Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

problema connessione - VPN Lan to Lan -

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Mar Lug 24, 2012 11:16 pm    Oggetto: problema connessione - VPN Lan to Lan - Rispondi citando

ciao a tutti, sto provando a configurare il mio ZS per una connessione VPN e OpenVpn tra più sedi.

al momento per le prime 2 la configurazione è così:

site A:

ip statico
eth router 10.0.0.1/8
sub 255.0.0.0

ZS lato WAN Eth1 10.0.0.2/8
gtw 10.0.0.1

lan eth0 192.168.151.250/24
subm 255.255.255.0

navigazione tutto ok..


site B:

ip statico
eth WAN 10.10.10.1/8
sub 255.0.0.0

ZS lato router Eth1 10.10.10.2/8
gtw 10.10.10.1

lan eth0 192.168.4.250/24
subm 255.255.255.0

navigazione tutto ok..

entrambi captive portal attivato e funzionante

anche su openvpn tutto ok!
su entrambi i router site A - B è stata nattata la porta 1194 TCP e UDP sulla Eth1 di ZS


sulla vpn qualche problema...

site A VPN00:
assegnato ip 192.168.80.1/24
in interface: remote host: ip pubblico remoto site B port 1195 TCP - Role server - aut -x509 - gt auto - in x509 authe. status ok.


site B VPN00:
assegnato ip 192.168.88.1/24
in interface: remote host: ip pubblico remoto site A port 1195 TCP - Role client - aut -x509 - gt auto - in x509 authe. status ok.

in entrambi i casi nel menu VPn- LAN to LAN a fianco alla scitta VPN00 compare la scritta in verde connected to 77.xx.xx.xxx:1195 (TCP)

su entrambi i router site A - B è stata nattata la porta 1195 TCP e UDP sulla Eth1 di ZS.

secondo me ho qualche problema sui certificati x509 e remote CN?? ma non ne riesco a venire a capo...
non vedo nessun ip della sede remota e non li pingo.
non ho fatto nessuna modofica al Firewall
e non funziona anche se il captive portal è disattivato...
ho dato uno sguardo al Forum in italiano ma nn ho trovato nulla nè sul menù vpn nè su reti.
mi son letto la guida presente sul sito in documentazione... i menù non corrispondono e no mi sembra il mio caso.
grazie per l'eventuale aiuto.
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Lug 25, 2012 6:53 am    Oggetto: Rispondi citando

Citazione:
site A VPN00:
assegnato ip 192.168.80.1/24
Citazione:
site B VPN00:
assegnato ip 192.168.88.1/24
.....se non è un errore di battitura , cambia uno dei due ip , devono appartenere alla stessa network , poi su sitoA
Codice:
ip route 192.168.4.0 255.255.255.0 via ip.vpn.00.sitoB
e su sitoB
Codice:
ip route 192.168.151.0 255.255.255.0 via ip.vpn.00.sitoA
per le 10.0.0.0 , avendo usato una /8 , ogni ZS la vede come direttamente connessa
ciao
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Lug 25, 2012 7:24 am    Oggetto: Rispondi citando

Il problema che avrai è se qualche host è presente su entrambe le reti 10...
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Mer Lug 25, 2012 4:08 pm    Oggetto: Rispondi citando

redfive ha scritto:
Citazione:
site A VPN00:
assegnato ip 192.168.80.1/24
Citazione:
site B VPN00:
assegnato ip 192.168.88.1/24
.....se non è un errore di battitura , cambia uno dei due ip , devono appartenere alla stessa network , poi su sitoA
Codice:
ip route 192.168.4.0 255.255.255.0 via ip.vpn.00.sitoB
e su sitoB
Codice:
ip route 192.168.151.0 255.255.255.0 via ip.vpn.00.sitoA
per le 10.0.0.0 , avendo usato una /8 , ogni ZS la vede come direttamente connessa
ciao


ciao grazie per la risposta... provvedo alla correzione dell'IP sulla 88.1.
non ho capito dove inserire la ip route, puoi indicarmi dove inserirlo??
scusa ma sto imparando ...
grazie ancora..
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Lug 25, 2012 7:22 pm    Oggetto: Rispondi citando

