Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN Host-to-LAN Bridged... zoppa

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
Roberto Roncato



Registrato: 11/10/13 13:31
Messaggi: 2

MessaggioInviato: Ven Ott 11, 2013 4:12 pm    Oggetto: VPN Host-to-LAN Bridged... zoppa Rispondi citando

Buongiorno a tutti,
ho da porvi un quesito che nasce dalla mia inesperienza con ZeroShell.
Ho la necessitą di collegare degli host via OpenVPN, ma in modalitą bridged.

Premetto che ho attualmente una configurazione funzionante realizzata a mano su una CentOS + OpenVPN e funzionante,
vorrei solo dismettere il vecchio dispositivo per passare a ZeroShell come gestore unico della mia rete (Router / Firewall / OpenVPN server)
ma mantenendo la stessa infrastruttura di rete.
Il mio problema da risolvere č il seguente

UFFICIO1

INTERNET
|
|
(wan: ip statico publico)
MODEM ROUTER
(lan: 192.168.0.253)
|
|
(ETH00: 192.168.0.254)
ZEROSHELL (DHCP server 10.98.0.150->10.98.0.200)
(BRIDHE00 = (ETH01+VPN99): 10.98.0.1)
|
|
RETE LAN INTERNA 10.98.0.xx


UFFICIO2

INTERNET
|
|
(wan: ip dinamico publico)
MODEM ROUTER + DHCP
(wlan: 10.98.1.1)
|
|
(wlan: 10.98.1.34)
PORTATILE DA COLLEGARE via VPN



Il portatile spesso viene usato anche in ufficio e, per motivi lunghi da spiegare, vorrei che abbia:
- nell'ufficio2 un IP per l'interfaccia TAP in classe 10.98.0.x (client OpenVPN acceso)
- nell'ufficio1 un IP sulla eth/wlan sempre in classe 10.98.0.x (client OpenVPN spento) (anche non lo stesso, non č importante)
Finita questa lunga premessa vi dico che cosa ho fatto:



1) SETUP -> Network -> Gateway:
192.168.0.253


2) SETUP -> Network -> Creato Bridge di rete BRIDGE00 con IP:10.98.0.1/24

BRIDGE00 (ETH01,VPN99) Forwarding State (STP: Disabled)
--------------------------------------------------------------------------------
SPANNING TREE PROTOCOL (STP: no)
bridge id 8000.12fbc5ceb63d
designated root 8000.12fbc5ceb63d
root port 0 path cost 0
max age 20.00 bridge max age 20.00
hello time 2.00 bridge hello time 2.00
forward delay 5.00 bridge forward delay 5.00
ageing time 300.02
hello timer 0.38 tcn timer 0.00
topology change timer 0.00 gc timer 34.41
flags

ETH01 (1)
port id 8001 state forwarding
designated root 8000.12fbc5ceb63d path cost 4
designated bridge 8000.12fbc5ceb63d message age timer 0.00
designated port 8001 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags

VPN99 (2)
port id 8002 state forwarding
designated root 8000.12fbc5ceb63d path cost 100
designated bridge 8000.12fbc5ceb63d message age timer 0.00
designated port 8002 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags


3) SETUP -> Network -> NAT:
Solo ETH00 nelle "NAT Enabled Inferfaces"


4) NETWORK -> Router -> Routing table

Destination Netmask Type Metric Gateway Interface Flags State Source
--------------------------------------------------------------------
DEFAULT GATEWAY 0.0.0.0 Net 0 192.168.0.253 ETH00 UG Up Static
10.98.0.0 255.255.255.0 Net 0 none BRIDGE00 U Up Auto
192.168.0.0 255.255.255.0 Net 0 none ETH00 U Up Auto


5) NETWORK -> DHCP
Subnet: 10.98.0.0/255.255.255.0 (ossia BRIDGE00)
Range: 10.98.0.150 - 10.98.0.200
GW: 10.98.0.1
DNS1: 10.98.0.100 (il nostro PDC)
DNS2: 10.98.0.1
DNS3: 8.8.8.8


6) NETWORK -> VPN -> Host-to-LAN VPN
OpenVPN parameter: defaults (command line param: vuota)
X.509 = tutto configurato ok

