{OraDelGolem
|nome=9 marzo: Due chiacchiere su buffer overflow
|autore=luigix25
|immagine=Stack-example.png
|dimensione_img=
|descrizione=Due chiacchiere informali sui buffer overflow e sulle tecniche di mitigrazione.
|presentazione=https://cloud.golem.linux.it/s/WkWf7XiNPPn7mqn
|documenti=
|video=https://video.linux.it/w/8PG9X1PojpoVbeM5JtYLFn
|altro=
}}

{{OraDelGolem
|nome=27 gennaio: Programmare Arduino like a pro
|autore=[[Utente:Giulio]]
|immagine=Arduino-board.jpg
|dimensione_img=
|descrizione=L'ecosistema Arduino consente di sviluppare semplici applicazioni in modo rapido e con conoscenze di programmazione non necessariamente approfondite. Ormai, volenti o nolenti tutti abbiamo una scheda Arduino in casa. Questo sarà il punto di partenza della serata, dove andremo a sviscerare come, partendo da uno sketch, si arrivi al codice macchina eseguito dal microcontrollore. Faremo la conoscenza dei varii strumenti della toolchain GCC: makefile, compilatori ed assemblatori, per comprendere meglio cosa avviene sotto il cofano dell'Arduino IDE e come sfruttarli per scrivere del codice "fuori dagli schemi".
|presentazione=https://golem.linux.it/cloud/index.php/s/5M2SisqZmJ7PQXM
|documenti=
|video=https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte1.mp4
|altro=[https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte2.mp4 Video sessione di approfondimento sul multitasking] [https://video.linux.it/videos/watch/f654157f-a4b6-4ebb-aaee-932b04bda1af Mirror1] [https://video.linux.it/videos/watch/e63d744f-2444-41c5-b852-fa79cedefde1 Mirror2]
}}

{{OraDelGolem
|nome=20 gennaio: Lineage OS: come installarla e... perché
|autore=Filippo Micheletti, [[Utente:Giomba]], Marco Castrovilli ([http://www.restartersfirenze.it/ Restarters Firenze])
|immagine=
|dimensione_img=
|descrizione=Tutti hanno uno smartphone, ma pochi sono coscienti del livello di pervasività che questo dispositivo ha nelle nostre vite, e sulla mancanza di controllo che abbiamo sui dati personali che lo attraversano. Conoscere come funziona è indispensabile per fare scelte consapevoli sull’uso che ne facciamo, e scoprire sistemi operativi e applicazioni alternative è uno dei primi passi per riprendere il controllo sui questi dati. Durante la serata, ci domanderemo perché usare LineageOS, quali programmi e applicazioni libere e rispettose possiamo usare, in alternativa ai soliti noti, come si installa questo sistema su uno smartphone, quali sono difficoltà, problemi e possibili rinunce che possiamo incontrare.
|presentazione=https://golem.linux.it/cloud/index.php/s/39dTAZxdpWfzHSp
|documenti=https://golem.linux.it/cloud/index.php/s/E9ZCm9fjFnq7egG
|video=https://video.linux.it/w/wSw212j2di8pM38E4g4DZY
|altro=
}}

== 2020 ==

{{OraDelGolem
|nome=7 ottobre: Linux per radioamatori
|autore=[[Utente:Giulio]] [[Utente:Lucam]]
|immagine=Tux-radio.png
|dimensione_img=
|descrizione=Introduzione a Linux e alle sue applicazioni in ambito radioamatoriale. Quali sono i programmi per fare radio su Linux? Come posso attivare un nodo webSDR?
|presentazione=https://golem.linux.it/cloud/index.php/s/8fLXfdwMwEpxxCq
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20201007-iu5mo-linuxradio.mp4
|altro=
}}

{{OraDelGolem
|nome=7 luglio: Flatcam
|autore=[[Utente:Glomant]]
|immagine=Flatcam.png
|dimensione_img=
|descrizione=Flatcam è un software che, a partire da file gerber o gcode, permette di passare all’incisione e all’intaglio vero e proprio del circuito tramite una macchina a controllo numerico. Al termine della serata, il prodotto potrà essere inciso tramite una CNC, come quella che abbiamo in officina, come vedremo nella serata successiva.
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/RZZEfzF8f7C7CMA
|video=https://golem.linux.it/pubblici/OreDelGolem/20200708-glomant-flatcam.mp4
|altro=
}}

{{OraDelGolem
|nome=30 giugno: KiCAD 2/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Seconda serata sull'uso del software di disegno circuiti stampati: disegnato lo schema sarà necessario realizzare il layout, la controparte digitale del circuito stampato. Al termine della serata, il prodotto potrà essere mandato in stampa presso aziende specializzate tramite processi industriali, oppure potrà essere utilizzato la serata seguente. Saranno approfondite alcune funzioni supplementari di KiCAD, come la gestione della lista componenti e delle librerie.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200630-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=23 giugno: Scrivere un emulatore per il Commodore 64
|autore=luigix25
|immagine=c64-startup-screen.jpg
|dimensione_img=
|descrizione=
|presentazione=
|documenti=
|video=https://video.linux.it/w/qVJ5C78WVkJrDvDyBC57sf
|altro=
}}

{{OraDelGolem
|nome=16 giugno: KiCAD 1/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Prima serata sull'uso del software di disegno circuiti stampati: Si tratta di un software opensource di Electronic Design Automation, ossia di progettazione assistita al computer per circuiti elettronici. KiCAD permette di progettare ogni fase della realizzazione del circuito, dalla sua prima bozza, alla scelta e al posizionamento dei componenti, allo sbroglio delle piste, alla produzione dei file per lo stampaggio vero e proprio. In questo primo incontro si vedrà perché e come disegnare uno schema elettronico al computer, come importare i componenti, come associare i simboli grafici agli oggetti fisici.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200616-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=26 maggio: Indipendenza Digitale?
|autore=[[Utente:Giomba]]
|immagine=
|dimensione_img=
|descrizione=Guida pratica per riappropriarsi della propria indipendenza e identità digitale. Quali compromessi possiamo fare nell'uso del software sul nostro computer e sul nostro smartphone?
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/WMDixxEjNtEadAj
|video=
|altro=
}}

{{OraDelGolem
|nome=12 maggio: Due parole su LaTeX
|autore=[[Utente:Giulio]]
|immagine=
|dimensione_img=
|descrizione=Introduzione al software di impaginazione LaTeX
|presentazione=
|documenti=
|video=
|altro=''Presentazione in caricamento''
}}

{{OraDelGolem
|nome=14 aprile: Riconoscimento oggetti con OpenCV
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=
|presentazione=https://golem.linux.it/cloud/index.php/s/E9FxLxM5AEopZyJ
|documenti=
|video=
|altro=
}}

== 2019 ==

{{OraDelGolem
|nome=19 febbraio: 128 bit di IPv6
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=
|descrizione=Cos’è un indirizzo di rete? IPv4 vs IPv6. Perché IPv6? Come si legge un IPv6? Come posso realizzare una rete IPv6? Cosa sono NDP e SLAAC? Come ottenere IPv6? [[IPv6 @ GOLEM]]
|presentazione=https://golem.linux.it/cloud/index.php/s/pZcSHge3bBiQ37m
|documenti=
|video=https://video.linux.it/w/e6oYr4MasX9NDVtkJ6jCU3
|altro=
}}

{{OraDelGolem
|nome=8 gennaio: Deepen Meltdown
|autore=[[Utente:Raistlin]]
|immagine=Meltdown-spectre-logo.png
|dimensione_img=
|descrizione=Aggiornamenti sui bug che hanno recentemente afflitto le CPU
|presentazione=
|documenti=
|video=
|altro=
}}

== 2018 ==

{{OraDelGolem
|nome=16 Ottobre: NextCloud
|autore=Mattia & Carmelo
|immagine=Nextcloud-logo.png
|dimensione_img=150px
|descrizione=Cos'è un sistema di clouding. Cloud commerciale vs. Nextcloud. Come configurare un cloud casalingo su PC o Raspberry.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 Ottobre: Python & grafici
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Approfondimento sulle librerie <code>MatPlotLib</code> e <code>NumPy</code>: creare e abbellire grafici, tracciare funzioni, importare e visualizzare dati da CSV, grafici professionali in LaTeX. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/wteTWdnflCwWOXa/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20181002-giuliof-python-grafici.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Settembre: PC4Beginners
|autore=jacopo
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva all'informatica: cenni storici sul computer, cos'è l'hardware, cos'è il software, quali sono i componenti di un PC.
|presentazione=https://golem.linux.it/cloud/index.php/s/HoTfB2ilOWHl1Aq/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180918-jacopo-PC4Beginners.mp4
|altro=
}}

{{OraDelGolem
|nome=3 Luglio: Python 303
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Avanziamo di livello e parliamo di: liste, dizionari, lettura/scrittura su file, accenno alle librerie e confronto Python2 vs Python3. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/2gbp1UpORawCUkF/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180703-giuliof-python303.mp4
|altro=
}}

{{OraDelGolem
|nome=19 Giugno: Python 101 x2
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esercizi con ''if...else'', funzioni, cicli ''while'' e ''for'', stringhe e operazioni su stringhe. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/Qq99P5gwkno7H1q/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180619-giuliof-python101x2.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Giugno: Technical deep dive: Meltdown + Spectre
|autore=Dario
|immagine=Meltdown-spectre-logo.png
|dimensione_img=250px
|descrizione=Da una panoramica sull'architettura e sul funzionamento dei processori moderni (architettura superscalare, memorie cache, TLB, memoria virtuale) arriviamo a capire come queste vulnerabilità scoperte di recente denominate ''Meltdown'' e ''Spectre'' (maggiori [https://meltdownattack.com info]) potrebbero mettere a rischio la sicurezza dell'utente.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180612-Meltdown-Spectre-Dario.mp4
|altro= concetti introduttivi ([https://en.wikipedia.org/wiki/Virtual_address_space Virtual Memory],
[https://wiki.osdev.org/Memory_management gestione della memoria],
esecuzione speculativa [https://en.wikipedia.org/wiki/Speculative_execution] [https://en.wikipedia.org/wiki/Branch_predictor],
[https://en.wikipedia.org/wiki/Instruction_pipelining pipeline],
[https://en.wikipedia.org/wiki/Tomasulo_algorithm algoritmo di Tomasulo],
memoria cache [https://en.wikipedia.org/wiki/CPU_cache] [https://www.extremetech.com/extreme/188776-how-l1-and-l2-cpu-caches-work-and-why-theyre-an-essential-part-of-modern-chips],
[https://en.wikipedia.org/wiki/Translation_lookaside_buffer TLB],
[https://en.wikipedia.org/wiki/Side-channel_attack side channel attack])
<br/>
esempi di codice che sfrutta le vulnerabilità ([https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/], [https://medium.com/@mattklein123/meltdown-spectre-explained-6bc8634cc0c2])
}}

{{OraDelGolem
|nome=5 Giugno: Buildroot: distrubuzione personalizzata
|autore=$pookyh
|immagine=Logog-b.png
|dimensione_img=80px
|descrizione=[https://buildroot.org Buildroot] è un tool che permette di generare una distribuzione Linux essenziale cucita su misura per le proprie esigenze.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180605-spooky-buildroot.mp4
|altro=
}}

{{OraDelGolem
|nome=22 Maggio: Python - introduzione e basi
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esempi applicativi, installazione, variabili, istruzioni di stampa a schermo, blocchi condizionali. (Il video è parziale'''!''')
|presentazione=https://golem.linux.it/cloud/index.php/s/IroTEn8ZJhXTaGg/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180519-GiulioF-Python101x1.mp4
|altro=
}}

=== 17 Aprile: R: software di analisi statistica ===
Basi sul linguaggio di programmazione R, applicazioni alla statistica ed esempi.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/mY2GIXC1dIZPKpu Scarica] files (script utilizzati, lista comandi...) e presentazioni della serata.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180417-R-Frascati-Giorgetti.mp4 Guarda] o scarica il video della serata!

=== 10 Aprile: Bash e scripting ===
Panoramica sui comandi utili e basi di scripting per automatizzare le attività.

Consulta il prontuario sulla [[Linea_di_comando | linea di comando]].

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180410-Bash-Giomba.mp4 Guarda] o scarica il video della serata!

''by Giomba''

=== 23 Gennaio: Sviluppo di un'app per Android ===
Uno sguardo d'insieme sulla realizzazione di applicazioni per il proprio smartphone con [https://developer.android.com/studio/index.html AndroidStudio], iniziando con alcuni esempi.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/pGoCGHZKpo7C04f/download Presentazione] della serata.

''by Omid''

=== 16 Gennaio: Impariamo KiCad ===
Come utilizzare il software [http://kicad-pcb.org KiCad] per il disegno di schemi e la realizzazione di circuiti stampati.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/HLl9ZxreCLQUCH8 Scarica] i file prodotti durante la serata.

''by Stefano''

== 2017 ==
=== 12 Dicembre: Arduino avr-gcc ===
Programmazione a "basso livello" in C della scheda Arduino, bypassando l'IDE, per sfruttare a pieno le risorse del microcontrollore.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171212-AVRgcc-Giulio.mp4 Guarda] o scarica il video della serata!

''by [[Utente:Giulio | Giulio]]''

=== 21 Novembre: Git ===
Un sistema di versionamento alla portata di tutti: come gestire i propri progetti al computer, tenere traccia dello sviluppo e apportare modifiche senza rischiare di danneggiare il lavoro precedente. Consulta il nostro [[Git | prontuario]] di riferimento.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/VL27wucLMsbCEDP Presentazione] della serata

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171121-Git-Lucam.mp4 Video] della serata

''by [[Utente:Lucam | Lucam]]''

=== 7 Novembre: Arduino e Wireless ===
Domotica: come integrare il proprio progetto di elettronica con Arduino con la rete WiFi di casa.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/fp7PgxzcdLRmKlx Presentazioni] della serata.

''by [[Utente:Giulio | Giulio]]''

=== 17 ottobre: Introduzione a Wordpress ===
Procedure base e consigli per costruire un semplice sito dinamico con Wordpress.

''by Pinpas''

=== 3 Ottobre: Sviluppo HTML+CSS ===
I rudimenti per scrivere un sito statico.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/uIz3QwcymtgTeNN Scarica] i file della serata!

''by Francesco''

=== 19 Settembre: Installazione Wordpress ===
Serata pratica di gruppo sull'installazione del CMS [[Wordpress]] e in generale di un applicativo web su piattaforma LAMP.

''by [[Utente:giomba | giomba]]''

=== 5 Settembre: Il Terminale Unix/Linux ===
Introduzione ai concetti e ai comandi più utilizzati per gestire il sistema da terminale. Consulta il nostro How-To sul [[Linea_di_comando | terminale]].

''by [[Utente:giomba | giomba]]''

[[Category:Officina]]

Template:Pagina Principale/Link Esterni

2026-02-25T21:03:56Z

Giomba: Svecchiati alcuni link

== Sviluppo ==
<div class="golem-tb-container">
<div class="golem-tb-column" style="width: 50%;">
; [https://git.golem.linux.it/ git.golem.linux.it]: Repository per lo sviluppo di software ad uso interno e non.

; [https://github.com/golemempoli GitHub]: Mirror dei repository.
</div>

<div class="golem-tb-column" style="width: 50%;">
; [[:Category:Sysop|Sistemi Informatici]]: Entra anche tu nel gruppo sysadmin del GOLEM!
; [https://archivio.golem.linux.it Archivio GOLEM]: archivio di voluminoso materiale storico, video e mirror
</div>
</div>

Template:Pagina principale/Attività

2026-02-25T21:01:22Z

Giomba: Rimossa pagina decaduta

Ore del GOLEM

2026-02-25T20:50:44Z

Giomba: Portate informazioni per i relatori dalla pagina Progetti

{{Note
|type=info
|text=Questa pagina raccoglie gli eventi passati. Se stai cercando gli eventi futuri, consulta il [https://blog.golem.linux.it/calendario calendario].
}}

== Cos'è un'Ora del GOLEM ==
L'Ora del GOLEM è una serata a tema in cui si discute, più o meno formalmente, su qualunque cosa riguardi l'open source, dagli argomenti strettamente tecnici e pratici, alla "consapevolizzazione" e alla valutazione dell'uso dei vari strumenti.
A volte i soci più smanettoni preparano delle piccole presentazioni su qualche nuova tecnologia, o qualche tema interessante; altre volte ci si arricchisce facendo brainstorming tutti insieme e si impara a utilizzarla.

Un'Ora del GOLEM, in genere, si compone di una presentazione preparata da un relatore, e poi rimane aperta a domande e discussioni sul tema da parte di tutti i presenti.

Al termine, queste serate possono divenire degli [[Howto | how to]], delle [https://video.linux.it/c/golem_channel/videos videoregistrazioni], delle presentazioni o del codice, di cui si può trovare il link di seguito.

=== Voglio presentare un argomento ===

Vuoi proporre un argomento da presentare? Scrivici alla mail riportata nel [https://blog.golem.linux.it/contatti modulo contatti].

=== Informazioni generali ===

* Il tema deve rispettare gli obiettivi dello [[Statuto del GOLEM | statuto]]: va bene parlare di software e hardware libero e/o open source.
* La serata può avere un taglio tecnico, etico o legale, a seconda del relatore.
* I talk si tengono il martedì sera alle 21:30. In casi eccezionali, è possibile organizzare un altro giorno (es: se il relatore abita molto distante e si trova già in zona in un altro momento)
* La durata di un talk dovrebbe mantenersi strettamente al di sotto di un'ora e mezza, anche se spesso ci fa piacere trattenerci per degli approfondimenti. È consigliato lasciare spazio per le domande.
* Mettiamo a disposizione un proiettore, una lavagna, acqua e caffè.
* È consigliato portare il proprio computer, ma è anche disponibile una postazione per la proiezione delle diapositive (consigliato PDF). Usare Windows o Mac per presentare è permesso.
* Al termine del talk, incoraggiamo il relatore a condividere il materiale realizzato, che sarà pubblicato in questa pagina: diapositive, link, repository e quant'altro si voglia fornire.
* Col consenso del relatore, la serata può essere registrata (nota: non abbiamo una regia fissa, perciò potrebbe non essere sempre possibile)

=== Di cosa c'è bisogno? ===

Nel contattarci, abbiamo bisogno delle seguenti informazioni per pubblicizzare la serata:

* Nome (o nickname) del relatore;
* Titolo del talk (massimo 80 caratteri);
* Abstract, breve descrizione del talk (150-300 caratteri).
* (opzionale) Immagine/Icona rappresentativa per promuovere l'evento.

Per esempio, dai un'occhiata all'elenco su questa pagina per vedere cosa hanno scritto i relatori precedenti.

Tenendo d'occhio i martedì sera liberi nel calendario, puoi anche suggerirci una o più date in cui preferiresti fare il tuo talk.

== 2025 ==

{{OraDelGolem
|nome=25 novembre: Frequenze libere: (non tanto) breve guida al radioascolto
|autore=[[Utente:Giulio]]
|immagine=Tux-radio.png
|dimensione_img=80px
|descrizione=Le trasmissioni senza fili sono ormai una tecnologia pervasiva e di cui non possiamo fare a meno. Ma cosa si nasconde in questo mezzo di comunicazione intangibile, eppure sempre presente attorno a noi? In questa serata esploreremo il mondo delle trasmissioni radio, scoprendo cosa è possibile ascoltare con l'ausilio di hardware a basso costo, di un po' di bricolage e di molto software open source.
|presentazione=https://cloud.golem.linux.it/s/DN4a74KpceKH2cC
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 novembre: La posta del FLUG
|autore=FLUG
|immagine=Opensmtpd.jpeg
|dimensione_img=80px
|descrizione=Incontro motivazionale su come il gruppo GNU/Linux di Firenze si è dotato del proprio server di posta elettronica e non solo. Oltre alla configurazione dei programmi che collaborano all'invio e alla ricezione dei messaggi, si terrà una breve ed emozionante divagazione pratica sull'utilizzo del server in generale, sulla sua manutenzione, ma soprattutto sulle sue umili origini.
|presentazione=https://firenze.linux.it/~leandro/PresentazioneServerone.html
|documenti=
|video=
|altro=https://firenze.linux.it/2025/11/la-posta-del-flug/, https://lists.linux.it/pipermail/golem/2025-November/015509.html
}}

{{OraDelGolem
|nome=4 novembre: Docker... questo sconosciuto!
|autore=Diego La Monica
|immagine=docker.png
|dimensione_img=80px
|descrizione=docker, dockerfile, docker compose, container, service e tutti quei termini usati un po' a caso, tanto perchè fa figo... Ci confronteremo su alcune piccole chicche per gestire al meglio (e in sicurezza) i propri ambienti basati su Docker
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=17 giugno: Da zero a packager Fedora!
|autore=luigix25
|immagine=fedora.png
|dimensione_img=80px
|descrizione=Durante la serata verra' illustrato l'intero processo che va dalla scrittura di uno specfile, alla creazione del pacchetto rpm alla pubblicazione nei repository ufficiali di Fedora
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=10 giugno: Le avventure di un pachettizzatore su Debian
|autore=matteobin
|immagine=debian.png
|dimensione_img=
|descrizione=Pacchettizzare è il modo più semplice per contribuire al progetto Debian diventandone parte attiva. Inoltre è un ottimo esercizio per ampliare le conoscenze informatiche e sistemistiche, che aiuta a comprendere le difficoltà della distribuzione di software. Pacchettizzando si diventa esperti di sistemi di compilazione e di aggiornamento, proprio malgrado! Anche in questo ambito il software libero si rivela la scelta migliore non solo per motivi etici, pure per quanto riguarda l'avanguardia, la qualità e l'affidabilità dei sistemi utilizzati. Tuttavia la sfida maggiore nella pacchettizzazione risiede nella coordinazione delle parti in causa. Per questo una parte della serata sarà dedicata al processo per diventare un manutentore di Debian e ai suggerimenti per collaborare con efficacia con gli altri.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=27 maggio: git --help
|autore=Utente:Lucam
|immagine=git.png
|dimensione_img=
|descrizione=git per tutti: una panoramica su comandi e opzioni di cui non sapevi di aver bisogno. Dalla "porcellana" per gestire documentazione alle "tubature" per riscrivere la storia
|presentazione=
|documenti=
|video=
|altro=https://wiki.golem.linux.it/Git
}}

{{OraDelGolem
|nome=13 maggio: Fediverso e Livello Segreto, una palestra di libertà digitale
|autore=Fabio Kenobit
|immagine=fediverso.png
|dimensione_img=
|descrizione=Una chiacchierata con Kenobit, uno dei fondatori di Livello Segreto, un'istanza Mastodon, sulle potenzialità del Fediverso e delle piattaforme libere, in ottica di libertà e resistenza digitale.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 aprile: Tor - The onion services
|autore=Leandro
|immagine=tor.png
|dimensione_img=
|descrizione=La rete tor è un sistema valido per aggirare la censura e l'intercettazione in rete ma soffre di una debolezza nei nodi di uscita che sono il punto più delicato ed esposto tecnicamente e legalmente. La soluzione che elimina questa debolezza sono gli "onion service", servizi raggiungibili solo all'interno della rete tor per collegarsi ai quali non è necessario conoscere l'indirizzo IP e il dominio del server che li ospita né avere chiavi di cifratura della connessione perché tutto questo viene provvisto dal protocollo: l'anonimato sarà garantito per chi utilizza il servizio ma anche per chi lo rende disponibile. Per fare questo è necessario un cambio di paradigma perché, a differenza dell'uso di tor "normale" nel quale il servizio da raggiungere può anche non avere alcuna contezza del fatto di essere raggiunto via tor, un onion service deve essere configurato in precedenza da chi amministra il servizio stesso. In questa presentazione, dopo una breve descrizione del protocollo, proveremo a configurare un onion service spiegando i vari passi.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=8 aprile: Self hosting: un approccio pratico
|autore=Giacomo Bagnoli
|immagine=systemd.png
|dimensione_img=
|descrizione=In questa serata esploreremo il tema del self-hosting, ovvero quali alternative esistono all'uso dei tradizionali servizi cloud. Data la complessità dell'argomento, ci concentreremo su un approccio pratico, valutando con attenzione il compromesso tra usabilità, privacy, sicurezza e convenienza. Parleremo di podman, quadlets, containers, btrfs, vpn, come gestire l'autenticazione e i certificati, e molto altro.
|presentazione=https://github.com/gbagnoli/self_hosting_slides/releases/tag/final
|documenti=
|video=
|altro=https://lists.linux.it/pipermail/golem/2025-April/015380.html
}}

{{OraDelGolem
|nome=18 febbraio: Radiocaccia, scopriamo cos'è
|autore=Paolo IZ5PHM
|immagine=radiocaccia.png
|dimensione_img=
|descrizione=Nota anche come Radio Direction Finding, è una competizione che ha lo scopo di riuscire a localizzare, nel minor tempo possibile, dei trasmettitori radio nascosti. L'attività è volta a incentivare l’autocostruzione di apparecchiature radio, l’apprendimento alla rilevazione di segnali radio e della loro direzione di provenienza e le basi di topografia. La serata approfondirà alcuni di questi aspetti ed includerà una prova pratica.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 febbraio: Come funziona una radio?
|autore=Pierluigi IK5GQF
|immagine=
|dimensione_img=
|descrizione=Serata a metà fra storia e tecnica in cui verrà presentata la storia della radioricezione, a partire dai primi circuiti analogici per arrivare alle moderne SDR (Software Defined Radio)
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=14 gennaio: Introduzione a Laravel
|autore=Simone
|immagine=laravel.png
|dimensione_img=
|descrizione=Partiremo da un progetto vuoto e vedremo le principali soluzioni proposte dal framwork per sviluppare una web app.
|presentazione=
|documenti=
|video=
|altro=
}}

== 2024 ==

{{OraDelGolem
|nome=17 dicembre: Liberiamo il BIOS con coreboot
|autore=aggro
|immagine=
|dimensione_img=80px
|descrizione=In questa serata parleremo di coreboot, il bios libero. Faremo una chiacchierata in cui si parlerà di cos'è, su che macchine si può usare e quali sono i benefici. Mezzi permettendo, alla chiacchierata seguirà una fase pratica in cui flasheremo coreboot sul Thinkpad X230 del relatore. A cura di Alessandro, LUG di Prato
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 dicembre: IPv6 @ FLUG
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=80px
|descrizione=Internet è una rete di reti a cui sono connessi miliardi di dispositivi, dai nostri computer, ai nostri smartphone, a tutti quei server e router che permettono all'infrastruttura di funzionare, per non parlare di tutti i dispositivi di domotica e IoT che ormai pervadono le nostre vite. Tuttavia, in origine, erano stati previsti solo 4 miliardi di indirizzi (IPv4): com'è possibile dunque continuare a estendere la rete se gli indirizzi sono finiti? Quali trucchi vengono impiegati, e quali svantaggi ci sono nel perpetuare l'uso di un protocollo che ormai ha fatto il suo tempo? Ospitare un servizio in autonomia, un sito, può diventare appannaggio dei pochi che possono ancora permettersi di accedere a indirizzi IPv4? IPv6 è la soluzione e la sua promozione necessaria, sebbene in Italia sia ancora poco diffuso: in questa serata impareremo a conoscere IPv6, capiremo le differenze con IPv4, e valuteremo, in tempo reale, come potrebbe essere utilizzato al FLUG.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 ottobre: Come gestire nodi TOR dalla tua cantina
|autore=[https://osservatorionessuno.org/ Osservatorio Nessuno]
|immagine=
|dimensione_img=80px
|descrizione=Gestire nodi TOR può essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.
A cura dell'Osservatorio Nessuno
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 giugno: Introduzione al mondo open source: consigli e strumenti per nuovi contributori
|autore=luigix25
|immagine=
|dimensione_img=80px
|descrizione=Contribuire a grandi progetti open-source può sembrare un'impresa ardua. Durante la serata esploreremo il funzionamento dello sviluppo in progetti di rilievo come Linux. Ci concentreremo su come avvicinarsi a questo mondo e sugli strumenti essenziali per iniziare.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 giugno: Il Processo di compilazione
|autore=Simone Guercini
|immagine=
|dimensione_img=80px
|descrizione=Durante la serata approfondiremo il processo di compilazione di un programma C++ tramite gcc, analizzando gli step che intercorrono tra il codice sorgente ed il file eseguibile. Sono compresi cenni alla struttura di un programma C++, una introduzione al linguaggio assembly x86_64 e numerosi esempi
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=9 aprile: Irrigazione domotica fai-da-te
|autore=Mario Alinari
|immagine=
|dimensione_img=80px
|descrizione=In casa ho un piccolo terrazzo che ho rallegrato con un po’ di fiori. Da qui l’idea di un sistema di irrigazione che annaffiasse le piante al posto mio. Avrei potuto acquistare qualcosa di già fatto? Sicuramente si ma mi sarei perso tutto il divertimento. Non rimaneva altro che realizzarlo home made.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 aprile: R Project
|autore=Fabio Frascati
|immagine=
|dimensione_img=80px
|descrizione=Una serata di formazione sull'utilizzo del software statistico R per i dati qualitativi. In altre parole la gestione di dati categorici (non numerici) semplice ed intuitiva. Vengono illustrati gli oggetti R ad hoc per un supporto migliore del comune vettore di stringhe. Semplici esempi completeranno la sintetica parte teorica. Nessuna esperienza precedente in R o in programmazione è necessaria.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=12 marzo: Documentare il Sanco 8003: un'avventura inaspettata
|autore=[[Utente:giulio]] [[Utente:giomba]]
|immagine=Sanco8003.jpeg
|dimensione_img=80px
|descrizione=In questa serata, a metà fra il vintage ed il moderno, racconteremo la storia del reverse engineering di un computer di inizio anni '80: il Sanco 8003. Utilizzando software ed hardware libero, si parlerà di come approcciarsi ad una scheda sconosciuta per ricavarne il relativo schema; come si possono interpretare i segreti celati all'interno delle EPROM; come disassemblare un intricato codici per Z80 e modificarlo a piacimento per creare un bootloader personalizzato; ed infine, come sfruttare tutte queste scoperte per realizzare un emulatore dedicato a questa misteriosa macchina!
|presentazione=https://cloud.golem.linux.it/s/pGdCgrdATtQc87E
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 marzo: Semplificare il controllo degli accessi su Linux con Systems Manager
|autore=Francesco Provino
|immagine=
|dimensione_img=
|descrizione=Come accedere a macchine Linux in cloud e on-premise (nonché qualsiasi altra risorsa) senza usare chiavi SSH o esponendo porte di rete, utilizzando AWS Systems Manager.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=6 febbraio: Introduzione a XMPP
|autore=Matteo Bini
|immagine=
|dimensione_img=
|descrizione=XMPP è un protocollo che permette di scambiarsi messaggi proprio come WhatsApp, con tanto di chiamate audio e video e invio di allegati. Durante l’intervento sarà presentata una breve panoramica sulla struttura del protocollo in questione, oltre all'illustrazione dei vari programmi disponibili per utilizzarlo e per offrire tale servizio.
|presentazione=
|documenti=http://choice.tiepi.it/~matteobin/scritti/presentazione-di-xmpp.html
|video=
|altro=
}}

