Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Configurazione Ftp

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Gio Lug 07, 2016 1:11 pm    Oggetto: Configurazione Ftp Rispondi citando

Ciao a tutti e sopratutto complimenti a Fulvio per l'ottimo lavoro che sta facendo.
Ho testato per qualche giorno la zeroshell e funziona perfettamente avevo solo qualche piccolo problema per quanto riguarda la configurazione del server filezilla ftp.
Spiego come brevemente la mia configurazione :
Sede A
Router 192.168.0.1
PC con Zeroshell 192.168.0.130
Server Gestionale 192.1680.220

Sede B
Router 192.168.5.1
Pc client DHCP
Ip assegnato da Zeroshell 192.168.250.1

Bene tutto funziona bene. Il collegamento vpn viene stabilito correttamente. Dalla Sede B riesco a fare il ping su tutti i pc della sede A, ma non viceversa.
Il software gestionale che utilizza telnet funziona.
L'unica cosa che non riesco a far funzionare è il servizio FTP.
Ho la necessità nella sede B di avere aperto il filezilla server in modalità passiva.
Questo servizio mi serve perché se dalla SEDE A voglio mandare una scansione al PC della SEDE B con ip 192.168.250.1 direttamente dalla stampante non funziona.
Facendo alcune prove ho notato che anche se faccio il ping dalla SEDE B alla Sede A risponde, ma se faccio il ping dalla Sede A alla Sede B non risponde nulla.
Ho tentato di creare delle regole in virtual server ma senza esito potete aiutarmi?
Grazie.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Lug 07, 2016 7:41 pm    Oggetto: Rispondi citando

Hai provato togliendo il flag 'Source Nat' dalla configurazione di OpenVpn su ZS, e creando una statica sul router 192.168.5.1,
ip route 192.168.250.0/24 via 192.168.0.130
?
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Gio Lug 07, 2016 9:20 pm    Oggetto: Rispondi citando

Grazie per la risposta. Non ho ancora provato la tua soluzione ma ha raggiunto lo scopo diversamente e parzialmente.
Ho creato in virtual server una regola che mi indirizza tutto il traffico della porta ftp 21 sull'ip 192.168.250.1.
Adesso quindi se faccio la scansione dalla stampante e la invio al ZS 192.168.0.130, trovo la scansione nel pc della Sede B con ip 192.168.250.1.

Problema : considerato che nella sede B ci sono più pc come faccio a inviare le scansioni ad altri pc? Ad esempio il 250.2 e cosi via?


Ps.: per il ping continua a funzionare solo dai client della sede B verso i client della sede A.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Lug 07, 2016 9:39 pm    Oggetto: Rispondi citando

Di default, la H2L, usa il source nat, i pacchetti in 'uscita' da ZS e provenienti da hosts connessi in vpn, vengono nattati con l'ip dell'interfaccia di uscita da ZS, il ping in un 'verso' funziona perche arriva ai targets con source adress 192.168.0130, quindi gli hosts di tale rete sanno a chi inviare le echo-replies, ma non sanno come raggiungere la rete 192.168.250.x, quindi inviano i pacchetti al loro default router, il quale a sua volta deve sapere come raggiungere tale network.
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Ven Lug 08, 2016 1:08 pm    Oggetto: Rispondi citando

Grazie, per il ping non è un problema al momento.

Ho risolto con la tua procedura ccd trovata :

http://www.zeroshell.net/forum/viewtopic.php?t=3735&sid=4e28ef84d3186cbe411bb2f03510194b

Sono riuscito a dare a tutti i pc della Sede B ip statici, però ho notato che inserendo il comado --client-config-dir /Database/etc/ccd riesco a pingare solo l'ip 192.168.0.130 (zeroshell) tutti gli altri indirizzi diventano irraggiungibili.
Ho provato anche ad inserire nel file nella cartalla ccd:
route add default gw 192.168.250.254 con il medesimo risultato