La statica la puoi inserire in NETWORK>>Router>>STATIC ROUTES , tasto Add. Metti in Destination la rete remota , la netmask , in Gateway l'ip del vpn peer (l'ip della vpn remota..) metric 1 . Se al posto di usare una /24 , per la vpn usassi una /30 , potresti usare come argomento la exit-interface(VPN00) al posto del'ip del vpn peer . ( eviti un recursive-lookup della routing-table , ........ ma va bene anche il primo metodo).
Come detto prima , e ricordato anche da NDK ( che approfitto per ringraziare dei sempre preziosi consigli !!) , utilizzando una classe A/8 per la "parte" wan di ZS su entrambi gli end-point , "potresti" avere dei problemi a raggiungere eventuali hosts appartenenti alla stessa network ma remota
ciao
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Mer Lug 25, 2012 9:23 pm    Oggetto: Rispondi citando

super grazie!!! funziona... con il captive portal disattivato..
c'è un barba trucco per far funzionare la vpn con il CP attivo?

quindi sulla Eth Wan posso anche impostare ad es. 192.168.30.2/24?,
e impostare il router 192.168.30.1/24?
e sulla lan interna 192.168.0.250 per ZS?
può funzionare senza creare problemi?
ho visto la guida in documentazione (proteggere una piccola rete con stile)..
per non andarmi a impegolare sulla /30?
questo per non creare problemi se devo aggiungere ancora 2 o 3 ZS sulla mia rete..

grazie ancora per la pazienza!
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Lug 25, 2012 10:14 pm    Oggetto: Rispondi citando

Cosa intendi per
Citazione:
far funzionare la vpn con il CP attivo?
??

Certo che puoi usare 192.168.30.1 e 192.168.0.0 /24 se propio hai bisogno di una /24 (254 host adresses) ...altrimenti puoi anche subnettare , e se puoi evita però le classiche 192.168.0.0 e 192.168.1.0....es. :192.168.128.0/25 e 192.168.128.128/25 , una statica con dest. 192.168.128.0/24 e raggiungi tutte e due le reti.
Vero , con una /30 hai solo 2 host adresses disponibili , ma puoi anche fare su ogni ZS una VPN00 , una VPN01, una VPN02.... fare una partial/full mesh con le /30 ,e avere un controllo forse piu' granulare sul traffico..
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Mer Lug 25, 2012 10:56 pm    Oggetto: Rispondi citando

volevo intendere il Captive Portal. se lo attivo su tutti e due i ZS non si vedono più le vpn mentre se son disattivati entrambi funziona.
?? stò diventando matto... mi son letto quasi tutti i post del forum...
ciao
Top
Profilo Invia messaggio privato Invia e-mail
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Mer Lug 25, 2012 11:39 pm    Oggetto: Rispondi citando

ho trovato un post lasciato da NDK ...01/2010

cito:
Solito consiglio: non usare rete open+CP ma WPA+RADIUS.

A parte questo, nella mia test box ho notato che ho dovuto configurare il firewall per permettere tutto tra BRIDGE00 e VPN99... Mah!
-------------------------


sinceramente non saprei da dove iniziare!
ciao
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Lug 26, 2012 9:46 pm    Oggetto: Rispondi citando

... Prima erano 2 interfacce eth ed una vpn00 , ..da dove è uscito il brigde ?? Very Happy Very Happy
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Gio Lug 26, 2012 10:05 pm    Oggetto: Rispondi citando

ciao, no no ho solo riportato un consiglio dato da NDK.
tolgo le vpn e li faccio collegare con openvpn...
mi sembra di aver capito che quello che serve a me, in questo modo, non si può fare.
peccato!

proverò con altro...
grazie
ciao
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Lug 26, 2012 10:17 pm    Oggetto: Rispondi citando

Ma potresti spiegare cosa esattamente vorresti ottenere ? I clients collegati dietro CP su sitoA dovrebbero "vedere" ( ping ? http/s ? ftp ?....)i clients della sede remota sitoB , anch'essi dietro CP ? e quando vorresti che succedesse ? sempre ? solo quando I clients sono autenticati ( almeno i richiedenti ? )
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Gio Lug 26, 2012 11:02 pm    Oggetto: Rispondi citando

ok!
nel frattempo ho riordinato le idee.

