Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN lan to lan, non riesco a far vedere i client tra di loro
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
Gdurfy



Registrato: 15/03/10 14:02
Messaggi: 2

MessaggioInviato: Lun Mar 15, 2010 2:05 pm    Oggetto: VPN lan to lan, non riesco a far vedere i client tra di loro Rispondi citando

Ciao a tutti.

Sono nuovo del forum e di zeroshell.

Ho configurato 2 server su sedi remote ed ho configurato la vpn che è andata su come da guida “VPN lan to lan”.

Ho 2 reti 192.168.20.0 e 192.168.11.0 il gateway in entrambi i casi è il numero 254.

Da un qualsiasi pc di una delle reti ( con gateway corretto ) riesco a fare il ping al gateway remoto ( es. Dalla 192.168.11.180 funziona il ping al gateway 192.168.20.254 e dalla 192.168.20.50 funziona il ping verso il gateway 192.168.11.254) ma non riesco a fare il ping dalla 192.168.11.180 alla 192.168.20.50.

Allego traceroute fatto da un client:

MacBook:~ user$ traceroute 192.168.20.50
traceroute to 192.168.20.50 (192.168.20.50), 64 hops max, 52 byte packets
1 192.168.11.254 (192.168.11.254) 0.943 ms 0.305 ms 0.186 ms
2 10.0.0.1 (10.0.0.1) 3001.709 ms !H 3002.536 ms !H 3003.987 ms !H
MacBook:~ user$

Devo aver dimenticato qualcosa.

Grazie per l'aiuto.
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 38

MessaggioInviato: Mer Mar 17, 2010 6:30 pm    Oggetto: Rispondi citando

Devi aggiungere una route statica dicendo che la subnet a cui vuoi arrivare passa dal quel determinato gw.
Nel tuo caso devi impostare che per arrivare alla subnet 192.168.11.0/16 devi pasasre per il gateway 192.168.11.254.
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Mar Dic 31, 2013 4:29 pm    Oggetto: Rispondi citando

ciao a tutti e auguri per il nuovo anno

anchio ho lo stesso problema ho provato ad inserire delle route statiche ma non ho ottenuto niente
per essere più chiari ho due siti il sito A con classe ip 192.168.1.x e gw 192.168.1.75
e il sito B con ip 192.168.2.x e gw 192.168.2.75
sul sito A ho inserito oltre alla route 0.0.0.0/24 net gw 10.10.10.1 (ip vpn)
la route 192.168.1.0 net gw 192.168.1.75
sul sito B ho inserito oltre alla route 0.0.0.0/24 net gw 10.10.10.2 (ip vpn)
la route 192.168.2.0 net gw 192.168.2.75
dove che sbaglio?
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Mar Dic 31, 2013 6:49 pm    Oggetto: Rispondi citando

mi correggo le route sono le seguenti
sede A
destination netmask type metric gateway interface state
0.0.0.0 0.0.0.0 net 0 192.168.1.75 up
192.168.2.0 255.255.255.0 net 0 10.10.10.2 up

sede B
destination netmask type metric gateway interface state
0.0.0.0 0.0.0.0 net 0 192.168.2.75 up
192.168.1.0 255.255.255.0 net 0 10.10.10.1 up
dove
10.10.10.1 e 10.10.10.2 sono gli delle vpn
192.168.1.x e 192.168.2.x sono gli ip delle due reti sotto zs eth00 nattate dietro a vpn e eth01

riesco a pingare rispettivamente da A il 192.168.2.75 e da B il 192.168.1.75

ma non sono riuscito a pingare ds A gli ip dietro 192.168.2.75 e da B gli ip dietro 192.168.1.75

capisco che dovrei in qualche modo istruire i due zs ma non so come?

buon anno a tutti, che il 2014 porti tanta serenità e posibilmente meno tasse( anche se questo ultimamente ricade nella voce miracoli difficilmente realizzabili)
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Gen 02, 2014 6:16 pm    Oggetto: Rispondi citando

