Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Client host-to-lan con ip statico

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Ven Gen 15, 2010 5:52 pm    Oggetto: Client host-to-lan con ip statico Rispondi citando

Ciao
Chiedevo se fosse possibile far si che un determinato client si colleghi sempre con lo stesso indirizzo ip tramite openvpn host-to-lan.

Grazie
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Gen 28, 2010 12:31 pm    Oggetto: Rispondi citando

Sto cercando pure io di farlo.

Probabilmente è necessario usare:
--client-config-dir /Database/etc/ccd/ --ccd-exclusive
(magari nel tuo caso il -ccd-exclusive non è necessario, se vuoi che si possano connettere anche client per i quali non è prevista una configurazione specifica). Ma non capisco perché openvpn vuole assegnare per forza indirizzi da un suo "pool".

In pratica, quello che vorrei fare è prendere delle macchine (attualmente raggiungibili ognuna sul proprio indirizzo, ma questi indirizzi sono "sparpagliati" nella subnet) e "proteggerli" (in modo che non possa venire sostituito il PC attaccandone un altro al suo posto). Il tutto, però, mantenendo la raggiungibilità sugli indirizzi attuali!
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Feb 02, 2010 3:34 pm    Oggetto: Successo parziale Rispondi citando

Allora, come dicevo, pare proprio che ci siano da usare le opzione per i file di configurazione "per client" (ccd).
Nella directory /Database/etc/ccd va messo un file con
ifconfig-push ip.pub.blico.pc 255.255.255.0
Il nome del file DEVE essere ricavato dal certificato che tale host userà, con hostname.domain (come visibili da hosts->edit).

In "VPN", sotto "Client IP Address Assignment" ho lasciato tutto in bianco.

VPN99 e ETH00 sono unite in BRIDGE00 (gli IP che devo assegnare sono "sparsI" sulla rete che fa capo a ETH00).

Lanciando manualmente, sul client, la connessione, pare funzionare (viene assegnato l'indirizzo corretto al tunnel, e setto manualmente il gateway), ma poi non esco...

[edit]SONO UN POLLO! Attenzione al firewall locale del CLIENT! Era lui che non mi faceva uscire![/edit]
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Gio Feb 04, 2010 4:15 pm    Oggetto: Rispondi citando

Ciao , credo sia una cosa interessante ciò che hai fatto, potresti postare in modo dettagliato come hai realizzato l'assegnazione di ip predeterminati in vpn ?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Feb 05, 2010 12:13 pm    Oggetto: Rispondi citando

redfive ha scritto:
Ciao , credo sia una cosa interessante ciò che hai fatto, potresti postare in modo dettagliato come hai realizzato l'assegnazione di ip predeterminati in vpn ?


Molto semplice:

  1. Si aggiunge, come parametro per la VPN, "--client-config-dir /Database/etc/ccd/" (ed eventualmente " --ccd-exclusive" se si vuole che SOLO i client per i quali è specificato un file di configurazione possano connettersi)
  2. Si crea (manualmente, da shell -- sarebbe carino poterlo fare da web, magari quando si crea un certificato per un host che possa accedere alla VPN), nella dir data, un file di configurazione per ogni client (il nome del file DEVE essere il CN del client come visibile sotto hosts->edit, in pratica Hostname.Domain) contenente la sola riga "ifconfig-push ip.pubblico.su.eth00 netmask.da.usare.eth00"
  3. La lista delle reti del tasto "Net" DEVE essere vuota, in modo che il default gateway sia sulla VPN (nel mio caso, se così non fosse, il sistema non sarebbe trasparente per gli utenti, che sarebbero costretti ad autenticarsi per poter uscire dalla rete di dipartimento... autenticazione ridondante dato che già devono accedere con le proprie credenziali a macchine joinate ad Active Directory)
  4. Si installano sul client (in Mandriva vanno in /etc/openvpn) il certificato della CA (CA.pem) di ZS ed il certificato del client (il .pem va diviso in client.pem con la sola chiave pubblica e client.key con la sola chiave privata NON CRIPTATA)
  5. Si crea la configurazione per il client openvpn (io ho seguito la procedura guidata di Mandriva, poi ho sostituito il file creato in /etc/sysconfig/network-scripts/vpn.d/openvpn/ con il file di config riportato sotto)
  6. In Mandriva su può editare la connessione di eth0 per fargli avviare automaticamente la VPN