cosa mi piacerebbe ottenere:

site A, site B, Site C e magari D collegati con VPN da site A a B,C e D ( A è il centro stella) non è necessario che B veda C o D e Viceversa. il site A deve vedere tutto a "stella".

gli utenti (non molti 2o3 per sede) di A,B,C e D per navigare devono mettere la password su Captive Portal, oppure bloccare il traffico internet .
se il captive portal ha problemi con la VPN e/o openvpn abilitare solo 10 ip che possano navigare fuori dal dhcp della lan.
posso anche togliere il serv. dhcp. lo uso io per comodità..

io non mi occupo di queste cose però mi piacciono... quindi mi hanno messo sotto... coi tempi che corrono ....
l'azienda per cui lavoro vorrebbe prendere in considerazione un appliance tipo net*gear zyx o roba del genere, ma a me sinceramente non mi piace.
e che cavolo gente come voi con le vostre conoscenze che mantiene tutto ciò ... !
per il momento ho messo di "tasca mia" due alix e vediamo che esce...

notte - tempo ci riuscirò...
ciao
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Ago 01, 2012 9:07 pm    Oggetto: Rispondi citando

Premetto che , anche io come te
Citazione:
non mi occupo di queste cose però mi piacciono...
quindi questa soluzione , piu' che una modifica software , potrebbe sembrare propio un "barbatrucco" fatto da un apprendista fabbro ( con tutto il rispetto per i fabbri e gli apprendisti ,obviously !! ) , pertanto sono graditi commenti , indicazioni , suggerimenti e se è il caso , anche il lancio di ortaggi ( .. purchè freschi ...) . In pratica non ho fatto altro che copiare i 2 scripts cp_start e cp_activatechain in /Database chiamandoli cp_start2 e cp_activatechain2, aggiungere 4 o 5 righe , ed inserire in preboot
Codice:
cp -r /Database/cp_start2  /root/kerbynet.cgi/scripts/cp_start

cp -r /Database/cp_activatechain2  /root/kerbynet.cgi/scripts/cp_activatechain
questo è cp_start2, le righe aggiunte sono tra i commenti
Codice:
#!/bin/sh
. /etc/kerbynet.conf
CONFIG="$REGISTER/system/cp"
killall -w cp_auto 2>/dev/null >/dev/null
killall -w cp_renew 2>/dev/null >/dev/null
cd "$CONFIG"
iptables -D FORWARD -j CapPort 2>/dev/null
iptables -t nat -D PREROUTING -j CapPortPrivNet 2>/dev/null
iptables -t nat -D PREROUTING -j CapPort 2>/dev/null
iptables -F CapPort 2>/dev/null
iptables -X CapPort 2>/dev/null
iptables -F CapPortACL 2>/dev/null
iptables -X CapPortACL 2>/dev/null
iptables -F CapPortFS 2>/dev/null
iptables -X CapPortFS 2>/dev/null
iptables -F CapPortFC 2>/dev/null
iptables -X CapPortFC 2>/dev/null
iptables -F CapPortWL 2>/dev/null
iptables -X CapPortWL 2>/dev/null
iptables -F CapPortOut 2>/dev/null
iptables -X CapPortOut 2>/dev/null
iptables -D SYS_INPUT -p tcp --dport 55559 -j CapProxyIn 2>/dev/null
iptables -D SYS_OUTPUT -p tcp --sport 55559 -j CapProxyOut 2>/dev/null
iptables -F CapProxyIn 2>/dev/null
iptables -X CapProxyIn 2>/dev/null
iptables -F CapProxyOut 2>/dev/null
iptables -X CapProxyOut 2>/dev/null
###################################################
################# 2 righe aggiunte ################
iptables -t nat  -F CapPortPrivNet 2>/dev/null
iptables -t nat  -X CapPortPrivNet 2>/dev/null
###################################################
iptables -t nat -F CapPort 2>/dev/null
iptables -t nat -X CapPort 2>/dev/null
iptables -t nat -F CapPortHTTP 2>/dev/null
iptables -t nat -X CapPortHTTP 2>/dev/null
iptables -t nat -F CapPortHTTPS 2>/dev/null
iptables -t nat -X CapPortHTTPS 2>/dev/null
iptables -t nat -F CapPortGW 2>/dev/null
iptables -t nat -X CapPortGW 2>/dev/null
iptables -t nat -F CapPortProxy 2>/dev/null
iptables -t nat -X CapPortProxy 2>/dev/null
[ "`cat RemotePT 2>/dev/null`" !=  "`cat Auth/Port 2>/dev/null`" ] && cat Auth/Port > RemotePT
[ "`cat RemoteSSL 2>/dev/null`" !=  "`cat Auth/PortSSL 2>/dev/null`" ] && cat Auth/PortSSL > RemoteSSL
ENABLED=`cat Enabled 2>/dev/null`
if [ "$ENABLED" != yes -a "`cat $REGISTER/system/cp/Auth/Enabled 2>/dev/null`" != yes ] ; then
  $SCRIPTS/terminate CapPortAS 15 2>/dev/null
fi

