Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Navigare in lan - no gateway

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Gio Gen 27, 2011 11:37 am    Oggetto: Navigare in lan - no gateway Rispondi citando

Partendo da zero sono riuscito a fare una bella configurazione su Alix con zeroshell.
Ora stò cercando di capire come fare a navigare in rete locale da remoto con una vpn.

Su ZS ho due schede di rete , una pubblica su internet e una privata.
Sulla privata , di indirizzo 192.168.0.0/24 , ho una serie di macchine ( windows , base linux , stampante , ecc ) che mi interessa raggiungere da internet.
Ho creato una VPN su porta 443 di tipo host-to-lan .
Il client è un openvpn su windows 7 ( con openvpn GUI )
La VPN funziona , nel senso che riesco tranquillamente a collegarmi , ma a livello client non mi ritrovo poi il gateway :

Codice:
Scheda Ethernet Openvpn:

   Suffisso DNS specifico per connessione:
   Descrizione . . . . . . . . . . . . . : TAP-Win32 Adapter V8
   Indirizzo fisico. . . . . . . . . . . : 00-FF-A5-C5-68-F1
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv4. . . . . . . . . . . . : 192.168.250.1(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.0
   Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 11:15:14
   Scadenza lease . . . . . . . . . . .  : venerdì 27 gennaio 2012 11:15:14
   Gateway predefinito . . . . . . . . . :
   Server DHCP . . . . . . . . . . . . . : 192.168.250.0
   Server DNS . . . . . . . . . . . . .  : 192.168.250.254
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato


Verificando la log a livello client mi ritrovo alcuni errori :

Codice:
Thu Jan 27 11:26:04 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.1/255.255.255.0 on interface {A5C568F1-64BB-4BE8-BA34-0A99530A3AB8} [DHCP-serv: 192.168.250.0, lease-time: 31536000]
Thu Jan 27 11:26:04 2011 NOTE: FlushIpNetTable failed on interface [14] {A5C568F1-64BB-4BE8-BA34-0A99530A3AB8} (status=5) : Accesso negato. 
Thu Jan 27 11:26:04 2011 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Thu Jan 27 11:26:04 2011 route ADD 192.168.50.73 MASK 255.255.255.255 192.168.50.119
Thu Jan 27 11:26:04 2011 ROUTE: route addition failed using CreateIpForwardEntry: Uno o più argomenti non validi.   [if_index=12]
Thu Jan 27 11:26:04 2011 Route addition via IPAPI failed
Thu Jan 27 11:26:04 2011 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.50.119
Thu Jan 27 11:26:04 2011 ROUTE: route deletion failed using DeleteIpForwardEntry: Accesso negato. 
Thu Jan 27 11:26:04 2011 Route deletion via IPAPI failed
Thu Jan 27 11:26:04 2011 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.250.254
Thu Jan 27 11:26:04 2011 Warning: route gateway is not reachable on any active network adapters: 192.168.250.254
Thu Jan 27 11:26:04 2011 Route addition via IPAPI failed
Thu Jan 27 11:26:04 2011 Initialization Sequence Completed


A livello server non mi sembra che ci siano errori :

Codice:
11:25:23    Re-using SSL/TLS context
11:25:23    LZO compression initialized
11:25:23    TCP connection established with 192.168.50.75:1647
11:25:23    TCPv4_SERVER link local: [undef]
11:25:23    TCPv4_SERVER link remote: 192.168.50.75:1647
11:25:24    192.168.50.75:1647 [pippo@pluto.it] Trying Kerberos 5 (Local KDC) authentication
11:25:25    192.168.50.75:1647 [pippo@pluto.it] Successfully authenticated
11:25:25    192.168.50.75:1647 [pippo] Peer Connection Initiated with 192.168.50.75:1647
11:25:25    192.168.50.75:1647 [pippo] Virtual IP automatically assigned: 192.168.250.1


A livello firewall sulla scheda pubblica è stato inserita una regola di accept per la sola porta tcp 443 , droppa tutto il resto.

Lo butto Very Happy ??

Ciao e grazie.
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Gio Gen 27, 2011 1:05 pm    Oggetto: Rispondi citando

Girovagando quà e là ho trovato che parte del problema poteva essere dovuto alla versione di openvpn e quindi ho installato l'ultima.
Ora mi è sorto un altro tipo di problema , specificato bene quà da ziotibia81 :

ziotibia81 ha scritto:
Secondo me la cosa potrebbe somigliare a questa:

hai messo sul client il file di configurazione tale che il gateway di default viene sonstituito con l'endpoint della VPN.

Es:

tuo gateway abituale: 11.22.33.44
Tuo endpoint VPN: 192.168.250.254

tu effettui la connessione con OVPN,
OVPN fa le sue cose,
aggiunge l'ip all'interfaccia TAP,
setta il gateway di default non più a 11.22.33.44 ma all'endpoint 192.168.250.254.