Dove sbaglio?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Lug 08, 2016 7:50 pm    Oggetto: Rispondi citando

Perchè non provi in un altro modo, se ZS ha 2 schede di rete (altrimenti, lo puoi fare da console....) ti colleghi ad una scheda 'libera' (alla quale hai permesso il management), togli l'ip alla eth00 ed alla vpn 99, lasci in bianco tutti i campi nella configurazione della vpn99, crei il bridge00 (eth00-vpn99), dai l'ip 192.168.0.130 al bridge, nei files dei clients, riservi un pool di ip addresses che non vengo rilasciati dal router, ma facenti parte della stessa rete (eg. ai vpn clients riservi 192.168.0. 220-230).
Collegandoti in vpn, i clients sono nello stesso dominio di broadcast degli altri, quindi raggiungibili in L2 .....
Usato questa conf. per qualche anno, ma la mia int. wan non era la stessa della rete interna (quella in bridge con la vpn)..... prova ... Smile
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Ven Lug 08, 2016 9:22 pm    Oggetto: Rispondi citando

Grazie redfive, ma non 2 schede di rete. Poi sinceramente sono un paio di giorni che smanetto con Zeroshelle le ie conoscenze sono limitate.
La cosa ideale sarebbe riservare gli ip a determinati pc ma a quanto pare non è possibile.

Proverò a ricontrollare le configurazioni non riesco a capire perchè una volta assegnato l'indirizzo ip statico risco a pingare solo ip esterno dello Zeroshell (192.168.0.130), io ho l a necessità di arrivare al 192.168.0.220.

C'è qualcosa che manca nella configurazione perchè quanto l'ip viene assegnato automaticamente tutto funziona.

Grazie.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Lug 08, 2016 9:50 pm    Oggetto: Rispondi citando

Stasera sono un pò ... cotto, non sono molto di aiuto...
Attalmente, sul mio ZS, nella config. H2L, ho i campi vuoti, ed in setup c'è solo l'ip della VPN99 (192.168.248.1/29).
In 'Command Line Parameters', ho alcune direttive, riporto quelle che potresti utilizzare anche tu ('aggiustando' gli ip e le rotte) ...
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --tun-mtu 1500 --remote-cert-eku 'TLS Web Client Authentication' --push 'route-gateway 192.168.248.1' --verb 5

Per i clients, ho files di configurazione diversi, es per admin
Codice:
ifconfig-push 192.168.248.2 255.255.255.248
push 'dhcp-option DOMAIN aaa.bbb'
push 'dhcp-option DNS 192.168.248.1'
push 'dhcp-option NTP 192.168.248.1'
push 'route 192.168.192.0 255.255.255.192'
push 'route 10.1.1.0 255.255.255.248'
push 'route 192.168.15.0 255.255.255.0'
push 'route 10.2.2.2 255.255.255.255'


Ad un altro utente, vengono passate rotte, ip address e DNS diversi
Codice:
ifconfig-push 192.168.248.6 255.255.255.248
push 'dhcp-option DNS 10.2.2.2'
push 'route 192.168.15.0 255.255.255.0'
push 'route 10.2.2.2 255.255.255.255'

Il route-gateway è comune, e viene 'passato' direttamente dalla config 'generale'......
Se i clients sono macchine win, puoi provare prima senza ccd (e controlli dal prompt con netsat -r le rotte passate al client) e poi con ccd (e ricontrolli netstat -r) magari vedi cosa c'è di diverso ...
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Sab Lug 09, 2016 8:24 am    Oggetto: Rispondi citando

Grazie Redfive ma credo di essermi perso tra i vari comandi.
Faccio un riepilogo della mia configurazione in modo tale da affrontare bene il problema.