if [ "$ENABLED" == yes ] ; then
  WEBLOGIN=`cat WebLogin 2>/dev/null`
 if [ "$WEBLOGIN" == Remote ] ; then
    REMOTEPT=`cat RemotePT 2>/dev/null`
  else
    echo yes > $REGISTER/system/cp/Auth/Enabled
    export REMOTEPT=`cat Auth/Port 2>/dev/null`
 fi
  [ -z "$REMOTEPT" ] && REMOTEPT=12080
  export REMOTESSL=$((REMOTEPT+1))
  export GWPORT=$((REMOTEPT+2))
  echo $GWPORT > GWPort
  export GWPORTSSL=$((REMOTEPT+3))
  echo $GWPORTSSL > GWPortSSL
  export QUERY_STRING="onlyrender"
  if [ "`cat Auth/NoSSL 2>/dev/null`" == yes ] ; then
    HTTPCONF=cp_gw-httpd.nossl
  else
    HTTPCONF=cp_gw-httpd.ssl
  fi
  render "$TEMPLATE/$HTTPCONF" > /var/register/system/cp/cp_gw-httpd
  export PATH="/usr/local/ssl/bin:$PATH"
  if ! $SCRIPTS/cp_auth_start ; then
    logger -t "CaptivePortal" "GW: ERROR: Captive Portal Gateway failed to start: `cat /tmp/CapPortAS.err`"
    exit 10
  fi
  iptables -N CapPort
  iptables -N CapPortACL
  iptables -N CapPortPrivNet
  iptables -N CapPortFS
  iptables -N CapPortIdP 2>/dev/null
  iptables -N CapPortCRL 2>/dev/null
  iptables -N CapPortFC
  iptables -N CapPortWL
  iptables -N CapPortOut
  iptables -N CapProxyIn
  iptables -N CapProxyOut
  ###############################################################################
  ########### 3 righe aggiunte###################################################
  #specifica il source network address (-s) ed il dest. network address (-d)
  iptables -t nat -N CapPortPrivNet
  iptables -t nat -I CapPortPrivNet 1  -s 192.168.194.32/29  -d 192.168.192.0/27 -j LOG --log-prefix="allow network without auth"
  iptables -t nat -I CapPortPrivNet 2  -s 192.168.194.32/29  -d 192.168.192.0/27 -j ACCEPT
  ###############################################################################
  iptables -t nat -N CapPort
  iptables -t nat -N CapPortHTTP
  iptables -t nat -N CapPortHTTPS
  iptables -t nat -N CapPortGW
  iptables -t nat -N CapPortProxy
  iptables -t nat -N CapPortIdP80 2>/dev/null
  iptables -t nat -N CapPortIdP443 2>/dev/null
  iptables -t nat -N CapPortCRL80 2>/dev/null
  iptables -t nat -A CapPortHTTP -j CapPortCRL80
  iptables -t nat -A CapPortHTTP -j CapPortIdP80
 iptables -t nat -A CapPortHTTPS -j CapPortIdP443
  iptables -t nat -A CapPortProxy -p tcp --dport 80 -j Proxy 2>/dev/null
  iptables -t nat -A CapPortProxy -j ACCEPT
  $SCRIPTS/fw_sys_chain
  if [ "$WEBLOGIN" == Remote ] ; then
    REMOTEIP=`cat RemoteIP 2>/dev/null`
    CAPTUREHTTP="DNAT --to-destination $REMOTEIP:$REMOTEPT"
    CAPTUREHTTPS="DNAT --to-destination $REMOTEIP:$REMOTESSL"
  else
    REMOTEIP=127.0.0.1
    CAPTUREHTTP="REDIRECT --to-ports $REMOTEPT"
    CAPTUREHTTPS="REDIRECT --to-ports $REMOTESSL"
 fi
  #MODE=`cat Mode 2>/dev/null`
  iptables -A CapPort -j CapPortOut
  INTERFACES=`cat Interface 2>/dev/null`
  for INTERFACE in $INTERFACES ; do
    VLAN=`echo $INTERFACE | awk -F. '{print $2}'`
    MODE=Routed
    if [ -z "$VLAN" ] ; then
      if [ -f "$REGISTER/system/net/interfaces/$INTERFACE/Bridge/Name" ] ; then
        MODE=Bridged
        BRIDGENAME=`cat "$REGISTER/system/net/interfaces/$INTERFACE/Bridge/Name"`
      fi
    else
      INTERFACE=`echo $INTERFACE | awk -F. '{print $1}'`
      if [ -f "$REGISTER/system/net/interfaces/$INTERFACE/VLAN/$VLAN/Bridge/Name" ] ; then
        MODE=Bridged
        BRIDGENAME=`cat "$REGISTER/system/net/interfaces/$INTERFACE/VLAN/$VLAN/Bridge/Name"`
      fi
    fi