Client IP Address Assignment
IP Range: 10.98.0.140 - 10.98.0.149 (che č un range diverso dal DHCP server)
Netmask: 255.255.255.0
GW: 10.98.0.1
NET: impostata la subnet 10.98.0.0/255.255.255.0
Source NAT: disabilitata
DNS: 10.98.0.1


7) Ho configurato il client (win7 home) con i seguenti parametri:
remote ##IP_PUBBLICO_UFFICIO_1## 1194
proto tcp
ca "C:\\Program Files\\OpenVPN\\config\\CA.pem"
cert "C:\\Program Files\\OpenVPN\\config\\NOME_CLIENT.pem"
key "C:\\Program Files\\OpenVPN\\config\\NOME_CLIENT.pem"
comp-lzo
verb 3
mute 20
resolv-retry infinite
nobind
client
dev tap
persist-key
persist-tun



A questo punto lancio OpenVPN sul client (nell'ufficio 2 ovviamente), mi collego, mi viene assegnato un IP che mi aspetto (10.98.0.140),
posso pingare 10.98.0.1, ma non posso accedere agli altri computer della LAN dell'ufficio 1.



Cool Info rilevate sul client

COMANDO: route print

Route attive:
Indirizzo rete Mask Gateway Interfaccia Metri
0.0.0.0 0.0.0.0 10.98.1.1 10.98.1.34 25
10.98.0.0 255.255.255.0 On-link 10.98.0.140 286
10.98.0.0 255.255.255.0 10.98.0.1 10.98.0.140 30
10.98.0.140 255.255.255.255 On-link 10.98.0.140 286
10.98.0.255 255.255.255.255 On-link 10.98.0.140 286
10.98.1.0 255.255.255.0 On-link 10.98.1.34 281
10.98.1.34 255.255.255.255 On-link 10.98.1.34 281
10.98.1.255 255.255.255.255 On-link 10.98.1.34 281
IP_PUBBL_UFFICIO1 255.255.255.255 10.98.1.1 10.98.1.34 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.98.0.140 286
224.0.0.0 240.0.0.0 On-link 10.98.1.34 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.98.0.140 286
255.255.255.255 255.255.255.255 On-link 10.98.1.34 281
===========================================================================
Route permanenti:
Nessuna


COMANDO: ping 10.98.0.1
Esecuzione di Ping 10.98.0.1 con 32 byte di dati:
Risposta da 10.98.0.1: byte=32 durata=568ms TTL=64
Risposta da 10.98.0.1: byte=32 durata=115ms TTL=64
Risposta da 10.98.0.1: byte=32 durata=109ms TTL=64
Risposta da 10.98.0.1: byte=32 durata=116ms TTL=64
Statistiche Ping per 10.98.0.1:
Pacchetti: Trasmessi = 4, Ricevuti = 4,
Persi = 0 (0% persi),


COMANDO: ping 10.98.0.100
Esecuzione di Ping 10.98.0.100 con 32 byte di dati:
Risposta da 10.98.0.140: Host di destinazione non raggiungibile.
Risposta da 10.98.0.140: Host di destinazione non raggiungibile.
Risposta da 10.98.0.140: Host di destinazione non raggiungibile.
Risposta da 10.98.0.140: Host di destinazione non raggiungibile.
Statistiche Ping per 10.98.0.100:
Pacchetti: Trasmessi = 4, Ricevuti = 4,
Persi = 0 (0% persi),

COMANDO: arp -a
Interfaccia: 10.98.1.34 --- 0xb
Indirizzo Internet Indirizzo fisico Tipo
10.98.1.1 xx-xx-xx-xx-bf-88 dinamico
10.98.1.33 xx-xx-xx-xx-5b-49 dinamico
10.98.1.255 xx-xx-xx-xx-ff-ff statico
224.0.0.2 xx-xx-xx-xx-00-02 statico
224.0.0.22 xx-xx-xx-xx-00-16 statico
224.0.0.251 xx-xx-xx-xx-00-fb statico
224.0.0.252 xx-xx-xx-xx-00-fc statico
239.255.255.250 xx-xx-xx-xx-ff-fa statico
255.255.255.255 xx-xx-xx-xx-ff-ff statico