{{OraDelGolem
|nome=9 gennaio: virtio e vsock: comunicazione tra host e VM
|autore=Stefano Garzarella e Luigi Leonardi
|immagine=
|dimensione_img=
|descrizione=virtio è uno standard per la comunicazione fra host e macchine virtuali: saranno presentati la sua specifica, come funziona, e alcuni casi d'uso. In particolare ci focalizzaremo su vsock, una famiglia di socket per la comunicazione fra host e guest.
|presentazione=https://cloud.golem.linux.it/s/s2t24maeGfqiSzY
|documenti=
|video=
|altro=
}}

== 2023 ==

{{OraDelGolem
|nome=5 dicembre: Minigiochi al cubo
|autore=Zughy
|immagine=
|dimensione_img=
|descrizione=Mai pensato di voler sviluppare un videogioco? Detto fatto! Da anni i server minigiochi spopolano su Minecraft, facendo divertire milioni di persone. Usando il motore di gioco libero Minetest e una piccola libreria, imparerai a creare quelle avventure tanto anelate, arrivando ad avere il tuo piccolo titolo a fine laboratorio. Consigliato per tutte le età!
|presentazione=
|documenti=
|video=https://video.linux.it/w/3DtztwVqPLf2CwvnWnK8d7
|altro=
}}

{{OraDelGolem
|nome=7 marzo: Introduzione a Proxmox
|autore=Thomas Buonanno
|immagine=logo-proxmox.png
|dimensione_img=
|descrizione=Proxmox VE è una distribuzione debian-based per la gestione di macchine virtuali e container, che include anche un sistema di backup, per la gestione di file system distribuiti e per la migrazione rapida dei servizi. Durante questa serata sarà presentato il progetto e ne saranno mostrate alcune applicazioni pratiche.
|presentazione=https://cloud.golem.linux.it/s/KfiDYeczEop5WEo
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=7 febbraio: Le alternative al foglio di calcolo nella gestione ed analisi dei propri dati
|autore=Fabio Frascati
|immagine=
|dimensione_img=
|descrizione=Perché è così comune usare il foglio di calcolo nella gestione dei propri dati? È sempre la soluzione migliore? Esistono valide alternative gratuite ed open source per compiti specifici e spesso noiosi? Vediamo insieme alcuni semplici esempi in Libreoffice Calc ed R.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=3 Gennaio: Haskell
|autore=Mariano
|immagine=
|dimensione_img=
|descrizione=Serata di introduzione ad Haskell ed ai linguaggi funzionali
|presentazione=https://cloud.golem.linux.it/s/QDFGaYDfS7c6stP
|documenti=
|video=
|altro=
}}

== 2021 ==
{{OraDelGolem
|nome=29 giugno: dotfiles - Gestione ragionata dei files di configurazione
|autore=[[Utente:Gbiotti]]
|immagine=
|dimensione_img=
|descrizione=Serata sulla gestione con versioning dei dotfiles di Linux
|presentazione=
|documenti=
|video=
|altro=[https://git.golem.linux.it/gbiotti/sdf_appunti Appunti della serata]
}}

{{OraDelGolem
|nome=16 marzo: Blockchain - Il Free Software incontra la finanza
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva e divulgativa sulle blockchain: cosa sono e perché sono importanti per la comunità del software libero.
|presentazione=
|documenti=
|video=
|altro=in caricamento
}}

{{OraDelGolem
|nome=9 marzo: Due chiacchiere su buffer overflow
|autore=luigix25
|immagine=Stack-example.png
|dimensione_img=
|descrizione=Due chiacchiere informali sui buffer overflow e sulle tecniche di mitigrazione.
|presentazione=https://cloud.golem.linux.it/s/WkWf7XiNPPn7mqn
|documenti=
|video=https://video.linux.it/w/8PG9X1PojpoVbeM5JtYLFn
|altro=
}}

{{OraDelGolem
|nome=27 gennaio: Programmare Arduino like a pro
|autore=[[Utente:Giulio]]
|immagine=Arduino-board.jpg
|dimensione_img=
|descrizione=L'ecosistema Arduino consente di sviluppare semplici applicazioni in modo rapido e con conoscenze di programmazione non necessariamente approfondite. Ormai, volenti o nolenti tutti abbiamo una scheda Arduino in casa. Questo sarà il punto di partenza della serata, dove andremo a sviscerare come, partendo da uno sketch, si arrivi al codice macchina eseguito dal microcontrollore. Faremo la conoscenza dei varii strumenti della toolchain GCC: makefile, compilatori ed assemblatori, per comprendere meglio cosa avviene sotto il cofano dell'Arduino IDE e come sfruttarli per scrivere del codice "fuori dagli schemi".
|presentazione=https://golem.linux.it/cloud/index.php/s/5M2SisqZmJ7PQXM
|documenti=
|video=https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte1.mp4
|altro=[https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte2.mp4 Video sessione di approfondimento sul multitasking] [https://video.linux.it/videos/watch/f654157f-a4b6-4ebb-aaee-932b04bda1af Mirror1] [https://video.linux.it/videos/watch/e63d744f-2444-41c5-b852-fa79cedefde1 Mirror2]
}}

{{OraDelGolem
|nome=20 gennaio: Lineage OS: come installarla e... perché
|autore=Filippo Micheletti, [[Utente:Giomba]], Marco Castrovilli ([http://www.restartersfirenze.it/ Restarters Firenze])
|immagine=
|dimensione_img=
|descrizione=Tutti hanno uno smartphone, ma pochi sono coscienti del livello di pervasività che questo dispositivo ha nelle nostre vite, e sulla mancanza di controllo che abbiamo sui dati personali che lo attraversano. Conoscere come funziona è indispensabile per fare scelte consapevoli sull’uso che ne facciamo, e scoprire sistemi operativi e applicazioni alternative è uno dei primi passi per riprendere il controllo sui questi dati. Durante la serata, ci domanderemo perché usare LineageOS, quali programmi e applicazioni libere e rispettose possiamo usare, in alternativa ai soliti noti, come si installa questo sistema su uno smartphone, quali sono difficoltà, problemi e possibili rinunce che possiamo incontrare.
|presentazione=https://golem.linux.it/cloud/index.php/s/39dTAZxdpWfzHSp
|documenti=https://golem.linux.it/cloud/index.php/s/E9ZCm9fjFnq7egG
|video=https://video.linux.it/w/wSw212j2di8pM38E4g4DZY
|altro=
}}

== 2020 ==

{{OraDelGolem
|nome=7 ottobre: Linux per radioamatori
|autore=[[Utente:Giulio]] [[Utente:Lucam]]
|immagine=Tux-radio.png
|dimensione_img=
|descrizione=Introduzione a Linux e alle sue applicazioni in ambito radioamatoriale. Quali sono i programmi per fare radio su Linux? Come posso attivare un nodo webSDR?
|presentazione=https://golem.linux.it/cloud/index.php/s/8fLXfdwMwEpxxCq
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20201007-iu5mo-linuxradio.mp4
|altro=
}}

{{OraDelGolem
|nome=7 luglio: Flatcam
|autore=[[Utente:Glomant]]
|immagine=Flatcam.png
|dimensione_img=
|descrizione=Flatcam è un software che, a partire da file gerber o gcode, permette di passare all’incisione e all’intaglio vero e proprio del circuito tramite una macchina a controllo numerico. Al termine della serata, il prodotto potrà essere inciso tramite una CNC, come quella che abbiamo in officina, come vedremo nella serata successiva.
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/RZZEfzF8f7C7CMA
|video=https://golem.linux.it/pubblici/OreDelGolem/20200708-glomant-flatcam.mp4
|altro=
}}

{{OraDelGolem
|nome=30 giugno: KiCAD 2/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Seconda serata sull'uso del software di disegno circuiti stampati: disegnato lo schema sarà necessario realizzare il layout, la controparte digitale del circuito stampato. Al termine della serata, il prodotto potrà essere mandato in stampa presso aziende specializzate tramite processi industriali, oppure potrà essere utilizzato la serata seguente. Saranno approfondite alcune funzioni supplementari di KiCAD, come la gestione della lista componenti e delle librerie.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200630-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=23 giugno: Scrivere un emulatore per il Commodore 64
|autore=luigix25
|immagine=c64-startup-screen.jpg
|dimensione_img=
|descrizione=
|presentazione=
|documenti=
|video=https://video.linux.it/w/qVJ5C78WVkJrDvDyBC57sf
|altro=
}}

{{OraDelGolem
|nome=16 giugno: KiCAD 1/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Prima serata sull'uso del software di disegno circuiti stampati: Si tratta di un software opensource di Electronic Design Automation, ossia di progettazione assistita al computer per circuiti elettronici. KiCAD permette di progettare ogni fase della realizzazione del circuito, dalla sua prima bozza, alla scelta e al posizionamento dei componenti, allo sbroglio delle piste, alla produzione dei file per lo stampaggio vero e proprio. In questo primo incontro si vedrà perché e come disegnare uno schema elettronico al computer, come importare i componenti, come associare i simboli grafici agli oggetti fisici.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200616-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=26 maggio: Indipendenza Digitale?
|autore=[[Utente:Giomba]]
|immagine=
|dimensione_img=
|descrizione=Guida pratica per riappropriarsi della propria indipendenza e identità digitale. Quali compromessi possiamo fare nell'uso del software sul nostro computer e sul nostro smartphone?
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/WMDixxEjNtEadAj
|video=
|altro=
}}

{{OraDelGolem
|nome=12 maggio: Due parole su LaTeX
|autore=[[Utente:Giulio]]
|immagine=
|dimensione_img=
|descrizione=Introduzione al software di impaginazione LaTeX
|presentazione=
|documenti=
|video=
|altro=''Presentazione in caricamento''
}}

{{OraDelGolem
|nome=14 aprile: Riconoscimento oggetti con OpenCV
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=
|presentazione=https://golem.linux.it/cloud/index.php/s/E9FxLxM5AEopZyJ
|documenti=
|video=
|altro=
}}

== 2019 ==

{{OraDelGolem
|nome=19 febbraio: 128 bit di IPv6
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=
|descrizione=Cos’è un indirizzo di rete? IPv4 vs IPv6. Perché IPv6? Come si legge un IPv6? Come posso realizzare una rete IPv6? Cosa sono NDP e SLAAC? Come ottenere IPv6? [[IPv6 @ GOLEM]]
|presentazione=https://golem.linux.it/cloud/index.php/s/pZcSHge3bBiQ37m
|documenti=
|video=https://video.linux.it/w/e6oYr4MasX9NDVtkJ6jCU3
|altro=
}}

{{OraDelGolem
|nome=8 gennaio: Deepen Meltdown
|autore=[[Utente:Raistlin]]
|immagine=Meltdown-spectre-logo.png
|dimensione_img=
|descrizione=Aggiornamenti sui bug che hanno recentemente afflitto le CPU
|presentazione=
|documenti=
|video=
|altro=
}}

== 2018 ==

{{OraDelGolem
|nome=16 Ottobre: NextCloud
|autore=Mattia & Carmelo
|immagine=Nextcloud-logo.png
|dimensione_img=150px
|descrizione=Cos'è un sistema di clouding. Cloud commerciale vs. Nextcloud. Come configurare un cloud casalingo su PC o Raspberry.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 Ottobre: Python & grafici
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Approfondimento sulle librerie <code>MatPlotLib</code> e <code>NumPy</code>: creare e abbellire grafici, tracciare funzioni, importare e visualizzare dati da CSV, grafici professionali in LaTeX. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/wteTWdnflCwWOXa/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20181002-giuliof-python-grafici.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Settembre: PC4Beginners
|autore=jacopo
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva all'informatica: cenni storici sul computer, cos'è l'hardware, cos'è il software, quali sono i componenti di un PC.
|presentazione=https://golem.linux.it/cloud/index.php/s/HoTfB2ilOWHl1Aq/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180918-jacopo-PC4Beginners.mp4
|altro=
}}

{{OraDelGolem
|nome=3 Luglio: Python 303
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Avanziamo di livello e parliamo di: liste, dizionari, lettura/scrittura su file, accenno alle librerie e confronto Python2 vs Python3. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/2gbp1UpORawCUkF/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180703-giuliof-python303.mp4
|altro=
}}

{{OraDelGolem
|nome=19 Giugno: Python 101 x2
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esercizi con ''if...else'', funzioni, cicli ''while'' e ''for'', stringhe e operazioni su stringhe. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/Qq99P5gwkno7H1q/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180619-giuliof-python101x2.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Giugno: Technical deep dive: Meltdown + Spectre
|autore=Dario
|immagine=Meltdown-spectre-logo.png
|dimensione_img=250px
|descrizione=Da una panoramica sull'architettura e sul funzionamento dei processori moderni (architettura superscalare, memorie cache, TLB, memoria virtuale) arriviamo a capire come queste vulnerabilità scoperte di recente denominate ''Meltdown'' e ''Spectre'' (maggiori [https://meltdownattack.com info]) potrebbero mettere a rischio la sicurezza dell'utente.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180612-Meltdown-Spectre-Dario.mp4
|altro= concetti introduttivi ([https://en.wikipedia.org/wiki/Virtual_address_space Virtual Memory],
[https://wiki.osdev.org/Memory_management gestione della memoria],
esecuzione speculativa [https://en.wikipedia.org/wiki/Speculative_execution] [https://en.wikipedia.org/wiki/Branch_predictor],
[https://en.wikipedia.org/wiki/Instruction_pipelining pipeline],
[https://en.wikipedia.org/wiki/Tomasulo_algorithm algoritmo di Tomasulo],
memoria cache [https://en.wikipedia.org/wiki/CPU_cache] [https://www.extremetech.com/extreme/188776-how-l1-and-l2-cpu-caches-work-and-why-theyre-an-essential-part-of-modern-chips],
[https://en.wikipedia.org/wiki/Translation_lookaside_buffer TLB],
[https://en.wikipedia.org/wiki/Side-channel_attack side channel attack])
<br/>
esempi di codice che sfrutta le vulnerabilità ([https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/], [https://medium.com/@mattklein123/meltdown-spectre-explained-6bc8634cc0c2])
}}

{{OraDelGolem
|nome=5 Giugno: Buildroot: distrubuzione personalizzata
|autore=$pookyh
|immagine=Logog-b.png
|dimensione_img=80px
|descrizione=[https://buildroot.org Buildroot] è un tool che permette di generare una distribuzione Linux essenziale cucita su misura per le proprie esigenze.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180605-spooky-buildroot.mp4
|altro=
}}

{{OraDelGolem
|nome=22 Maggio: Python - introduzione e basi
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esempi applicativi, installazione, variabili, istruzioni di stampa a schermo, blocchi condizionali. (Il video è parziale'''!''')
|presentazione=https://golem.linux.it/cloud/index.php/s/IroTEn8ZJhXTaGg/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180519-GiulioF-Python101x1.mp4
|altro=
}}

=== 17 Aprile: R: software di analisi statistica ===
Basi sul linguaggio di programmazione R, applicazioni alla statistica ed esempi.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/mY2GIXC1dIZPKpu Scarica] files (script utilizzati, lista comandi...) e presentazioni della serata.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180417-R-Frascati-Giorgetti.mp4 Guarda] o scarica il video della serata!

=== 10 Aprile: Bash e scripting ===
Panoramica sui comandi utili e basi di scripting per automatizzare le attività.

Consulta il prontuario sulla [[Linea_di_comando | linea di comando]].

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180410-Bash-Giomba.mp4 Guarda] o scarica il video della serata!

''by Giomba''

=== 23 Gennaio: Sviluppo di un'app per Android ===
Uno sguardo d'insieme sulla realizzazione di applicazioni per il proprio smartphone con [https://developer.android.com/studio/index.html AndroidStudio], iniziando con alcuni esempi.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/pGoCGHZKpo7C04f/download Presentazione] della serata.

''by Omid''

=== 16 Gennaio: Impariamo KiCad ===
Come utilizzare il software [http://kicad-pcb.org KiCad] per il disegno di schemi e la realizzazione di circuiti stampati.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/HLl9ZxreCLQUCH8 Scarica] i file prodotti durante la serata.

''by Stefano''

== 2017 ==
=== 12 Dicembre: Arduino avr-gcc ===
Programmazione a "basso livello" in C della scheda Arduino, bypassando l'IDE, per sfruttare a pieno le risorse del microcontrollore.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171212-AVRgcc-Giulio.mp4 Guarda] o scarica il video della serata!

''by [[Utente:Giulio | Giulio]]''

=== 21 Novembre: Git ===
Un sistema di versionamento alla portata di tutti: come gestire i propri progetti al computer, tenere traccia dello sviluppo e apportare modifiche senza rischiare di danneggiare il lavoro precedente. Consulta il nostro [[Git | prontuario]] di riferimento.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/VL27wucLMsbCEDP Presentazione] della serata

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171121-Git-Lucam.mp4 Video] della serata

''by [[Utente:Lucam | Lucam]]''

=== 7 Novembre: Arduino e Wireless ===
Domotica: come integrare il proprio progetto di elettronica con Arduino con la rete WiFi di casa.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/fp7PgxzcdLRmKlx Presentazioni] della serata.

''by [[Utente:Giulio | Giulio]]''

=== 17 ottobre: Introduzione a Wordpress ===
Procedure base e consigli per costruire un semplice sito dinamico con Wordpress.

''by Pinpas''

=== 3 Ottobre: Sviluppo HTML+CSS ===
I rudimenti per scrivere un sito statico.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/uIz3QwcymtgTeNN Scarica] i file della serata!

''by Francesco''

=== 19 Settembre: Installazione Wordpress ===
Serata pratica di gruppo sull'installazione del CMS [[Wordpress]] e in generale di un applicativo web su piattaforma LAMP.

''by [[Utente:giomba | giomba]]''

=== 5 Settembre: Il Terminale Unix/Linux ===
Introduzione ai concetti e ai comandi più utilizzati per gestire il sistema da terminale. Consulta il nostro How-To sul [[Linea_di_comando | terminale]].

''by [[Utente:giomba | giomba]]''

[[Category:Officina]]

Soci del GOLEM

2026-02-14T11:08:45Z

Giomba: Aggiornamento componenti del Consiglio

In questa pagina sono raccolti i soci di spicco del presente (e passato) GOLEM, e l'attuale formazione del Consiglio.

== Consiglio 2026-2027 ==

* [[Utente:Ly* | lywashu (alias Giulia)]]
* [[Utente:Giulio | Giulio]]
* [[Utente:Lucam | Lucam]]
* [[Utente:Giomba | giomba]]
* Diego C
* Diego LM
* Geraldo
* Simone
* [[Utente:Malatext | Malatext]]
* [[Utente:Kardakis | kardakis]]

== Cariche statutarie ==
* Presidente: [[Utente:Ly* | lywashu (alias Giulia)]]
* Vice Presidente: [[Utente:Giulio | Giulio]]
* Tesoriere: [[Utente:Lucam | Lucam]]

== Altre cariche ==
* Capofficina: [[Utente:Kardakis | kardakis]]

== I soci che troverete in Officina ==
* [[Utente:Ly* | lywashu (alias Giulia)]]
* [[Utente:Giulio | Giulio]]
* Lucam
* [[Utente:Giomba | giomba]]
* Diego
* Geraldo
* Pierluigi
* Sandro
* Simone

== I soci che hanno frequentato attivamente l'Officina in passato ==
* TopoSodo
* Viggiano
* [[Utente:Dima | Dima (alias Alfredo)]]
* Glomanto (alias Beppe)
* Massimo
* [[Utente:Lorex | lorex (alias Lorenzo)]]
* [[Utente:%24pooky_Hunter | $pooky Hunter (alias Luca)]]
* [[Utente:Hal | Hal]]
* [[Utente:Alex.u | alex.u]]
* [[Utente:Walterele | Walterele (alias Angela)]]
* [[Utente:Segnalibro | Segnalibro (alias Annalisa)]]
* [[Utente:Raistlin | Raistlin (alias Dario)]]
* [[Utente:Gbrx | gbrx (alias Gabriele)]]
* [[Utente:Jdoe | jdoe (alias Giacomo)]]
* [[Utente:Lorenxo86 | lorenxo86 (alias Lorenzo)]]
* [[Utente:Luana | Luana^^]]
* [[Utente:cipo | cipo (alias Paolo)]]
* Marino
* Mirella
* [[Utente:Permaurizio | Maurizio]]
* JohnCoffey (alias Marco)

== Statistiche ==
Soci che hanno rinnovato la tessera:
{| class="wikitable"
! Anno
! Soci
|-
| 2020
| 29
|-
| 2021
| 31
|-
| 2022
| 31
|-
| 2023
| 40
|-
| 2024
| 42
|-
| 2025
| 54
|-
| 2026
| >= 43
|}

[[Category:Officina]]

Soci del GOLEM

2026-02-14T11:02:28Z

Giomba: /* Statistiche */

In questa pagina sono raccolti i soci di spicco del presente (e passato) GOLEM, e l'attuale formazione del Consiglio.

== Consiglio 2024-2025 ==
Attualmente il GOLEM ha circa 30 soci

* ''Presidente'': [[Utente:Ly* | lywashu (alias Giulia)]]
* ''Vice Presidente'': [[Utente:Giulio | Giulio]]
* ''Tesoriere'': [[Utente:Lucam | Lucam]]
* ''Capofficina'': [[Utente:Giomba | giomba]]
* ''Consiglieri'':
** [[Utente:Ly* | lywashu (alias Giulia)]]
** [[Utente:Giulio | Giulio]]
** [[Utente:Lucam | Lucam]]
** [[Utente:Giomba | giomba]]
** Diego
** Geraldo
** Giorgio
** Massimo
** Sandro
** Simone

== I soci che troverete in Officina ==
* [[Utente:Ly* | lywashu (alias Giulia)]]
* [[Utente:Giulio | Giulio]]
* Lucam
* [[Utente:Giomba | giomba]]
* Diego
* Geraldo
* Pierluigi
* Sandro
* Simone

== I soci che hanno frequentato attivamente l'Officina in passato ==
* TopoSodo
* Viggiano
* [[Utente:Dima | Dima (alias Alfredo)]]
* Glomanto (alias Beppe)
* Massimo
* [[Utente:Lorex | lorex (alias Lorenzo)]]
* [[Utente:%24pooky_Hunter | $pooky Hunter (alias Luca)]]
* [[Utente:Hal | Hal]]
* [[Utente:Alex.u | alex.u]]
* [[Utente:Walterele | Walterele (alias Angela)]]
* [[Utente:Segnalibro | Segnalibro (alias Annalisa)]]
* [[Utente:Raistlin | Raistlin (alias Dario)]]
* [[Utente:Gbrx | gbrx (alias Gabriele)]]
* [[Utente:Jdoe | jdoe (alias Giacomo)]]
* [[Utente:Lorenxo86 | lorenxo86 (alias Lorenzo)]]
* [[Utente:Luana | Luana^^]]
* [[Utente:cipo | cipo (alias Paolo)]]
* Marino
* Mirella
* [[Utente:Permaurizio | Maurizio]]
* JohnCoffey (alias Marco)

== Statistiche ==
Soci che hanno rinnovato la tessera:
{| class="wikitable"
! Anno
! Soci
|-
| 2020
| 29
|-
| 2021
| 31
|-
| 2022
| 31
|-
| 2023
| 40
|-
| 2024
| 42
|-
| 2025
| 54
|-
| 2026
| >= 43
|}

[[Category:Officina]]

Ore del GOLEM

2025-12-03T20:43:57Z

Giomba: Aggiunto riferimento a articolo sul sito del FLUG

{{Note
|type=info
|text=Questa pagina raccoglie gli interventi passati. Se stai cercando gli eventi futuri, consulta il [https://blog.golem.linux.it/calendario calendario], o dai un'occhiata a [[Progetti]].
}}

L'Ora del GOLEM è una serata a tema in cui si discute, più o meno formalmente, su qualunque cosa riguardi l'open source, dagli argomenti strettamente tecnici e pratici, alla "consapevolizzazione" e alla valutazione dell'uso dei vari strumenti. A volte i soci più smanettoni preparano delle piccole presentazioni su qualche nuova tecnologia, o qualche tema interessante; altre volte ci si arricchisce facendo brainstorming tutti insieme e si impara a utilizzarla. Spesso, le discussioni di queste serate, vengono tradotte in dei veri e propri [[Howto | how-to]].

Qui puoi trovare tutte le serate passate (in ordine cronologico inverso), con riferimenti a materiale e/o guide prodotte.
Alcune serate sono anche state [https://video.linux.it/c/golem_channel/videos registrate].

== 2025 ==

{{OraDelGolem
|nome=25 novembre: La posta del FLUG
|autore=FLUG
|immagine=Opensmtpd.jpeg
|dimensione_img=80px
|descrizione=Incontro motivazionale su come il gruppo GNU/Linux di Firenze si è dotato del proprio server di posta elettronica e non solo. Oltre alla configurazione dei programmi che collaborano all'invio e alla ricezione dei messaggi, si terrà una breve ed emozionante divagazione pratica sull'utilizzo del server in generale, sulla sua manutenzione, ma soprattutto sulle sue umili origini.
|presentazione=https://firenze.linux.it/~leandro/PresentazioneServerone.html
|documenti=
|video=
|altro=https://firenze.linux.it/2025/11/la-posta-del-flug/, https://lists.linux.it/pipermail/golem/2025-November/015509.html
}}

{{OraDelGolem
|nome=4 novembre: Docker... questo sconosciuto!
|autore=Diego La Monica
|immagine=docker.png
|dimensione_img=80px
|descrizione=docker, dockerfile, docker compose, container, service e tutti quei termini usati un po' a caso, tanto perchè fa figo... Ci confronteremo su alcune piccole chicche per gestire al meglio (e in sicurezza) i propri ambienti basati su Docker
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=17 giugno: Da zero a packager Fedora!
|autore=luigix25
|immagine=fedora.png
|dimensione_img=80px
|descrizione=Durante la serata verra' illustrato l'intero processo che va dalla scrittura di uno specfile, alla creazione del pacchetto rpm alla pubblicazione nei repository ufficiali di Fedora
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=10 giugno: Le avventure di un pachettizzatore su Debian
|autore=matteobin
|immagine=debian.png
|dimensione_img=
|descrizione=Pacchettizzare è il modo più semplice per contribuire al progetto Debian diventandone parte attiva. Inoltre è un ottimo esercizio per ampliare le conoscenze informatiche e sistemistiche, che aiuta a comprendere le difficoltà della distribuzione di software. Pacchettizzando si diventa esperti di sistemi di compilazione e di aggiornamento, proprio malgrado! Anche in questo ambito il software libero si rivela la scelta migliore non solo per motivi etici, pure per quanto riguarda l'avanguardia, la qualità e l'affidabilità dei sistemi utilizzati. Tuttavia la sfida maggiore nella pacchettizzazione risiede nella coordinazione delle parti in causa. Per questo una parte della serata sarà dedicata al processo per diventare un manutentore di Debian e ai suggerimenti per collaborare con efficacia con gli altri.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=27 maggio: git --help
|autore=Utente::Lucam
|immagine=git.png
|dimensione_img=
|descrizione=git per tutti: una panoramica su comandi e opzioni di cui non sapevi di aver bisogno. Dalla "porcellana" per gestire documentazione alle "tubature" per riscrivere la storia
|presentazione=
|documenti=
|video=
|altro=https://wiki.golem.linux.it/Git
}}

{{OraDelGolem
|nome=13 maggio: Fediverso e Livello Segreto, una palestra di libertà digitale
|autore=Fabio Kenobit
|immagine=fediverso.png
|dimensione_img=
|descrizione=Una chiacchierata con Kenobit, uno dei fondatori di Livello Segreto, un'istanza Mastodon, sulle potenzialità del Fediverso e delle piattaforme libere, in ottica di libertà e resistenza digitale.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 aprile: Tor - The onion services
|autore=Leandro
|immagine=tor.png
|dimensione_img=
|descrizione=La rete tor è un sistema valido per aggirare la censura e l'intercettazione in rete ma soffre di una debolezza nei nodi di uscita che sono il punto più delicato ed esposto tecnicamente e legalmente. La soluzione che elimina questa debolezza sono gli "onion service", servizi raggiungibili solo all'interno della rete tor per collegarsi ai quali non è necessario conoscere l'indirizzo IP e il dominio del server che li ospita né avere chiavi di cifratura della connessione perché tutto questo viene provvisto dal protocollo: l'anonimato sarà garantito per chi utilizza il servizio ma anche per chi lo rende disponibile. Per fare questo è necessario un cambio di paradigma perché, a differenza dell'uso di tor "normale" nel quale il servizio da raggiungere può anche non avere alcuna contezza del fatto di essere raggiunto via tor, un onion service deve essere configurato in precedenza da chi amministra il servizio stesso. In questa presentazione, dopo una breve descrizione del protocollo, proveremo a configurare un onion service spiegando i vari passi.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=8 aprile: Self hosting: un approccio pratico
|autore=Giacomo Bagnoli
|immagine=systemd.png
|dimensione_img=
|descrizione=In questa serata esploreremo il tema del self-hosting, ovvero quali alternative esistono all'uso dei tradizionali servizi cloud. Data la complessità dell'argomento, ci concentreremo su un approccio pratico, valutando con attenzione il compromesso tra usabilità, privacy, sicurezza e convenienza. Parleremo di podman, quadlets, containers, btrfs, vpn, come gestire l'autenticazione e i certificati, e molto altro.
|presentazione=https://github.com/gbagnoli/self_hosting_slides/releases/tag/final
|documenti=
|video=
|altro=https://lists.linux.it/pipermail/golem/2025-April/015380.html
}}

{{OraDelGolem
|nome=18 febbraio: Radiocaccia, scopriamo cos'è
|autore=Paolo IZ5PHM
|immagine=radiocaccia.png
|dimensione_img=
|descrizione=Nota anche come Radio Direction Finding, è una competizione che ha lo scopo di riuscire a localizzare, nel minor tempo possibile, dei trasmettitori radio nascosti. L'attività è volta a incentivare l’autocostruzione di apparecchiature radio, l’apprendimento alla rilevazione di segnali radio e della loro direzione di provenienza e le basi di topografia. La serata approfondirà alcuni di questi aspetti ed includerà una prova pratica.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 febbraio: Come funziona una radio?
|autore=Pierluigi IK5GQF
|immagine=
|dimensione_img=
|descrizione=Serata a metà fra storia e tecnica in cui verrà presentata la storia della radioricezione, a partire dai primi circuiti analogici per arrivare alle moderne SDR (Software Defined Radio)
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=14 gennaio: Introduzione a Laravel
|autore=Simone
|immagine=laravel.png
|dimensione_img=
|descrizione=Partiremo da un progetto vuoto e vedremo le principali soluzioni proposte dal framwork per sviluppare una web app.
|presentazione=
|documenti=
|video=
|altro=
}}