    [ -n "$VLAN" ] && INTERFACE=$INTERFACE.$VLAN
    if [ "$MODE" == Bridged ] ; then
      #iptables -A CapPort -m physdev --physdev-out $INTERFACE -j CapPortOut
      #iptables -A CapPort  -o $BRIDGENAME -j CapPortOut
      iptables -A CapPort -m physdev --physdev-in $INTERFACE -j CapPortACL
      iptables -t nat -A CapPort -m physdev --physdev-in $INTERFACE -p tcp --dport 80 -j CapPortHTTP
      iptables -t nat -A CapPort -m physdev --physdev-in $INTERFACE -p tcp --dport 443 -j CapPortHTTPS
      iptables -t nat -A CapPort -m physdev --physdev-in $INTERFACE -p tcp --dport $REMOTEPT -j CapPortGW
      iptables -t nat -A CapPort -m physdev --physdev-in $INTERFACE -p tcp --dport $REMOTESSL -j CapPortGW
    else
      #iptables -A CapPort -o $INTERFACE -j CapPortOut
      iptables -A CapPort -i $INTERFACE -j CapPortACL
      iptables -t nat -A CapPort -i $INTERFACE -p tcp --dport 80 -j CapPortHTTP
      iptables -t nat -A CapPort -i $INTERFACE -p tcp --dport 443 -j CapPortHTTPS
      iptables -t nat -A CapPort -i $INTERFACE -p tcp --dport $REMOTEPT -j CapPortGW
      iptables -t nat -A CapPort -i $INTERFACE -p tcp --dport $REMOTESSL -j CapPortGW
    fi
  done
  if [ "$WEBLOGIN" == Remote ] ; then
    iptables -A CapPortACL -d $REMOTEIP -p tcp --dport $REMOTEPT -j ACCEPT
    iptables -A CapPortACL -d $REMOTEIP -p tcp --dport $REMOTESSL -j ACCEPT
  fi
  iptables -A CapPortACL -j CapPortFS
  iptables -A CapPortACL -j CapPortCRL
  iptables -A CapPortACL -j CapPortIdP
  iptables -A CapPortACL -j CapPortFC
  iptables -A CapPortACL -j CapPortWL
  iptables -A CapPortACL -j REJECT
  $SCRIPTS/cp_auto &
  $SCRIPTS/cp_renew &
  $SCRIPTS/cpFreeServicesIPT
  $SCRIPTS/cpFreeClientsIPT
while [ -f /tmp/cp_auto_starting ] ; do /
   sleep 0.5
  done
  NCLIENTS=`$SCRIPTS/cpConnectedClientsIPT`
  DOSPROTECTION="`cat $REGISTER/system/cp/DoSProtection 2>/dev/null`"
  if ! [ "$DOSPROTECTION" = no ] ; then
    [ "$DOSPROTECTION" = low ] && XMINUTE=75
    [ "$DOSPROTECTION" = medium ] && XMINUTE=40
    [ "$DOSPROTECTION" = high ] && XMINUTE=10
    BURST=10
    HASHLIMIT=" -mhashlimit --hashlimit-name Redirect_HTTP --hashlimit-mode srcip --hashlimit $XMINUTE/minute --hashlimit-burst $BURST"
    iptables -t nat -A CapPortHTTP -p tcp --syn $HASHLIMIT -j $CAPTUREHTTP
    HASHLIMIT=" -mhashlimit --hashlimit-name Redirect_HTTPS --hashlimit-mode srcip --hashlimit $XMINUTE/minute --hashlimit-burst $BURST"
    iptables -t nat -A CapPortHTTPS -p tcp --syn $HASHLIMIT -j $CAPTUREHTTPS
    iptables -t nat -A CapPortHTTP -p tcp --syn -j DNAT --to-destination 127.0.0.1:54911
    iptables -t nat -A CapPortHTTPS -p tcp --syn -j DNAT --to-destination 127.0.0.1:54911
  fi
  iptables -t nat -A CapPortHTTP -p tcp -j $CAPTUREHTTP
  iptables -t nat -A CapPortHTTPS -p tcp -j $CAPTUREHTTPS
  if [ "$WEBLOGIN" == Remote ] ; then
    iptables -t nat -A CapPortGW -p tcp -dport $REMOTESSL -j DNAT --to-destination $REMOTEIP:$REMOTESSL
    iptables -t nat -A CapPortGW -p tcp -dport $REMOTEPT -j DNAT --to-destination $REMOTEIP:$REMOTEPT
  else
    if ! [ "$DOSPROTECTION" = no ] ; then
      HASHLIMIT=" -mhashlimit --hashlimit-name Redirect_GW --hashlimit-mode srcip --hashlimit $XMINUTE/minute --hashlimit-burst $BURST"
      iptables -t nat -A CapPortGW -p tcp --syn $HASHLIMIT -j REDIRECT
      iptables -t nat -A CapPortGW -p tcp --syn -j DNAT --to-destination 127.0.0.1:54911
    fi
    iptables -t nat -A CapPortGW -p tcp -j REDIRECT