Ciao e auguri , potresti spiegare come sono strutturate le reti in entrambi i siti ? Es. la rete di cui è membro la eth00 , la rete di cui è membro la eth01 , i default-gateway per gli hosts e per i due Zeroshell, da quali hosts vorresti accedere alle reti remote...
Ciao
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Ven Gen 03, 2014 4:43 pm    Oggetto: Rispondi citando

ciao cerchero' di fare del mio meglio

ho creato 2 postazioni zs che chiamero' A e B, le seguenti configurazioni
zs A
su eth00 rete interna con ip della famiglia 192.158.1.x e sub 255.255.255.0
su eth01 ho creato la vpn00 ho dato alla eth01 ip 62.62.62.1/24 mentre alla vpn l'ip 10.10.10.1/24
route statiche
destination netmask type metric gateway interface state
0.0.0.0 0.0.0.0 net 0 192.168.1.75
192.168.2.0 255.255.255.0 net 0 10.10.10.1
nella nat ho messo tutto dietro eth01 e vpn00

zs B
su eth00 rete interna con ip della famiglia 192.158.2.x e sub 255.255.255.0
su eth01 ho creato la vpn00 ho dato alla eth01 ip 62.62.62.2/24 mentre alla vpn l'ip 10.10.10.2/24
route statiche
destination netmask type metric gateway interface state
0.0.0.0 0.0.0.0 net 0 192.168.2.75
192.168.1.0 255.255.255.0 net 0 10.10.10.2
nella nat ho messo tutto dietro eth01 e vpn00

i due router dovrebbero essere collegati sulle due eth01 (al momento non sono collegati perche' sto facendo delle prove)
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Gen 03, 2014 7:34 pm    Oggetto: Rispondi citando

Mi sono perso gli ip tra un post e l'altro Laughing .....comunque , un esempio con delle topologie "reali" potrebbe essere, sitoA:

192.168.1.0/24----(.1)eth00|ZS|eth01(.2)----192.168.10.0/24----(.1)eth|router|adsl----internet

Qundi , ETH00 di Zs 192.168.1.1 , ETH01 di Zs 192.168.10.2 collegata al router 192.168.10.1 , collegato a sua volta ad internet.
VPN00 10.10.10.1 , vpn server. Statica 192.168.2.0/24 via 10.10.10.2 , statica 0.0.0.0/0 via 192.168.10.1 (oppure dichiari 192.168.10.1 come def-gw) , NAT solo su ETH01.

SitoB

192.168.2.0/24----(.1)eth00|ZS|eth01(.2)----192.168.11.0/24----(.1)eth|router|adsl----internet

Qundi , ETH00 di Zs 192.168.2.1 , ETH01 di Zs 192.168.11.2 collegata al router 192.168.11.1 , collegato a sua volta ad internet.
VPN00 10.10.10.2 , vpn client. Statica 192.168.1.0/24 via 10.10.10.1 , statica 0.0.0.0/0 via 192.168.11.1 (oppure dichiari 192.168.11.1 come def-gw) , NAT solo su ETH01.
In questo modo , gli hosts appartenenti alla rete 192.168.1.0 di sito A dovrebbero raggiungere gli hosts appartenenti alla rete 192.168.2.0 di sito B in modo trasparente , e viceversa.
Le statiche
Codice:

destination  netmask type metric gateway       interface state
0.0.0.0      0.0.0.0  net   0    192.168.1.75            up
e
Codice:

destination  netmask type metric gateway       interface state
0.0.0.0      0.0.0.0  net   0    192.168.2.75            up
non servono comunque, sarebbe come dire a Zs che è il default gateway di se stesso.

Se invece , sei in un ambiente di test e i 2 box Zs sono collegati rispettivamente alle loro ETH01(tramite la rete 64.64.64.0/24) , togli il nat dalle VPN00 e una volta che la vpn tra le eth01 è in up ,dovresti poter comunicare tra le reti "attuali" 192.168.1.0 e 192.168.2.0 .
Se poi , nella topologia "reale" (non di test) vuoi far comunicare anche gli hosts delle reti "davanti" agli Zs ( 192.168.10.0 e 192.168.11.0) , basta aggiungere 2 statiche , una sul router principale e una su Zs , in entrambi i siti , ed aggiungere 2 regolo nella NAT table (da Startup/Cron>> NAT and Virtual Servers script) dei 2 Zs.
Ciao
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Lun Gen 06, 2014 12:36 pm    Oggetto: Rispondi citando

ciao redfive ho provato sia a mettere vpn00 dietro al nat che davanti (insieme a eth01) comunque non riesco a raggiungere i pc della eth00 tranne il loro gw (192.168.2.75 o 192.168.1.75)

per essere precisi quando vpn00 e dietro al nat se pingo dal client al server non ho nessun risultato se invece lo faccio dal server ho l'arp della scheda del portatile ma non il ping
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Gen 06, 2014 12:42 pm    Oggetto: Rispondi citando

Ok , potresti spiegare come sono collegati realmente i 2 Zs ? Gli hosts per i quali vuoi la "visibilità" via vpn , hanno come default-gw i rispettivi box Zs ? Sono per caso dietro Captive Portal ?