== 2024 ==

{{OraDelGolem
|nome=17 dicembre: Liberiamo il BIOS con coreboot
|autore=aggro
|immagine=
|dimensione_img=80px
|descrizione=In questa serata parleremo di coreboot, il bios libero. Faremo una chiacchierata in cui si parlerà di cos'è, su che macchine si può usare e quali sono i benefici. Mezzi permettendo, alla chiacchierata seguirà una fase pratica in cui flasheremo coreboot sul Thinkpad X230 del relatore. A cura di Alessandro, LUG di Prato
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 dicembre: IPv6 @ FLUG
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=80px
|descrizione=Internet è una rete di reti a cui sono connessi miliardi di dispositivi, dai nostri computer, ai nostri smartphone, a tutti quei server e router che permettono all'infrastruttura di funzionare, per non parlare di tutti i dispositivi di domotica e IoT che ormai pervadono le nostre vite. Tuttavia, in origine, erano stati previsti solo 4 miliardi di indirizzi (IPv4): com'è possibile dunque continuare a estendere la rete se gli indirizzi sono finiti? Quali trucchi vengono impiegati, e quali svantaggi ci sono nel perpetuare l'uso di un protocollo che ormai ha fatto il suo tempo? Ospitare un servizio in autonomia, un sito, può diventare appannaggio dei pochi che possono ancora permettersi di accedere a indirizzi IPv4? IPv6 è la soluzione e la sua promozione necessaria, sebbene in Italia sia ancora poco diffuso: in questa serata impareremo a conoscere IPv6, capiremo le differenze con IPv4, e valuteremo, in tempo reale, come potrebbe essere utilizzato al FLUG.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 ottobre: Come gestire nodi TOR dalla tua cantina
|autore=[https://osservatorionessuno.org/ Osservatorio Nessuno]
|immagine=
|dimensione_img=80px
|descrizione=Gestire nodi TOR può essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.
A cura dell'Osservatorio Nessuno
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 giugno: Introduzione al mondo open source: consigli e strumenti per nuovi contributori
|autore=luigix25
|immagine=
|dimensione_img=80px
|descrizione=Contribuire a grandi progetti open-source può sembrare un'impresa ardua. Durante la serata esploreremo il funzionamento dello sviluppo in progetti di rilievo come Linux. Ci concentreremo su come avvicinarsi a questo mondo e sugli strumenti essenziali per iniziare.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 giugno: Il Processo di compilazione
|autore=Simone Guercini
|immagine=
|dimensione_img=80px
|descrizione=Durante la serata approfondiremo il processo di compilazione di un programma C++ tramite gcc, analizzando gli step che intercorrono tra il codice sorgente ed il file eseguibile. Sono compresi cenni alla struttura di un programma C++, una introduzione al linguaggio assembly x86_64 e numerosi esempi
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=9 aprile: Irrigazione domotica fai-da-te
|autore=Mario Alinari
|immagine=
|dimensione_img=80px
|descrizione=In casa ho un piccolo terrazzo che ho rallegrato con un po’ di fiori. Da qui l’idea di un sistema di irrigazione che annaffiasse le piante al posto mio. Avrei potuto acquistare qualcosa di già fatto? Sicuramente si ma mi sarei perso tutto il divertimento. Non rimaneva altro che realizzarlo home made.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 aprile: R Project
|autore=Fabio Frascati
|immagine=
|dimensione_img=80px
|descrizione=Una serata di formazione sull'utilizzo del software statistico R per i dati qualitativi. In altre parole la gestione di dati categorici (non numerici) semplice ed intuitiva. Vengono illustrati gli oggetti R ad hoc per un supporto migliore del comune vettore di stringhe. Semplici esempi completeranno la sintetica parte teorica. Nessuna esperienza precedente in R o in programmazione è necessaria.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=12 marzo: Documentare il Sanco 8003: un'avventura inaspettata
|autore=[[Utente:giulio]] [[Utente:giomba]]
|immagine=Sanco8003.jpeg
|dimensione_img=80px
|descrizione=In questa serata, a metà fra il vintage ed il moderno, racconteremo la storia del reverse engineering di un computer di inizio anni '80: il Sanco 8003. Utilizzando software ed hardware libero, si parlerà di come approcciarsi ad una scheda sconosciuta per ricavarne il relativo schema; come si possono interpretare i segreti celati all'interno delle EPROM; come disassemblare un intricato codici per Z80 e modificarlo a piacimento per creare un bootloader personalizzato; ed infine, come sfruttare tutte queste scoperte per realizzare un emulatore dedicato a questa misteriosa macchina!
|presentazione=https://cloud.golem.linux.it/s/pGdCgrdATtQc87E
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 marzo: Semplificare il controllo degli accessi su Linux con Systems Manager
|autore=Francesco Provino
|immagine=
|dimensione_img=
|descrizione=Come accedere a macchine Linux in cloud e on-premise (nonché qualsiasi altra risorsa) senza usare chiavi SSH o esponendo porte di rete, utilizzando AWS Systems Manager.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=6 febbraio: Introduzione a XMPP
|autore=Matteo Bini
|immagine=
|dimensione_img=
|descrizione=XMPP è un protocollo che permette di scambiarsi messaggi proprio come WhatsApp, con tanto di chiamate audio e video e invio di allegati. Durante l’intervento sarà presentata una breve panoramica sulla struttura del protocollo in questione, oltre all'illustrazione dei vari programmi disponibili per utilizzarlo e per offrire tale servizio.
|presentazione=
|documenti=http://choice.tiepi.it/~matteobin/scritti/presentazione-di-xmpp.html
|video=
|altro=
}}

{{OraDelGolem
|nome=9 gennaio: virtio e vsock: comunicazione tra host e VM
|autore=Stefano Garzarella e Luigi Leonardi
|immagine=
|dimensione_img=
|descrizione=virtio è uno standard per la comunicazione fra host e macchine virtuali: saranno presentati la sua specifica, come funziona, e alcuni casi d'uso. In particolare ci focalizzaremo su vsock, una famiglia di socket per la comunicazione fra host e guest.
|presentazione=https://cloud.golem.linux.it/s/s2t24maeGfqiSzY
|documenti=
|video=
|altro=
}}

== 2023 ==

{{OraDelGolem
|nome=5 dicembre: Minigiochi al cubo
|autore=Zughy
|immagine=
|dimensione_img=
|descrizione=Mai pensato di voler sviluppare un videogioco? Detto fatto! Da anni i server minigiochi spopolano su Minecraft, facendo divertire milioni di persone. Usando il motore di gioco libero Minetest e una piccola libreria, imparerai a creare quelle avventure tanto anelate, arrivando ad avere il tuo piccolo titolo a fine laboratorio. Consigliato per tutte le età!
|presentazione=
|documenti=
|video=https://video.linux.it/w/3DtztwVqPLf2CwvnWnK8d7
|altro=
}}

{{OraDelGolem
|nome=7 marzo: Introduzione a Proxmox
|autore=Thomas Buonanno
|immagine=logo-proxmox.png
|dimensione_img=
|descrizione=Proxmox VE è una distribuzione debian-based per la gestione di macchine virtuali e container, che include anche un sistema di backup, per la gestione di file system distribuiti e per la migrazione rapida dei servizi. Durante questa serata sarà presentato il progetto e ne saranno mostrate alcune applicazioni pratiche.
|presentazione=https://cloud.golem.linux.it/s/KfiDYeczEop5WEo
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=7 febbraio: Le alternative al foglio di calcolo nella gestione ed analisi dei propri dati
|autore=Fabio Frascati
|immagine=
|dimensione_img=
|descrizione=Perché è così comune usare il foglio di calcolo nella gestione dei propri dati? È sempre la soluzione migliore? Esistono valide alternative gratuite ed open source per compiti specifici e spesso noiosi? Vediamo insieme alcuni semplici esempi in Libreoffice Calc ed R.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=3 Gennaio: Haskell
|autore=Mariano
|immagine=
|dimensione_img=
|descrizione=Serata di introduzione ad Haskell ed ai linguaggi funzionali
|presentazione=https://cloud.golem.linux.it/s/QDFGaYDfS7c6stP
|documenti=
|video=
|altro=
}}

== 2021 ==
{{OraDelGolem
|nome=29 giugno: dotfiles - Gestione ragionata dei files di configurazione
|autore=[[Utente:Gbiotti]]
|immagine=
|dimensione_img=
|descrizione=Serata sulla gestione con versioning dei dotfiles di Linux
|presentazione=
|documenti=
|video=
|altro=[https://git.golem.linux.it/gbiotti/sdf_appunti Appunti della serata]
}}

{{OraDelGolem
|nome=16 marzo: Blockchain - Il Free Software incontra la finanza
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva e divulgativa sulle blockchain: cosa sono e perché sono importanti per la comunità del software libero.
|presentazione=
|documenti=
|video=
|altro=in caricamento
}}

{{OraDelGolem
|nome=9 marzo: Due chiacchiere su buffer overflow
|autore=luigix25
|immagine=Stack-example.png
|dimensione_img=
|descrizione=Due chiacchiere informali sui buffer overflow e sulle tecniche di mitigrazione.
|presentazione=https://cloud.golem.linux.it/s/WkWf7XiNPPn7mqn
|documenti=
|video=https://video.linux.it/w/8PG9X1PojpoVbeM5JtYLFn
|altro=
}}

{{OraDelGolem
|nome=27 gennaio: Programmare Arduino like a pro
|autore=[[Utente:Giulio]]
|immagine=Arduino-board.jpg
|dimensione_img=
|descrizione=L'ecosistema Arduino consente di sviluppare semplici applicazioni in modo rapido e con conoscenze di programmazione non necessariamente approfondite. Ormai, volenti o nolenti tutti abbiamo una scheda Arduino in casa. Questo sarà il punto di partenza della serata, dove andremo a sviscerare come, partendo da uno sketch, si arrivi al codice macchina eseguito dal microcontrollore. Faremo la conoscenza dei varii strumenti della toolchain GCC: makefile, compilatori ed assemblatori, per comprendere meglio cosa avviene sotto il cofano dell'Arduino IDE e come sfruttarli per scrivere del codice "fuori dagli schemi".
|presentazione=https://golem.linux.it/cloud/index.php/s/5M2SisqZmJ7PQXM
|documenti=
|video=https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte1.mp4
|altro=[https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte2.mp4 Video sessione di approfondimento sul multitasking] [https://video.linux.it/videos/watch/f654157f-a4b6-4ebb-aaee-932b04bda1af Mirror1] [https://video.linux.it/videos/watch/e63d744f-2444-41c5-b852-fa79cedefde1 Mirror2]
}}

{{OraDelGolem
|nome=20 gennaio: Lineage OS: come installarla e... perché
|autore=Filippo Micheletti, [[Utente:Giomba]], Marco Castrovilli ([http://www.restartersfirenze.it/ Restarters Firenze])
|immagine=
|dimensione_img=
|descrizione=Tutti hanno uno smartphone, ma pochi sono coscienti del livello di pervasività che questo dispositivo ha nelle nostre vite, e sulla mancanza di controllo che abbiamo sui dati personali che lo attraversano. Conoscere come funziona è indispensabile per fare scelte consapevoli sull’uso che ne facciamo, e scoprire sistemi operativi e applicazioni alternative è uno dei primi passi per riprendere il controllo sui questi dati. Durante la serata, ci domanderemo perché usare LineageOS, quali programmi e applicazioni libere e rispettose possiamo usare, in alternativa ai soliti noti, come si installa questo sistema su uno smartphone, quali sono difficoltà, problemi e possibili rinunce che possiamo incontrare.
|presentazione=https://golem.linux.it/cloud/index.php/s/39dTAZxdpWfzHSp
|documenti=https://golem.linux.it/cloud/index.php/s/E9ZCm9fjFnq7egG
|video=https://video.linux.it/w/wSw212j2di8pM38E4g4DZY
|altro=
}}

== 2020 ==

{{OraDelGolem
|nome=7 ottobre: Linux per radioamatori
|autore=[[Utente:Giulio]] [[Utente:Lucam]]
|immagine=Tux-radio.png
|dimensione_img=
|descrizione=Introduzione a Linux e alle sue applicazioni in ambito radioamatoriale. Quali sono i programmi per fare radio su Linux? Come posso attivare un nodo webSDR?
|presentazione=https://golem.linux.it/cloud/index.php/s/8fLXfdwMwEpxxCq
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20201007-iu5mo-linuxradio.mp4
|altro=
}}

{{OraDelGolem
|nome=7 luglio: Flatcam
|autore=[[Utente:Glomant]]
|immagine=Flatcam.png
|dimensione_img=
|descrizione=Flatcam è un software che, a partire da file gerber o gcode, permette di passare all’incisione e all’intaglio vero e proprio del circuito tramite una macchina a controllo numerico. Al termine della serata, il prodotto potrà essere inciso tramite una CNC, come quella che abbiamo in officina, come vedremo nella serata successiva.
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/RZZEfzF8f7C7CMA
|video=https://golem.linux.it/pubblici/OreDelGolem/20200708-glomant-flatcam.mp4
|altro=
}}

{{OraDelGolem
|nome=30 giugno: KiCAD 2/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Seconda serata sull'uso del software di disegno circuiti stampati: disegnato lo schema sarà necessario realizzare il layout, la controparte digitale del circuito stampato. Al termine della serata, il prodotto potrà essere mandato in stampa presso aziende specializzate tramite processi industriali, oppure potrà essere utilizzato la serata seguente. Saranno approfondite alcune funzioni supplementari di KiCAD, come la gestione della lista componenti e delle librerie.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200630-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=23 giugno: Scrivere un emulatore per il Commodore 64
|autore=luigix25
|immagine=c64-startup-screen.jpg
|dimensione_img=
|descrizione=
|presentazione=
|documenti=
|video=https://video.linux.it/w/qVJ5C78WVkJrDvDyBC57sf
|altro=
}}

{{OraDelGolem
|nome=16 giugno: KiCAD 1/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Prima serata sull'uso del software di disegno circuiti stampati: Si tratta di un software opensource di Electronic Design Automation, ossia di progettazione assistita al computer per circuiti elettronici. KiCAD permette di progettare ogni fase della realizzazione del circuito, dalla sua prima bozza, alla scelta e al posizionamento dei componenti, allo sbroglio delle piste, alla produzione dei file per lo stampaggio vero e proprio. In questo primo incontro si vedrà perché e come disegnare uno schema elettronico al computer, come importare i componenti, come associare i simboli grafici agli oggetti fisici.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200616-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=26 maggio: Indipendenza Digitale?
|autore=[[Utente:Giomba]]
|immagine=
|dimensione_img=
|descrizione=Guida pratica per riappropriarsi della propria indipendenza e identità digitale. Quali compromessi possiamo fare nell'uso del software sul nostro computer e sul nostro smartphone?
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/WMDixxEjNtEadAj
|video=
|altro=
}}

{{OraDelGolem
|nome=12 maggio: Due parole su LaTeX
|autore=[[Utente:Giulio]]
|immagine=
|dimensione_img=
|descrizione=Introduzione al software di impaginazione LaTeX
|presentazione=
|documenti=
|video=
|altro=''Presentazione in caricamento''
}}

{{OraDelGolem
|nome=14 aprile: Riconoscimento oggetti con OpenCV
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=
|presentazione=https://golem.linux.it/cloud/index.php/s/E9FxLxM5AEopZyJ
|documenti=
|video=
|altro=
}}

== 2019 ==

{{OraDelGolem
|nome=19 febbraio: 128 bit di IPv6
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=
|descrizione=Cos’è un indirizzo di rete? IPv4 vs IPv6. Perché IPv6? Come si legge un IPv6? Come posso realizzare una rete IPv6? Cosa sono NDP e SLAAC? Come ottenere IPv6? [[IPv6 @ GOLEM]]
|presentazione=https://golem.linux.it/cloud/index.php/s/pZcSHge3bBiQ37m
|documenti=
|video=https://video.linux.it/w/e6oYr4MasX9NDVtkJ6jCU3
|altro=
}}

{{OraDelGolem
|nome=8 gennaio: Deepen Meltdown
|autore=[[Utente:Raistlin]]
|immagine=Meltdown-spectre-logo.png
|dimensione_img=
|descrizione=Aggiornamenti sui bug che hanno recentemente afflitto le CPU
|presentazione=
|documenti=
|video=
|altro=
}}

== 2018 ==

{{OraDelGolem
|nome=16 Ottobre: NextCloud
|autore=Mattia & Carmelo
|immagine=Nextcloud-logo.png
|dimensione_img=150px
|descrizione=Cos'è un sistema di clouding. Cloud commerciale vs. Nextcloud. Come configurare un cloud casalingo su PC o Raspberry.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 Ottobre: Python & grafici
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Approfondimento sulle librerie <code>MatPlotLib</code> e <code>NumPy</code>: creare e abbellire grafici, tracciare funzioni, importare e visualizzare dati da CSV, grafici professionali in LaTeX. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/wteTWdnflCwWOXa/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20181002-giuliof-python-grafici.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Settembre: PC4Beginners
|autore=jacopo
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva all'informatica: cenni storici sul computer, cos'è l'hardware, cos'è il software, quali sono i componenti di un PC.
|presentazione=https://golem.linux.it/cloud/index.php/s/HoTfB2ilOWHl1Aq/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180918-jacopo-PC4Beginners.mp4
|altro=
}}

{{OraDelGolem
|nome=3 Luglio: Python 303
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Avanziamo di livello e parliamo di: liste, dizionari, lettura/scrittura su file, accenno alle librerie e confronto Python2 vs Python3. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/2gbp1UpORawCUkF/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180703-giuliof-python303.mp4
|altro=
}}

{{OraDelGolem
|nome=19 Giugno: Python 101 x2
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esercizi con ''if...else'', funzioni, cicli ''while'' e ''for'', stringhe e operazioni su stringhe. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/Qq99P5gwkno7H1q/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180619-giuliof-python101x2.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Giugno: Technical deep dive: Meltdown + Spectre
|autore=Dario
|immagine=Meltdown-spectre-logo.png
|dimensione_img=250px
|descrizione=Da una panoramica sull'architettura e sul funzionamento dei processori moderni (architettura superscalare, memorie cache, TLB, memoria virtuale) arriviamo a capire come queste vulnerabilità scoperte di recente denominate ''Meltdown'' e ''Spectre'' (maggiori [https://meltdownattack.com info]) potrebbero mettere a rischio la sicurezza dell'utente.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180612-Meltdown-Spectre-Dario.mp4
|altro= concetti introduttivi ([https://en.wikipedia.org/wiki/Virtual_address_space Virtual Memory],
[https://wiki.osdev.org/Memory_management gestione della memoria],
esecuzione speculativa [https://en.wikipedia.org/wiki/Speculative_execution] [https://en.wikipedia.org/wiki/Branch_predictor],
[https://en.wikipedia.org/wiki/Instruction_pipelining pipeline],
[https://en.wikipedia.org/wiki/Tomasulo_algorithm algoritmo di Tomasulo],
memoria cache [https://en.wikipedia.org/wiki/CPU_cache] [https://www.extremetech.com/extreme/188776-how-l1-and-l2-cpu-caches-work-and-why-theyre-an-essential-part-of-modern-chips],
[https://en.wikipedia.org/wiki/Translation_lookaside_buffer TLB],
[https://en.wikipedia.org/wiki/Side-channel_attack side channel attack])
<br/>
esempi di codice che sfrutta le vulnerabilità ([https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/], [https://medium.com/@mattklein123/meltdown-spectre-explained-6bc8634cc0c2])
}}

{{OraDelGolem
|nome=5 Giugno: Buildroot: distrubuzione personalizzata
|autore=$pookyh
|immagine=Logog-b.png
|dimensione_img=80px
|descrizione=[https://buildroot.org Buildroot] è un tool che permette di generare una distribuzione Linux essenziale cucita su misura per le proprie esigenze.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180605-spooky-buildroot.mp4
|altro=
}}

{{OraDelGolem
|nome=22 Maggio: Python - introduzione e basi
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esempi applicativi, installazione, variabili, istruzioni di stampa a schermo, blocchi condizionali. (Il video è parziale'''!''')
|presentazione=https://golem.linux.it/cloud/index.php/s/IroTEn8ZJhXTaGg/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180519-GiulioF-Python101x1.mp4
|altro=
}}

=== 17 Aprile: R: software di analisi statistica ===
Basi sul linguaggio di programmazione R, applicazioni alla statistica ed esempi.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/mY2GIXC1dIZPKpu Scarica] files (script utilizzati, lista comandi...) e presentazioni della serata.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180417-R-Frascati-Giorgetti.mp4 Guarda] o scarica il video della serata!

=== 10 Aprile: Bash e scripting ===
Panoramica sui comandi utili e basi di scripting per automatizzare le attività.

Consulta il prontuario sulla [[Linea_di_comando | linea di comando]].

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180410-Bash-Giomba.mp4 Guarda] o scarica il video della serata!

''by Giomba''

=== 23 Gennaio: Sviluppo di un'app per Android ===
Uno sguardo d'insieme sulla realizzazione di applicazioni per il proprio smartphone con [https://developer.android.com/studio/index.html AndroidStudio], iniziando con alcuni esempi.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/pGoCGHZKpo7C04f/download Presentazione] della serata.

''by Omid''

=== 16 Gennaio: Impariamo KiCad ===
Come utilizzare il software [http://kicad-pcb.org KiCad] per il disegno di schemi e la realizzazione di circuiti stampati.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/HLl9ZxreCLQUCH8 Scarica] i file prodotti durante la serata.

''by Stefano''

== 2017 ==
=== 12 Dicembre: Arduino avr-gcc ===
Programmazione a "basso livello" in C della scheda Arduino, bypassando l'IDE, per sfruttare a pieno le risorse del microcontrollore.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171212-AVRgcc-Giulio.mp4 Guarda] o scarica il video della serata!

''by [[Utente:Giulio | Giulio]]''

=== 21 Novembre: Git ===
Un sistema di versionamento alla portata di tutti: come gestire i propri progetti al computer, tenere traccia dello sviluppo e apportare modifiche senza rischiare di danneggiare il lavoro precedente. Consulta il nostro [[Git | prontuario]] di riferimento.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/VL27wucLMsbCEDP Presentazione] della serata

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171121-Git-Lucam.mp4 Video] della serata

''by [[Utente:Lucam | Lucam]]''

=== 7 Novembre: Arduino e Wireless ===
Domotica: come integrare il proprio progetto di elettronica con Arduino con la rete WiFi di casa.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/fp7PgxzcdLRmKlx Presentazioni] della serata.

''by [[Utente:Giulio | Giulio]]''

=== 17 ottobre: Introduzione a Wordpress ===
Procedure base e consigli per costruire un semplice sito dinamico con Wordpress.

''by Pinpas''

=== 3 Ottobre: Sviluppo HTML+CSS ===
I rudimenti per scrivere un sito statico.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/uIz3QwcymtgTeNN Scarica] i file della serata!

''by Francesco''

=== 19 Settembre: Installazione Wordpress ===
Serata pratica di gruppo sull'installazione del CMS [[Wordpress]] e in generale di un applicativo web su piattaforma LAMP.

''by [[Utente:giomba | giomba]]''

=== 5 Settembre: Il Terminale Unix/Linux ===
Introduzione ai concetti e ai comandi più utilizzati per gestire il sistema da terminale. Consulta il nostro How-To sul [[Linea_di_comando | terminale]].

''by [[Utente:giomba | giomba]]''

[[Category:Officina]]

Ore del GOLEM

2025-11-28T17:55:31Z

Giomba: Aggiornato elenco serate a tema

{{Note
|type=info
|text=Questa pagina raccoglie gli interventi passati. Se stai cercando gli eventi futuri, consulta il [https://blog.golem.linux.it/calendario calendario], o dai un'occhiata a [[Progetti]].
}}

L'Ora del GOLEM è una serata a tema in cui si discute, più o meno formalmente, su qualunque cosa riguardi l'open source, dagli argomenti strettamente tecnici e pratici, alla "consapevolizzazione" e alla valutazione dell'uso dei vari strumenti. A volte i soci più smanettoni preparano delle piccole presentazioni su qualche nuova tecnologia, o qualche tema interessante; altre volte ci si arricchisce facendo brainstorming tutti insieme e si impara a utilizzarla. Spesso, le discussioni di queste serate, vengono tradotte in dei veri e propri [[Howto | how-to]].

Qui puoi trovare tutte le serate passate (in ordine cronologico inverso), con riferimenti a materiale e/o guide prodotte.
Alcune serate sono anche state [https://video.linux.it/c/golem_channel/videos registrate].

== 2025 ==

{{OraDelGolem
|nome=25 novembre: La posta del FLUG
|autore=FLUG
|immagine=Opensmtpd.jpeg
|dimensione_img=80px
|descrizione=Incontro motivazionale su come il gruppo GNU/Linux di Firenze si è dotato del proprio server di posta elettronica e non solo. Oltre alla configurazione dei programmi che collaborano all'invio e alla ricezione dei messaggi, si terrà una breve ed emozionante divagazione pratica sull'utilizzo del server in generale, sulla sua manutenzione, ma soprattutto sulle sue umili origini.
|presentazione=https://firenze.linux.it/~leandro/PresentazioneServerone.html
|documenti=
|video=
|altro=https://lists.linux.it/pipermail/golem/2025-November/015509.html
}}

{{OraDelGolem
|nome=4 novembre: Docker... questo sconosciuto!
|autore=Diego La Monica
|immagine=docker.png
|dimensione_img=80px
|descrizione=docker, dockerfile, docker compose, container, service e tutti quei termini usati un po' a caso, tanto perchè fa figo... Ci confronteremo su alcune piccole chicche per gestire al meglio (e in sicurezza) i propri ambienti basati su Docker
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=17 giugno: Da zero a packager Fedora!
|autore=luigix25
|immagine=fedora.png
|dimensione_img=80px
|descrizione=Durante la serata verra' illustrato l'intero processo che va dalla scrittura di uno specfile, alla creazione del pacchetto rpm alla pubblicazione nei repository ufficiali di Fedora
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=10 giugno: Le avventure di un pachettizzatore su Debian
|autore=matteobin
|immagine=debian.png
|dimensione_img=
|descrizione=Pacchettizzare è il modo più semplice per contribuire al progetto Debian diventandone parte attiva. Inoltre è un ottimo esercizio per ampliare le conoscenze informatiche e sistemistiche, che aiuta a comprendere le difficoltà della distribuzione di software. Pacchettizzando si diventa esperti di sistemi di compilazione e di aggiornamento, proprio malgrado! Anche in questo ambito il software libero si rivela la scelta migliore non solo per motivi etici, pure per quanto riguarda l'avanguardia, la qualità e l'affidabilità dei sistemi utilizzati. Tuttavia la sfida maggiore nella pacchettizzazione risiede nella coordinazione delle parti in causa. Per questo una parte della serata sarà dedicata al processo per diventare un manutentore di Debian e ai suggerimenti per collaborare con efficacia con gli altri.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=27 maggio: git --help
|autore=Utente::Lucam
|immagine=git.png
|dimensione_img=
|descrizione=git per tutti: una panoramica su comandi e opzioni di cui non sapevi di aver bisogno. Dalla "porcellana" per gestire documentazione alle "tubature" per riscrivere la storia
|presentazione=
|documenti=
|video=
|altro=https://wiki.golem.linux.it/Git
}}

{{OraDelGolem
|nome=13 maggio: Fediverso e Livello Segreto, una palestra di libertà digitale
|autore=Fabio Kenobit
|immagine=fediverso.png
|dimensione_img=
|descrizione=Una chiacchierata con Kenobit, uno dei fondatori di Livello Segreto, un'istanza Mastodon, sulle potenzialità del Fediverso e delle piattaforme libere, in ottica di libertà e resistenza digitale.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 aprile: Tor - The onion services
|autore=Leandro
|immagine=tor.png
|dimensione_img=
|descrizione=La rete tor è un sistema valido per aggirare la censura e l'intercettazione in rete ma soffre di una debolezza nei nodi di uscita che sono il punto più delicato ed esposto tecnicamente e legalmente. La soluzione che elimina questa debolezza sono gli "onion service", servizi raggiungibili solo all'interno della rete tor per collegarsi ai quali non è necessario conoscere l'indirizzo IP e il dominio del server che li ospita né avere chiavi di cifratura della connessione perché tutto questo viene provvisto dal protocollo: l'anonimato sarà garantito per chi utilizza il servizio ma anche per chi lo rende disponibile. Per fare questo è necessario un cambio di paradigma perché, a differenza dell'uso di tor "normale" nel quale il servizio da raggiungere può anche non avere alcuna contezza del fatto di essere raggiunto via tor, un onion service deve essere configurato in precedenza da chi amministra il servizio stesso. In questa presentazione, dopo una breve descrizione del protocollo, proveremo a configurare un onion service spiegando i vari passi.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=8 aprile: Self hosting: un approccio pratico
|autore=Giacomo Bagnoli
|immagine=systemd.png
|dimensione_img=
|descrizione=In questa serata esploreremo il tema del self-hosting, ovvero quali alternative esistono all'uso dei tradizionali servizi cloud. Data la complessità dell'argomento, ci concentreremo su un approccio pratico, valutando con attenzione il compromesso tra usabilità, privacy, sicurezza e convenienza. Parleremo di podman, quadlets, containers, btrfs, vpn, come gestire l'autenticazione e i certificati, e molto altro.
|presentazione=https://github.com/gbagnoli/self_hosting_slides/releases/tag/final
|documenti=
|video=
|altro=https://lists.linux.it/pipermail/golem/2025-April/015380.html
}}

{{OraDelGolem
|nome=18 febbraio: Radiocaccia, scopriamo cos'è
|autore=Paolo IZ5PHM
|immagine=radiocaccia.png
|dimensione_img=
|descrizione=Nota anche come Radio Direction Finding, è una competizione che ha lo scopo di riuscire a localizzare, nel minor tempo possibile, dei trasmettitori radio nascosti. L'attività è volta a incentivare l’autocostruzione di apparecchiature radio, l’apprendimento alla rilevazione di segnali radio e della loro direzione di provenienza e le basi di topografia. La serata approfondirà alcuni di questi aspetti ed includerà una prova pratica.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 febbraio: Come funziona una radio?
|autore=Pierluigi IK5GQF
|immagine=
|dimensione_img=
|descrizione=Serata a metà fra storia e tecnica in cui verrà presentata la storia della radioricezione, a partire dai primi circuiti analogici per arrivare alle moderne SDR (Software Defined Radio)
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=14 gennaio: Introduzione a Laravel
|autore=Simone
|immagine=laravel.png
|dimensione_img=
|descrizione=Partiremo da un progetto vuoto e vedremo le principali soluzioni proposte dal framwork per sviluppare una web app.
|presentazione=
|documenti=
|video=
|altro=
}}