Sul client, va creato un file di configurazione per OpenVPN con:
Codice:

client
dev tap
proto tcp
remote IP_PRIVATO_DI_ZS
resolv-retry infinite
nobind
ca /etc/openvpn/CA.pem
cert /etc/openvpn/client.pem
key /etc/openvpn/client.key
comp-lzo
verb 3
script-security 2

(nota: NON sono riuscito a far funzionare pkcs12 al posto di cert+key... mi da' errore quando cerca di interpretare il file.)

NON è necessario che gli IP pubblici siano nel pool di indirizzi assegnato alle macchine in VPN (visto che io utilizzo anche --ccd-exclusive, ho usato come pool il solo indirizzo pubblico di ZS!).
NON sono necessarie regole sul firewall (VPN99 e ETH00 sono in bridge).
PUÒ essere necessario (non dovrebbe, ma male non fa) "aprire" come "servizio libero" l'accesso alle porte di Kerberos ed LDAP (o LDAPS) o NIS se le macchine ne hanno bisogno.
Purtroppo l'opzione --ccd-exclusive va in conflitto con --duplicate-cn. Per fortuna è solo un warning che non crea particolari problemi (a meno che non si provino ad aprire due sessioni con lo stesso certificato, che porterebbero ad avere un IP duplicato).

Non ho provato se l'abilitazione del NAT crei problemi (nella mia situazione non ne ho bisogno).

Purtroppo scrivere documentazione non è il mio forte... Spero comunque che ci sia tutto il necessario.[/list]
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Ven Feb 05, 2010 12:55 pm    Oggetto: Rispondi citando

Gentlissimo, grazie !! stasera provo a farlo, ti faccio sapere....
grazie ancora per ora( magari ti chiederò ancora qualche dritta !! )
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Mar Mar 02, 2010 9:43 pm    Oggetto: Rispondi citando

allora, spulciando un pÚ tra gli howto di openvpn ma soprattutto grazie @ ndk , la vpn assegna gli ip statici in base al certificato dell'utente.
praticamente la configurazione sul client xp Ť quella di default, ho creato i file ccd con gli ip per i client, i campi client ip address assignment sono tutti vuoti ed in Command Line Parameters ho aggiunto le seguenti entry :
--client-config-dir /Database/etc/ccd/ --ccd-exclusive --push 'route 192.168.128.0 255.255.255.224 192.168.250.1'
dove 192.168.128.0/27 Ť la rete interna e 192.168.250.1 Ť l'ip assegnato all'interfaccia VPN99.in attesa che arrivi lo switch cisco managed per giocare un po con le vlan le policy sul firewall relative alla vpn sono in base agli ip .
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Gio Mar 04, 2010 5:19 pm    Oggetto: Rispondi citando

Grazie della collaborazione, solo in questi giorni sono riuscito a fare delle prove.
In effetti ho solamente aggiunto la cartella ccd nel percorso indicato, poi ho dato i parametri a ZS --client-config-dir /Database/etc/ccd/ e creato un file nella cartella nominato come lo USER in questione, con all'interno il comando ifconfig-push ip_del_range_statico netmask_del_range , sui client windows non ho fatto modifiche.
In caso ci sia il file prende correttamente l'ip, altrimenti va in DHCP e ne prende uno del range.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Mar 05, 2010 12:37 pm    Oggetto: Rispondi citando

Io invece mi sono accorto solo ora di uno strano "problema" (almeno per me): se l'interfaccia di uscita Ť con NAT, allora saranno con NAT anche tutte le connessioni VPN, indipendentemente dal fatto che gli venga assegnato o meno un indirizzo statico.

La cosa mi crea un grosso problema Sad e devo capire come risolverlo: gli indirizzi statici li assegno proprio perchť le macchine siano raggiungibili ed identificabili...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it