| Precedente :: Successivo |
| Autore |
Messaggio |
xz4xbj
Registrato: 11/01/11 10:51
Messaggi: 36
|
 Inviato: Gio Gen 27, 2011 11:37 am Oggetto: Navigare in lan - no gateway |
 |
|
Partendo da zero sono riuscito a fare una bella configurazione su Alix con zeroshell.
Ora stò cercando di capire come fare a navigare in rete locale da remoto con una vpn.
Su ZS ho due schede di rete , una pubblica su internet e una privata.
Sulla privata , di indirizzo 192.168.0.0/24 , ho una serie di macchine ( windows , base linux , stampante , ecc ) che mi interessa raggiungere da internet.
Ho creato una VPN su porta 443 di tipo host-to-lan .
Il client è un openvpn su windows 7 ( con openvpn GUI )
La VPN funziona , nel senso che riesco tranquillamente a collegarmi , ma a livello client non mi ritrovo poi il gateway :
| Codice: | Scheda Ethernet Openvpn:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : TAP-Win32 Adapter V8
Indirizzo fisico. . . . . . . . . . . : 00-FF-A5-C5-68-F1
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv4. . . . . . . . . . . . : 192.168.250.1(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 11:15:14
Scadenza lease . . . . . . . . . . . : venerdì 27 gennaio 2012 11:15:14
Gateway predefinito . . . . . . . . . :
Server DHCP . . . . . . . . . . . . . : 192.168.250.0
Server DNS . . . . . . . . . . . . . : 192.168.250.254
NetBIOS su TCP/IP . . . . . . . . . . : Attivato |
Verificando la log a livello client mi ritrovo alcuni errori :
| Codice: | Thu Jan 27 11:26:04 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.1/255.255.255.0 on interface {A5C568F1-64BB-4BE8-BA34-0A99530A3AB8} [DHCP-serv: 192.168.250.0, lease-time: 31536000]
Thu Jan 27 11:26:04 2011 NOTE: FlushIpNetTable failed on interface [14] {A5C568F1-64BB-4BE8-BA34-0A99530A3AB8} (status=5) : Accesso negato.
Thu Jan 27 11:26:04 2011 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Thu Jan 27 11:26:04 2011 route ADD 192.168.50.73 MASK 255.255.255.255 192.168.50.119
Thu Jan 27 11:26:04 2011 ROUTE: route addition failed using CreateIpForwardEntry: Uno o più argomenti non validi. [if_index=12]
Thu Jan 27 11:26:04 2011 Route addition via IPAPI failed
Thu Jan 27 11:26:04 2011 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.50.119
Thu Jan 27 11:26:04 2011 ROUTE: route deletion failed using DeleteIpForwardEntry: Accesso negato.
Thu Jan 27 11:26:04 2011 Route deletion via IPAPI failed
Thu Jan 27 11:26:04 2011 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.250.254
Thu Jan 27 11:26:04 2011 Warning: route gateway is not reachable on any active network adapters: 192.168.250.254
Thu Jan 27 11:26:04 2011 Route addition via IPAPI failed
Thu Jan 27 11:26:04 2011 Initialization Sequence Completed |
A livello server non mi sembra che ci siano errori :
| Codice: | 11:25:23 Re-using SSL/TLS context
11:25:23 LZO compression initialized
11:25:23 TCP connection established with 192.168.50.75:1647
11:25:23 TCPv4_SERVER link local: [undef]
11:25:23 TCPv4_SERVER link remote: 192.168.50.75:1647
11:25:24 192.168.50.75:1647 [pippo@pluto.it] Trying Kerberos 5 (Local KDC) authentication
11:25:25 192.168.50.75:1647 [pippo@pluto.it] Successfully authenticated
11:25:25 192.168.50.75:1647 [pippo] Peer Connection Initiated with 192.168.50.75:1647
11:25:25 192.168.50.75:1647 [pippo] Virtual IP automatically assigned: 192.168.250.1 |
A livello firewall sulla scheda pubblica è stato inserita una regola di accept per la sola porta tcp 443 , droppa tutto il resto.
Lo butto  ??
Ciao e grazie. |
|
| Top |
|
 |
xz4xbj
Registrato: 11/01/11 10:51
Messaggi: 36
|
| Inviato: Gio Gen 27, 2011 1:05 pm Oggetto: |
|
|
Girovagando quà e là ho trovato che parte del problema poteva essere dovuto alla versione di openvpn e quindi ho installato l'ultima.
Ora mi è sorto un altro tipo di problema , specificato bene quà da ziotibia81 :
| ziotibia81 ha scritto: | Secondo me la cosa potrebbe somigliare a questa:
hai messo sul client il file di configurazione tale che il gateway di default viene sonstituito con l'endpoint della VPN.
Es:
tuo gateway abituale: 11.22.33.44
Tuo endpoint VPN: 192.168.250.254
tu effettui la connessione con OVPN,
OVPN fa le sue cose,
aggiunge l'ip all'interfaccia TAP,
setta il gateway di default non più a 11.22.33.44 ma all'endpoint 192.168.250.254.