== 2024 ==

{{OraDelGolem
|nome=17 dicembre: Liberiamo il BIOS con coreboot
|autore=aggro
|immagine=
|dimensione_img=80px
|descrizione=In questa serata parleremo di coreboot, il bios libero. Faremo una chiacchierata in cui si parlerà di cos'è, su che macchine si può usare e quali sono i benefici. Mezzi permettendo, alla chiacchierata seguirà una fase pratica in cui flasheremo coreboot sul Thinkpad X230 del relatore. A cura di Alessandro, LUG di Prato
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 dicembre: IPv6 @ FLUG
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=80px
|descrizione=Internet è una rete di reti a cui sono connessi miliardi di dispositivi, dai nostri computer, ai nostri smartphone, a tutti quei server e router che permettono all'infrastruttura di funzionare, per non parlare di tutti i dispositivi di domotica e IoT che ormai pervadono le nostre vite. Tuttavia, in origine, erano stati previsti solo 4 miliardi di indirizzi (IPv4): com'è possibile dunque continuare a estendere la rete se gli indirizzi sono finiti? Quali trucchi vengono impiegati, e quali svantaggi ci sono nel perpetuare l'uso di un protocollo che ormai ha fatto il suo tempo? Ospitare un servizio in autonomia, un sito, può diventare appannaggio dei pochi che possono ancora permettersi di accedere a indirizzi IPv4? IPv6 è la soluzione e la sua promozione necessaria, sebbene in Italia sia ancora poco diffuso: in questa serata impareremo a conoscere IPv6, capiremo le differenze con IPv4, e valuteremo, in tempo reale, come potrebbe essere utilizzato al FLUG.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 ottobre: Come gestire nodi TOR dalla tua cantina
|autore=[https://osservatorionessuno.org/ Osservatorio Nessuno]
|immagine=
|dimensione_img=80px
|descrizione=Gestire nodi TOR può essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.
A cura dell'Osservatorio Nessuno
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 giugno: Introduzione al mondo open source: consigli e strumenti per nuovi contributori
|autore=luigix25
|immagine=
|dimensione_img=80px
|descrizione=Contribuire a grandi progetti open-source può sembrare un'impresa ardua. Durante la serata esploreremo il funzionamento dello sviluppo in progetti di rilievo come Linux. Ci concentreremo su come avvicinarsi a questo mondo e sugli strumenti essenziali per iniziare.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 giugno: Il Processo di compilazione
|autore=Simone Guercini
|immagine=
|dimensione_img=80px
|descrizione=Durante la serata approfondiremo il processo di compilazione di un programma C++ tramite gcc, analizzando gli step che intercorrono tra il codice sorgente ed il file eseguibile. Sono compresi cenni alla struttura di un programma C++, una introduzione al linguaggio assembly x86_64 e numerosi esempi
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=9 aprile: Irrigazione domotica fai-da-te
|autore=Mario Alinari
|immagine=
|dimensione_img=80px
|descrizione=In casa ho un piccolo terrazzo che ho rallegrato con un po’ di fiori. Da qui l’idea di un sistema di irrigazione che annaffiasse le piante al posto mio. Avrei potuto acquistare qualcosa di già fatto? Sicuramente si ma mi sarei perso tutto il divertimento. Non rimaneva altro che realizzarlo home made.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 aprile: R Project
|autore=Fabio Frascati
|immagine=
|dimensione_img=80px
|descrizione=Una serata di formazione sull'utilizzo del software statistico R per i dati qualitativi. In altre parole la gestione di dati categorici (non numerici) semplice ed intuitiva. Vengono illustrati gli oggetti R ad hoc per un supporto migliore del comune vettore di stringhe. Semplici esempi completeranno la sintetica parte teorica. Nessuna esperienza precedente in R o in programmazione è necessaria.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=12 marzo: Documentare il Sanco 8003: un'avventura inaspettata
|autore=[[Utente:giulio]] [[Utente:giomba]]
|immagine=Sanco8003.jpeg
|dimensione_img=80px
|descrizione=In questa serata, a metà fra il vintage ed il moderno, racconteremo la storia del reverse engineering di un computer di inizio anni '80: il Sanco 8003. Utilizzando software ed hardware libero, si parlerà di come approcciarsi ad una scheda sconosciuta per ricavarne il relativo schema; come si possono interpretare i segreti celati all'interno delle EPROM; come disassemblare un intricato codici per Z80 e modificarlo a piacimento per creare un bootloader personalizzato; ed infine, come sfruttare tutte queste scoperte per realizzare un emulatore dedicato a questa misteriosa macchina!
|presentazione=https://cloud.golem.linux.it/s/pGdCgrdATtQc87E
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 marzo: Semplificare il controllo degli accessi su Linux con Systems Manager
|autore=Francesco Provino
|immagine=
|dimensione_img=
|descrizione=Come accedere a macchine Linux in cloud e on-premise (nonché qualsiasi altra risorsa) senza usare chiavi SSH o esponendo porte di rete, utilizzando AWS Systems Manager.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=6 febbraio: Introduzione a XMPP
|autore=Matteo Bini
|immagine=
|dimensione_img=
|descrizione=XMPP è un protocollo che permette di scambiarsi messaggi proprio come WhatsApp, con tanto di chiamate audio e video e invio di allegati. Durante l’intervento sarà presentata una breve panoramica sulla struttura del protocollo in questione, oltre all'illustrazione dei vari programmi disponibili per utilizzarlo e per offrire tale servizio.
|presentazione=
|documenti=http://choice.tiepi.it/~matteobin/scritti/presentazione-di-xmpp.html
|video=
|altro=
}}

{{OraDelGolem
|nome=9 gennaio: virtio e vsock: comunicazione tra host e VM
|autore=Stefano Garzarella e Luigi Leonardi
|immagine=
|dimensione_img=
|descrizione=virtio è uno standard per la comunicazione fra host e macchine virtuali: saranno presentati la sua specifica, come funziona, e alcuni casi d'uso. In particolare ci focalizzaremo su vsock, una famiglia di socket per la comunicazione fra host e guest.
|presentazione=https://cloud.golem.linux.it/s/s2t24maeGfqiSzY
|documenti=
|video=
|altro=
}}

== 2023 ==

{{OraDelGolem
|nome=5 dicembre: Minigiochi al cubo
|autore=Zughy
|immagine=
|dimensione_img=
|descrizione=Mai pensato di voler sviluppare un videogioco? Detto fatto! Da anni i server minigiochi spopolano su Minecraft, facendo divertire milioni di persone. Usando il motore di gioco libero Minetest e una piccola libreria, imparerai a creare quelle avventure tanto anelate, arrivando ad avere il tuo piccolo titolo a fine laboratorio. Consigliato per tutte le età!
|presentazione=
|documenti=
|video=https://video.linux.it/w/3DtztwVqPLf2CwvnWnK8d7
|altro=
}}

{{OraDelGolem
|nome=7 marzo: Introduzione a Proxmox
|autore=Thomas Buonanno
|immagine=logo-proxmox.png
|dimensione_img=
|descrizione=Proxmox VE è una distribuzione debian-based per la gestione di macchine virtuali e container, che include anche un sistema di backup, per la gestione di file system distribuiti e per la migrazione rapida dei servizi. Durante questa serata sarà presentato il progetto e ne saranno mostrate alcune applicazioni pratiche.
|presentazione=https://cloud.golem.linux.it/s/KfiDYeczEop5WEo
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=7 febbraio: Le alternative al foglio di calcolo nella gestione ed analisi dei propri dati
|autore=Fabio Frascati
|immagine=
|dimensione_img=
|descrizione=Perché è così comune usare il foglio di calcolo nella gestione dei propri dati? È sempre la soluzione migliore? Esistono valide alternative gratuite ed open source per compiti specifici e spesso noiosi? Vediamo insieme alcuni semplici esempi in Libreoffice Calc ed R.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=3 Gennaio: Haskell
|autore=Mariano
|immagine=
|dimensione_img=
|descrizione=Serata di introduzione ad Haskell ed ai linguaggi funzionali
|presentazione=https://cloud.golem.linux.it/s/QDFGaYDfS7c6stP
|documenti=
|video=
|altro=
}}

== 2021 ==
{{OraDelGolem
|nome=29 giugno: dotfiles - Gestione ragionata dei files di configurazione
|autore=[[Utente:Gbiotti]]
|immagine=
|dimensione_img=
|descrizione=Serata sulla gestione con versioning dei dotfiles di Linux
|presentazione=
|documenti=
|video=
|altro=[https://git.golem.linux.it/gbiotti/sdf_appunti Appunti della serata]
}}

{{OraDelGolem
|nome=16 marzo: Blockchain - Il Free Software incontra la finanza
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva e divulgativa sulle blockchain: cosa sono e perché sono importanti per la comunità del software libero.
|presentazione=
|documenti=
|video=
|altro=in caricamento
}}

{{OraDelGolem
|nome=9 marzo: Due chiacchiere su buffer overflow
|autore=luigix25
|immagine=Stack-example.png
|dimensione_img=
|descrizione=Due chiacchiere informali sui buffer overflow e sulle tecniche di mitigrazione.
|presentazione=https://cloud.golem.linux.it/s/WkWf7XiNPPn7mqn
|documenti=
|video=https://video.linux.it/w/8PG9X1PojpoVbeM5JtYLFn
|altro=
}}

{{OraDelGolem
|nome=27 gennaio: Programmare Arduino like a pro
|autore=[[Utente:Giulio]]
|immagine=Arduino-board.jpg
|dimensione_img=
|descrizione=L'ecosistema Arduino consente di sviluppare semplici applicazioni in modo rapido e con conoscenze di programmazione non necessariamente approfondite. Ormai, volenti o nolenti tutti abbiamo una scheda Arduino in casa. Questo sarà il punto di partenza della serata, dove andremo a sviscerare come, partendo da uno sketch, si arrivi al codice macchina eseguito dal microcontrollore. Faremo la conoscenza dei varii strumenti della toolchain GCC: makefile, compilatori ed assemblatori, per comprendere meglio cosa avviene sotto il cofano dell'Arduino IDE e come sfruttarli per scrivere del codice "fuori dagli schemi".
|presentazione=https://golem.linux.it/cloud/index.php/s/5M2SisqZmJ7PQXM
|documenti=
|video=https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte1.mp4
|altro=[https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte2.mp4 Video sessione di approfondimento sul multitasking] [https://video.linux.it/videos/watch/f654157f-a4b6-4ebb-aaee-932b04bda1af Mirror1] [https://video.linux.it/videos/watch/e63d744f-2444-41c5-b852-fa79cedefde1 Mirror2]
}}

{{OraDelGolem
|nome=20 gennaio: Lineage OS: come installarla e... perché
|autore=Filippo Micheletti, [[Utente:Giomba]], Marco Castrovilli ([http://www.restartersfirenze.it/ Restarters Firenze])
|immagine=
|dimensione_img=
|descrizione=Tutti hanno uno smartphone, ma pochi sono coscienti del livello di pervasività che questo dispositivo ha nelle nostre vite, e sulla mancanza di controllo che abbiamo sui dati personali che lo attraversano. Conoscere come funziona è indispensabile per fare scelte consapevoli sull’uso che ne facciamo, e scoprire sistemi operativi e applicazioni alternative è uno dei primi passi per riprendere il controllo sui questi dati. Durante la serata, ci domanderemo perché usare LineageOS, quali programmi e applicazioni libere e rispettose possiamo usare, in alternativa ai soliti noti, come si installa questo sistema su uno smartphone, quali sono difficoltà, problemi e possibili rinunce che possiamo incontrare.
|presentazione=https://golem.linux.it/cloud/index.php/s/39dTAZxdpWfzHSp
|documenti=https://golem.linux.it/cloud/index.php/s/E9ZCm9fjFnq7egG
|video=https://video.linux.it/w/wSw212j2di8pM38E4g4DZY
|altro=
}}

== 2020 ==

{{OraDelGolem
|nome=7 ottobre: Linux per radioamatori
|autore=[[Utente:Giulio]] [[Utente:Lucam]]
|immagine=Tux-radio.png
|dimensione_img=
|descrizione=Introduzione a Linux e alle sue applicazioni in ambito radioamatoriale. Quali sono i programmi per fare radio su Linux? Come posso attivare un nodo webSDR?
|presentazione=https://golem.linux.it/cloud/index.php/s/8fLXfdwMwEpxxCq
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20201007-iu5mo-linuxradio.mp4
|altro=
}}

{{OraDelGolem
|nome=7 luglio: Flatcam
|autore=[[Utente:Glomant]]
|immagine=Flatcam.png
|dimensione_img=
|descrizione=Flatcam è un software che, a partire da file gerber o gcode, permette di passare all’incisione e all’intaglio vero e proprio del circuito tramite una macchina a controllo numerico. Al termine della serata, il prodotto potrà essere inciso tramite una CNC, come quella che abbiamo in officina, come vedremo nella serata successiva.
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/RZZEfzF8f7C7CMA
|video=https://golem.linux.it/pubblici/OreDelGolem/20200708-glomant-flatcam.mp4
|altro=
}}

{{OraDelGolem
|nome=30 giugno: KiCAD 2/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Seconda serata sull'uso del software di disegno circuiti stampati: disegnato lo schema sarà necessario realizzare il layout, la controparte digitale del circuito stampato. Al termine della serata, il prodotto potrà essere mandato in stampa presso aziende specializzate tramite processi industriali, oppure potrà essere utilizzato la serata seguente. Saranno approfondite alcune funzioni supplementari di KiCAD, come la gestione della lista componenti e delle librerie.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200630-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=23 giugno: Scrivere un emulatore per il Commodore 64
|autore=luigix25
|immagine=c64-startup-screen.jpg
|dimensione_img=
|descrizione=
|presentazione=
|documenti=
|video=https://video.linux.it/w/qVJ5C78WVkJrDvDyBC57sf
|altro=
}}

{{OraDelGolem
|nome=16 giugno: KiCAD 1/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Prima serata sull'uso del software di disegno circuiti stampati: Si tratta di un software opensource di Electronic Design Automation, ossia di progettazione assistita al computer per circuiti elettronici. KiCAD permette di progettare ogni fase della realizzazione del circuito, dalla sua prima bozza, alla scelta e al posizionamento dei componenti, allo sbroglio delle piste, alla produzione dei file per lo stampaggio vero e proprio. In questo primo incontro si vedrà perché e come disegnare uno schema elettronico al computer, come importare i componenti, come associare i simboli grafici agli oggetti fisici.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200616-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=26 maggio: Indipendenza Digitale?
|autore=[[Utente:Giomba]]
|immagine=
|dimensione_img=
|descrizione=Guida pratica per riappropriarsi della propria indipendenza e identità digitale. Quali compromessi possiamo fare nell'uso del software sul nostro computer e sul nostro smartphone?
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/WMDixxEjNtEadAj
|video=
|altro=
}}

{{OraDelGolem
|nome=12 maggio: Due parole su LaTeX
|autore=[[Utente:Giulio]]
|immagine=
|dimensione_img=
|descrizione=Introduzione al software di impaginazione LaTeX
|presentazione=
|documenti=
|video=
|altro=''Presentazione in caricamento''
}}

{{OraDelGolem
|nome=14 aprile: Riconoscimento oggetti con OpenCV
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=
|presentazione=https://golem.linux.it/cloud/index.php/s/E9FxLxM5AEopZyJ
|documenti=
|video=
|altro=
}}

== 2019 ==

{{OraDelGolem
|nome=19 febbraio: 128 bit di IPv6
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=
|descrizione=Cos’è un indirizzo di rete? IPv4 vs IPv6. Perché IPv6? Come si legge un IPv6? Come posso realizzare una rete IPv6? Cosa sono NDP e SLAAC? Come ottenere IPv6? [[IPv6 @ GOLEM]]
|presentazione=https://golem.linux.it/cloud/index.php/s/pZcSHge3bBiQ37m
|documenti=
|video=https://video.linux.it/w/e6oYr4MasX9NDVtkJ6jCU3
|altro=
}}

{{OraDelGolem
|nome=8 gennaio: Deepen Meltdown
|autore=[[Utente:Raistlin]]
|immagine=Meltdown-spectre-logo.png
|dimensione_img=
|descrizione=Aggiornamenti sui bug che hanno recentemente afflitto le CPU
|presentazione=
|documenti=
|video=
|altro=
}}

== 2018 ==

{{OraDelGolem
|nome=16 Ottobre: NextCloud
|autore=Mattia & Carmelo
|immagine=Nextcloud-logo.png
|dimensione_img=150px
|descrizione=Cos'è un sistema di clouding. Cloud commerciale vs. Nextcloud. Come configurare un cloud casalingo su PC o Raspberry.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 Ottobre: Python & grafici
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Approfondimento sulle librerie <code>MatPlotLib</code> e <code>NumPy</code>: creare e abbellire grafici, tracciare funzioni, importare e visualizzare dati da CSV, grafici professionali in LaTeX. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/wteTWdnflCwWOXa/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20181002-giuliof-python-grafici.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Settembre: PC4Beginners
|autore=jacopo
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva all'informatica: cenni storici sul computer, cos'è l'hardware, cos'è il software, quali sono i componenti di un PC.
|presentazione=https://golem.linux.it/cloud/index.php/s/HoTfB2ilOWHl1Aq/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180918-jacopo-PC4Beginners.mp4
|altro=
}}

{{OraDelGolem
|nome=3 Luglio: Python 303
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Avanziamo di livello e parliamo di: liste, dizionari, lettura/scrittura su file, accenno alle librerie e confronto Python2 vs Python3. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/2gbp1UpORawCUkF/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180703-giuliof-python303.mp4
|altro=
}}

{{OraDelGolem
|nome=19 Giugno: Python 101 x2
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esercizi con ''if...else'', funzioni, cicli ''while'' e ''for'', stringhe e operazioni su stringhe. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/Qq99P5gwkno7H1q/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180619-giuliof-python101x2.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Giugno: Technical deep dive: Meltdown + Spectre
|autore=Dario
|immagine=Meltdown-spectre-logo.png
|dimensione_img=250px
|descrizione=Da una panoramica sull'architettura e sul funzionamento dei processori moderni (architettura superscalare, memorie cache, TLB, memoria virtuale) arriviamo a capire come queste vulnerabilità scoperte di recente denominate ''Meltdown'' e ''Spectre'' (maggiori [https://meltdownattack.com info]) potrebbero mettere a rischio la sicurezza dell'utente.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180612-Meltdown-Spectre-Dario.mp4
|altro= concetti introduttivi ([https://en.wikipedia.org/wiki/Virtual_address_space Virtual Memory],
[https://wiki.osdev.org/Memory_management gestione della memoria],
esecuzione speculativa [https://en.wikipedia.org/wiki/Speculative_execution] [https://en.wikipedia.org/wiki/Branch_predictor],
[https://en.wikipedia.org/wiki/Instruction_pipelining pipeline],
[https://en.wikipedia.org/wiki/Tomasulo_algorithm algoritmo di Tomasulo],
memoria cache [https://en.wikipedia.org/wiki/CPU_cache] [https://www.extremetech.com/extreme/188776-how-l1-and-l2-cpu-caches-work-and-why-theyre-an-essential-part-of-modern-chips],
[https://en.wikipedia.org/wiki/Translation_lookaside_buffer TLB],
[https://en.wikipedia.org/wiki/Side-channel_attack side channel attack])
<br/>
esempi di codice che sfrutta le vulnerabilità ([https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/], [https://medium.com/@mattklein123/meltdown-spectre-explained-6bc8634cc0c2])
}}

{{OraDelGolem
|nome=5 Giugno: Buildroot: distrubuzione personalizzata
|autore=$pookyh
|immagine=Logog-b.png
|dimensione_img=80px
|descrizione=[https://buildroot.org Buildroot] è un tool che permette di generare una distribuzione Linux essenziale cucita su misura per le proprie esigenze.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180605-spooky-buildroot.mp4
|altro=
}}

{{OraDelGolem
|nome=22 Maggio: Python - introduzione e basi
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esempi applicativi, installazione, variabili, istruzioni di stampa a schermo, blocchi condizionali. (Il video è parziale'''!''')
|presentazione=https://golem.linux.it/cloud/index.php/s/IroTEn8ZJhXTaGg/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180519-GiulioF-Python101x1.mp4
|altro=
}}

=== 17 Aprile: R: software di analisi statistica ===
Basi sul linguaggio di programmazione R, applicazioni alla statistica ed esempi.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/mY2GIXC1dIZPKpu Scarica] files (script utilizzati, lista comandi...) e presentazioni della serata.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180417-R-Frascati-Giorgetti.mp4 Guarda] o scarica il video della serata!

=== 10 Aprile: Bash e scripting ===
Panoramica sui comandi utili e basi di scripting per automatizzare le attività.

Consulta il prontuario sulla [[Linea_di_comando | linea di comando]].

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180410-Bash-Giomba.mp4 Guarda] o scarica il video della serata!

''by Giomba''

=== 23 Gennaio: Sviluppo di un'app per Android ===
Uno sguardo d'insieme sulla realizzazione di applicazioni per il proprio smartphone con [https://developer.android.com/studio/index.html AndroidStudio], iniziando con alcuni esempi.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/pGoCGHZKpo7C04f/download Presentazione] della serata.

''by Omid''

=== 16 Gennaio: Impariamo KiCad ===
Come utilizzare il software [http://kicad-pcb.org KiCad] per il disegno di schemi e la realizzazione di circuiti stampati.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/HLl9ZxreCLQUCH8 Scarica] i file prodotti durante la serata.

''by Stefano''

== 2017 ==
=== 12 Dicembre: Arduino avr-gcc ===
Programmazione a "basso livello" in C della scheda Arduino, bypassando l'IDE, per sfruttare a pieno le risorse del microcontrollore.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171212-AVRgcc-Giulio.mp4 Guarda] o scarica il video della serata!

''by [[Utente:Giulio | Giulio]]''

=== 21 Novembre: Git ===
Un sistema di versionamento alla portata di tutti: come gestire i propri progetti al computer, tenere traccia dello sviluppo e apportare modifiche senza rischiare di danneggiare il lavoro precedente. Consulta il nostro [[Git | prontuario]] di riferimento.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/VL27wucLMsbCEDP Presentazione] della serata

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171121-Git-Lucam.mp4 Video] della serata

''by [[Utente:Lucam | Lucam]]''

=== 7 Novembre: Arduino e Wireless ===
Domotica: come integrare il proprio progetto di elettronica con Arduino con la rete WiFi di casa.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/fp7PgxzcdLRmKlx Presentazioni] della serata.

''by [[Utente:Giulio | Giulio]]''

=== 17 ottobre: Introduzione a Wordpress ===
Procedure base e consigli per costruire un semplice sito dinamico con Wordpress.

''by Pinpas''

=== 3 Ottobre: Sviluppo HTML+CSS ===
I rudimenti per scrivere un sito statico.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/uIz3QwcymtgTeNN Scarica] i file della serata!

''by Francesco''

=== 19 Settembre: Installazione Wordpress ===
Serata pratica di gruppo sull'installazione del CMS [[Wordpress]] e in generale di un applicativo web su piattaforma LAMP.

''by [[Utente:giomba | giomba]]''

=== 5 Settembre: Il Terminale Unix/Linux ===
Introduzione ai concetti e ai comandi più utilizzati per gestire il sistema da terminale. Consulta il nostro How-To sul [[Linea_di_comando | terminale]].

''by [[Utente:giomba | giomba]]''

[[Category:Officina]]

File:Laravel.png

2025-11-28T17:54:47Z

Giomba:

File:Radiocaccia.png

2025-11-28T17:52:14Z

Giomba:

File:Systemd.png

2025-11-28T17:46:32Z

Giomba:

File:Tor.png

2025-11-28T17:44:37Z

Giomba:

File:Fediverso.png

2025-11-28T17:41:31Z

Giomba:

File:Git.png

2025-11-28T17:39:02Z

Giomba:

File:Debian.png

2025-11-28T17:37:19Z

Giomba:

File:Fedora.png

2025-11-28T17:35:16Z

Giomba:

File:Docker.png

2025-11-28T17:31:45Z

Giomba:

File:Opensmtpd.jpeg

2025-11-28T17:28:55Z

Giomba:

Diventa socio

2025-11-19T21:35:37Z

Giomba: Aggiornata con informazioni per la donazione e quota 2026 (al momento invariata)

[[File:Cena-sociale-estate-2018.jpeg|right|400px]]

L'Associazione GOLEM si sostenta principalmente grazie al lavoro dei suoi volontari e alle quote associative.

Se vuoi sostenere le nostre attività, senza diventare socio, puoi fare una donazione libera, dell'importo che preferisci.

Se il GOLEM ti piace davvero tanto, condividi i suoi ideali e approvi lo [[Statuto del GOLEM | statuto]] associativo, allora puoi diventare socio!

Associarsi permette di:
* accedere all'Officina Informatica
* partecipare ai corsi organizzati in sede
* usufruire del materiale e della strumentazione presente
* sostenere la promozione del software libero nel territorio
* e molto altro ([[Chi siamo|Chi siamo?]])

== Per fare una donazione libera ==
Puoi fare una donazione libera:
* in contanti, direttamente al Tesoriere durante le serate in Officina
* tramite bonifico bancario, intestato a
GOLEM Gruppo Operativo Linux Empoli
presso Banca di Credito Cooperativo di Cambiano
IT08O0842538171000031246515
Causale: DONAZIONE
* tramite Paypal utilizzando il pulsante sottostante

'''Donazione libera'''
<html>
<form action="https://www.paypal.com/cgi-bin/webscr" method="post" target="_top">
<input type="hidden" name="cmd" value="_s-xclick">
<input type="hidden" name="hosted_button_id" value="6EGL9ABAKJ7M6">
<input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_donate_LG.gif" border="0" name="submit" alt="PayPal è il metodo rapido e sicuro per pagare e farsi pagare online.">
<img alt="" border="0" src="https://www.paypalobjects.com/it_IT/i/scr/pixel.gif" width="1" height="1">
</form>
</html>

== Per diventare socio ==
Per diventare socio o per rinnovare la tua iscrizione è necessario versare la quota associativa.

Nella causale del bonifico, o nel messaggio su Paypal, specificare chiaramente ''<nome> <cognome> <indirizzo email> <anno>''.
Esempio: ''Linus Torvalds torvalds@kernel.org 2026''

La quota associativa per l'anno 2026 è fissata a 20€ per la Tessera Ordinaria e a 10€ per la Tessera Junior (under 19).

La quota può essere versata:
* in contanti direttamente al Tesoriere durante le serate in Officina
* tramite bonifico bancario, intestato a:
GOLEM Gruppo Operativo Linux Empoli
presso Banca di Credito Cooperativo di Cambiano
IT08O0842538171000031246515
Causale: <NOME> <COGNOME> <EMAIL> <ANNO>
* tramite PayPal utilizzando i pulsanti sottostanti

'''Tessera Ordinaria'''
<html>
<form action="https://www.paypal.com/donate" method="post" target="_top">
<input type="hidden" name="hosted_button_id" value="CTYBDKVB2L6Q4" />
<input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_donate_LG.gif" border="0" name="submit" title="PayPal - The safer, easier way to pay online!" alt="Donate with PayPal button" />
<img alt="" border="0" src="https://www.paypal.com/it_IT/i/scr/pixel.gif" width="1" height="1" />
</form>
</html>

'''Tessera Junior'''
<html>
<form action="https://www.paypal.com/donate" method="post" target="_top">
<input type="hidden" name="hosted_button_id" value="MWPB8GW3SLTSQ" />
<input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_donate_LG.gif" border="0" name="submit" title="PayPal - The safer, easier way to pay online!" alt="Donate with PayPal button" />
<img alt="" border="0" src="https://www.paypal.com/it_IT/i/scr/pixel.gif" width="1" height="1" />
</form>
</html>

Servizi

2025-11-15T21:07:50Z

Giomba: Prove di visualizzazione per la tracciatura della qualità, non mi convince ancora del tutto

Questa pagina elenca i servizi del GOLEM, le macchine "fisiche" su cui sono installati, il loro stato di sviluppo, le porte su cui sono in ascolto quanto amore dovrebbe dedicarci il sysop, e quanto ce ne dedica davvero.

== Tracciamento di qualità ==
Le lettere con ¹ descrivono il livello di qualità che si vuole raggiungere, mentre le lettere con ² indicano se il livello di qualità è stato raggiunto.