Sede A (Sede Principale)
Router Vodafone Huawai 2020 Ip : 192.168.0.1 (Non gestito da me)
Circa 15 Pc con indirizzi che vanno da 192.168.0.2 al 192.168.0.254
Server Gestionale IP 192.168.0.220
Zeroshell IP 192.168.0.130 (Scheda di rete fisica)
Tutti i pc di questa rete devono poter raggiungere il 192.168.0.220

Redirect della porta TCP 1194 sull'IP verso Ip 192.168.0.130

Vari Client Remoti tutti Windows, che si collegato da 8 sedi differenti:
I client prendono in automatico un indirizzo che va dal 192.168.250.20 al 192.168.250.30
Sul Tastino "NET" ho inserito 192.168.0.0/24 in tal modo tutto il traffico differente non passa nel tunnel VPN.
Con questa configurazione tutto funziona alla perfezione ovvero i client remoti riescono a raggiungere il server 192.168.0.200 e far girare il gestionale.

La mia necessità è la seguente :

I client Remoti devono avere sempre lo stesso ip.
Esempio :
PC remoto 1 Ip assegnato staticamente 192.168.250.1
Pc remoto 2 Ip assegnato staticamente 192.168.250.2 e così via

Questo perché su ogni pc remoto gira un Ftp Server in ascolto utilizzato dallo Scan (al suo interno ha un Client FTP.

Ho provato la tua procedura, ho creato la cartella ccd con i vari file con CN di ogni utente e inserito nel command line il comando corretto.
Succede però che il pc remoto prende correttamente l'indirizzo IP che io decido di dargli con il comando ifconfig.... ad esempio 192.168.250.1, ma dal momento del collegamento il pc remoto non è più in grado ne di raggiungere il Server della Sede a sull'Ip 192.168.0.200 ne riesce a navigare. Inoltre ho notato che Ip pubblico del pc remoto diventa Ip pubblico della Sede A, quindi presumo che tutto il traffico internet attraversi la Vpn. L'unico ip raggiungibile rimane il 192.168.0.130.
Come letto nel forum con l'assegnazione del Ip Statico ho eliminato dal tastino Net 192.168.0.0/24.

Quello che chiedo a Voi esperti e come mai con l'assegnazione automatica tutto funziona e con l'assegnazione manuale nascono problemi?

Ho la sensazione che con l'assegnazione automatica dell'ip c'è qualche regola che non la manuale non avviene.

Spero di essere stato chiaro.

Ps. Per Redfive Aggiungendo una seconda scheda lan il problema si risolverebbe?

Grazie in anticipo a tutti.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Sab Lug 09, 2016 9:03 pm    Oggetto: Rispondi citando

Parlando in generale, sarebbe sempre buona cosa, quando si deve 'gestire' una infrastruttura di rete
1) avere come router/firewall pricipale, un dispositivo sul quale si ha il completo controllo
2) non usare mai per le reti da gestire, i classici indirizzi 192.168.0.0/24 e 192.168.1.0/24
La prima, per non dover dipendere da qualcuno per eventuali modifiche (se non è possibile 'toglierlo di mezzo', usare il modem/router dell'ISP come solo accesso ad internet ed utilizzare un 'nostro'router in DMZ), la seconda perchè se ci fosse la necessità di raggiungere la sede via vpn, e se il client si connettesse da una rete remota che ha lo stesso indirizzo, potrebbero nascere dei problemi...
Questo in generale, come best practice.....
Per il tuo problema specifico .....
Nella configurazione OpenVPN H2L, se in 'Command line Parameters', è presente la direttiva "--client-config-dir /Database/etc/ccd", i campi in "Client IP Address Assignment" non vengono presi in considerazione, o meglio, solo il pool "IP Range" viene utilizzato per creare la regola di source nat, nell esempio qui sotto, il pool è 192.168.248.4-6, di coseguenza la regola di s.nat nella chain OpenVpn
Codice:
iptables -t nat -nvL OpenVPN

Chain OpenVPN (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.248.4-192.168.248.6

Cambiando il pool , con tutti gli indirizzi disponibili (uso una /29) 192.168.248.2-6
Codice:
Chain OpenVPN (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.248.2-192.168.248.6