Ciao
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Lun Gen 06, 2014 2:46 pm    Oggetto: Rispondi citando

allora, prima di tutto scusami non voglio farti perdere la pazienza, quidi riepilogo i dati dei due zs collegati direttamente su eth01

zs siteA (server)

eth00 rete interna casse ip 192.168.1.x dhcp attivo gw 192.168.1.75
eth01 rete di collegamento tra i 2 zs ip 62.62.62.1 netmask 255.255.255.0
vpn00 ip 10.10.10.1 net mask 255.255.255.0
eth00 e nattato dietro eth01 e vpn00
route statiche
dest/mask type metric gw
0.0.0.0/0.0.0.0 net 0 62.62.62.1
192.168.2.0/24 net 0 10.10.10.1



zs siteb (client)

eth00 rete interna casse ip 192.168.2.x dhcp attivo gw 192.168.2.75
eth01 rete di collegamento tra i 2 zs ip 62.62.62.1 netmask 255.255.255.0
vpn00 ip 10.10.10.2 net mask 255.255.255.0
eth00 e nattato dietro eth01 e vpn00
in questo modo riesco a pingare:
da shell dos di pc collegato a zs A con ip 192.168.1.1 tutto escluso il pc collegato a zs site B con ip 192.168.2.1
cioè
192.168.2.75 (gw zs siteB)
10.10.10.2 (vpn00 site B)
62.62.62.2 (eth01 site B)
route statiche
dest/mask type metric gw
0.0.0.0/0.0.0.0 net 0 62.62.62.2
192.168.2.0/24 net 0 10.10.10.2


da shell dos di pc collegato a zs B con ip 192.168.2.1 tutto escluso il pc collegato a zs site B con ip 192.168.1.1
cioè
192.168.1.75 (gw zs siteB)
10.10.10.1 (vpn00 site B)
62.62.62.1 (eth01 site B)

ho provato anche con vpn00 dietro nat su eth01 ma ovviamente non ho ottenuto niente
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Lun Gen 06, 2014 2:48 pm    Oggetto: configurazione corretta Rispondi citando

allora, prima di tutto scusami non voglio farti perdere la pazienza, quidi riepilogo i dati dei due zs collegati direttamente su eth01

zs siteA (server)

eth00 rete interna classe ip 192.168.1.x dhcp attivo gw 192.168.1.75
eth01 rete di collegamento tra i 2 zs ip 62.62.62.1 netmask 255.255.255.0
vpn00 ip 10.10.10.1 net mask 255.255.255.0
eth00 e nattato dietro eth01 e vpn00
route statiche
dest/mask type metric gw
0.0.0.0/0.0.0.0 net 0 62.62.62.1
192.168.2.0/24 net 0 10.10.10.1



zs siteb (client)

eth00 rete interna classe ip 192.168.2.x dhcp attivo gw 192.168.2.75
eth01 rete di collegamento tra i 2 zs ip 62.62.62.1 netmask 255.255.255.0
vpn00 ip 10.10.10.2 net mask 255.255.255.0
eth00 e nattato dietro eth01 e vpn00
route statiche
dest/mask type metric gw
0.0.0.0/0.0.0.0 net 0 62.62.62.2
192.168.2.0/24 net 0 10.10.10.2


in questo modo riesco a pingare:
da shell dos di pc collegato a zs A con ip 192.168.1.1 tutto escluso il pc collegato a zs site B con ip 192.168.2.1
cioè
192.168.2.75 (gw zs siteB)
10.10.10.2 (vpn00 site B)
62.62.62.2 (eth01 site B)


da shell dos di pc collegato a zs B con ip 192.168.2.1 tutto escluso il pc collegato a zs site B con ip 192.168.1.1
cioè
192.168.1.75 (gw zs siteB)
10.10.10.1 (vpn00 site B)
62.62.62.1 (eth01 site B)

ho provato anche con vpn00 dietro nat su eth01 ma ovviamente non ho ottenuto niente