Parametri di qualità:
* '''Disponibilità (D)''': Il servizio dovrebbe sempre essere disponibile?
** ''max'': massima disponibilità
** ''mid'': disponibilità intermedia
** ''min'': minima, best effort
* '''Aggiornamento (A)''': Il servizio deve essere regolarmente aggiornato?
** ''Y'': yes, il sysop deve fare il possibile per mantenerlo sempre aggiornato
** ''M'': maybe, il servizio non necessita particolare attenzione (es. pagina statica in HTML, pacchetto vanilla su Debian stabile da 30 anni, ...) (giustificare)
** ''N'': no, aggiornamento a priorità inferiore (giustificare)
* '''Deploy (E)''': Può essere fatto il deploy del servizio in modo automatico? La procedura è documentata? Es. rispetta le linee guida di [[ Sistemi informatici ]]?
** ''auto'': continuous deploy: c'è un meccanismo automatico, auto-documentante e standard per fare il deploy automatico, es. pipeline
** ''semi-auto'': c'è un'immagine docker, un docker-compose, un quadlet, o qualcosa di simile da lanciare a mano con relativamente poco sforzo, e che segue delle linee guida standard
** ''doc'': esiste della documentazione specifica per il deploy di questo servizio al GOLEM, es. una pagina sul wiki (inserire link), ma la procedura è manuale
** ''man'': l'ha fatto qualcuno a tempo perso di domenica pomeriggio e non è stato documentato, perciò speriamo che non si rompa
* '''Backup (B)''': Deve essere fatto un backup periodico automatico del servizio?
** ''Y'': yes
** ''N'': no (giustificare)



== Servizi ==
=== archivio ===
* '''Descrizione''': archivio di contenuti statici di grandi dimensioni (principalmente video)
* '''URL''': https://archivio.golem.linux.it/
* '''Macchina''': cassone
* '''Porta Container''': 7003 (http), 7005 (ssh)

{|class="wikitable"
!
! desiderato
! raggiunto?
! note
|-
! D
| mid
| style="background: lightgreen;" | sì
|
|-
! A
| mid
| style="background: lightgreen;" | sì
| utilizza l'immagine ''thttpd'' per i siti statici
|-
! E
| semi-auto
| style="background: lightgreen;" | sì
|
|-
! B
| sì
| style="background: lightgreen;" | sì
|
|}

=== bind9 ===
* '''Descrizione''': server DNS
* '''URL''': N/A
* '''Macchina''': atena
* '''Porta Container''': N/A

{|class="wikitable"
!
! desiderato
! raggiunto?
! note
|-
! D
| max
| style="background: lightgreen;" | yes
|
|-
! A
| mid
| style="background: lightgreen;" | yes
| utilizzato pacchetto Debian vanilla
|-
! E
| doc (repository)
| style="background: lightgreen;" | yes
|
|-
! B
| yes
| style="background: lightgreen;" | yes
| la configurazione è su repository git
|}

=== table ===
{|class="wikitable"
!Servizio
!Descrizione
!URL
!Macchina
!Porta
!D¹
!A¹
!E¹
!B¹
!D²
!A²
!E²
!B²
!Note
|-
| archivio
| archivio di contenuti statici di grandi dimensioni (principalmente video)
| [https://archivio.golem.linux.it/] <strike>[https://golem.linux.it/pubblici/]</strike>
| cassone
| 7003 (http), 7005 (ssh)
| mid
| maybe
| semi-auto
| yes
| style="background: lightgreen;" | ok
| style="background: lightgreen;" | ok
| style="background: lightgreen;" | ok
| style="background: lightgreen;" | ok
|
|-
| bind9
| Server DNS
|
| atena
|
|
|
|
|
|
|
|
|
|
|-
| cgi-python
| Script Python per il web
|
| atena
| 7090
|
|
|
|
|
|
|
|
|
|-
| CI/CD runner
| Runner per gitea
|
| ubuntu-lxc-runner
| client
|
|
|
|
|
|
|
|
|
|-
| dbgestionale
| database gestionale anagrafica soci e rinnovo tessere
| [https://git.golem.linux.it/golem/gestionale]
| atena
| 7004
|
|
|
|
|
|
|
|
|
|-
| digitalecivile
| progetto per la riduzione del digital divide
| [https://digitalecivile.golem.linux.it/]
| atena
| 7090
|
|
|
|
|
|
|
|
| Messo in un container in un momento di emergenza, va rivisto un po
|-
| [[ Gitea ]]
| Interfaccia web per git, self-hosted
| [https://git.golem.linux.it/]
| atena
| 3000 (http), 3022 (ssh)
|
|
|
|
|
|
|
|
|
|-
| mediawiki
| Il nostro wiki (questo che stai leggendo)
| [https://golem.linux.it/wiki]
| atena
| 7050
|
|
|
|
|
|
|
|
|
|-
| nextcloud
| Condivisione file e groupware (rubriche, calendari)
| [https://cloud.golem.linux.it/]
| atena
| 7080
|
|
|
|
|
|
|
|
|
|-
| tpdf
| Tellico parser, consultazione inventario della biblioteca
| [https://cgi.golem.linux.it/tpdf/] [https://golem.linux.it/cgi/tpdf/]
| vps
|
|
|
|
|
|
|
|
|
|
|-
| uptime-kuma
| Monitoraggio servizi
| [http://cassone.golem.linux.it:7030]
| cassone
| 7030
|
|
|
|
|
|
|
|
|
|-
| vpn
| La VPN per l'IPv6 e le macchine di Officina
| [[VPN del GOLEM|VPN]] [[IPv6 @ GOLEM|IPv6]]
| atena
|
|
|
|
|
|
|
|
|
|
|-
| websdr
| ascolto remoto delle radiofrequenze VHF/UHF libere
| [http://websdr.golem.linux.it/] [https://wiki.golem.linux.it/WebSDR]
| websdr
| 8073
|
|
|
|
|
|
|
|
|
|-
| wordpress
| Il nostro blog
| [https://golem.linux.it/wp]
| atena
| 7070
|
|
|
|
|
|
|
|
|
|-
| zerocalcare
| Parser CalDAV e visualizzatore calendario sul blog
| [https://git.golem.linux.it/golem/zerocalcare]
| vps
|
|
|
|
|
|
|
|
|
|
|}

== Bozze/Test/Idee ==
{|class="wikitable"
!Servizio
!Descrizione
!URL
!Macchina
!Porta
!Stato
!Note
|-
| server mail
| invio email per conto dei vari applicativi, relay tramite il nostro provider
|
|
|
| style="background: gray;" | idea
|
|}

[[Categoria:Sysop]]

Servizi

2025-11-14T17:54:30Z

Giomba: Aggiunto template per stato di qualità dettagliato servizi

Questa pagina elenca i servizi del GOLEM, le macchine "fisiche" su cui sono installati, il loro stato di sviluppo e le porte su cui sono in ascolto.
__NOTOC__
== Supporto ==
Stato approssimativo del supporto e dell'amore che gli viene dedicato
{|class="wikitable"
!Legenda
|-
| style="background: lightgreen;" | produzione
|-
| style="background: yellow;" | test
|-
| style="background: orange;" | -
|-
| style="background: gray;" | idea
|-
| style="background: violet;" | patch temporanea
|-
| style="background: red;" | guasto/offline
|}

== Tracciamento di qualità ==
*
{|class="wikitable"
! Disponibilità (D)
! Il servizio è disponibile e dovrebbe sempre funzionare?
|-
| style="background: lightgreen;" | ''max''
| massima disponibilità
|-
| style="background: yellow;" | ''inter''
| disponibilità intermedia
|-
| style="background: orange;" | ''min''
| minima, best effort
|}

{|class="wikitable"
! Aggiornamento (A)
| Il servizio viene regolarmente aggiornato? Deve essere regolarmente aggiornato?
|-
| style="background: lightgreen;" | ''sì''
| Il sysop fa il possibile per mantenerlo sempre aggiornato
|-
| style="background: yellow;" | ''nì''
| Il servizio non necessita particolare attenzione (es. pagina statica in HTML, pacchetto vanilla su Debian stabile da 30 anni, ...)
|-
| style="background: orange;" | ''no''
| Aggiornamento a priorità inferiore
|}

{|class="wikitable"
! Deploy (E)
| Può essere fatto il deploy del servizio in modo automatico? La procedura è documentata? Es. rispetta le linee guida di [[ Sistemi informatici ]]?
|-
| style="background: lightgreen;" | ''auto''
| continuous deploy: c'è un meccanismo automatico e standard per fare il deploy automatico, es. pipeline
|-
| style="background: yellow;" | ''semi-auto''
| c'è un'immagine docker, un docker-compose, un quadlet, o qualcosa di simile da lanciare a mano con relativamente poco sforzo
|-
| style="background: orange;" | ''doc''
| esiste della documentazione specifica per il deploy di questo servizio al GOLEM, es. una pagina sul wiki (inserire link)
|-
| style="background: red;" | ''man''
| l'ha fatto l'hackerino di turno durante il weekend, perciò speriamo che non si rompa
|}

{|class="wikitable"
! Backup (B)
! Il servizio viene backuppato regolarmente in modo automatico?
|-
| style="background: lightgreen;" | ''sì''
|-
| style="background: red;" | ''no''
|}

== Servizi ==
{|class="wikitable"
!Servizio
!Descrizione
!URL
!Macchina
!Porta
!Stato
!D
!A
!E
!B
!Note
|-
| archivio
| archivio di contenuti statici di grandi dimensioni (principalmente video)
| [https://archivio.golem.linux.it/] <strike>[https://golem.linux.it/pubblici/]</strike>
| cassone
| 7003 (http), 7005 (ssh)
| style="background: lightgreen;" | prod
| style="background: lightgreen;" | max
| style="background: yellow;" | nì
| style="background: yellow;" | semi-auto
| style="background: lightgreen;" | sì
|
|-
| bind9
| Server DNS
|
| atena
|
| style="background: lightgreen;" | prod
| style="background: lightgreen;" | max
| style="background: lightgreen;" | sì
| style="background: orange;" | doc
|
|
|-
| cgi-python
| Script Python per il web
|
| atena
| 7090
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| CI/CD runner
| Runner per gitea
|
| ubuntu-lxc-runner
| client
| style="background: yellow;" | test
|
|
|
|
|
|-
| dbgestionale
| database gestionale anagrafica soci e rinnovo tessere
| [https://git.golem.linux.it/golem/gestionale]
| atena
| 7004
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| digitalecivile
| progetto per la riduzione del digital divide
| [https://digitalecivile.golem.linux.it/]
| atena
| 7090
| style="background: violet;" | patch
|
|
|
|
| Messo in un container in un momento di emergenza, va rivisto un po
|-
| [[ Gitea ]]
| Interfaccia web per git, self-hosted
| [https://git.golem.linux.it/]
| atena
| 3000 (http), 3022 (ssh)
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| mediawiki
| Il nostro wiki (questo che stai leggendo)
| [https://golem.linux.it/wiki]
| atena
| 7050
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| nextcloud
| Condivisione file e groupware (rubriche, calendari)
| [https://cloud.golem.linux.it/]
| atena
| 7080
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| tpdf
| Tellico parser, consultazione inventario della biblioteca
| [https://cgi.golem.linux.it/tpdf/] [https://golem.linux.it/cgi/tpdf/]
| vps
|
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| uptime-kuma
| Monitoraggio servizi
| [http://cassone.golem.linux.it:7030]
| cassone
| 7030
| style="background: yellow;" | test
|
|
|
|
|
|-
| vpn
| La VPN per l'IPv6 e le macchine di Officina
| [[VPN del GOLEM|VPN]] [[IPv6 @ GOLEM|IPv6]]
| atena
|
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| websdr
| ascolto remoto delle radiofrequenze VHF/UHF libere
| [http://websdr.golem.linux.it/] [https://wiki.golem.linux.it/WebSDR]
| websdr
| 8073
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| wordpress
| Il nostro blog
| [https://golem.linux.it/wp]
| atena
| 7070
| style="background: lightgreen;" | prod
|
|
|
|
|
|-
| zerocalcare
| Parser CalDAV e visualizzatore calendario sul blog
| [https://git.golem.linux.it/golem/zerocalcare]
| vps
|
| style="background: lightgreen;" | prod
|
|
|
|
|
|}

== Bozze/Test/Idee ==
{|class="wikitable"
!Servizio
!Descrizione
!URL
!Macchina
!Porta
!Stato
!Note
|-
| server mail
| invio email per conto dei vari applicativi, relay tramite il nostro provider
|
|
|
| style="background: gray;" | idea
|
|}

[[Categoria:Sysop]]

Escursionismo

2025-10-01T10:06:20Z

Giomba:

Pagina per applicativi e piattaforme riguardanti l'escursionismo open source.

== Per smartphone ==
* [https://osmand.net/ OsmAnd~] è un'applicazione open source multipiattaforma per la navigazione con mappe offline caricate da Openstreetmap. Permette di pianificare percorsi in auto e a piedi, di salvare ed esportare preferiti, e seguire tracce GPX. Possibilità di scaricare anche le mappe con le curve di livello, mostrare l'altimetria del percorso e l'altitudine istantanea tramite GPS. Disponibile a pagamento con limitazioni sul numero di mappe scaricabili su Play Store, oppure tramite F-Droid.
* [https://github.com/labexp/osmtracker-android OSMTracker] è un'applicazione opensource per Android per la registrazione dei percorsi sotto forma di tracce GPX. Offre la possibilità di segnare punti di interesse, note e note vocali da aggiungere poi su OpenStreetMap, tramite esportazione del tracciato.

== Per desktop ==
* [https://wiki.openstreetmap.org/wiki/GpsMaster GpsMaster] programma desktop in Java per la visualizzazione e la creazione di percorsi come traccia GPX.
* [https://www.gpxsee.org/ GPXSee] programma open, desktop in Qt per la visualizzazione di percorsi GPX, KML, ecc...

== Servizi online ==
* [https://www.openstreetmap.org/ OpenStreetMap] è un database comunitario di strade, sentieri, edifici e punti d'interesse in genere, molto dettagliato. Aneddotica:
** ''la ricerca lascia un po' a desiderare, bisogna ingegnarsi un po'''
** ''se cerchi un'attività commerciale, ci sta che nessuno l'abbia mappata, ma se vuoi una cosa che non ha nessun valore commerciale stai sicuro che ci sarà'' (un sentiero, un monumento, un bosco, un'antenna televisiva, una grotta, ...)

== Da provare ==
* [https://trekarta.info/ TreKarta] mappe offline
* Komoot -- ???
* Wikiloc -- servizio che incentiva la condivisione? Tracce scaricabili solo dietro registrazione? 🤷

IPv6 @ GOLEM

2025-03-11T22:10:43Z

Giomba: /* Impostare il client VPN come gateway IPv6 per l'isola */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Impostare IPv6 rete locale ====
Configurare in modo permanente un indirizzo IPv6 statico sull'interfaccia di rete locale (es. ''eth0''), utilizzando gli strumenti della propria distribuzione.
L'indirizzo deve essere scelto all'interno della rete comunicata dal sysop, per esempio: <code>2001:470:c844:200::1/64</code>

==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

'''Nota:''' la modifica non ha effetto immediato, ma è necessario un <code>sysctl --system</code> o un riavvio.

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:470:c844:200::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface ethI</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:470:c844:200::/64</code> indica la rete a valle; ('''Attenzione''': inserire quella comunicata dal sysop)
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Verificare il collegamento ====
Questo paragrafo contiene alcuni suggerimenti per la risoluzione dei problemi.

# Collegare un client ignaro alla rete gestita dal nuovo gateway IPv6 (es. un computer terzo, tramite uno switch)
# Verificare che si auto-assegni un indirizzo IPv6 nella rete di cui viene fatto advertising dal router con <code>ip addr</code>. Se non succede:
## verificare la configurazione di ''radvd'' sul gateway
## verificare che il computer riceva correttamente i pacchetti di router advertise (es. con wireshark)
## verificare che l'IPv6 sia abilitato sul sistema operativo e sull'interfaccia di rete (molto probabilmente è già abilitato)
# Pingare il gateway tramite il suo indirizzo IPv6. Se non funziona:
## controllare che il firewall del gateway o del computer non stia bloccando ICMPv6 (improbabile)
# Pingare un IPv6 appartenente alla rete del GOLEM (vedere la sezione sul client "foglia") o all'Internet IPv6 pubblico. Se non funziona:
## verificare che il gateway inoltri correttamente i pacchetti dalla vostra isola locale alla VPN
## utilizzare <code>traceroute</code> per determinare in quale punto dell'instradamento si bloccano i pacchetti

Se tutto funziona, evviva: il livello di rete è configurato correttamente! (Ma attenzione all'MTU)

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

= Extra =
* [https://github.com/pmarks-net/ipvfoo IpvFoo]: un'estensione per il browser per mostrare nella barra degli indirizzi se il sito a cui si è connessi utilizza IPv4, IPv6 o un misto
* [https://loopsofzen.uk/ Loops of Zen]: sito dimostrativo accessibile solo in IPv6, con un piccolo gioco rompicapo

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2025-02-28T11:56:30Z

Giomba: Aggiunti alcuni collegamenti extra

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

'''Nota:''' la modifica non ha effetto immediato, ma è necessario un <code>sysctl --system</code> o un riavvio.

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface ethI</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle; (inserire quella comunicata dal sysop)
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Verificare il collegamento ====
Questo paragrafo contiene alcuni suggerimenti per la risoluzione dei problemi.

# Collegare un client ignaro alla rete gestita dal nuovo gateway IPv6 (es. un computer terzo, tramite uno switch)
# Verificare che si auto-assegni un indirizzo IPv6 nella rete di cui viene fatto advertising dal router con <code>ip addr</code>. Se non succede:
## verificare la configurazione di ''radvd'' sul gateway
## verificare che il computer riceva correttamente i pacchetti di router advertise (es. con wireshark)
## verificare che l'IPv6 sia abilitato sul sistema operativo e sull'interfaccia di rete (molto probabilmente è già abilitato)
# Pingare il gateway tramite il suo indirizzo IPv6. Se non funziona:
## controllare che il firewall del gateway o del computer non stia bloccando ICMPv6 (improbabile)
# Pingare un IPv6 appartenente alla rete del GOLEM (vedere la sezione sul client "foglia") o all'Internet IPv6 pubblico. Se non funziona:
## verificare che il gateway inoltri correttamente i pacchetti dalla vostra isola locale alla VPN
## utilizzare <code>traceroute</code> per determinare in quale punto dell'instradamento si bloccano i pacchetti

Se tutto funziona, evviva: il livello di rete è configurato correttamente! (Ma attenzione all'MTU)

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

= Extra =
* [https://github.com/pmarks-net/ipvfoo IpvFoo]: un'estensione per il browser per mostrare nella barra degli indirizzi se il sito a cui si è connessi utilizza IPv4, IPv6 o un misto
* [https://loopsofzen.uk/ Loops of Zen]: sito dimostrativo accessibile solo in IPv6, con un piccolo gioco rompicapo

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2025-02-27T17:08:35Z

Giomba: /* Client VPN come gateway */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

'''Nota:''' la modifica non ha effetto immediato, ma è necessario un <code>sysctl --system</code> o un riavvio.

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface ethI</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle; (inserire quella comunicata dal sysop)
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Verificare il collegamento ====
Questo paragrafo contiene alcuni suggerimenti per la risoluzione dei problemi.

# Collegare un client ignaro alla rete gestita dal nuovo gateway IPv6 (es. un computer terzo, tramite uno switch)
# Verificare che si auto-assegni un indirizzo IPv6 nella rete di cui viene fatto advertising dal router con <code>ip addr</code>. Se non succede:
## verificare la configurazione di ''radvd'' sul gateway
## verificare che il computer riceva correttamente i pacchetti di router advertise (es. con wireshark)
## verificare che l'IPv6 sia abilitato sul sistema operativo e sull'interfaccia di rete (molto probabilmente è già abilitato)
# Pingare il gateway tramite il suo indirizzo IPv6. Se non funziona:
## controllare che il firewall del gateway o del computer non stia bloccando ICMPv6 (improbabile)
# Pingare un IPv6 appartenente alla rete del GOLEM (vedere la sezione sul client "foglia") o all'Internet IPv6 pubblico. Se non funziona:
## verificare che il gateway inoltri correttamente i pacchetti dalla vostra isola locale alla VPN
## utilizzare <code>traceroute</code> per determinare in quale punto dell'instradamento si bloccano i pacchetti

Se tutto funziona, evviva: il livello di rete è configurato correttamente! (Ma attenzione all'MTU)

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2025-02-27T16:53:16Z

Giomba: /* Correzione piccoli refusi */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

'''Nota:''' la modifica non ha effetto immediato, ma è necessario un <code>sysctl --system</code> o un riavvio.

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface ethI</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle; (inserire quella comunicata dal sysop)
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2025-02-27T16:51:29Z

Giomba: /* Abilitare inoltro pacchetti IPv6 */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

'''Nota:''' la modifica non ha effetto immediato, ma è necessario un <code>sysctl --system</code> o un riavvio.

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2025-02-27T16:46:29Z

Giomba: Corretti imprecisioni e refusi

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client della VPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna proseguire a configurarlo come indicato anche nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

Queste regole possono essere salvate in uno script, ad esempio <code>/etc/wireguard/wg0-postup.sh</code>, ed invocate automaticamente all'atto della connessione alla VPN tramite la direttiva `PostUp` nel file di configurazione di WireGuard.
Sarà poi necessario aggiungere un equivalente PostDown che rimuova le regole all'atto della disconnessione.

Ad esempio:

# /etc/wireguard/wg0.conf
[Interface]
# ...
# -----8<------
# Possono coesistere anche più direttive PostUp/PostDown, aggiungere in coda:
PostUp = /etc/wireguard/wg0-postup.sh
PostDown = /etc/wireguard/wg0-postdown.sh
# -----8<------

# /etc/wireguard/wg0-postup.sh
#!/bin/bash
ip6tables -A INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i wg0 -p icmpv6 -j ACCEPT
ip6tables -P INPUT DROP

# /etc/wireguard/wg0-postdown.sh
#!/bin/bash
ip6tables -D INPUT -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -D INPUT -i wg0 -p icmpv6 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

UEFI e GPT

2025-02-09T10:18:28Z

Giomba: /* Configurazione di GRUB */

=Introduzione a UEFI e GPT=

UEFI è il nuovo standard che sostituirà il BIOS, ovvero quel programma di base che viene lanciato all'avvio del computer e ne consente la configurazione base e l'avvio dei sistemi operativi. UEFI ha destato attenzione nel mondo '''Linux''' per tre motivi:

# adotta nuovi metodi di '''avvio''' e di '''partizionamento''', infatti non è più presente la scelta di avvio dal primo/secondo disco o dal CD, bensì è UEFI a rilevare i supporti avviabili. Anche i CD e le pennine di installazione devono quindi essere '''UEFI-compatibili''', ma la maggior parte lo è (Ubuntu, Mint, Debian, ArchLinux...);
# il sistema di partizionamento MBR è stato soppiantato da '''GPT''', quindi bisogna imparare a partizionare i dischi seguendo questo standard: la nuova tabella partizioni consente di creare più di 4 partizioni primarie (fino a 128, e non esiste più il concetto di partizione estesa). Inoltre è necessaria una partizione dedicata per l'avvio, detta ''ESP (EFI System Partition)'', che contiene i file di avvio dei sistemi installati. I comandi fdisk e cfdisk sono stati aggiornati e supportano anche GPT. Su distro vecchie (precedenti al 2016-2017) è necessario usare rispettivamente '''gdisk''' e '''cgdisk''';
# '''Microsoft''' ha messo lo zampino nella tecnologia del '''secure boot''': un controllo che consente di bloccare l'installazione di sistemi non autorizzati; l'opzione sulla maggior parte dei dispositivi venduti può essere disabilitata, e se non può esserlo, spesso si riesce comunque a installare Linux, anche se con qualche grattacapo in più;

In questa pagina si cerca di riassumere tutto quello che c'è da sapere su UEFI prendendo come obiettivo l'installazione della distribuzione '''ArchLinux'''.

=Configurare UEFI=
Il primo passo da compiere è entrare nel menù di UEFI, premendo il tasto giusto all'avvio (di solito '''DEL/CANC''' o '''F2''', ma varia in base al modello). L'interfaccia grafica non è identica su tutti i computer: alcuni produttori usano quella simile al vecchio bios (bianca e blu/grigia), altri aggiungono a questa una versione più intuitiva e grafica dove è addirittura possibile usare il mouse, navigare un filesystem, catturare screenshot e navigare con un browser web.

Per installare sistemi ''diversi da Windows'' vanno disabilitati i parametri '''Fast Boot''' e '''Secure Boot''', dopodiché è possibile inserire il CD di installazione, da cui fare il boot (a volte è necessario riavviare per far rilevare il disco a UEFI).

=Partizionamento=
Fatto il boot con il live CD, è possibile vedere tutti i dischi e le relative partizioni con il comando
fdisk -l

Eventualmente si può specificare un disco solo di cui si vogliono informazioni.

# fdisk -l /dev/sda
Found valid GPT with protective MBR; using GPT.
Disk /dev/sda: 976773168 sectors, 465.8 GiB
Logical sector size: 512 bytes
Disk identifier (GUID): XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
[...]

Individuato il disco, è possibile passare al ''partizionamento''.

'''ATTENZIONE''' la procedura seguente eliminerà ogni dato già presente sul disco, ma in genere a nessuno importa...

Utilizzare il comando
cfdisk /dev/sda

È possibile eliminare tutte le partizioni, tenendo a mente le '''dimensioni della prima''', contrassegnata dal codice '''EF00'''. Tale partizione va ricreata, per sicurezza '''della stessa dimensione e allineata allo stesso blocco''', dopodiché è possibile creare le altre partizioni (root, home, windows-dedicata) seguendo la medesima procedura:

# Nello '''spazio libero''' (inizialmente tutto il disco) crea una ''nuova partizione'' (New);
# Richiesta del '''primo settore''' (First sector): premi invio per lasciare quello di default, ovvero a seguito della precedente partizione;
# '''Dimensione''' della partizione: questo è a scelta libera, il valore può essere inserito nelle unità comuni (Kilo, Mega, Giga), mentre dando invio usa il massimo spazio disponibile. Tieni sempre conto delle seguenti soglie minime
#*'''EFI''' - come detto prima, è bene ricrearla della dimensione originaria, nel mio caso era 300M
#*'''Root''' - senza la home, ovvero solo i file di sistema Linux, occupa al massimo una decina di Gb, quindi per lasciare un margine è bene assegnare 15G
#*'''/home''' - i dati utente hanno dimensione variabile, quindi è a propria discrezione
# Inserisci il tipo di partizione: '''EF00''' per la EFI, '''8300''' per Linux, '''8200'' per la swap, '''0700''' per Windows;
# Etichetta: sempre utile per identificare a occhio una partizione, è a discrezione dell'utente (esempio ''LinuxHome'' per la home);
# Ripeti dal punto 1 per tutte le partizioni necessarie

Le partizioni possono essere formattate normalmente (mkfs.ext4 /dev/sdy), eccetto la partizione '''EFI''', che va formattata in '''FAT''' con

mkfs.vfat -T32 /dev/sda1

Nel caso tu voglia installare anche Windows è preferibile installarlo dopo il partizionamento e prima di installare Linux.

=Configurazione di GRUB=
Installato il sistema, bisogna configurare il bootloader per funzionare con EFI. GRUB ha una versione compatibile, da installare mentre si è chrootati. Per prima cosa la partizione EFI (in questo caso <code>/dev/sda1</code>) deve essere montata in una qualsiasi cartella, in modo da consentirne la scrittura dei file di avvio. Successivamente si può installare GRUB e creare il file di configurazione relativo. In caso di dual-boot altri sistemi installati saranno rilevati automaticamente soltanto se la partizione EFI è montata.

# mkdir /boot/efi
# mount /dev/sda1 /boot/efi
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=grub --recheck --debug
# grub-mkconfig -o /boot/grub/grub.cfg

{{Note
|type=info
|text=Convenzionalmente, la partizione EFI viene montata in <code>/boot/efi</code> e, al suo interno, contiene una directory denominata <code>EFI</code> che, a sua volta, contiene una directory per ogni sistema operativo installato.
}}

==Configurazione della BootList==
Il comando grub-install inserisce automaticamente Linux all'interno dei menù di avvio di EFI. In caso di dual boot sta poi all'utente decidere se impostarlo come scelta di avvio automatica, cosa che va fatta manualmente dai menù di EFI, all'avvio.

Ci è stato riferito che a volte il metodo manuale da EFI può fallire: c'è anche il modo di modificare la lista degli avvii di EFI dall'interno di Linux.

$ efibootmgr

BootCurrent: 0000
Timeout: 0 seconds
BootOrder: 0000,0004
Boot0000* Windows Boot Manager
Boot0004* ArchLinux

L'output del comando efibootmgr è la lista dei sistemi installati (in questo caso ArchLinux e Windows), insieme alla lista di avvio (BootOrder), che in questo caso privilegia Windows.

Per modificarla basta aggiungere la relativa opzione, elencando gli ID dei sistemi operativi nell'ordine desiderato, separandoli da virgola

# efibootmgr --bootorder 0004,0000

In questo esempio si imposta Linux come primo sistema.

= Problemi =
Problema: avete rotto tutto, avete sovrascritto le variabili EFI, non funziona più nulla, vi rannicchiate in posizione fetale.

Soluzione: impostare il boot da CD e procurarsi un disco di [http://www.rodsbooks.com/refind/ rEFInd]. rEFInd trova i sistemi che hanno un file di avvio nella ''ESP'' (EFI System Partition) e vi chiederà di sceglierne uno (vedi figura). rEFInd è utile anche per avviare altri utili ''strumentopoli'' che possono venire in nostro soccorso, come la ''EFI shell''.

<gallery>
File:refind.png
</gallery>

Procurarsi la EFI-Shell (almeno v2), da qualche parte, es [https://github.com/tianocore/edk2/tree/master/ShellBinPkg github] o [https://aur.archlinux.org/packages/uefi-shell-git/ AUR].

'''Attenzione''': alcune schede madri ce l'hanno integrata, ma potrebbe non essere completa (es schede MSI), perciò scaricarla ugualmente.

Creare una directory <code>ESP/efishell/</code> in cui mettere l'eseguibile della ''EFI Shell'' <code>shellx64_v2.efi</code>, e avviarlo tramite il disco di rEFInd (o con la EFI shell già integrata)

Prendere un po' di dimestichezza con l'EFI-Shell. È case-sensitive, ma fa cose "alla Windows", quindi occhio:
* Vedere i device riconosciuti:
> map
* ''fs0'', ''fs1'', ecc... indicano i filesystem delle ESP trovate; potete navigarci:
> fs0:
> ls
* ''blk0'', ''blk1'', ecc... indicano le partizioni trovate ma non leggibili (NTFS, EXT)

Eliminare tutto ciò che non è necessario (file di avvio di Windows e cartelle). ''rm'' funziona sia con file che con directory:
> rm filename

Mostrare la lista della sequenza d'avvio. Ad ogni entry corrisponde un numero.
> bcfg boot dump

Prima di modificare qualunque cosa, cancellare tutto ciò che non è necessario (ma occhio a non cancellare cose preziose, tipo la ''EFI Shell'' integrata). Il numero indica l'entry desiderata. Occhio perché potrebbero riordinarsi automaticamente.
> bcfg boot rm 3

Aggiungere l'entry necessaria:
> bcfg boot add 1 fs0:/EFI/arch/grubx64.efi "Arch"

'''Attenzione''' a volte la scheda madre vuole avviare per forza Windows. Facciamoglielo credere mettendo il ''grubx64.efi'' nella ESP sotto ''EFI/Microsoft/Boot/bootmgfw.efi'' (attenzione alle maiuscole, anche se è FAT).

[[Category: Howto]]

Recupero Hardware

2025-02-04T22:12:21Z

Giomba: Minimi cambiamenti estetici ai requisiti

{{Guide
|immagine=oldpc.png
|guida=Trashware
|precedente=
|indice=Trashware
|successiva=Riconoscere il materiale
}}

[[Trashware]]: ''recupero dei computer dismessi, installazione di software libero e donazione per finalità sociali''

Siamo un'associazione di promozione sociale che ricondiziona i computer dismessi, vi installa tanti programmi utili, gratuiti e liberi, e poi dona i computer a chi ne ha bisogno.

Accettiamo:
* apparecchiature funzionanti, perché vogliamo regalarle a delle '''persone''': un computer rotto non è un bel regalo da fare.
* computer completi
* periferiche
* pezzi hardware di ricambio
Il materiale deve rispettare almeno le caratteristiche minime riassunte in seguito.

Siamo coscienti del fatto che i requisiti sono abbastanza elevati, ma abbiamo già sufficiente materiale più vecchio di quello indicato, e la nostra [[Officina Informatica | officina]] non è infinita.

= Requisiti =

Indicazione di massima: ritiriamo preferibilmente computer portatili con età massima 10 anni.

* '''Processore minimo''' Architettura x86_64 compatibile (64 bit), multi core, per esempio:
** AMD Zen, Ryzen, Epic e superiori
** Intel Core i3, i5, i7-6xxx e superiori
* '''RAM''' almeno 4GB di RAM. Stiamo cercando DDR3 e DDR4.
* '''Hard Disk''' preferibilmente SSD
* '''Alimentatore''' preferibilmente ATX 24-pin, con connettori SATA (di più vecchi ne abbiamo abbastanza)
* '''Monitor a schermo piatto''' HDMI
* '''Schede di rete''' Giga Ethernet 1Gbps, almeno PCIe o piu recenti. Di Fast Ethernet PCI ne abbiamo a volontà. (No 10Mbps, no TokenRing)
* '''Router''' e '''switch''', preferibilmente Giga Ethernet 1Gbps (di Fast Ethernet 100Mbps ne abbiamo abbastanza)
* '''Access Point Wireless''' e '''antenne esterne''', 2.4GHz o 5GHz, almeno G (54Mbps), preferibilmente N (150, 300Mbps o più)
* '''Tastiere''' e '''mouse''' solo se USB e ''non'' wireless, perché non si trovano mai le batterie quando servono
* '''Schede audio''', PCIe o più recenti (no PCI/ISA)
* '''Altoparlanti''', solo con alimentazione, anche se non di alta qualità
* '''Cuffie''' e '''microfoni''', sia analogici che digitali (jack, USB), anche se non di alta qualità


= Computer più vecchi =
Computer vecchi, ma non troppo:
* scrivere alla [https://lists.linux.it/listinfo/trashware lista nazionale Trashware]: qualche gruppo potrebbe essere interessato.