Ma anche gateway, netmask, DNS e le rotte da aggiungere con il tastino "Net" vengono ignorati.
Questi parametri li puoi aggiungere però manualmente, nei files di configurazione dei clients (se prevedi configurazioni diverse), o, se sono uguali per tutti, in "Command line Parameters", nel tuo caso, qualcosa tipo
Codice:
--client-config-dir /Database/etc/ccd --push 'route 192.168.0.0 255.255.255.0' --push 'route-gateway 192.168.250.254'

Puoi anche usare tutto il pool nel dhcp della vpn, se poi usi, sempre in 'Command line Parameters', anche la direttiva "--ccd-exclusive", non corri pericolo di overlap, perche solo i clients per i quali è presente il file ci configurazione potranno connettersi in vpn, e sei sicuro che quindi verranno 'nattati' dall'interfaccia di uscita ...
Questo però non risolve il tuo problema, ovvero gli hosts della rete 192.168.0.0/24 non sanno dell'esistenza degli hosts 192.168.250.0/24....
Se usi il forwarding, come hai fatto per il primo host, una soluzione potrebbe essere quella di usare porte diverse (se lo scan lo permette), es. se per host 1 hai un forwarding di tipo 192.168.0.130:21>>192.168.250.1:21
per l'host 2 potrebbe essere
192.168.0.130:2022>>192.168.250.2:21
per il 3
192.168.0.130:2023>>192.168.250.3:21 ....
Altrimenti, o crei/fai fare una statica sul router vodafone, o soluzione migliore, aggiungi una scheda a ZS e usi lui come router/fw, e fai praticamente.. quello che vuoi Wink
ciao
P.S. ... se gli passi anche il DNS, male non fà ....
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Lun Lug 11, 2016 11:05 am    Oggetto: Rispondi citando

Grazie Redfive oggi pomeriggio farò le prova da te consigliate.

Partiamo dal presupposto che tutti i client remoti avranno la stessa configurazione, quindi in command line inserirò :
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --push 'route 192.168.0.0 255.255.255.0' --push 'route-gateway 192.168.250.254' --push 'dhcp-option DNS 192.168.250.254'


Seguendo il tuo consiglio passerò anche il DNS.

Così facendo il client nel momento della connessione riceve l'indirizzo Ip presente nel file CN nella cartella ccd

Codice:
if-config-push 192.168.250.20 255.255.255.0


Adesso i client dovrebbero prendere gli ip fissi decisi, si collegheranno soltanto i client che hanno il file di configurazione e verranno correttamente nattati, perchè comunque gli Ip fissi rientreranno nel pool dhcp.

Per quanto riguarda la stampante penso di risolvere così in quanto avevo fatto qualche prova sabato e sembrava funzionare.

Ip Stampante 192.168.0.220
Porta utilizzata dal client Ftp interno alla stampante : 21 (modificabile)
Ho inserito il gateway della stampante con : 192.168.0.130 (Zeroshell)
Creato una serie di regole in virtual server così:
Client 1 : Ip stampante 192.168.0.220 Porta 21 redirect verso Ip 192.168.250.1 porta 21
Client 2 : Ip stampante 192.168.0.220 Porta 21 redirect verso Ip 192.168.250.2 porta 21
e così via.

Quindi tutti i server ftp avviati sui client restano in attesa sulla porta 21.
Il client FTP chiama l'ip desiderato sulla porta 21

In questo modo la stampante vede tutti i client 250.X e dal suo touch riesco ad inviare la scansione scegliendo il client remoto in base all'ip.