L'ultima modifica di franco il Lun Gen 06, 2014 2:52 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Lun Gen 06, 2014 2:49 pm    Oggetto: Rispondi citando

il cp e' disattivato
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Gen 06, 2014 3:41 pm    Oggetto: Rispondi citando

Ciao, inverti i gateway nelle statiche per le reti remote , e non nattare le VPN00.
Su A, dovresti avere qualcosa del genere
Codice:

Destination   Netmask          Type Metric Gateway   Interface State
192.168.2.0   255.255.255.0    Net   1    10.10.10.2             Up

Mentre su B
Codice:

Destination   Netmask          Type Metric Gateway   Interface State
192.168.1.0   255.255.255.0    Net   1    10.10.10.1             Up

Ciao
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 429

MessaggioInviato: Lun Gen 06, 2014 7:16 pm    Oggetto: Rispondi citando

fatto
ma ho lo stesso risultato

forsepuo' aiutarti il fatto che la risposta che ottengo e'
richiesta scaduta e non
porta di destinazione non raggiungibile
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Gen 06, 2014 8:56 pm    Oggetto: Rispondi citando

Ciao , le statiche di default (0.0.0.0/0.0.0.0 via 62.62.62.1 e 0.0.0.0/0.0.0.0 via 62.62.62.2) per adesso non servono , e se volessi farle funzionare dovresti invertire i gw , in NAT Enabled Interfaces deve esserci solo ETH01.
Detto questo , a meno che non ci sia qualche firewall (regole iptables ? firewall di win7 ?) gli hosts della rete 192.168.1.0 dovrebbero comunicare con quelli della 192.168.2.0 e viceversa...es. questo è l'output di un tracert da un host (192.168.192.2) collegato alla eth00 di uno Zs (192.168.192.1) , collegato via vpn L2L ad un altro Zs , ad un host (192.168.196.6) collegato "all'altra" eth00 , le vpn sono 10.10.10.1 e .2 /30
Codice:
C:\Windows\System32>tracert 192.168.196.6

Traccia instradamento verso 192.168.196.6 su un massimo di 30 punti di passaggio


  1    <1 ms    <1 ms    <1 ms  server01 [192.168.192.1]
  2     1 ms     1 ms     1 ms  10.10.10.2
  3     1 ms     1 ms     1 ms  192.168.196.6

Traccia completata.

La rete è simile alla tua , c'è solo un router in piu' tra i 2 Zs.
Sicuro che i 2 pc , se collegati allo stesso switch rispondono ai ping ? Puoi provare con un dispositivo ( tipo un Ap) che risponde sicuramente ?
Top
Profilo Invia messaggio privato
danielezanoni



Registrato: 11/10/14 10:30
Messaggi: 6

MessaggioInviato: Sab Ott 11, 2014 10:49 am    Oggetto: Ho un problema Analogo ..... Rispondi citando

Devo connettere 2 sedi lan-to-lan.

Premesso che:

a) VPN99 consente a Client remoti di connettersi alla rete e funziona benissimo, con remote desktop riesco ad accedere al server e tutti i pc sulla rete.

b) VPN00 Lan-to-Lan (creata con chiave condivisa) è UP e riesco da una sede a lavorare sull'interfaccia ZS dell'altra sede, MA NON RIESCO a PINGARE o connettermi a nessun IP della sede remota !

Configurazione SITE-A:
LAN0 INTERNA : 192.168.0.X con ZS 192.168.0.1
LAN1 VERSO ROUTER : 192.168.1.X con ZS 192.168.1.2 e DEFAULT GATEWAY 192.168.1.1 + STATIC ROUTING 192.168.4.X gw 10.10.10.1
VPN00 : 10.10.10.1

Configurazione SITE-B:
LAN0 INTERNA : 192.168.4.X con ZS 192.168.4.1
LAN1 VERSO ROUTER : 192.168.1.X con ZS 192.168.1.2 e DEFAULT GATEWAY 192.168.1.1 + STATIC ROUTING 192.168.0.X gw 10.10.10.4
VPN00 : 10.10.10.4

Test PING da Lan 192.168.0.x

>ping 192.168.4.1
Esecuzione di Ping 192.168.4.1 con 32 byte di dati:
Risposta da 192.168.4.1: byte=32 durata=289ms TTL=63
Risposta da 192.168.4.1: byte=32 durata=161ms TTL=63
Risposta da 192.168.4.1: byte=32 durata=161ms TTL=63
Risposta da 192.168.4.1: byte=32 durata=162ms TTL=63

mentre
>ping 192.168.4.10
Esecuzione di Ping 192.168.4.10 con 32 byte di dati:
Risposta da 10.10.10.1: Host di destinazione non raggiungibile.
Risposta da 10.10.10.1: Host di destinazione non raggiungibile.
Risposta da 10.10.10.1: Host di destinazione non raggiungibile.
Risposta da 10.10.10.1: Host di destinazione non raggiungibile.