Computer vecchissimi:
* accettiamo materiale informatico vecchissimo e di interesse storico: hardware non Intel-x86 compatibile, MOS, Motorola, Z80, Apple, Amiga, Amstrad, Atari, Commodore, Sinclair. In alternativa questo materiale è recuperato da associazioni di retrocomputing:
** associazione [http://www.bitretro.it/ Bit Retro] San Romano (PI)
** associazione [https://www.retrocomputer.org/ Firenze Vintage Bit] Lastra a Signa (FI)

= Come riconoscere il materiale? =
{{Note
|type=reminder
|text=Se non si conoscono le caratteristiche tecniche del computer, è possibile visionarle autonomamente seguendo le brevi istruzioni nella mini-guida [[riconoscere il materiale]]. Se hai voglia ed esperienza puoi testare il materiale da solo leggendo le nostre [[pillole hardware]].
}}

In caso di difficoltà, potete contattarci tramite il modulo di contatto:
* successivamente, sarete quasi sicuramente invitati a fornire foto e età del computer;
* altrimenti, possiamo accordarci e potete portare il materiale in officina durante uno dei nostri incontri, così possiamo valutarlo;
* altrimenti, possiamo fare un sopralluogo, ma solo se vi trovate in zona e avete molti computer.

= Avvertenze =
* Non siamo un'azienda che si occupa di smaltimento rifiuti elettronici (RAEE), quindi non portateci materiale '''rotto''' e sicuramente inutilizzabile;
* Non ritiriamo rifiuti a domicilio;
* Non siamo un centro informatico: in Officina si impara, non si lascia fare agli altri;
* È vietato abbandonare materiale davanti alla sede (e anche dietro, di lato e persino sul tetto). Lasciare del materiale fuori dalla nostra sede, magari anche utilizzabile, è inutile in quanto gli agenti atmosferici (come pioggia, umidità e sole) rovinano le componenti elettroniche rendendo le macchine inutilizzabili.

Nella maggior parte dei casi quando la gente sente parlare di trashware o vede in TV servizi come [[:Category:Stampa | quelli di Geo&Geo o di Report]] si ricorda che da qualche parte in soffitta o in cantina ha del materiale informatico messo da parte anni prima, pensando che prima o poi lo avrebbe rispolverato, e gli sarebbe magari stato utile per fare qualcosa. Così si rivolge all'associazione di turno e, pensando di fare una buona azione, nella migliore delle ipotesi propone loro il materiale, mentre nella peggiore glielo lascia abbandonato davanti la porta, magari in un giorno che diluvia.

Forse quel materiale qualche anno prima sarebbe stato ancora riutilizzabile, ma adesso l'incalzare del tempo lo ha reso poco più che un rottame.
In linea teorica, e per puro esercizio didattico, anche su macchine molto molto vecchie può essere installato software libero e in modo da recuperarle per usi minimali; in pratica, il dispendio di tempo e l'uso abbastanza limitato a cui sarebbero destinate non lo rende conveniente.

Facciamo un paragone per cercare di chiarire meglio questi concetti: ho dei vestiti che non mi stanno più, passati di moda ma buoni, ben conservati lontano delle tarme, lavati e stirati, saranno bene accetti da una associazione di volontariato che potrà riutilizzarli; ma se porto dei vestiti logori, strappati e sporchi, probabilmente me li tirano dietro perché sicuramente non potranno donarli a nessuno.

Se vuoi donarci il tuo computer, perché ti sembra vecchio e lento, oppure vuoi scoprire se è possibile '''dargli nuova vita con Linux''', sei benvenuto. Al contrario, se il tuo computer è irrimediabilmente rotto, abbandonato all'umidità e alla polvere, non possiamo farci niente.

= Cosa fare degli altri oggetti elettronici? =
Non ci portate telefoni, telecomandi, stereo, televisori o videoregistratori, a meno che non vogliate aiutarci a "spippolare" (es smartphone Android, VCR o Home Theatre con Linux). Le cose impossibili le facciamo, ma per i miracoli ci dobbiamo ancora attrezzare.

Questo genere di cose possono trovare posto in:

* mercatini di Economia Circolare
** per esempio, a Empoli [http://www.nonlobuttovia.it/?p=160 Non lo butto via]
* Restart Party
** per esempio, a Firenze [http://www.restartersfirenze.it/ Restarters Firenze]

= Contatti =
Per qualunque dubbio non esitate a [http://golem.linux.it/wp/contatti/ contattarci] o a venirci a trovare!

= Pagine correlate =
{{Guide
|immagine=oldpc.png
|guida=Trashware
|precedente=
|indice=Trashware
|successiva=
}}

[[Category:Officina]]

Ore del GOLEM

2025-01-18T22:37:05Z

Giomba: /* 2024 */

{{Note
|type=info
|text=Questa pagina raccoglie gli interventi passati. Se stai cercando gli eventi futuri, consulta il [https://blog.golem.linux.it/calendario calendario], o dai un'occhiata a [[Progetti]].
}}

L'Ora del GOLEM è una serata a tema in cui si discute, più o meno formalmente, su qualunque cosa riguardi l'open source, dagli argomenti strettamente tecnici e pratici, alla "consapevolizzazione" e alla valutazione dell'uso dei vari strumenti. A volte i soci più smanettoni preparano delle piccole presentazioni su qualche nuova tecnologia, o qualche tema interessante; altre volte ci si arricchisce facendo brainstorming tutti insieme e si impara a utilizzarla. Spesso, le discussioni di queste serate, vengono tradotte in dei veri e propri [[Howto | how-to]].

Qui puoi trovare tutte le serate passate (in ordine cronologico inverso), con riferimenti a materiale e/o guide prodotte.
Alcune serate sono anche state [https://video.linux.it/c/golem_channel/videos registrate].

== 2024 ==

{{OraDelGolem
|nome=17 dicembre: Liberiamo il BIOS con coreboot
|autore=aggro
|immagine=
|dimensione_img=80px
|descrizione=In questa serata parleremo di coreboot, il bios libero. Faremo una chiacchierata in cui si parlerà di cos'è, su che macchine si può usare e quali sono i benefici. Mezzi permettendo, alla chiacchierata seguirà una fase pratica in cui flasheremo coreboot sul Thinkpad X230 del relatore. A cura di Alessandro, LUG di Prato
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 dicembre: IPv6 @ FLUG
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=80px
|descrizione=Internet è una rete di reti a cui sono connessi miliardi di dispositivi, dai nostri computer, ai nostri smartphone, a tutti quei server e router che permettono all'infrastruttura di funzionare, per non parlare di tutti i dispositivi di domotica e IoT che ormai pervadono le nostre vite. Tuttavia, in origine, erano stati previsti solo 4 miliardi di indirizzi (IPv4): com'è possibile dunque continuare a estendere la rete se gli indirizzi sono finiti? Quali trucchi vengono impiegati, e quali svantaggi ci sono nel perpetuare l'uso di un protocollo che ormai ha fatto il suo tempo? Ospitare un servizio in autonomia, un sito, può diventare appannaggio dei pochi che possono ancora permettersi di accedere a indirizzi IPv4? IPv6 è la soluzione e la sua promozione necessaria, sebbene in Italia sia ancora poco diffuso: in questa serata impareremo a conoscere IPv6, capiremo le differenze con IPv4, e valuteremo, in tempo reale, come potrebbe essere utilizzato al FLUG.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=22 ottobre: Come gestire nodi TOR dalla tua cantina
|autore=[https://osservatorionessuno.org/ Osservatorio Nessuno]
|immagine=
|dimensione_img=80px
|descrizione=Gestire nodi TOR può essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.
A cura dell'Osservatorio Nessuno
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=25 giugno: Introduzione al mondo open source: consigli e strumenti per nuovi contributori
|autore=luigix25
|immagine=
|dimensione_img=80px
|descrizione=Contribuire a grandi progetti open-source può sembrare un'impresa ardua. Durante la serata esploreremo il funzionamento dello sviluppo in progetti di rilievo come Linux. Ci concentreremo su come avvicinarsi a questo mondo e sugli strumenti essenziali per iniziare.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=4 giugno: Il Processo di compilazione
|autore=Simone Guercini
|immagine=
|dimensione_img=80px
|descrizione=Durante la serata approfondiremo il processo di compilazione di un programma C++ tramite gcc, analizzando gli step che intercorrono tra il codice sorgente ed il file eseguibile. Sono compresi cenni alla struttura di un programma C++, una introduzione al linguaggio assembly x86_64 e numerosi esempi
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=9 aprile: Irrigazione domotica fai-da-te
|autore=Mario Alinari
|immagine=
|dimensione_img=80px
|descrizione=In casa ho un piccolo terrazzo che ho rallegrato con un po’ di fiori. Da qui l’idea di un sistema di irrigazione che annaffiasse le piante al posto mio. Avrei potuto acquistare qualcosa di già fatto? Sicuramente si ma mi sarei perso tutto il divertimento. Non rimaneva altro che realizzarlo home made.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 aprile: R Project
|autore=Fabio Frascati
|immagine=
|dimensione_img=80px
|descrizione=Una serata di formazione sull'utilizzo del software statistico R per i dati qualitativi. In altre parole la gestione di dati categorici (non numerici) semplice ed intuitiva. Vengono illustrati gli oggetti R ad hoc per un supporto migliore del comune vettore di stringhe. Semplici esempi completeranno la sintetica parte teorica. Nessuna esperienza precedente in R o in programmazione è necessaria.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=12 marzo: Documentare il Sanco 8003: un'avventura inaspettata
|autore=[[Utente:giulio]] [[Utente:giomba]]
|immagine=Sanco8003.jpeg
|dimensione_img=80px
|descrizione=In questa serata, a metà fra il vintage ed il moderno, racconteremo la storia del reverse engineering di un computer di inizio anni '80: il Sanco 8003. Utilizzando software ed hardware libero, si parlerà di come approcciarsi ad una scheda sconosciuta per ricavarne il relativo schema; come si possono interpretare i segreti celati all'interno delle EPROM; come disassemblare un intricato codici per Z80 e modificarlo a piacimento per creare un bootloader personalizzato; ed infine, come sfruttare tutte queste scoperte per realizzare un emulatore dedicato a questa misteriosa macchina!
|presentazione=https://cloud.golem.linux.it/s/pGdCgrdATtQc87E
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=5 marzo: Semplificare il controllo degli accessi su Linux con Systems Manager
|autore=Francesco Provino
|immagine=
|dimensione_img=
|descrizione=Come accedere a macchine Linux in cloud e on-premise (nonché qualsiasi altra risorsa) senza usare chiavi SSH o esponendo porte di rete, utilizzando AWS Systems Manager.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=6 febbraio: Introduzione a XMPP
|autore=Matteo Bini
|immagine=
|dimensione_img=
|descrizione=XMPP è un protocollo che permette di scambiarsi messaggi proprio come WhatsApp, con tanto di chiamate audio e video e invio di allegati. Durante l’intervento sarà presentata una breve panoramica sulla struttura del protocollo in questione, oltre all'illustrazione dei vari programmi disponibili per utilizzarlo e per offrire tale servizio.
|presentazione=
|documenti=http://choice.tiepi.it/~matteobin/scritti/presentazione-di-xmpp.html
|video=
|altro=
}}

{{OraDelGolem
|nome=9 gennaio: virtio e vsock: comunicazione tra host e VM
|autore=Stefano Garzarella e Luigi Leonardi
|immagine=
|dimensione_img=
|descrizione=virtio è uno standard per la comunicazione fra host e macchine virtuali: saranno presentati la sua specifica, come funziona, e alcuni casi d'uso. In particolare ci focalizzaremo su vsock, una famiglia di socket per la comunicazione fra host e guest.
|presentazione=https://cloud.golem.linux.it/s/s2t24maeGfqiSzY
|documenti=
|video=
|altro=
}}

== 2023 ==

{{OraDelGolem
|nome=5 dicembre: Minigiochi al cubo
|autore=Zughy
|immagine=
|dimensione_img=
|descrizione=Mai pensato di voler sviluppare un videogioco? Detto fatto! Da anni i server minigiochi spopolano su Minecraft, facendo divertire milioni di persone. Usando il motore di gioco libero Minetest e una piccola libreria, imparerai a creare quelle avventure tanto anelate, arrivando ad avere il tuo piccolo titolo a fine laboratorio. Consigliato per tutte le età!
|presentazione=
|documenti=
|video=https://video.linux.it/w/3DtztwVqPLf2CwvnWnK8d7
|altro=
}}

{{OraDelGolem
|nome=7 marzo: Introduzione a Proxmox
|autore=Thomas Buonanno
|immagine=logo-proxmox.png
|dimensione_img=
|descrizione=Proxmox VE è una distribuzione debian-based per la gestione di macchine virtuali e container, che include anche un sistema di backup, per la gestione di file system distribuiti e per la migrazione rapida dei servizi. Durante questa serata sarà presentato il progetto e ne saranno mostrate alcune applicazioni pratiche.
|presentazione=https://cloud.golem.linux.it/s/KfiDYeczEop5WEo
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=7 febbraio: Le alternative al foglio di calcolo nella gestione ed analisi dei propri dati
|autore=Fabio Frascati
|immagine=
|dimensione_img=
|descrizione=Perché è così comune usare il foglio di calcolo nella gestione dei propri dati? È sempre la soluzione migliore? Esistono valide alternative gratuite ed open source per compiti specifici e spesso noiosi? Vediamo insieme alcuni semplici esempi in Libreoffice Calc ed R.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=3 Gennaio: Haskell
|autore=Mariano
|immagine=
|dimensione_img=
|descrizione=Serata di introduzione ad Haskell ed ai linguaggi funzionali
|presentazione=https://cloud.golem.linux.it/s/QDFGaYDfS7c6stP
|documenti=
|video=
|altro=
}}

== 2021 ==
{{OraDelGolem
|nome=29 giugno: dotfiles - Gestione ragionata dei files di configurazione
|autore=[[Utente:Gbiotti]]
|immagine=
|dimensione_img=
|descrizione=Serata sulla gestione con versioning dei dotfiles di Linux
|presentazione=
|documenti=
|video=
|altro=[https://git.golem.linux.it/gbiotti/sdf_appunti Appunti della serata]
}}

{{OraDelGolem
|nome=16 marzo: Blockchain - Il Free Software incontra la finanza
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva e divulgativa sulle blockchain: cosa sono e perché sono importanti per la comunità del software libero.
|presentazione=
|documenti=
|video=
|altro=in caricamento
}}

{{OraDelGolem
|nome=9 marzo: Due chiacchiere su buffer overflow
|autore=luigix25
|immagine=Stack-example.png
|dimensione_img=
|descrizione=Due chiacchiere informali sui buffer overflow e sulle tecniche di mitigrazione.
|presentazione=https://cloud.golem.linux.it/s/WkWf7XiNPPn7mqn
|documenti=
|video=https://video.linux.it/w/8PG9X1PojpoVbeM5JtYLFn
|altro=
}}

{{OraDelGolem
|nome=27 gennaio: Programmare Arduino like a pro
|autore=[[Utente:Giulio]]
|immagine=Arduino-board.jpg
|dimensione_img=
|descrizione=L'ecosistema Arduino consente di sviluppare semplici applicazioni in modo rapido e con conoscenze di programmazione non necessariamente approfondite. Ormai, volenti o nolenti tutti abbiamo una scheda Arduino in casa. Questo sarà il punto di partenza della serata, dove andremo a sviscerare come, partendo da uno sketch, si arrivi al codice macchina eseguito dal microcontrollore. Faremo la conoscenza dei varii strumenti della toolchain GCC: makefile, compilatori ed assemblatori, per comprendere meglio cosa avviene sotto il cofano dell'Arduino IDE e come sfruttarli per scrivere del codice "fuori dagli schemi".
|presentazione=https://golem.linux.it/cloud/index.php/s/5M2SisqZmJ7PQXM
|documenti=
|video=https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte1.mp4
|altro=[https://archivio.golem.linux.it/OreDelGolem/20210127-arduinolikeapro-parte2.mp4 Video sessione di approfondimento sul multitasking] [https://video.linux.it/videos/watch/f654157f-a4b6-4ebb-aaee-932b04bda1af Mirror1] [https://video.linux.it/videos/watch/e63d744f-2444-41c5-b852-fa79cedefde1 Mirror2]
}}

{{OraDelGolem
|nome=20 gennaio: Lineage OS: come installarla e... perché
|autore=Filippo Micheletti, [[Utente:Giomba]], Marco Castrovilli ([http://www.restartersfirenze.it/ Restarters Firenze])
|immagine=
|dimensione_img=
|descrizione=Tutti hanno uno smartphone, ma pochi sono coscienti del livello di pervasività che questo dispositivo ha nelle nostre vite, e sulla mancanza di controllo che abbiamo sui dati personali che lo attraversano. Conoscere come funziona è indispensabile per fare scelte consapevoli sull’uso che ne facciamo, e scoprire sistemi operativi e applicazioni alternative è uno dei primi passi per riprendere il controllo sui questi dati. Durante la serata, ci domanderemo perché usare LineageOS, quali programmi e applicazioni libere e rispettose possiamo usare, in alternativa ai soliti noti, come si installa questo sistema su uno smartphone, quali sono difficoltà, problemi e possibili rinunce che possiamo incontrare.
|presentazione=https://golem.linux.it/cloud/index.php/s/39dTAZxdpWfzHSp
|documenti=https://golem.linux.it/cloud/index.php/s/E9ZCm9fjFnq7egG
|video=https://video.linux.it/w/wSw212j2di8pM38E4g4DZY
|altro=
}}

== 2020 ==

{{OraDelGolem
|nome=7 ottobre: Linux per radioamatori
|autore=[[Utente:Giulio]] [[Utente:Lucam]]
|immagine=Tux-radio.png
|dimensione_img=
|descrizione=Introduzione a Linux e alle sue applicazioni in ambito radioamatoriale. Quali sono i programmi per fare radio su Linux? Come posso attivare un nodo webSDR?
|presentazione=https://golem.linux.it/cloud/index.php/s/8fLXfdwMwEpxxCq
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20201007-iu5mo-linuxradio.mp4
|altro=
}}

{{OraDelGolem
|nome=7 luglio: Flatcam
|autore=[[Utente:Glomant]]
|immagine=Flatcam.png
|dimensione_img=
|descrizione=Flatcam è un software che, a partire da file gerber o gcode, permette di passare all’incisione e all’intaglio vero e proprio del circuito tramite una macchina a controllo numerico. Al termine della serata, il prodotto potrà essere inciso tramite una CNC, come quella che abbiamo in officina, come vedremo nella serata successiva.
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/RZZEfzF8f7C7CMA
|video=https://golem.linux.it/pubblici/OreDelGolem/20200708-glomant-flatcam.mp4
|altro=
}}

{{OraDelGolem
|nome=30 giugno: KiCAD 2/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Seconda serata sull'uso del software di disegno circuiti stampati: disegnato lo schema sarà necessario realizzare il layout, la controparte digitale del circuito stampato. Al termine della serata, il prodotto potrà essere mandato in stampa presso aziende specializzate tramite processi industriali, oppure potrà essere utilizzato la serata seguente. Saranno approfondite alcune funzioni supplementari di KiCAD, come la gestione della lista componenti e delle librerie.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200630-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=23 giugno: Scrivere un emulatore per il Commodore 64
|autore=luigix25
|immagine=c64-startup-screen.jpg
|dimensione_img=
|descrizione=
|presentazione=
|documenti=
|video=https://video.linux.it/w/qVJ5C78WVkJrDvDyBC57sf
|altro=
}}

{{OraDelGolem
|nome=16 giugno: KiCAD 1/2
|autore=[[Utente:Giulio]]
|immagine=Kicad.png
|dimensione_img=
|descrizione=Prima serata sull'uso del software di disegno circuiti stampati: Si tratta di un software opensource di Electronic Design Automation, ossia di progettazione assistita al computer per circuiti elettronici. KiCAD permette di progettare ogni fase della realizzazione del circuito, dalla sua prima bozza, alla scelta e al posizionamento dei componenti, allo sbroglio delle piste, alla produzione dei file per lo stampaggio vero e proprio. In questo primo incontro si vedrà perché e come disegnare uno schema elettronico al computer, come importare i componenti, come associare i simboli grafici agli oggetti fisici.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20200616-giuliof-kicad.mp4
|altro=
}}

{{OraDelGolem
|nome=26 maggio: Indipendenza Digitale?
|autore=[[Utente:Giomba]]
|immagine=
|dimensione_img=
|descrizione=Guida pratica per riappropriarsi della propria indipendenza e identità digitale. Quali compromessi possiamo fare nell'uso del software sul nostro computer e sul nostro smartphone?
|presentazione=
|documenti=https://golem.linux.it/cloud/index.php/s/WMDixxEjNtEadAj
|video=
|altro=
}}

{{OraDelGolem
|nome=12 maggio: Due parole su LaTeX
|autore=[[Utente:Giulio]]
|immagine=
|dimensione_img=
|descrizione=Introduzione al software di impaginazione LaTeX
|presentazione=
|documenti=
|video=
|altro=''Presentazione in caricamento''
}}

{{OraDelGolem
|nome=14 aprile: Riconoscimento oggetti con OpenCV
|autore=[[Utente:Linux-Lover]]
|immagine=
|dimensione_img=
|descrizione=
|presentazione=https://golem.linux.it/cloud/index.php/s/E9FxLxM5AEopZyJ
|documenti=
|video=
|altro=
}}

== 2019 ==

{{OraDelGolem
|nome=19 febbraio: 128 bit di IPv6
|autore=[[Utente:giomba]]
|immagine=
|dimensione_img=
|descrizione=Cos’è un indirizzo di rete? IPv4 vs IPv6. Perché IPv6? Come si legge un IPv6? Come posso realizzare una rete IPv6? Cosa sono NDP e SLAAC? Come ottenere IPv6? [[IPv6 @ GOLEM]]
|presentazione=https://golem.linux.it/cloud/index.php/s/pZcSHge3bBiQ37m
|documenti=
|video=https://video.linux.it/w/e6oYr4MasX9NDVtkJ6jCU3
|altro=
}}

{{OraDelGolem
|nome=8 gennaio: Deepen Meltdown
|autore=[[Utente:Raistlin]]
|immagine=Meltdown-spectre-logo.png
|dimensione_img=
|descrizione=Aggiornamenti sui bug che hanno recentemente afflitto le CPU
|presentazione=
|documenti=
|video=
|altro=
}}

== 2018 ==

{{OraDelGolem
|nome=16 Ottobre: NextCloud
|autore=Mattia & Carmelo
|immagine=Nextcloud-logo.png
|dimensione_img=150px
|descrizione=Cos'è un sistema di clouding. Cloud commerciale vs. Nextcloud. Come configurare un cloud casalingo su PC o Raspberry.
|presentazione=
|documenti=
|video=
|altro=
}}

{{OraDelGolem
|nome=2 Ottobre: Python & grafici
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Approfondimento sulle librerie <code>MatPlotLib</code> e <code>NumPy</code>: creare e abbellire grafici, tracciare funzioni, importare e visualizzare dati da CSV, grafici professionali in LaTeX. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/wteTWdnflCwWOXa/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20181002-giuliof-python-grafici.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Settembre: PC4Beginners
|autore=jacopo
|immagine=
|dimensione_img=
|descrizione=Serata introduttiva all'informatica: cenni storici sul computer, cos'è l'hardware, cos'è il software, quali sono i componenti di un PC.
|presentazione=https://golem.linux.it/cloud/index.php/s/HoTfB2ilOWHl1Aq/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180918-jacopo-PC4Beginners.mp4
|altro=
}}

{{OraDelGolem
|nome=3 Luglio: Python 303
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Avanziamo di livello e parliamo di: liste, dizionari, lettura/scrittura su file, accenno alle librerie e confronto Python2 vs Python3. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/2gbp1UpORawCUkF/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180703-giuliof-python303.mp4
|altro=
}}

{{OraDelGolem
|nome=19 Giugno: Python 101 x2
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esercizi con ''if...else'', funzioni, cicli ''while'' e ''for'', stringhe e operazioni su stringhe. ''To be continued...''
|presentazione=https://golem.linux.it/cloud/index.php/s/Qq99P5gwkno7H1q/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180619-giuliof-python101x2.mp4
|altro=
}}

{{OraDelGolem
|nome=12 Giugno: Technical deep dive: Meltdown + Spectre
|autore=Dario
|immagine=Meltdown-spectre-logo.png
|dimensione_img=250px
|descrizione=Da una panoramica sull'architettura e sul funzionamento dei processori moderni (architettura superscalare, memorie cache, TLB, memoria virtuale) arriviamo a capire come queste vulnerabilità scoperte di recente denominate ''Meltdown'' e ''Spectre'' (maggiori [https://meltdownattack.com info]) potrebbero mettere a rischio la sicurezza dell'utente.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180612-Meltdown-Spectre-Dario.mp4
|altro= concetti introduttivi ([https://en.wikipedia.org/wiki/Virtual_address_space Virtual Memory],
[https://wiki.osdev.org/Memory_management gestione della memoria],
esecuzione speculativa [https://en.wikipedia.org/wiki/Speculative_execution] [https://en.wikipedia.org/wiki/Branch_predictor],
[https://en.wikipedia.org/wiki/Instruction_pipelining pipeline],
[https://en.wikipedia.org/wiki/Tomasulo_algorithm algoritmo di Tomasulo],
memoria cache [https://en.wikipedia.org/wiki/CPU_cache] [https://www.extremetech.com/extreme/188776-how-l1-and-l2-cpu-caches-work-and-why-theyre-an-essential-part-of-modern-chips],
[https://en.wikipedia.org/wiki/Translation_lookaside_buffer TLB],
[https://en.wikipedia.org/wiki/Side-channel_attack side channel attack])
<br/>
esempi di codice che sfrutta le vulnerabilità ([https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/], [https://medium.com/@mattklein123/meltdown-spectre-explained-6bc8634cc0c2])
}}

{{OraDelGolem
|nome=5 Giugno: Buildroot: distrubuzione personalizzata
|autore=$pookyh
|immagine=Logog-b.png
|dimensione_img=80px
|descrizione=[https://buildroot.org Buildroot] è un tool che permette di generare una distribuzione Linux essenziale cucita su misura per le proprie esigenze.
|presentazione=
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180605-spooky-buildroot.mp4
|altro=
}}

{{OraDelGolem
|nome=22 Maggio: Python - introduzione e basi
|autore=giuliof
|immagine=Python-logo.png
|dimensione_img=150px
|descrizione=Basi sul linguaggio di programmazione Python: esempi applicativi, installazione, variabili, istruzioni di stampa a schermo, blocchi condizionali. (Il video è parziale'''!''')
|presentazione=https://golem.linux.it/cloud/index.php/s/IroTEn8ZJhXTaGg/download
|documenti=
|video=https://golem.linux.it/pubblici/OreDelGolem/20180519-GiulioF-Python101x1.mp4
|altro=
}}

=== 17 Aprile: R: software di analisi statistica ===
Basi sul linguaggio di programmazione R, applicazioni alla statistica ed esempi.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/mY2GIXC1dIZPKpu Scarica] files (script utilizzati, lista comandi...) e presentazioni della serata.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180417-R-Frascati-Giorgetti.mp4 Guarda] o scarica il video della serata!

=== 10 Aprile: Bash e scripting ===
Panoramica sui comandi utili e basi di scripting per automatizzare le attività.

Consulta il prontuario sulla [[Linea_di_comando | linea di comando]].

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20180410-Bash-Giomba.mp4 Guarda] o scarica il video della serata!

''by Giomba''

=== 23 Gennaio: Sviluppo di un'app per Android ===
Uno sguardo d'insieme sulla realizzazione di applicazioni per il proprio smartphone con [https://developer.android.com/studio/index.html AndroidStudio], iniziando con alcuni esempi.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/pGoCGHZKpo7C04f/download Presentazione] della serata.

''by Omid''

=== 16 Gennaio: Impariamo KiCad ===
Come utilizzare il software [http://kicad-pcb.org KiCad] per il disegno di schemi e la realizzazione di circuiti stampati.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/HLl9ZxreCLQUCH8 Scarica] i file prodotti durante la serata.

''by Stefano''

== 2017 ==
=== 12 Dicembre: Arduino avr-gcc ===
Programmazione a "basso livello" in C della scheda Arduino, bypassando l'IDE, per sfruttare a pieno le risorse del microcontrollore.

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171212-AVRgcc-Giulio.mp4 Guarda] o scarica il video della serata!

''by [[Utente:Giulio | Giulio]]''

=== 21 Novembre: Git ===
Un sistema di versionamento alla portata di tutti: come gestire i propri progetti al computer, tenere traccia dello sviluppo e apportare modifiche senza rischiare di danneggiare il lavoro precedente. Consulta il nostro [[Git | prontuario]] di riferimento.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/VL27wucLMsbCEDP Presentazione] della serata

[[File:Icona_video.png|40px|video]] [https://golem.linux.it/pubblici/OreDelGolem/20171121-Git-Lucam.mp4 Video] della serata

''by [[Utente:Lucam | Lucam]]''

=== 7 Novembre: Arduino e Wireless ===
Domotica: come integrare il proprio progetto di elettronica con Arduino con la rete WiFi di casa.

[[File:Icona_presentazione.png|40px|slides]] [https://golem.linux.it/cloud/index.php/s/fp7PgxzcdLRmKlx Presentazioni] della serata.

''by [[Utente:Giulio | Giulio]]''

=== 17 ottobre: Introduzione a Wordpress ===
Procedure base e consigli per costruire un semplice sito dinamico con Wordpress.

''by Pinpas''

=== 3 Ottobre: Sviluppo HTML+CSS ===
I rudimenti per scrivere un sito statico.

[[File:Icona_files.jpg|40px|files]] [https://golem.linux.it/cloud/index.php/s/uIz3QwcymtgTeNN Scarica] i file della serata!

''by Francesco''

=== 19 Settembre: Installazione Wordpress ===
Serata pratica di gruppo sull'installazione del CMS [[Wordpress]] e in generale di un applicativo web su piattaforma LAMP.

''by [[Utente:giomba | giomba]]''

=== 5 Settembre: Il Terminale Unix/Linux ===
Introduzione ai concetti e ai comandi più utilizzati per gestire il sistema da terminale. Consulta il nostro How-To sul [[Linea_di_comando | terminale]].