A questo punto... il tuo server pubblico non è più raggiungibile perchè il tuo GW è diventato l'endpoint. OVPN chiude la connessione, ripristina il GW e, a questo punto, la connessione internet torna a funzionare. Quindi lui rifà la connessione, riassegna gli indirizzi ecc ecc ecc
Posta il file di configurazione del client |
Mi trovo esattamente in questa situazione.
Openvpn assegna il gateway corretto alla scheda TAP , ma lo toglie alla scheda ethernet fisica , così non funziona più una ceppa.
Un parametro errato da qualche parte ?
| Codice: | Scheda Ethernet Connessione alla rete locale (LAN) 3:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : TAP-Win32 Adapter V9
Indirizzo fisico. . . . . . . . . . . : 00-FF-A7-B8-93-DC
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv6 locale rispetto al collegamento . : fe80::9d97:b524:a744:d8f0%
41(Preferenziale)
Indirizzo IPv4. . . . . . . . . . . . : 192.168.250.1(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 12:46:55
Scadenza lease . . . . . . . . . . . : venerdì 27 gennaio 2012 12:46:55
Gateway predefinito . . . . . . . . . : 192.168.250.254
Server DHCP . . . . . . . . . . . . . : 192.168.250.0
IAID DHCPv6 . . . . . . . . . . . : 234946471
DUID Client DHCPv6. . . . . . . . : 00-01-00-01-14-50-78-48-00-1C-23-28-3B-BC
Server DNS . . . . . . . . . . . . . : 192.168.250.254
NetBIOS su TCP/IP . . . . . . . . . . : Attivato
Scheda Ethernet Connessione alla rete locale (LAN):
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme 57xx Gigabit Contr
oller
Indirizzo fisico. . . . . . . . . . . : 00-1C-23-28-3B-BC
DHCP abilitato. . . . . . . . . . . . : Sì
Configurazione automatica abilitata : Sì
Indirizzo IPv4. . . . . . . . . . . . : 192.168.50.75(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.192
Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 12:39:52
Scadenza lease . . . . . . . . . . . : martedì 1 febbraio 2011 12:39:52
Gateway predefinito . . . . . . . . . :
Server DHCP . . . . . . . . . . . . . : 192.168.50.124
Server DNS . . . . . . . . . . . . . : 192.168.49.65
192.168.49.66
NetBIOS su TCP/IP . . . . . . . . . . : Attivato |
Il file di configurazione è quello di default , comunque lo posto :
| Codice: | #============================================================================#
# Specifica l'Hostname o l'indirizzo IP, il numero di porta e il #
# protocollo con cui raggiungere il server OpenVPN #
# L'Hostname puo' essere anche dinamico (es. DynDNS). #
#============================================================================#
remote MIOSERVER 443
proto tcp
#============================================================================#
# Lascia la seguente voce se vuoi che ti sia richiesto Username e Password. #
# Commentala se vuoi utilizzare l'autenticazione con certificati X.509. #
#============================================================================#
auth-user-pass
#============================================================================#
# Indipendentemente dal tipo di autenticazione, devi sempre specificare un #
# file in formato PEM che contenga il certificato della Certification #
# Authority che ha firmato il certificato del server OpenVPN. #
# Puoi ottenere tale certificato cliccando sul link CA nella pagina #
# di login di ZeroShell. #
#============================================================================#
ca miaca.pem
#============================================================================#
# Se vuoi utilizzare l'autenticazione X.509, devi specificare i file #
# contenenti il certificato e la relativa chiave privata in formato PEM. #
# Puoi unire certificato e chiave privata nello stesso file. #
#============================================================================#
cert miocert.pem
key miocert.pem
#============================================================================#
# Non dovresti aver bisogno di configurare i seguenti parametri #
#============================================================================#
comp-lzo
verb 3
mute 20
resolv-retry infinite
nobind
client
dev tap
persist-key
persist-tun |
|
|
| Top |
|
|
xz4xbj
Registrato: 11/01/11 10:51
Messaggi: 36
|
| Inviato: Gio Gen 27, 2011 1:50 pm Oggetto: |
|
|
Ho parzialmente risolto nel frattempo che qualcuno magari mi risponde.
Ho modificato la vpn per lavorare in bridging piuttosto che in routing.
Funziona bene , certo che lato sicurezza non è esattamente il massimo.
Per la cronaca ho fatto così :
- ho eliminato l'ip della scheda vpn99
- ho creato il bridge con la scheda privata , nel mio caso la eth01
- nella configurazione di openvpn su ZS ho eliminato tutti gli ip e la spunta su nat
Avendo usato le interfaccie per le regole sul firewall me le sono dovute ribattere tutte , comunque ora con la vpn sono direttamente sulla rete privata. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Gruppi
Registrati
Profilo
Log in
Messaggi privati