  fi
  $SCRIPTS/cp_activatechain
  logger -t "CaptivePortal" "GW: Success: Captive Portal Gateway started ($NCLIENTS clients connected)"
   if [ "`cat $REGISTER/system/radius/Enabled 2>/dev/null`" != checked ] ; then
     echo checked > "$REGISTER/system/radius/Enabled"
     $SCRIPTS/radius_start

   fi
   $SCRIPTS/runscript cpgw >/dev/null
else
  logger -t "CaptivePortal" "GW: Captive Portal Gateway is disabled"
fi

mentre questo è cp_activatechain2
Codice:
!/bin/sh
. /etc/kerbynet.conf
CONFIG="$REGISTER/system/cp"
cd "$CONFIG"
ENABLED=`cat Enabled 2>/dev/null`
iptables -D FORWARD -j CapPort 2>/dev/null
##### riga aggiunta#########################################
iptables -t nat -D PREROUTING -j CapPortPrivNet 2>/dev/null
############################################################
iptables -t nat -D PREROUTING -j CapPort 2>/dev/null

if [ "$ENABLED" == yes ] ; then
  iptables -A FORWARD -j CapPort 2>/dev/null
##### riga aggiunta#########################################
  iptables -t nat -I PREROUTING 1 -j CapPortPrivNet 2>/dev/null
############################################################
####riga modificata da iptables -t nat -I PREROUTING 1 -j CapPort 2>/dev/null a
  iptables -t nat -I PREROUTING 2 -j CapPort 2>/dev/null
############################################################
fi
Ora le richieste provenienti dalla ETH02.5 (192.168.194.32/29) sulla quale è attivo il CP e dirette alla ETH00 (192.168.192.0/27) non vengono intercettate dal CP , ho poi aggiunto , nella chain di forward , delle regole per permettere il traffico tra le due interfacce ( si poteva fare anche dallo script cp_start2 , ma da GUI si "vede" ciò che poi è realmente permesso senza autenticazione) e sembra funzionare , es. da dietro CP si riesce ad accedere ad una ipcam senza autenticazione CP , mentre se si prova a navigare c'è il redirect al login. Disabilitando il CP la chain CapPortPrivNet viene correttamente rimossa e riavviandolo reinserita. Ciò avviene tra 2 interfacce , non dovrebbe essere niente di diverso se al posto della ETH00 ci fosse una VPN00 , sui vpn peers si dovrebbe fare altrettanto. Copiandolo da txt , lasciava fuori
Codice:
#!/bin/sh
. /etc/kerbynet.conf
C
boo...lo ho aggiunto a mano
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Gio Ago 02, 2012 8:24 pm    Oggetto: Rispondi citando