''by [[Utente:giomba | giomba]]''

[[Category:Officina]]

Diventa socio

2025-01-02T21:14:54Z

Giomba: Aggiornamento quota 2025

[[File:Cena-sociale-estate-2018.jpeg|right|400px]]

L'Associazione GOLEM si sostenta principalmente grazie alle quote associative e alle donazioni dei propri soci.

Associarsi al GOLEM permette di:
* accedere all'Officina Informatica
* partecipare ai corsi organizzati in sede
* usufruire del materiale e della strumentazione presente
* sostenere la promozione del software libero nel territorio
* e molto altro ([[Chi siamo|Chi siamo?]])

La quota associativa per l'anno 2025 è fissata a 20€ per la Tessera Ordinaria e a 10€ per la Tessera Junior (under 19).

== Modalità ==
La quota associativa può essere versata:
* in contanti direttamente al Tesoriere durante le serate in Officina. Verificare sul [https://blog.golem.linux.it/calendario calendario] quando l'Officina è aperta.
* tramite bonifico bancario intestato a "'''GOLEM Gruppo Operativo Linux Empoli'''" sull'IBAN '''IT08O0842538171000031246515'''.
* tramite PayPal utilizzando i pulsanti sottostanti

'''Nota:''' specificare ''<nome> <cognome> <indirizzo email> <anno>'' nella causale del bonifico o nel messaggio Paypal.

Esempio: ''Linus Torvalds torvalds@kernel.org 2025''

'''Tessera'''
<html>
<form action="https://www.paypal.com/donate" method="post" target="_top">
<input type="hidden" name="hosted_button_id" value="CTYBDKVB2L6Q4" />
<input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_donate_LG.gif" border="0" name="submit" title="PayPal - The safer, easier way to pay online!" alt="Donate with PayPal button" />
<img alt="" border="0" src="https://www.paypal.com/it_IT/i/scr/pixel.gif" width="1" height="1" />
</form>
</html>

'''Tessera Junior'''
<html>
<form action="https://www.paypal.com/donate" method="post" target="_top">
<input type="hidden" name="hosted_button_id" value="MWPB8GW3SLTSQ" />
<input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_donate_LG.gif" border="0" name="submit" title="PayPal - The safer, easier way to pay online!" alt="Donate with PayPal button" />
<img alt="" border="0" src="https://www.paypal.com/it_IT/i/scr/pixel.gif" width="1" height="1" />
</form>
</html>

Btrfs

2024-12-31T14:37:09Z

Giomba: Bilanciamento

= Introduzione =
Btrfs è un filesystem di nuova generazione designato per rimpiazzare Ext3 e Ext4 sui sistemi Linux.

Integra a livello di filesystem la gestione di volumi, snapshot e RAID rendendo non più necessario il ricorso a [http://en.wikipedia.org/wiki/Logical_Volume_Manager_%28Linux%29 LVM]

= Utilizzo di base =
==Creazione del filesystem==

# mkfs.btrfs ''/dev/partizione''

== Montaggio del filesystem ==
# mount -o compress=lzo ''/dev/partizione'' ''/mnt/punto_mount''

(Si consiglia di usare l'opzione di compressione del filesystem per migliorare le performance ed ottimizzare l'utilizzo dello spazio)

==Creazione di un subvolume==
# btrfs subvolume create ''subvolume''

== Montaggio di un subvolume ==
# mount -o subvol=''subvolume'' ''/dev/partizione'' ''/mnt/punto_mount''

==Conversione da Ext3/4 a Btrfs==
# btrfs-convert /dev/partizione

Automaticamente è creata una snapshot contenente il vecchio filesystem (''/ext2_saved'')

In caso di problemi può essere montata col comando
# mount -t btrfs -o subvol=ext2_saved /dev/xxx /ext2_saved
# mount -t ext3 -o loop,ro /ext2_saved/image /ext3

Se tutto è andato a buon fine può invece essere eliminata
# btrfs subvolume delete /ext2_saved

=Riparazione di un filesystem danneggiato=
Ci sono due modalità:

==Riparazione online==
Si può tentare di riparare il filesystem a caldo (mentre questo è montato)
# btrfs scrub start -B /dev/partizione
o anche direttamente sulla root
# btrfs scrub start -B /

==Riparazione offline==
Precedentemente conosciuta come btrfsck, nel caso in cui l'operazione di ripristino precedente fallisca, si deve smontare il disco e, da live, dare:
# btrfs check --repair /dev/partizione

=Tips and tricks=
Se si preferisce non utilizzare una partizione /boot in formato tradizionale (ext2/3/4, reiser, etc...), al fine di evitare possibili problemi di avvio con GRUB, specialmente abilitando opzioni come la compressione del filesystem di root, si consiglia di partizionare il disco nel formato [[UEFI_e_GPT | GPT]] ed utilizzare la Bios Grub Partition o l'EFI System nel caso si possieda un moderno PC dotato di UEFI.

=Gestione avanzata=
Normalmente la root di sistema viene collocata in un subvolume (es.: ''@''), per poter effettuare opzioni di snapshot etc e consigliabile montare il filesystem con l'opzione ''subvolid=0''. Nella directory di mount saranno visibili tutti i subvolumi e le snapshot della partizione e sarà quindi possibile effettuare tutte le operazioni indicate nei passaggi successivi.

Ecco un '''/etc/fstab''' di esempio
LABEL=ROOT / btrfs defaults,compress=lzo,subvol=@ 0 0
LABEL=ROOT /home btrfs defaults,compress=lzo,subvol=@home 0 0
LABEL=ROOT /mnt/btrfs btrfs defaults,noauto,subvolid=0,compress=lzo 0 0

Montando la partizione con label ROOT su /mnt/btrfs saranno visibili tutti i subvolumi.

==Creazione e gestione delle snapshot==
===Controllare i subvolumi presenti sul sistema===
# btrfs subvolume list /

In una tipica installazione Ubuntu avremo un output di questo tipo
ID 257 gen 9755 top level 5 path @
ID 292 gen 7624 top level 5 path @home

''@'' è il nome del subvolume contenente la root '''/''' del filesystem
''@home'' è il nome del subvolume della /home

===Effettuare una snapshot===
# btrfs subvolume snapshot @ rootsnap

Nell'esempio abbiamo effettuato il ''backup'' del filesystem di root e l'abbiamo chiamato ''rootsnap''

=== Montare un subvolume/snapshot===
# mount -t btrfs -o subvol=rootsnap /dev/partizione /mnt/snapshot

===Cancellare un subvolume/snapshot===
# btrfs subvolume delete rootsnap

===Aggiungere a GRUB l'opzione per avviare una snapshot===
Editare ''/etc/grub.d/40_custom'' (o crearlo) e aggiungere quanto segue per permettere l'avvio della snapshot ''rootsnap''

menuentry 'Linux snapshot' {
insmod gzio
insmod part_gpt
insmod btrfs
set root='hd1,gpt3'
linux /rootsnap/boot/vmlinuz-linux root=/dev/partizione rw rootflags=subvol=rootsnap quiet
initrd /rootsnap/boot/initramfs-linux.img
}

dopodichè aggiornare la configurazione di GRUB con
# grub-mkconfig -o /boot/grub/grub.cfg
su Debian/Ubuntu si può anche dare
# update-grub

==RAID 0==
# mkfs.btrfs -d raid0 /dev/sda1 /dev/sdb1

=== Montare il raid ===
# mount /dev/sda1 /mnt

(È equivalente a ''mount /dev/sdb1 /mnt'', il sistema riconosce che è presente un raid 0 e provvede al montaggio corretto dei dischi)

Verifica del montaggio
# btrfs filesystem show /mnt

Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 2 FS bytes used 27.75GiB
devid 1 size 136.72GiB used 17.03GiB path /dev/sda1
devid 2 size 136.72GiB used 17.01GiB path /dev/sdb1

===Aggiungere una partizione===
# btrfs device add /dev/sdc1 /mnt

# btrfs filesystem show /mnt
Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 3 FS bytes used 27.75GiB
devid 1 size 136.72GiB used 17.03GiB path /dev/sda1
devid 2 size 136.72GiB used 17.01GiB path /dev/sdb1
devid 3 size 136.72GiB used 0.00 path /dev/sdc1

Adesso è necessario effettuare una redistribuzione dei dati sui tre dischi

# btrfs balance start -d -m /mnt

# btrfs filesystem show /mnt
Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 3 FS bytes used 27.78GiB
devid 1 size 136.72GiB used 10.03GiB path /dev/sda1
devid 2 size 136.72GiB used 10.03GiB path /dev/sdb1
devid 3 size 136.72GiB used 11.00GiB path /dev/sdc1

===Rimuovere un device===
# btrfs device delete /dev/sdb1 /mnt

L'operazione può impiegare parecchio tempo e per andare a buon fine sui dischi rimanenti deve essere rimasto sufficiente spazio libero da ospitare i dati contenuti nel device che vogliamo togliere dal raid.

==RAID 1==
# mkfs.btrfs -d raid1 -m raid1 /dev/sda1 /dev/sdb1

== RAID 5 ==
=== Conversione a RAID5===
# btrfs balance start -dconvert=raid5 -mconvert=raid5 ''/punto_di_mount''

===Sostituzione device danneggiato===
# btrfs replace start /dev/sdb1 /dev/sdc1 ''/punto_di_mount''

In alcuni casi potrebbe essere necessario montare il filesystem in modalità '''degraded''' (con l'opzione ''-o degraded'') e lanciare il successivo comando per eliminare definitivamente il device dal raid.
# btrfs device delete missing /mnt

== Quote ==
Per limitare le dimensioni di un subvolume è possibile abilitare la gestione delle '''quote'''.

Utilizzare il seguente comando su un filesystem btrfs appena creato e privo di subvolumi
# btrfs quota enable volume

Se invece le quote non sono state abilitate subito su tutto il filesystem è necessario creare un qgroup (quota group) per ogni subvolume utilizzando il rispettivo ID e successivamente fare una scansione delle quote.
# btrfs subvolume list <path> | cut -d' ' -f2 | xargs -I{} -n1 btrfs qgroup create 0/{} <path>
# btrfs quota rescan <path>

Assegnare una quota limite ad un subvolume
# btrfs qgroup limit size /volume/subvolume

Es.:
# btrfs qgroup limit 20g /mnt/@
# btrfs qgroup limit 100g /mnt/@home

Scoprire la quantità di spazio utilizzata da un subvolume
# btrfs qgroup show <path>

== Backup ==
Le snapshot possono essere salvate su un disco esterno, a patto che questo abbia un file system btrfs.
L'operazione di trasferimento può essere effettuata soltanto su snapshot in sola lettura.
Si ipotizza che il proprio disco di sistema sia montato in /mnt/btrfs ed il disco esterno in /mnt/ext

* Creare la snapshot in sola lettura (opzione -r) oppure impostare il flag di sola lettura ad una snapshot già fatta
btrfs subvolume snapshot -r @root @root-yymmdd-ro
btrfs property set /mnt/btrfs/@root-yymmdd-ro ro true
* Trasferire la snapshot sul disco esterno.
btrfs send /mnt/btrfs/@root-yymmdd-ro | btrfs receive /mnt/ext
* Quando necessario, ripristinare la snapshot
btrfs send /mnt/ext/@root-yymmdd-ro | btrfs receive /mnt/btrfs/
* Eventualmente, rinominare la snapshot e reimpostare i privilegi di scrittura
mv /mnt/ext/{@root-yymmdd-ro,@root}
btrfs property set /mnt/btrfs/@root ro false

== Bilanciamento ==
Btrfs tende ad utilizzare quanto più spazio possibile su disco, in maniera tale da massimizzare le performance.
Dopo un po' l'allocazione può risultare molto frammentata, e, se in generale non è un problema per i dischi a stato solido, a volte è anche necessario recuperare spazio, ad esempio per ridurre le dimensioni della partizione btrfs.

Per ribilanciare i chunk parzialmente utilizzati (es. al ''40%''):

btrfs balance start -dusage=40 /mnt/btrfs

'''Attenzione:''' a seconda della dimensione del filesystem e del tipo di supporto fisico sottostante (es. disco meccanico oppure a stato solido), questa operazione potrebbe richiedere anche diverse ore.

= Bibliografia =
* http://lwn.net/Articles/577961/
* https://btrfs.readthedocs.io/

[[Category:Howto]]

Btrfs

2024-12-31T14:30:45Z

Giomba: Aggiornamento fonti bibliografiche

= Introduzione =
Btrfs è un filesystem di nuova generazione designato per rimpiazzare Ext3 e Ext4 sui sistemi Linux.

Integra a livello di filesystem la gestione di volumi, snapshot e RAID rendendo non più necessario il ricorso a [http://en.wikipedia.org/wiki/Logical_Volume_Manager_%28Linux%29 LVM]

= Utilizzo di base =
==Creazione del filesystem==

# mkfs.btrfs ''/dev/partizione''

== Montaggio del filesystem ==
# mount -o compress=lzo ''/dev/partizione'' ''/mnt/punto_mount''

(Si consiglia di usare l'opzione di compressione del filesystem per migliorare le performance ed ottimizzare l'utilizzo dello spazio)

==Creazione di un subvolume==
# btrfs subvolume create ''subvolume''

== Montaggio di un subvolume ==
# mount -o subvol=''subvolume'' ''/dev/partizione'' ''/mnt/punto_mount''

==Conversione da Ext3/4 a Btrfs==
# btrfs-convert /dev/partizione

Automaticamente è creata una snapshot contenente il vecchio filesystem (''/ext2_saved'')

In caso di problemi può essere montata col comando
# mount -t btrfs -o subvol=ext2_saved /dev/xxx /ext2_saved
# mount -t ext3 -o loop,ro /ext2_saved/image /ext3

Se tutto è andato a buon fine può invece essere eliminata
# btrfs subvolume delete /ext2_saved

=Riparazione di un filesystem danneggiato=
Ci sono due modalità:

==Riparazione online==
Si può tentare di riparare il filesystem a caldo (mentre questo è montato)
# btrfs scrub start -B /dev/partizione
o anche direttamente sulla root
# btrfs scrub start -B /

==Riparazione offline==
Precedentemente conosciuta come btrfsck, nel caso in cui l'operazione di ripristino precedente fallisca, si deve smontare il disco e, da live, dare:
# btrfs check --repair /dev/partizione

=Tips and tricks=
Se si preferisce non utilizzare una partizione /boot in formato tradizionale (ext2/3/4, reiser, etc...), al fine di evitare possibili problemi di avvio con GRUB, specialmente abilitando opzioni come la compressione del filesystem di root, si consiglia di partizionare il disco nel formato [[UEFI_e_GPT | GPT]] ed utilizzare la Bios Grub Partition o l'EFI System nel caso si possieda un moderno PC dotato di UEFI.

=Gestione avanzata=
Normalmente la root di sistema viene collocata in un subvolume (es.: ''@''), per poter effettuare opzioni di snapshot etc e consigliabile montare il filesystem con l'opzione ''subvolid=0''. Nella directory di mount saranno visibili tutti i subvolumi e le snapshot della partizione e sarà quindi possibile effettuare tutte le operazioni indicate nei passaggi successivi.

Ecco un '''/etc/fstab''' di esempio
LABEL=ROOT / btrfs defaults,compress=lzo,subvol=@ 0 0
LABEL=ROOT /home btrfs defaults,compress=lzo,subvol=@home 0 0
LABEL=ROOT /mnt/btrfs btrfs defaults,noauto,subvolid=0,compress=lzo 0 0

Montando la partizione con label ROOT su /mnt/btrfs saranno visibili tutti i subvolumi.

==Creazione e gestione delle snapshot==
===Controllare i subvolumi presenti sul sistema===
# btrfs subvolume list /

In una tipica installazione Ubuntu avremo un output di questo tipo
ID 257 gen 9755 top level 5 path @
ID 292 gen 7624 top level 5 path @home

''@'' è il nome del subvolume contenente la root '''/''' del filesystem
''@home'' è il nome del subvolume della /home

===Effettuare una snapshot===
# btrfs subvolume snapshot @ rootsnap

Nell'esempio abbiamo effettuato il ''backup'' del filesystem di root e l'abbiamo chiamato ''rootsnap''

=== Montare un subvolume/snapshot===
# mount -t btrfs -o subvol=rootsnap /dev/partizione /mnt/snapshot

===Cancellare un subvolume/snapshot===
# btrfs subvolume delete rootsnap

===Aggiungere a GRUB l'opzione per avviare una snapshot===
Editare ''/etc/grub.d/40_custom'' (o crearlo) e aggiungere quanto segue per permettere l'avvio della snapshot ''rootsnap''

menuentry 'Linux snapshot' {
insmod gzio
insmod part_gpt
insmod btrfs
set root='hd1,gpt3'
linux /rootsnap/boot/vmlinuz-linux root=/dev/partizione rw rootflags=subvol=rootsnap quiet
initrd /rootsnap/boot/initramfs-linux.img
}

dopodichè aggiornare la configurazione di GRUB con
# grub-mkconfig -o /boot/grub/grub.cfg
su Debian/Ubuntu si può anche dare
# update-grub

==RAID 0==
# mkfs.btrfs -d raid0 /dev/sda1 /dev/sdb1

=== Montare il raid ===
# mount /dev/sda1 /mnt

(È equivalente a ''mount /dev/sdb1 /mnt'', il sistema riconosce che è presente un raid 0 e provvede al montaggio corretto dei dischi)

Verifica del montaggio
# btrfs filesystem show /mnt

Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 2 FS bytes used 27.75GiB
devid 1 size 136.72GiB used 17.03GiB path /dev/sda1
devid 2 size 136.72GiB used 17.01GiB path /dev/sdb1

===Aggiungere una partizione===
# btrfs device add /dev/sdc1 /mnt

# btrfs filesystem show /mnt
Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 3 FS bytes used 27.75GiB
devid 1 size 136.72GiB used 17.03GiB path /dev/sda1
devid 2 size 136.72GiB used 17.01GiB path /dev/sdb1
devid 3 size 136.72GiB used 0.00 path /dev/sdc1

Adesso è necessario effettuare una redistribuzione dei dati sui tre dischi

# btrfs balance start -d -m /mnt

# btrfs filesystem show /mnt
Label: none uuid: 4714fca3-bfcb-4130-ad2f-f560f2e12f8e
Total devices 3 FS bytes used 27.78GiB
devid 1 size 136.72GiB used 10.03GiB path /dev/sda1
devid 2 size 136.72GiB used 10.03GiB path /dev/sdb1
devid 3 size 136.72GiB used 11.00GiB path /dev/sdc1

===Rimuovere un device===
# btrfs device delete /dev/sdb1 /mnt

L'operazione può impiegare parecchio tempo e per andare a buon fine sui dischi rimanenti deve essere rimasto sufficiente spazio libero da ospitare i dati contenuti nel device che vogliamo togliere dal raid.

==RAID 1==
# mkfs.btrfs -d raid1 -m raid1 /dev/sda1 /dev/sdb1

== RAID 5 ==
=== Conversione a RAID5===
# btrfs balance start -dconvert=raid5 -mconvert=raid5 ''/punto_di_mount''

===Sostituzione device danneggiato===
# btrfs replace start /dev/sdb1 /dev/sdc1 ''/punto_di_mount''

In alcuni casi potrebbe essere necessario montare il filesystem in modalità '''degraded''' (con l'opzione ''-o degraded'') e lanciare il successivo comando per eliminare definitivamente il device dal raid.
# btrfs device delete missing /mnt

== Quote ==
Per limitare le dimensioni di un subvolume è possibile abilitare la gestione delle '''quote'''.

Utilizzare il seguente comando su un filesystem btrfs appena creato e privo di subvolumi
# btrfs quota enable volume

Se invece le quote non sono state abilitate subito su tutto il filesystem è necessario creare un qgroup (quota group) per ogni subvolume utilizzando il rispettivo ID e successivamente fare una scansione delle quote.
# btrfs subvolume list <path> | cut -d' ' -f2 | xargs -I{} -n1 btrfs qgroup create 0/{} <path>
# btrfs quota rescan <path>

Assegnare una quota limite ad un subvolume
# btrfs qgroup limit size /volume/subvolume

Es.:
# btrfs qgroup limit 20g /mnt/@
# btrfs qgroup limit 100g /mnt/@home

Scoprire la quantità di spazio utilizzata da un subvolume
# btrfs qgroup show <path>

== Backup ==
Le snapshot possono essere salvate su un disco esterno, a patto che questo abbia un file system btrfs.
L'operazione di trasferimento può essere effettuata soltanto su snapshot in sola lettura.
Si ipotizza che il proprio disco di sistema sia montato in /mnt/btrfs ed il disco esterno in /mnt/ext

* Creare la snapshot in sola lettura (opzione -r) oppure impostare il flag di sola lettura ad una snapshot già fatta
btrfs subvolume snapshot -r @root @root-yymmdd-ro
btrfs property set /mnt/btrfs/@root-yymmdd-ro ro true
* Trasferire la snapshot sul disco esterno.
btrfs send /mnt/btrfs/@root-yymmdd-ro | btrfs receive /mnt/ext
* Quando necessario, ripristinare la snapshot
btrfs send /mnt/ext/@root-yymmdd-ro | btrfs receive /mnt/btrfs/
* Eventualmente, rinominare la snapshot e reimpostare i privilegi di scrittura
mv /mnt/ext/{@root-yymmdd-ro,@root}
btrfs property set /mnt/btrfs/@root ro false

= Bibliografia =
* http://lwn.net/Articles/577961/
* https://btrfs.readthedocs.io/

[[Category:Howto]]

IPv6 @ GOLEM

2024-12-29T21:04:09Z

Giomba: Discorso su MTU e MSS per link ballerini

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

Una volta abilitato ''radvd'' sull'interfaccia di rete desiderata, gli host inizieranno ad assegnarsi automaticamente un indirizzo tramite SLAAC, e potranno navigare in IPv6.

==== Una nota sull'MTU del collegamento ====
Con la configurazione appena descritta, gli host crederanno di utilizzare una rete nativa dual-stack (o IPv6-only, nel caso non fosse previsto IPv4).
In realtà, però, i pacchetti IPv6 non sono "nativi", bensì, una volta giunti al gateway, vengono poi incapsulati in maniera completamente trasparente.

Ciò significa che gli host crederanno di poter generare pacchetti IPv6 della dimensione massima ammessa dal link a cui sono collegati (es. Ethernet, WiFi), che in genere è di 1500 bytes.
Però, pacchetti così grandi non possono essere incapsulati, in quanto anche il link che il gateway utilizza per la VPN, in genere, consente pacchetti di dimensione massima di 1500 bytes: non rimane spazio per l'incapsulamento.

Questo può creare problemi, talvolta sporadici, non facilmente ripetibili, o ancora, dipendenti dal sito a cui si sta tentando di collegarsi, specialmente se si usa TCP.
Un sintomo molto comune è che, navigando sul web, si può rilevare che alcuni siti - ma solo alcuni, perfettamente funzionanti sia da IPv4 che da altre connessioni IPv6, vanno in timeout quando si prova ad accedervi.

Questo succede perché TCP tenta di massimizzare la quantità di informazione contenuta all'interno di un pacchetto IP, generando pacchetti molto grandi, e talvolta raggiungendo il limite oltre il quale il pacchetto non può più essere incapsulato dal gateway.

{{Template:Note
|type=info
|text=Per verificare che il problema sia questo, provare a forzare una MTU artificialmente più bassa sulla scheda di rete, tramite il comando <code>ip link set enp1s0 mtu 1400</code>, e poi verificare se il problema scompare.
}}

Perciò, sarà necessario fare in modo che il gateway modifichi i pacchetti di handshake del TCP in maniera tale che non venga mai negoziata una ''Max Segment Size'' troppo alta per il link.

===== Modificare la Max Segment Size =====

{{Template:Note
|type=info
|text=Abbassare la MSS elimina il problema, ma al contempo aumenta l'overhead, rendendo la connessione leggermente più lenta. È consigliabile trovare il giusto compromesso che soddisfi sia le esigenze di funzionamento che le esigenze in termini di prestazioni. Per farlo, ci si può aiutare con <code>tracepath</code>.
}}

* con un gateway Linux:
** TODO: è davvero necessario? Lo fa da solo?
* con un gateway Mikrotik:
/ipv6/firewall/mangle/add out-interface=wg0 protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====
Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2024-12-29T20:32:19Z

Giomba: 2^

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| 2<sup>32</sup> = 4 miliardi
|-
| IPv6
| 128 bit
| 2<sup>128</sup> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben 2<sup>80</sup> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben 2<sup>16</sup> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (2<sup>4</sup = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (2<sup>4</sup> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2<sup>64</sup> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====
Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2024-11-01T12:35:54Z

Giomba: /* Routing - correzione routing con instradamento anche verso la rete interna (es. da host interno ad altro host interno), e spiegazione dettagliata */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| <math>2^{32}</math> = 4 miliardi
|-
| IPv6
| 128 bit
| <math>2^{128}</math> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben <math>2^{80}</math> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 rule add to 2001:470:c844::/48 table main && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del to 2001:470:c844::/48 table main && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

Spiegazione:
* I pacchetti provenienti dalla sottorete del GOLEM devono utilizzare la tabella di routing <code>golemsix</code>:
ip -6 rule add from 2001:470:c844::/48 table golemsix

* I pacchetti destinati alla sottorete del GOLEM devono utilizzare la tabella di routing <code>main</code>, così da poter essere instradati correttamente anche ai soci collegati con la VPN Wireguard. Si noti che, se inserita in quest'ordine, questa seconda regola ha priorità sulla precedente, ed è quello che vogliamo.
ip -6 rule add to 2001:470:c844::/48 table main

* Il default gateway per i pacchetti che utilizzano la tabella di routing <code>golemsix</code> è l'endpoint del tunnel broker
ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix

* Aggiorna la cache del routing:
ip -6 route flush cache

Analogamente, vengono eseguite le operazioni inverse quando viene spenta l'interfaccia di rete.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben <math>2^{16}</math> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (<math>2^4</math> = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (<math>2^4</math> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben <math>2^{64}</math> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====
Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2024-11-01T10:46:41Z

Giomba: /* Rete /48 - precisazioni sul nuovo meccanismo di source routing che utilizziamo */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| <math>2^{32}</math> = 4 miliardi
|-
| IPv6
| 128 bit
| <math>2^{128}</math> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben <math>2^{80}</math> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Routing ===
Si può decidere di instradare tutto il traffico IPv6 tramite il tunnel broker, senza mai utilizzare l'IPv6 assegnato dal provider.

Se però il server dispone già di un IPv6 assegnato dal provider, probabilmente si vuole e si può:
* utilizzare il suo IPv6 per navigare dal server, usando il gateway del provider
* utilizzare il gateway del tunnel broker solo per instradare i pacchetti della rete virtuale /48 che è stata assegnata

Al GOLEM abbiamo fatto questa seconda scelta.
Perciò, '''non''' si deve aggiungere il gateway del tunnel broker come default gateway della configurazione in ''/etc/network/interfaces'', ma si deve aggiungere una regola di routing a mano per la sottorete del GOLEM, di fatto implementando ''source routing''.

{{Note
|type=info
|text=Chiamasi ''source routing'' l'instradamento dei pacchetti fatto in base al loro indirizzo sorgente e non quello di destinazione, che è il modo standard
}}

1. Modificare ''/etc/iproute2/rt_tables'' aggiungendo una nuova tabella di routing:
200 golemsix

2. Aggiungere il routing dei pacchetti provenienti dalla sottorete del GOLEM automaticamente al post-up dell'interfaccia del tunnel in ''/etc/network/interfaces'':
post-up ip -6 rule add from 2001:470:c844::/48 table golemsix && ip -6 route add default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 route flush cache
pre-down ip -6 route del default via 2001:470:1f12:69::1 dev he6in4 table golemsix && ip -6 rule del from 2001:470:c844::/48 table golemsix && ip -6 route flush cache

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben <math>2^{16}</math> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (<math>2^4</math> = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (<math>2^4</math> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben <math>2^{64}</math> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====
Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

IPv6 @ GOLEM

2024-11-01T10:37:58Z

Giomba: /* Iniziare: rete /64 - specificare l'utilizzo del default gateway, riportando anche la configurazione attualizzata */

== Due parole su questa pagina ==
Questa pagina è un maldestro tentativo:
* per riassumere le ragioni che ci hanno portato a decidere di dotarci di IPv6;
* per documentare la nostra infrastruttura di rete;

=== A chi si rivolge questa pagina ===
* se sei l''''amministratore di rete''', buona lettura :-)
* se sei un '''socio''', vedi come [[#Configurazione_lato_client | configurare il tuo client]]; è sufficiente leggere solo questo paragrafo.

== Due parole sull'IPv6 ==
[https://it.wikipedia.org/wiki/IPv6 IPv6] è un "nuovo" protocollo a livello di rete che da diversi anni sta sostituendo IPv4.
Le novità introdotte da IPv6 sono molteplici; tra queste, quella che balza immediatamente all'occhio è l'enorme dimensione dello spazio di indirizzamento.

{| class="wikitable"
| '''Protocollo'''
| '''lunghezza indirizzo'''
| '''numero indirizzi'''
|-
| IPv4
| 32 bit
| <math>2^{32}</math> = 4 miliardi
|-
| IPv6
| 128 bit
| <math>2^{128}</math> = 256 miliardi di miliardi di miliardi di miliardi
|}

Su questo pianeta vi sono circa 8 miliardi di persone [https://it.wikipedia.org/wiki/Popolazione_mondiale], di cui la metà [http://www.lastampa.it/2018/01/31/tecnologia/gli-utenti-di-internet-sono-pi-di-quattro-miliardi-nel-mondo-milioni-in-italia-wMxQskzXeabwa3wgWI2jUO/pagina.html] è connessa a Internet, e nei paesi sviluppati hanno anche più di un dispositivo connesso. Si aggiungano i numerosissimi apparati di rete e server necessari per il funzionamento dell'infrastruttura e la fornitura di servizi, e si può facilmente intuire che IPv4 non è più sufficiente per le attuali necessità.

Mentre questa pagina veniva scritta, gli IPv4 stavano finendo [https://en.wikipedia.org/wiki/IPv4_address_exhaustion].
Nel novembre 2019, il RIPE (il registro europeo) ha terminato l'assegnazione degli ultimi indirizzi IPv4 assegnati all'Europa, [https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool] e adesso vengono solo riutilizzati quelli vecchi, che significa che:
* non ci sono più indirizzi "nuovi" e dunque non è più possibile richiederli con facilità;
* se si vogliono degli indirizzi IPv4, si viene messi in lista d'attesa, finché il precedente proprietario fallisce e rilascia i propri.

