Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aggiungere dispositivo remoto in lan locale

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
Diego - ETS LIFE SRL



Registrato: 25/01/16 09:35
Messaggi: 3

MessaggioInviato: Lun Feb 08, 2016 2:21 pm    Oggetto: Aggiungere dispositivo remoto in lan locale Rispondi citando

Buongiorno.
Scrivo qui dopo alcune settimane di "sperimentazioni" in quanto ho bisogno di un consiglio.
L'azienda per cui lavoro necessita di potersi collegare ad un dispositivo di telecontrollo remoto direttamente da un pc in ufficio.
Abbiamo a disposizione l'apposito programma per interfacciarci al dispositivo, ma quest'ultimo necessita di essere collegato alla stessa rete LAN per essere rilevato dal programma.
Subito ho pensato ad una VPN host to lan, ho installato su un pc di fascia bassa zeroshell e ho collegato tramite la porta ethernet il dispositivo in questione.
La connessione internet è garantita da una chiavetta TIM installata tramite "New 3G Modem".
Su un pc windows aziendale ho installato OpenVPN GUI, mi sono collegato correttamente allo zeroshell remoto, riesco a pingare il dispositivo di telecontrollo, ma il programma non lo rileva.

Penso, ma non ne sono sicuro, che il problema sia nell'inoltro dei pacchetti, o per una limitazione del programma che non contempla l'utilizzo di VPN, o per alcune porte non aperte sul router o su zeroshell.
A questo punto pensavo ad un modo per rendere il dispositivo di telecontrollo come se fosse nella stessa lan aziendale, rendendo il collegamento VPN "trasparente" ma non ho idea di come fare.
Potete aiutarmi?

Grazie per l'attenzione.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Feb 08, 2016 7:30 pm    Oggetto: Rispondi citando

Dovresti creare un bridge tra la vpn e l'interfaccia ethernet della rete di cui il dispositivo fà parte, ho utilizzato per molto tempo una config. simile.... Dovresti però agire da un altra interfaccia (o da seriale, vedi tu) altrimenti rischi di perdere la connessione con ZS...
Nella pagina di configurazione della vpn H2L, 'Client IP Address Assignment', lasci tutti i campi in bianco, da network togli gli ip dalla eth00 e dalla vpn99, poi crei un bridge, es Bridge00, come membri del bridge, eth00e vpn99, assegni l'ip a tale bridge, es 192.168.24.1 (in generale, non usare, come indirizzi di rete i 'classici' 192.168.0.0 e 192.168.1.0, se sei in una rete con lo stesso indirizzo, e dovessi collegarti in vpn ad un altra rete, con indirizzo uguale, non la raggiungeresti mai, a meno di non giocare con target NETMAP di iptables ...), se vuoi crei un pool per il dhcp per la rete 192.168.24.0, lasciando liberi alcuni IPs. A questo punto, collegandoti alla eth00 dovresti essere a posto...
Via ssh, crei la directory ccd in /Database/etc
mkdir /Database/etc/ccd
Poi crei i file di configurazione per i clients che accedono in vpn, es. per admin
vi /Database/etc/ccd/admin
contenente
ifconfig-push 192.168.24.30 255.255.255.0
In questo modo, all'utente admin, quando si collega in vpn, verrà assegnato l'indirizzo ip 192.168.24.30 ,non facente parte del pool-dhcp creato in precedenza ( questo se usi, come auth. per la vpn, X.509+ pwd o solo pwd, se usi solo X.509, il nome del file non deve essere admin, ma deve essere uguale al CN presente sul certificato del client)
Sempre nella pagina vpn, 'Command Line Parameters'
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --remote-cert-eku 'TLS Web Client Authentication'  --push 'dhcp-option DNS 192.168.124.1' --push 'dhcp-option NTP 192.168.24.1' --push 'route-gateway 192.168.24.1'  --push 'redirect-gateway
Il primo parametro, 'dice' al vpn server dove trovare i file di config. dei clients, il secondo permette l'accesso in vpn per i soli clients per i quali è stato creato il file di configurazione, il terzo dice che tipo di cert 'aspettarsi', gli altri passano la config. ip...........
Salvi, e provi a connetterti, dovresti essere nello stesso dominio L2 del dispositivo che devi raggiungere.
ciao
Top
Profilo Invia messaggio privato
Diego - ETS LIFE SRL



Registrato: 25/01/16 09:35
Messaggi: 3

MessaggioInviato: Mar Feb 09, 2016 9:35 am    Oggetto: Rispondi citando

Appena salvo dopo aver incollato la stringa di codice in VPN >Command Line Parameters la vpn va down. Cosa ho sbagliato? Ho fatto tutto seguendo il suo esempio, con gli stessi ip.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mar Feb 09, 2016 9:56 am    Oggetto: Rispondi citando

Al volo, direi che ho scordato di chiudere con la virgolettal'ultimo parametro ...
Top
Profilo Invia messaggio privato
Diego - ETS LIFE SRL



Registrato: 25/01/16 09:35
Messaggi: 3

MessaggioInviato: Mar Feb 09, 2016 11:22 am    Oggetto: Rispondi citando

Si il problema era quello.
Adesso ho provato un collegamento di prova, ma continuo a non rilevare il dispositivo.
Probabilmente è un problema del programma stesso che non funziona in VPN, oppure un problema di porte del router.
Farò ancora qualche prova o passerò ad un altro sistema.

Grazie comunque dell'aiuto.
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Mer Mar 30, 2016 2:00 pm    Oggetto: Rispondi citando

Diego, ciao.
Partendo dal presupposto che nella mia esperienza NON è necessario configurare regole come quelle indicate da redfive, mi vengono in mente alcuni scenari.

1) E' ovviamente necessario che le due LAN (remota e locale) NON abbiano la stessa classe di indirizzi.
Per capirci: a casa e in ufficio non devono essere entrambe (ad esempio) 192.168.1.x e tu stia in realtà pingando un dispositivo della rete di casa.
Questo tu non lo hai specificato, ma immagino sia già stato verificato.

2) Altro fattore possibile è che il protocollo di comunicazione tra client e server del telecontrollo richieda un flusso di dati elevato in quantità di banda oppure richieda il passaggio di porte/protocolli particolari (ma qui non ci dai dettagli in merito).

Spero di non aver detto banalità.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it