Interfaccia: 10.98.0.140 --- 0xe
Indirizzo Internet Indirizzo fisico Tipo
10.98.0.1 xx-xx-xx-xx-b6-3d dinamico
10.98.0.4 xx-xx-xx-xx-e0-f0 dinamico
10.98.0.8 xx-xx-xx-xx-37-24 dinamico
10.98.0.10 xx-xx-xx-xx-05-1c dinamico
10.98.0.102 xx-xx-xx-xx-86-93 dinamico
10.98.0.103 xx-xx-xx-xx-1c-fe dinamico
10.98.0.104 xx-xx-xx-xx-52-b1 dinamico
10.98.0.105 xx-xx-xx-xx-23-0e dinamico
10.98.0.255 xx-xx-xx-xx-ff-ff statico
224.0.0.2 xx-xx-xx-xx-00-02 statico
224.0.0.22 xx-xx-xx-xx-00-16 statico
224.0.0.252 xx-xx-xx-xx-00-fc statico
239.255.255.250 xx-xx-xx-xx-ff-fa statico
255.255.255.255 xx-xx-xx-xx-ff-ff statico

Dove si notano sulla seconda inferfaccia alcuni IP della LAN dell'Ufficio1
(ma non so se per caso sono un "retaggio" della vecchia VPN funzionante)



9) info rilevate sulla macchina Zeroshell

SHOW CLIENTS
OpenVPN Connected Clients
--------------------------------------------------------------------------------
>> Connected Clients: 1
Common Name Real Address Virtual Address Bytes Received Bytes Sent Connected Since
xxxxxxxxx xx.xx.xx.xx:1322 10.98.0.140 100327 1982720 Fri Oct 11 16:03:07 2013


LOG VIEWER
16:03:04 OpenVPN 2.2.2 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jun 3 2012
16:03:04 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
16:03:04 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
16:03:04 TUN/TAP device VPN99 opened
16:03:04 Listening for incoming TCP connection on [undef]:1194
16:03:04 TCPv4_SERVER link local (bound): [undef]:1194
16:03:04 TCPv4_SERVER link remote: [undef]
16:03:04 Initialization Sequence Completed
16:03:07 Re-using SSL/TLS context
16:03:07 LZO compression initialized
16:03:07 TCP connection established with xx.xx.xxx.xx:1322
16:03:07 TCPv4_SERVER link local: [undef]
16:03:07 TCPv4_SERVER link remote: xx.xx.xxx.xx:1322
16:03:12 xx.xx.xxx.xx:1322 [xxxxxxxxxxxxxxx] Peer Connection Initiated with 62.94.124.64:1322
16:03:12 xx.xx.xxx.xx:1322 [xxxxxxxxxxxxxx] Virtual IP automatically assigned: 10.98.0.140

ARPING 10.98.0.140 from 10.98.0.1 BRIDGE00
Unicast reply from 10.98.0.140 [00:FF:84:B5:0F:5D] 661.344ms
Unicast reply from 10.98.0.140 [00:FF:84:B5:0F:5D] 945.357ms
Sent 3 probes (1 broadcast(s))
Received 2 response(s)

PING 10.98.0.140 (10.98.0.140) 56(84) bytes of data.
64 bytes from 10.98.0.140: icmp_seq=2 ttl=128 time=4466 ms
64 bytes from 10.98.0.140: icmp_seq=3 ttl=128 time=4079 ms
64 bytes from 10.98.0.140: icmp_seq=4 ttl=128 time=3071 ms
64 bytes from 10.98.0.140: icmp_seq=5 ttl=128 time=2063 ms
--- 10.98.0.140 ping statistics ---
7 packets transmitted, 4 received, 42% packet loss, time 6028ms
rtt min/avg/max/mdev = 2063.608/3420.381/4466.682/934.317 ms, pipe 5


10) info rilevate da un client della rete

COMANDO: ping 10.98.0.140
Esecuzione di Ping 10.98.0.140 con 32 byte di dati:
Risposta da 10.98.0.140: byte=32 durata=357ms TTL=128
Risposta da 10.98.0.140: byte=32 durata=93ms TTL=128
Risposta da 10.98.0.140: byte=32 durata=75ms TTL=128
Risposta da 10.98.0.140: byte=32 durata=71ms TTL=128
Statistiche Ping per 10.98.0.140:
Pacchetti: Trasmessi = 4, Ricevuti = 4,
Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 71ms, Massimo = 357ms, Medio = 149ms