=== IPv4 vs IPv6 ===
==== Notazione ====
* IPv4 → 4 byte rappresentati con numeri decimali separati da un punto, es: <code>192.0.2.127</code>
* IPv6 → 16 byte, ogni byte è rappresentato da due cifre esadecimali; ogni 4 cifre esadecimali si inseriscono i ''due punti'' <code>:</code>; come in IPv4 è possibile omettere gli zeri in testa; la più lunga sequenza di zeri allineata a 4 può essere omessa per intero; esempi (indirizzi equivalenti):
** <code>2001:0470:c844:0020:0000:0000:0000:0001</code>
** <code>2001:470:c844:20:0:0:0:1</code>
** <code>2001:470:c844:20::1</code>

==== Tipi di indirizzi ====
* IPv6 Reference Card by RIPE [https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-address-types/ipv6_reference_card_July2015.pdf]

Riassunto:
{| class="wikitable"
| '''IPv6'''
| '''Equivalente IPv4'''
| '''Significato'''
|-
| <code>::1/128</code>
| <code>127.0.0.1</code>
| Indirizzo loopback
|-
| <code>fc00::/7</code>
| <code>192.168.0.0/16</code>, <code>10.0.0.0/8</code>, <code>172.16.0.0/12</code>
| Indirizzo privato
|-
| <code>fe80::/10</code>
| <code>169.254.0.0/16</code>
| Indirizzo link-local (univoco nella rete locale, e autoassegnato)
|-
| <code>2001:db8::/32</code>
| <code>192.0.2.0/24</code>
| Esempi e documentazione
|-
| <code>2000::/3</code>
|
| Indirizzi unicast globalmente raggiungibili
|}

==== Indirizzi pubblici vs privati ====
Gli IPv6 sono così tanti che non c'è bisogno di utilizzare indirizzi privati: niente NAT, niente port-forwarding. Questo restituisce connettività end-to-end ai dispositivi e apre numerose nuove possibilità di impiego, rimaste nascoste per anni a causa della scarsità di IPv4 e degli osceni espedienti inventati. Una banalità: non sarà più necessario passare attraverso un server terzo per condividere documenti, chattare o telefonare ai propri contatti.

Se necessarie, le caratteristiche di "sicurezza" introdotte dal NAT possono essere sostituite e accorpate a un banale firewall.

==== Progettazione di una rete ====
Nel progettare una rete con IPv4, la necessità principale è quella di risparmiare sugli indirizzi, perciò vengono usati prefissi di rete di varia lunghezza.
Nel progettare una rete con IPv6, si hanno a disposizione così tanti indirizzi che conviene utilizzarli in maniera da renderne più agevole una distribuzione logica.

Sono così identificate le seguenti dimensioni standard per le reti IPv6 (nulla vieta di usare dimensioni personalizzate):
* '''/126''': contiene 2 soli host, utilizzata per i collegamenti punto-punto nell'infrastruttura di rete;
* '''/64''': è la più piccola rete che dovrebbe essere fatta; dimensione utilizzata nelle LAN; lo spazio di indirizzamento è esageratamente sovradimensionato ed è sufficiente per qualunque LAN immaginabile (è 4 miliardi di volte più grande di tutta la rete Internet IPv4); viene usata in ambito domestico;
* '''/56''': contiene 256 reti di dimensione /64, viene usata in ambito domestico o per piccole imprese;
* '''/48''': contiene 65536 reti di dimensione /64, viene usata in ambito aziendale;

Le LAN non devono avere un prefisso più lungo di /64, perché molte nuove funzionalità introdotte con IPv6 (es SLAAC, Privacy Extension, ...), e anche funzionalità che saranno introdotte in futuro, daranno per scontato che le reti abbiano almeno questa dimensione.

=== Ottenere connettività IPv6 ===
* si può richiedere nativamente al proprio ISP. Quando è stata scritta questa pagina, in Italia non erano molti gli operatori che fornivano connettività IPv6 nativa; adesso sono di più, perché gli IPv4 sono finiti, e non sarebbe altrimenti possibile fare business, ma alcuni operatori (specialmente quelli più grandi e noti), ancora non forniscono connettività IPv6 nativa;
* si possono fare dei tunnel che veicolano il traffico IPv6 all'interno dei pacchetti IPv4 (sprecando un po' di banda);

Tunnel:
* pro:
** molti sono gratuiti;
* contro:
** spreco di banda per incapsulare i pacchetti (qualche decina di byte in più per ogni pacchetto, circa 20 ogni 1500);
** maggiore latenza;
** alcuni richiedono un indirizzo IPv4 statico; altri richiedono complicate configurazioni per l'uso con indirizzi dinamici;
** alcuni non funzionano dietro NAT (la quasi totalità delle reti domestiche);

== Considerazioni e descrizione generale ==

Come portare IPv6 al GOLEM?

È stato realizzato un tunnel tra un intermediario e il nostro VPS. L'intermediario inoltra al VPS tutti i pacchetti destinati alla nostra rete.
La nostra rete viene scomposta in sottoreti: una rete di backbone, una per l'officina e una per ogni altro punto di accesso necessario, es. uno per ogni abitazione dei soci.
Il VPS conosce le rotte per raggiungere ogni singola sottorete e inoltra i pacchetti che riceve dall'intermediario verso il giusto router di ogni punto di accesso.
Il router del punto di accesso inoltra i pacchetti allo specifico host destinatario.

Si procede analogamente a ritroso.

In figura è mostrata la prima versione di visione ''logica'' della rete realizzata:
* '''HE''' (Hurricane Electric) è il provider fornitore IPv6;
* '''OVH''' è il nostro provider per il VPS;
* '''VPS''' è il nostro VPS;
* '''serverozzo''' è il gateway in [[Officina Informatica]];

Per permettere il collegamento tra il VPS e un punto di accesso (anche noto in questa pagina come ''gateway dell'utente''), non essendo possibile stendere dei cavi fisici in giro per l'Europa, utilizzeremo la nostra VPN.
Esistono delle pagine dedicate per la documentazione sulla [[Rete del GOLEM]].

<gallery>
File:Tunnel-ipv6.jpeg|Il primo prototipo della rete del GOLEM, con la VPN e il tunnel IPv6.
</gallery>

== Iniziare: rete /64 ==
Sono l'amministratore di rete e voglio attivare il tunnel IPv6 per la prima volta. Come iniziare?

Ci si registra su [https://tunnelbroker.net/ TunnelBroker] e viene assegnata d'ufficio una rete IPv6 ''/64''.

Il broker comunica i dettagli del suo PoP (''Point of Presence''):
IPv4: 216.66.84.42
IPv6: 2001:470:1f12:69::1

L'IPv6 sarà utilizzato sul collegamento ''tunnel virtuale'', collegato all'interfaccia del VPS che chiameremo ''he6in4''. Dalla nostra parte, ''he6in4'' avrà come indirizzo <code>2001:470:1f12:69::2</code>.

Attiviamo il tunnel, aggiungendo questo al ''/etc/network/interfaces'':

auto he6in4
iface he6in4 inet6 v4tunnel
address 2001:470:1f12:69::2/64
endpoint 216.66.84.42
local 152.228.140.73
ttl 255

Se si vuole utilizzare il tunnel come default gateway, aggiungere anche:
gateway 2001:470:1f12:69::1

{{Note
|type=warning
|text=È possibile utilizzare un solo default gateway su Linux, perciò assicurarsi di non confliggere con la configurazione IPv6 del vostro provider (se c'è)
}}

e verificare la connettività tra il VPS e il PoP del broker con:
$ ip -6 addr
$ ping 2001:470:1f12:69::1
e la connettività con l'Internet IPv6 con:
$ ping 2a00:1450:4002:80a::200e
che, per completezza, è l'IPv6 di <code>ipv6.google.com</code>

Nella maggior parte dei casi il server DNS IPv4 usato sin'ora ha anche il supporto per risolvere nomi IPv6.

Probabilmente però '''non''' si vorrà utilizzare questa configurazione, bensì sfruttare la rete /48 come spiegato nel prossimo paragrafo.

== Rete /48 ==
Siccome una rete IPv6 fisica (per esempio, una rete domestica) ha dimensione /64, ma il GOLEM, a sua volta, diventa provider per i soci, noi vogliamo tante reti, per l'officina e per i soci, richiediamo manualmente una ''/48''. Non ci piace essere spreconi, ma ci piace rispettare ''anche'' le RFC: a new era of Internet: [https://tools.ietf.org/html/rfc3177] [https://tools.ietf.org/html/rfc5375#section-3.1]

Ci è stata assegnata la rete <code>2001:470:c844::/48</code>, che significa:
* tutto il traffico di Internet IPv6 diretto a un indirizzo che cade in 2001:470:c844::/48 verrà instradato verso il nostro VPS;
* abbiamo a disposizione ben <math>2^{80}</math> indirizzi per pianificare la nostra rete come più ci aggrada;

Lo so, dopo anni bui di NAT dopo NAT e carenza di indirizzi, questa sembra fantascienza.

=== Piano di indirizzamento ===
Chiamarlo ''piano di indirizzamento'' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione dei nostri indirizzi''.

Sia dato l'indirizzo IPv6:

127 79 63 0
2001 : 0470 : c844 : rrrr : xxxx : xxxx : xxxx : xxxx

Siccome abbiamo 80 bit a disposizione e la rete più piccola che possiamo fare secondo RFC è di 64 bit, possiamo fare ben <math>2^{16}</math> reti (''rrrr'' nell'esempio).
Per semplicità (perché alla fine è a questo che servono tutti questi indirizzi in IPv6), poniamo ''rrrr'' = ''uugy'', dove:
* ''uu'' (8 bit) identifica l'''utente'';
* ''g'' (4 bit) identifica il gateway dell'utente (<math>2^4</math> = 16 gateway per utente)
* ''y'' (4 bit) identifica la ''sottorete personale'' di quel gateway dell'utente (<math>2^4</math> = 16 sottoreti per gateway)

Il VPS instrada direttamente tutta la sottorete /60 verso il gateway dell'utente, il quale può decidere di suddividerla come preferisce su quel gateway, da un unica grande rete /60, a 16 "piccole" reti /64.

Sono così riservate:
00gy indirizzi di servizio per l'infrastruttura (OpenVPN)
01gy indirizzi di servizio per l'infrastruttura (Wireguard)
02gy Officina (16 gateway × 16 reti)
03gy Socio-A (16 gateway × 16 reti)
04gy Socio-B (16 gateway × 16 reti)
05gy ...

Il ''numero di rete'' <code>rrrr</code> sarà usato:
* per instradare tutto il traffico diretto a <code>2001:470:c844:rrg0::/60</code> verso il gateway dell'utente;
* per assegnare l'indirizzo <code>2001:470:c844::rrg0/64</code> al gateway dell'utente nella rete di servizio;
Si noti la "piccola" differenza.

Per esempio, supponiamo di voler attivare ''serverozzo'', per il quale:
* ''uu = 02'' (''02'' è l'utente ''Officina'')
* ''g = 0'' (''0'' il primo — e al momento unico — gateway in Officina)
allora:
* serverozzo avrà indirizzo <code>2001:470:c844::200/64</code> lato VPN;
* tutto il traffico per <code>2001:470:c844:200::/60</code> verrà instradato verso serverozzo;

E su serverozzo potranno essere create fino a 16 reti, per esempio:
* per la rete cablata Ethernet dell'Officina (<code>2001:470:c844:200::/64</code> sull'interfaccia <code>ethI</code>);
* per la rete wireless dell'Officina (<code>2001:470:c844:201::/64</code> sull'interfaccia <code>wlan0</code>);
* per la rete cablata bus RS-485 (<code>2001:470:c844:202::/64</code> sull'interfaccia <code>ttyS0</code>);
* per le macchine virtuali su KVM (<code>2001:470:c844:203::/64</code> sull'interfaccia <code>vir0</code>);
* per le macchine virtuali su docker (<code>2001:470:c844:204::/64</code> sull'interfaccia <code>docker0</code>);
* ...
'''Nota:''' questo è solo un esempio, la configurazione finale su serverozzo è ancora in fase di definizione.

Nella prima rete di servizio (<code>2001:470:c844::/64</code>) ci sono:
* il VPS
* tutti i gateway
** per esempio, serverozzo
** per esempio, i gateway dei soci
I gateway dei soci non sono diversi da serverozzo, e tuttavia la loro configurazione può essere più semplice se invece che da gateway fungono come semplici end-point.

Così organizzate, le risorse si esauriranno in questo ordine:
* la banda a disposizione del VPS (500M/500M);
* la capacità computazionale e di memoria del VPS per l'inoltro dei pacchetti;
* gli IPv6 (gli IPv6 non finiranno mai)

Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la dimensione del bacino di utenti, non dovrebbe essere necessario.

== Installazione del server ==
La VPN del GOLEM può essere utilizzata per la navigazione in IPv6.
La VPN è realizzata per mezzo di Wireguard.

A differenza di altri protocolli, come OpenVPN, Wireguard ha un approccio "peer to peer", per cui la procedura di configurazione del server rispecchia per buona parte quella di ciascun client.

Innanzitutto è necessario generare la coppia di chiavi pubblica/privata del server:

# wg genkey | tee /etc/wireguard/server.privkey | wg pubkey > /etc/wireguard/vpn.golem.linux.it.pubkey

Per la configurazione è sufficiente creare un singolo file, ad esempio <code>/etc/wireguard/wg0.conf</code>:

[Interface]
# Carica la chiave privata dal percorso dove la abbiamo generata precedentemente
PostUp = wg set %i private-key /etc/wireguard/vpn.golem.linux.it.privkey
# Porta UDP di ascolto del server, a piacere
ListenPort = 51820
# Indirizzo del server all'interno della VPN
Address = 2001:470:c844:100::1

Il server può essere avviato tramite ''systemd'', e con lo stesso sistema si può impostare l'avvio automatico.
Si noti che <code>@wg0</code> corrisponde al file di configurazione precedentemente creato.

# systemctl start wg-quick@wg0
# systemctl enable wg-quick@wg0

== Aggiunta di un nuovo client ==
=== Configurazione lato server ===
il sysop aggiunge un blocco peer per ciascun client alla configurazione <code>/etc/wireguard/wg0.conf</code>, così:

... altri client ...

# porceddu.net.golem.linux.it
[Peer]
PublicKey = tHeClIeNtFaNtAsTiCpUbLiCkEy=
AllowedIPs = 2001:470:c844:100::200/128, 2001:470:c844:200::/62

... altri client ...

Altro che OpenVPN.

=== Configurazione lato client ===
1. Lato client, generare una coppia di chiavi pubblica/privata e inviare la chiave pubblica al sysop.

$ wg genkey | tee client.example.com.privkey | wg pubkey > client.example.com.pubkey

Il sysop si occuperà di aggiungere la chiave pubblica tra quelle consentite al server, sceglierà un indirizzo IP in base al piano di indirizzamento, e ve lo comunicherà.

2. Creare un file di configurazione come segue, in cui scrivere opportunamente la vostra chiave privata e l'indirizzo IP assegnato. Prestare particolare attenzione a modificare i campi della sezione <code>Interface</code>, come indicato nelle note.

[Interface]
# PrivateKey = YoUrGoRgEoUsAnDsEcUrEpRiVaTeKeY= # vedi note, scegliere questo...
# PostUp = wg set %i private-key ./client.example.com.privkey # vedi note, ...oppure questo
Address = 2001:470:c844:100::'''200'''/64 # vedi note

# vpn.golem.linux.it
[Peer]
PublicKey = w63aGvoyPaUTgA8nW/NJS6Qqp2hUFvHRBbIH8Qb5ISY=
AllowedIPs = 2000::/3
Endpoint = vpn.golem.linux.it:51280
PersistentKeepalive = 37

'''Note'''
* <code>Interface</code> (sezione di configurazione dell'endpoint ''locale'')
** scegliere una delle seguenti opzioni per indicare la chiave privata del client, scommentando la riga apposita.
*** ''PrivateKey'': chiave privata del client, da custodire con cura, inline
*** ''PostUp = command'': chiave privata del client, da custodire con cura, e caricata automaticamente da un file esterno (es. creato col comando mostrato in precedenza)
** ''Address'': indirizzo IP comunicato dal sysop: riportarlo accuratamente, altrimenti non sarà possibile utilizzare la VPN
* <code>[Peer]</code> (sezione di configurazione dell'endpoint ''remoto'' / server)
** ''PublicKey'': chiave pubblica del server (sì, è proprio quella)
** ''AllowedIPs'': indirizzi raggiungibili tramite la VPN, a scelta:
*** <code>2001:470:c844::/48</code>: solo la [[IPv6 @ GOLEM | rete IPv6 virtuale del GOLEM]]
*** <code>2000::/3</code>: tutti gli indirizzi IPv6 (è possibile utilizzare la VPN del GOLEM per [[IPv6 @ GOLEM | navigare ''davvero'' in IPv6]])
** ''Endpoint'': indirizzo del server
** ''PersistentKeepalive'': timer per mantenimento del tunnel attivo (in secondi); particolarmente utile se l'indirizzo IP del client cambia o è soggetto a NAT

La connessione può essere attivata tramite systemd come sul server (spostandola in ''/etc/wireguard/''), oppure manualmente utilizzando <code>wg-quick</code>:
* Attivazione del tunnel
wg-quick up client.example.conf
* Disattivazione del tunnel
wg-quick down client.example.conf

3. Provare il collegamento
# ping 2001:470:c844:100::1 # server VPN, dentro al tunnel (per verificare se il collegamento funziona)
# ping 2001:470:c844:100::200 # gateway in Officina (per verificare se il collegamento funziona; talvolta non raggiungibile se abbiamo staccato la luce)
# ping ipv6.google.com # per verificare l'accessibilità dell'Internet pubblico IPv6, nel caso non si abbia già accesso

4. Successo!
* Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. È comunque consigliato leggere la sezione relativa al [[#Firewall | firewall]] per ragioni di sicurezza ed eventualmente attivarlo.
* Se invece il client è il gateway della rete IPv6 (es. ''serverozzo'', o il router di casa di uno dei soci che vuole navigare in IPv6), allora bisogna configurarlo come indicato nella [[#Client_VPN_come_gateway | sezione apposita]].

== Client VPN come gateway ==
=== Impostare il client VPN come gateway IPv6 per l'isola ===
==== Abilitare inoltro pacchetti IPv6 ====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1

==== Installare e configurare radvd ====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben <math>2^{64}</math> indirizzi disponibili) basta il più semplice ''radvd''.
Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/rfc4941.html estensione per la privacy]).

Installare ''radvd'':
# apt install radvd

Configurare il file ''/etc/radvd.conf'':
interface ethI {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:db8::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2606:4700:4700::1111 {
AdvRDNSSLifetime 3600;
};
};
dove
* <code>interface br0</code> indica l'interfaccia interna su cui fare ''advertise'';
* <code>prefix 2001:db8::/64</code> indica la rete a valle;
* <code>RDNSS 2606:4700:4700::1111</code> indica il server DNS (nell'esempio specifico, CloudFlare);
** ''Nota:'' in seguito a questioni legali, OpenDNS non è al momento disponibile in Francia.

== Firewall ==
=== Per il VPS ===
Inoltrare solo i pacchetti da/per le reti note.

{{Note
|type=attention
|text=Non ancora testato!
}}
# ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT
# ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT
# ip6tables -P FORWARD DROP

=== Per i client ===
Gli indirizzi IPv6 sono "tutti" pubblici. Gli indirizzi IPv6 forniti dal GOLEM sono pubblicamente instradabili. In più, il GOLEM non mette in atto '''nessuna''' misura atta a prevenire connessioni dirette verso gli host della VPN (al netto di configurazioni specifiche sulle macchine direttamente di proprietà del GOLEM).
Ciò significa che '''tutti''' gli host degli utenti/soci, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, possono essere acceduti attraverso la rete Internet globale, quando sono connessi alla VPN del GOLEM.

Pertanto, è consigliato attivare degli strumenti atti a prevenire accessi indesiderati dall'esterno, come un firewall, in special modo se il proprio computer "fornisce servizi" (eg. condivisione di file via rete, server web di sviluppo, ...)

{{Note
|type=reminder
|text='''Nota bene''': salvare queste impostazioni, per esempio con <code>ip6tables-save</code> e <code>ip6tables-restore</code>, altrimenti verranno perse al riavvio.
}}

==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere (versione conservativa):
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -A INPUT -p icmpv6 -j ACCEPT
# ip6tables -P INPUT DROP

In generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.
Si noti che ICMPv6 deve comunque sempre essere abilitato in quanto necessario al funzionamento di IPv6.

Si può anche utilizzare una regola più rilassata (es. per sfruttare la VPN del GOLEM come VPN "personale" tra i propri host), tipo:
# ip6tables -A INPUT -s 2001:470:c844:uu00::/56 -j ACCEPT

{{Note
|type=info
|text=I pacchetti della VPN viaggiano crittografati sulla rete pubblica (almeno finché si trovano all'interno della VPN del GOLEM), ma sul server vengono decifrati e cifrati di nuovo per permetterne il routing!
In caso di compromissione del VPS del GOLEM, pertanto, i pacchetti non possono essere considerati al sicuro da sguardi indiscreti. È sempre buona norma utilizzare crittografia end-to-end, anche all'interno di una VPN.
}}

==== Dal gateway ====
Invece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per proteggere tutta la rete a valle:
# ip6tables -A FORWARD -s 2001:470:c844:rrrr::/64 -j ACCEPT
# ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ip6tables -P FORWARD DROP

Nell'ordine:
* blocca l'inoltro di tutti i pacchetti
* abilita l'inoltro dei pacchetti in uscita dalla rete
* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite

Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, Samba).

===== Eccezioni =====
Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gateway con un'eccezione, aggiungendo:
# ip6tables -A FORWARD -d 2001:470:c844:rrrr::host -j ACCEPT

Questo è qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.

=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale. Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS).

{{Note
|type=reminder
|text=TODO: Questa sezione è da fare!
}}

= Risoluzione problemi =
== Geolocalizzazione ==
Il tunnel è localizzato in Francia.
A causa di restrizioni imposte a causa del diritto d'autore, alcuni siti, specialmente di streaming video, come Netflix, Rai.tv o Youtube, potrebbero bloccare l'accesso ai contenuti italiani dal tunnel francese.
Per inibire temporaneamente l'uso del tunnel IPv6 su un host:
# sysctl -w net.ipv6.conf.all.disable_ipv6=1

[[Categoria:Howto]]
[[Categoria:Officina]]
[[Category:Sysop]]

Linux Day 2024

2024-10-31T16:24:50Z

Giomba: Aggiornate diapositive relatori

[[File:linuxday-logo.png|200px|right]]

Il [http://www.linuxday.it Linux Day] è la giornata nazionale dedicata alla promozione di Linux e del software libero in genere.
Se senti la necessità di provare qualcosa di diverso sul tuo computer, se ti piace sperimentare un nuovo modo di vivere la tua vita digitale, se ti senti oppresso dai vincoli del software proprietario, se "non ti fidi" della rete e vuoi imparare a proteggere la tua privacy, allora sei nel posto giusto.

L'evento è coordinato a livello nazionale da [http://www.ils.org ILS Italian Linux Society] e si svolge contemporaneamente in [https://www.linuxday.it/2024/ numerose città] in tutta Italia.

L'edizione locale 2024 è organizzata da [https://golem.linux.it/ GOLEM - Gruppo Operativo Linux Empoli], [https://firenze.linux.it/ FLUG - Firenze Linux User Group] e il rinascente LUG di Prato.
L'evento si terrà presso la biblioteca comunale del Comune di [https://www.comune.scandicci.fi.it/ Scandicci], che patrocina l'evento.

== Quando e dove ==
Quest'anno il Linux Day si terrà '''sabato 26 ottobre 2024''' presso i locali della [https://servizi-scandicci.055055.it/biblioteca-e-servizi-culturali Biblioteca Comunale di Scandicci (FI)], in via Roma 38/A.

== Programma ==
Presso la Biblioteca Comunale di Scandicci, via Roma, 38/A

<gallery>
File:volantino-linuxday-2024-fronte.jpeg
File:volantino-linuxday-2024-retro.jpeg
</gallery>

* 10:00 – '''Introduzione al software libero''' ([https://cloud.golem.linux.it/s/g678qfKSpHJyZyf slides])
Il mondo del software libero e open source: perché è importante e come
utilizzarlo nella vita di tutti i giorni.

Relatore: giomba del GOLEM

* 11:00 – '''Coinvolgere le nuove generazioni: una storia di skateboard e gelato al lampone'''
Presentazione del libro Ada & Zangemann, che racconta la storia
dell'inventore Zangemann e della bambina Ada, una smanettona curiosa.
Ada sperimenta con hardware e software, e scopre quanto sia cruciale per
lei e per gli altri avere il controllo della tecnologia. Scritta da
Matthias Kirschner, presidente della Free Software Foundation Europe
(FSFE) [https://fsfe.org/], e pubblicata con la licenza libera di Creative Commons
ShareAlike [https://creativecommons.org/licenses/by-sa/4.0/deed.it], questa fiaba è stata ideata per avvicinare i bambini
alla tematica del software libero.

Relatore: Alessandro Grassi del LUG di Prato

* 12:00 – '''OONIProbe: misurare la censura delle connessioni all'internet'''
Di rado la connessione all'internet è libera, poiché sono quasi sempre
presenti miriadi di filtri che impediscono di visitare alcuni siti,
usufruire di servizi e di comunicare attraverso determinati canali.
L'origine di questi filtri è varia: alcuni sono stabiliti dalla legge,
alcuni da regolamenti interni aziendali o privati, altri ancora dalle
decisioni della compagnia fornitrice della connettività. L'Open
Observatory of Network Interference (OONI) [https://ooni.org/] realizza un programma,
OONIProbe [https://ooni.org/install], per misurare la quantità e la qualità di questi filtri.
Questo programma è software libero disponibile per tutti gli interessati
e per svariati sistemi. Durante la presentazione verrà proposto
d'installare OONIProbe per eseguire qualche misura.

Relatore: Leandro Noferini

* 13:00 – Pausa pranzo

* 14:00 – '''Introduzione al P2P e al motore di ricerca per Torrent Jackett'''
Illustrazione del protocollo BitTorrent [http://www.bittorrent.org/] per la condivisione
decentralizzata dei file attraverso la rete, con spiegazione di che
cos'è il Peer-to-peer (P2P). Verrà mostrato come utilizzare il programma
qBittorrent [https://www.qbittorrent.org/] per scaricare in modo efficiente, insieme a Jackett,
che permette di migliorare la ricerca dei contenuti mediante i risultati
di Internet Archive, isoHunt e molti altri.

Relatore: Martin Ligabue

* 14:30 – '''LeoCAD, un CAD per i mattoncini'''
LeoCAD [https://www.leocad.org/] è un programma libero per la modellazione 3D dei famosi
mattoncini. Facile da usare e con una curva di apprendimento ridotta,
consente agli utenti di tutte le età e livelli di esperienza di creare
modelli personalizzati, grazie alla vasta libreria di pezzi disponibili.
Inoltre è compatibile col formato LDraw [https://ldraw.org/], lo standard per i
mattoncini digitali che facilita la condivisione dei progetti,
garantendo flessibilità e interoperabilità. LeoCAD è uno strumento
versatile per chiunque voglia trasformare le proprie idee in realtà, con
le costruzioni.

Relatore: Enrico Bencini

* 15:00 – '''Dall'apprendimento automatico ai modelli linguistici locali''' ([https://cloud.golem.linux.it/s/fJAQNXA4BWaLeKP slides])
Dall'apprendimento automatico al vero funzionamento dei modelli
linguistici, per spiegare le motivazioni per rilasciare i modelli
linguistici come software libero, con tanto di parametri pubblicati come
contenuto libero. I modelli linguistici locali sono essenziali poiché
permettono di decentralizzare questa tecnologia.

Relatore: Andrea Malatesti del GOLEM

* 16:00 – '''Non solo ChatGPT, le AI open source'''
Alla scoperta dei principali progetti d'intelligenza artificiale aperti,
come GPT-Neo, BERT e Stable Diffusion, insieme all'analisi di come
questi ultimi contribuiscano a compiti quali la generazione di
linguaggio naturale, la comprensione del testo e la creazione di
immagini. Infine sarà esaminato il ruolo delle comunità open source
nello sviluppo e nella diffusione di IA etiche e sostenibili,
evidenziando come la collaborazione aperta possa accelerare i progressi
e promuovere soluzioni inclusive.

Relatore: Luca Landucci

* 17:00 – '''Ha ancora senso parlare di software libero nel 2024?'''
Il mondo dei computer personali è cambiato radicalmente nell'ultimo
decennio, spostandosi su strumenti fuori dal nostro controllo: i
telefoni e i siti web. Quando tutto avviene dentro al programma per
navigare su Internet, e quando la vita privata ruota attorno ad app che
richiedono sistemi proprietari, ha ancora senso parlare di libertà dei
sistemi operativi?

Relatore: Alessandro Grassi del LUG di Prato

== Programma scuole ==
Sessione '''riservata''' agli studenti del'[https://www.ilpontormoempoli.edu.it/ IIS Pontormo] di Empoli (FI).

* '''Introduzione al software libero''' ([https://cloud.golem.linux.it/s/yFnxSEHYaLgxzzN slides])
Cos'è un codice sorgente? Cosa c'entrano gli gnu ed i pinguini con l'informatica? Con questa introduzione si vuole dare una panoramica sul mondo di Linux e del software libero, citandone le implicazioni etiche ed i risvolti pratici. Segue una presentazione dell'associazione GOLEM e dell'attività svolta in merito ai temi trattati.

* '''Dall'apprendimento automatico ai modelli linguistici locali''' ([https://cloud.golem.linux.it/s/cG5CFoSWP5ognML slides])
Partendo da alcuni cenni sull'apprendimento automatico, l'intervento punta a rendere gli studenti consapevoli del vero funzionamento dei modelli linguistici, per poi spiegare le motivazioni per rilasciare i tali modelli come software libero, con tanto di parametri rilasciati come contenuto libero. Parlare di modelli linguistici locali è essenziale in questo intervento, poiché permettono di avvicinarci alla decentralizzazione di questa tecnologia.

* '''Siamo davvero al sicuro?''' ([https://cloud.golem.linux.it/s/aAB2bxeArwYwxqS slides])
"Questo talk è sponsorizzato da... nessuna VPN"
Dopo aver introdotto alcuni concetti preliminari relativi alla rete, si va ad illustrare a grandi linee il funzionamento di una VPN, spiegando gli usi originari di questa tecnologia e come viene tutt'ora impiegata sia in ambiti aziendali che personali, per poi dare una risposta all'interrogativo "ma una VPN mi mette davvero al riparo da tutte le minacce della rete?". Infine, si presenteranno alcuni servizi che si appoggiano a tecnologie VPN libere, in alternativa ai più noti e pubblicizzati.

* '''Radioascolto in libertà''' ([https://cloud.golem.linux.it/s/TT9majen8nmbggE slides])
Ascoltare la radio sembra quasi un passatempo superato, ma è in realtà un'azione che compiamo tutti i giorni senza rendercene conto. In questo intervento si dà una infarinatura sulle tecnologie senza fili, per poi illustrare applicativi e dispositivi per captare e decodificare i segnali radio nello spazio attorno a noi.

== Fotografie ==
Dopo l'evento.

[[Category:LinuxDay]]