A questo punto... il tuo server pubblico non è più raggiungibile perchè il tuo GW è diventato l'endpoint. OVPN chiude la connessione, ripristina il GW e, a questo punto, la connessione internet torna a funzionare. Quindi lui rifà la connessione, riassegna gli indirizzi ecc ecc ecc

Posta il file di configurazione del client


Mi trovo esattamente in questa situazione.
Openvpn assegna il gateway corretto alla scheda TAP , ma lo toglie alla scheda ethernet fisica , così non funziona più una ceppa.
Un parametro errato da qualche parte ?

Codice:
Scheda Ethernet Connessione alla rete locale (LAN) 3:

   Suffisso DNS specifico per connessione:
   Descrizione . . . . . . . . . . . . . : TAP-Win32 Adapter V9
   Indirizzo fisico. . . . . . . . . . . : 00-FF-A7-B8-93-DC
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::9d97:b524:a744:d8f0%
41(Preferenziale)
   Indirizzo IPv4. . . . . . . . . . . . : 192.168.250.1(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.0
   Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 12:46:55
   Scadenza lease . . . . . . . . . . .  : venerdì 27 gennaio 2012 12:46:55
   Gateway predefinito . . . . . . . . . : 192.168.250.254
   Server DHCP . . . . . . . . . . . . . : 192.168.250.0
   IAID DHCPv6 . . . . . . . . . . . : 234946471
   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-14-50-78-48-00-1C-23-28-3B-BC

   Server DNS . . . . . . . . . . . . .  : 192.168.250.254
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato

Scheda Ethernet Connessione alla rete locale (LAN):

   Suffisso DNS specifico per connessione:
   Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme 57xx Gigabit Contr
oller
   Indirizzo fisico. . . . . . . . . . . : 00-1C-23-28-3B-BC
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv4. . . . . . . . . . . . : 192.168.50.75(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.192
   Lease ottenuto. . . . . . . . . . . . : giovedì 27 gennaio 2011 12:39:52
   Scadenza lease . . . . . . . . . . .  : martedì 1 febbraio 2011 12:39:52
   Gateway predefinito . . . . . . . . . :
   Server DHCP . . . . . . . . . . . . . : 192.168.50.124
   Server DNS . . . . . . . . . . . . .  : 192.168.49.65
                                           192.168.49.66
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato


Il file di configurazione è quello di default , comunque lo posto :

Codice:
#============================================================================#
# Specifica l'Hostname o l'indirizzo IP, il numero di porta e il             #
# protocollo con cui raggiungere il server OpenVPN                           #
# L'Hostname puo' essere anche dinamico (es. DynDNS).                        #
#============================================================================#

remote MIOSERVER 443

proto tcp


#============================================================================#
# Lascia la seguente voce se vuoi che ti sia richiesto Username e Password.  #
# Commentala se vuoi utilizzare l'autenticazione con certificati X.509.      #
#============================================================================#

auth-user-pass


#============================================================================#
# Indipendentemente dal tipo di autenticazione, devi sempre specificare un   #
# file in formato PEM che contenga il certificato della Certification        #
# Authority che ha firmato il certificato del server OpenVPN.                #
# Puoi ottenere tale certificato cliccando sul link CA nella pagina          #
# di login di ZeroShell.                                                     #
#============================================================================#

ca miaca.pem


#============================================================================#
# Se vuoi utilizzare l'autenticazione X.509, devi specificare i file         #
# contenenti il certificato e la relativa chiave privata in formato PEM.     #
# Puoi unire certificato e chiave privata nello stesso file.                 #
#============================================================================#

cert miocert.pem
key  miocert.pem


#============================================================================#
# Non dovresti aver bisogno di configurare i seguenti parametri              #
#============================================================================#

comp-lzo
verb 3
mute 20
resolv-retry infinite
nobind
client
dev tap
persist-key
persist-tun
Top
Profilo Invia messaggio privato
xz4xbj



Registrato: 11/01/11 10:51
Messaggi: 54

MessaggioInviato: Gio Gen 27, 2011 1:50 pm    Oggetto: Rispondi citando

Ho parzialmente risolto nel frattempo che qualcuno magari mi risponde.

Ho modificato la vpn per lavorare in bridging piuttosto che in routing.
Funziona bene , certo che lato sicurezza non è esattamente il massimo.

Per la cronaca ho fatto così :

- ho eliminato l'ip della scheda vpn99
- ho creato il bridge con la scheda privata , nel mio caso la eth01
- nella configurazione di openvpn su ZS ho eliminato tutti gli ip e la spunta su nat

Avendo usato le interfaccie per le regole sul firewall me le sono dovute ribattere tutte , comunque ora con la vpn sono direttamente sulla rete privata.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it