grazie redfire per la tua disponibilità!
capisco da me, che non riesco a gestire questa "cosa" e se "redfive" non mi rispondesse a una richiesta?? la ditta avrebbe dei buchi enormi.
purtroppo pensavo che fosse più semplice e immediato. mi sbagliavo!
son costretto mio malgrado a gettare la spugna.... (non è da me) lascio fare a chi ha le conoscenze..io non sono in grado di capire quello che hai "scritto"... figuriamoci a gestirlo. fosse un plc magari...
sicuramente installerò una alix a casa e lo uso per me!

se posso ancora una cosa...
da quello che ho letto in giro per il forum con il captive portal attivo, se mi collego in openvpn verso casa mia non riesco a pingare i client interni alla mia lan.?
senza scrivere migliaia di righe di codice è possibile "aprire questo servizio" con il solito barbatrucco???
grazie molte...
Top
Profilo Invia messaggio privato Invia e-mail
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Ago 02, 2012 11:19 pm    Oggetto: Rispondi citando

Ciao.

Nello script di postboot puoi inserire una regola in modo che il firewall non reindirizzi al cp il traffico per le lan private.

ad esempio questo comando disabilita il cp per tutte le sottoreti 192.168.x.x

iptables -A CapPortFS -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT

Quest'altro abilita solo il remote desktop tra le varie sottoreti

iptables -A CapPortFS -p tcp --sport 3389 -j ACCEPT

Il comando lo devi inserire nello script di postboot.

Sino alla beta 13 funziona. Non ho più verificato se con le nuove versioni di zs è cambiato qualcosa nelle catene del firewall.

Giancarlo
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Dom Ago 12, 2012 4:50 pm    Oggetto: Rispondi citando

Citazione:
e se "redfive" non mi rispondesse a una richiesta??
Ti risponderebbe qualcuno con soluzioni molto piu veloci e dal risultato anche migliore !! Smile Smile
P.S Le regole che ti ha suggerito giancagianca , sicuramente dalla release B16 e con la nuova 2.0RC1 , piuttosto che in post-boot , le puoi inserire in
Startup/Cron>> Captive Portal Gateway script , verranno aggiunte e rimosse in automatico in funzione dello stato del CP.
ciao
Top
Profilo Invia messaggio privato
reflex70



Registrato: 01/09/08 12:25
Messaggi: 32

MessaggioInviato: Lun Ago 13, 2012 8:18 pm    Oggetto: Rispondi citando

ciao a tutti!
ho aggiornato le mie alix all'ultima versione di ZS!
dopo una settimana di castelli di sabbia e interminabili gallerie di sabbia che crollano proprio sul più bello (sig!) rieccomi a smanettare ...
alla fine a spiaggia nn si dorme così male.. bu!? Laughing

adesso son messo così.
le vpn è su e senza captive portal riesco a fare quasi tutto...
ho tolto il GT e i DNS dal DHCP server.
non è il massimo ma funziona...

1° successo: mi collego da remoto con openvpn con connessione umts ... ho provato tutte le versioni di openvpn x win 7 e quella che funziona è la
"openvpn-2.2.2-install.exe"

per il mio problema collegamento da umts > openvpn, ne è pieno il forum di questi argomenti, (mi sono letto tutti gli articoli inerenti al problema - anche con ricerca su google) è solo nella versione dell'applicativo! - ovviamente c'è sempre il barba-trucco! Twisted Evil TAP ?? Embarassed
'http://openvpn.net/index.php/download.html'
cmq con la versione da me usata ho risolto!!
ora provo con il mac!
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it