Grazie per l'aiuto.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Lug 11, 2016 6:43 pm    Oggetto: Rispondi citando

Non ho ben seguito il discorso scansioni/invio, se solo la stampante deve raggiungere gli ip vpn o anche i clients della rete 192.168.0.0..... comunque, se, come mi sembra di aver capito, alla stampante hai dato come def-gw l'ip di ZS 192.168.0.130, non hai neanche bisogno del snat sulla vpn e di conseguenza dei forwarding, ZS sà come raggiungere la rete 192.168.250.0/24, mentre la stampante, i client della sua stessa rete li 'vede' in L2, se deve 'uscire' su internet, inoltrerà i pacchetti a ZS (che avrà come def-gw il 'vero' def-gw della rete), il quale a sua voltà li inoltra al router vodafone, i pacchetti di 'ritorno', saranno inviatii dal router vodafone direttamente alla stampante ..... non troppo standard come soluzione, ma dovrebbe funzionare.....
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Lun Lug 11, 2016 7:03 pm    Oggetto: Rispondi citando

Grazie di nuovo Redfive.
Alggiorno la situazione, sembrerebbe tutto funzionare.

La stampante Scan riesce tranquillamente ad inviare le scansioni sia alla rete 192.168.0.0/24 sia alla rete VPN 192.168.250.0/24.

La configurazione che ho adottato è la seguente :
Codice:

Ip Stampante\Scan : 192.168.0.220
Subnet : 255.255.255.0
Gateway :  192.168.0.130 (IP ETH00 ZS)
Ftp Client : Tcp 21


Client VPN:
Ip Fissi dal 192.168.250.1-al 192.168.250.8
Ftp Server : Tcp 21
Command Line parameters :
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --push 'route 192.168.0.0 255.255.255.0' --push 'route-gateway 192.168.250.254' --push 'dhcp-option DNS 192.168.250.254'


Virtual Server
Codice:

192.168.0.220:21 Verso 192.168.250.1:21
192.168.0.220:21 Verso 192.168.250.2:21
192.168.0.220:21 Verso 192.168.250.3:21
192.168.0.220:21 Verso 192.168.250.4:21
192.168.0.220:21 Verso 192.168.250.5:21
192.168.0.220:21 Verso 192.168.250.6:21
192.168.0.220:21 Verso 192.168.250.7:21
192.168.0.220:21 Verso 192.168.250.8:21


Così facendo ogni client VPN ha un suo ip fisso, riesce a ricevere le scansioni.

Testerò la configurazione per qualche giorno sperando di non avere problemi.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Lug 11, 2016 8:35 pm    Oggetto: Rispondi citando

Le regole del virtual server non sono molto chiare (192.168.0.220 non è la stampante ? a chi dici di inoltrare i pacchetti destinati alla stampante ai vari (?) ip della vpn ? Non è che dalla stampante scansioni già la rete 192.168.250.0 ?), comunque, se la stampante ha come def-gw ZS, puoi toglierle tutte le regole virtual server e togliere il snat dalla config vpn, la stampante raggiungerà la rete 192.168.250.0/24 direttamente via routing puro, e lo stesso faranno i vpn clients con la stampante.
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Mar Lug 12, 2016 3:29 pm    Oggetto: Rispondi citando

Grazie Redfive. Funziona perfettamente anche senza regole e snat.

PS: Mi consiglieresti un libro, guida ecc, vorrei studiare un pò il funzionamento delle reti.

Grazie.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mar Lug 12, 2016 5:32 pm    Oggetto: Rispondi citando

Potresti cercare un cisco CCNA, è specifico sui prodotti cisco, ma la prima parte, Networking Fundamentals, è generica, e spiegata bene, o altrimenti, un modo piu' soft, puoi cominciare da, esempio,
qui ....
ciao
Top
Profilo Invia messaggio privato
siedrosat



Registrato: 07/07/16 12:45
Messaggi: 9

MessaggioInviato: Ven Lug 22, 2016 10:13 am    Oggetto: Rispondi citando

Aggiornamento dopo 10 giorni di utilizzo la vpn funziona correttamente.

Vorrei apporre alcune modifiche per migliorare la configurazione.

1) Vorrei che i client che si collegano in VPN devono raggiungere solo un IP il 192.168.0.220

2) Ho lasciato il dominio di default Zeroshell.example.com vorrei sapere se è possibile modificarlo senza ricreare i certificati ecc.

Grazie.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it