Dalle mille guide lette e info forum sembra tutto corretto, non capisco cosa vi sia che non funziona .... qualche d'uno può aiutarmi ?

Daniele
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Sab Ott 11, 2014 7:00 pm    Oggetto: Rispondi citando

Inverti i gateway nelle statiche per le reti remote (STATIC ROUTING 192.168.4.X gw 10.10.10.4 , STATIC ROUTING 192.168.0.X gw 10.10.10.1) , e prova un traceroute/tracert.
ciao
Top
Profilo Invia messaggio privato
danielezanoni



Registrato: 11/10/14 10:30
Messaggi: 6

MessaggioInviato: Dom Ott 12, 2014 8:33 am    Oggetto: Rispondi citando

grazie per la risposta, ma Nulla, il Trace per lo ZS remoto funziona, ma per i Client sulla rete Remota no ...

Traceroute avviato...
traceroute to 192.168.0.1 (192.168.0.1), 64 hops max, 72 byte packets
1 192.168.4.1 (192.168.4.1) 0.579 ms 0.500 ms 0.309 ms
2 192.168.0.1 (192.168.0.1) 198.483 ms 84.108 ms 87.576 ms


Traceroute avviato...
traceroute to 192.168.0.74 (192.168.0.74), 64 hops max, 72 byte packets
1 192.168.4.1 (192.168.4.1) 0.629 ms 0.483 ms 0.233 ms
2 10.10.10.1 (10.10.10.1) 204.067 ms 93.438 ms 87.047 ms
3 10.10.10.1 (10.10.10.1) 3082.481 ms !H 3161.382 ms !H 3087.782 ms !H

altri suggerimenti ?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Dom Ott 12, 2014 5:23 pm    Oggetto: Rispondi citando

Regole firewall (chain di Forward) sulla VPN00 (o mancanti in caso di default policy a drop) ? Dai log di ZS che si vede ? Se pinghi i clients remoti direttamente da Zs A (SYSTEM,Utilities, deselezionando ARP Check), che succede ? I clients di sede B sono dietro CP ?
ciao
Top
Profilo Invia messaggio privato
danielezanoni



Registrato: 11/10/14 10:30
Messaggi: 6

MessaggioInviato: Dom Ott 12, 2014 5:47 pm    Oggetto: Rispondi citando

REDFIVE grazie dei consigli,

dunque:
a) il firewall dello ZS remoto 192.168.0.1 è configurato POLICY-DROP / CHAIN-FORWARD:
12 VPN00 * ACCEPT all opt -- in VPN00 out * 0.0.0.0/0 -> 0.0.0.0/0 no
13 VPN99 * ACCEPT all opt -- in VPN99 out * 0.0.0.0/0 -> 0.0.0.0/0 no
14 ETH01 * DROP all opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 YES (LOG)
ma nel LOG della 14 non trovo nulla di significativo.
TIENI CONTO CHE TRA LE MILLE PROVE AVEVO MESSO : POLICY-ACCEPT / CHAIN-FORWARD ED ELIMINATO LA REGOLA 14 ... MA NESSUNA DIFFERENZA.

b) eseguendo il PING/TRACE da ZS locale 192.168.4.1 deselezionando ARP CHECK
PING 192.168.0.74 (192.168.0.74) 56(84) bytes of data.
From 10.10.10.1 icmp_seq=1 Destination Host Unreachable
--- 192.168.0.74 ping statistics ---
4 packets transmitted, 0 received, +1 errors, 100% packet loss, time 3008ms, pipe 4
Tracepath
1: 10.10.10.4 0.367ms pmtu 1500
1: 10.10.10.1 244.575ms
2: 10.10.10.1 asymm 1 2940.474ms !H
Resume: pmtu 1500

mi sembra che il ping/trace arrivi sino allo ZS remoto e poi non trovi instradamento per la ETH0 192.168.0.x mentre vedo perfettamente ZS poiché è 192.168.0.1
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it