Mentre altri client non riescono a pingare


Sulla macchina ZeroShell, per il momento, tutte le regole del firewall sono su ACCEPT su tutte le chain


Scusate l'enorme lunghezza del post, ma ho voluto fornire tutte le info tecniche in mio possesso
Ho cercato per 2-3 giorni risposte sul forum e anche sul web, ho fatto vari tentativi (router funzionerebbe tutto), giocando sulle varie combinazioni relative al natting, ma senza successo.

Un grazie anticipato a chiunque possa darmi dei suggerimenti


L'ultima modifica di Roberto Roncato il Ven Ott 11, 2013 4:24 pm, modificato 1 volta
Top
Profilo Invia messaggio privato Invia e-mail
Roberto Roncato



Registrato: 11/10/13 13:31
Messaggi: 2

MessaggioInviato: Ven Ott 11, 2013 4:23 pm    Oggetto: Rispondi citando

Dimenticavo...
Questo č il log OpenVPN sul client

Fri Oct 11 16:03:04 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Oct 11 16:03:04 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Oct 11 16:03:04 2013 Re-using SSL/TLS context
Fri Oct 11 16:03:04 2013 LZO compression initialized
Fri Oct 11 16:03:04 2013 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Oct 11 16:03:04 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Oct 11 16:03:04 2013 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Oct 11 16:03:04 2013 Local Options hash (VER=V4): '31fdf004'
Fri Oct 11 16:03:04 2013 Expected Remote Options hash (VER=V4): '3e6d1056'
Fri Oct 11 16:03:04 2013 Attempting to establish TCP connection with xx.xx.xx.xx:1194
Fri Oct 11 16:03:04 2013 TCP connection established with xx.xx.xx.xx:1194
Fri Oct 11 16:03:04 2013 TCPv4_CLIENT link local: [undef]
Fri Oct 11 16:03:04 2013 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
Fri Oct 11 16:03:04 2013 TLS: Initial packet from xx.xx.xx.xx:1194, sid=dbd1420c 1f4904a0
Fri Oct 11 16:03:06 2013 VERIFY OK: depth=1, /C=IT/ST=SV/L=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Fri Oct 11 16:03:06 2013 VERIFY OK: depth=0, /OU=Hosts/CN=xxxxxxxxxxxxxxxxxxxxxxxx
Fri Oct 11 16:03:09 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 11 16:03:09 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 11 16:03:09 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 11 16:03:09 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 11 16:03:09 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Oct 11 16:03:09 2013 [xxxxxxxxxxxxx] Peer Connection Initiated with xx.xx.xx.xx:1194
Fri Oct 11 16:03:11 2013 SENT CONTROL [xxxxxxxxxxxxxxxxxxx]: 'PUSH_REQUEST' (status=1)
Fri Oct 11 16:03:12 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.98.0.1,,dhcp-option DNS 10.98.0.1,route remote_host 255.255.255.255 net_gateway 1,route 10.98.0.0 255.255.255.0,ping 5,ping-restart 60,ifconfig 10.98.0.140 255.255.255.0'
Fri Oct 11 16:03:12 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 11 16:03:12 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 11 16:03:12 2013 OPTIONS IMPORT: route options modified
Fri Oct 11 16:03:12 2013 OPTIONS IMPORT: route-related options modified
Fri Oct 11 16:03:12 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Oct 11 16:03:12 2013 Preserving previous TUN/TAP instance: VPN
Fri Oct 11 16:03:12 2013 Initialization Sequence Completed
Fri Oct 11 17:03:09 2013 TLS: soft reset sec=0 bytes=2397833/0 pkts=12425/0
Fri Oct 11 17:03:11 2013 VERIFY OK: depth=1, /C=IT/ST=SV/L=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Fri Oct 11 17:03:11 2013 VERIFY OK: depth=0, /OU=Hosts/CN=xxxxxxxxxxxxxxxxxxxxxxxxxx
Fri Oct 11 17:03:14 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 11 17:03:14 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 11 17:03:14 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 11 17:03:14 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 11 17:03:14 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it